Čo je doména pri vytváraní účtu. Miestne účty. Odstránenie používateľských účtov a kontaktov

Inštrukcie

Vytváraním domácej siete môžete organizovať prístup k sieťová tlačiareň všetky počítače v pracovnej skupine. Aby ste to dosiahli, musíte ich zodpovedajúcim spôsobom nakonfigurovať, konkrétne nastaviť adresy IP, zadať názvy počítačov a pridať ich do jednej skupiny. Všetko požadované nastavenia v ktorých hodnotách sa meníte systémový priečinok"Ovládací panel".

V prvom rade je potrebné pomenovať počítače a definovať ich pracovnú skupinu. Ak to chcete urobiť, prejdite na pracovnú plochu a kliknite kliknite pravým tlačidlom myši myšou na ikonu „Tento počítač“. V kontextovej ponuke, ktorá sa otvorí, vyberte položku „Vlastnosti“. Uvidíte aplet "Vlastnosti systému". rýchly hovor ktorý používa klávesovú skratku Win + Pause Break.

V tomto aplete prejdite na kartu Názov počítača. Je vhodné vytvoriť si zoznam počítačov, v ktorom zadáte nielen ich mená, ale aj IP adresy. Tento zoznam použite na pomenovanie každého počítača. Ak chcete zmeniť názov, kliknite na tlačidlo Zmeniť v spodnej časti apletu. V okne, ktoré sa otvorí, nahraďte starý názov tým, ktorý bol nedávno pridaný do zoznamu.

Na tejto karte môžete tiež nastaviť názov pracovnej skupiny. Predvolená hodnota je Pracovná skupina. Odporúča sa nahradiť ho jednoduchším názvom, napríklad Net alebo Connect. Kliknutím na tlačidlo "OK" uložíte zmeny. Skôr ako sa objavíš malé okno s oznámením o vstupe do novej pracovnej skupiny. V spodnej časti okna "Vlastnosti systému" sa zobrazí upozornenie o potrebe reštartovať systém, ale to ešte nestojí za to, takže po kliknutí na tlačidlo "OK" vyberte "Nie".

Teraz zostáva prideliť každému počítaču vlastnú ip-adresu, aby sa nenarušilo poradie ich určovania v sieti. Kliknite na ponuku „Štart“, vyberte „Ovládací panel“. V priečinku, ktorý sa otvorí, dvakrát kliknite na „ Sieťové pripojenia", Kliknite pravým tlačidlom myši na položku" Pripojiť podľa lokálna sieť"A vyberte" Vlastnosti ".

Kliknite pravým tlačidlom myši na riadok "Protokol (TCP / IP)" a vyberte "Vlastnosti". Prejdite do bloku „Použiť nasledujúcu adresu IP“ a zadajte individuálnu hodnotu pre každý počítač s rozdielom jednej jednotky. Napríklad "Dmitrij" - 192.168.1.3; "Pavol" - 192.168.1.4 atď. Treba si uvedomiť, že v odkaze 192.168.1.x sa odporúča začať počítať od čísla 3, keďže prvé dve hodnoty používa router a modem.

Vo všetkých oknách kliknite na tlačidlá "OK" a odpovedzte kladne alebo záporne na žiadosť o reštart, ak existuje. neuložené dokumenty... Potom sa reštartujte pomocou ponuky Štart.

Pri prihlasovaní do počítača s doménovým účtom používateľ zadá svoje prihlasovacie údaje, ktoré sa odovzdajú najbližšiemu doménovému radiču na overenie. Ak v sieťové prostredie nie sú dostupné žiadne radiče domény, potom nebude mať kto skontrolovať poverenia a používateľ sa nebude môcť prihlásiť do systému.

Aby sa predišlo tejto situácii, po úspešnom prihlásení sa poverenia používateľa uložia do vyrovnávacej pamäte v lokálnom počítači. To vám umožní prihlásiť sa pomocou poverení domény a získať prístup k zdrojom lokálny počítač aj keď nie je pripojený k doméne.

Poznámka. Aby som bol presný, nie sú to samotné prihlasovacie údaje (prihlasovacie meno a heslo), ktoré sa ukladajú do vyrovnávacej pamäte, ale výsledok ich overovania. Ešte presnejšie systém ukladá hash hesla, modifikovaný soľou, ktorý sa zase generuje na základe používateľského mena. Údaje vo vyrovnávacej pamäti sú uložené v kľúči registra HKLM \ SECURITY \ Cache, ku ktorému má prístup iba systém.

Parameter registra je zodpovedný za funkciu ukladania do vyrovnávacej pamäte CashLogonsCount nachádza sa pod HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon. Tento parameter určuje množstvo jedinečný používateľov, ktorých poverenia sú uložené lokálne. Predvolená hodnota tohto parametra je 10, čo znamená, že poverenia sa zachovajú pre posledných 10 prihlásených používateľov a keď sa jedenásty používateľ prihlási do počítača, poverenia prvého používateľa sa prepíšu.

Hodnota pohonu CashLogonsCount možno vykonať centrálne pomocou skupinových zásad. Ak to chcete urobiť, vytvorte nový objekt GPO (alebo otvorte existujúci), prejdite do časti Konfigurácia počítača \ Zásady \ Nastavenia systému Windows \ Nastavenia zabezpečenia \ Miestne zásady \ Možnosti zabezpečenia a nájdite nastavenie Interaktívne prihlásenie: Počet predchádzajúcich prihlásení do vyrovnávacej pamäte (v prípade, že radič domény nie je k dispozícii).

Predvolené tento parameter Nie je definované, takže predvolená hodnota sa používa na všetkých počítačoch. Ak ho chcete zmeniť, musíte povoliť parameter a zadať požadovanú hodnotu v rozsahu od 0 do 50. Hodnota rovnajúca sa 0 znamená, že ukladanie poverení do vyrovnávacej pamäte je vypnuté, takže táto hodnota vám neumožní prihlásiť sa do systému, ak doména ovládač je nedostupný.

Keďže teoreticky, ak fyzický prístup Keďže útočník má možnosť použiť uložené prihlasovacie údaje do počítača, odporúča sa na zvýšenie bezpečnosti vypnúť lokálne ukladanie do vyrovnávacej pamäte. Výnimky môžu urobiť používatelia mobilné zariadenia(notebooky, tablety a pod.), ktorí používajú zariadenia v práci aj mimo nej. Pre takýchto používateľov je možné nastaviť počet prihlásení do vyrovnávacej pamäte v rozsahu 1-2. Na prácu to celkom stačí.

A na záver pár dôležitých bodov:

Aby sa prihlasovacie údaje uložili do vyrovnávacej pamäte, je potrebné, aby sa používateľ aspoň raz prihlásil do počítača pod svojím doménovým účtom s dostupným doménovým radičom.
Pomerne často parameter CashLogonsCount interpretovaný ako počet prihlásení pri absencii prístupu k doméne. Nie je to tak a ak sú prihlasovacie údaje používateľa uložené v lokálnej vyrovnávacej pamäti, potom sa bude môcť prihlásiť neobmedzene veľakrát.

Ahojte všetci, chcem začať sériu článkov o Aktívny adresár na príklad okien server 2008R2. V drvivej väčšine prípadov správcov systému na vytvorenie základných princípov zabezpečenia uprednostňujú použitie modulu Active Directory Users and Computers, ktorý sa pridá do priečinka Nástroje na správu ihneď po inštalácii Doménové služby Active Directory “a povýšenie servera na radič domény. Táto metóda je najpohodlnejšia, pretože na vytváranie princípov zabezpečenia používa grafiku. používateľské rozhranie a sprievodca vytvorením používateľského účtu je veľmi jednoduchý. V neprospech túto metódu dá sa to pripísať momentu, že pri vytváraní používateľského účtu nemôžete väčšinu atribútov okamžite nastaviť a potrebné atribúty budete musieť doplniť úpravou účtu.

Ak chcete vytvoriť vlastný účet, postupujte takto:

• Otvorte modul snap-in Používatelia a počítače služby Active Directory. Ak to chcete urobiť, musíte otvoriť ovládací panel, otvoriť v ňom sekciu „Systém a zabezpečenie“, potom „Nástroje na správu“ a v zobrazenom okne otvoriť modul „Používatelia a počítače aktívneho adresára“. Môžete tiež použiť kombináciu kláves + R na otvorenie dialógového okna Spustiť av dialógovom okne Spustiť zadajte dsa.msc do poľa Otvoriť a potom kliknite na tlačidlo OK;
• V strome modulov rozbaľte svoj doménový uzol a prejdite do organizačnej jednotky, v ktorej sa vytvorí používateľský účet. Odporúča sa, aby ste vytvorili ďalšie organizačné jednotky na vytvorenie používateľských účtov a potom pridali používateľské účty do iných organizačných jednotiek, než sú štandardné používateľské organizačné jednotky. Kliknite pravým tlačidlom myši na túto podskupinu az obsahové menu vyberte Nový a potom Používateľ, ako je znázornené na nasledujúcom obrázku:

V zobrazenom dialógovom okne " Nový objekt- Používateľ “zadajte nasledujúce informácie:

• Do poľa „Meno“ zadajte používateľské meno;
• Do poľa "Iniciály" zadajte jeho iniciály (najčastejšie sa nepoužívajú iniciály);
• Do poľa "Priezvisko" zadajte priezvisko používateľa, ktorý sa má vytvoriť;
• Lúka " Celé meno„Používa sa na vytváranie takýchto atribútov objekt, ktorý sa vytvára ako Common Name CN a zobraziť vlastnosti názvu. Toto pole musí byť jedinečné v celej doméne a je vyplnené automaticky a mali by ste ho meniť iba v prípade potreby;
• Pole User Login je povinné a slúži na prihlásenie používateľa do domény. Tu musíte zadať používateľské meno a z rozbaľovacieho zoznamu vybrať príponu UPN, ktorá sa bude nachádzať za symbolom @;
• Pole User Login (Pre-Windows 2000) slúži na prihlásenie do systémov starších ako je operačný systém Windows 2000. posledné roky v organizáciách sú majitelia takýchto systémov čoraz menej bežní, ale pole je povinné, keďže niektorí softvér používa tento atribút na identifikáciu používateľov. Prečítajte si o tom, ako pridať patronymické pole tu. Po vyplnení všetkých povinných polí kliknite na tlačidlo „Ďalej“:

zapnuté ďalšia strana Sprievodcu vytvorením používateľského účtu, budete musieť zadať počiatočné heslo používateľa do poľa „Heslo“ a potvrdiť ho v poli „Potvrdenie“. Okrem toho môžete vybrať atribút označujúci, že pri prvom prihlásení používateľa do systému si používateľ musí nezávisle zmeniť heslo svojho účtu. Najlepšie je použiť túto možnosť v spojení s miestni politici zabezpečenie „Pravidlá hesiel“, ktoré vám umožnia vytvárať silné heslá pre vašich používateľov. Taktiež zaškrtnutím políčka pri možnosti „Zabrániť používateľovi zmeniť heslo“ poskytnete používateľovi svoje heslo a zakážete jeho zmenu. Ak vyberiete možnosť „Platnosť hesla nikdy nevyprší“, platnosť hesla k používateľskému účtu nikdy nevyprší a nebude ho potrebné periodická zmena... Ak zaškrtnete políčko „Zakázať účet“, potom tento účet nebude určený na ďalšiu prácu a používateľ s takýmto účtom sa nebude môcť prihlásiť, kým nebude povolený. Táto možnosť, rovnako ako väčšina atribútov, bude diskutovaná v ďalšej časti tohto článku. Po výbere všetkých atribútov kliknite na tlačidlo "Ďalej". Táto stránka sprievodcu je znázornená na nasledujúcom obrázku:

Ako vidíme, náš používateľ bol vytvorený, teraz vyplňte údaje o ňom, majte na pamäti, že čím presnejšie a úplnejšie údaje o ňom vyplníte, tým to bude pre vás neskôr jednoduchšie. Dvakrát kliknite na požadovaného používateľa.

generál. Táto záložka je určená na vyplnenie jednotlivých užívateľom definovaných atribútov. Tieto atribúty zahŕňajú krstné meno a priezvisko používateľa, Stručný opis za účet, kontaktné číslo užívateľ, číslo izby, jeho e-mail ako aj webovú stránku. Vzhľadom k tomu, že táto informácia je individuálna pre každého jednotlivého užívateľa, údaje vyplnené v tejto záložke sa nekopírujú;

Adresa. Na aktuálnej karte môžete vyplniť poštová schránka, Mesto, región, PSČ a krajinu bydliska používateľov, ktorí budú vytvorení na základe tejto šablóny... Keďže každý používateľ zvyčajne nemá rovnaké názvy ulíc, údaje z tohto poľa nemožno skopírovať;

účtu. Na tejto karte môžete určiť presný čas prihlásenia používateľa, počítače, ku ktorým budú mať používatelia prístup, parametre účtu ako ukladanie hesiel, typy šifrovania atď., ako aj dátum vypršania platnosti účtu;

Profil. Aktuálna karta vám umožňuje zadať cestu k profilu, prihlasovací skript, lokálnu cestu k domovskému priečinku a sieťové disky na ktorom budú zverejnené domovský priečinokúčet;
Organizácia. Na tejto karte môžete určiť pozíciu zamestnancov, oddelenie, v ktorom pracujú, názov organizácie, ako aj meno vedúceho oddelenia;

Členovia skupiny. Tu sú uvedené hlavné skupiny a členstvá v skupinách.

A záložka organizácia, kde si môžete nastaviť príslušnosť k oddeleniu a firme.

Každý počítač s operačné systémy Windows NT / 2000 / XP / 2003 (ak nejde o server, ktorý je radičom domény) má miestna základňaúdaje o účte s názvom báza údaje SAM... Tieto databázy boli prediskutované pri popise bezpečnostného modelu " Pracovná skupina Lokálni používatelia a najmä skupiny sa využívajú pri prideľovaní prístupových práv k prostriedkom konkrétneho počítača, a to aj v doménovom bezpečnostnom modeli. Všeobecné pravidlá nižšie bude popísané použitie lokálnych a doménových skupín na riadenie prístupu.

Správa používateľského účtu domény

Používateľské účty domény (ako aj počítače a skupiny) sú uložené v špeciálnych AD kontajneroch. Môžu to byť buď štandardné kontajnery Používatelia pre používateľov a Počítače pre počítače alebo organizačná jednotka (OU) vytvorená správcom. Výnimkou sú účty doménových radičov, tie sú vždy uložené v OP s názvom radiče domén.

Pozrime sa na príklady procesu vytvárania používateľských účtov v databáze Active Directory a analyzujeme hlavné vlastnosti doménových účtov. účty pre počítače sa vytvárajú počas procesu pripájania počítača k doméne.

Vytvorenie účtu domény

Otvorme administratívnu konzolu " Používatelia a počítače služby Active Directory ".

Kliknite pravým tlačidlom myši na kontajner, v ktorom vytvoríme účet, vyberte príkaz " Vytvorte"a ďalej -" Používateľ ".

Vyplňte polia " názov ", " Priezvisko", napríklad, " Ivan" a " Ivanov“ (v Anglická verzia - Krstné meno, Priezvisko), lúka " Celé meno " (Celé meno) sa naplní sám.

Predstavme sa" Prihlasovacie meno používateľa " (Prihlasovacie meno používateľa), napríklad, Používateľ1... Tomuto názvu sa automaticky priradí časť tvaru „@<имя домена>", v našom príklade -" @ world.ru "(výsledný názov musí byť jedinečný v celom lese).

V procese vytvárania prihlasovacieho mena sa automaticky vyplní „ Prihlasovacie meno používateľa (staršie ako Windows 2000) " (Prihlasovacie meno používateľa (pred Windows 2000)), vytvorený pre kompatibilitu s predchádzajúcimi verziami systému Windows ( krstné meno musia byť jedinečné v celej doméne). Každá organizácia by mala vyvinúť schémy pomenovávania používateľov (podľa mena, priezviska, iniciálok, pozície, oddelenia atď.) V našom príklade bude názov „ SVET \ Používateľ1". Stlač tlačidlo" Ďalej"(obr. 6.43):

Ryža. 6.43.

Zadajte heslo používateľa (dvakrát na potvrdenie).

Označme počiatočné požiadavky na heslo:

Vyžadovať zmenu hesla pri ďalšom prihlásení (užitočné v prípade, keď administrátor pridelí užívateľovi počiatočné heslo a potom si užívateľ zvolí heslo, ktoré pozná iba on);

Zabrániť používateľovi zmeniť heslo (užitočné a dokonca nevyhnutné pre účty rôznych systémových služieb);

Heslo nevyprší (používa sa aj pre heslá pre servisné účty, aby doménová politika neovplyvňovala fungovanie týchto služieb, tento parameter má vyššiu prioritu v porovnaní s bezpečnostnými politikami);

Zakázať účet.

Ryža. 6.44.

Získame konečný súhrn pre vytváraný objekt a klikneme na tlačidlo " Pripravený ".

Pozornosť! V cvičeniach laboratórne práceúlohou je nakonfigurovať politiky, ktoré výrazne znižujú úroveň požiadaviek na heslá a používateľské oprávnenia:

požiadavka na zložitosť hesla je zakázaná,

je založená minimálna dĺžka heslo rovné 0 (t.j. heslo môže byť prázdne),

minimálna doba hesla je nastavená na 0 dní (t.j. používateľ si môže heslo kedykoľvek zmeniť),

história ukladania hesiel je nastavená na 0 (t.j. pri zmene hesla systém nekontroluje históriu predtým použitých hesiel),

skupina „Používatelia“ má právo lokálne prihlásenie na doménových radičoch.

Tieto zásady sú nastavené výhradne pre pohodlie vykonávania cvičení, ktoré sa musia vykonávať s právami bežných používateľov na serveroch radiča domény. V reálnej praxi podávania napr slabé parametre V žiadnom prípade nemôžete nastaviť bezpečnosť, požiadavky na heslá a používateľské práva musia byť veľmi prísne (bezpečnostné zásady sú uvedené ďalej v tejto časti).

Pravidlá pre výber znakov na vytvorenie hesla:

dĺžka hesla - najmenej 7 znakov;

heslo sa nesmie zhodovať s užívateľským menom na prihlásenie do systému, ako aj s jeho obvyklým menom, priezviskom, menami jeho príbuzných, priateľov a pod.;

heslo by nemalo pozostávať zo žiadneho slova (aby sa vylúčila možnosť uhádnutia hesla pomocou slovníka);

heslo sa nesmie zhodovať s telefónnym číslom užívateľa (bežným alebo mobilným), číslom jeho auta, pasu, vodičský preukaz alebo iný dokument;

heslo musí byť kombináciou písmen v hornom a malými písmenami, čísla a špeciálne znaky (napríklad @ # $% ^ * & () _ + atď.).

A ešte jedno bezpečnostné pravidlo - pravidelná zmena heslo (frekvencia zmeny závisí od bezpečnostných požiadaviek každej konkrétnej spoločnosti alebo organizácie). Domény Windows majú politiku, ktorá určuje, ako dlho vyprší platnosť používateľských hesiel.

účty (účtov) používatelia, počítače a skupiny - jeden z hlavných prvkov kontroly prístupu k sieťové zdroje a tým aj celý systém zabezpečenia siete ako celok.

V Prostredie Windows 2003 Active Directory existujú 3 hlavné typy používateľských účtov:

• Lokálne používateľské účty... Tieto účty existujú v lokálnej databáze SAM (Správca bezpečnostných účtov) na každom spustenom systéme Ovládanie Windows 2003. Tieto účty sa vytvárajú pomocou nástroja Miestni používatelia a Skupiny (Miestni používatelia a skupiny) konzola Počítačový manažment (Počítačový manažment). Upozorňujeme, že ak sa chcete prihlásiť pomocou lokálneho účtu, tento účet musí byť prítomný v databáze SAM v systéme, do ktorého sa pokúšate prihlásiť. Preto sú miestne účty nepraktické veľké siete, z dôvodu veľkých režijných nákladov na ich správu.
• Používateľské účty domény... Tieto účty sú uložené v Active Directory a možno ich použiť na prihlásenie a prístup k prostriedkom v rámci lesa AD. Účty tohto typu sa vytvárajú centrálne pomocou konzoly " Používatelia a počítače služby Active Directory " (" ").
• Vstavané účty... Tieto účty vytvára samotný systém a nie je možné ich vymazať. V predvolenom nastavení každý systém, či už izolovaný (samostatný) alebo člen domény, vytvára dva účty - správca (správca) a Hosť (hosť). Účet hosťa je predvolene vypnutý.

Zamerajme sa na používateľské účty domény. Tieto účty sú uložené na radičoch domény, ktoré uchovávajú kópiu databázy Údaje sú aktívne Adresár.

existuje rôznych formátov v ktorých môžu byť zastúpené prihlásenia používateľov, pretože sa môžu líšiť z dôvodu kompatibility s klientmi, ktorí bežia viac skoré verzie Windows (napríklad 95, 98, NT). Dva hlavné druhy prihlasovacích mien používajú príponu Hlavné meno používateľa (hlavné používateľské meno) a prihlasovacie meno používateľa v systémoch starších ako Windows 2000.

Primárne meno používateľa ( UPN, Názov princípu používateľa) má rovnaký formát ako e-mailová adresa. Obsahuje prihlasovacie meno používateľa, za ktorým nasleduje znak @ a názov domény. Predvolené Doménové meno koreňová doména zvýraznené v roletovom menu, bez ohľadu na to, v ktorej doméne bol účet vytvorený (rozbaľovací zoznam bude obsahovať aj názov domény, v ktorej ste tento účet vytvorili).

Môžete tiež vytvoriť ďalšie prípony domény (časť názvu, ktorá nasleduje za znakom @), ktoré sa zobrazia v rozbaľovacom zozname a možno ich použiť pri vytváraní UPN, ak si ich vyberiete (to sa vykonáva pomocou konzoly " Domény a dôveryhodnosti služby Active Directory " (" Doména a dôveryhodnosti služby Active Directory ").

Je tu iba jeden požadovaný stav zároveň - všetky UPN v lese musia byť jedinečné (t.j. neopakovať sa). Ak prihlasovacie konto používateľa používa UPN na prihlásenie do systému Windows 2003, stačí zadať UPN a heslo – už si nemusíte pamätať a špecifikovať názov domény. Ďalšou výhodou tohto systému názvov je, že UPN sa často zhoduje emailová adresa užívateľa, čo opäť znižuje množstvo informácií o užívateľovi, ktoré si treba zapamätať.

Miestne účty

Každý počítač so systémom Windows NT / 2000 / XP / 2003 (pokiaľ nejde o server, ktorý je radičom domény) má lokálnu databázu účtov nazývanú databáza SAM. Tieto databázy boli prediskutované pri popise bezpečnostného modelu pracovnej skupiny. Lokálni používatelia a najmä skupiny sa využívajú pri prideľovaní prístupových práv k prostriedkom konkrétneho počítača, a to aj v doménovom bezpečnostnom modeli. Všeobecné pravidlá používania lokálnych a doménových skupín na riadenie prístupu budú popísané nižšie.

Správa používateľského účtu domény

Používateľské účty domény (ako aj počítače a skupiny) sú uložené v špeciálnych AD kontajneroch. Môžu to byť buď štandardné kontajnery Používatelia pre používateľov a Počítače pre počítače alebo organizačná jednotka (OU) vytvorená správcom. Výnimkou sú účty doménových radičov, tie sú vždy uložené v OP s názvom radiče domén.

Pozrime sa na príklady procesu vytvárania používateľských účtov v databáze Active Directory a analyzujeme hlavné vlastnosti doménových účtov. Počítačové účty sa vytvárajú počas procesu pripájania počítača k doméne.

Vytvorenie účtu domény

Pozornosť! V laboratórnych cvičeniach budete požiadaní, aby ste nakonfigurovali politiky, ktoré výrazne znížia úroveň požiadaviek na heslá a používateľské oprávnenia:

• požiadavka na zložitosť hesla je zakázaná,
• minimálna dĺžka hesla je nastavená na 0 (t.j. heslo môže byť prázdne),
• minimálna doba hesla je nastavená na 0 dní (t.j. používateľ si môže heslo kedykoľvek zmeniť),
• história ukladania hesiel je nastavená na 0 (t.j. pri zmene hesla systém nekontroluje históriu predtým použitých hesiel),
• skupina Users má právo na lokálne prihlásenie do radičov domény.

Tieto politiky sú nastavené výhradne pre pohodlie vykonávania cvičení, ktoré sa musia vykonávať s bežnými používateľskými právami na serveroch radiča domény. V reálnej praxi administrácie by takéto slabé bezpečnostné parametre v žiadnom prípade nemali byť nastavené, požiadavky na heslá a užívateľské práva musia byť veľmi prísne (bezpečnostná politika je popísaná ďalej v tejto časti).

Pravidlá pre výber znakov na vytvorenie hesla:

• dĺžka hesla - najmenej 7 znakov;
• heslo sa nesmie zhodovať s užívateľským menom na prihlásenie do systému, ako aj s jeho obvyklým menom, priezviskom, menami jeho príbuzných, priateľov a pod.;
• heslo by nemalo pozostávať zo žiadneho slova (aby sa vylúčila možnosť uhádnutia hesla pomocou slovníka);
• heslo sa nesmie zhodovať s telefónnym číslom užívateľa (bežným alebo mobilným), číslom jeho auta, pasu, vodičského preukazu alebo iného dokladu;
• heslo musí byť kombináciou veľkých a malých písmen, číslic a špeciálnych znakov (napríklad @ # $% ^ * & () _ + atď.).

A ešte jedno bezpečnostné pravidlo je pravidelná zmena hesla (frekvencia zmeny závisí od bezpečnostných požiadaviek v každej konkrétnej spoločnosti alebo organizácii). Domény Windows majú politiku, ktorá určuje, ako dlho vyprší platnosť používateľských hesiel.

Prehľad vlastností používateľského účtu

Vlastnosti používateľského účtu obsahujú veľkú množinu rôzne parametre umiestnené na viacerých kartách pri zobrazení v konzole " Používatelia a počítače služby Active Directory“, a pri inštalácii rôznych softvérové ​​produkty súbor vlastností je možné rozšíriť.

Zoberme si najdôležitejšie vlastnosti z pohľadu správy.

Otvorme konzolu" Používatelia a počítače služby Active Directory"a pozrite si vlastnosti používateľa, ktorého sme práve vytvorili.

Záložka " generál". Táto karta obsahuje väčšinou referenčné údaje, ktoré môžu byť veľmi užitočné pri vyhľadávaní používateľov v doméne AD. Najzaujímavejšie sú:

• " názov "
• " Priezvisko "
• " Zobraziť meno "
• " Popis "
• " Telefónne číslo "
• " Email "

Záložka " Adresa " - referenčné informácie hľadať v AD.

Záložka " účtu"- veľmi dôležitý súbor parametrov (parametrov) Prihlasovacie meno používateľa" a " Prihlasovacie meno používateľa (staršie ako Windows 2000)"diskutované vyššie pri vytváraní používateľa):

• tlačidlo " Čas vstupu"- dni a hodiny, kedy sa používateľ môže prihlásiť do domény;
• tlačidlo " Vstup do..."- zoznam počítačov, z ktorých môže používateľ vstúpiť do systému (zaregistrovať sa v doméne);
• Pole typu začiarkavacieho políčka " Blokovať účet"- tento parameter je nedostupný, kým nebude účet zablokovaný po určitom počte neúspešné pokusy prihlásenie do systému (pokusy s nesprávnym heslom), slúži na ochranu pred hacknutím hesla cudzieho účtu hrubou silou; ak je hotovo určité množstvo neúspešných pokusoch sa užívateľské konto automaticky zablokuje, pole sa sprístupní a nastaví sa v ňom zaškrtávacie políčko, ktoré môže správca odznačiť ručne, alebo sa odškrtne automaticky po uplynutí intervalu, ktorý určuje politika hesiel;
• " Nastavenia účtu"(o prvých troch parametroch sme hovorili vyššie):
  • " Pri ďalšom prihlásení vyžadovať zmenu hesla "
  • " Zabrániť používateľovi zmeniť heslo "
  • " Heslo nevyprší "
  • " Zakázať účet"- nútené odpojenie účtu (používateľ nebude môcť vstúpiť do domény);
  • " Na interaktívne prihlásenie do siete je potrebná čipová karta"- doména nebude zadaná heslom, ale čipovou kartou (na tento účel musí mať počítač používateľa čítačku čipových kariet, čipové karty musia obsahovať certifikáty vytvorené certifikačnou autoritou);
• " Dátum vypršania platnosti účtu"- nastavuje dátum, od ktorého nebude tento účet platný pri registrácii v doméne (tento parameter je vhodné nastaviť pre zamestnancov najatých na brigády, ľudí, ktorí prišli do firmy na služobnú cestu, študentov vykonávajúcich prax v organizácia atď.)

Záložky " Telefóny ", " Organizácia"- pomocné informácie o užívateľovi pre vyhľadávanie v AD.

Záložka " Profil "

Profil (profilu) sú nastavenia pracovného prostredia používateľa. Profil obsahuje: nastavenia pracovnej plochy (farba, rozlíšenie obrazovky, obrázok na pozadí), nastavenia prezerania počítačových priečinkov, nastavenia internetového prehliadača a iných programov (napríklad umiestnenie priečinkov pre programy rodiny Microsoft Office). Pre každého používateľa sa pri prvom prihlásení do počítača automaticky vytvorí profil. Existujú nasledujúce typy profilov:

• miestne- uložené v " dokumenty a nastavenia"na oddiele disku, kde je nainštalovaný operačný systém;
• premiestniteľné(sieť, príp roaming) - uložené na serveri v priečinku všeobecný prístup sa načítajú do relácie používateľa na akomkoľvek počítači, z ktorého používateľ zadal (zaregistroval) doménu, čo používateľovi umožňuje mať rovnaké Pracovné prostredie na ľubovoľnom počítači (cesta k priečinku s profilom je na tejto karte uvedená ako adresa \\ server \ share \% username%, kde server je názov servera, share je názov zdieľaného priečinka, % username% je názov priečinka s profilom; použite premenná prostredia systémy Windows s názvom% username% umožňuje nastaviť názov priečinka s profilom, rovnaký ako meno používateľa);
• povinný (povinné) - nastavenie tohto typu užívateľ môže zmeniť profil iba v aktuálnej relácii práce vo Windows, pri odhlásení zo systému sa zmeny neuložia.

Parameter Logon Script určuje spustiteľný súbor, ktorý sa stiahne do počítača a spustí sa pri prihlásení používateľa. Spustiteľný súbor možno dávkový súbor(.bat, .cmd) spustiteľný program (.exe, .com) súbor skriptu (.vbs, js).

Záložka " Člen skupiny"- umožňuje spravovať zoznam skupín, do ktorých tento používateľ patrí.

Záložka " Prichádzajúce hovory ".

Riadenie prístupu používateľov k podnikový systém prostredníctvom prostriedkov vzdialený prístup systémov Windows Server(napríklad cez modem alebo pripojenie VPN). V zmiešaný režim Windows doména k dispozícii sú iba možnosti " Povoliť prístup" a " Zamietnuť prístup"ako aj parametre spätného volania" Spätné volanie servera"). V režimoch" Windows 2000 základný" a " Windows 2003"Prístup môže byť riadený zásadami servera vzdialeného prístupu (nezamieňať s skupinové politiky). Viac informácií táto otázka diskutované v časti o nástrojoch vzdialeného prístupu.

Záložky " Profil terminálových služieb ", " streda ", " Relácie ", " Diaľkové ovládanie "- tieto karty ovládajú parametre práce užívateľa na terminálovom serveri:

• správa používateľských povolení pracovať na terminálovom serveri;
• umiestnenie profilu pri práci v terminálovej relácii,
• nastavenie používateľského prostredia v terminálovej relácii (zač konkrétny program alebo v režime pracovnej plochy, pripojte sa lokálne disky a používateľské tlačiarne do relácie terminálu);
• správa užívateľských relácií na terminálovom serveri (trvanie relácie, časový limit nečinnosti relácie, parametre znovu pripojiť do odpojenej relácie);
• povolenie pre správcu pripojiť sa k terminálovej relácii používateľa.