Čo je doménový účet. Používateľské účty domény. Miestne účty

Používanie používateľských účtov uľahčuje viacerým ľuďom prácu na tom istom počítači. Každý používateľ môže mať samostatný účet s vlastnými možnosťami, ako je pozadie pracovnej plochy a šetrič obrazovky... Účty určujú, ku ktorým súborom a priečinkom majú používatelia prístup a aké zmeny môžu v počítači vykonať. Pre väčšinu používateľov sa používajú bežné účty.

Domény, pracovné skupiny a domáce skupiny predstavujú rôzne metódy organizácie počítačov v sieti. Ich hlavným rozdielom je spôsob správy počítačov a iných zdrojov.

Počítače so systémom Windows v sieti musia byť súčasťou pracovnej skupiny alebo domény. Počítače so systémom Windows v domácej siete môže byť aj súčasťou domácej skupiny, nie je to však povinné.

Počítače v domácich sieťach sú zvyčajne súčasťou pracovných skupín a možno aj domácej skupiny, zatiaľ čo počítače v sieťach na pracoviskách sú súčasťou domén. Kroky, ktoré musíte vykonať, sa líšia v závislosti od toho, či je počítač členom domény alebo pracovnej skupiny.

V pracovná skupina:

· Všetky počítače sú v sieti rovnocenné; žiadny počítač nemôže ovládať iný.

· Každý počítač má viacero používateľských účtov. Ak sa chcete prihlásiť do ľubovoľného počítača, ktorý patrí do pracovnej skupiny, musíte mať na tomto počítači konto.

· Pracovná skupina zvyčajne nemá viac ako dvadsať počítačov.

· Pracovná skupina nie je chránená heslom.

· Všetky počítače musia byť v rovnakej lokálnej sieti alebo podsieti.

V domáca skupina:

· Počítače v domácej sieti musia patriť do pracovnej skupiny, ale môžu patriť aj do domácej skupiny. Zdieľanie obrázkov, hudby, videí, dokumentov a tlačiarní s ostatnými je s domácou skupinou oveľa jednoduchšie.

· Domáca skupina je chránená heslom, ale zadáva sa iba raz, keď do domácej skupiny pridáte počítač.

V doméne:

· Jeden alebo viac počítačov sú servery. Správcovia siete používajú servery na kontrolu zabezpečenia a povolení pre všetky počítače v doméne. To uľahčuje zmenu nastavení, pretože zmeny sa vykonajú automaticky pre všetky počítače. Používatelia domény musia poskytnúť heslo alebo iné poverenia pri každom prístupe k doméne.

· Ak má používateľ účet v doméne, môže sa prihlásiť na ktorýkoľvek počítač. To si nevyžaduje účet na samotnom počítači.

· Práva na zmenu nastavení počítača môžu byť obmedzené, pretože správcovia siete chcú mať istotu, že nastavenia počítača sú konzistentné.

· V doméne môžu byť tisíce počítačov.

· Počítače môžu patriť do rôznych lokálnych sietí.

Každý vie, že po inštalácii operačného systému je počítač na začiatku zahrnutý do pracovnej skupiny (štandardne do WORKGROUP). V pracovnej skupine je každý počítač nezávislým autonómnym systémom, v ktorom je databáza Security Accounts Manager (SAM). Keď sa osoba prihlási do počítača, vykoná sa kontrola existencie účtu v SAM a v súlade s týmito záznamami určité práva... Počítač, ktorý je zadaný do domény, si naďalej udržiava svoju základňu údaje SAM, ale ak sa používateľ prihlási pod doménovým účtom, tak sa kontroluje už na doménovom radiči, t.j. počítač dôveruje radiču domény pre identitu používateľa.

Do domény môžete pridať počítač rôzne cesty, ale predtým sa musíte uistiť, že tento počítač spĺňa nasledujúce požiadavky:

Máte právo pripojiť počítač k doméne (štandardne toto právo prináleží Enterperise Admins, Domain Admins, Administrators, Account Admins);

Počítačový objekt bol vytvorený v doméne;

Musíte byť prihlásení do pripojeného počítača ako lokálny správca.

U mnohých administrátorov môže druhý bod vyvolať nevôľu – načo vytvárať počítač v AD, ak sa po pridaní počítača do domény objaví v kontajneri Počítače. Ide o to, že nemôžete vytvárať organizačné jednotky v kontajneri Computers, ale čo je horšie, nemôžete viazať GPO na kontajner. Preto sa odporúča vytvoriť počítačový objekt v požadovanej organizačnej jednotke a neuspokojiť sa s automaticky vytvoreným počítačovým účtom. Automaticky vytvorený počítač samozrejme môžete presunúť na požadované oddelenie, no správcovia na takéto veci často zabúdajú.

Teraz sa pozrime na spôsoby, ako vytvoriť počítač (počítače) v AD:

Vytvorte počítače pomocou modulu Active Directory Users and Computers.

Pre túto metódu musíme spustiť " Aktívny adresár- používatelia a počítače “, na vašom počítači pomocou Admin Pack alebo na radiči domény. Ak to chcete urobiť, kliknite na " Štartovací panel Kontrolný systém a bezpečnosť- Administrácia-"vyberte požadovanú jednotku, kliknite na ňu kliknite pravým tlačidlom myši myš, v obsahové menu vybrať " Create- Počítač".

Zadajte názov počítača.

Vytvorte počítačový účet pomocou príkazu DSADD.

Celkový pohľad na tím:

dsadd počítač [-desc<описание>] [-lok<расположение>] [-člen<группа...>] [(-s<сервер>| -d<домен>)] [-u<пользователь>] [-p (<пароль>| *)] [-q] [(-uc | -uco | -uci)]

Možnosti:

Popis hodnoty
Požadovaný parameter. Určuje rozlišovací názov (DN) počítača, ktorý sa má pridať.
-desc<описание> Určuje popis počítača.
-lok<размещение> Určuje umiestnenie počítača.
-člen<группа...> Pridá počítač do jednej alebo viacerých skupín definovaných zoznamom DN oddelených medzerami<группа...>.
(-s<сервер>| -d<домен>}
-s <сервер>určuje pripojenie k radiču domény (DC) s názvom<сервер>.
-d <домен>definuje pripojenie k DC v doméne<домен>.
Štandardne: DC v prihlasovacej doméne.
-u<пользователь> Pripojte sa pod menom<пользователь>... Predvolené: meno aktuálne prihláseného používateľa. Možné možnosti: používateľské meno, doména \ používateľské meno, hlavné meno používateľa (UPN).
-p (<пароль> | *} Používateľské heslo<пользователь>... Ak zadáte *, budete vyzvaní na zadanie hesla.
-q Tichý režim: nahradí všetok výstup štandardným výstupom.
(-uc | -uco | -uci)

-uč Určuje formátovanie Unicode pre vstup z potrubia alebo výstup do potrubia.
-učo Určuje formátovanie výstupu Unicode do potrubia alebo súboru.
-uci Určuje formátovanie Unicode pre vstup z potrubia alebo súboru.

Príklad použitia príkazu Dsadd:

Dsadd počítač “CN = COMP001, OU = Moskva, OU = oddelenia, DC = pk-help, DC = com” –desc “Počítač oddelenia IT”

Tvorbaúčet pracovnej stanice alebo servera pomocou príkazu Netdom.

Celkový pohľad na tím Netdom:

NETDOM ADD<компьютер> ]
<компьютер> toto je názov počítača, ktorý chcete pridať
/ Doména určuje doménu, v ktorej chcete vytvoriť počítačový účet
/ UserD používateľský účet používaný pri pripájaní k doméne špecifikovanej argumentom / Doména
/ HesloD heslo pre používateľský účet špecifikovaný argumentom / UserD. * Znamená výzvu na zadanie hesla
/ Server názov radiča domény použitého na pridanie. Tento parameter nemožno použiť v spojení s parametrom / OU.
/ Ou organizačnú jednotku, v ktorej chcete vytvoriť konto počítača. Vyžaduje sa úplné rozlíšenie Doménové meno RFC 1779 pre divíziu. Pri použití tohto argumentu musíte pracovať priamo na zadanom radiči domény. Ak tento argument nie je zadaný, účet sa vytvorí v predvolenej organizačnej jednotke pre počítačové objekty tejto domény.
/ DC označuje, že chcete vytvoriť počítačový účet radiča domény. Tento parameter nemožno použiť v spojení s parametrom / OU.
/ SecurePasswordPrompt Na zadanie poverení použite zabezpečené kontextové okno. Tento parameter použite, keď potrebujete zadať prihlasovacie údaje karty Smart Card. Tento parameter je účinný len vtedy, ak je heslo nastavené v tvare *.

Vytvorte objekt Počítač pomocou Ldifde () a Csvde ().

Správa počítačových účtov v Active Directory.

Premenovanie počítača na AD.

Spustiť príkazový riadok a pomocou príkazu Netdom premenujte počítač na AD:

Netdom premenovať počítač<Имя компьютера>/ Nové meno:<Новое имя>

Príklad: Netdom premenovanie počítača COMP01 / Newname: COMP02

Odstránenie počítačových účtov.

1 Odstráňte konto počítača pomocou modulu snap-in " Používatelia a počítače služby Active Directory". Spustite modul snap-in." Používatelia a počítače služby Active Directory"Nájsť potrebný počítač kliknite naň pravým tlačidlom myši, v kontextovom menu zvoľte " Odstrániť“, potvrďte vymazanie

2 Počítač môžete odstrániť pomocou príkazu DSRM:

DSRM

DSRM CN = COMP001, OU = Moskva, OU = oddelenia, DC = pk-help, DC = com
.

Odstránenie chyby „Inštalácia zlyhala dôverný vzťah medzi touto pracovnou stanicou a hlavnou doménou."

Niekedy pri pokuse o vstup do počítača dostane používateľ správu „ Nepodarilo sa vytvoriť vzťah dôveryhodnosti medzi touto pracovnou stanicou a primárnou doménou". Táto chyba sa vyskytuje, keď zlyhá zabezpečený kanál medzi počítačom a radičom domény. Ak to chcete vyriešiť, musíte obnoviť zabezpečený kanál. Môžete použiť jednu z metód:

1 Prejdite do modulu Active Directory Users and Computers, nájdite problémový počítač, kliknite naň pravým tlačidlom myši a vyberte možnosť Obnoviť účet. Potom by sa mal počítač znova pripojiť k doméne a reštartovať.

2 Pomocou príkazu Netdom:

Obnovenie siete<имя машины>/ doména<Имя домена>/ Používateľ0<Имя пользователя>/ Heslo0<Пароль> bez úvodzoviek<>

Príklad: Reset siete COMP01 / doména / Používateľ0 Ivanov / Heslo *****

3 Pomocou príkazu Nltest:

Nltest / server:<Имя компьютера>/ sc_reset:<Домен>\<Контроллер домена>

Sieťová technológia Windows vám umožňuje vytvárať sieťové domény. Doména je skupina pripojených počítačov so systémom Windows, ktoré zdieľajú užívateľský účet informácie a a bezpečnostnej politiky... Spravuje radič domény používateľ informácie o účte pre všetkých členov domény.

Radič domény uľahčuje správu siete. Spravovaním jedného zoznamu účtov pre všetkých členov domény zbavuje radič domény správcu siete požiadavky synchronizovať zoznamy účtov na každom z počítačov domény. Inými slovami, správca siete, ktorý vytvára alebo mení používateľské konto, musí aktualizovať iba zoznam účtov na radiči domény a nie zoznamy účtov na každom z počítačov v doméne.

Ak sa chcete prihlásiť na databázový server Windows, používateľ na inom počítači so systémom Windows musí patriť buď do rovnakej domény, alebo do dôveryhodnej domény. Dôveryhodná doména je doména, ktorá vytvorila dôveryhodný vzťah s inou doménou. Vo vzťahu dôveryhodnosti sú používateľské účty umiestnené iba v dôveryhodnej doméne, ale používatelia sa môžu prihlásiť do dôveryhodnej domény.

Používateľ, ktorý sa pokúsi prihlásiť do počítača so systémom Windows, ktorý je členom domény, tak môže urobiť buď pomocou lokálneho prihlásenia a profilu, alebo pomocou prihlásenia a profilu domény. Ak je však používateľ uvedený ako dôveryhodný používateľ alebo počítač, z ktorého sa používateľ pokúša prihlásiť, je uvedený ako dôveryhodný hostiteľ, používateľovi možno udeliť prihlasovací prístup bez profilu.

Ak zadáte identifikátor užívateľa, ale žiadny názov domény pre pripojenie k počítaču, ktorý očakáva názov domény aj meno užívateľa (doména \ užívateľ), IBM Informix skontroluje iba lokálny počítač a primárnu doménu pre užívateľský účet. Ak explicitne zadáte názov domény, táto doména sa použije na vyhľadanie používateľského účtu. Pokus o pripojenie zlyhá s chybou -951, ak sa na lokálnom počítači nenájde žiadna zodpovedajúca doména \ používateľský účet.

Konfiguračný parameter CHECKALLDOMAINSFORUSER použite na konfiguráciu spôsobu, akým Informix vyhľadáva mená užívateľov v sieťovom prostredí Windows. Nasledujúca tabuľka obsahuje zoznam umiestnení, ktoré Informix vyhľadáva pre mená užívateľov zadaných buď samostatne, alebo s názvom domény s CHECKALLDOMAINSFORUSER nastaveným na 0 alebo 1.

Tabuľka 1. Konfiguračný parameter CHECKALLDOMAINSFORUSER (Windows)

	Zadaná doména \ používateľ	Zadané iba používateľské meno
CHECKALLDOMAINSFORUSER = 0		Informix hľadá meno užívateľa len na lokálnom hostiteľovi.
CHECKALLDOMAINSFORUSER = 1	Informix hľadá meno užívateľa iba v zadanej doméne.	Informix hľadá meno užívateľa vo všetkých doménach.

Vynechanie CHECKALLDOMAINSFORUSER zo súboru onconfig je rovnaké ako nastavenie CHECKALLDOMAINSFORUSER na 0. Viac informácií o nastavení CHECKALLDOMAINSFORUSER nájdete v príručke IBM Informix Administrator "s Reference.

Ďalšie informácie o doménach nájdete v príručkách operačného systému Windows.

Dôležité: Mechanizmus dôveryhodného klienta IBM Informix nesúvisí so vzťahom dôvery, ktorý môžete vytvoriť medzi doménami Windows. Preto, aj keď sa klient pripojí z dôveryhodnej domény Windows, používateľ musí mať účet v doméne, na ktorej je databázový server beží. Bližšie informácie o tom, ako databázový server autentifikuje klientov, nájdete v časti

Alexander Emeljanov

Správa účtov v doméne Active Directory

Jednou z najdôležitejších úloh administrátora je správa lokálnych a doménových účtov: audit, kótovanie a diferenciácia užívateľských práv v závislosti od ich potrieb a firemnej politiky. Čo v tomto smere ponúka služba Active Directory?

V pokračovaní tejto série článkov o Active Directory si dnes povieme niečo o centrálnom odkaze v procese administrácie – správe používateľských prihlasovacích údajov v rámci domény. Budeme zvažovať:

• vytváranie a správa účtov;
• typy užívateľských profilov a ich aplikácia;
• bezpečnostné skupiny v AD doménach a ich kombinácie.

Nakoniec budete môcť použiť tieto materiály na stavbu pracovná infraštruktúra alebo revíziu existujúcej, ktorá bude spĺňať Vaše požiadavky.

Pri pohľade do budúcnosti poviem, že téma úzko súvisí s aplikáciou skupinových politík na administratívne účely. Ale vzhľadom na rozsiahlosť materiálu, ktorý je im venovaný, to bude zverejnené v nasledujúcom článku.

Predstavujeme službu Active Directory – používatelia a počítače

Po nainštalovaní prvého radiča v doméne (teda vlastne usporiadaní domény) sa v časti „Správa“ (pozri obrázok 1) objaví päť nových prvkov.

Na správu AD objektov slúži Active Directory - Users and Computers (ADUC - AD Users and Computers, viď obr. 2), ktorý je možné vyvolať aj cez menu Run cez DSA.MSC.

Pomocou ADUC môžete vytvárať a odstraňovať používateľov, priraďovať prihlasovacie skripty k účtu a spravovať členstvo v skupinách a skupinové politiky.

Existuje tiež možnosť spravovať objekty AD bez toho, aby ste museli ísť priamo na server. Poskytuje ho balík ADMINPAK.MSI umiestnený v adresári% SYSTEM_DRIVE% \ Windows \ system32. Nasadením na váš počítač a poskytnutím práv správcu domény (ak žiadne neexistujú), budete môcť spravovať doménu.

Keď otvoríme ADUC, uvidíme našu doménovú vetvu obsahujúcu päť kontajnerov a organizačných jednotiek.

• Vstavaný... Obsahuje vstavané miestne skupiny, ktoré sa nachádzajú na akomkoľvek serveri vrátane radičov domény.
• Používatelia a počítače... Toto sú kontajnery, ktoré štandardne hosťujú používateľov, skupiny a počítačové účty pri inštalácii cez Windows NT. Na vytváranie a ukladanie nových účtov však nie je potrebné používať iba tieto kontajnery, používateľa je možné vytvoriť aj v kontajneri domény. Keď je počítač pridaný do domény, zobrazí sa v kontajneri Počítače.
• radiče domén... Ide o organizačnú jednotku (OU), ktorá štandardne obsahuje radiče domény. Keď sa vytvorí nový ovládač, zobrazí sa tu.
• Zahraniční riaditelia bezpečnosti... Toto je predvolený kontajner pre objekty z dôveryhodných externých domén.

Je dôležité si zapamätať, že objekty GPO sú viazané výlučne na doménu, organizačnú jednotku alebo lokalitu. Zvážte to pri vytváraní administratívnej hierarchie vašej domény.

Zadanie počítača do domény

Postup sa vykonáva priamo na lokálnom počítači, ktorý chceme pripojiť.

Vyberte "Tento počítač -> Vlastnosti -> Názov počítača", kliknite na tlačidlo "Zmeniť" a vyberte "Doména" z ponuky "Člen". Zadáme názov domény, do ktorej chceme pridať náš počítač a následne preukážeme, že máme práva na pridávanie pracovných staníc do domény zadaním autentifikačných údajov správcu domény.

Vytvorte používateľa domény

Na vytvorenie používateľa je potrebné vybrať ľubovoľný kontajner, v ktorom sa bude nachádzať, kliknúť naň pravým tlačidlom myši a vybrať „Nový -> Používateľ“. Otvorí sa Sprievodca novým používateľom. Tu môžete zadať mnohé z jeho atribútov, od používateľského mena a časových rámcov prihlásenia do domény až po nastavenia pre terminálové služby a vzdialený prístup. Po dokončení sprievodcu získate nového používateľa domény.

Je potrebné poznamenať, že v procese vytvárania používateľa môže systém „prisahať“ na nedostatočnú zložitosť hesla alebo jeho stručnosť. Požiadavky môžete zmierniť otvorením "Predvolené nastavenia zabezpečenia domény" a potom "Nastavenia zabezpečenia -> Zásady účtu -> Zásady hesiel".

Dovoľte nám vytvoriť používateľa Ivan Ivanov v kontajneri Users (User Logon Name: [e-mail chránený]). Zatiaľ čo na systémoch NT 4 bol tento názov iba ozdobou, v AD je súčasťou názvu vo formáte LDAP, ktorý vyzerá ako celok takto:

cn = "Ivan Ivanov", cn = "Používatelia", dc = "hq", dc = "miestny"

Tu je cn názov kontajnera, dc je komponent domény. Opisy objektov vo formáte LDAP sa používajú na spúšťanie skriptov WSH (Windows Script Hosts) alebo na programy, ktoré používajú protokol LDAP na komunikáciu s Active Directory.

Na vstup do domény bude musieť Ivan Ivanov použiť meno vo formáte UPN (Universal Principal Name): [e-mail chránený] Taktiež v AD doménach bude jasné písanie mena v starom formáte NT 4 (pred Win2000), v našom prípade HQ \ Ivanov.

Po vytvorení používateľského účtu sa mu automaticky pridelí bezpečnostný identifikátor (SID, Security Identifier) ​​- jedinečné číslo, ktorým systém definuje užívateľov. Toto je veľmi dôležité pochopiť, pretože odstránením účtu sa vymaže aj jeho SID a už sa nikdy nepoužije. A každý nový účet bude mať svoje vlastné nové SID, a preto nebude môcť získať práva a privilégiá starého.

Účet je možné presunúť do iného kontajnera alebo OU, deaktivovať alebo naopak povoliť, skopírovať alebo zmeniť heslo. Kopírovanie sa často používa na vytvorenie viacerých používateľov s rovnakými parametrami.

Používateľské pracovné prostredie

Poverenia uložené centrálne na serveri umožňujú používateľom jedinečne sa identifikovať v doméne a získať príslušné práva a prístup k pracovnému prostrediu. Všetko OS Rodina Windows NT používa užívateľský profil na vytvorenie pracovného prostredia na klientskom počítači.

Miestny profil

Pozrime sa na hlavné komponenty používateľského profilu:

• Kľúč databázy Registry zodpovedajúci konkrétnemu používateľovi ("úľ" alebo "úľ"). V skutočnosti sú údaje pre túto vetvu registra uložené v súbore NTUSER.DAT. Nachádza sa v priečinku % SYSTEMDRIVE% \ Documents and Settings \ User_name, ktorý obsahuje užívateľský profil. Takže pri vstupe konkrétny používateľ„úľ“ NTUSER.DAT z priečinka obsahujúceho jeho profil sa načíta do systému do kľúča databázy Registry HKEY_CURRENT_USER. A všetky zmeny nastavení používateľského prostredia pre reláciu sa uložia do tohto „úľa“. Súbor NTUSER.DAT.LOG je protokol transakcií, ktorý existuje na ochranu súboru NTUSER.DAT. Je však nepravdepodobné, že ho nájdete pre Predvoleného používateľa, pretože ide o šablónu. Viac o tom neskôr. Administrátor má možnosť upravovať „úľ“ konkrétneho používateľa priamo z jeho pracovného prostredia. Aby to urobil, pomocou editora registra REGEDIT32 musí načítať „úľ“ do sekcie HKEY_USERS a potom ho po vykonaní zmien uvoľniť.
• Priečinky systém súborov obsahujúce súbory vlastných nastavení. Sú umiestnené v špeciálnom adresári% SYSTEMDRIVE% \ Documents and Settings \ User_name, kde User_name je meno užívateľa, ktorý je prihlásený do systému. Tu sú uložené položky pracovnej plochy, položky pri spustení, dokumenty atď.

Keď sa používateľ prvýkrát prihlási, stane sa toto:

1. Systém skontroluje, či existuje lokálny profil tohto používateľa.
2. Keďže ho systém nenájde, kontaktuje radič domény pri hľadaní predvoleného profilu domény, ktorý by sa mal nachádzať v priečinku Predvolený používateľ na spoločný zdroj NETLOGON; ak systém zistí tento profil, skopíruje sa lokálne na počítači do priečinka % SYSTEMDRIVE% \ Documents and Settings s používateľským menom, inak sa skopíruje z lokálny priečinok% SYSTEMDRIVE% \ Dokumenty a nastavenia \ Predvolený používateľ.
3. Vlastný podregistr sa načíta do kľúča databázy Registry HKEY_CURRENT_USER.
4. Keď sa odhlásite, všetky zmeny sa uložia lokálne.

Na koniec pracovné prostredie používateľ je kombináciou jeho pracovného profilu a profilu Všetci používatelia, ktorý obsahuje nastavenia spoločné pre všetkých používateľov tohto stroja.

Teraz pár slov o vytvorení predvoleného profilu pre doménu. Vytvorte si na svojom počítači fiktívny profil, prispôsobte si ho podľa svojich potrieb alebo požiadaviek podnikovej politiky. Potom sa odhláste a znova prihláste ako správca domény. Na zdieľaní servera NETLOGON vytvorte Predvolený priečinok Používateľ. Potom pomocou záložky Používateľské profily v aplete Systém (pozri obrázok 3) skopírujte svoj profil do tohto priečinka a udeľte práva na jeho používanie skupine Domain Users alebo inej vhodnej bezpečnostnej skupine. To je všetko, predvolený profil pre vašu doménu bol vytvorený.

Pohyblivý profil

Ako flexibilná a škálovateľná technológia vám Active Directory umožňuje pracovať vo vašom podnikovom prostredí s roamingovými profilmi, o ktorých budeme diskutovať ďalej.

Zároveň bude vhodné hovoriť o presmerovaní priečinkov ako o jednej z vlastností technológie IntelliMirror na zabezpečenie odolnosti voči chybám a centralizovaného ukladania používateľských údajov.

Roamingové profily sú uložené na serveri. Cesta k nim je uvedená v používateľských nastaveniach domény (viď obr. 4).

Ak chcete, môžete určiť roamingové profily pre viacerých používateľov súčasne výberom viacerých používateľov a vo vlastnostiach na karte „Profil“ určiť % USERNAME% namiesto priečinka s menom používateľa (pozri obrázok 5).

Prvý proces prihlásenia pre používateľa s roamingovým profilom je podobný postupu opísanému vyššie pre lokálneho, s niekoľkými výnimkami.

Po prvé, keďže cesta k profilu je špecifikovaná v objekte používateľa, systém skontroluje lokálnu kópiu profilu uloženú vo vyrovnávacej pamäti na počítači, potom je všetko podľa popisu.

Po druhé, po dokončení práce sa všetky zmeny skopírujú na server a ak skupinové politiky neurčujú odstránenie lokálnej kópie, uložia sa na tento počítač. Ak už používateľ mal lokálnu kópiu profilu, potom server a lokálna kópia profily sa porovnávajú a kombinujú.

Technológia IntelliMirror v systémy Windows najnovšie verzie umožňujú presmerovanie určitých používateľských priečinkov, ako napríklad „Moje dokumenty“, „Moje obrázky“ atď., na sieťový zdroj.

Pre užívateľa tak budú všetky vykonané zmeny absolútne transparentné. Uložením dokumentov do priečinka „Moje dokumenty“, ktorý bude vedome presmerovaný na sieťový zdroj, nebude mať ani podozrenie, že sa všetko ukladá na server.

Presmerovanie môžete nakonfigurovať buď manuálne pre každého používateľa, alebo pomocou skupinových zásad.

V prvom prípade musíte kliknúť na ikonu "Moje dokumenty" na pracovnej ploche alebo v ponuke "Štart" pravým tlačidlom myši a vybrať vlastnosti. Potom je všetko veľmi jednoduché.

V druhom prípade musíte otvoriť skupinovú politiku OU alebo domény, pre ktorú chceme použiť presmerovanie, a rozbaliť hierarchiu „Konfigurácia používateľa -> Konfigurácia systému Windows"(Pozri obr. 6). Ďalej je presmerovanie nakonfigurované buď pre všetkých používateľov alebo pre špecifické skupiny zabezpečenia OU alebo domény, na ktoré sa bude uplatňovať táto skupinová politika.

Použitím presmerovania priečinkov na prácu s roamingovými používateľskými profilmi môžete dosiahnuť napríklad skrátenie času načítania profilu. Toto je za predpokladu, že roamingový profil sa vždy načíta zo servera bez použitia lokálnej kópie.

Technológia presmerovania priečinkov by bola bez zmienky neúplná offline súbory... Umožňujú používateľom pracovať s dokumentmi, aj keď nie sú pripojení k sieti. K synchronizácii so serverovými kópiami dokumentov dôjde pri ďalšom pripojení počítača k sieti. Takáto organizačná schéma bude užitočná napríklad pre používateľov notebookov pracujúcich v rámci oboch lokálna sieť a doma.

Nevýhody roamingových profilov zahŕňajú:

• môže nastať situácia, keď napríklad na pracovnej ploche používateľa budú existovať skratky niektorých programov, ale na inom počítači, kde chce vlastník roamingového profilu pracovať, takéto programy nie sú nainštalované, takže niektoré skratky nebudú fungovať;
• mnohí používatelia majú vo zvyku ukladať dokumenty, ako aj fotografie a dokonca aj videá na pracovnú plochu, v dôsledku toho zakaždým, keď sa zo servera načíta roamingový profil, dodatočnú premávku v sieti a samotný profil sa načítava veľmi dlho; na vyriešenie problému použite povolenia NTFS na obmedzenie ukladania „odpadu“ na pracovnej ploche;
• zakaždým, keď sa používateľ prihlási do systému, vytvorí sa mu lokálny profil (presnejšie profil zo servera sa skopíruje lokálne) a ak zmení pracovné stroje, na každom z nich zostane takýto „smetí“; tomu sa dá predísť konfiguráciou skupinovej politiky určitým spôsobom (politika "Konfigurácia počítača -> Šablóny pre správu -> Systém -> Profily používateľov", "Vymazať kópie roamingových profilov uložené vo vyrovnávacej pamäti").

Uvedenie existujúceho používateľa do domény

Často pri nasadzovaní adresárovej služby v už existujúcej siete na základe pracovných skupín vzniká otázka uvedenia používateľa do domény bez straty nastavení jeho pracovného prostredia. Dá sa to dosiahnuť pomocou roamingových profilov.

Stavte na všeobecné sieťový zdroj(napríklad Profily) na serveri priečinok s používateľským menom a nastavte preň oprávnenia na zápis pre skupinu Všetci. Nech sa volá HQUser a úplná cesta k nemu vyzerá takto: \\ Server \ Profiles \ HQUser.

Vytvorte používateľa domény, ktorý bude zodpovedať používateľovi vo vašej lokálnej sieti, a zadajte \\ Server \ Profiles \ HQUser ako cestu k profilu.

Na počítači, ktorý obsahuje lokálny profil nášho používateľa, sa musíte prihlásiť pomocou účtu správcu a pomocou karty Používateľské profily v aplete Systém ho skopírovať do priečinka \\ Server \ Profiles \ HQUser.

Je ľahké pochopiť, že keď sa nabudúce prihlásime do systému pod novým doménovým účtom, náš používateľ si načíta svoj pracovný profil zo servera a administrátor sa bude musieť len rozhodnúť, či ponechá tento profil v roamingu alebo ho zmení na lokálny.

kvóty

Používatelia veľmi často sťahujú zbytočné informácie sieťové disky. Aby ste sa vyhli neustálym požiadavkám na vyčistenie vašich osobných priečinkov zbytočný odpad(z nejakého dôvodu sa to vždy ukáže ako nevyhnutné), môžete použiť mechanizmus kvót. Počnúc Windows 2000 to možno urobiť štandardnými prostriedkami na zväzkoch NTFS.

Ak chcete povoliť mechanizmus kvót a nakonfigurovať ho, prejdite do vlastností lokálneho zväzku a otvorte kartu Kvóta (pozri obr. 7).

Môžete tiež zobraziť údaje o obsadenom mieste na disku a nakonfigurovať kvóty samostatne pre každého používateľa (pozri obrázok 8). Systém vypočíta obsadené miesto na disku na základe údajov o vlastníkovi objektov, pričom spočíta množstvo súborov a priečinkov, ktoré mu patria.

Skupiny užívateľov v AD

Správa používateľov v rámci domény je jednoduchá. Ale keď potrebujete nakonfigurovať prístup k určité zdroje pre niekoľko desiatok (alebo dokonca stoviek) používateľov môže rozdelenie prístupových práv trvať veľa času.

A ak je potrebné jemne ohraničiť práva členov viacerých domén v rámci stromu alebo lesa, správca stojí pred úlohou podobnú úlohám z teórie množín. Tu prichádza na pomoc použitie skupín.

Hlavná charakteristika skupín nájdených v rámci domény bola uvedená v predchádzajúcom článku o architektúre adresárovej služby.

Pripomíname, že lokálne skupiny domény môžu zahŕňať používateľov vo svojej vlastnej doméne a iných doménach v lese, ale ich rozsah je obmedzený na doménu, do ktorej patria.

Globálne skupiny môžu zahŕňať iba používateľov ich vlastnej domény, ale je možné ich použiť na poskytnutie prístupu k prostriedkom v rámci ich vlastných aj iných domén v lese.

Univerzálne skupiny, ako napovedá ich názov, môžu obsahovať používateľov z ľubovoľnej domény a možno ich použiť aj na poskytovanie prístupu v rámci celého lesa. Nezáleží na tom, v ktorej doméne bude univerzálna skupina vytvorená, jediné, čo stojí za zváženie, je, že pri jej presune sa stratia prístupové práva a bude potrebné ich predeliť.

Aby ste pochopili vyššie uvedené a základné princípy hniezdnych skupín, zvážte príklad. Predpokladajme, že máme les obsahujúci dve domény HQ.local a SD.local (ktorá je root v tomto prípade, nevadí). Každá z domén obsahuje prostriedky, ktorým chcete udeliť prístup a používateľov (pozri obrázok 9).

Z obr. 9, môžete vidieť, že všetci používatelia v lese musia mať prístup k zdrojom Docs a Distrib (zelená a červená čiara), takže môžeme vytvoriť univerzálnu skupinu obsahujúcu používateľov z oboch domén a použiť ju pri zadávaní povolení na prístup k obom zdrojom. Prípadne môžeme v každej doméne vytvoriť dve globálne skupiny, ktoré budú obsahovať iba používateľov našej domény a zaradiť ich do univerzálnej skupiny. Ktorúkoľvek z týchto globálnych skupín možno použiť aj na pridelenie práv.

Do adresára Base by mali mať prístup iba používatelia z domény HQ.local (modré čiary), preto ich zaradíme do skupiny lokálnych domén a tejto skupine udelíme prístup.

Členovia domény HQ.local aj členovia domény SD.local budú môcť používať adresár Distrib (oranžové čiary na obrázku 9). Preto môžeme používateľov Manager a Plat pridať do globálnej skupiny domény HQ.local a túto skupinu potom pridať do lokálnej skupiny domény SD.local spolu s používateľom IT. Potom túto miestnu skupinu a udeľte prístup k zdroju Distrib.

Teraz sa bližšie pozrieme na vnorenie týchto skupín a zvážime ďalší typ skupín – vstavané lokálne skupiny domén.

Tabuľka ukazuje, ktoré skupiny môžu byť vnorené do ktorých. Tu sú horizontálne skupiny, v ktorých sú vnorené vertikálne skupiny. Plus znamená, že jeden typ skupiny môže byť vnorený do inej, mínus - nie.

Na nejakom zdroji na internete venovanom certifikačným skúškam spoločnosti Microsoft som videl zmienku o takomto vzorci - AGUDLP, čo znamená: Účty sú umiestnené v globálnych skupinách (Global), ktoré sú umiestnené v univerzálnych (Universal), ktoré sú umiestnené v miestnych skupiny domén (Domain Local), na ktoré sa vzťahujú povolenia. Tento vzorec plne popisuje možnosť hniezdenia. Je potrebné dodať, že všetky tieto typy môžu byť vnorené do lokálnych skupín jedného stroja (lokálne domény výlučne v rámci vlastnej domény).

Vnorenie skupiny domén

Hniezdenie	Miestne skupiny	globálne skupiny	Univerzálne skupiny
účtu
Miestne skupiny	+ (okrem vstavaných miestnych skupín a iba v rámci vlastnej domény)
globálne skupiny		+ (iba v rámci vašej vlastnej domény)
Univerzálne skupiny

Vstavané miestne skupiny domény sa nachádzajú v kontajneri Builtin a v skutočnosti sú miestnych skupín počítače, ale iba pre radiče domény. A na rozdiel od lokálnych skupín domény ich nemožno presunúť z kontajnera Users do iných organizačných jednotiek.

Správne pochopenie procesu správy účtu vám umožní vytvoriť dobre definovaný Pracovné prostredie enterprise, poskytujúci flexibilitu riadenia, a čo je najdôležitejšie - odolnosť voči chybám a bezpečnosť domény. V ďalšom článku si povieme skupinové politiky ako nástroj na vytváranie vlastných prostredí.

Aplikácia

Nuansy autentifikácie domény

Pri používaní lokálnych profilov môže nastať situácia, keď sa používateľ domény pokúsi prihlásiť pracovná stanica, ktorý má svoj lokálny profil, no z nejakého dôvodu nemá prístup k ovládaču. Prekvapivo, používateľ úspešne budú overené a bude mu umožnené pracovať.

Táto situácia nastáva, pretože poverenia používateľa sú uložené vo vyrovnávacej pamäti a možno ich opraviť vykonaním zmien v registri. Ak to chcete urobiť, v priečinku HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ Current Version \ Winlogon vytvorte (ak tam žiadny neexistuje) položku s názvom CachedLogonCount, typ údajov REG_DWORD a nastavte jej hodnotu na nulu. Podobný výsledok môžete dosiahnuť pomocou skupinovej politiky.

1. Emelyanov A. Princípy konštrukcie Aktívne domény Adresár, // " Systémový administrátor", č. 2, 2007 - S. 38-43.

V kontakte s