Учетные записи группы и права
Понятие учетной записи
Если вы имели опыт работы администрирования и работы с операционными системами Windows 9x, то одной из главных отличительных особенностей профессиональных версий Windows воспринимается повышенное внимание к тому, кто и что делает на компьютере.
Программа, которая исполняется на компьютере с установленной операционной системой Windows NT/200x/XP/Vista, всегда запущена от имени какого-либо пользователя и обладает данными ему правами. Если вы начали работу на компьютере, введя свое имя и пароль, то любая задача: графический редактор или почтовый клиент, дефрагментация диска или установка новой игры — будет выполняться от этого имени. Если запущенная программа вызывает в свою очередь новую задачу, то она также будет выполняться в контексте вашего имени. Даже программы, являющиеся частью операционной системы, например служба, обеспечивающая печать на принтер, или сама программа, которая запрашивает имя и пароль у пользователя, желающего начать работу на компьютере, выполняются от имени определенной учетной записи (Система). И так же, как программы, запускаемые обычным пользователем, эти службы имеют права и ограничения, которые накладываются используемой учетной записью.
Операционная система "различает" пользователей не по их имени (полному или сокращенному), а по специальному уникальному номеру (идентификатору безопасности— SID), который формируется в момент создания новой учетной записи. Поэтому учетные записи можно легко переименовывать, менять любые иные их параметры. Для операционной системы после этих манипуляций ничего не изменится, поскольку такие операции не затрагивают идентификатор пользователя.
При создании новой учетной записи обычно определяются только имя пользователя и его пароль. Но учетным записям пользователей — особенно при работе в компьютерных сетях — можно сопоставить большое количество различных дополнительных параметров: сокращенное и полное имя, номера служебного и домашнего телефонов, адрес электронной почты и право удаленного подключения к системе и т. п. Такие параметры являются дополнительными, их определение и использование на практике зависит от особенностей построения конкретной компьютерной сети. Эти параметры могут быть использованы программным обеспечением, например, для поиска определенных групп пользователей (см., например, группы по запросу)
Стандартные учетные записи имеют идентичные SID . Например, s-1-5-18— это SID учетной записи Local System; s-1-5-19— учетной записи NT AuthorityLocaI Service; SID s-1-5-20 "принадлежит" учетной записи NT AuthorityNetvork Service и т. д. Учетные записи пользователя домена "построены" по такой же структуре, но обычно еще более "нечитаемы". Вот пример реального доменного SID:
Если при изменении имени входа пользователя в систему ничего "существенного" для системы не происходит— пользователь для нее не изменился, то операцию удаления учетной записи и последующего создания пользователя точно с таким же именем входа операционная система будет оценивать как появление нового пользователя. Алгоритм формирования идентификатора безопасности пользователя таков, что практически исключается создание двух учетных записей с одинаковым номером. В результате новый пользователь не сможет, например, получить доступ к почтовому ящику, которым пользовался удаленный сотрудник с таким же именем, не прочтет зашифрованные им файлы и т. п.
Локальные и доменные учетные записи
При работе в компьютерной сети существуют два типа учетных записей. Локальные учетные записи создаются на данном компьютере. Информация о них хранится локально (в локальной базе безопасности компьютера) и локально же выполняется аутентификация такой учетной записи (пользователя).
Доменные учетные записи создаются на контроллерах домена. И именно контроллеры домена проверяют параметры входа такого пользователя в систему.
Чтобы пользователи домена могли иметь доступ к ресурсам локальной системы, при включении компьютера в состав домена Windows производится добавление группы пользователей домена в группу локальных пользователей, а группы администраторов домена— в группу локальных администраторов компьютера. Таким образом, пользователь, аутентифицированный контроллером домена, приобретает права пользователя локального компьютера. А администратор домена получает права локального администратора.
Необходимо четко понимать, что одноименные учетные записи различных компьютеров — это совершенно различные пользователи. Например, учетная запись, созданная на локальном компьютере с именем входа Иванов, и доменная учетная запись Иванов— это два пользователя. И если установить, что файл доступен для чтения "локальному Иванову", то "доменный Иванов" не сможет получить к нему доступ. Точнее, доменный Иванов сможет прочесть файл, если его пароль совпадает с паролем локального Иванова. Поэтому если на компьютерах одноранговой сети завести одноименных пользователей с одинаковыми паролями, то они смогут получить доступ к совместно используемым ресурсам автономных систем. Но после изменения одного из паролей такой доступ прекратится.
Обратите внимание, что в локальные группы можно включать не только локальные ресурсы (учетные записи пользователей и локальных групп), но и доменные учетные записи.
После установки пакета Account Lockout and Management Tools в свойствах учетной записи отображается вкладка, на которой администратор может увидеть в том числе и количество неудачных попыток входа в систему.
Данную информацию можно получить и выполнив непосредственный запрос к службе каталогов. В качестве фильтра можно указать следующую строку:
При необходимости вы можете создать такой запрос, сохранить его в оснастке управления AD и получать сведения о результатах подключения к домену без установки упомянутого пакета.
Создание и свойства учетной записи пользователя
Типы учетных записей пользователей
Доменная и локальная базы учетных записей.
Учетная запись пользователя
Учетная запись – это сведения о пользователе с целью распределения ресурсов для него и обеспечения безопасности системы.
Учетные записи делятся на доменные и локальные.
Локальные базы учетных записей создаются только на WIN2000 Professional в «Local Users and Groups»/ Реально база учетных записей расположена в winntsystem32config ( т.е. в SAM)
Доменные базы учетных записей создаются на контроллерах домена в Active Directory Users and Computers. Реально база учетных записей расположена в файле winntNTDS
tds.dit
Два типа учетных записей пользователей: создаваемые и встроенные.
| Встроенные учетные записи | Сведения о пользователе, включая имя и пароль. |
| Guest (Гость) | для временных пользователей , которые не зарегистрированы в системе, а попадают в нее через общедоступные сетевые ресурсы. По умолчанию она отключена. |
| Administrator (Администратор) | для общего управления конфигурацией компьютера и домена. Имеет максимальные права. |
Просмотр встроенных учетных записей
· Открыть оснастку Active Directory Users and Computers ( или start- run – dsa.msc )
· Открыть контейнер Users и просмотреть встроенные в него учетные записи.
· Какая из них отключена?
Самостоятельная работа на закрепление:
1. Какие возможности предоставляет окно безопасности (Windows NT security).
2. Чем отличаются доменные учетные записи от локальных. Где расположены доменные записи, а где локальные. Какие учетные записи встроены по умолчанию. Какая из них отключена.
Учетная запись пользователя – это основная запись в базе домена для каждого пользователя. В этой записи хранятся все основные характеристики данного пользователя и настройки его входа и доступа к ресурсам домена, его прав, рабочего стола …
Для создания учетной записи :
· Зарегистрироваться как администратор
· Запустить Active Directory Users and Computers.
· Войти в подразделение Users ( выделить его).
· Правой кнопкой на нем – Create (создать) – User(пользователь)
· создать пользователя user1 и ввести следующие данные о нем:
| имя пользователя | Имя реальное, оно не используется для набора в окне входа, например: Вася Иванов |
| Last name | Фамилия ( это окно можно не использовать) |
| Full Name | Имя и фамилия полностью ( для информации о пользователе) |
| User logon name (Имя входа) | Имя, под которым пользователь регистрируется при входе в систему. Единственный обязательный параметр — уникальное имя. Например, USER21. |
| User logon name (pre Windows2000) | Автоматически копируется с User logon name . Это имя входа с компьютеров предыдущих версий. |
· Ввести настройки пароля:
| User Must Change Password at Next Logon | Требовать смены пароля при первой регистрации |
| User Cannot Change Password | Запретить смену своего пароля пользователю. Это право будет только у администратора. |
| Password Never Expires | Срок действия пароля не ограничен. Этот параметр для этого пользователя отменяет сроки паролей, заданные в групповых политиках для всех пользователей. Он также отменяет действие User Must Change Password at Next Logon |
| Account Disabled | Временный запрет использования учетной записи пользователем (Отключение, блокировка) |
После создания учетной записи пользователя можно изменить его свойства, заданные при создании а также другие свойства. Для этого нужно в Active Directory Users and Computers( или start- run – dsa.msc ) — Users– выделить пользователя и в контекстном меню выбрать: Properties
Не нашли то, что искали? Воспользуйтесь поиском:
Лучшие изречения: Для студентов недели бывают четные, нечетные и зачетные. 9468 — 
| 7451 — 
или читать все.
78.85.5.224 © studopedia.ru Не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования. Есть нарушение авторского права? Напишите нам | Обратная связь.
Отключите adBlock!
и обновите страницу (F5)
очень нужно
Delphi site: daily Delphi-news, documentation, articles, review, interview, computer humor.
При работе в компьютерной сети существуют два типа учетных записей. Локальные учетные записи создаются на данном компьютере. Информация о них хранится локально (в локальной базе безопасности компьютера) и локально же выполняется аутентификация такой учетной записи (пользователя).
Доменные учетные записи создаются на контроллерах домена. И именно контроллеры домена проверяют параметры входа такого пользователя в систему.
Чтобы пользователи домена могли иметь доступ к ресурсам локальной системы, при включении компьютера в состав домена Windows производится добавление группы пользователей домена в группу локальных пользователей, а группы администраторов домена — в группу локальных администраторов компьютера. Таким образом, пользователь, аутентифицированный контроллером домена, приобретает права пользователя локального компьютера. А администратор домена получает права локального администратора.
Необходимо четко понимать, что одноименные учетные записи различных компьютеров — это совершенно различные пользователи. Например, учетная запись, созданная на локальном компьютере с именем входа Иванов, и доменная учетная запись Иванов — это два пользователя. И если установить, что файл доступен для чтения "локальному Иванову", то "доменный Иванов" не сможет получить к нему доступ. Точнее, доменный Иванов сможет прочесть файл, если его пароль совпадает с паролем локального Иванова. Поэтому если на компьютерах одноранговой сети завести одноименных пользователей с одинаковыми паролями, то они смогут получить доступ к совместно используемым ресурсам автономных систем. Но после изменения одного из паролей такой доступ прекратится.
Рис. 4.8. Дополнительные параметры учетной записи После установки пакета Account Lockout and Management Tools в свойствах учетной записи отображается вкладка, на которой администратор может увидеть в том числе и количество неудачных попыток входа в систему (Bad Password Count) (рис. 4.8). Данную информацию можно получить и выполнив непосредственный запрос к службе каталогов. В качестве фильтра можно указать следующую строку:
При необходимости вы можете создать такой запрос, сохранить его в оснастке управления AD и получать сведения о результатах подключения к домену без установки упомянутого пакета.