Доменная учетная запись. Блокировка и разблокировка подключения к почте Exchange Server. Удаление учетных записей пользователей и контактов

Инструкция

Создавая домашнюю сеть можно организовать доступ к сетевому принтеру всем компьютерам рабочей группы. Для этого необходимо настроить их соответствующим образом, а именно задать ip-адреса, указать имена компьютеров и добавить в одну группу. Все необходимые настройки, значения которых вы измените, находятся в системной папке «Панель управления».

Прежде всего вам необходимо задать имена компьютерам и определить их рабочую группу. Для этого перейдите к рабочему столу и нажмите правой кнопкой мыши на значке «Мой компьютер». В открывшемся контекстном меню выберите пункт «Свойства». Перед вами появится апплет «Свойства системы», для быстрого вызова которого используется сочетание клавиш Win + Pause Break.

В этом апплете перейдите к вкладке «Имя компьютера». Желательно создать список компьютеров, в котором вы укажите не только их имена, но и ip-адреса. Воспользовавшись этим списком, задайте имя каждому компьютеру. Чтобы изменить имя, нажмите кнопку «Изменить» в нижней части апплета. В открывшемся окне замените прежнее имя на недавно записанное в список.

Также в этой вкладке вы можете задать имя рабочей группы. По умолчанию - Workgroup. Рекомендуется заменить на более простое название, например, Net или Connect. Нажмите кнопку «ОК» для сохранения изменений. Перед вами появится небольшое окно с уведомлением о входе в новую рабочую группу. В нижней части окна «Свойства системы» появится уведомление о необходимости перезагрузки системы, но этого пока не стоит, поэтому после нажатия на кнопку «ОК», выберите «Нет».

Теперь осталось присвоить каждому компьютеру свой ip-адрес, чтобы не нарушался порядок их определения в сети. Нажмите меню «Пуск», выберите пункт «Панель управления». В открывшейся папке дважды щелкните по значку «Сетевые подключения», нажмите правой кнопкой мыши на элементе «Подключение по локальной сети» и выберите пункт «Свойства».

Нажмите правой кнопкой мыши на строке «Протокол (TCP/IP)» и выберите пункт «Свойства». Перейдите к блоку «Использовать следующий IP-адрес» и введите для каждого компьютера индивидуальное значение с разницей в одну единицу. Например, «Дмитрий» - 192.168.1.3; «Павел» - 192.168.1.4 и т.д. Стоит отметить, что в связке 192.168.1.x, рекомендуется начинать отсчет с цифры №3, т.к. первые два значения используются роутером и модемом.

Во всех окнах нажмите кнопки «ОК» и на запрос о перезагрузке ответьте положительно либо отрицательно, если есть несохраненные документы. Затем выполните перезагрузку самостоятельно, используя меню «Пуск».

В этом разделе рассматриваются методы ведения учетных записей пользователей и возможности, предоставляемые для
этого Exchange.

Создание учетных записей пользователей, подключенных к почтовым ящикам, и пользователей, подключенных к почте

Для каждого пользователя, который хочет работать с сетевыми ресурсами, необходимо создать учетную запись. Рассмот рим, как настроить доменные учетные записи, подключенные к почтовым ящикам, и доменные учетные записи, подключенные к почте. Если пользователю требуется отправлять и принимать электронную почту, то необходимо создать учетную "запись, подключенную к почтовому ящику. В противном случае достаточно учетной записи, подключенной к почте.

Понятия имен входа и паролей

Прежде чем создавать доменную учетную запись, следует по думать о новом имени входа и пароле. Все доменные
учетные записи распознаются по имени входа. Оно может совпадать (хотя это не обязательно) с адресом электронной
почты пользователя. В доменах Windows имя входа состоит из двух частей:

• User name (Имя пользователя) - текстовая метка учетной записи;
• User domain (Домен пользователя) - домен, в котором находится учетная запись пользователя.

Полное имя входа Windows для пользователя williams в домене adatum.com [email protected]. С учетными записями
пользователей могут быть связаны пароли и открытые сертификаты (public certificates). Пароль - это символьная строка для подтверждения прав доступа учетной записи. Открытый сертификат представляет собой комби-Нацию двух ключей (открытого и секретного) для идентификации пользователя. Вход с применением пароля осуществляется в диалоговом режиме, вход с рименением открытого сертификата - с помощью смарт-карты и устройства считывания смарт-карт.

Хотя при описании прав и разрешений Windows выводит на экран имена пользователей, ключевыми идентификаторами учетных записей являются идентификаторы безопасности (security identifiers, SID). SID - это уникальный идентификатор, который генерируется при создании учетной записи. Он состоит из доменного префикса идентификатора безопасности и уникального связанного идентификатора. Эти идентификаторы используются Windows для отслеживания учетных записей независимо от имен пользователей. SID выполняют множество функций; две наиболее важные из которых - возможность легко изменять имена пользователей, а также удалять учетные записи без опасения, что некто посторонний получит несанкционированный доступ к ресурсам просто путем воссоздания учетной записи.

При изменении имени пользователя вы даете указание Windows сопоставить конкретный SID новому имени. При удалении записи вы указываете Windows, что конкретный SID впредь недействителен. Если после этого будет даже создана учетная запись с тем же именем пользователя, новая учетная запись не получит те же права и разрешения, что предыдущая, так как новая учетная запись будет иметь новый SID.

Создание доменных учетных записей с почтовыми ящиками и без них

Вообще говоря, существует два способа создания новых доменных учетных записей.

• Создание новой учетной записи. Щелкните правой кнопкой контейнер, в который вы хотите поместить учетную запись пользователя, укажите New (Создать) и выберите User (Пользователь). Запустится мастер New Object - User (Новый объект - Пользователь), показанный на рис. 5-5. При создании новой учетной записи применяются системные параметры настройки по умолчанию.
• Создание новой учетной записи на базе существующей учетной записи. Откройте Active Directory Users and Computers, щелкните правой кнопкой учетную запись пользователя, которую вы хотите копировать, и выберите Сору (Копировать). Запустится мастер Copy Object - User

Рис. 5-5. Настройка отображаемого имени и регистрационного
имени пользователя с помощью диалогового окна New Object -
User

(Копировать объект - Пользователь), окно которого очень похоже на диалоговое окно New User (Новый пользователь). Однако при создании копии учетной записи большинство значений параметров окружения новой учетной записи берутся из существующей учетной записи. К сохраняемым параметрам относятся: участие в группах учетных записей, значения параметров профиля, права соединения
через телефонную линию, срок окончания действия учетной записи, разрешенное время входа в систему и разрешенные рабочие станции для входа в систему.

Вот как создать новую учетную запись пользователя посредством мастера New Object - User или Copy Object - User.
1. На первой странице задается выводимое имя и имя входа пользователя (рис. 5-5). Ведите имя и фамилию пользователя в соответствующие поля. Они необходимы для формирования параметра Full Name (Полное имя), которое выводится на экране как имя пользователя.
2. При необходимости внесите изменения в поле Full Name (Полное имя). Например, можно ввести имя в формате <фамилия><имя><второй инициал> или в формате <имя> <второй инициал><фамшия>. Длина записи в Full Name (Полное имя) - не более 64 символов.
3. В поле User Logon Name (Имя входа пользователя) введи те имя входа пользователя. В раскрывающемся списке выберите домен, с которым должна быть связана учетная запись. В результате генерируется полное имя входа.
4. Первые 20 символов имени входа образуют имя входа для операционных систем более ранних, чем Windows 2000. Оно
должно быть уникальным в пределах своего домена. В случае необходимости измените имя входа для операционных
систем более ранних, чем Windows 2000.
5. Щелкните Next (Далее). Настройте параметры пароля пользователя (рис. 5-6). Для этого диалогового окна возможны следующие варианты выбора.

Рис. 5-6. Настройка пароля пользователя

• Password (Пароль). Пароль для данной учетной записи. Он должен отвечать условиям вашей парольной политики.
• Confirm Password (Подтверждение). Поле для проверки того, что вы правильно назначили пароль учетной записи. Для подтверждения пароля просто наберите егоеще раз.
• User must change password at next logon (Требовать смену пароля при следующем входе в систему). Если помечен этот флажок, пользователь должен изменить пароль при входе в систему. Этот флажок установлен по умолчанию для всех новых пользователей.
• User cannot change password (Запретить смену пароля пользователем). Если установлен этот флажок, пользователь не может изменить пароль.
• Password never expires (Срок действия пароля неограничен). Если помечен этот флажок, то пароль учетной записи имеет неограниченный срок действия. Это значение параметра имеет приоритет над доменной политикой учетных записей. Вообще говоря, задавать неограниченный срок действия пароля - это не очень хорошая идея, так как при этом снижается безопасность, которая является важным фактором.
• Account is disabled (Отключить учетную запись). Если установлен этот флажок, то учетная запись заблокирована и ее не удастся использовать. Этот флажок применяется для временного запрета использования учетной записи.

6. Щелкните Next (Далее). Если вы надлежащим образом на строили на этом компьютере расширения Exchange, то по лучите возможность предоставить учетной записи почтовый ящик. Если вы не хоитите предоставлять пользователю почтового ящика, сбросьте флажок Create an Exchange mailbox (Создать почтовый ящик Exchange) и пропустите пункты 7 и 8.
7. Имени входа присваивается псевдоним Exchange по умолчанию (рис. 5-7), чтобы изменить его, введите новое значение вручную. Псевдоним Exchange необходим для задания адреса электронной почты пользователя.
ПримечаниеНа практике значение по умолчанию псевдонима Exchange присваивается имени входа для операционных систем более ранних, чем Windows 2000; как правило, оно совпадает с именем входа пользователя. Однако если вы измените имя входа для операционных систем более ранних, чем Windows 2000, то значение по умолчанию псевдонима Exchange будет присвоено веденному вами значению.

Рис. 5-7. Настройка почтового ящика Exchange пользователя

8. Если Information Store (Хранилище данных) настроено на работу с несколькими серверами Exchange, в раскрывающемся списке серверов необходимо указать сервер, на котором должен храниться почтовый ящик. Кроме того, если имеется несколько хранилищ почтовых ящиков, то следу ет задать хранилище для почтового ящика - в раскрывающемся списке Mailbox Store (Хранилище очтовых ящиков).
9. Щелкните Next (Далее) и Finish (Готово), чтобы завершить создание учетной записи. Если вы создали учетную запись, подключенную к почтовому ящику, то автоматически настраиваются следующие адреса электронной почты: SMTP, X.400 и связанные с коннектором. Эти адреса вы сможете впоследствии добавлять, изменять и удалять. Кроме того, вы сможете задавать дополнительные адреса, имеющие эти же типы. Например, у Синди Джонсон - администратора отдела кадров компании - два адреса SMTP: [email protected] и
[email protected].
ПримечаниеЕсли вы настроили коннекторы Exchange, то адреса по умолчанию создаются и для этих них. В состав коннекторов для Exchange 2000 входят коннектор для Lotus Notes и коннектор для Novell GroupWise.
10. Создание учетной записи пользователя не является финальной операцией. На данном этапе вы можете:

• добавить подробную контактную информацию о пользователе, например номер рабочего телефона и должность;
• внести пользователя в группу безопасности и в группу рассылки;
• связать учетную запись с дополнительными адресами электронной почты;
• включить или отключить функции Exchange для учетной записи;
• изменить для пользователя параметры настройки, заданные по умолчанию, в отношении вариантов доставки, предельного объема памяти и ограничений, налагаемых на учетную запись.

Настройка контактной информации для учетной записи пользователя

Вот как задается контактная информация для учетной записи пользователя.
1. В Active Directory Users and Computers дважды щелкните имя пользователя. Откроется диалоговое окно Properties (Свойства) учетной записи.
2. Щелкните вкладку General (Общие). Общая контактная информация задается с помощью следующих полей:

• First Name, Initials, Last Name (Имя, Инициалы, Фамилия) задают полное имя пользователя;
• Display Name (Выводимое имя) задает выводимое имя пользователя, которое отображается в сеансах входа в систему и в Active Directory;
• Description (Описание) задает описание пользователя;
• Office (Комната) задает местонахождение пользователя в офисе;
• Telephone Number (Номер телефона) задает основной номер рабочего телефона пользователя. Если пользователь имеет другие номера рабочих телефонов, которые вы хотите внести в запись, щелкните Other (Другой), а затем с помощью диалогового окна Phone Number (Others) [Номер телефона (прочие)] введите дополнительные номера телефонов;
• E-Mail (Эл. почта) задает служебный адрес электронной почты пользователя;
• Web Page (Веб-страница) задает URL начальной Веб страницы пользователя - в Интернете или в локальной корпоративной сети. Если у пользователя есть другие Веб-страницы, которые вы хотите внести в запись, щелкните Other (Другой), а затем посредством диалогового окна Web Page Address (Others) [Адрес страницы в Интернете (прочие)] введите дополнительные адреса Веб-страниц.

Совет Обязательно заполните поля E-Mail (Эл. почта) и Web Page (Веб-страница), если намереваетесь использовать команды Send Mail (Отправить почту) и Open Home Page (Открыть домашнюю страницу) консоли Active Directory Users and Computers.
3. Щелкните вкладку Address (Адрес) (рис. 5-8). В полях на этой вкладке задайте служебный или домашний почтовый адрес пользователя. Обычно указывают служебный адрес пользователя. Это позволит вам иметь данные о местонахождении и почтовых адресах пользователей, находящихся в различных офисах.
ПримечаниеПрежде чем вводить информацию частного характера, например домашний адрес и домашний телефон пользователя, необходимо обсудить этот вопрос с отделом кадров и юридическим отделом. Возможно, на это следует получить согласие пользователя.

4. Щелкните вкладку Telephones (Телефоны) и наберите, если требуется, основные контактные телефоны пользователя:

• Home Telephone (Домашний);
• Pager (Пейджер);
• Mobile (Мобильный);
• FAX (Факс);
• IP Phone (IP-телефон).

5. Для каждого типа телефона вы вправе задать и другие номера. Щелкните соответствующую кнопку Other (Другой), а затем в диалоговом окне введите дополнительные номера телефонов.

Рис. 5-8. На вкладке Address (Адрес) задайте рабочий или
домашний адрес пользователя

6. Щелкните вкладку Organization (Организация). Введите, если требуется, должность пользователя, отдел и название
компании.
7. Чтобы указать руководителя данного пользователя, щелкните Change (Изменить). Если вы сделали это, то в учетной записи руководителя пользователь выведен в качестве непосредственного подчиненного.
8. Щелкните Apply (Применить) или ОК, чтобы принять внесенные изменения. Изменение псевдонима Exchange и выводимого имени
пользователя Каждая учетная запись пользователя, подключенного к почтовому ящику, имеет связанные с ней псевдоним Exchange, имя, фамилию и выводимое имя. Псевдоним Exchange определяет адреса электронной почты SMTP и Х.400. Имя входа представляет собой псевдоним SMTP по умолчанию. Выводимое имя определяет адрес Х,400.
В случае изменения информации об имени можно создать новые адреса электронной почты и задать их в качестве адресов по умолчанию для SMTP, X.400 и коннекторов Exchange.
При этом старые адреса электронной почты для учетной записи не удаляются, а остаются в качестве альтернативных. Процедура изменения или удаления этих дополнительных адресов электронной почты рассмотрены в этой главе, в разделе «Добавление, изменение и удаление адресов электронной почты».
Вот как изменить псевдоним Exchange и выводимое имя учетной записи пользователя.
1. В Active Directory Users and Computers, дважды щелкните имя пользователя. Откроется диалоговое окно Properties (Свойства) учетной записи.
2. Щелкните вкладку General (Общие). Для изменения имени воспользуйтесь следующими полями:
в First Name, Initials, Last Name (Имя, Инициалы, Фамилия) задают полное имя пользователя;
в Display Name (Выводимое имя) указывают имя пользователя, которое отображается в сеансах входа в систему и в Active Directory.
3. Щелкните вкладку Exchange General, а затем введите новый псевдоним Exchange в поле Alias (Псевдоним).
4. Щелкните ОК.

Добавление, изменение и удаление адресов электронной почты

Когда вы создаете учетную запись пользователя, подключенного к почтовому ящику, то создаются адреса электронной почты по умолчанию для SMTP, X.400 и настроенных коннекторов. Каждый раз, когда вы обновляете выводимое имя пользователя или псевдоним Exchange, можно создать новые адреса электронной почты по умолчанию. При этом старые адреса электронной почты не удаляются, а остаются в качестве альтернативных адресов учетной записи.

Вот как добавить, изменить или удалить адрес электронной почты.

1. Откройте диалоговое окно Properties (Свойства) учетной записи, дважды щелкнув имя пользователя в Active Directory Users and Computers. Затем щелкните вкладку E-Mail Addresses (Адреса электронной почты).
2. Чтобы добавить новый адрес электронной почты, щелкните New (Новый). В диалоговом окне New E-Mail Address (Новый адрес электронной почты) выберите тип адреса электронной почты и щелкните ОК. Заполните поля диалогового окна Properties (Свойства) и снова щелкните ОК.
Совет Для стандартных адресов электронной почты Интернета используйте тип адреса SMTP. Другие типы адресов электронной почты подробно рассмотрены в главе 13.
3. Чтобы изменить существующий адрес электронной почты, дважды щелкните запись адреса и измените параметры в диалоговом окне Properties (Свойства). Щелкните ОК.
4. Чтобы удалить адрес электронной почты, выберите его и щелкните Remove (Удалить). В ответ на предложение подтвердить операцию удаления щелкните Yes (Да).
ПримечаниеНельзя удалить адрес SMTP по умолчанию. Exchange Server использует адрес SMTP для передачи и приема сообщений.

Настройка адреса Reply-To (адреса отправителя) по умолчанию

Для каждого типа адреса электронной почты существует один адрес отправителя по умолчанию. Вот как изменить адрес отправителя по умолчанию.
1. Откройте диалоговое окно Properties (Свойства) учетной записи, дважды щелкнув имя пользователя в Active Directory Users and Computers. Затем щелкните вкладку E-Mail Addresses (Адреса электронной почты).
2. Текущие адреса электронной почты по умолчанию выделены жирным шрифтом. Адреса электронной почты, которые не выделены, применяются только в качестве альтернативных адресов для доставки сообщений в текущий почтовый ящик.
3. Чтобы изменить текущие значения по умолчанию, выберите желаемый не выделенный адрес электронной почты и щелкните Set As Primary (Задать в качестве основного).

Блокировка и разблокировка подключения к почте Exchange Server

Пользователи и контакты, подключенные к почте, в Exchange Server определяются как специальные получатели. Они имеют псевдоним Exchange и внешний адрес электронной почты.

Вот как подключить пользователя или контакт к почте.

1. В Active Directory Users and Computers щелкните правой кнопкой соответствующую запись, затем выберите Exchange Tasks (Задачи Exchange), чтобы запустить мастер Exchange Task Wizard.
2. Если открывается страница Welcome, щелкните Next (Далее). Чтобы впоследствии пропускать эту страницу, стоит выбрать Do Not Show This Welcome Page Again.
3. В Available Tasks (Доступные задачи) укажите Establish E-Mail Addresses (Установить адреса электронной почты) и снова щелкните Next (Далее).
4. Введите псевдоним Exchange для пользователя или контакта и щелкните Modify (Изменить).
5. Откроется диалоговое окно New E-Mail Address (Новый адрес электронной почты). Наберите тип адреса электронной почты и щелкните ОК.
6. Заполните поля диалогового окна Properties (Свойства) адреса электронной почты и снова щелкните ОК.
7. На странице мастера Exchange Task щелкните Next (Далее), а затем - Finish (Готово).

Если вы впоследствии захотите удалить псевдоним Exchange и адреса электронной почты, связанные с пользователем или
контактом, то вот как это сделать.
1. В Active Directory Users and Computers дважды щелкните нужную запись, затем выберите Exchange Tasks (Задачи Exchange), чтобы запустить мастер Exchange Task Wizard.
2. Если открывается страница Welcome (Приветствие), щел кните Next (Далее). Чтобы в последующем пропускать эту страницу, можно выбрать Do Not Show This Welcome Page Again.
3. В Available Tasks (Доступные задачи) выберите Delete E-Mail Addresses (Удалить адреса электронной почты) и щелкните Next (Далее).
4. Щелкните Next (Далее), а затем - Finish (Готово).

Создание учетной записи пользователя для приема и переадресации почты

Специальные получатели, такие, как пользователи и контакты, подключенные к почте, обычно не получают сообщений от пользователей за пределами организации, так как специальный получатель не имеет адреса электронной почты, который соответствует конкретному почтовому ящику в вашей организации. Однако иногда возникает потребность в том, чтобы внешние пользователи, приложения или почтовые системы имели возможность отправить сообщение на адрес внутри вашей организации, а затем Exchange переадресовал это сообщение на внешний почтовый ящик.
Совет В своей организации я создал почтовые ящики переадресации для пейджерных предупреждений. Это простое решение позволяет менеджерам, а также системам мониторинга в организации легко и быстро передавать страницы текста специалистам ИТ. Для этого я создал контакт, подключенный к почте, для каждого адреса электронной почты пейджера, например [email protected], а затем создал почтовый ящик, который переадресует сообщения специаль ному получателю. В общем случае выводимое имя контакта, подключенного к почте, имеет вид «Alert User Name», (Предупреждение Имя пользователя), например Alert William Stanek. Выводимое имя и адрес электронной почты почтового ящика имеют вид Z LastName и [email protected], например Z Stanek и [email protected] соответственно. Затем я спрятал почтовый ящик, чтобы он не отображался в списке глобальных адресов или в других списках адресов и чтобы пользователи видели только почтовый ящик Alert William Stanek.

Вот как создать учетную запись пользователя для приема и переадресации почты.

1. В Active Directory Users and Computers создайте контакт для пользователя. Присвойте контакту имя X - Имя_Пользователя, например X - William Stanek. Убедитесь в том, что для контакта существует внешний адрес электронной почты, относящийся к адресу пользователя в Интернете.
2. Создайте учетную запись пользователя в домене. Присвойте учетной записи подходящее выводимое имя, например William Stanek, Создайте почтовый ящик Exchange для учетной записи, но не присваивайте никаких специальных прав. Вы можете ограничить права учетной записи так, что бы пользователь не имел возможности зарегистрироваться ни на одном из серверов в домене.
3. Откройте диалоговое окно Properties (Свойства) учетной записи, дважды щелкнув имя пользователя в Active Directory Users and Computers. Щелкните вкладку Exchange General (Общие).
4. Щелкните Delivery Options (Варианты доставки).
5. В диалоговом окне Delivery Options щелкните Forward To (Переадресовать), а затем щелкните Modify (Изменить).
6. В диалоговом окне Select Recipient (Выбрать получателя) выберите контакт, подключенный к почте, созданный ранее, и щелкните ОК. Теперь вы можете применять учетную запись пользователя для переадресации сообщений на внешний почтовый ящик.

Изменение параметров сервисов беспроводной связи и протоколов пользователя

Когда вы создаете учетные записи пользователей с почтовыми ящиками, доступные сервисы беспроводной связи и протоколы определяются глобальными параметрами настройки. Эти параметры в любое время разрешается изменять для отдельных пользователей.

1. В Active Directory Users and Cdmputers дважды щелкните нужную запись, затем выберите вкладку Exchange Features.
Настройте для пользователя сервисы беспроводной связи и протоколы (рис. 5-9):
Outlook Mobile Access предоставляет пользователю возможность просматривать почтовый ящик с помощью беспроводного устройства;
User Initiated Synchronization позволяет синхронизировать почтовый ящик с беспроводными устройствами;

Рис. 5-9. С помощью мастера Exchange Task Wizard можно
изменить параметры сервисов беспроводной связи и протоколов
пользователя

Up-To-Date Notifications обеспечивает постоянное обновление данных на беспроводном устройстве. Этот вариант доступен только при условии, что выбран вариант User Initiated Synchronization;
Outlook Web Access предоставляет возможность доступа к почтовому ящику с помощью Web-браузера;
РОРЗ открывает доступ к почтовому ящику посредством почтового клиента РОРЗ;
IMAP4 предоставляет пользователю возможность доступа к почтовому ящику с помощью почтового клиента IMAP4.

2. Выберите параметр, затем щелкните Enable (Включить) или Disable (Отключить) в зависимости от обстоятельств.
Если требуется изменить параметры протокола, выберите протокол и щелкните Properties (Свойства).
3. Щелкните ОК.

Переименование учетных записей пользователей

Вот как переименовать учетную запись пользователя в Active Directory Users and Computers.
1. Щелкните правой кнопкой имя учетной записи и выберите Rename (Переименовать). В ответ на приглашение введите новое имя учетной записи.
2. При переименовании учетной записи вы создаете новую метку учетной записи. Переименование не влияет на идентификатор защиты (SID), который необходим для идентификации, отслеживания и обработки учетных записей не зависимо от имен пользователей.

Примечание Распространенной причиной изменения имени учетной записи является замужество. Например, если Джуди Лью (JUDYL) выходит замуж, она может изменить свое имя пользователя на Джуди Кэтлер (JUDYK). После изменения имени пользователя JUDYL на JUDYK все связанные с ним права и разрешения будут назначены новому имени.

Например, при просмотре разрешений к файлу, к которому раньше имела доступ JUDYL, теперь будет иметь доступ JUDYK (причем имени JUDYL в списке не окажется).

Удаление учетных записей пользователей и контактов

При удалении учетная запись устраняется навсегда. После удаления учетной записи вам не удастся создать учетную запись с тем же именем и теми же разрешениями, какие имела исходная запись, так как идентификатор защиты (SID) новой записи не будет совпадать с идентификатором защиты старой записи. Это не означает, что после удаления записи вы не можете создать учетную запись с тем же именем. Например, человек уволился из компании, а через некоторое время вернулся. Вы вправе создать учетную запись с тем же именем, что и раньше, но вам придется заново определить для нее разрешения.
Поскольку удаление встроенных учетных записей может иметь далеко идущие последствия для домена, Windows не допускает их удаления. Вы вправе удалить другие типы учетных записей, выбрав их и нажав клавишу Del или щелкнув правой кнопкой и выбрав Delete (Удалить). Появится приглашение, показанное на рис. 5-10. Если вы хотите удалить адрес электронной почты пользователя, когда флажок для удаления почтового ящика установлен, щелкните Yes (Да). Если вы щелкните No (Нет), то Windows не удалит учетную запись.

Рис. 5-10. При удалении учетной записи пользователя
удаляется также и адрес электронной почты пользователя;
устанавливается также флажок удаления связанного с адресом
почтового ящика. Подтвердите операцию, щелкнув Yes (Да)

Примечание Защита Exchange основана на доменной аутентификации, поэтому вы не можете иметь почтовый ящик без учетной записи. Если вам все же необходим по чтовый ящик для учетной записи, которую вы хотите удалить, то следует не удалять ее, а отключить. В результате отключения учетной записи пользователю не удастся зарегистрироваться в системе, однако вы при необходимости получите доступ к почтовому ящику. Чтобы отключить учетную запись, щелкните правой кнопкой эту учетную запись
в Active Directory Users and Computers и выберите Disable Account (Отключить учетную запись).

Я получаю от читателей множество писем с описанием проблем, с которыми они сталкиваются при создании или управлении учетными записями. Многие администраторы испытывают затруднения из-за того, что неосторожно пропускают важные элементы при настройке или не придерживаются системы. Поэтому я решила еще раз обратиться к основам создания и управления учетными записями и дать несколько советов, которые помогут упростить эти процессы.

Пользовательская учетная запись содержит имя и пароль для регистрации на локальном компьютере или в домене. В Active Directory (AD) учетная запись пользователя может также содержать дополнительную информацию, такую как полное имя пользователя, адрес электронной почты, номер телефона, отдел и физический адрес. Кроме того, учетная запись пользователя служит средством для назначения разрешений, сценариев регистрации, профилей и домашних каталогов.

Локальные учетные записи против доменных

Когда пользователи регистрируются на локальном компьютере, а не в домене, они задействуют локальные учетные записи. В среде рабочих групп (с равноправными узлами - P2P) локальные учетные записи обеспечивают функции регистрации для пользователей локальных компьютеров и предоставляют удаленным пользователям доступ к ресурсам компьютера. Определенные пользователи, например, могут иметь доступ к данным на сервере и применять локальную учетную запись для регистрации на такой системе.

Однако большинство пользовательских учетных записей в корпоративной сети являются доменными и предоставляют права и разрешения в масштабах домена. Если только доменная учетная запись явно не запрещает этого, пользователи могут регистрироваться в домене с доменной учетной записью на любой рабочей станции. После регистрации пользователи получают конкретные разрешения по отношению к сетевым ресурсам для доменной учетной записи.

Но доменные учетные записи имеют не только пользователи. В домене учетные записи представляют физические записи, которые могут соответствовать компьютеру, пользователю или группе. Пользовательские учетные записи, учетные записи компьютеров и учетные записи групп являются принципалами (элементами доступа) - объектами службы каталогов, автоматически получающими идентификаторы SID, которые и определяют доступ к ресурсам домена.

Два наиболее важных применения доменных учетных записей - аутентификация пользователей и разрешение или отказ в доступе к ресурсам домена. Аутентификация позволяет пользователям регистрироваться на компьютерах и в доменах с характеристиками, подлинность которых установлена службами домена. Домен разрешает или запрещает доступ к доменным ресурсам на основании разрешений, получаемых пользователем через членство в одной или нескольких доменных группах.

Встроенные доменные учетные записи

Когда создается домен, Windows автоматически генерирует несколько пользовательских учетных записей. В Windows 2000 встроенными являются учетные записи Administrator и Guest. Домены Windows Server 2003 имеют третью встроенную учетную запись с именем HelpAssistant, которая автоматически создается при первом запуске функции Remote Assistance. Каждая из этих встроенных учетных записей имеет разный набор разрешений.

Учетная запись Administrator имеет набор разрешений Full Control на все ресурсы домена и может назначать разрешения пользователям в домене. По умолчанию учетная запись Administrator является членом следующих групп:

• Administrators
• Domain Admins
• Domain Users
• Enterprise Admins
• Group Policy Creator Owners
• Schema Admins

Некоторые администраторы переименовывают или отключают учетную запись Administrator, чтобы усложнить пользователям доступ к контроллеру домена (DC). Вместо этого администраторы могли бы регистрироваться с учетными записями, которые являются членами тех же групп, что давало бы им достаточно прав для администрирования домена. Если учетную запись Administrator отключить, при необходимости получение доступа к DC можно будет пользоваться этой учетной записью, загружая DC в режиме Safe Mode (учетная запись Administrator всегда доступна в режиме Safe Mode).

Учетная запись Guest позволяет регистрироваться в домене пользователям, не имеющим учетной записи. Учетная запись Guest не требует пароля, но можно установить для нее разрешения точно так же, как для любой пользовательской учетной записи. Учетная запись Guest является членом групп Guests и Domain Guests. Понятно, что возможность регистрироваться в домене любому лицу, не имеющему реальной учетной записи, создает определенный риск, поэтому большинство администраторов эту учетную запись не используют. В Windows 2003 учетная запись Guest по умолчанию отключена. Для того чтобы отключить учетную запись Guest в Windows 2000, нужно щелкнуть по ней правой кнопкой в оснастке Microsoft Management Console (MMC) Active Directory Users and Computers, затем в меню выбрать Disable.

Учетная запись HelpAssistant появилась только в Windows 2003. Служба Remote Desktop Help Session Manager создает эту учетную запись и управляет ею, когда пользователь запрашивает сеанс Remote Assistance.

Создаем учетные записи пользователя домена

Учетные записи пользователей домена создаются на DC как функция AD. Необходимо открыть оснастку Active Directory Users and Computers, затем раскрыть подходящий домен (если их несколько). В отличие от Windows NT 4.0, в Windows 2000 и Windows 2003 процессы создания и настройки учетных записей разделены: сначала администратор создает пользователя и соответствующий пароль, затем выполняет настройку, задавая членство в группах.

Чтобы создать нового пользователя домена, следует щелкнуть правой кнопкой по контейнеру Users, затем выбрать New, User, чтобы открыть диалоговое окно New Object - User, изображенное на экране 1. Далее требуется ввести имя пользователя и регистрационное имя. Windows автоматически добавляет к регистрационному имени суффикс текущего домена, который называется суффиксом принципала пользователя (UPN-суффиксом). Можно создать дополнительные UPN-суффиксы и выбрать суффикс для нового пользователя в поле со списком. Можно также ввести другое имя пользователя для регистрации в домене с компьютеров NT 4.0 и Windows 9.x (по умолчанию подставляется предыдущее имя).

Далее следует щелкнуть Next, чтобы выполнить настройку пароля пользователя, как показано на экране 2. По умолчанию Windows вынуждает пользователей менять пароль при следующей регистрации, поэтому для каждого нового пользователя можно брать некий стандартный пароль компании, а затем дать пользователям возможность ввести новый пароль после первой самостоятельной регистрации. Далее следует выбрать параметры пароля, которые нужно задать для этого пользователя. Наконец, требуется щелкнуть Next, чтобы увидеть общую картину выбранных настроек, затем щелкнуть Finish, чтобы создать учетную запись пользователя в AD.

Свойства учетной записи пользователя

Чтобы выполнить настройку или изменить свойства учетной записи пользователя домена, необходимо выбрать ее в списке и дважды щелкнуть правой кнопкой мыши. На экране 3 видны категории настройки.

Вкладка Member Of управляет членством пользователя в группах (и, следовательно, разрешениями и правами пользователя в домене). По умолчанию Windows помещает учетную запись нового пользователя в группу Domain Users. Для одних пользователей этого достаточно, и больше ничего делать не нужно. Другим пользователям, например руководителям отделов или ИT-персоналу, нужно обеспечить такое членство в группах, которое позволило бы им выполнять необходимые задачи. Чтобы установить членство в группе, следует щелкнуть Add, затем выбрать для пользователя, учетная запись которого редактируется, подходящую группу. Если встроенные группы не обеспечивают точно соответствующего имеющимся требованиям набора разрешений, следует сформировать собственные группы.

Создаем шаблоны

Windows позволяет копировать учетные записи пользователей, что делает процесс создания шаблонов более быстрым и эффективным. Наилучший способ воспользоваться преимуществами этой функции - создать ряд шаблонов учетных записей пользователей, а потом превращать эти учетные записи в реальные. Поскольку разрешения и права являются наиболее важными (и потенциально опасными) свойствами, следует создавать шаблоны в категориях в соответствии с членством в группах. Начать нужно с шаблона для стандартного пользователя (т. е. члена только группы Domain Users), затем следует создать шаблоны, имеющие конкретные комбинации принадлежности к группам. Например, можно создать шаблон пользователя под именем Power с принадлежностью к группе Power Users без ограничений часов регистрации или шаблон пользователя под именем DialUp с заранее установленными параметрами коммутируемого доступа. Впоследствии, по мере создания новых учетных записей, можно выбирать подходящий шаблон и модифицировать его.

Я обнаружила несколько полезных приемов создания и копирования шаблонов:

• присваивать шаблонам имена, которые начинаются с 0, чтобы они все вместе появлялись поверх списка пользовательских файлов;
• назначать всем шаблонам один и тот же пароль;
• отключать все учетные записи шаблонов (щелкнуть правой кнопкой файл, затем выбрать Disable).

Для того чтобы создать учетную запись для нового пользователя из шаблона, следует щелкнуть правой кнопкой по списку шаблонов, затем выбрать Copy. В диалоговом окне Copy Object - User нужно ввести имя пользователя и регистрационное имя для вновь создаваемой записи, затем щелкнуть Next, чтобы задать пароль нового пользователя, как описано ниже.

1. Введите стандартный пароль компании и назначьте его новому пользователю.
2. Очистите ячейки Password never expires (срок действия не ограничен) и Account is disabled (учетная запись отключена).
3. Поставьте флажок User must change password at next logon.
4. Щелкните Next, затем Finish.

Не стоит возиться с вкладкой Member Of, поскольку система уже скопировала членство в группах из шаблона пользователя. По сути, если нет необходимости записывать телефон и адрес пользователя, на оставшихся вкладках можно ничего не делать. Система копирует все общие атрибуты. Однако можно добавить для автоматического копирования другие атрибуты или сделать так, чтобы определенные атрибуты не копировались, модифицируя схему AD.

Кэти Ивенс - редактор Windows 2000 Magazine. Участвовала в написании более 40 книг по компьютерной тематике, включая «Windows 2000: The Complete Reference» (Osborne/McGraw-Hill). С ней можно связаться по адресу:

Windows network technology enables you to create network domains . A domain is a group of connected Windows computers that share user account information and a security policy. A domain controller manages the user account information for all domain members.

The domain controller facilitates network administration. By managing one account list for all domain members, the domain controller relieves the network administrator of the requirement to synchronize the account lists on each of the domain computers. In other words, the network administrator who creates or changes a user account must update only the account list on the domain controller rather than the account lists on each of the computers in the domain.

To log-in to a Windows database server, a user on another Windows computer must belong to either the same domain or a trusted domain . A trusted domain is one that has established a trust relationship with another domain. In a trust relationship, user accounts are located only in the trusted domain, but users can log on to the trusted domain.

A user who attempts to log-in to a Windows computer that is a member of a domain can do so either by using a local login and profile or a domain login and profile. However, if the user is listed as a trusted user or the computer from which the user attempts to log-in is listed as a trusted host, the user can be granted login access without a profile.

If you specify a user identifier but no domain name for a connection to a machine that expects both a domain name and a user name (domain\user), IBM Informix checks only the local machine and the primary domain for the user account. If you explicitly specify a domain name, that domain is used to search for the user account. The attempted connection fails with error -951 if no matching domain\user account is found on the local machine.

Use the CHECKALLDOMAINSFORUSER configuration parameter to configure how Informix searches for user names in a networked Windows environment. The following table lists the locations Informix searches for user names specified either alone or with a domain name with CHECKALLDOMAINSFORUSER set to 0 or 1.

Omitting CHECKALLDOMAINSFORUSER from the onconfig file is the same as setting CHECKALLDOMAINSFORUSER to 0. See the IBM Informix Administrator"s Reference for more information about setting CHECKALLDOMAINSFORUSER.

For more information about domains, consult your Windows operating system manuals.

Important: The IBM Informix trusted client mechanism is unrelated to the trust relationship that you can establish between Windows domains. Therefore, even if a client connects from a trusted Windows domain, the user must have an account in the domain on which the database server is running. For more information about how the database server authenticates clients, see

Локальная учетная запись пользователя дает пользователю возможность входить на локальный компьютер для доступа к локальным ресурсам. Однако в сетевой среде пользователям нужен доступ к ресурсам, расположенным в других местах сети. Для доступа к этим ресурсам необходима учетная запись пользователя домена. Когда создается учетная запись пользователя домена, она помещается в службу каталогов Active Directory и доступна с любого компьютера, принадлежащего к этому домену. В рабочей группе, наоборот, учетная запись пользователя существует только на локальном компьютере.

а) Учетные записи пользователя домена, определяемые пользователем

Учетные записи пользователя домена, определяемые пользователем - это учетные записи, которые администратор создает для того, чтобы пользователи могли входить в домен и получать доступ к ресурсам сети. Учетные записи пользователя домена, определяемые пользователем, создаются на контроллере домена. Этот контроллер домена реплицирует данные новой учетной записи пользователя на все контроллеры в домене. В процессе входа пользователь указывает имя пользователя и пароль, а также домен, в котором существует данная учетная запись. Первый доступный контроллер домена использует эти сведения для проверки подлинности учетной записи пользователя.

б) Встроенные учетные записи пользователя (домена)

Помимо возможности для администраторов определять новые учетные записи пользователя домена, операционная система Win2000 предлагает две встроенные учетные записи пользователя домена - Administrator и Guest. Эти встроенные учетные записи пользователя подобны встроенным учетным записям пользователя, существующим на локальных компьютерах в рабочих группах. Главное отличие состоит в том, что эти учетные записи дают возможность доступа к целому домену.

в) Администратор

Встроенная учетная запись Administrator управляет всей конфигурацией компьютера и домена. Пользуясь этой записью, администратор может создавать учетные записи пользователя и группы, управлять безопасностью, распоряжаться принтерами и назначать разрешения учетным записям пользователей. Эту учетную запись можно переименовать, но нельзя удалить.

Встроенная учетная запись Guest позволяет разовым пользователям получить доступ к сетевым ресурсам. Например, в системе с низким уровнем безопасности сотрудник, которому нужен кратковременный доступ к ресурсам, может воспользоваться учетной записью Guest. По умолчанию эта учетная запись является отключенной.

д) Служебная программа Active Directory Users and Computers

Операционная система Win2000 предлагает служебную программу под названием Active Directory UandC, с помощью которой администраторы могут управлять учетными записями пользователей в службе каталогов Active Directory. Эта служебная программа установлена на компьютерах, настроенных как контроллеры домена. Для работы со служебной программой Active Directory UandC необходимо войти в домен Win2000 (не на локал компьютер), имея при этом достаточные права для выполнения соответствующих задач.

С помощью служебной программы Active Directory Users and Computers можно выполнять в домене следующие задачи:

• добавлять или удалять учетные записи пользователя;
• включать и отключать учетные записи пользователя;
• находить или перемещать учетные записи пользователя;
• переименовывать учетные записи пользователя;

сбрасывать пароли пользователей.
12. Группы. Группы на локальном компьютере. Группы на контроллере домена. Встроенные и стандартные группы в домене. Создание групп в домене. Типы групп и области их действия.

Группа - это набор учетных записей пользователя. Разрешения на доступ можно задать одновременно всем членам группы, и нет необходимости задавать их индивидуально. Обеспечив доступ для группы, потом можно просто добавлять в эту группу соответствующих пользователей. Можно использовать принятые по умолчанию, или встроенные, группы, предлагаемые операционной системой Win2000, либо создать новые группы в соответствии с потребностями организации. Группа может существовать либо только на локальном компьютере, либо на компьютерах в пределах одного домена, либо на компьютерах в пределах нескольких доменов.

Группы на локальном компьютере:

На локальных компьютерах (компьютерах, являющихся контроллерами домена), можно создавать только локальные группы в локальной базе данных безопасности. Группа, расположенная на компьютере, не являющемся контроллером домена, обеспечивает безопасность и доступ только для этого локального компьютера. Например, чтобы дать пользователю права администратора на локальном компьютере, достаточно его добавить в группу Administrators (Администраторы) данного компьютера с помощью служебной программы Local Users and Groups (Локальные пользователи и группы).

Группы на контроллере домена:

На контроллере домена группы создаются в службе каталогов Active Directory. Группа, расположенная на контроллере домена, может включать в себя пользователей всего домена или нескольких доменов. Например, чтобы предоставить пользователям права администратора, их добавляют в группу Administrators на каком-нибудь контроллере домена с помощью служебной программы Active Directory Users and Computers (Active Directory - пользователи и компьютеры).

Встроенные и стандартные группы в домене:

Как и в случае с клиентскими компьютерами и рядовыми серверами, на контроллерах доменов имеются встроенные группы по умолчанию. В дополнение к встроенным группам на контроллерах доменов имеются стандартные группы по умолчанию. Когда компьютер становится контроллером домена, система Windows 2000 Advanced Server автоматически создает эти группы в оснастке Active Directory Users and Computers (Active Directory - пользователи и компьютеры). Как и встроенные локальные группы, эти группы предоставляют предопределенные права, определяющие, какие системные задачи может выполнять пользователь или встроенная либо стандартная группа.

Стандартные группы с глобальной областью действия располагаются в папке Users (Пользователи). Встроенные локальные группы домена располагаются в папке Builtin (Встроенные). В системе Windows 2000 группы домена по умолчанию включают в себя следующие группы.

• Встроенные локальные группы домена. Эти группы предоставляют пользователям предопределенные права и разрешения на выполнение задач в службе каталогов Active Directory и на контроллерах домена. Встроенные локальные группы домена располагаются только на контроллерах домена. Удалить эти группы невозможно.
• Специальные группы. Эти группы автоматически организуют учетные записи пользователей для нужд системы. Администраторы не назначают пользователей в эти группы. Вместо этого пользователи либо являются их членами по умолчанию, либо становятся таковыми вследствие своих действий в сети. Специальные группы имеются на всех компьютерах, работающих под управлением системы Windows 2000. Например, если пользователи подключаются к общей папке на удаленном компьютере, они становятся членами группы Network System (Сетевая система). Специальные группы не показываются в оснастке Active Directory Users and Computers (Active Directory - пользователи и компьютеры).

• Стандартные глобальные группы. Эти группы позволяют администратору без труда управлять всеми пользователями в домене. Стандартные глобальные группы имеются только на контроллерах домена. Эти группы располагаются в папке User оснастки Active Directory Users and Computers (Active Directory - пользователи и компьютеры).

Создание групп в домене:

При создании групп для использования в домене руководствуйтесь следующими указаниями.

• Определяйте необходимую область действия группы, исходя из того, как она будет использоваться. Например, для группирования учетных записей пользователей примените глобальную группу. И, наоборот, для предоставления разрешений на ресурс используйте локальную группу домена.
• Определите, имеются ли необходимые разрешения на создание группы в соответствующем домене.

а) По умолчанию, необходимые разрешения на создание групп имеют члены групп Administrators (Администраторы) или Account Operators (Операторы учета).

б) Администратор может дать пользователю разрешение на создание групп в домене.

• Определите имя группы. Выберите интуитивно понятное имя, отражающее назначение создаваемой группы. Такой подход особенно полезен, если администраторы других доменов должны будут искать эту группу в службе каталогов Active Directory.

Группы создаются и удаляются в оснастке Active Directory Users and Computers (Active Directory - пользователи и компьютеры). Можно создавать группы в папке Users (Пользователи) по умолчанию или в любой вновь созданной папке. Если группа больше не нужна, ее обязательно надо удалить, чтобы случайно не предоставить ей каких-либо разрешений.

Чтобы создать группу, откройте оснастку Active Directory Users and Computers (Active Directory - пользователи и компьютеры). Щелкните правой кнопкой мыши папку, в которой будет размещена группа, выберите New (Создать) и щелкните Group (Группа). В следующей таблице описаны параметры диалогового окна New Object - Group (Новый объект - Группа).

Типы групп:

Служба каталогов Active Directory обеспечивает поддержку различных типов групп и областей действия групп в домене. Поскольку группы хранятся в службе Active Directory, их можно использовать на любом компьютере в сети. Тип группы определяет задачи, которыми можно управлять при ее помощи. Область действия группы определяет, охватывает ли группа несколько доменов или ограничена одним доменом. Каждый тип группы в домене имеет атрибут области действия, определяющий, как данная группа применяется в сети.

В службе каталогов Active Directory существуют два типа групп.

1) Группы безопасности. Группы безопасности следует использовать для целей, связанных с обеспечением безопасности, таких как предоставление разрешений на доступ к ресурсам. Кроме того, можно использовать их для рассылки по электронной почте сообщений нескольким пользователям. При рассылке электронной почты какой-либо группе сообщения посылаются всем членам этой группы. Таким образом, группы безопасности имеют некоторые общие возможности с группами распространения.

2) Группы распространения. Группы безопасности используются приложениями в качестве списков для выполнения функций, не связанных с обеспечением безопасности, таких как рассылка электронной почты группам пользователей. Предоставить разрешения, используя группы безопасности, невозможно. Хотя группы безопасности и обладают возможностями групп распространения, последние все же необходимы, поскольку некоторые приложения способны работать только с группами распространения.

Области действия групп:

Область действия группы определяет, где в доменах используется эта группа. Область действия влияет на членство в группах и на вложение групп. Вложение - это добавление группы в другую группу в качестве члена. В системе Windows 2000 имеется три области действия групп.

1) Область действия глобальной группы. Эта область действия используется для объединения пользователей, имеющих аналогичные требования к доступу в сети. Можно использовать глобальную группу для предоставления разрешений на доступ к ресурсам, расположенным в любом домене.

а) Членство в глобальных группах ограничено. Учетные записи пользователей и глобальные группы добавляются только из того домена, в котором создается глобальная группа.

б) Глобальные группы могут быть вложенными в другие группы. Эта функция позволяет добавлять глобальную группу в другую глобальную группу в том же домене, либо в универсальные или локальные группы других доменов.

2) Область действия локальной группы домена. Эта область действия используется для предоставления разрешений на ресурсы домена, расположенные в том же домене, в котором создается локальная группа домена. Ресурс не обязательно должен быть расположен на контроллере домена.

а) Членство в локальных группах домена открытое. Учетные записи пользователей, универсальные группы и глобальные группы добавляются из любого домена.

б) Локальные группы домена не могут быть вложенными в другие группы; это означает, что локальную группу домена невозможно добавить в какую-либо другую группу, даже расположенную в том же домене.

3) Область действия универсальной группы. Предоставляются разрешения на связанные с ней ресурсы в нескольких доменах. Универсальные группы используются для предоставления разрешений на доступ к ресурсам, расположенным в любом домене.

а) Членство в универсальных группах открытое. Их членом может быть любая учетная запись пользователя или группа.

б) Универсальные группы могут быть вложенными в другие группы. Эта возможность позволяет добавлять данную универсальную группу в универсальную группу или в локальную группу домена, расположенную в любом домене.

13. Общие права пользователя. Права, назначенные встроенным группам (по умолчанию).

Рабочая группа.

Права относятся не к конкретному ресурсу, а ко всей системе, и влияют на работу компьютера или домена в целом. Всем пользователям, обращающимся к сетевым ресурсам, нужны определенные общие права на тот компьютер, на котором они работают, например, право входить на компьютер или изменять на нем показания системного времени. Конкретные общие права администраторы могут назначать группам пользователей или отдельным пользователям. Кроме того, операционная система Windows 2000 предоставляет определенные права встроенным группам по умолчанию. Права пользователя определяют, какие пользователи могут выполнять ту или иную конкретную работу на компьютере или в домене.

Общие права пользователя :

Права позволяют пользователю, вошедшему на компьютер или в сеть, выполнять в этой системе определенные действия. Если у пользователя нет прав на выполнение какой-то операции, попытка выполнения этой операции будет блокирована.

Права пользователя могут относиться как к отдельным пользователям, так и к группам. Однако лучше всего управлять правами пользователя, работая с группами. Это гарантирует, что пользователь, входящий в систему как член группы, автоматически получит все связанные с этой группой права. Операционная система Windows 2000 дает администратору возможность назначать права пользователям и группам пользователей. Общие права пользователя включают право локального входа в систему, право на изменение системного времени, право на отключение системы и право доступа к данному компьютеру из сети.

• Локальный вход в систему

Это право позволяет пользователю входить на локальный компьютер или в домен с локального компьютера.

• Изменение системного времени

Это право позволяет пользователю устанавливать показания внутренних часов компьютера.

• Завершение работы системы

Это право позволяет пользователю завершить работу локального компьютера.

• Доступ к этому компьютеру из сети

Это право позволяет пользователю получить доступ к компьютеру, работающему под управлением Windows 2000, с любого другого компьютера в сети.

Права, назначенные встроенным группам (по умолчанию):

Операционная система Windows 2000 по умолчанию предоставляет определенные права таким встроенным группам, как Administrators (Администраторы), Users (Пользователи), Power Users (Опытные пользователи) и Backup Operators (Операторы архива).

1) Администраторы

Administrators - встроенная группа, существующая как на компьютерах, являющихся контроллерами домена, так и на компьютерах, не являющихся контроллерами домена. Члены этой группы имеют полный контроль над компьютером или доменом. Administrators . единственная встроенная группа, которой автоматически предоставляются все встроенные права в системе.

2) Пользователи

Users - встроенная группа, существующая как на компьютерах, являющихся контроллерами домена, так и на компьютерах, не являющихся контроллерами домена. Члены этой группы могут выполнять только те задачи, на которые им предоставлены конкретные права, например, запускать приложения, использовать локальные и сетевые принтеры и выключать и блокировать рабочие станции. Члены группы Users могут создавать локальные группы и могут их изменять, но не могут объявлять папки общими или создавать локальные принтеры.

3) Опытные пользователи

Power Users - встроенная группа, существующая на компьютерах, не являющихся контроллерами домена. Члены группы Power Users могут выполнять конкретные административные функции, но не имеют прав, которые давали бы им полный контроль над системой. Группа Power Users обладает следующими правами.

• Создание учетных записей пользователя и групп на локальном компьютере.
• Изменение и удаление созданных ими учетных записей.
• Предоставление общего доступа к ресурсам. При этом члены группы Power Users не могут выполнять следующие действия.
• Изменять группы Administrators и Backup Operators.
• Архивировать или восстанавливать папки из архива.

4) Операторы архива

Backup Operators - встроенная группа, существующая как на компьютерах, являющихся контроллерами домена, так и на компьютерах, не являющихся контроллерами домена. Члены группы Backup Operators могут архивировать и восстанавливать из архива файлы вне зависимости от того, какими разрешениями эти файлы защищены. Члены группы Backup Operators могут входить на компьютер и завершать его работу, но не могут менять параметры безопасности.

Рабочая группа:

Рабочая группа - это небольшая группа объединенных сетью компьютеров, которые работают вместе и не нуждаются в централизованном администрировании.

Рабочая группа обладает следующими характеристиками.

• Распределение ресурсов, администрирование и проверка подлинности производятся на каждом компьютере рабочей группы в отдельности.
• На каждом компьютере установлена своя локальная база данных SAM (Security Accounts Manager . диспетчер учетных записей безопасности). Пользователь должен иметь учетную запись пользователя на каждом компьютере, на котором он собирается работать.
• Число компьютеров не превышает десяти. Эти компьютеры могут работать под управлением серверных продуктов Windows 2000, однако на каждом имеется своя база данных SAM. Если число компьютеров в рабочей группе превысит 10, ею становится труднее управлять. Число одновременных подключений для компьютера, работающего под управлением системы Windows 2000 Professional, не может превышать 10.

14. Настройка протокола TCP/IP (Transmission Control Protocol/Internet Protocol). DHCP-адресация. Автоматическое назначение IP-адресов. Настройка протокола TCP/IP для использования статического IP-адреса. Проверка и тестирование протокола TCP/IP.

Настройка протокола TCP/IP. DHCP-адресация:

Если протокол TCP/IP был настроен на автоматическое получение IP-адреса, то после установки протокола TCP/IP клиентский компьютер получает IP-адрес одним из двух способов:

• от DHCP-сервера;
• при помощи автоматического назначения частных адресов APIPA (Automatic Private IP Addressing).

DHCP-сервер автоматически назначает IP-адрес и такие значения настройки протокола TCP/IP, как IP-адрес DNS-сервера, WINS-сервера и основного шлюза. Используется следующая процедура автоматического назначения IP-адреса DHCP-сервером.

1. Клиентский компьютер запрашивает IP-адрес у DHCP-сервера.

2. DHCP-сервер назначает IP-адрес клиентскому компьютеру.

Следует убедиться, что параметры протокола TCP/IP настроены таким образом, чтобы клиентский компьютер мог в автоматическом режиме получить IP-адрес от DHCP-сервера. По умолчанию эти параметры в Windows 2000 настраиваются автоматически. Если по какой-либо причине клиентский компьютер не настроен на автоматическое получение IP-адреса, протокол TCP/IP можно настроить вручную.

Автоматическое назначение IP-адресов:

Средство автоматического назначения частных IP-адресов позволяет создать IP-адрес в случае, если клиентский компьютер не может получить IP-адрес от DHCP-сервера. С помощью этого средства назначается только IP-адрес и маска подсети, но не предоставляются дополнительные сведения о настройках, например, основного шлюза. В результате ограничиваются возможности подключения клиентского компьютера к локальной сети: он не может подключиться к другим сетям или Интернету.

При запуске не имеющего IP-адреса компьютера происходит следующее:

1. Клиентский компьютер пытается обнаружить DHCP-сервер и получить от него сведения о настройках протокола TCP/IP.

2. Если клиентский компьютер не обнаружил DHCP-сервер, он настраивает свой IP-адрес и маску подсети, выбирая адрес 169.254.0.0 сети класса B из зарезервированного корпорацией Майкрософт диапазона IP-адресов с маской подсети 255.255.0.0.

Настройка протокола TCP/IP для использования статического IP-адреса:

Иногда возникает необходимость вручную настроить статические IP-адреса для компьютеров сети, в которой поддерживается служба сервера DHCP. Например, компьютер, на котором поддерживается служба сервера DHCP, нельзя настроить на автоматический прием IP-адреса. Кроме того, иногда необходимо сохранить одинаковый IP-адрес у почтового сервера и веб-сервера. В таких случаях следует настроить эти компьютеры со статическим IP-адресом.

При настройке статического IP-адреса необходимо настроить маску подсети и основной шлюз для каждой из имеющихся в компьютере сетевых плат, используя протокол TCP/IP. Ниже приведена таблица, в которой представлены параметры настройки протокола TCP/IP.

Проверка и тестирование протокола TCP/IP :

После настройки протокола TCP/IP следует воспользоваться командами ipconfig и ping, чтобы протестировать настройку локального компьютера и убедиться в том, что его можно подключать к сети с протоколом TCP/IP.

1) Команда Ipconfig:

Команда ipconfig позволяет отобразить на экране тестируемого компьютера данные о настройке свойств протокола TCP/IP и определить, инициализирован ли он на компьютере. Затем проверяется правильность отображенной информации.

2) Команда Ping:

Команда pingявляется средством диагностики, с помощью которого проверяется настройка свойств протокола TCP/IP между двумя компьютерами и определяются ошибки подключения. Посредством команды ping устанавливается возможность взаимодействия с другим узлом, использующим протокол TCP/IP.

Проверка и тестирование протокола TCP/IP:

Комбинируя команды ipconfig и ping, можно проверить настройку протокола IP локального компьютера и IP-подключение двух сетевых компьютеров. В соответствии с процедурой совместного использования команд ipconfig и ping необходимо выполнить следующие основные действия.

1) Введите команду ipconfig в командной строке. Вы получите следующий результат использования команды ipconfig.

• Если протокол TCP/IP инициализирован, то в результате применения команды ipconfig отобразится IP-адрес и маска подсети каждой сетевой платы вашего компьютера. Кроме того, отобразятся другие параметры настройки, такие как основной шлюз.
• Если имеется дублирование IP-адреса, то в результате выполнения команды ipconfig появится сообщение о том, что IP-адрес настроен; однако значение маски подсети равняется при этом 0.0.0.0., свидетельствуя о том, что данный адрес уже используется в сети. Служба автоматического назначения частных IP-адресов всегда имеет идентификатор сети 169.254.0.0. Если вы указываете идентификатор сети, значение которого начинается со 169.254.x.x., то получаете IP-адрес не от сервера DHCP, а через службу автоматического назначения частных IP-адресов.

2) Выполните команду ping 127.0.0.1 с адресом замыкания на себя, чтобы удостовериться в правильности установки протокола TCP/IP. Адрес замыкания на себя представляет собой тот адрес, который используется компьютером для собственной идентификации.

В команде ping используется синтаксис ping IP_адрес, где IP_адрес является адресом другого узла или компьютера с установленным протоколом TCP/IP.

3) Выполните команду ping с IP-адресом локального компьютера, чтобы убедиться, что ваш адрес настроен правильно.

4) Выполните команду ping с IP-адресом основного шлюза, чтобы убедиться, что ваш компьютер может взаимодействовать с локальной сетью. Чтобы убедиться в том, что компьютер можно подключить к локальной сети, следует направить запрос любому другому компьютеру этой локальной сети. Однако наиболее часто для данной цели используется основной шлюз, поскольку обычно он никогда не отключается.

5) Выполните команду ping с IP-адресом удаленного узла, чтобы удостовериться в том, что компьютер может взаимодействовать с маршрутизатором.

По умолчанию, в случае успешного прохождения команд ping, появляются четыре одинаковых сообщения следующего вида: Ответ, полученный с соответствующего IP-адреса

Похожая информация.