Учетные записи

В идеале можно было бы создать пользовательские и групповые учетные записи и никогда больше к ним не обращаться. Но в реальности после формирования учетных записей надо потратить немало времени па управление ими.

Управление информациейо контактах пользователя

Пользовательские учетные записи могут содержать подробную связанную информацию о контактах, доступную каждому внутри доменного дерева или леса.

Настройка информации о контактах

Для каждой учетной записи пользователя можно определить информацию о контактах. 1. Двойной щелчок имени пользователя в консоли ActiveDirectoryUsers And Computers (ActiveDirectory— пользователи и компьютеры) откроет диалоговое окно свойств записи. 2. Заполните поля на вкладке Genera! (Общие) (рис. 9-1):

• First Name, Initials, Last Name — поля для ввода имени, инициалов и фамилии пользователя;

• Display Name (Имя входа пользователя) определяет, как будет отображаться имя пользователя » ActiveDirectoryи при входе в систему;

• Description (Описание) — описание пользователя;

Office (Комната) — расположение пользователя в офисе; Telephone Number (Номер телефона) — номер основного служебного телефона; чтобы указать другие номера служебных телефонов этого пользователя, нажмите Other (Другие) и в диалоговом окне Phone Number (Others) [Номер телефона (другие)] введите дополнительные номера телефонов; E-Mail (Электронная почта) — служебный почтовый адрес пользователя. Web Page (Web-страница) — URL (универсальный указатель ресурса) домашней страницы пользователя, которая может находиться как в Интернете, так и в интрасети компании; вы можете указать прочие Webстраницы: щелкнув Other (Другие), в диалоговом окне Web Page Address (Others) [Адрес Web-страницы (Другие)] введите дополнительные адреса Web-страниц.

Совет Чтобы задействовать функции отправки почты и открытия домашней страницы в консоли ActiveDirectoryUsers And Computers, заполните поля E-Mail и Web Page. Подробности см. в разделе «Обновление учетных записей пользователей и групп». 3. Выберите вкладку Address (Адрес). Введите в соответствующие поля рабочий и домашний адрес пользователя. Обычно вводят только рабочий адрес, отмечая при этом почтовый адрес пользователя в разных офисах. Примечание Прежде чем вводить домашний адрес пользователя, обсудите этот вопрос с отделом кадров и с юридическим отделом либо с самим пользователем. 4. Выберите вкладку Telephones (Телефоны). Введите основные номера контактных телефонов пользователя, например, домашнего, мобильного или IP-телефона, а также факса и пейджера. 5. Для каждого типа телефонного номера можно установить дополнительные номера. Щелкните кнопку Others (Другие) и, следуя инструкциям мастера, введите дополнительные номера телефонов. 6. Выберите вкладку Organization (Организация) и введите пользовательский заголовок, отдел и компанию, соответственно. 7. Чтобы указать руководителя пользователя, щелкните Change (Изменить), а затем в диалоговом окне Select User Or Contact выберите руководителя. После этого запись пользователя будет отображаться и графе прямых подчиненных руководителя. 8. Щелкните Apply (Применить) или ОК, чтобы сохранить изменения. Поиск пользователей и создание записей в адресной книге ActiveDirectoryупрощает задачу поиска пользователей в каталоге и создания записей в адресной книге на основе результатов этого поиска. 1. Раскройте меню Start\Search (ПускХНайти) и, щелкнув For People (Людей), откройте диалоговое окно (рис. 9-2),

2. В списке Look In (Искать в) выберите ActiveDirectoryи наберите имя или адрес электронной почты нужного пользователя. 3. Чтобы начать поиск, щелкните Find Now (Найти). Если поиск не завершится успехом, введите новые параметры и запустите поиск. 4. Выбрав из списка лмя и щелкнув Properties (Свойства), можно посмотреть свойства записи. 5. Чтобы добавить информацию о контактах в адресную книгу, выберите имя и щелкните Add To Address Book (Добавить в адресную книгу).

Параметры среды пользователя

Пользовательские записи могут содержать профили, сценарии входа в систему и связанные домашние папки. Чтобы задать эти параметры, дважды щелкните имя в консоли ActiveDirectoryUsers And Computers (ActiveDirectory— пользователи и компьютеры) и выберите вкладку Profile (Профиль) (рис. 9-3), где можно .заполнить следующие поля.

Profile Path (Путь к профилю) — путь к профилю пользователя. Профили обеспечивают параметры среды пользователя. При каждом входе в систему профиль пользователя служит для определения параметров рабочего стола и панели управления, а также доступа к параметрам меню и приложениям, и так далее. Об установке пути профиля см. ниже раздел «Управление профилями пользователя». Logon Script (Сценарий входа) — путь к сценарию входа в систему пользователя. Сценарии входа — пакетные файлы, которые запускаются всякий раз при входе пользователя в систему. Сценарии входа позволяют определить команды, выполняемые при каждом входе пользователя в систему. О сценариях входа в систему см. главу 4. Local Path (Локальный путь) — манка, где хранятся файлы пользователя. Здесь можно указать каталог файлов пользователя, к которому он сможет обращаться с любого компьютера в пределах сети.

Переменные системного окружения

Переменные системного окружения удобны для настройки среды пользователя, особенно при работе со сценариями входа в систему, и служат для определения динамически назначаемой информации о путях. Вот самые распространенные переменные окружения.

• %SYSTEMRoot% — основной каталог ОС Microsoft Windows2000 (например, C:\WIN2000). Используется на вкладке Profile (Профиль) диалогового окна свойств пользователя Properties (Свойства) и со сценариями входа в систему.

• %UserName% — имя пользователя в учетной записи (например, WRSTANEK). Используется на вкладке Profile (Профиль) окна свойств пользователя и со сценариями входа в систему.

• %HomeDrive% — буква диска домашней папки пользователя (например С:). Используется со сценариями входа в систему.

• %HomePath% — полный путь к домашней папке пользователя на соответствующем домашнем диске (например, \USERS\MKG\GEORGEJ). Применяется со сценариями входа в систему.

• %Processor_Architecture% — архитектура ПРОЦЕССора компьютера пользователя (например, х86). Применяется со сценариями входа в систему. Ниже показан пример применения переменных окружения при создании учетных записей (рис. 9-4). Переменная %UserName% позволяет ОС формировать полный путь для каждого пользователя. Таким образом можно назначить нескольким пользователям один и тот же путь, но каждый из них будет работать с собственными параметрами.

Сценарии входа в систему

Эти сценарии определяют команды, выполняемые при каждом входе в систему. Сценарии позволяют настроить системное время, сетевые принтеры, пути к сетевым дискам и т. д. Сценарии применяются для разового запуска команд; ими не следует изменять переменные окружения. Параметры среды, используемые сценариями, не сохраняются для последующих ПРОЦЕССов. Не стоит также применять сценарии входа в систему для автоматического запуска приложений -

лучше поместить соответствующие ярлыки в папку Startup (Автозагрузка). Обычно сценарии входа в систему содержат команды Windows2000. Но сценариями могут быть:

• файлы сервера сценариев Windowsс расширениями .VBS, JS и др.;

• пакетные файлы с расширением .ВАТ;

• командные файлы с расширением .CMD;

• программы с расширением .ЕХЕ. Один сценарий может применяться как для одного, так и для нескольких пользователей; администратор определяет, с каким сценарием будет работать конкретный пользователь. Из названия очевидно, что пользователи обращаются к сценариям при входе в систему. Сценарий входа настраивается так. 1. В консоли ActiveDirectoryUsers And Computers (ActiveDirectory— пользователи и компьютеры) откройте окно свойств пользователя и выберите вкладку Profile (Профиль). 2. В поле Logon Script (Сценарий входа) введите путь к сценарию. Убедитесь, что ввели полный путь к сценарию, например \\ZETA\USER_LOGON\ENG.VBS.

• Примечание Сценарии входа и выхода можно определить иначе — см. главу 4. Практически любая команда, набранная в командной строке, может быть включена в сценарий входа. Наиболее типичные задачи, реализуемые и сценариях, — привязка принтеров и сетевых путей для пользователей, Эту задачу можно решить с помощью команды NET USE. Вот примеры команд привязки сетевого принтера и дисков: net use Ipt1: \\zeta\deskjet net use g: \\gamma\corp\files Если эти команды записаны в сценарий входа в систему, то сетевой принтер пользователя будет на порту LPT1, а сетевой диск получит букву G.

Назначение домашних папок

Windows2000 позволяет назначить каждой учетной записи свою домашнюю папку для хранения и восстановления файлов пользователя. Большинство приложений открывают домашнюю папку для операций File Open (Открыть файл) и Save As (Сохранить как), что упрощает пользователям поиск своей информации. В командной строке домашняя папка является начальным текущим каталогом. Домашняя папка может располагаться как на локальном жестком диске пользователя, так и на общедоступном сетевом. Каталог на локальном диске доступен только с одной рабочей станции, а к сетевому диску можно обращаться с любого компьютера сети, что расширяет среду пользователя. Да. Совет Несколько пользователей могут иметь одну домашнюю папку, но, как правило, лучше, чтобы у каждого пользователя была своя. Создавать домашнюю папку специально не надо — ее автоматически создает консоль ActiveDirectoryUsers And Computers. Но если это сделать не удастся, консоль предложит создать папку вручную.

Чтобы указать локальную домашнюю папку, сделайте так. 1. В консоли ActiveDirectoryUsers And Computers откройте окно свойств пользователя и выберите вкладку Profile (Профиль). 2. Щелкните переключатель Local Path (Локальный путь) и введите путь к домашней папке, например С:\Ноте\ %UserName%. Сетевая домашняя папка определяется так. 1. В консоли ActiveDirectoryUsers And Computers откройте окно свойств пользователя и выберите вкладку Profile (Профиль). 2. Щелкните переключатель Connect и выберите диск для домашней папки. Логично выбрать одну букву диска для всех пользователей. Убедитесь, что буква диска не будет конфликтовать с текущими локальными или сетевыми дисками. Чтобы избежать проблем, в качестве буквы диска выберите Z. 3. Введите полный UNC-путь к домашней папке, например: \\GAMMA\USER_DIRS\%UserName%. Чтобы обеспечить пользователю доступ к папке с любого компьютера сети, включите в путь имя сервера. Примечание Если домашняя папка не указана, Windows2000 будет использовать локальную домашнюю папку, заданную по умолчанию. На системах, обновленных до Windows2000, эта папка — \Users\Default, на остальных корневой каталог.

Параметры учетных записей

Windows2000 предоставляет несколько способов управления записями пользователей и доступом пользователей с сеть. Можно назначить время охода в систему; компьютеры, с которых пользователи могут входить в систему; привилегии вызова по телефону и т. д.

Управление временем входа в систему

Windows2000 позволяет настраивать и отслеживать время входа пользователей в систему. Время входа ограничивают для предохранения системы от взлома или иных злоумышленных действий по окончании рабочего дня.

В период действия времени входа в систему пользователи могут работать, как обычно: входить в сеть, обращаться к сетевым ресурсам. Если пользователи находятся в сети и их время входа истекло, произойдет то, что вы укажете в свойствах учетной записи:

• Forcibly disconnected — Windows2000 принудительно отключит от всех сетевых ресурсов пользователей, время пребывания в системе которых истекло;

• Not disconnected — пользователи не отключаются от сети, но Windows2000 не позволяет им производить новые сетевые соединения.

Конфигурирование времени входа в систему

Время входа в систему настраивается так. 1. В консоли ActiveDirectoryUsers And Computers откройте диалоговое окно свойств пользователя и выберите вкладку Account (Учетная запись). 2. Щелкните кнопку Logon Hours (Время входа). В одноименном окне залайте разрешенное и запрещенное время входа в систему (рис 9-5). Параметры Logon Hours перечислены ниже (табл. 9-1).

В этом диалоговом окне каждый час дня и ночи представлен в тшде поля, который можно включить/выключить:

• разрешенные часы закрашены темным цветом, т. с. включены;

• запрещенные часы не закрашены, т. с. выключены. Щелчок нужного часа изменяет его статус. Установите переключатель в положение Logon Permitted или Logon Denied. Табл. 9-1. Параметры Logon Hours (Время входа в систему). Параметр Назначение All (Все) Позволяет выбрать все временные интервалы. Кнопки дней педели Позволяет выбрать все часы определенного дня. Кнопки часов Позволяет выбрать определенный час во всех днях недели. Logon Permitted (Вход разрешен) Устанавливает разрешенные часы пребывания в системе. Logon Denied (Вход запрещен) Устанавливает запрещенные часы пребывания в системе. <©

• Совет Установив пользователям умеренно ограниченное время работы, вы сэкономите массу времени. Например, помимо стандартных часов (9-18), можно добавить несколько часов до и после рабочего дня. Тогда «жаворонки» смогут раньше входить в систему, а «совы» — продолжать работу после рабочего дня.

Жесткое время входа в систему

Пользователей, время пребывания в системе которых закончилось, можно отключить. 1. Откройте контейнер групповой политики, с которым хотите работать (см. главу 4). 2. В дерене консоли раскройте узел Computer Configuration\ WindowsSettings\Security Settings (Конфигурация компьютера\Параметры Windows\riapaMeTpbi безопасности). Далее в Security Settings раскройте Local Policies (Локальные политики) и выберите Security Options (Параметры безопасности). 3. Двойной щелчок политики Automatically Log Off Users When Logon Time Expires (Автоматически отключать сеансы пользователей но истечении разрешенного времени) откроет окно ее свойств. 4. Щелкните Enabled (Включен), чтобы активизировать политику, а затем — ОК.

Настройка компьютеров, с которых пользователи входят в систему

Вы можете разрешать/запрещать пользователям работать на определенных компьютерах и входить с них в сеть. На рабочих станциях с Windows2000 но умолчанию пользователям разрешается входить в домен с любого компьютера, по любой действующей учетной записи, включая гостевые записи. Разрешая пользователям работать на любой рабочей станции, вы резко снижаете безопасность. Определив список разрешенных рабочих станций, вы закроете потенциальную брешь в защите домена. Теперь хакерам нужно найти не только пароль и имя пользователя, но и соответствующую рабочую станцию. Примечание Внутри домена ограничение рабочих станций для входа в систему действует лишь при наличии Windows2000 и WindowsNT. На компьютеры с Windows95 или Windows98 эти ограничения не распространяются: для входа в систему требуется только пароль и имя пользователя.

Рабочие станции для входа в систему определяются так. 1. Раскройте окно свойств пользователя в консоли ActiveDirectoryUsers And Computers и выберите вкладку Account (Запись). 2. Щелчок кнопки Log On To (Вход на) откроет диалоговое окно Logon Workstations (Рабочие станции для входа » систему). 3. Щелкните The Following Computers (Следующие компьютеры) (рис. 9-7).

4. Введите имя рабочей станции и щелкните Add (Добавить). Чтобы указать несколько рабочих станций, повторите эту операцию. 5. Если вы ошиблись при заполнении, выберите ошибочную запись и щелкните Edit (Изменить) или Remove (Удалить).

Настройка привилегий вызова по телефону

На вкладке Dial-In (Входящие звонки) окна свойств пользователя можно настроить привилегии вызова но телефону. По умолчанию привилегии вызова по телефону управляются через Remote Access Policy (Политика удаленного доступа) (рис. 9-8). Можно предоставить/лишить привилегий, выбрав Allow Access (Разрешить доступ) или Deny Access (Запретить доступ). Прежде чем пользователь сможет дозвониться в сеть, сделайте так. 1. Установите службу Remote Access Services (СЛУЖБАудаленного доступа) из программы Configure Your SERVER(Настройка сервера). 2. Чтобы включить соединения удаленного доступа, в узле Network Dial-Up And Connections (Сеть и удаленный доступ к сети) сконфигурируйте политику для места, домена или подразделения. Раскройте User Configuration\ Administrative Templates\Network (Конфигурация пользователя\Административные шаблоны\Сеть) и выберите Network Dial-Up And Connections. 3. Включите удаленный доступ, настроив службу Routing And Remote Access (Маршрутизация и удаленный доступ), В консоли Computer Management (Управление компьютером) раскройте Services And Applications (Службы и приложения) и выберите Routing And Remote Access.

После того как пользователь получил разрешение на удаленный доступ к сети, на вкладке Dial-In (Входящие звонки) окна свойств пользователя нужно настроить дополнительные параметры входящих звонков (рис. 9-8). 1. Если пользователь должен дозваниваться с определенного номера, выберите Verify Caller-ID (Проверять идентификатор), а затем введите номер телефона, с которого пользователь будет входить в систему. При этом ваша телефонная система должна поддерживать функции АОН (автоматического определения номера). 2. Определите параметры ответного вызова:

• No Callback (Ответный вызов не выполняется) — пользователь дозванивается, подключается и сам оплачивает телефонное соединение;

• Set By Caller (Устанавливается вызывающим) — сервер узнает номер телефона дозвонившегося пользователя, отключает его и звонит ему сам, при этом телефонное соединение оплачивает компания; :Гг Примечание Назначать ответный вызов пользователям, которые дозваниваются через коммутатор не желательно. Коммутатор может помешать пользователю правильно подключится к сети.

• Always Callback To (Всегда по этому номеру) позволяет заранее указать номер повторного вызова с целью повышения безопасности; сервер перезванивает дозвонившемуся пользователю по этому номеру, компания оплачивает телефонное соединение. Примечание Нельзя использовать предварительно назначенные номера повторного вызова на многоканальных линиях. Такие линии не будут работать надлежащим образом. 3. Можно указать статические IP-адреса и статические маршруты телефонных соединений в полях Assign A Static IP Address (Назначить статический IP-адрес) и Apply Static Routes (Назначить статические маршруты), соответственно. Об IP-адресах и маршрутизации см. главу 15. Настройка параметров безопасности учетной записи Вкладка Account (Учетная запись) окна свойств пользователя содержит массу параметров, которые применяются для

контроля применения учетных записей пользователей и для определения доступных параметров:

• User Must Change Password At Next Logon (Потребовать смену пароля при следующем входе в систему) заставляет пользователя сменить свой пароль при следующем входе;

• User Cannot Change Password (Запретить смену пароля пользователем) не позволяет пользователю изменять пароль;

• Password Never Expires (Срок действия пароля неограничен) гарантирует, что срок действия пароля никогда не истечет, т. е. отменяет нормальный срок действия пароля; Ц& Внимание! Выбор этого параметра создает дополнительный риск для безопасности сети. Обычно его назначают для учетной записи администратора, но не для записей пользователей.

• Store The Password Using Reversible Encryption (Хранить пароль, используя обратимое шифрование) сохраняет пароль в виде зашифрованного текста; « Account Is Disabled (Отключить учетную запись) отключает запись, не позволяя пользователю входить в систему и сеть;

• Smart Card Is Required For InterActiveLogon (Для интерактивного входа в сеть нужна смарт-карта) требует смарт-карту для входа в систему; пользователь не может войти в систему, просто набрав имя и пароль.

• Account Is Trusted For Delegation (Учетная запись доверена для делегирования) определяет, требуются ли пользователю привилегии управления объектами в ActiveDirectory, а также доверено ли ему производить какиелибо действия над объектами, для работы с которыми ему были делегированы соответствующие полномочия; Примечание Не следует доверять делегирование большинству пользователей. Разрешайте это только тем, кому необходимо управлять ActiveDirectory, или пользователям с особыми привилегиями.

• Account Is Sensitive And Cannot Be Delegated (Учетная запись важна и не может быть делегирована) определиет, что пользователю нельзя доверять делегирование; этот параметр предотвращает управление компонентами ActiveDirectoryи обычно применяется ко всем учетным записям рядовых пользователей в отличие от вас и других полномочных администраторов;

• Use DES Encryption Types For This Account (Использовать для этой учетной записи тины шифрования DES) определяет, будет ли запись пользователя применять стандарт шифрования DES;

• Do Not Require Kerberos Preauthentication (Без предварительной проверки подлинности Kerberos) — учетная запись пользователя перед получением доступа к сетевым ресурсам не нуждается в предварительной проверке подлинности Kerberos; предварительная проверка — часть процедуры безопасности Kerberos 5; вход в систему без такой проверки включается, чтобы идентифицировать пользователей предыдущей или нестандартной версии Kerberos.

Управление профилями пользователей

Профили пользователей содержат параметры сетевого окружения, такие как конфигурация рабочего стола, параметры меню. Проблемы, связанные с профилем, могут помешать пользователю войти в систему. Например, если размер экрана, заданный в профиле, не поддерживается системой, на которой он применяется, пользователь не сможет корректно войти в систему и не увидит ничего, кроме пустого экрана. Можно перезагрузить компьютер, перейти в режим VGA, после чего сбросить параметры дисплея вручную. Решить проблемы с профилем не всегда просто, иногда требуется изменить сам профиль. Windows2000 предоставляет несколько способов управления профилями:

• назначить путь к профилю в консоли ActiveDirectoryUsers And Computers;

• копировать, удалять и изменять тип существующего локального профиля из панели управления с помощью программы SYSTEM(Система);

• задать системные правила, которые не позволят пользователям всецело управлять своим окружением.

Локальный, перемещаемый и обязательный профили

В Windows2000 каждый пользователь обладает профилем. Профили управляют параметрами запуска сеанса пользователя, типами доступных программ и приложений, параметрами рабочего стола и т. д. Каждый компьютер, на который входит пользователь, оснащен своей копией профиля пользователя. Профиль хранится на жестком диске компьютера; поэтому пользователь, работающий на нескольких рабочих станциях, должен обладать профилем на каждом из них. Другой компьютер сети не может обращаться к профилю, сохраненному локально, или локальному профилю; очевидно, что это имеет свои недостатки. Например, если пользователь работает на трех станциях, то на каждой системе у него могут быть разные профили. В результате пользователь может запутаться в том, какие сетевые ресурсы доступны ему на каждой из систем. Чтобы уменьшить путаницу, можно создать профиль, доступный другим компьютерам, — перемещаемый профиль. К такому профилю пользователь может обращаться с любого компьютера домена. Перемещаемые профили основаны на сервере Windows2000 и хранятся только там. При входе пользователя с перемещаемым профилем в систему загружается профиль, т. е. создается его локальная копия на компьютере пользователя. Когда пользователь выходит из системы, измененный профиль обновляется как на сервере, так и локально. Администратор может управлять профилями пользователей или позволять им самим распоряжаться своими профилями. Управлять профилями самостоятельно можно лишь по одной причине: чтобы убедиться, что у всех пользователей одинаковые параметры сети. Это может снизить количество проблем, связанных с сетевой средой. Профили, управляемые администраторами, называются обязательными. Пользователи с обязательными профилями могут производить лишь временные изменения своего окружения, которые не будут сохранены: при следующем входе в систему пользователь вернется к первоначальному профилю. Смысл в том, что пользователи не могут произвести необратимых изменений сетевой среды, т. с. изменений, ведущих к проблемам. Главный недостаток обязательных профилей п том, что пользователь может войти в систему, только если профиль доступен. Если сервер, на котором хранится профиль, а также кэшированный профиль недоступны, пользователь не сможет войти. Если недоступен только сервер, он получит предупреждение, но сможет войти на локальную систему Windows2000 при помощи кэшированного системного профиля.

Создание локальных профилей

В Windows2000 профили пользователей находятся либо в каталоге, заданном по умолчанию, либо в каталоге, указанном в поле Profile Path (Путь к профилю) в окне свойств пользователя. Стандартное расположение каталога профилей зависит от конфигурации рабочей станции.

• Обновление операционной системы до Windows2000 профиль пользователя расположен по адресу %SYSTEMRoot%\Profi\es\%UserName% \NTUSER.DAT, где %SYSTEMRoot% — корневой каталог ОС (например, C:\WINNT), a %UserName% — имя пользователя (wrstanek).

• Новая установка Windows2000 — профиль пользователя расположен по адресу %SYSTEMDrive%\Documents and Settings\% User№me%.%UserDomain% \NTUSER.DAT (например, F:\Documents and Settings\WRSTANEK.WEBATWORK\ NTUSER.DAT). Если пользователь входит на контроллер домена, то профиль может быть расположен на %SYSTEMDrive%\Documents and Settings\% UserNaте%.<сервер входа> (например, F:\Documents and Settings\ WRSTANEK.ZETA\NTUSER.DAT). Если не изменить каталог по умолчанию, пользователь будет работать с локальным профилем.

Создание перемещаемых профилей

Перемещаемые профили хранятся на серверах Windows2000. Чтобы у пользователя был перемещаемый профиль, его каталог должен располагаться на сервере. 1. Создайте общий каталог на сервере Windows2000 и убедитесь, что группа Everyone (Все) имеет к нему доступ. ,2. В консоли ActiveDirectoryUsers And Computers в окне свойств пользователя выберите вкладку Profile (Профиль). Введите путь к общему каталогу в поле Profile Path (Путь к профилю) в виде '\\имя_сервера\имя_папки_профиля\имя_полъзователя (например, \\ZETA\USER_PROFILES\GEORGEJ), где ZETA - имя сервера, USER_PROFILES — общий каталог, a GEORGEJ — имя пользователя. 3. Перемещаемый профиль сохранится в файле NTUSER.DAT указанного каталога (например, \\ZETA\USER_PROFILES\ GEORGEJ\NTUSER.DAT.) PT*I Примечание Обычно создавать каталог профиля не требуется, так как он создается автоматически при входе пользователя в систему. 4. Необязательное действие: можно создать профиль пользователя или скопировать существующий профиль в папку профилей пользователя. Если фактический профиль пользователя не создан, то в следующий раз пользователь войдет в систему по стандартному локальному профилю. Любые изменения этого профиля будут сохранены, когда пользователь выйдег из системы. Таким образом, при очередном входе пользователь будет иметь личный профиль.

Создание обязательных профилей

Обязательные профили хранятся на серверах Windows2000. Чтобы назначить пользователю обязательный профиль, сделайте так. 1. Выполните пп. 1-3 раздела «Создание перемещаемых профилей». 2. Создайте обязательный профиль, переименовав файл NTUSER.DAT в %USERNAME%\WTUSERMAN. Теперь при следующем входе в систему пользователь будет обладать обязательным профилем. f^\ Примечание Файл NTUSER.DAT содержит пользовательские параметры системного реестра. Замена расширения файла на NTUSER.MAN заставляет Windows2000 создать обязательный профиль.

Управление локальными профилямис помощью программы SYSTEM

Для управления системными профилями нужно пойти на компьютер пользователя и вызвать служебную программу SYSTEM(Система) из Control Panel (Панель управления). Чтобы просмотреть текущий профиль, запустите SYSTEMи перейдите на вкладку User Profiles (Профили пользователей).Вкладка User Profiles отражает информацию обо всех профилях на локальной системе (рис. 9-9). Поля имеют следующие значения.

• Name (Имя) — имя локального профиля, которое обычно содержит имя первоначального домена или компьютера и имя записи пользователя. Например, имя WEBATWORK\ WRSTANEK означает, что первоначальный профиль получен от домена WEBATWORK, а запись пользователя - WRSTANEK.

Если удалить учетную запись, не удаляя соответствующий профиль, можно увидеть строку Account Deleted (Запись удалена) или Account Unknown (Неизвестная запись). Не беспокойтесь, профиль все еще доступен для копирования.

• Size (Размер) — размер профиля. Обычно чем больше файл профиля, тем больше параметров окружения настроил пользователь.

• Туре (Тип) — тип профиля: локальный или перемещаемый.

• Modified (Изменен) — дата последнего изменения профиля.

Создание профиля вручную

Чтобы создать профиль вручную, надо войти в систему по учетной записи пользователя, настроить среду и выйти. Так как это занимает много времени, лучше создать базовую запись пользователя, настроить ее среду, а затем применять ее как основу для других записей. Копирование профиля в новую учетную запись пользователя Вы можете скопировать существующий профиль в новую учетную запись. Сделать это позволяет программа SYSTEMиз панели управления. 1. Запустите SYSTEMи перейдите на вкладку User Profile. 2. В списке Profiles Stored On This Computer (Профили, хранящиеся на этом компьютере) выберите профиль, который нужно ско шровать (рис. 9-9). 3. Скопируйте профиль в новую учетную запись щелкнув кнопку Сору То (Копировать в). Затем введите путь нового каталога профилей пользователя в поле Copy Profile То (Копировать профиль на) (рис. 9-10). Например, если вы создали профиль для пользователя GEORGEJ, напечатайте \\ZETA\USER_PROFILES\GEORGEJ.

4. Теперь нужно разрешить пользователю доступ к профилю. Щелкните кнопку Change (Изменить) в области Permitted То Use (Разрешить использование) и в диалоговом окне Select User Or Object (Выбор: Пользователь или группа) разрешите доступ для новой учетной записи пользователя.

5. Щелкните ОК, и Windows2000 скопирует профиль в новый каталог. Совет Если имя пользователя или группы известно, наберите его прямо в поле Name (Имя).

Копирование и восстановление профиля

При работе с рабочими группами, где каждый компьютер управляется независимо, приходится часто копировать профиль пользователя с одного компьютера на другой. Копирование профилей позволяет пользователям работать с едиными параметрами среды на разных компьютерах. Естественно, что в домене Windows2000 для реализации перемещаемого профиля можно создать отдельный профиль, доступный из любой точки домена. Проблема в том, что иногда может понадобиться скопировать существующий локальный профиль поверх перемещаемого профиля пользователя (когда перемещаемый профиль поврежден), либо в перемещаемый профиль другого домена. Вы можете скопировать существующий профиль в новый каталог. 1. Войдите на компьютер пользователя, запустите программу SYSTEMиз панели управления и перейдите на вкладку User Profile. 2. В списке Profiles Stored On This Computer выберите профиль, который нужно скопировать. 3. Скопируйте профиль и новый каталог, щелкнув кнопку Сору То, а затем в поле Copy Profile To введите путь к новому профильному каталогу. Например, при создании профиля для пользователя JANEW введите \\GAMMA\ USERPROFILESXJANEW. 4. Теперь нужно открыть пользователю доступ к профилю. Щелкните кнопку Change (Изменить) в области Permitted То Use (Разрешить использование) и в окне Select User Or Object (Выбор: Пользователь или группа) разрешите доступ для новой учетной записи пользователя. 5. Щелкните ОК, и Windows2000 скопирует профиль в новый каталог.

Удаление локального профиля и назначение нового В Windows2000 пользователи, не имеющие перемещаемых профилей работают с локальными. Вообще локальные профили применяются, если у них более поздняя дата изменения, чем у перемещаемых. Например, если локальный профиль поврежден, его можно удалить и назначить новый. Однако, удаляя локальный профиль (если он нигде в домене не сохранен), вы потеряете первоначальные пользовательские параметры среды. Локальный профиль пользователя можно удалить так. 1. Войдите на компьютер пользователя. 2. Запустите программу SYSTEM(Система) и перейдите на вкладку User Profiles (Профили пользователя). 3. Выберите удаляемый профиль и щелкните Delete (Удалить). При запросе подтвердите удаление, щелкнув Yes (Да). Примечание Нельзя удалить используемый профиль. Если пользователь работает на локальной системе (компьютер, с которого вы удаляете профиль), то ему следует выйти из системы. Иногда Windows2000 маркирует профили как занятые, хотя на самом деле это не так. Обычно это происходит в результате некорректного изменения среды пользователя. Чтобы это исправить, перезагрузите компьютер. При следующем входе пользователя в систему Windows2000 произведет одну из двух операций: либо предоставит ему локальный профиль системы, заданный по умолчанию, либо найдет ее перемещаемый профиль на другом компьютере. Чтобы не назначать ни одного из этих профилей, пользователю нужно назначить новый. Для этого: * скопируйте существующий профиль в каталог с профилями пользователя (см. об этом следующий раздел);

• обновите параметры профиля пользователя в консоли ActiveDirectoryUsers And Computers (о настройке пути к профилю см. раздел «Параметры среды пользователя»), Изменение типа профили Программа SYSTEMпозволяет изменять тип перемещаемых профилей на компьютере пользователя. Чтобы сделать это, выберите профиль и щелкните Change Type (Сменить тип), Параметры диалогового окна позволяют сделать следующее.

• Активизировать локальный профиль, если нужно, чтобы пользователь всегда работал на этом компьютере с локальным профилем. Теперь все изменения профиля происходят локально, а первоначальный перемещаемый профиль остается нетронутым,

• Активизировать перемещаемый профиль, чтобы при следующем входе в систему пользователь работал с первоначальным перемещаемым профилем. Затем Windows2000 будет обрабатывать этот профиль, как любой другой перемещаемый профиль, т. е, любые изменения в локальном профиле будут копироваться в перемещаемый. Примечание Если эти параметры недоступны, то первоначальный профиль пользователя определен локально.

Обновление учетных записей пользователей и групп

Консоль ActiveDirectoryUsers And Computers позволяет обновить доменную учетную запись пользователя или группы. Для обновления локальной учетной записи пользователя или группы служит оснастка Local Users And Groups (Локальные пользователи и группы). Переименование учетных записей пользователей и групп Учетную запись можно переименовать. 1. Раскройте консоль ActiveDirectoryUsers And Computers или Local Users And Groups и найдите нужную учетную запись. 2. Щелкните ее правой кнопкой, выберите Rename (Переименовать) и введите новое имя.

Идентификаторы SID

При переименовании учетной записи пользователя назначается новая метка. Имена пользователей облегчают управление учетными записями (см. главу 7). Windows2000 использует дескриптор безопасности SID для идентификации, отслеживания и обработки учетных записей независимо от имен пользователей. SID — однозначный идентификатор, генерируемый при создании учетной записи. Так как SID внутренне связан с учетными записями, нет нужды изменять разрешения и привилегии переименованных записей. Windows2000 просто связывает SID с новым именем, если это необходимо. Единственная причина переименования учетной записи — изменение его фамилии. Например, если Jane Williams (JANEW) вышла замуж, она может захотеть изменить свое имя на Jane Marshall (JANEM). При переименовании пользователя JANEW в JANEM все связанные с ним привилегии и разрешения отразят изменение имени. Таким образом, если раньше JANEW имела доступ к файлу, то теперь доступ открыт для JANEM (JANEW будет исключена из списка доступа). Изменение другой информации При переименовании JANEW и JANEM свойства пользователя и имена файлов, связанные с записью, не изменятся. Это значит, что вам следует обновить информацию об учетной записи. Информация, которая может быть изменена:

• Display Name — в консоли ActiveDirectoryUsers And Computers (ActiveDirectory— Пользователи и компьютеры) изменяет имя записи пользователя;

• User Profile Path — и ActiveDirectoryUsers And Computers изменяет путь к профилю, а затем переименовывает соответствующий каталог на диске;

• Logon Script Name — если у каждого пользователя индивидуальный сценарий входа в систему, изменяет имя сценария входа в систему к ActiveDirectoryUsers And Computers, а затем на диске переименовывает сценарий входа;

• Home Directoryизменяет путь к домашнему каталогу в ActiveDirectoryUsers And Computers, затем переименовывает соответствующий каталог на диске. ^ Примечание Если пользователь находится в системе, то изменение каталогов и файловой информации учетной записи может повлечь определенные проблемы. Поэтому обновление информации лучше производить в нерабочее время или попросить пользователя выйти из системы на некоторое время, а затем вновь войти.

Копирование доменных учетных записей пользователей

Создавать новые доменные учетные записи «на пустом месте» довольно утомительно. В качестве отправной точки можно использовать уже существующую запись. 1. В ActiveDirectoryUsers And Computers щелкните правой кнопкой запись, которую нужно скопировать, и выберите Сору (Копировать). Откроется окно Copy Object — User. 2. Создайте учетную запись аналогично любой доменной записи пользователя. Затем обновите соответствующие свойства записи. Вопреки ожиданиям при копировании учетной записи консоль ActiveDirectoryUsers And Computers не сохранит всю информацию существующей учетной записи. Вместо этого ActiveDirectoryUsers And Computers пытается скопировать только нужную информацию и пропустить данные, которые так или иначе потребуют обновления. Сохраняемые свойства включают:

• город, штат, индекс и набор стран на вкладке Address (Адрес);

• отдел и компания на вкладке Organization (Организация);

• параметры записи в нолях параметров учетной записи на вкладке Account (Учетная запись);

• время входа в систему и рабочие станции для входа в систему;

• срок действия учетной записи;

• членство в группах;

• параметры профиля;

• привилегии вызова по телефону. Примечание Если для определения параметров профиля исходной учетной записи вы использовали переменные окружения, то они будут применяться и в копии учетной записи. Например, если в исходной записи использовалась переменная %UserName%, то в ее копии также будет применятся эта переменная.

Удаление учетных записей пользователей и групп

Удалив учетную запись, нельзя создать новую с таким же именем для получения тех же полномочий, поскольку SID новой записи не будет совпадать с SID старой. Windows2000 не позволяет удалять встроенные учетные записи пользователей л групп, так как их удаление может серьезно повлиять на домен. Чтобы удалить учетные записи других типов, надо выбрать их и нажать клавишу DEL, либо щелкнуть их правой кнопкой и выбрать Delete (Удалить), щелкнуть ОК. а затем Yes (Да). В ActiveDirectoryUsers And Computers можно выбрать:

• несколько имен пользователей, удерживая нажатой клавишу Ctrl и последовательно щелкая каждую требуемую запись; * диапазон имен пользователей, удерживая клавишу Shift и щелкнув сначала первую, а затем последнюю запись диапазона. Примечание При удалении учетной записи, Windows2000 не удаляет профиль пользователя, личные файлы и домашнюю папку. Эти файлы можно удалить вручную. Изменение и переустановка паролей Администратору приходится часто изменять или обнулять пароли пользователей. Обычно это требуется, когда пользователи забывают свои пароли либо если время действия их паролей истекло.

Вы можете изменить/сбросить пароль.

1. Войдите в консоль ActiveDirectoryUsers And Computers или Local Users And Groups в зависимости от типа учетной записи, которую нужно переименовать. 2. Щелкните правой кнопкой имя записи и в контекстном меню выберите Reset Password (Смена пароля) или Set Password (Задать пароль). 3. Введите новый пароть пользователя и подтвердите его. Пароль должен соответствовать набору правил паролей компьютера или домена. 4. Дважды щелкните имя и снимите, если надо, флажки Account Is Disabled (Учетная запись отключена) и Account Is Locked Out (Учетная запись заблокирована). В ActiveDirectoryUsers And Computers эти флажки находятся на вкладке Account.

Включение учетных записей пользователей

Учетные записи пользователей могут быть отключены по нескольким причинам: пользователь забыл пароль и пытался угадать его; пользователь мог нарушить правила учетной записи; другой администратор мог отключить учетную запись, пока пользователь был в отпуске; срок действия учетной записи мог закончиться.

Учетная запись отключена

Если учетная запись отключена, сделайте так. 1. Войдите в консоль ActiveDirectoryUsers And Computers или Local Users And Groups в зависимости от типа учетной записи, которую нужно переименовать. 2. Щелкните правой кнопкой имя учетной записи пользователя и в контекстном меню выберите Enable Account (Включить учетную запись).

Учетная запись заблокирована

Если учетная запись заблокирована, сделайте так. 1. Войдите в консоль ActiveDirectoryUsers And Computers или Local Users And Groups (Локальные пользователи и группы) в зависимости от типа учетной записи, которую нужно переименовать. 2. Дважды щелкните имя учетной записи пользователя и снимите флажок Account Is Locked Out (Учетная запись заблокирована). В ActiveDirectoryUsers And Computers этот флажок расположен на вкладке Account (Учетная запись). Примечание Если пользователи часто блокируются, скорректируйте правила учетной записи домена. Можно увеличить значение приемлемых попыток входа в систему и уменьшить продолжительность хранения связанного счетчика. О настройке политики учетной записи см. главу 8. Истек срок действия учетной записи В отличие от учетных записей пользователей доменные учетные записи имеют дату истечения срока действия.

Если срок действия учетной записи истек, сделайте так. t. Откройте консоль ActiveDirectoryUsers And Computers. 2. Дважды щелкните имя учетной записи пользователя и перейдите на вкладку Account (Учетная запись). 3. На панели Account Expires (Срок действия учетной записи) выберите End Of (Истекает) и раскройте список. Появится календарь, в котором можно назначить новый срок действия.

Решение проблем входа в систему

Кроме типичных причин отключения учетной записи, некоторые системные параметры могут также помешать доступу.

• Пользователь получил сообщение, что не может интерактивно войти в систему. Для данного пользователя не определено право входа в систему, и он не является членом группы, обладающей таким правом. Пользователь может попытаться войти на сервер или доменный контроллер. Если так, учтите, что право локального входа применимо для всех доменных контроллеров внутри домена. Иначе это право применимо к отдельной рабочей станции. Если пользователь имеет доступ к локальной системе, сконфигурируйте право пользователя Logon Locally (Локальный вход), как описано в главе 8.

• Пользователь получил сообщение, что система запретила ему вход. Если пароль и учетное имя уже проверены, может потребоваться проверка типа учетной записи. Пользователь может пробовать получить доступ к домену через локальную учетную запись. Если проблема не в этом, то может быть недоступен сервер глобального каталога, п результате чего лишь пользователи с привилегиями администраторов смогут входить в систему.

• Пользователь обладает обязательным профилем, а компьютер, на котором он хранится, недоступен. Если пользователь имеет обязательный профиль, то компьютер, на котором он хранится, должен быть доступен во время входа в систему. Если компьютер выключен или недоступен по другим причинам, то пользователи с обязательными профилями не смогут войти.

Пользователь получил сообщение, что учетная запись настроена, чтобы предотвратить вход пользователя на рабочую станцию. Пользователь пытается обратиться к компьютеру, который не был определен как рабочая станция входа в систему. Если пользователь имел доступ к этой рабочей станции, то измените для нее информацию о входе (см. раздел «Настройка компьютеров, с которых пользователи входят в систему»).