Как управлять пользователями в Windows Server 2003

Содержание

Как добавить пользователей

ВНИМАНИЕ! Все действия происходят на самом сервере под управлением операционной системы Windows Server 2003. Также все можно производить на сервере при помощи терминальной службы управления сервером.

Для создания пользователя в системе необходимо нажать правой кнопкой мыши на значок «Мой компьютер» и выбрать пункт «Управление».

В появившимся окне, с левой стороны выбрать:

Управление компьютером » Локальные пользователи » Пользователи

Теперь в правом окне, нажимаем правой кнопкой мыши на пустом месте в списке пользователей и выбрать пункт «Новый пользователь…»

Подтверждения пароля

В появившемся диалоговом окне указать Пользователя и пароль (подтверждение пароля).

Очень настоятельно рекомендую иметь привычку вписывать полные данные о пользователе в разделе Описание. В случае большого количества пользователей (даже более 10), это существенно поможет Вам и другим администраторам (пользователям) ориентироваться в списке пользователей.

Обязательно убрать галочку с пункта «Требовать смену пароля и установить галочки». Не выставив эту галочку, это приведет к тому, что пользователю каждый раз придется менять свой пароль. Что приводит к очень частому забыванию паролей.

Установить галочки в пунктах: «Запретить смену пароля пользователем». Это требуется, чтобы особо «умные пользователи» случайно не напакостили Вам.

Установить галочки в пунктах: «Срок действия пароля не ограничен» — Иначе это приведет к тому, что каждые 10 дней вам придется всем таким пользователям изменять пароль на новый.

Дополнительная информация по теме

Подробная и детальная инструкция по управлению пользователями в программном комплексе SD 3000 Client

Оказывается, получить ID пользователя совсем не сложно, а это значит, что наши данные открыты для всех

Статья для тех, кто хочет научиться раздавать права доступа на сетевые папки в системе на платформе Windows Server 2003

Инструкция с примерами, каким образом необходимо правильно использовать переменные в PHP

Cherry-Notes

Небольшой блог одного дизайнера

Добавление пользователей в сеть Windows Server 2003

В сети Windows существует два типа аккаунтов: локальные и регистрация в домене. Локальные аккаунты позволяет воспользоваться только ресурсами конкретного компьютера. Доменная же регистрация позволяет работать в сети с любого компьютера. Для администрирования сети, необходимо чтобы на каждом локальном компьютере также была запись для администратора системы.

Идентификация пользователей в сети

Для идентификации пользователей в сети, Windows использует несколько взаимозаменяемых способов. Каждый способ однозначно идентифицирует пользователя сети и может быть как относительным, так и абсолютным, включающим в себя имя домена.

Если пользователя зовут, скажем, John Brown и он зарегистрирован в домене «company.com», то к нему можно обратиться одним из следующих способов:

Способы идентификации пользователя

Тип имени	Пример использования	Комментарий
Login name	john	Относительный в рамках текущего домена
NetBIOS	company\john	Используется в версиях до Windows 2000
UPN (общий формат)	john@company.com	Используется как основной в Active Directory в версиях после Windows 2000
LDAP (absolute)	CN=John Brown, ou=sales, dc=company, dc=com	Для идентификации в каталогах, работающих по протоколу LDAP
LDAP (relative)	CN=John Brown	Для идентификации в каталогах, работающих по протоколу LDAP

Для логина пользователя, который непосредственно регистрируется в домене, действуют следующие правила:

• Логин должен быть уникальным в пределах своего домена
• Логин может содержать до 20 символов (можно и больше, но проверяться будут только первые 20 символов)
• Логин пользователя может содержать: латинские буквы, цифры и спецсмволы, за исключением следующих: » / [ ] : ; | = , + * ?
• Логин пользователя не чувствителен к регистру

Требования к паролям пользователей по умолчанию:

• Длина не менее 7 символов
• Пароль не может совпадать с логином полностью или частично
• Пароль должен удовлетворять как минимум трем из четырех правил:
  1. Включать в себя латинские символы в верхнем регистре (A-Z)
  2. Включать в себя латинские символы в нижнем регистре (a-z)
  3. Использовать цифры от 0 до 10
  4. Использовать спецсимволы (например: !, $, #, %)

Windows хранит для каждого зарегистрированного пользователя все пять вышеописанных имен и можно использовать любое из них для идентификации пользователя при администрировании сети.

Регистрация посредством MMC

Данный способ является основным при регистрации в домене и подразумевает использование оснастки «Active Directory Users and Computers» в консоли MMC.

Для добавления нового пользователя необходимо выбрать данную оснастку, затем нужную папку и вызвав контекстное меню выбрать в нем пункт «New->User». Откроется диалоговое окно, показанное выше, в котором и нужно будет заполнить все необходимые поля, включая домен и имя NetBIOS.

После заполнения общей информации о пользователя, необходимо будет дважды ввести его пароль. При этом обратите внимание на требованию к паролю, которые были перечислены выше.

Добавление пользователей из командной строки

Также можно добавлять новых пользователей, используя консольные команды dsadd user и net user. В первом случае мы добавляем новый объект в каталог Active Directory и команда добавления должна выглядеть следующим образом:

Т.е. при регистрации мы указываем все формы имени пользователя. Вторая команда более простая и позволяет завести пользователя, передав в командной строке его логин и пароль:

В этом случае, пользователь будет размещен по умолчанию в контейнере «Users» и создается только NetBIOS имя. Остальные параметры пользователя необходимо будет затем изменять, используя диалоговое окно MMC.

Управление пользователями и рабочими группами в Windows 7 и Windows Server 2003.

Управление пользователями и рабочими группами в Windows 7 и Windows Server 2003.

Создание контроллера домена.

Использование службы каталогов Active Directory в среде Windows Server 2003

Создание учетных записей и рабочих групп в среде ОС Windows 7 и СОС Windows Server 2003

· Создайте 2 рабочие группы с именами «Студенты» и «Новички»

· Создайте 2 учетные записи с произвольными именами (можно использовать ФИО)

· Сделайте пользователей членами созданных рабочих групп.

1.1 Создание учетной записи в Windows 7:

Пуск/ Управление компьютером/ Локальные пользователи и группы/ Пользователи/ контекстное меню /выбрать «Новый пользователь»

1.2 Создание учетной записи в Windows Server 2003:

Пуск/ Администрирование/ Управление компьютером/ Локальные пользователи и группы/ Пользователи/ контекстное меню /выбрать «Новый пользователь»

Создание контроллера домена

Контроллер домена — специальный сервер, который хранит соответствующую данному домену часть базы данных Active Directory.

Проведем установку первого контроллера первого домена первого леса в структуре AD.

Установка начинается с запуска из командной строки мастера установки Active Directory — dcpromo или по команде Пуск/ Управление данным сервером

На экране появляется стартовая страница мастера (рисунок 2.1)

Далее идет предупреждение о том, что операционные системы Windows 95, Windows NT 4.0 SP3 и более ранние не смогут функционировать в доменах Windows 2003 (рисунок 2.2).

Рисунок 2.1 – Стартовая страница мастера установки службы каталогов

Рисунок 2.2 – Предупреждение о несовместимости ОС

Затем выбираем вариант установки контроллера домена в новом домене (рисунок 2.3) и вариант создания нового домена в новом лесу (рисунок 2.4)

Рисунок 2.3 – Выбор роли сервера

Рисунок 2.4 – Выбор типа домена

Следующий шаг — выбор имени домена (для Active Directory это будет корневой домен). Выберем имя Stud.by (рисунок 2.5)

Рисунок 2.5 – Выбор имени домена

Зададим NetBIOS-имя домена (по умолчанию, будет предложена левая часть полного имени домена, выбранного на предыдущем шаге). В нашем примере — STUD (рисунок 2.6)

Рисунок 2.6 – Выбор NetBIOS-имени домена

Далее мастер предложит выбрать место на жестких дисках для размещения базы данных Active Directory, журнала транзакций этой БД (рисунок 2.7) и папки системного тома SYSVOL (рисунок 2.8). Системный том обязательно должен быть размещен в разделе с файловой системой NTFS.

Рисунок 2.7 – Выбор места для хранения базы данных AD

Рисунок 2.8 – Выбор места хранения папки системного тома

После этого мастер установки на основе параметров сетевой конфигурации сервера ищет в сети DNS-сервер, на котором имеется зона с указанным именем домена, причем в данной зоне должны быть разрешены динамические обновления. Если такой сервер DNS в сети не найден, то мастер предложит установить службу DNS на данном сервере и создать соответствующую зону (рисунок 2.9).

Рисунок 2.9 – Диагностика регистрации DNS

Далее предлагается выбрать уровень разрешений создаваемого домена (рисунок 2.10). Если мы выберем наиболее высокий уровень, то в таком домене не смогут существовать компьютеры с операционными системами, более ранними, чем Windows 2000.

Рисунок 2.10 – Выбор уровня разрешений для создаваемого домена

Затем задаем пароль администратора при запуске системы в режиме восстановления служб каталогов (рисунок 2.11). Данный режим используется для восстановления БД Active Directory из резервной копии.

Рисунок 2.11 – Ввод пароля администратора для режима восстановления

Затем следует экран со сводкой информации о создаваемом домене и параметрах контроллера домена (рисунок 2.12). На этом шаге в случае обнаруженной ошибки в конфигурации можно вернуться назад и исправить ошибку.

Рисунок 2.12 – Сводка информации о создаваемом домене

После этого начинается работа по созданию базы данных AD и наполнению ее нужными записями (рисунок 2.13)

Рисунок 2.13 – Настройка AD

Последний шаг — нажать кнопку «Готово» и перезагрузить сервер (рисунок 2.14).

Рисунок 2.14 – Завершение создания контроллера домена

При перезагрузке понадобится нажать комбинацию клавиш Ctrl+Alt+Del. Так как работа проводится в виртуальной среде, то следует выбрать команду Машина/ Послать Ctrl+Alt+Del.

Локальные учетные записи

Каждый компьютер с операционными системами Windows NT/2000/XP/2003 (если это не сервер, являющийся контроллером домена) имеет локальную базу данных учетных записей, называемую базой данных SAM. Эти БД обсуждались при описании модели безопасности «Рабочая группа». Локальные пользователи и особенно группы используются при назначении прав доступа к ресурсам конкретного компьютера даже в доменной модели безопасности.

Рисунок 4.1 – Создание учетной записи пользователя

5. Вводим пароль пользователя (два раза, для подтверждения).

6. Укажем начальные требования к паролю (рисунок 4.2):

· Требовать смену пароля при следующем входе в систему (полезно в случае, когда администратор назначает пользователю начальный пароль, а затем пользователь сам выбирает пароль, известный только ему);

· Запретить смену пароля пользователем (полезно и даже необходимо для учетных записей различных системных служб);

· Срок действия пароля не ограничен (тоже используется для паролей учетных записей служб, чтобы политики домена не повлияли на функционирование этих служб, данный параметр имеет более высокий приоритет по сравнению с политиками безопасности);

· Отключить учетную запись.

Нажмем кнопку Далее

Рисунок 4.2 – Начальные требования к паролю

7. Получаем итоговую сводку для создаваемого объекта и нажимаем кнопку «Готово».

ÿ Создайте новую глобальную учетную запись.

ÿ Введите атрибуты для созданной учетной записи (номер телефона, адрес электронной почты и т.д.

Управление группами

Учетные записи групп, как и учетные записи пользователей, могут быть созданы либо в локальной базе SAM компьютера (сервера или рабочей станции), либо в доменной базе данных Active Directory.

Локальные группы простого сервера-члена домена или рабочей станции могут включать в себя и локальные учетные записи данного компьютера, и глобальные учетные записи любого пользователя или компьютера всего леса, а также доменные локальные группы «своего» домена и глобальные и универсальные группы всего леса.

Рассмотрим подробнее, какие группы могут создаваться в Active Directory.

В Active Directory группы различаются по типу (группы безопасности и группы распространения) и по области действия (локальные в домене, глобальные и универсальные).

· Группы безопасности — каждая группа данного типа, так же как и каждая учетная запись пользователя, имеет идентификатор безопасности (Security Identifier, или SID), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.

· Группы распространения — группы этого типа не имеют идентификатора безопасности, поэтому не могут использоваться для назначения прав доступа, их главное назначение — организация списков рассылки для почтовых программ (например, для Microsoft Exchange Server).

Область действия групп:

· Локальные в домене могут содержать — глобальные группы из любого домена, универсальные группы, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа только к ресурсам «своего» домена;

· Глобальные могут содержать — только глобальные учетные записи пользователей «своего» домена, используются — при назначении прав доступа к ресурсам любого домена в лесу;

· Универсальные могут содержать — другие универсальные группы всего леса, глобальные группы всего леса, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа к ресурсам любого домена в лесу.

В смешанном режиме домена универсальные группы недоступны для использования. В основном режиме или режиме Windows 2003 можно создавать и использовать универсальные группы. Кроме того, в основном режиме и режиме Windows 2003 глобальные группы могут включаться в другие глобальные группы, а доменные локальные группы могут включаться в другие доменные локальные.

Специфика универсальных групп заключается в том, что эти группы хранятся в Глобальном каталоге. Поэтому, если пользователь является членом универсальной группы, то при регистрации в домене ему обязательно должен быть доступен контроллер домена, являющийся сервером глобального каталога, в противном случае пользователь не сможет войти в сеть. Репликация между простыми контроллерами домена и серверами глобального каталога происходит достаточно медленно, поэтому любое изменение в составе универсальной группы требует больше времени для репликации, чем при изменении состава групп с другими областями действия.

Создание резервной копии АD

Создадим резервную копию AD. Запустим на существующем контроллере домена утилиту ntbackup, выберем архивацию файлов и параметров, выберем для архивации папку, например «Мои документы» укажем путь для создания файла с резервной копией и нажмем кнопку «Архивировать» (рисунок 5.1).

Рисунок 5.1 – Программа архивации

На следующем шаге — нажать кнопку «Дополнительно» (рисунок 5.2).

Рисунок 5.2 – Задание параметров архивации

В открывшейся панели — убрать галочку у поля «Автоматически архивировать защищенные системные файлы вместе с состоянием системы» (рисунок 5.3).

Рисунок 5.3 – Дополнительные параметры архивации

После создания резервной копии AD файл с резервной копией желательно скопировать на жесткий диск того сервера, который будет преобразовываться в контроллер домена. Затем надо разархивировать резервную копию утилитой ntbackup. При этом обязательно надо указать, что восстанавливать данные надо в альтернативное размещение и указать папку для размещения восстановленных данных (рисунок 5.4)

Рисунок 5.4 – Восстановление архива

ÿ Создайте архив папки «Мои документы» и затем выполните восстановление из архива.

Рисунок 6.1 – Включение сервера в члены домена

После перезагрузки входим в систему с учетной записью администратора домена и запускаем мастер установки Active Directory — команда dcpromo. Выбираем вариант «Добавочный контроллер в существующем домене» (рисунок 6.2)

Рисунок 6.2 – Создание добавочного контроллера домена

Указываем учетные данные администратора домена (рисунок 6.3)

Рисунок 6.3 – Ввод учетных данных администратора

Снова указываем имя домена — world.ru. Начинается процесс импорта БД Active Directory на создаваемый контроллер (рисунок 6.4)

Рисунок 6.4 – Настройка AD

По окончании процесса — снова нажать кнопку «Готово» и перезагрузить сервер.

При добавлении дополнительного контроллера в домене существовавшая на сервере локальная база SAM с сервера удаляется.

Содержание:

1. Создание учетных записей и рабочих групп в среде ОС Windows 7 и СОС Windows Server 2003. 3

2. Создание контроллера домена. 3

3. Проверка созданных ранее учетных записей. 11

4. Создание учетных записей и рабочих групп в с использованием службы каталогов Active Directory в среде Windows Server 2003. 11

5. Создание резервной копии АD. 24

6. Установка дополнительного контроллера в уже созданном домене.. 26

Управление пользователями и рабочими группами в Windows 7 и Windows Server 2003.