Учетные записи пользователя домена

Локальная учетная запись пользователя дает пользователю возможность входить на локальный компьютер для доступа к локальным ресурсам. Однако в сетевой среде пользователям нужен доступ к ресурсам, расположенным в других местах сети. Для доступа к этим ресурсам необходима учетная запись пользователя домена. Когда создается учетная запись пользователя домена, она помещается в службу каталогов Active Directory и доступна с любого компьютера, принадлежащего к этому домену. В рабочей группе, наоборот, учетная запись пользователя существует только на локальном компьютере.

а) Учетные записи пользователя домена, определяемые пользователем

Учетные записи пользователя домена, определяемые пользователем - это учетные записи, которые администратор создает для того, чтобы пользователи могли входить в домен и получать доступ к ресурсам сети. Учетные записи пользователя домена, определяемые пользователем, создаются на контроллере домена. Этот контроллер домена реплицирует данные новой учетной записи пользователя на все контроллеры в домене. В процессе входа пользователь указывает имя пользователя и пароль, а также домен, в котором существует данная учетная запись. Первый доступный контроллер домена использует эти сведения для проверки подлинности учетной записи пользователя.

б) Встроенные учетные записи пользователя (домена)

Помимо возможности для администраторов определять новые учетные записи пользователя домена, операционная система Win2000 предлагает две встроенные учетные записи пользователя домена - Administrator и Guest. Эти встроенные учетные записи пользователя подобны встроенным учетным записям пользователя, существующим на локальных компьютерах в рабочих группах. Главное отличие состоит в том, что эти учетные записи дают возможность доступа к целому домену.

в) Администратор

Встроенная учетная запись Administrator управляет всей конфигурацией компьютера и домена. Пользуясь этой записью, администратор может создавать учетные записи пользователя и группы, управлять безопасностью, распоряжаться принтерами и назначать разрешения учетным записям пользователей. Эту учетную запись можно переименовать, но нельзя удалить.

г) Гость

Встроенная учетная запись Guest позволяет разовым пользователям получить доступ к сетевым ресурсам. Например, в системе с низким уровнем безопасности сотрудник, которому нужен кратковременный доступ к ресурсам, может воспользоваться учетной записью Guest. По умолчанию эта учетная запись является отключенной.

д) Служебная программа Active Directory Users and Computers

Операционная система Win2000 предлагает служебную программу под названием Active Directory UandC, с помощью которой администраторы могут управлять учетными записями пользователей в службе каталогов Active Directory. Эта служебная программа установлена на компьютерах, настроенных как контроллеры домена. Для работы со служебной программой Active Directory UandC необходимо войти в домен Win2000 (не на локал компьютер), имея при этом достаточные права для выполнения соответствующих задач.

С помощью служебной программы Active Directory Users and Computers можно выполнять в домене следующие задачи:

  • добавлять или удалять учетные записи пользователя;
  • включать и отключать учетные записи пользователя;
  • находить или перемещать учетные записи пользователя;
  • переименовывать учетные записи пользователя;

сбрасывать пароли пользователей.
12. Группы. Группы на локальном компьютере. Группы на контроллере домена. Встроенные и стандартные группы в домене. Создание групп в домене. Типы групп и области их действия.

Группа - это набор учетных записей пользователя. Разрешения на доступ можно задать одновременно всем членам группы, и нет необходимости задавать их индивидуально. Обеспечив доступ для группы, потом можно просто добавлять в эту группу соответствующих пользователей. Можно использовать принятые по умолчанию, или встроенные, группы, предлагаемые операционной системой Win2000, либо создать новые группы в соответствии с потребностями организации. Группа может существовать либо только на локальном компьютере, либо на компьютерах в пределах одного домена, либо на компьютерах в пределах нескольких доменов.

Группы на локальном компьютере:

На локальных компьютерах (компьютерах, являющихся контроллерами домена), можно создавать только локальные группы в локальной базе данных безопасности. Группа, расположенная на компьютере, не являющемся контроллером домена, обеспечивает безопасность и доступ только для этого локального компьютера. Например, чтобы дать пользователю права администратора на локальном компьютере, достаточно его добавить в группу Administrators (Администраторы) данного компьютера с помощью служебной программы Local Users and Groups (Локальные пользователи и группы).

 

Группы на контроллере домена:

На контроллере домена группы создаются в службе каталогов Active Directory. Группа, расположенная на контроллере домена, может включать в себя пользователей всего домена или нескольких доменов. Например, чтобы предоставить пользователям права администратора, их добавляют в группу Administrators на каком-нибудь контроллере домена с помощью служебной программы Active Directory Users and Computers (Active Directory - пользователи и компьютеры).

 

Встроенные и стандартные группы в домене:

Как и в случае с клиентскими компьютерами и рядовыми серверами, на контроллерах доменов имеются встроенные группы по умолчанию. В дополнение к встроенным группам на контроллерах доменов имеются стандартные группы по умолчанию. Когда компьютер становится контроллером домена, система Windows 2000 Advanced Server автоматически создает эти группы в оснастке Active Directory Users and Computers (Active Directory - пользователи и компьютеры). Как и встроенные локальные группы, эти группы предоставляют предопределенные права, определяющие, какие системные задачи может выполнять пользователь или встроенная либо стандартная группа.

Стандартные группы с глобальной областью действия располагаются в папке Users (Пользователи). Встроенные локальные группы домена располагаются в папке Builtin (Встроенные). В системе Windows 2000 группы домена по умолчанию включают в себя следующие группы.

  • Встроенные локальные группы домена. Эти группы предоставляют пользователям предопределенные права и разрешения на выполнение задач в службе каталогов Active Directory и на контроллерах домена. Встроенные локальные группы домена располагаются только на контроллерах домена. Удалить эти группы невозможно.
  • Специальные группы. Эти группы автоматически организуют учетные записи пользователей для нужд системы. Администраторы не назначают пользователей в эти группы. Вместо этого пользователи либо являются их членами по умолчанию, либо становятся таковыми вследствие своих действий в сети. Специальные группы имеются на всех компьютерах, работающих под управлением системы Windows 2000. Например, если пользователи подключаются к общей папке на удаленном компьютере, они становятся членами группы Network System (Сетевая система). Специальные группы не показываются в оснастке Active Directory Users and Computers (Active Directory - пользователи и компьютеры).
  • Стандартные глобальные группы. Эти группы позволяют администратору без труда управлять всеми пользователями в домене. Стандартные глобальные группы имеются только на контроллерах домена. Эти группы располагаются в папке User оснастки Active Directory Users and Computers (Active Directory - пользователи и компьютеры).

Создание групп в домене:

При создании групп для использования в домене руководствуйтесь следующими указаниями.

  • Определяйте необходимую область действия группы, исходя из того, как она будет использоваться. Например, для группирования учетных записей пользователей примените глобальную группу. И, наоборот, для предоставления разрешений на ресурс используйте локальную группу домена.
  • Определите, имеются ли необходимые разрешения на создание группы в соответствующем домене.

а) По умолчанию, необходимые разрешения на создание групп имеют члены групп Administrators (Администраторы) или Account Operators (Операторы учета).

б) Администратор может дать пользователю разрешение на создание групп в домене.

  • Определите имя группы. Выберите интуитивно понятное имя, отражающее назначение создаваемой группы. Такой подход особенно полезен, если администраторы других доменов должны будут искать эту группу в службе каталогов Active Directory.

Группы создаются и удаляются в оснастке Active Directory Users and Computers (Active Directory - пользователи и компьютеры). Можно создавать группы в папке Users (Пользователи) по умолчанию или в любой вновь созданной папке. Если группа больше не нужна, ее обязательно надо удалить, чтобы случайно не предоставить ей каких-либо разрешений.

Чтобы создать группу, откройте оснастку Active Directory Users and Computers (Active Directory - пользователи и компьютеры). Щелкните правой кнопкой мыши папку, в которой будет размещена группа, выберите New (Создать) и щелкните Group (Группа). В следующей таблице описаны параметры диалогового окна New Object - Group (Новый объект - Группа).

Типы групп:

Служба каталогов Active Directory обеспечивает поддержку различных типов групп и областей действия групп в домене. Поскольку группы хранятся в службе Active Directory, их можно использовать на любом компьютере в сети. Тип группы определяет задачи, которыми можно управлять при ее помощи. Область действия группы определяет, охватывает ли группа несколько доменов или ограничена одним доменом. Каждый тип группы в домене имеет атрибут области действия, определяющий, как данная группа применяется в сети.

В службе каталогов Active Directory существуют два типа групп.

1) Группы безопасности. Группы безопасности следует использовать для целей, связанных с обеспечением безопасности, таких как предоставление разрешений на доступ к ресурсам. Кроме того, можно использовать их для рассылки по электронной почте сообщений нескольким пользователям. При рассылке электронной почты какой-либо группе сообщения посылаются всем членам этой группы. Таким образом, группы безопасности имеют некоторые общие возможности с группами распространения.

2) Группы распространения. Группы безопасности используются приложениями в качестве списков для выполнения функций, не связанных с обеспечением безопасности, таких как рассылка электронной почты группам пользователей. Предоставить разрешения, используя группы безопасности, невозможно. Хотя группы безопасности и обладают возможностями групп распространения, последние все же необходимы, поскольку некоторые приложения способны работать только с группами распространения.

 

Области действия групп:

Область действия группы определяет, где в доменах используется эта группа. Область действия влияет на членство в группах и на вложение групп. Вложение - это добавление группы в другую группу в качестве члена. В системе Windows 2000 имеется три области действия групп.

1) Область действия глобальной группы. Эта область действия используется для объединения пользователей, имеющих аналогичные требования к доступу в сети. Можно использовать глобальную группу для предоставления разрешений на доступ к ресурсам, расположенным в любом домене.

а) Членство в глобальных группах ограничено. Учетные записи пользователей и глобальные группы добавляются только из того домена, в котором создается глобальная группа.

б) Глобальные группы могут быть вложенными в другие группы. Эта функция позволяет добавлять глобальную группу в другую глобальную группу в том же домене, либо в универсальные или локальные группы других доменов.

2) Область действия локальной группы домена. Эта область действия используется для предоставления разрешений на ресурсы домена, расположенные в том же домене, в котором создается локальная группа домена. Ресурс не обязательно должен быть расположен на контроллере домена.

а) Членство в локальных группах домена открытое. Учетные записи пользователей, универсальные группы и глобальные группы добавляются из любого домена.

б) Локальные группы домена не могут быть вложенными в другие группы; это означает, что локальную группу домена невозможно добавить в какую-либо другую группу, даже расположенную в том же домене.

3) Область действия универсальной группы. Предоставляются разрешения на связанные с ней ресурсы в нескольких доменах. Универсальные группы используются для предоставления разрешений на доступ к ресурсам, расположенным в любом домене.

а) Членство в универсальных группах открытое. Их членом может быть любая учетная запись пользователя или группа.

б) Универсальные группы могут быть вложенными в другие группы. Эта возможность позволяет добавлять данную универсальную группу в универсальную группу или в локальную группу домена, расположенную в любом домене.


13. Общие права пользователя. Права, назначенные встроенным группам (по умолчанию).

Рабочая группа.

Права относятся не к конкретному ресурсу, а ко всей системе, и влияют на работу компьютера или домена в целом. Всем пользователям, обращающимся к сетевым ресурсам, нужны определенные общие права на тот компьютер, на котором они работают, например, право входить на компьютер или изменять на нем показания системного времени. Конкретные общие права администраторы могут назначать группам пользователей или отдельным пользователям. Кроме того, операционная система Windows 2000 предоставляет определенные права встроенным группам по умолчанию. Права пользователя определяют, какие пользователи могут выполнять ту или иную конкретную работу на компьютере или в домене.

 

Общие права пользователя:

Права позволяют пользователю, вошедшему на компьютер или в сеть, выполнять в этой системе определенные действия. Если у пользователя нет прав на выполнение какой-то операции, попытка выполнения этой операции будет блокирована.

Права пользователя могут относиться как к отдельным пользователям, так и к группам. Однако лучше всего управлять правами пользователя, работая с группами. Это гарантирует, что пользователь, входящий в систему как член группы, автоматически получит все связанные с этой группой права. Операционная система Windows 2000 дает администратору возможность назначать права пользователям и группам пользователей. Общие права пользователя включают право локального входа в систему, право на изменение системного времени, право на отключение системы и право доступа к данному компьютеру из сети.

  • Локальный вход в систему

Это право позволяет пользователю входить на локальный компьютер или в домен с локального компьютера.

  • Изменение системного времени

Это право позволяет пользователю устанавливать показания внутренних часов компьютера.

  • Завершение работы системы

Это право позволяет пользователю завершить работу локального компьютера.

  • Доступ к этому компьютеру из сети

Это право позволяет пользователю получить доступ к компьютеру, работающему под управлением Windows 2000, с любого другого компьютера в сети.

 

Права, назначенные встроенным группам (по умолчанию):

Операционная система Windows 2000 по умолчанию предоставляет определенные права таким встроенным группам, как Administrators (Администраторы), Users (Пользователи), Power Users (Опытные пользователи) и Backup Operators (Операторы архива).

1) Администраторы

Administrators - встроенная группа, существующая как на компьютерах, являющихся контроллерами домена, так и на компьютерах, не являющихся контроллерами домена. Члены этой группы имеют полный контроль над компьютером или доменом. Administrators . единственная встроенная группа, которой автоматически предоставляются все встроенные права в системе.

2) Пользователи

Users - встроенная группа, существующая как на компьютерах, являющихся контроллерами домена, так и на компьютерах, не являющихся контроллерами домена. Члены этой группы могут выполнять только те задачи, на которые им предоставлены конкретные права, например, запускать приложения, использовать локальные и сетевые принтеры и выключать и блокировать рабочие станции. Члены группы Users могут создавать локальные группы и могут их изменять, но не могут объявлять папки общими или создавать локальные принтеры.

3) Опытные пользователи

Power Users - встроенная группа, существующая на компьютерах, не являющихся контроллерами домена. Члены группы Power Users могут выполнять конкретные административные функции, но не имеют прав, которые давали бы им полный контроль над системой. Группа Power Users обладает следующими правами.

  • Создание учетных записей пользователя и групп на локальном компьютере.
  • Изменение и удаление созданных ими учетных записей.
  • Предоставление общего доступа к ресурсам. При этом члены группы Power Users не могут выполнять следующие действия.
  • Изменять группы Administrators и Backup Operators.
  • Архивировать или восстанавливать папки из архива.

4) Операторы архива

Backup Operators - встроенная группа, существующая как на компьютерах, являющихся контроллерами домена, так и на компьютерах, не являющихся контроллерами домена. Члены группы Backup Operators могут архивировать и восстанавливать из архива файлы вне зависимости от того, какими разрешениями эти файлы защищены. Члены группы Backup Operators могут входить на компьютер и завершать его работу, но не могут менять параметры безопасности.

 

Рабочая группа:

Рабочая группа - это небольшая группа объединенных сетью компьютеров, которые работают вместе и не нуждаются в централизованном администрировании.

Рабочая группа обладает следующими характеристиками.

  • Распределение ресурсов, администрирование и проверка подлинности производятся на каждом компьютере рабочей группы в отдельности.
  • На каждом компьютере установлена своя локальная база данных SAM (Security Accounts Manager . диспетчер учетных записей безопасности). Пользователь должен иметь учетную запись пользователя на каждом компьютере, на котором он собирается работать.
  • Число компьютеров не превышает десяти. Эти компьютеры могут работать под управлением серверных продуктов Windows 2000, однако на каждом имеется своя база данных SAM. Если число компьютеров в рабочей группе превысит 10, ею становится труднее управлять. Число одновременных подключений для компьютера, работающего под управлением системы Windows 2000 Professional, не может превышать 10.

14. Настройка протокола TCP/IP (Transmission Control Protocol/Internet Protocol). DHCP-адресация. Автоматическое назначение IP-адресов. Настройка протокола TCP/IP для использования статического IP-адреса. Проверка и тестирование протокола TCP/IP.

Настройка протокола TCP/IP. DHCP-адресация:

Если протокол TCP/IP был настроен на автоматическое получение IP-адреса, то после установки протокола TCP/IP клиентский компьютер получает IP-адрес одним из двух способов:

  • от DHCP-сервера;
  • при помощи автоматического назначения частных адресов APIPA ( Automatic Private IP Addressing).

DHCP-сервер автоматически назначает IP-адрес и такие значения настройки протокола TCP/IP, как IP-адрес DNS-сервера, WINS-сервера и основного шлюза. Используется следующая процедура автоматического назначения IP-адреса DHCP-сервером.

1. Клиентский компьютер запрашивает IP-адрес у DHCP-сервера.

2. DHCP-сервер назначает IP-адрес клиентскому компьютеру.

Следует убедиться, что параметры протокола TCP/IP настроены таким образом, чтобы клиентский компьютер мог в автоматическом режиме получить IP-адрес от DHCP-сервера. По умолчанию эти параметры в Windows 2000 настраиваются автоматически. Если по какой-либо причине клиентский компьютер не настроен на автоматическое получение IP-адреса, протокол TCP/IP можно настроить вручную.

 

Автоматическое назначение IP-адресов:

Средство автоматического назначения частных IP-адресов позволяет создать IP-адрес в случае, если клиентский компьютер не может получить IP-адрес от DHCP-сервера. С помощью этого средства назначается только IP-адрес и маска подсети, но не предоставляются дополнительные сведения о настройках, например, основного шлюза. В результате ограничиваются возможности подключения клиентского компьютера к локальной сети: он не может подключиться к другим сетям или Интернету.

При запуске не имеющего IP-адреса компьютера происходит следующее:

1. Клиентский компьютер пытается обнаружить DHCP-сервер и получить от него сведения о настройках протокола TCP/IP.

2. Если клиентский компьютер не обнаружил DHCP-сервер, он настраивает свой IP-адрес и маску подсети, выбирая адрес 169.254.0.0 сети класса B из зарезервированного корпорацией Майкрософт диапазона IP-адресов с маской подсети 255.255.0.0.

 

Настройка протокола TCP/IP для использования статического IP-адреса:

Иногда возникает необходимость вручную настроить статические IP-адреса для компьютеров сети, в которой поддерживается служба сервера DHCP. Например, компьютер, на котором поддерживается служба сервера DHCP, нельзя настроить на автоматический прием IP-адреса. Кроме того, иногда необходимо сохранить одинаковый IP-адрес у почтового сервера и веб-сервера. В таких случаях следует настроить эти компьютеры со статическим IP-адресом.

При настройке статического IP-адреса необходимо настроить маску подсети и основной шлюз для каждой из имеющихся в компьютере сетевых плат, используя протокол TCP/IP. Ниже приведена таблица, в которой представлены параметры настройки протокола TCP/IP.

Параметры настройки Описание
IP-адрес 32-битный адрес, определяющий узел TCP/IP. Каждой сетевой плате компьютера, на котором установлен протокол TCP/IP, требуется уникальный IP-адрес, который обычно имеет десятичное представление (например, 192.168.0.108). Каждый адрес состоит из двух частей: идентификатора сети, по которому определяются все узлы одной сети, и идентификатора узла, по которому определяется конкретный узел этой сети. В данном примере идентификатором сети является значение 192.168.0, а идентификатором узла - 108, в соответствии со стандартной маской подсети.
Маска подсети Значение, по которому определяется, к какой подсети подключен компьютер. Большая интрасеть разделяется на некоторое число подсетей, связанных между собой маршрутизаторами. По значению маски подсети видно, какая часть IP-адреса узла является идентификатором сети, а какая - идентификатором узла. Когда узлы пытаются взаимодействовать друг с другом, используются их маски подсети, с помощью которых определяется, является конечный узел локальным или удаленным.
Основной шлюз Маршрутизатор, которому узел будет направлять все IP-пакеты для удаленных сетей в том случае, когда у него не имеется конкретного маршрута для этих сетей. Основной шлюз обычно настраивается в соответствии с данными маршрутизации, что позволяет ему отправлять пакеты сети назначения или другим промежуточным маршрутизаторам. Чтобы была установлена связь с узлом в другой сети, следует настроить IP-адрес для основного шлюза.

 

Проверка и тестирование протокола TCP/IP:

После настройки протокола TCP/IP следует воспользоваться командами ipconfig и ping, чтобы протестировать настройку локального компьютера и убедиться в том, что его можно подключать к сети с протоколом TCP/IP.

1) Команда Ipconfig:

Команда ipconfig позволяет отобразить на экране тестируемого компьютера данные о настройке свойств протокола TCP/IP и определить, инициализирован ли он на компьютере. Затем проверяется правильность отображенной информации.

2) Команда Ping:

Команда pingявляется средством диагностики, с помощью которого проверяется настройка свойств протокола TCP/IP между двумя компьютерами и определяются ошибки подключения. Посредством команды ping устанавливается возможность взаимодействия с другим узлом, использующим протокол TCP/IP.

 

Проверка и тестирование протокола TCP/IP:

Комбинируя команды ipconfig и ping, можно проверить настройку протокола IP локального компьютера и IP-подключение двух сетевых компьютеров. В соответствии с процедурой совместного использования команд ipconfig и ping необходимо выполнить следующие основные действия.

1) Введите команду ipconfig в командной строке. Вы получите следующий результат использования команды ipconfig.

  • Если протокол TCP/IP инициализирован, то в результате применения команды ipconfig отобразится IP-адрес и маска подсети каждой сетевой платы вашего компьютера. Кроме того, отобразятся другие параметры настройки, такие как основной шлюз.
  • Если имеется дублирование IP-адреса, то в результате выполнения команды ipconfig появится сообщение о том, что IP-адрес настроен; однако значение маски подсети равняется при этом 0.0.0.0., свидетельствуя о том, что данный адрес уже используется в сети. Служба автоматического назначения частных IP-адресов всегда имеет идентификатор сети 169.254.0.0. Если вы указываете идентификатор сети, значение которого начинается со 169.254.x.x., то получаете IP-адрес не от сервера DHCP, а через службу автоматического назначения частных IP-адресов.

2) Выполните команду ping 127.0.0.1 с адресом замыкания на себя, чтобы удостовериться в правильности установки протокола TCP/IP. Адрес замыкания на себя представляет собой тот адрес, который используется компьютером для собственной идентификации.

В команде ping используется синтаксис ping IP_адрес, где IP_адрес является адресом другого узла или компьютера с установленным протоколом TCP/IP.

3) Выполните команду ping с IP-адресом локального компьютера, чтобы убедиться, что ваш адрес настроен правильно.

4) Выполните команду ping с IP-адресом основного шлюза, чтобы убедиться, что ваш компьютер может взаимодействовать с локальной сетью. Чтобы убедиться в том, что компьютер можно подключить к локальной сети, следует направить запрос любому другому компьютеру этой локальной сети. Однако наиболее часто для данной цели используется основной шлюз, поскольку обычно он никогда не отключается.

5) Выполните команду ping с IP-адресом удаленного узла, чтобы удостовериться в том, что компьютер может взаимодействовать с маршрутизатором.

По умолчанию, в случае успешного прохождения команд ping, появляются четыре одинаковых сообщения следующего вида: Ответ, полученный с соответствующего IP-адреса


php"; ?>