Использование оснастки Локальные пользователи и группы Консоли управление компьютером

Теперь, после того, как мы научились работать с оснастками Event Viewer (Просмотр событий) и Shared Folders (Общие папки) консоли Computer Management Console (Управление компьютером) системы Windows Server 2003, я расскажу о служебном модуле Local Users and Groups (Локальные пользователи и группы). Эта оснастка есть во всех операционных системах: Windows 2000, Windows XP, Windows Server 2003 и Windows Vista.

Модуль Local Users and Groups позволяет выполнять следующие действия над объектами User (Пользователь) и Group (Группа) локальной системы Windows Server 2003:

View (Просмотр): Отображает список созданных учётных записей пользователей (объектов папки Users) и групп (объектов папки Groups).
Add (Добавить): Добавляет новые учётные записи пользователей и групп на локальную систему.
Edit (Редактировать): Изменяет параметры групповых и пользовательских учётных записей.
Delete (Удалить): Уничтожает учётные записи пользователей и групп.

Примечание: в системе Windows Server 2003 имеется возможность добавления пользователей и глобальных групп из локального домена в локальные группы. Эта рекомендованная Microsoft практика поможет в управлении вашей средой.

Чтобы просмотреть списки созданных групп локальной системы посредством Computer Management Console:

1. Раскройте вкладку Local Users And Groups.
2. Выберите объект Groups в левой части панели. Список групп появится в правой части окна консоли управления.
3. Для того, чтобы просмотреть список пользователей локальной системы, щёлкните на объекте Users в левой части окна управления.

Чтобы создать новую пользовательскую учётную запись:

1. Выберите объект Users (Пользователи).
2. Щёлкните правой кнопкой мыши на правой части окна, где отображён список пользователей, и выберите пункт New User (Новый пользователь).
3. В открывшемся диалоговом окне введите имя пользователя (Name), название учётной записи (Username) и нажмите Next (Вперёд).
4. Задайте и подтвердите пароль для новой пользовательской учётной записи.
5. На экране для создания пароля также нужно настроить следующие опции:

• User Must Change Password At Next Logon (Потребовать смену пароля при следующем входе в систему): Как только пользователь войдёт в систему с заданным администратором паролем, ему придётся создать новый пароль для своей учётной записи.
• User Cannot Change Password (Запретить смену пароля пользователем): Пользователь не сможет изменить созданный администратором пароль.
• Password Never Expires (Срок действия пароля неограничен): паролем, заданным для данной учётной записи, можно будет пользоваться сколь угодно долго.
• Account Is Disabled (Отключить учётную запись): Эту учётную запись нельзя будет использовать для входа в систему.

Примечание: Если вы включите опцию User Must Change Password At Next Logon (Потребовать смену пароля при следующем входе в систему), опции User Cannot Change Password (Запретить смену пароля пользователем) и Password Never Expires (Срок действия пароля неограничен) станут недоступными до следующего входа пользователя в систему.

6. По завершению настроек нажмите кнопку Create (Создать). Новая учётная запись пользователя будет добавлена в список

Создание локальных групп

Наиболее удобный способ создания групповой учётной записи в консоли Computer Management Console (Управление компьютером) — выбрать объект Groups (Группы) в левой панели, щёлкнуть правой кнопкой в правой части окна, где находится список имеющихся групп, и выбрать пункт New Group (Создать группу). В открывшемся диалоговом окне нужно будет ввести название новой группы и её описание. После этого нажмите на кнопку Add в нижней части диалогового окна, чтобы выбрать будущих членов новой группы. По завершению нажмите OK для подтверждения выбора, а затем на кнопку Create (Создать) в диалоговом окне New Group (Новая группа).

Редактирование и удаление групповых и пользовательских учётных записей

Для изменения параметров учётной записи пользователя или группы:

1. Щёлкните на объекте Users (Пользователи) или Groups (Группы) в левой части окна консоли управления компьютером.
2. Щёлкните правой кнопкой на нужном объекте.
3. Выберите пункт Properties (Свойства) из контекстного меню.
4. Произведите необходимые настройки и нажмите OK.

Чтобы изменить учётную запись пользователя или группы можно также дважды щёлкнуть мышью на требуемом объекте из списка.

Для удаления учётной записи:

1. Щёлкните на объекте Users (Пользователи) или Groups (Группы) в левой части окна консоли управления компьютером.
2. Щёлкните правой кнопкой на объекте, который необходимо удалить.
3. Выберите Delete (Удалить) из контекстного меню. Система спросит, действительно ли вы хотите удалить этого пользователя (группу), нажмите Yes (Да).

Примечание: Войдя в консоль Управление компьютером (Computer Management Console), администратор не сможет подключиться к удалённой системе для просмотра её ресурсов. Удалённые системы должны работать на платформе Windows 2000 (или более поздних версиях).

Users group windows 2003

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Answered by:

Question

Hello all im new to Windows 2003 and I have some basic questions on Windows 2003.

Im going to start off by saying that im just trying to help my parents out with a small business and im fluent in building computers, networking, XP, and i have basic concepts down with registry, Group Policy, users

Setup:
1) Windows 2003 SP2 Server acting as the DNS Server, Domain Controller with Active Directory
2) 20 Windows XP SP3 Computers

Currently I joined the XP clients to the Domain using «Administrator» and «password» and i never gave anyone a unique username or password they simply log onto their XP clients using «Administrator» and «password» i know this is poor practice so i want to change it

Goal:
1) Everyone logs onto the Domain with thier XP Client using a unique username and password
— Create Multiple Users
— Create Group

2) Setting up a Group Policy for the employees that will limit their Internet browsing

I have an idea on how to do both i just have some very specific questions i want to ask before i do it

Question :
1) Start —> Administrative Tools —> Active Directory Users and Computers —> Select my Domain
I know how to add a USER but i don’t know where to place the newly created USER
— Should i place the USER in one of the many default folders that come with the domain such as Builtin, Computer, Domain Controller, ForeignSecurityPrincipals, Users
or
— Should i create a new Shared Folder or OU and put the USER inside of that?

2) Same question as #1 except when i make a GROUP where do i place it?

3) I would like to enable Content Advisor in the Group Policy
Right Click my Domain —> Properties —> Group Policy

I read it was bad to edit the default so i guess i need to create a new one
I know it reads Policy from the bottom up so i place the new Policy at the top

If i have not touched the Original Domain Policy is the default Domain Policy the same as a new one that i create?

User Configuration —> Windows Settings —> Internet Explorer Maintenance —> Security —> Security Zones and Content Ratings —> Import Settings

Управление группами и организационными единицами

Использование групп и организационных единиц (OU) — это логичный и простой способ управления вашим доменом и, в частности, безопасностью ваших сетевых ресурсов. Если вы переходите к Windows Server 2003 из Windows NT, то вам известно определение группы, но при работе с Windows Server 2003 вы увидите существенные отличия в использовании групп.

OU — это совершенно новое понятие для администраторов Windows NT, но OU — это достаточно простое для понимания и использования средство, и вы сможете оценить, насколько удобно использовать организационные единицы для управления вашими доменами.

В этой лекции описывается действие групп и организационных единиц, а также их использование для администрирования и защиты вашего предприятия.

Группы Windows Server 2003

Группа — это набор таких объектов, как пользователи, компьютеры, контакты и даже другие группы. В Windows Server 2003 существует иерархия типов групп, начиная с верхнего уровня, содержащего следующие два типа.

• Группы рассылки (Distribution), которые используются только для рассылки электронной почты.
• Группы безопасности (Security), которые используются для предоставления полномочий доступа к ресурсам (и могут также использоваться как списки рассылки электронной почты).

Группы безопасности для доменов можно классифицировать по типу и области действия, например, domain local (локальные в домене), global (глобальные) и universal (универсальные), и в данной лекции будут описаны эти отличия.

Локальные группы

При настройке компьютера Windows Server 2003 как рядового сервера (а не контроллера домена) автоматически создается целый ряд локальных групп. Если вы назначаете определенные роли для этого компьютера, то создаются дополнительные группы , чтобы пользователи могли выполнять задачи, связанные с этими ролями. Например, если вы делаете компьютер сервером DHCP, то создаются локальные группы для администрирования и использования служб DHCP.

Кроме этой вставки, я не буду тратить время на описание групп рассылки в этой лекции (и в этом курсе). Группа рассылки используется исключительно для рассылки электронной почты, и только такими приложениями электронной почты, как Microsoft Exchange Server. Группа рассылки не имеет никакого отношения к безопасности, и на нее не может быть никаких ссылок в дискреционных списках управления доступом ( DACL ), когда вы задаете полномочия по ресурсам.

Вы можете включать членов в используемые по умолчанию группы безопасности. Вы можете также создавать новые локальные группы для данного компьютера, если хотите предоставить определенной группе пользователей определенные права на выполнение задач, которые не охватываются группой по умолчанию.

Помните, что локальные группы используются, чтобы предоставлять их членам права на выполнение действий на локальном компьютере. В большинстве случаев ваш компьютер Windows Server 2003 исполняет определенную роль в домене, и обычно на таком компьютере не задают сложный набор пользователей и групп для работы с данным компьютером.

Помните также, что группы предназначены для того, чтобы ограничивать действия пользователей на сервере, а не предоставлять право на выполнение операций. Большинство локальных групп не содержит членов, но это не означает, что никто не сможет выполнять задачи, разрешаемые членством в этих группах, а просто значит, что нет пользователей, права которых ограничены этой группой. Члены групп с более широкими правами (например, Administrators) уже имеют право на выполнение таких задач.

Локальные группы по умолчанию

Вы можете видеть группы по умолчанию в папке Groups в оснастке MMC Local Users and Groups (Локальные пользователи и группы), см. рис. 11.1. Чтобы открыть эту оснастку, щелкните правой кнопкой на My Computer (Мой компьютер) и выберите в контекстном меню пункт Manage (Управление). Затем раскройте в дереве консоли объект Local Users and Groups и выберите объект Groups.

Следующие локальные группы имеются на рядовом сервере, работающем под управлением Windows Server 2003.

• Administrators (Администраторы). Члены этой группы имеют неограниченные права управления данным компьютером локально или удаленным образом. По умолчанию локальная учетная запись Administrator и любой член группы Domain Admins (Администраторы домена) являются членами этой группы.
• Backup Operators (Операторы резервного копирования).Члены этой группы могут выполнять вход на данный компьютер локально или удаленным образом, выполнять резервное копирование и восстановление файлов и папок на этом компьютере, а также завершать работу этого компьютера. Отметим, что члены этой группы могут выполнять резервное копирование и восстановление файлов и папок, для которых они не имеют обычных полномочий доступа, но члены группы backup/restore имеют приоритет по сравнению с этими правами. По умолчанию эта группа не содержит членов.
• Guests (Гости).Только учетная запись Guest является членом этой группы, но учетная запись Guest отключена по умолчанию в Windows Server 2003. Члены этой группы не имеют никаких прав или полномочий по умолчанию. Если активизировать учетную запись Guest и какой-либо гость выполняет вход на данный компьютер, то при входе создается временный профиль, который удаляется при выходе.
• HelpServicesGroup (Группа для служб поддержки).Эта группа используется, чтобы задавать полномочия для приложений поддержки, и единственным членом является учетная запись, связанная с установленными приложениями поддержки, такими как Remote Assistance. Не включайте пользователей в эту группу.
• Network Configuration Operators (Операторы сетевой конфигурации).Члены группы могут вносить изменения в настройки сети (TCP/IP), а также обновлять и освобождать адреса TCP/IP, если данный компьютер является сервером DHCP. По умолчанию эта группа не содержит членов.
• Performance Monitor Users (Пользователи монитора производительности).Члены этой группы могут отслеживать (просматривать) счетчики производительности на этом сервере локально или удаленным образом. По умолчанию эта группа не содержит членов.
• Performance Log Users (Пользователи журнала производительности).Члены этой группы могут управлять счетчиками, журналами и оповещениями производительности на данном сервере локально или удаленным образом. По умолчанию единственным членом этой группы является NT Authority\Network Service (интерактивный системный пользователь , но не реальный пользователь).
• Power Users (Привилегированные пользователи).Члены этой группы могут создавать и модифицировать пользовательские учетные записи. Они могут также создавать новые локальные группы и включать членов в эти группы. Они могут добавлять и удалять пользователей в группах Power Users , Users и Guests. По умолчанию эта группа не содержит членов.
• Print Operators (Операторы печати).Члены этой группы могут управлять принтерами и очередями печати. По умолчанию эта группа не содержит членов.
• Remote Desktop Users (Пользователи удаленного рабочего стола).Членам этой группы разрешается выполнять вход на данный сервер удаленным образом. О возможностях удаленного рабочего стола и добавлении пользователей в эту группу см. в лекции 3 курса «Администрирование Microsoft Windows Server 2003».

• Replicator (Репликатор).Группа Replicator поддерживает функции репликации. Единственным членом этой группы является доменная пользовательская учетная запись, которая требуется для служб Replicator на контроллере домена. Не включайте в эту группу учетные записи реальных пользователей.
• Users (Пользователи).Члены этой группы могут выполнять базовые задачи, такие как запуск приложений и использование принтеров. Они не могут создавать разделяемые ресурсы или принтеры (но могут подсоединяться к сетевым принтерам для их локальной установки). Любая пользовательская учетная запись, созданная в домене, является членом этой группы.
• TelnetClients (Клиенты Telnet).Члены этой группы могут использовать службу Telnet Server на данном компьютере (если она запущена). По умолчанию служба Telnet Server отключена.

Добавление членов в локальные группы

Вы можете добавлять объекты в любую группу. Этими объектами могут быть локальные пользователи, доменные пользователи или даже другие локальные или доменные группы. Для добавления членов в группу выполните следующие шаги.

1. Щелкните правой кнопкой на My Computer и выберите пункт Manage, чтобы открыть локальную оснастку Computer Management (Управление компьютером).
2. Раскройте в дереве консоли объект Local Users and Groups.
3. Выберите объект Groups, чтобы представить локальные группы в правой панели.
4. Дважды щелкните на записи группы, в которую вы хотите добавить членов, после чего появится диалоговое окно Properties этой группы.

При непосредственном вводе имен щелкните на кнопке Check Names (Проверка имен), чтобы убедиться в правильности их ввода. Вы можете вводить имена входа пользователей, и система преобразует их в полностью уточненные доменные имена ( FQDN ).

По окончании добавления членов щелкните на кнопке OK. Появится список членов группы в ее собственном диалоговом окне Properties (см. рис. 11.2).

Создание локальных групп

Если вы используете свой компьютер Windows Server 2003 для какой-то специальной функции или приложения, то вам может потребоваться активизация специальных полномочий для выполнения соответствующих задач. Обычно имеет смысл создать группу для этих задач и включить в нее соответствующих членов. Для большинства ролей, которые вы можете назначить компьютеру, система автоматически создает группу для администрирования соответствующей роли. Например, если вы делаете компьютер сервером DHCP, то на компьютере добавляются соответствующие группы.

Чтобы создать новую группу, откройте оснастку Computer Management, используя шаги, описанные в предыдущем разделе. Щелкните правой кнопкой на контейнере Groups и выберите в контекстном меню пункт New Group. В диалоговом окне New Group введите имя и описание и затем щелкните на кнопке Add, чтобы включить членов в эту группу.

Щелкните на кнопке Create (Создать), чтобы добавить эту группу на данном компьютере. Появится новое пустое диалоговое окно New Group, чтобы вы могли создать еще одну группу. Закончив создание локальных групп, щелкните на кнопке Close (Закрыть).