Создание учетных записей пользователей (49076)

Посмотреть архив целиком

Введение


Ключевой частью Вашей работы в качестве администратора является создание учетных записей пользователей, и эта глава покажет Вам, как это делается.

Учетные записи пользователей позволяют Microsoft Windows 2000 отслеживать информацию о пользователях и управлять их правами доступа и привилегиями. При создании учетных записей пользователя, основными средствами управления учетными записями, которые Вы используете, являются:


Оснастка Active Directory – пользователи и компьютеры (Active Directory Users And Computers), используемая для управления учетными записями в пределах домена Active Directory.

Оснастка Локальные пользователи и группы – для управления учетными записями на локальном компьютере.


В этой главе описывается создание учетных записей домена, а также локальных пользователей и групп.



Предварительная настройка и организация учетной записи пользователя


Наиболее важными аспектами создания учетных записей является предварительная настройка и организация учетных записей. Без подходящих политик Вы вскоре обнаружите, что Вам нужно переделывать все учетные записи пользователей. Поэтому, до создания учетных записей, определите политики, которые Вы будете использовать для их настройки и организации.


Политики присвоения имен учетных записей


Основной политикой, которую Вам необходимо будет установить, является схема именования для учетных записей. Учетным записям пользователя присваиваются отображаемые имена и имена входа. Отображаемое имя (или полное имя) – это выводимое имя пользователя, используемое в пользовательских сеансах. Имя входа используется для входа в домен. Имена входа были коротко рассмотрены в разделе Главы 7 «Имена для входа, Пароли и Открытые сертификаты». 


Правила для отображаемых имен


В Windows 2000 отображаемое имя обычно является объединением имени и фамилии пользователя, но Вы можете установить для него любое строковое значение. Отображаемые имена должны соответствовать следующим правилам:


Локальные отображаемые имена должны быть уникальными на рабочей станции.

Отображаемые имена должны быть уникальными в домене.

Отображаемые имена должны состоять не более, чем из 64 символов.

Отображаемые имена могут содержать буквенно-цифровые и специальные символы.



Правила для имен входа


Имена входа должны соответствовать следующим правилам:


Локальные имена входа должны быть уникальными на рабочей станции, а глобальные – уникальными в домене.

Длина имени входа может достигать 104 символов. Однако использование имён длиннее 64 символов неудобно.

Имя входа Microsoft Windows NT версии 4.0 или более ранних имеют все учетные записи, его значением по умолчанию являются первые 20 символов имени входа Windows 2000. Имя входа Microsoft Windows NT версии 4.0 или более ранних версий должно быть уникальным в домене.

Пользователи, осуществляющие вход в домен с компьютера, работающего под управлением ОС Windows 2000, могут использовать имена входа Windows 2000 или имена входа, совместимые с Windows NT версии 4.0 и более ранними версиями, независимо от режима работы домена.

Имена входа не могут содержать некоторые символы. Недопустимыми символами являются:

" / \ [ ] : ; | = , + * ? < >

Имена входа могут содержать любые другие специальные символы, включая пробелы, точки, тире и подчеркивания. Но, как правило, использовать пробелы в учетных записях не рекомендуется.


Примечание. Хотя Windows 2000 хранит имена пользователей в том же регистре, что был использован при вводе, они не являются чувствительными к регистру. Например, Вы можете получить доступ к учетной записи «Администратор», используя имя пользователя «Администратор» или «администратор». Таким образом, имена пользователей не чувствительны к регистру, хотя строчные и заглавные буквы в них поддерживаются.


Схемы именования


Известно, что в небольших организациях в качестве имен входа обычно используются имена или фамилии пользователей. Но в организации любого размера может быть несколько Томов, Диков и Гарри. Лучше сразу выбрать правильную схему присвоения имен и убедиться, что другие администраторы используют её, чем переделывать схему именования при возникновении проблемы. Для присвоения имен Вам следует использовать согласованную процедуру, которая обеспечит поддержку расширяющейся базы пользователей, уменьшит вероятность возникновения конфликтов имен, и будет гарантировать, что учетным записям присвоены безопасные имена, предотвращающие их использование не по назначению. Если Вы последуете этим рекомендациям, то типы схем присвоения имен, которые Вы можете использовать, включают:


Имя и первая буква фамилии пользователя. Для создания имени входа соедините имя пользователя и первую букву его фамилии. Для William Stanek используйте имя «williams. Эта схема присвоения имен не подходит для больших организаций.

Первый инициал и фамилия пользователя. Для создания имени входа соедините первую букву имени пользователя с его фамилией. Для William Stanek используйте имя «wstanek». Эта схема присвоения имен также непрактична для больших организаций.

Первый инициал, второй инициал и фамилия пользователя. Для создания имени входа соедините первый инициал, второй инициал и фамилию пользователя. Для William R. Stanek Вы могли бы использовать имя «wrstanek».

Первый инициал, второй инициал и первые пять букв фамилии пользователя. Для создания имени входа, соедините первый инициал, второй инициал и первые пять букв фамилии. Для William R. Stanek используйте имя «wrstane».

Имя и фамилия пользователя. Соедините имя и фамилию пользователя с помощью символов подчерк ( _ ) или тире ( - ). Для William Stanek Вы могли бы использовать имя «william_ stanek» или «william-stanek».


Совет. В условиях повышенных требований к безопасности Вы можете задать в качестве имени входа числовой код. Этот числовой код должен быть не короче 20 символов. Используйте этот строгий метод присвоения имен в сочетании со считывателями смарт-карт, чтобы позволить пользователям быстро входить в домен. Вы можете не волноваться, поскольку у пользователей останутся отображаемые имена, которые могут читать люди.



Политики паролей и учетных записей


Учетные записи Windows 2000 используют пароли и открытые сертификаты, чтобы удостоверять доступ к сетевым ресурсам. Данный раздел посвящен паролям.


Безопасные пароли


Пароль – это чувствительная к регистру строка, которая содержит до 104 символов в Службе каталога Active Directory и до 14 символов в Диспетчере безопасности Windows NT (Windows NT Security Manager). Допустимыми символами для паролей являются буквы, цифры и специальные символы.

После установки пароля для учетной записи, Windows 2000 сохраняет его в зашифрованном формате в базе данных учетных записей.

Недостаточно просто иметь пароль. Чтобы избежать неавторизованного доступа к сетевым ресурсам, нужно использовать безопасные пароли. Разница между обычным и безопасным паролем заключается в том, что безопасный пароль трудно угадать и взломать. Трудными для взлома пароли делает комбинация всех возможных типов символов – включая строчные и заглавные буквы, цифры и специальные символы. Например, вместо использования happydays в качестве пароля, используйте haPPy2Days&, Ha**y!dayS, или даже h*PPY%d*ys

К сожалению, неважно насколько безопасный пароль Вы первоначально установите, поскольку в конечном счете, пользователь выбирает пароль самостоятельно. Поэтому Вам потребуется настроить политики для управления учетными записями. Политики для управления учетными записями являются подмножеством политик, конфигурируемых как групповая политика.



Установка Политик для управления учетными записями


Как Вам уже известно из предыдущих разделов, Вы можете применять групповые политики на различных уровнях внутри сетевой структуры. Вы настраиваете локальные групповые политики в соответствии с описанием в разделе «Управление локальными групповыми политиками» Главы 4.

Как только Вы начали работать с нужным контейнером групповой политики, Вы можете настроить политики, выполнив следующие шаги:


1.

Найдите узел Политики учетных записей (Account Policies), спускаясь по дереву консоли. Разверните Конфигурация компьютера (Computer Configuration), Конфигурация Windows (Windows Settings) и затем Параметры безопасности (Security Settings), как показано на рисунке 8-1

2.

Теперь можно управлять политиками учетных записей через узлы Политика паролей (Password Policy), Политика блокировки учетной записи (Account Lockout Policy) и Политика Kerberos (Kerberos Policy).

Примечание. Политики Kerberos не используются для локальных компьютеров, они доступны только для групповых политик, которые относятся к сайтам, доменам и подразделениям. 



Рисунок 8-1. Для установки политик паролей и общего использования учетных записей используйте содержимое узла Политики учетных записей. Дерево консоли отображает название компьютера или домена, который Вы конфигурируете. Убедитесь, Что Вы конфигурируете нужный сетевой ресурс. 



Рисунок 8-2. При работе с локальными политиками Вы увидите как локальную, так и действующую политику.

3.

Чтобы начать конфигурирование политики, дважды нажмите на неё или щелкните по ней правой кнопкой мыши и выберите Свойства (Properties). Откроется диалоговое окно Свойства (Properties) для данной политики.

4.

Для локальной политики диалоговое окно Свойства (Properties) такое же, как показано на Рисунке 8-2. Действующая для компьютера политика отображена, но недоступна для изменения. Несмотря на это, Вы можете изменять параметры локальной политики. Используйте поля, предназначенные для конфигурирования локальной политики. Для локальной политики пропустите остающиеся шаги - эти шаги используются для глобальных групповых политик.

Примечание. Политики сайта, домена и подразделения имеют преимущество над локальными политиками.

5.

Для сайта, домена или подразделения окно Свойства (Properties) такое же, как показано на Рисунке 8-3. 



Рисунок 8-3. Определяйте и конфигурируйте глобальные политики групп, используя диалоговое окно Свойства (Properties) для каждой из них.

6.

Все политики либо определены, либо не определены. Это значит, что они либо сконфигурированы для использования, либо нет. Политика, которая не определена в текущем контейнере, может быть унаследована от другого контейнера.

7.

Установите или снимите флажок «Определить следующие параметры политики в шаблоне», чтобы указать, определена политика или нет.


Случайные файлы

Файл
74298-1.rtf
70317.rtf
23022.rtf
93803.rtf
124622.rtf




Чтобы не видеть здесь видео-рекламу достаточно стать зарегистрированным пользователем.
Чтобы не видеть никакую рекламу на сайте, нужно стать VIP-пользователем.
Это можно сделать совершенно бесплатно. Читайте подробности тут.