Как управлять пользователями в Windows Server 2003

Содержание

Как добавить пользователей

ВНИМАНИЕ! Все действия происходят на самом сервере под управлением операционной системы Windows Server 2003. Также все можно производить на сервере при помощи терминальной службы управления сервером.

Для создания пользователя в системе необходимо нажать правой кнопкой мыши на значок «Мой компьютер» и выбрать пункт «Управление».

В появившимся окне, с левой стороны выбрать:

Управление компьютером » Локальные пользователи » Пользователи

Теперь в правом окне, нажимаем правой кнопкой мыши на пустом месте в списке пользователей и выбрать пункт «Новый пользователь…»

Подтверждения пароля

В появившемся диалоговом окне указать Пользователя и пароль (подтверждение пароля).

Очень настоятельно рекомендую иметь привычку вписывать полные данные о пользователе в разделе Описание. В случае большого количества пользователей (даже более 10), это существенно поможет Вам и другим администраторам (пользователям) ориентироваться в списке пользователей.

Обязательно убрать галочку с пункта «Требовать смену пароля и установить галочки». Не выставив эту галочку, это приведет к тому, что пользователю каждый раз придется менять свой пароль. Что приводит к очень частому забыванию паролей.

Установить галочки в пунктах: «Запретить смену пароля пользователем». Это требуется, чтобы особо «умные пользователи» случайно не напакостили Вам.

Установить галочки в пунктах: «Срок действия пароля не ограничен» — Иначе это приведет к тому, что каждые 10 дней вам придется всем таким пользователям изменять пароль на новый.

Дополнительная информация по теме

Подробная и детальная инструкция по управлению пользователями в программном комплексе SD 3000 Client

Оказывается, получить ID пользователя совсем не сложно, а это значит, что наши данные открыты для всех

Статья для тех, кто хочет научиться раздавать права доступа на сетевые папки в системе на платформе Windows Server 2003

Инструкция с примерами, каким образом необходимо правильно использовать переменные в PHP

Установка и внедрение Active Directory в Windows Server 2003

Windows Server 2003 | Разместил: Cesar, 2012-07-15 | 13790 0

Установить Active Directory непросто — вам понадобится настроить не только компьютер, выступающий в качестве контроллера домена, но и все компьютеры в локальной сети, которые будут входить в новый домен. Контроллер домена должен работать под управлением Windows Server 2003 и выше; для его настройки используется специальный мастер.
Перед внедрением Active Directory следует разработать структуру будущего домена таким образом, чтобы его обслуживание было эффективным и практически не требующим участия системных администраторов. Несмотря на то, что установка Active Directory занимает много времени, для ее настройки и оптимизации потребуются определенные силы. Учетные записи пользователей, группы, групповые политики, шаблоны, сайты, репликация данных — это лишь малая часть работы, которую придется провести для настройки домена.
Чтобы настроить сервер для работы в качестве контроллера домена, выполните команду Пуск -> Администрирование -> Управление данным сервером

В открывшемся окне выберите Добавить или удалить роль. Откроется окно Мастер настройки сервера.

В окне Мастер настройки сервера выберите команду Контроллер домена (Active Directory) и щелкните на кнопке Далее, после чего будет запущена программа Мастер установки Active Directory. Щелкните на кнопке Далее. В следующем окне мастера вы увидите предупреждение о том, что компьютеры под управлением старых версий Windows и Windows NT не смогут быть зарегистрированы в домене с контроллерами домена Windows Server 2003 и выше, и соответственно, и не получат доступа к ресурсам домена. Щелкните на кнопке Далее.

В новом окне следует выбрать чип контроллера домена. Доступны два варианта: контроллер домена в новом домене или добавочный контроллер и уже существующем. Поскольку домена Active Directory еще не существует, оставьте без изменений переключатель Контроллер домена в новом домене и щелкните на кнопке Далее. В очередном окне выберите тип домена. Для каждого из трех типов предоставлено подробное описание его использования. В данном случае следует выбрать вариант Новый домен в новом лесу.

В следующем окне введите полное DNS-имя для нового домена, например active.server.com. Щелкните на кнопке Далее. Введите в новом окне имя домена (в формате NetBIOS), которое будет использоваться клиентами старых версий Windows. В следующем окне требуется указать локальную папку Windows для файлов базы данных Active Directory, а также папку расположения системного журнала домена. Но умолчанию для базы данных и журнала используется одна и та же папка. Щелкните на кнопке Далее.

В следующем окне укажите расположение папки SYSVOL, содержащей серверную копию общих файлов домена. Содержимое этой папки будет обновляться методом репликации на всех контроллерах домена.

В новом окне следует выбрать гид разрешения для доступа к объектам Active Directory. Будут доступны два переключателя — выбрать необходимое, после щелкните на кнопке Далее. В последнем окне мастера будет отображена общая информация о выбранных параметрах. Щелкните на кнопке ОК, после чего сервер станет полноценным контроллером домена Active Directory.

Управление доменом windows 2003

Изменение режима работы домена.

Режимы работы домена

Домен, реализованный в Active Directory Windows Server 2003 может работать в четырех режимах: Windows 2000 Mixed (смешанный режим), Windows 2000 Native (основной режим), Windows Server 2003 Interim (промежуточный Windows Server 2003) и Windows Server 2003. После установки Active Directory всегда работает в смешанном режиме. Переключение в основной режим может потребоваться при необходимости использовать все новые возможности, заложенные в Active Directory.

Смешанный режим Windows 2000

Смешанный режим работы Active Directory позволяет использовать в домене контроллеры не только под управлением Windows Server 2003 / Windows 2000, но и под управлением Windows NT 3.51 или 4.0. В этом режиме контроллер под управлением Windows Server 2003 / Windows 2000 эмулирует главный контроллер домена, а контроллеры под управлением Windows NT являются резервными контроллерами домена. Домен, работающий в смешанном режиме, необходим любому клиенту, использующему службу каталога Windows NT и NTLM для аутентификации. Кроме того, для разрешения имен для таких клиентов на сервере должна быть установлена служба WINS. Выполнение этих функций создает дополнительную нагрузку на сервер Windows Server 2003.

Основной режим Windows 2000

Основной режим работы Active Directory позволяет использовать в домене контроллеры только под управлением Windows Server 2003 и Windows 2000. В этом режиме все контроллеры домена являются равноправными и изменения могут вноситься на любом из них. Для нормального функционирования домена не требуется служба WINS. Домен Windows Server 2003 / Windows 2000 в основном режиме нормально поддерживает работу любых Windows-клиентов (Windows 9x, NT, 2000, XP). Если вы используете в качестве контроллеров домена только серверы Windows Server 2003 и/или Windows 2000, рекомендуется перевести домен в основной режим — это значительно снизит нагрузку на контроллеры домена и добавит много новых возможностей по управлению доменом.

Промежуточный режим Windows Server 2003

Промежуточный режим работы Active Directory позволяет использовать в домене контроллеры под управлением Windows Server 2003 и Windows NT 4.0. В этом режиме, как и в смешанном, контроллер под управлением Windows Server 2003 эмулирует главный контроллер домена, а контроллеры под управлением Windows NT являются резервными контроллерами домена.

Режим Windows Server 2003

Режим работы Windows Server 2003 позволяет использовать в домене только контроллеры только под управлением семейства Windows Server 2003. При повышении режима работы домена до Windows Server 2003, становятся доступны дополнительные возможности Active Directory.

Для переключения режима работы домена щелкните правой кнопкой мышки по имени домена в консоли Active Directory — домены и доверие и в контекстном меню выберите Изменение режима работы домена. В открывшемся окне отображается текущий режим работы домена. В поле со списком Выберите режим работы домена выберите необходимый режим и нажмите кнопку Изменить.

Для окончания операции переключения режима работы домена может потребоваться до 15 минут — все необходимые изменения должны быть реплицированы на все контроллеры домена.

Вы не обязаны переводить все домены в дереве в основной режим: часть доменов может работать в смешанном режиме. Однако наиболее полно возможности Active Directory будут реализованы, только если все домены дерева и леса будут работать в основном режиме.

Операция переключения режима работы домена является необратимой. Нельзя переключить домен в режим более низкого уровня (например, из основного режима в смешанный).

После повышения режима работы домена добавление контроллеров домена, работающих под управлением более ранних операционных систем, невозможно. Например, если повысить режим работы домена до Windows Server 2003, в этот домен нельзя будет добавить контроллеры домена, работающие под управлением Windows 2000 Server.

В следующей таблице описаны функциональные возможности доменов.

Управление пользователями и рабочими группами в Windows 7 и Windows Server 2003.

Управление пользователями и рабочими группами в Windows 7 и Windows Server 2003.

Создание контроллера домена.

Использование службы каталогов Active Directory в среде Windows Server 2003

Создание учетных записей и рабочих групп в среде ОС Windows 7 и СОС Windows Server 2003

· Создайте 2 рабочие группы с именами «Студенты» и «Новички»

· Создайте 2 учетные записи с произвольными именами (можно использовать ФИО)

· Сделайте пользователей членами созданных рабочих групп.

1.1 Создание учетной записи в Windows 7:

Пуск/ Управление компьютером/ Локальные пользователи и группы/ Пользователи/ контекстное меню /выбрать «Новый пользователь»

1.2 Создание учетной записи в Windows Server 2003:

Пуск/ Администрирование/ Управление компьютером/ Локальные пользователи и группы/ Пользователи/ контекстное меню /выбрать «Новый пользователь»

Создание контроллера домена

Контроллер домена — специальный сервер, который хранит соответствующую данному домену часть базы данных Active Directory.

Проведем установку первого контроллера первого домена первого леса в структуре AD.

Установка начинается с запуска из командной строки мастера установки Active Directory — dcpromo или по команде Пуск/ Управление данным сервером

На экране появляется стартовая страница мастера (рисунок 2.1)

Далее идет предупреждение о том, что операционные системы Windows 95, Windows NT 4.0 SP3 и более ранние не смогут функционировать в доменах Windows 2003 (рисунок 2.2).

Рисунок 2.1 – Стартовая страница мастера установки службы каталогов

Рисунок 2.2 – Предупреждение о несовместимости ОС

Затем выбираем вариант установки контроллера домена в новом домене (рисунок 2.3) и вариант создания нового домена в новом лесу (рисунок 2.4)

Рисунок 2.3 – Выбор роли сервера

Рисунок 2.4 – Выбор типа домена

Следующий шаг — выбор имени домена (для Active Directory это будет корневой домен). Выберем имя Stud.by (рисунок 2.5)

Рисунок 2.5 – Выбор имени домена

Зададим NetBIOS-имя домена (по умолчанию, будет предложена левая часть полного имени домена, выбранного на предыдущем шаге). В нашем примере — STUD (рисунок 2.6)

Рисунок 2.6 – Выбор NetBIOS-имени домена

Далее мастер предложит выбрать место на жестких дисках для размещения базы данных Active Directory, журнала транзакций этой БД (рисунок 2.7) и папки системного тома SYSVOL (рисунок 2.8). Системный том обязательно должен быть размещен в разделе с файловой системой NTFS.

Рисунок 2.7 – Выбор места для хранения базы данных AD

Рисунок 2.8 – Выбор места хранения папки системного тома

После этого мастер установки на основе параметров сетевой конфигурации сервера ищет в сети DNS-сервер, на котором имеется зона с указанным именем домена, причем в данной зоне должны быть разрешены динамические обновления. Если такой сервер DNS в сети не найден, то мастер предложит установить службу DNS на данном сервере и создать соответствующую зону (рисунок 2.9).

Рисунок 2.9 – Диагностика регистрации DNS

Далее предлагается выбрать уровень разрешений создаваемого домена (рисунок 2.10). Если мы выберем наиболее высокий уровень, то в таком домене не смогут существовать компьютеры с операционными системами, более ранними, чем Windows 2000.

Рисунок 2.10 – Выбор уровня разрешений для создаваемого домена

Затем задаем пароль администратора при запуске системы в режиме восстановления служб каталогов (рисунок 2.11). Данный режим используется для восстановления БД Active Directory из резервной копии.

Рисунок 2.11 – Ввод пароля администратора для режима восстановления

Затем следует экран со сводкой информации о создаваемом домене и параметрах контроллера домена (рисунок 2.12). На этом шаге в случае обнаруженной ошибки в конфигурации можно вернуться назад и исправить ошибку.

Рисунок 2.12 – Сводка информации о создаваемом домене

После этого начинается работа по созданию базы данных AD и наполнению ее нужными записями (рисунок 2.13)

Рисунок 2.13 – Настройка AD

Последний шаг — нажать кнопку «Готово» и перезагрузить сервер (рисунок 2.14).

Рисунок 2.14 – Завершение создания контроллера домена

При перезагрузке понадобится нажать комбинацию клавиш Ctrl+Alt+Del. Так как работа проводится в виртуальной среде, то следует выбрать команду Машина/ Послать Ctrl+Alt+Del.

Локальные учетные записи

Каждый компьютер с операционными системами Windows NT/2000/XP/2003 (если это не сервер, являющийся контроллером домена) имеет локальную базу данных учетных записей, называемую базой данных SAM. Эти БД обсуждались при описании модели безопасности «Рабочая группа». Локальные пользователи и особенно группы используются при назначении прав доступа к ресурсам конкретного компьютера даже в доменной модели безопасности.

Рисунок 4.1 – Создание учетной записи пользователя

5. Вводим пароль пользователя (два раза, для подтверждения).

6. Укажем начальные требования к паролю (рисунок 4.2):

· Требовать смену пароля при следующем входе в систему (полезно в случае, когда администратор назначает пользователю начальный пароль, а затем пользователь сам выбирает пароль, известный только ему);

· Запретить смену пароля пользователем (полезно и даже необходимо для учетных записей различных системных служб);

· Срок действия пароля не ограничен (тоже используется для паролей учетных записей служб, чтобы политики домена не повлияли на функционирование этих служб, данный параметр имеет более высокий приоритет по сравнению с политиками безопасности);

· Отключить учетную запись.

Нажмем кнопку Далее

Рисунок 4.2 – Начальные требования к паролю

7. Получаем итоговую сводку для создаваемого объекта и нажимаем кнопку «Готово».

ÿ Создайте новую глобальную учетную запись.

ÿ Введите атрибуты для созданной учетной записи (номер телефона, адрес электронной почты и т.д.

Управление группами

Учетные записи групп, как и учетные записи пользователей, могут быть созданы либо в локальной базе SAM компьютера (сервера или рабочей станции), либо в доменной базе данных Active Directory.

Локальные группы простого сервера-члена домена или рабочей станции могут включать в себя и локальные учетные записи данного компьютера, и глобальные учетные записи любого пользователя или компьютера всего леса, а также доменные локальные группы «своего» домена и глобальные и универсальные группы всего леса.

Рассмотрим подробнее, какие группы могут создаваться в Active Directory.

В Active Directory группы различаются по типу (группы безопасности и группы распространения) и по области действия (локальные в домене, глобальные и универсальные).

· Группы безопасности — каждая группа данного типа, так же как и каждая учетная запись пользователя, имеет идентификатор безопасности (Security Identifier, или SID), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.

· Группы распространения — группы этого типа не имеют идентификатора безопасности, поэтому не могут использоваться для назначения прав доступа, их главное назначение — организация списков рассылки для почтовых программ (например, для Microsoft Exchange Server).

Область действия групп:

· Локальные в домене могут содержать — глобальные группы из любого домена, универсальные группы, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа только к ресурсам «своего» домена;

· Глобальные могут содержать — только глобальные учетные записи пользователей «своего» домена, используются — при назначении прав доступа к ресурсам любого домена в лесу;

· Универсальные могут содержать — другие универсальные группы всего леса, глобальные группы всего леса, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа к ресурсам любого домена в лесу.

В смешанном режиме домена универсальные группы недоступны для использования. В основном режиме или режиме Windows 2003 можно создавать и использовать универсальные группы. Кроме того, в основном режиме и режиме Windows 2003 глобальные группы могут включаться в другие глобальные группы, а доменные локальные группы могут включаться в другие доменные локальные.

Специфика универсальных групп заключается в том, что эти группы хранятся в Глобальном каталоге. Поэтому, если пользователь является членом универсальной группы, то при регистрации в домене ему обязательно должен быть доступен контроллер домена, являющийся сервером глобального каталога, в противном случае пользователь не сможет войти в сеть. Репликация между простыми контроллерами домена и серверами глобального каталога происходит достаточно медленно, поэтому любое изменение в составе универсальной группы требует больше времени для репликации, чем при изменении состава групп с другими областями действия.

Создание резервной копии АD

Создадим резервную копию AD. Запустим на существующем контроллере домена утилиту ntbackup, выберем архивацию файлов и параметров, выберем для архивации папку, например «Мои документы» укажем путь для создания файла с резервной копией и нажмем кнопку «Архивировать» (рисунок 5.1).

Рисунок 5.1 – Программа архивации

На следующем шаге — нажать кнопку «Дополнительно» (рисунок 5.2).

Рисунок 5.2 – Задание параметров архивации

В открывшейся панели — убрать галочку у поля «Автоматически архивировать защищенные системные файлы вместе с состоянием системы» (рисунок 5.3).

Рисунок 5.3 – Дополнительные параметры архивации

После создания резервной копии AD файл с резервной копией желательно скопировать на жесткий диск того сервера, который будет преобразовываться в контроллер домена. Затем надо разархивировать резервную копию утилитой ntbackup. При этом обязательно надо указать, что восстанавливать данные надо в альтернативное размещение и указать папку для размещения восстановленных данных (рисунок 5.4)

Рисунок 5.4 – Восстановление архива

ÿ Создайте архив папки «Мои документы» и затем выполните восстановление из архива.

Рисунок 6.1 – Включение сервера в члены домена

После перезагрузки входим в систему с учетной записью администратора домена и запускаем мастер установки Active Directory — команда dcpromo. Выбираем вариант «Добавочный контроллер в существующем домене» (рисунок 6.2)

Рисунок 6.2 – Создание добавочного контроллера домена

Указываем учетные данные администратора домена (рисунок 6.3)

Рисунок 6.3 – Ввод учетных данных администратора

Снова указываем имя домена — world.ru. Начинается процесс импорта БД Active Directory на создаваемый контроллер (рисунок 6.4)

Рисунок 6.4 – Настройка AD

По окончании процесса — снова нажать кнопку «Готово» и перезагрузить сервер.

При добавлении дополнительного контроллера в домене существовавшая на сервере локальная база SAM с сервера удаляется.

Содержание:

1. Создание учетных записей и рабочих групп в среде ОС Windows 7 и СОС Windows Server 2003. 3

2. Создание контроллера домена. 3

3. Проверка созданных ранее учетных записей. 11

4. Создание учетных записей и рабочих групп в с использованием службы каталогов Active Directory в среде Windows Server 2003. 11

5. Создание резервной копии АD. 24

6. Установка дополнительного контроллера в уже созданном домене.. 26

Управление пользователями и рабочими группами в Windows 7 и Windows Server 2003.