Создание учетных записей пользователей и групп

Основной частью работы администратора является создание учетных записей пользователей. Они позволяют Microsoft Windows2000 управлять информацией о пользователях, включая полномочия и права доступа. Для этого служат:

• ActiveDirectoryUsers And Computers (ActiveDirectory— пользователи и компьютеры) — средство администрирования учетных записей в домене ActiveDirectory;

• Local Users And Groups (Локальные пользователи и группы) — средство администрирования учетных записей на локальных компьютерах. В этой главе описано создание учетных записей доменов, локальных пользователей и групп.

Настройка и формированиеучетной записи пользователя

Прежде чем создавать учетные записи, вы должны определить политики, которые будете использовать при их настройке в рамках организации.

Политика именования учетных записей

Ключевая политика, которую нужно установить, — схема именования учетных записей. Учетная запись пользователя имеет отображаемое (или полное) имя (display name) и имя для входа (logon name). Первое отображается пользователю и упоминается в его сеансах. Второе применяется при входе в домен. Об именах для входа мы кратко говорили в главе 7.

Правила для отображаемых имен

В Windows2000 отображаемое имя обычно является именем и фамилией пользователя, по вы можете назначить ему любое строковое значение. При этом:

• локальное отображаемое имя должно быть уникальным на рабочей станции;

• отображаемые имена должны быть уникальными во всем домене;

• отображаемые имена должны содержать не более 64 символов;

• отображаемые имена могут содержать буквенно-цифровые и специальные символы. Правила имен для входа Имена для входа даются по таким правилам.

• Локальные имена для входа должны быть уникальны на рабочей станции, а глобальные имена для входа — во всем домене.

• Имена для входа могут содержать до 104 символов, однако имена длиной более 64 символов неудобно использовать.

• Имя для входа, совместимое с WindowsNT 4.0 или более ранней версией, дается всем учетным записям и по умолчанию соответствует первым 20 символам имени для входа в Windows2000. Это имя должно быть уникальным во всем домене.

• Пользователи, входящие в домен с компьютеров Windows2000, могут применять свои имена для входа как для Windows2000, так и для WindowsNT 4.0 или более ранней версии независимо от рабочего режима домена.

• Имена для входа не могут содержать символов: « \ \ М : ; ! - . + * ? < >

• Имена для входа могут содержать все другие специальные символы, включая пробелы, точки, тирс и символы подчеркивания. Но вообще использование пробелов в именах учетных записей не рекомендуется. Примечание Хотя Windows2000 хранит имена пользователей в том регистре, в котором вы их ввели, от регистра

они не зависят. Так, вы можете получить доступ к учетной записи Администратора, введя как «Администратор», так и «администратор». Имена пользователей хранят регистр, но не чувствительны к нему.

Схемы именования

В небольших организациях стремятся назначить имена для входа, применяя имя или фамилию пользователя. Но в организации любого размера может быть несколько Томов, Диков и Гарри. Поэтому вместо того, чтобы переделывать схему назначения имен для входа, лучше сразу все сделать по уму. Для назначения имени учетным записям применяйте согласованную процедуру, которая позволит расти вашей базе пользователей, ограничит конфликты имен и гарантирует, что у ваших учетных записей защищенные имена. Типы схем назначения имен могут быть следующими.

• Имя и первая буква фамилии пользователя — имя пользователя сочетается с первой буквой его фамилии. Для William Stanek используется Williams или bills. Эта схема непрактична для больших организаций.

• Первая буква имени и фамилия пользователя — первая буква имени пользователя сочетается с фамилией. Для William Stanek используется wstanek. Эта схема также непрактична для больших организаций.

• Инициалы и фамилия пользователя — сочетаются инициалы пользователя с его фамилией. Для имени William R. Stanek используется wrstanek.

• Инициалы и первые пять букв фамилии пользователя — сочетаются инициалы пользователя с первыми пятью буквами его фамилии. Для имени William R. Stanek используется wrstane.

• Имя и фамилия пользователя — вы сочетаете имя и фамилию пользователя. Для разделения имени и фамилии можно использовать символ подчеркивания ( _ ) или дефис (-). Для William Stanek вы используете william_stanek или william-stanek. 1*7=1 Примечание В системах с повышенной безопасностью имени для входа можно назначить цифровой код длиной не менее 20 символов. Соединение такого метода назначения имен со смарт-картами и устройствами для их чтения по-зволяет пользователям быстро войти в сеть. Не беспокойтесь, у пользователей по-прежнему будет отображаемое имя, удобное для чтения.

Пароли и учетные политики

Для аутентификации доступа к ресурсам сети учетные записи Windows2000 используют пароли и открытые сертификаты.

Защитите пароли

Пароль — это чувствительная к регистру строка длиной до 104 символов для службы каталогов ActiveDirectoryи до 14 — для диспетчера безопасности WindowsNT. В паролях можно применять буквы, цифры и знаки. Windows2000 сохраняет пароль в зашифрованном виде в базе данных учетных записей. Однако просто пароль не предотвратит несанкционированного доступа к сетевым ресурсам. Вы должны применять защищенные пароли: их труднее разгадать и взломать. Вы можете затруднить взлом паролей, комбинируя все возможные типы символов, включая буквы верхнего и нижнего регистров, цифры и знаки. Например, вместо строки happydays вы можете использовать в качестве пароля haPPy2Days&, Ha**y!dayS или даже h*PPY%d*ys. К сожалению, не имеет значения, насколько защищенным вы сделали пароль пользователя изначально: со временем пользователь обычно сам выбирает себе пароль. Чтобы затребовать достаточно сложный пароль, вы можете настроить г/четные политики (account policies) — подмножество политик, конфигурируемое как групповая политика.

Настройка учетных политик

Вы можете применять групповые политики на разных уровнях внутри сетевой структуры. (Об управлении локальными групповыми политиками и глобальными групповыми политиками см. главу 4.) В контейнере группоной политики вы можете настроить учетные политики. 1. Раскройте узел учетных политик, переходя вниз по дереву консоли (рис. 8-1). Для этого раскройте узлы Computer

Configuration (Конфигурация компьютера), WindowsSettings (Конфигурация Windows) и Security Settings (Параметры безопасности). 2. Теперь вы можете управлять учетными политиками через узлы Password Policy (Политика паролей), Account Lockout Policy (Политика блокировки учетных записей) и Kerberos Policy (Политика Kerberos). Примечание Политики Kerberos не используются на локальных компьютерах. Они доступны только в групповых политиках, которые влияют на сайты, домены и ОП.

3. Для настройки политики дважды щелкните соответствующую запись или, щелкнув ее правой кнопкой, выберите Security (Безопасность) — откроется окно свойств политики (рис. 8-2). 4. Действующая политика для компьютера отображается, но вы не можете изменить ее, Однако вы можете изменить

параметры локальной политики и тогда пропустите оставшиеся шаги — они применяются для глобальных групповых политик.

Примечание Политики сайтов, доменов и подразделений имеют приоритет над локальными политиками. 5. Окно свойств для сайтов, доменов или подразделений выглядит так (рис. 8-3):

6. Все политики могут быть либо определены, либо нет. Политика, не определенная в текущем контейнере, может быть унаследована от другого контейнера.

7. Чтобы включить политику, пометьте флажок Define This Policy Setting (Определить этот паарметр политики), Примечание Политики имеют дополнительные поля для настройки ограничений, например переключатели Enabled (Включено) и Disabled (Выключено). О работе с учетными политиками см. разделы «Настройка политики паролей», «Настройка политики блокировки учетной записи» и «Настройка политики Kerberos» этой главы.

Просмотр действующих политик

Работая с учетными политиками и назначениями прав пользователей, вы захотите просмотреть действующую политику на локальной системе, набор ограничений которой зависит от порядка применения политик по их иерархии (см. главу 4).

Политику, действующую на локальной системе, можно просмотреть следующим образом. 1. Откройте узел локальной политики системы, как было описано в главе 4, или щелкните ярлык Local Policy Settings в меню Administrative Tools (если эти средства установлены и вы в данный момент подключены к компьютеру, который хотите изучить). 2. Раскройте узел политики, которую хотите просмотреть (рис. 8-4).

3. Для локальной политики вместо столбца Computer Setting отображаются столбцы Local Setting (Локальный параметр) и Effective Setting (Действующий параметр). В столбце Local Setting отображаются параметры локальной политики, а в столбце Effective Setting — параметры политики, примененные к на локальном компьютере. 4. Если вы увидите сообщения о конфликтах политик, см. главу 4.

Настройка учетных политик

Как вы уже знаете, существует три тина учетных политик: политики паролей, блокировки учетной записи и Kerberos.

Настройка политики паролей

Политики паролей управляют безопасностью паролей и позволяют задать следующие параметры:

• Enforce Password History (Требовать неповторяемости паролей);

• Maximum Password Age (Максимальный срок действия пароля);

• Minimum Password Age (Минимальный срок действия пароля);

• Minimum Password Length (Минимальная длина пароля);

• Passwords Must Meet Complexity Requirements (Пароли должны отвечать требованиям сложности);

• Store Password Using Reversible Encryption For All Users In The Domain (Хранить пароли всех пользователей в домене, используя обратимое шифрование).

Требовать неповторяемости паролей

Эта политика указывает, насколько часто старые пароли могут использоваться повторно. Она также может помешать пользователям менять пароли один на другой из одного общего набора. Windows2000 может хранить до 24 паролей для каждого пользователя в предыстории паролей. По умолчанию Windows2000 хранит один пароль в предыстории. Чтобы отключить контроль предыстории, обнулите размер предыстории паролей, а чтобы включить — введите количество запоминаемых паролей в поле Passwords Remember. Windows2000 будет отслеживать старые пароли, используя

зователям не будет разрешено применять заново любой из сохраненных паролей. Примечание Вы можете помешать пользователям мошенничать с предысторией паролей, запретив им изменять пароли сразу: пользователь не сможет изменять пароль несколько раз подряд, чтобы вернуться к своему старому паролю.

Максимальный срок действия пароля

Параметр Maximum Password Age определяет, как долго пользователи могут применять пароли, прежде чем изменить их. Это делается с целью заставить пользователей периодически изменять свои пароли. Значение этого параметра определяется потребностями вашей сети. Чем важнее безопасность, тем короче должен быть период действия. Вы можете задать период от 0 до 999 дней (по умолчанию — 42 дня). О означает, что срок действия пароля не ограничен, При высоких требованиях к безопасности рекомендуется требовать смену пароля каждые 30-90 дней. В остальных случаях — через 120-180 дней. pr^i Примечание Windows2000 уведомляет пользователей, когда срок действия пароля подходит к концу. Когда остается меньше 30 дней, пользователи при входе в сеть видят предупреждение о необходимости сменить пароль до истечения срока.

Минимальный срок действия пароля

Параметр Minimum Password Age определяет, как долго пользователи должны применять пароль, прежде чем смогут изменить его. Этот параметр позволяет помешать пользователям мошенничать с системой паролей, вводя новый пароль, а затем изменяя его на старый. По умолчанию Windows2000 позволяет пользователям изменять свой пароль сразу, но вы вправе задать определенный минимальный срок, Рекомендуемое значение — 3-7 дней.

Минимальная длина пароля

Параметр Minimum Password Length задает минимальное количество символов для пароля. Если вы до сих пор не

• Reset Account Lockout Threshold After (Частота сброса счетчика неудачных попыток).

Максимальное число неудачных попыток

Параметр Account Lockout Threshold определяет количество попыток входа в сеть. Установите его значение таким, чтобы оно сбалансировало потребность предотвращения взлома учетной записи и потребности пользователей, которым не удается сразу получить доступ к своим учетным записям. Обычно пользователь не может получить доступ к своей учетной записи из-за того, что забыл пароль, и тогда он пытается войти в сеть еще несколько раз. У пользователей рабочих групп также могут быть проблемы с доступом на удаленную систему, где их текущий пароль не совпадает с тем, что ожидается удаленной системой. Если это случается, несколько неправильных попыток входа в сеть могут быть записаны удаленной системой прежде, чем пользователь получит приглашение ввести правильный пароль. Дело в том, что Windows2000 может попытаться автоматически войти на удаленную систему. В среде домена этого обычно не происходит, благодаря функции однократного ввода пароля. Возможные значения порога блокировки — от 0 (по умолчанию) до 999. О означает, что учетные записи не будут блокированы в случае неверных попыток входа в сеть. Любое другое значение задает порог блокировки: чем выше его значение, тем выше риск взлома вашей систему. Рекомендуемый диапазон значений для порога — от 7 до 15: это позволяет исключить ошибку пользователя и в то же время помешать взломщикам.

Продолжительность блокировки учетной записи

Параметр Account Lockout Duration задает период времени, в течение которого учетная запись будет заблокирована. Возможные значения — от 1 до 99 999 минут. Значение О блокирует учетную запись неопределенное время: это лучшая политика безопасности, так как при этом только администратор может разблокировать учетную запись. Это должно предотвратить попытки взломщиков получить доступ к системе повторно и заставит пользователей, чьи учетные записи заблокированы, искать помощи у администратора. Таким образом, вы можете определить, что пользователь делает неправильно, и помочь ему избежать проблем в дальнейшем. Примечание После блокировки учетной записи откройте окно свойств учетной записи из консоли ActiveDirectoryUsers And Computers (ActiveDirectory— пользователи и компьютеры) и на вкладке Account (Учетная запись) сбросьте флажок Account Is Locked (Учетная запись заблокирована). Это разблокирует учетную запись.

Частота сброса счетчика неудачных попыток

После каждой неудачной попытки входа в сеть Windows2000 увеличивает значение счетчика неправильных попыток входа. Параметр Reset Account Lockout Threshold After (Сброс счетчика блокировки учетной записи через) определяет, как долго сохраняется значение этого счетчика. В исходное состояние это значение возвращается двумя путями: если пользователь вошел в сеть успешно или с момента последней неудачной попытки прошло время, указанное в параметре Reset Account Lockout Threshold After. По умолчанию значение счетчика блокировки сохраняется 1 минуту, но вы можете задать интервал от 1 до 99 999 минут. Как и с порогом блокировки, нужно выбрать значение, которое сбалансирует потребности безопасности и удобства доступа. Рекомендуемое значение — 1-2 часа. Это заставит взломщиков ждать больше, чем они хотят, прежде чем попытаться получить доступ снова. Примечание Неправильные попытки входа на рабочую станцию из хранителя экрана, защищенного паролем, не увеличивают значение счетчика. Аналогично, если вы заблокировали сервер или рабочую станцию, нажав Ctrl+Alt+Delete, неправильные попытки войти в сеть из диалогового окна разблокирования также не считаются. Настройка политики Kerberos Протокол Kerberos версии 5 — основной механизм аутентификации, используемый в домене ActiveDirectory. Для проверки подлинности пользователей и сетевых служб протокол Kerberos применяет билеты, содержащие зашифрованные данные. Билеты служб необходимы служебным нроцес-сам Windows2000, а билеты пользователей — пользовательским ПРОЦЕССам. Бы можете контролировать срок действия билета и возможность его обновления посредством следующих политик:

• Enforce User Logon Restrictions;

• Maximum Lifetime For Service Ticket;

• Maximum Lifetime For User Ticket;

• Maximum Lifetime For User Ticket Renewal;

• Maximum Tolerance For Computer Clock Synchronization, Внимание! Изменять эти параметры должны только администраторы, хорошо знакомые с Kerberos. Неправильная настройка этих параметров может вызвать серьезные проблемы в сети. Как правило, значения по умолчанию изменять не требуется. Использовать ограничения для входа пользователя в сеть Параметр Enforce User Logon Restrictions гарантирует применение любых ограничений, связанных с учетной записью пользователя. Так, если для пользователя ограничены часы входа в сеть, эта политика реализует это ограничение. Но умолчании) этот параметр включен и должен отключаться только в исключительных случаях.

Максимальное время жизни

Параметры Maximum Lifetime For Service Ticket и Maximum Lifetime For User Ticket задают максимальное время, в течение которого действительны служебные или пользовательские билеты. По умолчанию максимальное время жизни служебных билетов — 41 760 минут, а пользовательских — 720 часов. Вы можете изменить длительность действия билетов. Для служебных билетов диапазон составляет 0-99 999 минут, а для пользовательских — 0-99 999 часов. Нулевое значения параметра соответствует неограниченному сроку жизни. Билет, время жизни которого истекло, может быть возобновлен, если это происходит в интервале из параметра Maximum Lifetime For User Ticket Renewal. По умолчанию максимальный период восстановления — 60 дней, допустимый интер-вал — 0-99 999 дней. Значение 0 соответствует неограниченному периоду восстановления.

Максимальное отклонение

Параметр Maximum Tolerance For Computer Clock Synchronization — один из немногих, который вам, вероятно, понадобится изменить. По умолчанию компьютеры в домене должны быть синхронизированы друг с /другом с точностью до 5 минут, иначе аутентификация невозможна. Если у вас есть пользователи, которые входят в домен без синхронизации с сервером времени, задайте значение в интервале 0-99 999.

Настройка политик прав пользователя

В главе 7 мы обсуждали встроенные возможности и права пользователя. Встроенные возможности учетных записей изменять нельзя, но вы можете управлять правами пользователя для учетных записей. Вы можете делать пользователей членами соответствующей группы или групп. Вы также можете управлять правами пользователя для учетных записей. Примечание Любой член группы, которой назначено определенное право, тоже имеет это право. Так, если группа Backup Operators имеет какое-либо право и TJSMITH является членом этой группы, он также имеет это право. Сделанные вами изменения в правах пользователя могут иметь далеко идущие последствия. Поэтому изменять политику прав пользователя должны только опытные администраторы. Вы можете назначать права пользователя через узел Local Policies (Локальные политики) консоли групповых политик. Как и подразумевает имя, локальные политики принадлежат локальному компьютеру. И все же вы можете настраивать локальные политики, а затем импортировать их в ActiveDirectory. Вы также мокетс настраивать эти локальные политики как часть существующей групповой политики для сайта, домена или подразделения, тогда они применяются к учетным записям компьютеров в сайте, домене или подразделении.

Политиками прав пользователя управляют так.

!. Раскройте нужный вам контейнер групповой политики и получите доступ к узлу Local Policies (Локальные поли-

изменили параметр по умолчанию, срочно сделайте это, поскольку по умолчанию разрешены пустые пароли (т. с. вход в систему вообще без пароля). Как правило, длина пароля составляет не менее 8 символов. Дело в том, что длинные пароли обычно взломать труднее, чем короткие. Если хотите большей безопасности, задайте минимальную длину пароля в 14 символов.

Пароли должны отвечать требованиям сложности

Помимо простых паролей и учетных политик, в Windows2000 есть средства дополнительного управления паролями. Они доступны в фильтрах паролей, которые можно установить на контроллере домена. Если вы уже установили фильтр паролей, включите параметр Passwords Must Meet Complexity Requirements. После э'юго пароли должны будут соответствовать требованиям безопасности фильтра. Например, стандартный фильтр WindowsNT (PASSFILT.DLL) заставляет использовать защищенные пароли, т. е.:

• длина пароля — минимум 6 символов;

• пароль не содержит имени или части имени пользователя;

• в пароле применяются три из четырех доступных типов символов: буквы нижнего и верхнего регистров, цифры и знаки. Хранить пароли всех пользователей в домене, используя обратимое шифрование Пароли, хранимые в БД паролей, зашифрованы. Это шифрование обычно необратимо. Чтобы сделать его обратимым, включите параметр Store Password Using Reversible Encryption For All Users In The Domain. При этом пароли сохраняются с обратимым шифрованием и в случае необходимости могут быть восстановлены. Если же пользователь забыл свой пароль, администратор вправе его изменить.

Настройка политики блокировки учетных записей

К политикам блокироики учетных записей в домене или на локальной системе относятся:

• Account Lockout Threshold (Максимальное число неудачных попыток);

• Account Lockout Duration (Продолжительность блокировки учетной записи);

тики). Раскройте пункты Computer Configuration (Конфигурация компьютера), WindowsSettings (Конфигурация Windows) и Local Policies (Локальные политики). 2. Раскройте пункт User Rights Assignment (Назначение прав пользователя) (рис. 8-5).

3. Для конфигурации назначения прав пользователя дважды щелкните права пользователя или, щелкнув их правой кнопкой, выберите в контекстном меню Security (Безопасность) — откроется диалоговое окно свойств. 1. Теперь вы можете настраивать права пользователя как описано в пи. 1-4 раздела «Локальная конфигурация нрав пользователя» или в пп. 1-7 следующего раздела. Глобальная конфигурация прав пользователя Вы можете настраивать индивидуальные права пользователя на уровне сайта, домена или подразделения. 1. Откройте диалоговое окно свойств для прав пользователя (рис. 8-6).

Примечание Все политики настроены для применения либо нет. Политика, не определенная в текущем контейнере, может быть наследована от другого контейнера.

Пометьте флажок Define This Policy Settings для определения политики. Для применения права к пользователю или группе щелкните кнопку Add (Добавить). Затем в диалоговом окне Group Name (Имя группы) щелкните кнопку Browse (Обзор) — откроется диалоговое окно Select Users Or Groups (рис. 8-7). Теперь можно применять право к пользователям или группам. Поля этого диалогового окна позволяют сделать следующее.

• Look In (Искать в) — получить доступ к именам учетных записей с других доменов. Щелкните окно списка Look In, где вы увидите текущий домен, доверенные домены и другие ресурсы, к которым вы можете получить доступ. Выберите пункт Entire Directory(Вся пайка) для просмотра всех имен учетных записей в каталоге. Примечание В списке Look In перечислены только доверенные домены. Из-за транзитивных доверительных отношений в Windows2000 это обычно означает, что просматриваются все домены в дереве доменов (domain tree} или в лесу (forest). Переходящее доверие не устанавливается явно. Вернее, доверие устанавливается автоматически на основе структуры леса и прав, заданных в лесу. Name (Имя) отображает доступные учетные записи выбранного домена или ресурса. Add (Добавить) добавляет имена в список выбранного. Check Names (Проверить имена) позволяет подтвердить правильность имен пользователей и групп, введенных и список выбора. Это удобно, если вы вводите имена вручную и хотите удостовериться, что они доступны.

Выбрав имена учетных записей для добавления в группу, щелкните ОК. Теперь в окне Group Name должны отображаться выбранные учетные записи. Щелкните ОК. 4. Диалоговое окно свойств обновится, отображая ваш выбор. Если вы допустили ошибку, выберите имя и удалите его, щелкнув кнопку Remove (Удалить). 5. Назначив права пользователям и группам, щелкните ОК.

Локальная конфигурация прав пользователя

На локальных компьютерах права пользователя применяются так. 1. Откройте диалоговое окно свойств (рис. 8-8).

2. Действующая политика для этого компьютера отображается, но вы не можете изменить ее. Однако вы можете изменить параметры локальной политики. Используйте поля диалогового окна, предназначенные для настройки локальной политики. Помните, что политики сайтов, доменов или подразделений имеют приоритет над локальными политиками. 3. В колонке Assigned To (Назначен) отображаются имена пользователей и групп, которым было дано право пользователя. Пометьте/сбросьте соответствующий флажок под колонкой Local Policy Setting для применения/отмены права пользователя. Вы можете применить право пользователя другим пользователям и группам, щелкнув кнопку Add. В открывшемся окне Select Users Or Groups (рис. 8-7) можно добавить пользователей и группы.

Добавление учетной записи пользователя

Вам понадобиться создать учетную запись для каждого пользователя, который хочет обращаться к вашим сетевым ресурсам. Вы можете создать доменную учетную запись пользователя в консоли ActiveDirectoryUsers And Computers (ActiveDirectory— пользователи и компьютеры), а локальную учетную запись пользователя — из консоли Local Users And Groups (Локальные пользователи и группы). Создание доменной учетной записи пользователя Создать новые доменные учетные записи можно двумя способами.

• Создание полностью новой учетной записи пользователя. Щелкните правой кнопкой контейнер, в который вы хотите поместить учетную запись пользователя, выберите в контекстном меню New (Создать), а затем — User (Пользователь). Откроется окно мастера New Object User (Новый объект — пользователь) (рис. 8-9). К созданной учетной записи применяются системные параметры по умолчанию.

• Создание новой учетной записи на основе существующей. Вызовите контекстное меню правым щелчком учетной записи пользователя, которую вы хотите скопировать в консоль ActiveDirectoryUsers And Groups, и выберите Copy (Копировать). Откроется мастер Copy Object — User, похожий на диалоговое окно New User (Новый пользователь). Созданная копия учетной записи получает большинство значений параметров от существующей. О копировании учетных записей см. главу 9. С помощью мастеров New Object — User или Copy Object —

User учетная запись создается так.

1. Первое окно мастера позволяет ввести отображаемое имя пользователя и его имя для входа (рис. 8-9). 2. Введите имя и фамилию пользователя в соответствующих полях. Эти данные нужны для создания полного имени, которое и будет отображаемым именем пользователя. 3. Отредактируйте полное имя. Например, можно набрать его в формате Фамилия Имя Отчество, либо в формате Имя Отчество Фамилия. Полное имя должно быть уникальным в домене длиной не более 64 символа.

4. Наберите имя для влода в соответствующем иоле. Далее используйте раскрывающийся список для выбора домена, с которым будет связана учетная запись. Это задает полное имя для вхола. 5. Первые 20 симнолов имени для входа служат в качестве имени для входа в WindowsNT версии 4.0 или более ранней. Это имя также должно быть уникальным и домене; при необходимости его можно изменить. 6. Щелкните Next (Далее). Укажите пароль для пользонателя в открывшемся окне (рис. 8-10), параметры которого таковы:

• Password (Пароль) — пароль для учетной записи; должен соответствовать вашей политике паролей;

• Confirm Password (Подтверждение) — поле, используемое для подтверждения правильности введенного пароля: введите сюда пароль заново для его подтверждения;

• User Must Change Password At Next Logon (Потребовать смену пароля при следующем входе в систему) — если отмечено, пользователь должен изменить пароль при следующем входе и систему;

• User Cannot Change Password (Запретить смену пароля пользователем) — если отмечено, пользователь не может изменить пароль;

Password Never Expires (Срок действия пароля не ограничен) — если отмечено, время действия пароля для этой учетной записи не ограничено; этот параметр перекрывает доменную политику учетных записей, (неограниченный по сроку действия пароль устанавливать не рекомендуется, так как это устраняет саму цель использования паролей); Account Is Disabled (Отключить учетную запись) если отмечено, учетная запись заблокирована и не может быть использована; параметр удобен для временного запрета использования кем-либо этой учетной записи.

7. Щелкните Next, а затем Finish (Готово). Если возникли проблемы при создании учетной записи, вы увидите предупреждение. Вернитесь тогда к редактированию, щелкнув кнопку Back (Назад), и заново наберите информацию о пользователе и пароле. Для созданной учетной записи можно установить расширенные свойства (см. главу 9).

Создание локальных учетных записей пользователя

Для создания локальных учетных записей служит консоль Local Users And Groups (Локальные пользователи и группы).

Выберите Start\Programs\Admmistrative Tools\Computer Management (Пуск\Программы\ Администрирование\Управление компьютером), либо выберите Computer Management (Управление компьютером) из папки Administrative Tools (Администрирование). Щелкните правой кнопкой Computer Management (Управление компьютером) в дереве консоли и выберите в меню Connect To Another Computer (Подключиться к другому компьютеру). Теперь вы можете выбрать систему, локальными учетными записями которой будете управлять. На контроллерах домена нет локальных пользователей и групп. Разверните ветвь SYSTEMTools (Служебные программы), щелкнув значок плюс (+), а затем выберите Local Users And Groups (Локальные пользователи и группы). Щелкните правой кнопкой Users (Пользователи) и выберите в меню New User (Новый пользователь). Откроется одноименное окно (рис. 8-11) со следующими полями:

• Username (Имя пользователя) — имя для входа учетной записи пользователя; должно соответствовать политике назначения имен локальным пользователям;

• Full Name (Полное имя) — полное имя пользователя, например William R. Stanek;

• Description (Описание) — дополнительная информация о пользователе; обычно сюда записываются сведения о должности, названии отдела и т. д.;

• Password (Пароль) — пароль для учетной записи; должен соответствовать условиям политики паролей;

• Confirm Password (Подтверждение пароля) — поле для подтверждения правильности введенного выше пароля; заново введите пароль в это поле;

• User Must Change Password At Next Logon (Потребовать смену пароля при следующем входе в систему) — если отмечено, пользователь должен изменить пароль при следующем входе в систему;

• User Cannot Change Password (Запретить смену пароля пользователем) — если отмечено, пользователь не может самостоятельно изменить пароль;

• Password Never Expires (Срок действия пароля не ограничен) — если отмечено, время действия пароля для этой учетной записи не ограничено; этот параметр перекрывает локальную политику учетных записей;

• Account Is Disabled (Отключить учетную запись) — если отмечено, учетная запись заблокирована и не может быть задействована; это поле удобно для временного запрета использования кем-либо учетной записи. 5. Закончив настройку новой учетной записи, щелкните Create (Создать).

Добавление учетной записи группы

Учетные записи групп позволяют управлять привилегиями нескольких пользователей. Вы можете создавать глобальные учетные записи групп в консоли ActiveDirectoryUsers And Computers, а локальные — в консоли Local Users And Groups. Помните, что вы создаете учетные записи групп для похожих типов пользователей. Можно выделить следующие типы групп.

• Группы по отделам организации. Сотрудники одного отдела обычно нуждаются в доступе к одним и тем же ресурсам. Поэтому вы можете создавать группы по отделам, таким как отдел развития бизнеса, отдел продаж, производственный отдел.

• Группы по приложениям. Зачастую пользователям нужен доступ к одному приложению и ресурсам для этого приложения. Если вы создаете группы, ориентированные на определенные приложения, убедитесь, что пользователи получают доступ к необходимым ресурсам и файлам приложения.

• Группы по должностям в организации. Группы могут быть организованы по должностям пользователей в организации. Так, должностным лицам, возможно, нужны ресурсы, к которым не обращаются другие пользователи. Создавая группы, основанные на должностях, вы даете пользователям доступ к ресурсам, и которых они нуждаются,

Создание глобальной группы

Глобальная группа создается так. 1. Запустите консоль ActiveDirectoryUsers And Computers. Щелкните правой кнопкой контейнер, в который хотите поместить учетную оапись пользователя. Выберите New. а затем Group (Группа). Откроется диалоговое окно New Object — Group (Новый объект — группа) (рис. 8-12).

2. Введите имя группы. Имена глобальных учетных записей групп следуют тем же правилам, что и отображаемые

имена для учетных записей пользователей. Они нечувствительны к регистру и могут содержать до 64 символов. 3. Первые 20 символов имени группы будут соответствовать имени группы в WindowsNT версии 4.0 и более ранних версий. Это имя группы должно быть уникальным в домене. Если нужно, измените его. 4. Выберите область видимости группы — Domain Local (Локальная в домене), Global (Глобальная) или Universal (Универсальная). 5. Выберите тип группы: Security (Группа безопасности) или Distribution (Группа распространения). 6. Щелкните ОК. Как только учетная запись будет создана, вы можете добавлять членов группы и устанавливать дополнительные свойства.

Создание локальных групп и выбор членов группы

Локальные группы создаются в консоли Local Users And Groups. 1. Выберите Stait\Programs\Administrative Tools\Computer Management (Пуск\Программы\ Администрирование\Управленис компьютером). Либо выберите Computer Management (Управление компьютером) из папки Administrative Tools (Администрирование). 2. Щелкнув правой кнопкой Computer Management (Управление компьютером) в дереве консоли, выберите Connect То Another Computer. Теперь можно выбрать систему, локальными учетными записями которой вы будете управлять. На контроллере домена нет локальных пользователей и групп. 3. Разверните ветвь SYSTEMTools (Служебные программы), щелкнув значок плюс (+) и выберите пункт Local Users And Groups (Локальные пользователи и группы). 4. Щелкнув правой кнопкой Groups (Группы), выберите NewGroup (рис. 8-13). Введите имя и описание группы и щелкните кнопку Add, чтобы добавить имена в группу — откроется окно Select Users Or Groups (рис. 8-7). 5. Выбрав имена учетных записей для добавления в группу, щелкните ОК.

6. Диалоговое окно New Group обновится, отображая ваш выбор. Если вы допустили ошибку, выберите имя и удалите его, щелкнув кнопку Remove (Удалить). 7. Завершив добавлять или удалять членов группы, щелкните Create (Создать).

Управление членством в глобальных группах

Для настройки членства служит консоль ActiveDirectoryUsers And Computers. Работая с группами, помните, что;

• все новые пользователи домена являются Domain Users (Пользователи домена) — это их основная группа;

• все новые рабочие станции и службы домена являются Domain Computers (Компьютеры домена) — это их основная группа;

• все новые контроллеры домена являются Domain Controllers (Контроллеры домена) — это их основная группа. Консоль ActiveDirectoryUsers And Computers позволяет:

• управлять индивидуальным членством;

• управлять множественным членством;

• настраивать основную группу для отдельных пользователей и компьютеров.

Управление индивидуальным членством

Вы можете добавить в группу любой тип учетной записи. 1. Дважды щелкните имя пользователя, компьютера или группы в консоли ActiveDirectoryUsers And Computers. 2. В окне свойств выберите вкладку Member Of (Член групп). 3. Чтобы сделать учетную запись членом группы, щелкните Add (Добавить). Откроется окно Select Groups, сходное с окном Select Users Or Groups. Теперь вы можете выбрать группы, к которым будет принадлежать текущая учетная запись. 4. Чтобы удалить учетную запись из группы, выберите группу и щелкните Remove (Удалить). 5. Щелкните ОК.

Управление множественным членством

Членством в группе можно управлять и через диалоговое окно свойств группы. 1. Дважды щелкните название группы в консоли ActiveDirectoryUsers And Computers. Откроется окно свойств группы. 2. Выберите вкладку Members (Члены группы). 3. Для добавления учетных записей в группу щелкните Add (Добавить). Откроется окно Select Users Or Groups. Теперь можно выбрать пользователей, компьютеры и группы, которые должны быть членами текущей группы. 4. Для удаления членов группы выберите учетную запись и щелкните Remove (Удалить). 5. Щелкните ОК.

Настройка основной группы для пользователей и компьютеров

Основная группа назначается файлам или папкам, созданным пользователями Windows2000 через службы для Macintosh. Все учетные записи пользователей и компьютеров должны иметь основную группу независимо от того, получает учетная запись доступ к системе Windows2000 через служ-бы для Macintosh или нет. Эта группа должна быть глобальной или универсальной, такой как глобальная группа Domain Users (Пользователи домена) или глобальная группа Domain Computers (Компьютеры домена). Основная группа настраивается так. 1. Дважды щелкните имя пользователя, компьютера или группы в окне консоли ActiveDirectoryUsers And Computers. Откроется окно евойств. 2. Выберите вкладку Member Of (Член групп). 3. В списке членов выберите группу с глобальной или универсальной областью видимости. 4. Щелкните кнопку Set Primary Group. Все пользователи должны быть членами хотя бы одной основной группы. Вы не можете отменить членство в основной группе, пока не выберете другую основную группу для пользователя. 1. Выберите другую группу с глобальной или универсальной областью видимости в списке членства и щелкните кнопку Set Primary Group. 2. В этом же списке выберите предыдущую основную группу и щелкните кнопку Remove (Удалить). Теперь членство в группе отменено.