Как управлять пользователями в Windows Server 2003

Содержание

Как добавить пользователей

ВНИМАНИЕ! Все действия происходят на самом сервере под управлением операционной системы Windows Server 2003. Также все можно производить на сервере при помощи терминальной службы управления сервером.

Для создания пользователя в системе необходимо нажать правой кнопкой мыши на значок «Мой компьютер» и выбрать пункт «Управление».

В появившимся окне, с левой стороны выбрать:

Управление компьютером » Локальные пользователи » Пользователи

Теперь в правом окне, нажимаем правой кнопкой мыши на пустом месте в списке пользователей и выбрать пункт «Новый пользователь…»

Подтверждения пароля

В появившемся диалоговом окне указать Пользователя и пароль (подтверждение пароля).

Очень настоятельно рекомендую иметь привычку вписывать полные данные о пользователе в разделе Описание. В случае большого количества пользователей (даже более 10), это существенно поможет Вам и другим администраторам (пользователям) ориентироваться в списке пользователей.

Обязательно убрать галочку с пункта «Требовать смену пароля и установить галочки». Не выставив эту галочку, это приведет к тому, что пользователю каждый раз придется менять свой пароль. Что приводит к очень частому забыванию паролей.

Установить галочки в пунктах: «Запретить смену пароля пользователем». Это требуется, чтобы особо «умные пользователи» случайно не напакостили Вам.

Установить галочки в пунктах: «Срок действия пароля не ограничен» — Иначе это приведет к тому, что каждые 10 дней вам придется всем таким пользователям изменять пароль на новый.

Дополнительная информация по теме

Подробная и детальная инструкция по управлению пользователями в программном комплексе SD 3000 Client

Оказывается, получить ID пользователя совсем не сложно, а это значит, что наши данные открыты для всех

Статья для тех, кто хочет научиться раздавать права доступа на сетевые папки в системе на платформе Windows Server 2003

Инструкция с примерами, каким образом необходимо правильно использовать переменные в PHP

Как раздавать права доступа на сетевые папки в системе Windows Server 2003

Содержание

Введение

Внимание! Все действия происходят на самом сервере под управлением операционной системы Windows Server 2003. Также все можно производить на сервере при помощи терминальной службы управления сервером.

Все ниже перечисленное будет работать только на файловой системе NTFS. Если у вас до сих пор стоит FAT32 (16), то переведите вашу файловую систему в NTFS. Это можно сделать легко стандартными средствами. В командной строке наберите просто convert [диск] /fs:NTFS. Например: convert c: /fs:NTFS.

• Обратно конвертировать в систему FAT нельзя.
• Ори конвертации системного диска будут предупреждения о потере дескрипторов, соглашайтесь. Это не приводит к потерям к данным.
• Перегрузитесь.

Открываем доступ

Для открытия доступа на использование папки, как сетевой для пользователя требуется сделать следующие действия:

Запустить Проводник [explorer.exe]

Нажать правой кнопкой мыши на нужной папке, выбрать «Свойства»

В появившемся окне переместить галочку на пункт «Открыть общий доступ к этой папке».

Присвоить название общему ресурсу. Как правило берется значение по умолчанию название папки.

Оставляем по умолчанию «Предельное количество пользователей» на значение «Максимально возможное»

После вышеперечисленных действий нажимаем на кнопку «Разрешения»

Добавление пользователя

При нажатии на кнопку «Добавить» выбираем из списка нужного пользователя

После добавления выставляем ему соответствующие права Полный доступ, Изменение, Чтение. Права выставляются по усмотрению администратора, то есть Вас.

Чтобы выбрать нужного пользователя требуется сделать следующие действия:

После нажатия кнопки «Добавить» появится окно, где можно будет выбирать как группу, так и любого пользователя в отдельности

Ввести имя пользователя вручную (если вы конечно помните его наизусть), либо нажать кнопку «Дополнительно» и используя поиск выбрать из предлагаемого списка пользователей.

После того, как Вы прописали все что требуется в папке «Доступ» переходим в папочку «Безопасность» и радуемся «О боже» как много тут всяких прав.

Дополнительные права

Выбираем нужного пользователя и начинаем вершить правосудие: Это можно это нельзя.

При нажатии кнопки «Дополнительно» там появится еще более обширный список прав, что можно будет пользователю, а что нет.

Также в разделе «Дополнительных» прав, выбираем нужного пользователя:

Убираем галочку с пункта «Разрешит наследование…». — Если это не сделать, то все ваши действия будут напрасны, и все внутренние папки будут наследовать права от более высокого уровня. Как правило от диска (а там только чтение у всех).

Установить галочку «Заменить разрешения».

Нажимаем «Применить» и начнется процесс распределения прав по текущему пользователя. Этот процесс может затянуться на несколько минут, в зависимости от количества файлов. Размер файлов в данном случае значение не имеет.

Дополнительная информация по теме

Статья для тех, кто хочет научиться управлять пользователями на платформе Windows Server 2003

В чем особенности и преимущества новой системы Windows Server 2012, различные дополнения и модификации способные облегчить работу

В статье рассказывается о последствиях просрочки выплат по кредитному договору и как этого избежать

О систематизации процесса обмена ссылками с сайтами-партнерами и используемых для этого ресурсах

Управление пользователями и рабочими группами в Windows 7 и Windows Server 2003.

Управление пользователями и рабочими группами в Windows 7 и Windows Server 2003.

Создание контроллера домена.

Использование службы каталогов Active Directory в среде Windows Server 2003

Создание учетных записей и рабочих групп в среде ОС Windows 7 и СОС Windows Server 2003

· Создайте 2 рабочие группы с именами «Студенты» и «Новички»

· Создайте 2 учетные записи с произвольными именами (можно использовать ФИО)

· Сделайте пользователей членами созданных рабочих групп.

1.1 Создание учетной записи в Windows 7:

Пуск/ Управление компьютером/ Локальные пользователи и группы/ Пользователи/ контекстное меню /выбрать «Новый пользователь»

1.2 Создание учетной записи в Windows Server 2003:

Пуск/ Администрирование/ Управление компьютером/ Локальные пользователи и группы/ Пользователи/ контекстное меню /выбрать «Новый пользователь»

Создание контроллера домена

Контроллер домена — специальный сервер, который хранит соответствующую данному домену часть базы данных Active Directory.

Проведем установку первого контроллера первого домена первого леса в структуре AD.

Установка начинается с запуска из командной строки мастера установки Active Directory — dcpromo или по команде Пуск/ Управление данным сервером

На экране появляется стартовая страница мастера (рисунок 2.1)

Далее идет предупреждение о том, что операционные системы Windows 95, Windows NT 4.0 SP3 и более ранние не смогут функционировать в доменах Windows 2003 (рисунок 2.2).

Рисунок 2.1 – Стартовая страница мастера установки службы каталогов

Рисунок 2.2 – Предупреждение о несовместимости ОС

Затем выбираем вариант установки контроллера домена в новом домене (рисунок 2.3) и вариант создания нового домена в новом лесу (рисунок 2.4)

Рисунок 2.3 – Выбор роли сервера

Рисунок 2.4 – Выбор типа домена

Следующий шаг — выбор имени домена (для Active Directory это будет корневой домен). Выберем имя Stud.by (рисунок 2.5)

Рисунок 2.5 – Выбор имени домена

Зададим NetBIOS-имя домена (по умолчанию, будет предложена левая часть полного имени домена, выбранного на предыдущем шаге). В нашем примере — STUD (рисунок 2.6)

Рисунок 2.6 – Выбор NetBIOS-имени домена

Далее мастер предложит выбрать место на жестких дисках для размещения базы данных Active Directory, журнала транзакций этой БД (рисунок 2.7) и папки системного тома SYSVOL (рисунок 2.8). Системный том обязательно должен быть размещен в разделе с файловой системой NTFS.

Рисунок 2.7 – Выбор места для хранения базы данных AD

Рисунок 2.8 – Выбор места хранения папки системного тома

После этого мастер установки на основе параметров сетевой конфигурации сервера ищет в сети DNS-сервер, на котором имеется зона с указанным именем домена, причем в данной зоне должны быть разрешены динамические обновления. Если такой сервер DNS в сети не найден, то мастер предложит установить службу DNS на данном сервере и создать соответствующую зону (рисунок 2.9).

Рисунок 2.9 – Диагностика регистрации DNS

Далее предлагается выбрать уровень разрешений создаваемого домена (рисунок 2.10). Если мы выберем наиболее высокий уровень, то в таком домене не смогут существовать компьютеры с операционными системами, более ранними, чем Windows 2000.

Рисунок 2.10 – Выбор уровня разрешений для создаваемого домена

Затем задаем пароль администратора при запуске системы в режиме восстановления служб каталогов (рисунок 2.11). Данный режим используется для восстановления БД Active Directory из резервной копии.

Рисунок 2.11 – Ввод пароля администратора для режима восстановления

Затем следует экран со сводкой информации о создаваемом домене и параметрах контроллера домена (рисунок 2.12). На этом шаге в случае обнаруженной ошибки в конфигурации можно вернуться назад и исправить ошибку.

Рисунок 2.12 – Сводка информации о создаваемом домене

После этого начинается работа по созданию базы данных AD и наполнению ее нужными записями (рисунок 2.13)

Рисунок 2.13 – Настройка AD

Последний шаг — нажать кнопку «Готово» и перезагрузить сервер (рисунок 2.14).

Рисунок 2.14 – Завершение создания контроллера домена

При перезагрузке понадобится нажать комбинацию клавиш Ctrl+Alt+Del. Так как работа проводится в виртуальной среде, то следует выбрать команду Машина/ Послать Ctrl+Alt+Del.

Локальные учетные записи

Каждый компьютер с операционными системами Windows NT/2000/XP/2003 (если это не сервер, являющийся контроллером домена) имеет локальную базу данных учетных записей, называемую базой данных SAM. Эти БД обсуждались при описании модели безопасности «Рабочая группа». Локальные пользователи и особенно группы используются при назначении прав доступа к ресурсам конкретного компьютера даже в доменной модели безопасности.

Рисунок 4.1 – Создание учетной записи пользователя

5. Вводим пароль пользователя (два раза, для подтверждения).

6. Укажем начальные требования к паролю (рисунок 4.2):

· Требовать смену пароля при следующем входе в систему (полезно в случае, когда администратор назначает пользователю начальный пароль, а затем пользователь сам выбирает пароль, известный только ему);

· Запретить смену пароля пользователем (полезно и даже необходимо для учетных записей различных системных служб);

· Срок действия пароля не ограничен (тоже используется для паролей учетных записей служб, чтобы политики домена не повлияли на функционирование этих служб, данный параметр имеет более высокий приоритет по сравнению с политиками безопасности);

· Отключить учетную запись.

Нажмем кнопку Далее

Рисунок 4.2 – Начальные требования к паролю

7. Получаем итоговую сводку для создаваемого объекта и нажимаем кнопку «Готово».

ÿ Создайте новую глобальную учетную запись.

ÿ Введите атрибуты для созданной учетной записи (номер телефона, адрес электронной почты и т.д.

Управление группами

Учетные записи групп, как и учетные записи пользователей, могут быть созданы либо в локальной базе SAM компьютера (сервера или рабочей станции), либо в доменной базе данных Active Directory.

Локальные группы простого сервера-члена домена или рабочей станции могут включать в себя и локальные учетные записи данного компьютера, и глобальные учетные записи любого пользователя или компьютера всего леса, а также доменные локальные группы «своего» домена и глобальные и универсальные группы всего леса.

Рассмотрим подробнее, какие группы могут создаваться в Active Directory.

В Active Directory группы различаются по типу (группы безопасности и группы распространения) и по области действия (локальные в домене, глобальные и универсальные).

· Группы безопасности — каждая группа данного типа, так же как и каждая учетная запись пользователя, имеет идентификатор безопасности (Security Identifier, или SID), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.

· Группы распространения — группы этого типа не имеют идентификатора безопасности, поэтому не могут использоваться для назначения прав доступа, их главное назначение — организация списков рассылки для почтовых программ (например, для Microsoft Exchange Server).

Область действия групп:

· Локальные в домене могут содержать — глобальные группы из любого домена, универсальные группы, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа только к ресурсам «своего» домена;

· Глобальные могут содержать — только глобальные учетные записи пользователей «своего» домена, используются — при назначении прав доступа к ресурсам любого домена в лесу;

· Универсальные могут содержать — другие универсальные группы всего леса, глобальные группы всего леса, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа к ресурсам любого домена в лесу.

В смешанном режиме домена универсальные группы недоступны для использования. В основном режиме или режиме Windows 2003 можно создавать и использовать универсальные группы. Кроме того, в основном режиме и режиме Windows 2003 глобальные группы могут включаться в другие глобальные группы, а доменные локальные группы могут включаться в другие доменные локальные.

Специфика универсальных групп заключается в том, что эти группы хранятся в Глобальном каталоге. Поэтому, если пользователь является членом универсальной группы, то при регистрации в домене ему обязательно должен быть доступен контроллер домена, являющийся сервером глобального каталога, в противном случае пользователь не сможет войти в сеть. Репликация между простыми контроллерами домена и серверами глобального каталога происходит достаточно медленно, поэтому любое изменение в составе универсальной группы требует больше времени для репликации, чем при изменении состава групп с другими областями действия.

Создание резервной копии АD

Создадим резервную копию AD. Запустим на существующем контроллере домена утилиту ntbackup, выберем архивацию файлов и параметров, выберем для архивации папку, например «Мои документы» укажем путь для создания файла с резервной копией и нажмем кнопку «Архивировать» (рисунок 5.1).

Рисунок 5.1 – Программа архивации

На следующем шаге — нажать кнопку «Дополнительно» (рисунок 5.2).

Рисунок 5.2 – Задание параметров архивации

В открывшейся панели — убрать галочку у поля «Автоматически архивировать защищенные системные файлы вместе с состоянием системы» (рисунок 5.3).

Рисунок 5.3 – Дополнительные параметры архивации

После создания резервной копии AD файл с резервной копией желательно скопировать на жесткий диск того сервера, который будет преобразовываться в контроллер домена. Затем надо разархивировать резервную копию утилитой ntbackup. При этом обязательно надо указать, что восстанавливать данные надо в альтернативное размещение и указать папку для размещения восстановленных данных (рисунок 5.4)

Рисунок 5.4 – Восстановление архива

ÿ Создайте архив папки «Мои документы» и затем выполните восстановление из архива.

Рисунок 6.1 – Включение сервера в члены домена

После перезагрузки входим в систему с учетной записью администратора домена и запускаем мастер установки Active Directory — команда dcpromo. Выбираем вариант «Добавочный контроллер в существующем домене» (рисунок 6.2)

Рисунок 6.2 – Создание добавочного контроллера домена

Указываем учетные данные администратора домена (рисунок 6.3)

Рисунок 6.3 – Ввод учетных данных администратора

Снова указываем имя домена — world.ru. Начинается процесс импорта БД Active Directory на создаваемый контроллер (рисунок 6.4)

Рисунок 6.4 – Настройка AD

По окончании процесса — снова нажать кнопку «Готово» и перезагрузить сервер.

При добавлении дополнительного контроллера в домене существовавшая на сервере локальная база SAM с сервера удаляется.

Содержание:

1. Создание учетных записей и рабочих групп в среде ОС Windows 7 и СОС Windows Server 2003. 3

2. Создание контроллера домена. 3

3. Проверка созданных ранее учетных записей. 11

4. Создание учетных записей и рабочих групп в с использованием службы каталогов Active Directory в среде Windows Server 2003. 11

5. Создание резервной копии АD. 24

6. Установка дополнительного контроллера в уже созданном домене.. 26

Управление пользователями и рабочими группами в Windows 7 и Windows Server 2003.