Hesap oluştururken alan adı nedir? Yerel hesaplar. Kullanıcı ve ilgili kişi hesaplarını kaldırma

05.04.2019

Talimatlar

yaratarak ev ağı erişimi düzenleyebilirsiniz ağ yazıcısıçalışma grubundaki tüm bilgisayarlar. Bunu yapmak için, bunları uygun şekilde yapılandırmanız, yani ip adreslerini ayarlamanız, bilgisayar adlarını belirtmeniz ve bir gruba eklemeniz gerekir. Her şey gerekli ayarlar değiştirdiğin değerlerde sistem klasörü"Kontrol Paneli".

Her şeyden önce, bilgisayarları adlandırmanız ve çalışma gruplarını tanımlamanız gerekir. Bunu yapmak için masaüstünüze gidin ve tıklayın. sağ tık"Bilgisayarım" simgesine fare. Açılan bağlam menüsünde "Özellikler" öğesini seçin. için "Sistem Özellikleri" uygulamasını göreceksiniz. hızlı arama Win + Pause Break klavye kısayolunu kullanan.

Bu uygulamada, Bilgisayar Adı sekmesine gidin. Yalnızca adlarını değil, aynı zamanda ip adreslerini de belirttiğiniz bir bilgisayar listesi oluşturmanız önerilir. Her bilgisayarı adlandırmak için bu listeyi kullanın. Adı değiştirmek için, uygulamanın altındaki Değiştir düğmesini tıklayın. Açılan pencerede eski adı listeye yeni eklenen adla değiştirin.

Ayrıca bu sekmede çalışma grubunun adını ayarlayabilirsiniz. Varsayılan, Çalışma Grubu'dur. Net veya Connect gibi daha basit bir adla değiştirilmesi önerilir. Değişiklikleri kaydetmek için "Tamam" düğmesini tıklayın. Sen görünmeden önce küçük pencere yeni bir çalışma grubuna girme bildirimi ile. "Sistem Özellikleri" penceresinin altında, sistemi yeniden başlatma ihtiyacı hakkında bir bildirim görünecektir, ancak bu henüz buna değmez, bu nedenle "Tamam" düğmesine tıkladıktan sonra "Hayır" ı seçin.

Şimdi, ağdaki belirleme sırasının bozulmaması için her bilgisayara kendi ip adresini atamak kalır. "Başlat" menüsünü tıklayın, "Denetim Masası" nı seçin. Açılan klasörde " Ağ bağlantıları", " Bağlantıya sağ tıklayın yerel ağ"Ve" Özellikler "i seçin.

"Protokol (TCP / IP)" satırına sağ tıklayın ve "Özellikler" seçeneğini seçin. "Aşağıdaki IP adresini kullan" bloğuna gidin ve her bilgisayar için bir birim farkla ayrı bir değer girin. Örneğin, "Dmitry" - 192.168.1.3; "Paul" - 192.168.1.4, vb. 192.168.1.x bağlantısında 3 numaradan saymaya başlamanız önerilir, çünkü ilk iki değer yönlendirici ve modem tarafından kullanılır.

Tüm pencerelerde "Tamam" butonlarına tıklayın ve varsa yeniden başlatma talebini olumlu veya olumsuz olarak yanıtlayın. kaydedilmemiş belgeler... Ardından başlat menüsünü kullanarak kendinizi yeniden başlatın.

Kullanıcı, bir etki alanı hesabıyla bir bilgisayarda oturum açarken, kimlik doğrulama için en yakın etki alanı denetleyicisine iletilen kimlik bilgilerini girer. içinde ise ağ ortamı kullanılabilir etki alanı denetleyicisi yoksa, kimlik bilgilerini kontrol edecek kimse yoktur ve kullanıcı sistemde oturum açamaz.

Bu durumdan kaçınmak için, başarılı bir oturum açma işleminden sonra kullanıcının kimlik bilgileri yerel bilgisayarda önbelleğe alınır. Bu, etki alanı kimlik bilgileriyle oturum açmanıza ve kaynaklara erişmenize olanak tanır yerel bilgisayar etki alanına bağlı olmadığında bile.

Not. Kesin olmak gerekirse, önbelleğe alınan kimlik bilgileri (oturum açma ve parola) değil, doğrulamalarının sonucudur. Henüz daha doğrusu sistem tuzla değiştirilen ve sırayla kullanıcı adına göre oluşturulan parolanın bir karmasını saklar. Önbelleğe alınan veriler, yalnızca sistem tarafından erişilebilen HKLM \ SECURITY \ Cache kayıt defteri anahtarında saklanır.

Önbelleğe alma özelliğinden bir kayıt defteri parametresi sorumludur CashedLogonsCount HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon altında bulunur. Bu parametre miktarı belirler benzersiz kimlik bilgileri yerel olarak depolanan kullanıcılar. Bu parametrenin varsayılan değeri 10'dur; bu, oturum açan son 10 kullanıcının kimlik bilgilerinin tutulduğu ve on birinci kullanıcı bilgisayarda oturum açtığında, ilk kullanıcının kimlik bilgilerinin üzerine yazılacağı anlamına gelir.

Sürücü değeri CashedLogonsCount grup ilkeleri kullanılarak merkezi olarak yapılabilir. Bunu yapmak için yeni bir GPO oluşturun (veya mevcut olanı açın), Bilgisayar Yapılandırması \ İlkeler \ Windows Ayarları \ Güvenlik Ayarları \ Yerel İlkeler \ Güvenlik Seçenekleri'ne gidin ve ayarı bulun Etkileşimli oturum açma: Önbelleğe alınacak önceki oturum açma sayısı (etki alanı denetleyicisinin kullanılamaması durumunda).

Varsayılan bu parametre Tanımlanmadı, bu nedenle tüm bilgisayarlarda varsayılan bir değer kullanılır. Bunu değiştirmek için parametreyi etkinleştirmeli ve 0 ile 50 aralığında gerekli değeri belirtmelisiniz. 0'a eşit bir değer, kimlik bilgilerinin önbelleğe alınmasının devre dışı bırakıldığı anlamına gelir ve buna göre, bu değerle, etki alanı denetleyicisi etkinleştirildiğinde oturum açma mümkün değildir. kullanım dışı.

Teorik olarak, eğer fiziksel erişim Saldırganın bilgisayara kaydedilen kimlik bilgilerini kullanma fırsatı olduğundan, güvenliği artırmak için yerel önbelleğe almayı devre dışı bırakmanız önerilir. Kullanıcılar tarafından istisnalar yapılabilir mobil cihazlar(dizüstü bilgisayar, tablet vb.) cihazları hem işte hem de iş dışında kullananlar. Bu tür kullanıcılar için önbelleğe alınan oturum açma sayısı 1-2 arasında ayarlanabilir. Bu iş için oldukça yeterli.

Ve sonuç olarak, birkaç önemli nokta:

Kimlik bilgilerinin önbelleğe alınabilmesi için, kullanıcının mevcut bir etki alanı denetleyicisi ile kendi etki alanı hesabı altında en az bir kez bilgisayarda oturum açması gerekir.
Oldukça sık parametre CashedLogonsCount etki alanına erişimin yokluğunda oturum açma sayısı olarak yorumlanır. Durum böyle değildir ve kullanıcının kimlik bilgileri yerel olarak önbelleğe alınırsa, sınırsız sayıda oturum açabileceklerdir.

Herkese merhaba, bununla ilgili bir dizi makaleye başlamak istiyorum. Aktif Dizinüzerinde örnek pencereler sunucu 2008R2. Vakaların büyük çoğunluğunda sistem yöneticileri temel güvenlik ilkeleri oluşturmak için, rolü yükledikten hemen sonra Yönetimsel Araçlar klasörüne eklenen Active Directory Kullanıcıları ve Bilgisayarları ek bileşenini kullanmayı tercih ederler. Etki Alanı Hizmetleri Active Directory ”ve sunucuyu bir etki alanı denetleyicisine tanıtmak. Bu yöntem, güvenlik ilkeleri oluşturmak için grafik kullandığından en kullanışlıdır. Kullanıcı arayüzü ve kullanıcı hesabı oluşturma sihirbazının kullanımı çok kolaydır. dezavantajına Bu method Bir kullanıcı hesabı oluştururken, çoğu özelliği hemen ayarlayamayacağınız ve gerekli özellikleri hesabı düzenleyerek eklemeniz gerekeceği ana atfedilebilir.

Özel bir hesap oluşturmak için şu adımları izleyin:

Active Directory Kullanıcıları ve Bilgisayarları ek bileşenini açın. Bunu yapmak için kontrol panelini açmanız, içindeki "Sistem ve Güvenlik" bölümünü, ardından "Yönetimsel Araçlar"ı açmanız ve görünen pencerede "Active Directory Kullanıcıları ve Bilgisayarları" ek bileşenini açmanız gerekir. "Çalıştır" iletişim kutusunu açmak için + R tuş kombinasyonunu da kullanabilirsiniz ve "Çalıştır" iletişim kutusunda, "Aç" alanına dsa.msc yazın ve ardından "Tamam" düğmesini tıklayın;
Ek bileşen ağacında, etki alanı düğümünüzü genişletin ve kullanıcı hesabının oluşturulacağı kuruluş birimine gidin. Kullanıcı hesapları oluşturmak için ek OU'lar oluşturmanız ve ardından standart Kullanıcılar OU'larından farklı OU'lara kullanıcı hesapları eklemeniz önerilir. Bu alt bölüme sağ tıklayın ve bağlam menüsü aşağıdaki resimde gösterildiği gibi Yeni'yi ve ardından Kullanıcı'yı seçin:

Görünen iletişim kutusunda " Yeni nesne- Kullanıcı ”aşağıdaki bilgileri girin:

"Ad" alanına kullanıcı adını girin;
"Baş Harfler" alanına adının baş harflerini girin (çoğunlukla baş harfleri kullanılmaz);
"Soyadı" alanına oluşturulacak kullanıcının soyadını girin;
Alan " Ad Soyad"Bu tür nitelikleri oluşturmak için kullanılır oluşturulan nesne Ortak Ad CN olarak ve adın özelliklerini görüntüler. Bu alan tüm alan adı için benzersiz olmalıdır ve otomatik olarak doldurulur ve yalnızca gerektiğinde değiştirmeniz gerekir;
Kullanıcı Girişi alanı zorunludur ve kullanıcının etki alanı girişi içindir. Burada kullanıcı adını girmeniz ve açılır listeden @ sembolünden sonra yer alacak UPN son ekini seçmeniz gerekir;
Kullanıcı Oturum Açma (Windows 2000 Öncesi) alanı, Windows 2000 işletim sisteminden önceki sistemler için oturum açmak içindir. son yıllar kuruluşlarda, bu tür sistemlerin sahipleri daha az yaygındır, ancak alan zorunludur, çünkü bazıları yazılım kullanıcıları tanımlamak için bu özelliği kullanır. Burada bir patronimik alanın nasıl ekleneceğini okuyun. Gerekli tüm alanları doldurduktan sonra "İleri" düğmesine tıklayın:

Açık sonraki Sayfa Kullanıcı Hesabı Oluşturma Sihirbazı'nın "Parola" alanına ilk kullanıcı şifresini girmeniz ve "Onay" alanında onaylamanız gerekecektir. Ayrıca, bir kullanıcı sistemde ilk kez oturum açtığında, kullanıcının kendi hesabının şifresini bağımsız olarak değiştirmesi gerektiğini belirten bir öznitelik seçebilirsiniz. Bu seçeneği aşağıdakilerle birlikte kullanmak en iyisidir. yerel politikacılar Kullanıcılarınız için güçlü şifreler oluşturmanıza olanak sağlayacak Güvenlik "Şifre Politikası". Ayrıca "Kullanıcının şifresini değiştirmesini engelle" seçeneğindeki kutucuğu işaretleyerek kullanıcıya şifrenizi vermiş ve değiştirmesini engellemiş olursunuz. "Şifrenin süresi asla dolmaz" seçeneğini seçerseniz, kullanıcı hesabının şifresinin süresi asla dolmaz ve buna gerek kalmaz. periyodik değişim... "Hesabı devre dışı bırak" onay kutusunu seçerseniz, bu hesap daha fazla çalışma için tasarlanmayacaktır ve böyle bir hesaba sahip bir kullanıcı, etkinleştirilene kadar oturum açamaz. Bu seçenek, çoğu özellik gibi, bu makalenin sonraki bölümünde ele alınacaktır. Tüm özellikleri seçtikten sonra "İleri" düğmesine tıklayın. Bu sihirbaz sayfası aşağıdaki şekilde gösterilmiştir:

Kullanıcımızın oluşturulduğunu gördüğümüze göre, şimdi onunla ilgili bilgileri dolduralım, onunla ilgili bilgileri ne kadar doğru ve eksiksiz doldurursanız, daha sonra sizin için o kadar kolay olacağını unutmayın. Dilediğimiz kullanıcıya çift tıklayalım.

Genel. Bu sekme, bireysel özel nitelikleri doldurmak içindir. Bu nitelikler, kullanıcının adı ve soyadını içerir, Kısa Açıklama bir hesap için, iletişim numarası kullanıcı, oda numarası, onun e-posta hem de web sitesi. Çünkü bu bilgi her bir kullanıcı için ayrıdır, bu sekmede doldurulan veriler kopyalanmaz;

Adres. Geçerli sekmede, doldurabilirsiniz posta kutusu, Şehir, bölge, posta kodu ve esas alınarak oluşturulacak kullanıcıların ikamet ettikleri ülke bu şablonun... Her kullanıcı genellikle aynı cadde adlarına sahip olmadığından, bu alandaki veriler kopyalanamaz;

Hesap. Bu sekmede, kullanıcının oturum açma zamanını, kullanıcıların erişebileceği bilgisayarları, parola saklama gibi hesap parametrelerini, şifreleme türleri vb. hesabın sona erme tarihini;

Profil. Geçerli sekme, profil yolunu, oturum açma komut dosyasını, ana klasöre giden yerel yolu ve ağ sürücüleri hangisinde yayınlanacak ana klasör hesap;
Organizasyon. Bu sekmede, çalışanların pozisyonunu, çalıştıkları bölümü, kuruluşun adını ve bölüm başkanının adını belirtebilirsiniz;

Grup üyeleri. Ana grup ve grup üyelikleri burada listelenir.

Ve departmana ve şirkete bağlılığı ayarlayabileceğiniz sekme organizasyonu.

Her bilgisayar ile işletim sistemleri Windows NT / 2000 / XP / 2003 (etki alanı denetleyicisi olan bir sunucu değilse) yerel üs baz denilen hesap verileri SAM verileri... Güvenlik modeli anlatılırken bu veritabanları tartışıldı" Çalışma Grubu". Belirli bir bilgisayarın kaynaklarına erişim hakları atanırken, etki alanı güvenlik modelinde bile yerel kullanıcılar ve özellikle gruplar kullanılır. Genel kurallar erişimi kontrol etmek için yerel ve etki alanı gruplarının kullanımı aşağıda açıklanacaktır.

Etki alanı kullanıcı hesabı yönetimi

Etki alanı kullanıcı hesapları (aynı zamanda bilgisayarlar ve gruplar) özel AD kapsayıcılarında depolanır. Bunlar standart kaplar olabilir Kullanıcılar kullanıcılar için ve bilgisayarlar bilgisayarlar veya yönetici tarafından oluşturulan bir Kuruluş Birimi (OU) için. İstisna, etki alanı denetleyicilerinin hesaplarıdır, her zaman OP'de adlarıyla saklanırlar. Etki Alanı Denetleyicileri.

Active Directory veritabanında kullanıcı hesapları oluşturma işleminin örneklerine bakalım ve etki alanı hesaplarının ana özelliklerini analiz edelim. Hesaplar bilgisayarlar için, bir bilgisayarı bir etki alanına katılma işlemi sırasında oluşturulur.

Alan hesabı oluşturma

Yönetim konsolunu açalım" aktif Dizin kulanıcıları ve bilgisayarları ".

Bir hesap oluşturacağımız konteynere sağ tıklayın, komutu seçin " Oluşturmak"ve Ötesi -" kullanıcı ".

alanları doldurun" İsim ", " Soyadı", Örneğin, " İvan" ve " İvanov"(v ingilizce versiyon - İlk adı, Soy isim), alan " Ad Soyad " (Ad Soyad) kendini dolduracaktır.

tanıtalım" Kullanıcı Girişi " (Kullanıcı oturum açma adı), Örneğin, kullanıcı1... Bu ad, "@ formunun bir bölümüne otomatik olarak atanır.<имя домена>", örneğimizde -" @ world.ru "(sonuçtaki ad orman genelinde benzersiz olmalıdır).

Giriş adı oluşturma sürecinde, otomatik olarak doldurulur " Kullanıcı oturum açma (Windows 2000 öncesi) " (Kullanıcı oturum açma adı (Windows 2000 öncesi)), Windows'un önceki sürümleriyle uyumluluk için oluşturulmuştur ( isim etki alanı genelinde benzersiz olmalıdır). Her kuruluş, kullanıcı adlandırma şemaları geliştirmiş olmalıdır (ad, soyad, baş harfler, pozisyon, departman vb. ile) Örneğimizde, ad " olacaktır. DÜNYA \ Kullanıcı1". Düğmesine basın" Daha öte"(şek. 6.43):

Pirinç. 6.43.

Kullanıcının şifresini girin (onay için iki kez).

Şifre için ilk gereksinimleri belirtelim:

Bir sonraki oturum açmada parola değişikliği gerektir (yöneticinin kullanıcıya bir başlangıç parolası ataması ve ardından kullanıcının yalnızca kendisi tarafından bilinen bir parola seçmesi durumunda yararlıdır);

Kullanıcının şifreyi değiştirmesini önleyin (çeşitli sistem servislerinin hesapları için faydalı ve hatta gerekli);

Parolanın süresi dolmaz (domain politikalarının bu hizmetlerin işleyişini etkilememesi için hizmet hesaplarının parolaları için de kullanılır, bu parametre güvenlik ilkelerine göre daha yüksek önceliğe sahiptir);

Hesabı devre dışı bırak.

Pirinç. 6.44.

Oluşturulan nesnenin son özetini alıyoruz ve düğmeye basıyoruz " Hazır ".

Dikkat! egzersizlerde laboratuvar işi görev, parolalar ve kullanıcı hakları için gereksinimlerin düzeyini büyük ölçüde azaltan ilkeleri yapılandırmak için verilmiştir:

parola karmaşıklığı gereksinimi devre dışı bırakılır,

kuruldu Minimum uzunluk 0'a eşit şifre (yani şifre boş olabilir),

minimum şifre geçerlilik süresi 0 gün olarak ayarlanmıştır (yani kullanıcı istediği zaman şifreyi değiştirebilir),

parola saklama geçmişi 0 olarak ayarlanır (yani parola değiştirilirken sistem daha önce kullanılan parolaların geçmişini kontrol etmez),

"Kullanıcılar" grubuna hak verilir yerel giriş etki alanı denetleyicilerinde.

Bu politikalar, yalnızca haklarla yapılması gereken egzersizlerin yapılmasına kolaylık sağlamak için oluşturulmuştur. sıradan kullanıcılar etki alanı denetleyici sunucularında. Gerçek yönetim pratiğinde, bu tür zayıf parametreler Hiçbir durumda güvenliği ayarlayamazsınız, parola ve kullanıcı hakları gereksinimleri çok katı olmalıdır (güvenlik ilkeleri bu bölümün ilerleyen kısımlarında ele alınacaktır).

Şifre oluşturmak için karakter seçme kuralları:

şifre uzunluğu - en az 7 karakter;

şifre, sisteme giriş yapmak için kullanılan kullanıcı adıyla ve her zamanki adı, soyadı, akrabalarının, arkadaşlarının vb. adlarıyla örtüşmemelidir;

şifre herhangi bir kelimeden oluşmamalıdır (bir sözlük kullanarak şifreyi tahmin etme olasılığını dışlamak için);

şifre, kullanıcının telefon numarası (normal veya cep telefonu), araba numarası, pasaportu, sürücü ehliyeti veya başka bir belge;

şifre, üst kısımdaki harflerin bir kombinasyonu olmalıdır ve küçük harf, sayılar ve özel karakterler (örneğin @ # $% ^ * & () _ +, vb.).

Ve bir güvenlik kuralı daha - düzenli değişiklik parola (değişiklik sıklığı, her belirli şirket veya kuruluşun güvenlik gereksinimlerine bağlıdır). Windows etki alanlarının, kullanıcı parolalarının süresinin ne kadar süreceğini belirleyen bir ilkesi vardır.

Hesaplar (hesaplar) kullanıcılar, bilgisayarlar ve gruplar - erişim kontrolünün ana unsurlarından biri ağ kaynakları ve dolayısıyla bir bütün olarak tüm ağ güvenlik sistemi.

V Windows ortamı 2003 Active Directory 3 ana kullanıcı hesabı türü vardır:

Yerel kullanıcı hesapları... Bu hesaplar yerel veritabanında var SAM (Güvenlik Hesapları Yöneticisi) altında çalışan her sistemde Windows denetimi 2003. Bu hesaplar araç kullanılarak oluşturulmuştur. Yerel Kullanıcılar ve Gruplar (Yerel kullanıcılar ve gruplar) konsol Bilgisayar yönetimi (Bilgisayar yönetimi). Yerel bir hesapla oturum açmak için bu hesabın, oturum açmaya çalıştığınız sistemdeki SAM veritabanında bulunması gerektiğini unutmayın. Bu, yerel hesapları büyük ağlar yönetimleri için büyük genel masraflar nedeniyle.
Etki alanı kullanıcı hesapları... Bu hesaplar Active Directory'de depolanır ve oturum açmak ve AD ormanındaki kaynaklara erişmek için kullanılabilir. Bu tür hesaplar konsol kullanılarak merkezi olarak oluşturulur " aktif Dizin kulanıcıları ve bilgisayarları " (" ").
Yerleşik hesaplar... Bu hesaplar sistemin kendisi tarafından oluşturulur ve silinemez. Varsayılan olarak, ister yalıtılmış (bağımsız) ister bir etki alanı üyesi olsun, herhangi bir sistem iki hesap oluşturur - yönetici (yönetici) ve Konuk (misafir). Misafir hesabı varsayılan olarak devre dışıdır.

Etki alanı kullanıcı hesaplarına odaklanalım. Bu hesaplar, veritabanının bir kopyasını depolayan etki alanı denetleyicilerinde depolanır. Veri Aktif Dizin.

var çeşitli formatlar daha fazla çalışan istemcilerle uyumluluk amaçları için farklı olabileceğinden, kullanıcıların sisteme girişlerinin gösterilebileceği erken sürümler Windows (95, 98, NT gibi). İki ana oturum adı türü soneki kullanıyor Kullanıcı Asıl Adı (ana kullanıcı adı) ve Windows 2000 öncesi sistemlerde kullanıcının oturum açma adı.

Kullanıcının birincil adı ( UPN, Kullanıcı İlke Adı) e-posta adresiyle aynı biçime sahiptir. Kullanıcının oturum açma adını, ardından @ işaretini ve alan adını içerir. Varsayılan Alan adı kök etki alanı hesabın hangi etki alanında oluşturulduğuna bakılmaksızın açılır menüde vurgulanır (açılır liste, bu hesabı oluşturduğunuz etki alanının adını da içerecektir).

Ayrıca, açılır listede görünecek ve seçerseniz bir UPN oluşturmak için kullanılabilecek ek etki alanı son ekleri (adın @ işaretinden sonra gelen kısmı) oluşturabilirsiniz (bu, konsol kullanılarak yapılır). " Active Directory Etki Alanları ve Güvenleri " (" Active Directory Etki Alanı ve Güvenleri ").

Sadece bir tane var gerekli koşul aynı zamanda - ormandaki tüm UPN'ler benzersiz olmalıdır (yani tekrarlanmamalıdır). Kullanıcının oturum açma hesabı Windows 2003'te oturum açmak için UPN kullanıyorsa, yalnızca UPN'yi ve parolayı sağlamanız gerekir; artık etki alanı adını hatırlamanız ve belirtmeniz gerekmez. Bu adlandırma sisteminin bir başka avantajı, UPN'nin sıklıkla eşleşmesidir. e Kullanıcı hakkında hatırlanması gereken bilgi miktarını yine azaltan kullanıcı.

Yerel hesaplar

Windows NT / 2000 / XP / 2003 çalıştıran her bilgisayarın (etki alanı denetleyicisi olan bir sunucu olmadığı sürece) SAM veritabanı adı verilen bir yerel hesap veritabanı vardır. Bu veritabanları, Çalışma Grubu güvenlik modeli açıklanırken tartışıldı. Etki alanı güvenlik modelinde bile, belirli bir bilgisayarın kaynaklarına erişim hakları atanırken yerel kullanıcılar ve özellikle gruplar kullanılır. Erişimi kontrol etmek için yerel ve etki alanı gruplarını kullanmaya ilişkin genel kurallar aşağıda açıklanacaktır.

Etki alanı kullanıcı hesabı yönetimi

Active Directory veritabanında kullanıcı hesapları oluşturma işleminin örneklerine bakalım ve etki alanı hesaplarının ana özelliklerini analiz edelim. Bilgisayar hesapları, bir bilgisayarı bir etki alanına katılma işlemi sırasında oluşturulur.

Alan hesabı oluşturma

Dikkat! Laboratuvar alıştırmaları, parola gereksinimleri ve kullanıcı ayrıcalıklarının düzeyini büyük ölçüde azaltan ilkeler oluşturmanızı ister:

parola karmaşıklığı gereksinimi devre dışı bırakılır,
minimum şifre uzunluğu 0 olarak ayarlanır (yani şifre boş olabilir),
minimum şifre süresi 0 gün olarak ayarlanmıştır (yani kullanıcı istediği zaman şifreyi değiştirebilir),
parola saklama geçmişi 0 olarak ayarlanır (yani parola değiştirilirken sistem daha önce kullanılan parolaların geçmişini kontrol etmez),
Kullanıcılar grubuna, etki alanı denetleyicilerinde yerel olarak oturum açma hakkı verilir.

Bu ilkeler, yalnızca etki alanı denetleyicisi sunucularında basit kullanıcı haklarıyla gerçekleştirilmesi gereken alıştırmaları gerçekleştirme kolaylığı için ayarlanır. Gerçek yönetim uygulamasında, bu tür zayıf güvenlik ayarları hiçbir şekilde ayarlanmamalıdır; parolalar ve kullanıcı hakları için gereksinimler çok katı olmalıdır (güvenlik ilkeleri bu bölümde daha sonra tartışılacaktır).

Şifre oluşturmak için karakter seçme kuralları:

şifre uzunluğu - en az 7 karakter;
şifre, sisteme giriş yapmak için kullanılan kullanıcı adıyla ve her zamanki adı, soyadı, akrabalarının, arkadaşlarının vb. adlarıyla örtüşmemelidir;
şifre herhangi bir kelimeden oluşmamalıdır (bir sözlük kullanarak şifreyi tahmin etme olasılığını dışlamak için);
şifre, kullanıcının telefon numarası (normal veya cep telefonu), araba numarası, pasaport, ehliyet veya diğer belgelerle eşleşmemelidir;
parola, büyük ve küçük harfler, sayılar ve özel karakterlerin birleşiminden oluşmalıdır (örneğin @ # $% ^ * & () _ + vb.).

Ve bir güvenlik kuralı daha, düzenli parola değişikliğidir (değişikliğin sıklığı, her belirli şirket veya kuruluştaki güvenlik gereksinimlerine bağlıdır). Windows etki alanlarının, kullanıcı parolalarının süresinin ne kadar süreceğini belirleyen bir ilkesi vardır.

Kullanıcı hesabı özelliklerine genel bakış

Kullanıcı hesabı özellikleri büyük bir küme içerir çeşitli parametreler konsolda görüntülendiğinde birden fazla sekmeye yerleştirilir " aktif Dizin kulanıcıları ve bilgisayarları" ve çeşitli yüklerken yazılım ürünleriözellikler kümesi genişletilebilir.

Yönetim açısından en önemli özellikleri ele alalım.

Konsolu açalım" aktif Dizin kulanıcıları ve bilgisayarları"ve az önce oluşturduğumuz kullanıcının özelliklerini görün.

Yer imi " Genel". Bu sekme çoğunlukla, bir AD ormanındaki kullanıcıları bulurken çok faydalı olabilecek referans verileri içerir. En ilginç olanları:

" İsim "
" Soyadı "
" Ekran adı "
" Açıklama "
" Telefon numarası "
" E-posta "

Yer imi " Adres " - referans bilgisi AD'de arama yapmak için.

Yer imi " Hesap"- çok önemli bir parametre seti (parametreler" Kullanıcı Girişi" ve " Kullanıcı oturum açma (Windows 2000 öncesi)"bir kullanıcı oluştururken yukarıda tartışılan):

düğme " Giriş zamanı"- kullanıcının etki alanına giriş yapabileceği gün ve saatler;
düğme " E giriş ..."- kullanıcının sisteme girebileceği bilgisayarların listesi (etki alanına kaydolun);
Onay kutusu türü alanı " Hesabı engelle"- bu parametre, belirli bir sayıdan sonra hesap bloke edilene kadar kullanılamaz. başarısız girişimler sisteme giriş yapmak (yanlış şifre ile deneme), seçenekleri sıralayarak bir başkasının hesabının şifresinin ele geçirilmesine karşı koruma sağlar; eğer yapılırsa belli bir miktar başarısız denemeler, kullanıcı hesabı otomatik olarak kilitlenecek, alan kullanılabilir hale gelecek ve içinde yöneticinin manuel olarak işaretini kaldırabileceği bir onay kutusu ayarlanacak veya şifre politikaları tarafından belirtilen aralıktan sonra otomatik olarak işareti kaldırılacaktır;
" Hesap ayarları"(ilk üç parametre yukarıda tartışıldı):
- " Bir sonraki girişte şifre değişikliği gerektir "
- " Kullanıcının şifre değiştirmesini engelle "
- " Şifrenin süresi dolmaz "
- " Hesabı devre dışı bırak"- hesabın zorla bağlantısının kesilmesi (kullanıcı etki alanına giremez);
- " Etkileşimli ağda oturum açmak için akıllı kart gerekir"- etki alanında bir parola ile değil, bir akıllı kart ile oturum açılacaktır (bunun için kullanıcının bilgisayarında bir akıllı kart okuyucusu olmalıdır, akıllı kartlar Sertifika Yetkilisi tarafından oluşturulan sertifikaları içermelidir);
" Hesap son kullanma tarihi"- etki alanına kayıt olurken bu hesabın geçerli olmayacağı tarihi belirler (bu parametrenin geçici iş için işe alınan çalışanlar, şirkete iş seyahati için gelen kişiler, şirkette staj yapan öğrenciler için ayarlanması önerilir). organizasyon vb.)

Yer imleri " telefonlar ", " organizasyon"- AD'de arama yapmak için kullanıcı hakkında yardım bilgileri.

Yer imi " Profil "

Profil (profil) kullanıcının çalışma ortamının ayarlarıdır. Profil şunları içerir: masaüstü ayarları (renk, ekran çözünürlüğü, Arkaplan resmi), bilgisayar klasörlerini görüntüleme ayarları, İnternet tarayıcısı ve diğer programlar için ayarlar (örneğin, aile programları için klasörlerin konumu) Microsoft Office). Bilgisayarda ilk kez oturum açtıklarında her kullanıcı için otomatik olarak bir profil oluşturulur. Aşağıdaki profil türleri vardır:

yerel- klasöründe saklanır " Belgeler ve Ayarlar"işletim sisteminin kurulu olduğu disk bölümünde;
yeri değiştirilebilen(ağ veya roaming) - sunucuda klasörde saklanır genel erişim kullanıcının etki alanına girdiği (kaydettiği) herhangi bir bilgisayardaki kullanıcı oturumuna yüklenir ve kullanıcının aynı alana sahip olmasına izin verir. çalışma ortamı herhangi bir bilgisayarda (profili içeren klasörün yolu bu sekmede \\ server \ share \% username% adresi olarak belirtilir, burada sunucu sunucu adıdır, paylaşım, paylaşılan klasörün adıdır, % kullanıcıadı% profilli klasörün adı; Çevre değişkeni Windows sistemleri% username% adıyla, profile sahip klasörün adını kullanıcı adıyla aynı şekilde ayarlamanıza izin verir);
zorunlu (zorunlu) - ayarlar bu türden kullanıcı profili yalnızca Windows'taki geçerli oturumda değiştirebilir; oturumu kapatırken değişiklikler kaydedilmez.

Oturum Açma Komut Dosyası parametresi, bilgisayara indirilen ve bir kullanıcı oturum açtığında yürütülen yürütülebilir bir dosyayı belirtir. Çalıştırılabilir dosya belki toplu iş dosyası(.bat, .cmd), yürütülebilir program (.exe, .com), komut dosyası dosyası (.vbs, js).

Yer imi " Grup üyesi"- bu kullanıcının ait olduğu grupların listesini yönetmenizi sağlar.

Yer imi " Gelen aramalar ".

Kullanıcı erişimini kontrol etme kurumsal sistem araçlar aracılığıyla uzaktan erişim sistemler Windows Server(örneğin, bir modem veya VPN bağlantısı aracılığıyla). V karışık mod Windows etki alanı sadece seçenekler mevcut" Erişime izin vermek" ve " Giriş reddedildi"ve geri arama parametrelerinin (" Sunucu Geri Arama". Modlarda" Windows 2000 temel" ve " Windows 2003"erişim, uzaktan erişim sunucusunun politikaları tarafından kontrol edilebilir (bununla karıştırılmamalıdır). grup politikaları). Daha fazla detay bu soru Uzaktan Erişim Araçları bölümünde tartışılmıştır.

Yer imleri " Terminal Hizmetleri Profili ", " Çarşamba ", " Oturumlar ", " Uzaktan kumanda "- bu sekmeler, kullanıcının terminal sunucusundaki çalışmasının parametrelerini kontrol eder:

bir terminal sunucusunda çalışmak için kullanıcı iznini yönetmek;
bir terminal oturumunda çalışırken bir profil yerleştirmek,
kullanıcı ortamını bir terminal oturumunda ayarlama (başlangıç belirli bir program veya masaüstü modu, bağlanın yerel sürücüler ve kullanıcı yazıcılarını terminal oturumuna dahil edin);
terminal sunucusunda kullanıcı oturumu yönetimi (oturum süresi, oturum hareketsizliği zaman aşımı, parametreler yeniden bağlanmak bağlantısı kesilen oturuma);
yöneticinin kullanıcının terminal oturumuna bağlanma izni.

En son makaleler

2021-11-11 12:38:28
Kendi Twitter Anınızı Nasıl Yaratabilirsiniz?
2021-11-11 12:38:28
Bir sosyal ağdaki avatar sahibi hakkında ne söyleyebilir?
2021-11-11 12:38:28
Kendi Twitter Anınızı Nasıl Yaratabilirsiniz?

Popüler Makaleler

Editörün Seçimi

2021-11-06 10:20:40

Delphi programlama ortamı
Delphi görsel programlama sistemi, geniş bir kullanıcı yelpazesi arasında çok popülerdir: sıradan insanlardan sisteme ...
2021-11-06 10:20:40

Mikrodenetleyiciler MCS-51: yazılım modeli, yapısı, talimatları
UDC 681.5, 681.325.5 (075.8) BBK 32.973.202-018.2 i 73 Shcherbina A.N. Bilgisayar makineleri, sistemleri ve ağları. Mikrodenetleyiciler ve mikroişlemciler ...
2021-11-06 10:20:40

Kodlama teorisi. Kodlama türleri. Kodlama teorisinin doğuşu Kodlama yöntemlerinin sınıflandırılması
"Bu kursun amacı sizi teknik geleceğiniz için hazırlamaktır." Merhaba, Habr. "Siz ve işiniz" harika makalesini hatırlayın (+219, 2442 yer imi, ...
2021-11-06 10:20:40

Geri Besleme Kaydırma Kayıtları Doğrusal Geri Besleme Kaydırma Kaydı c
Doğrusal bir geri besleme kaydırma kaydı (LFSR), değeri ... olan bir bit sözcük kaydırma kaydıdır.
2021-11-01 11:09:32

Sörf ve otomatik sörften nasıl para kazanılır?
Sörften kazanç: sörf özellikleri + 5 avantaj ve dezavantaj + otomatik sörf için 3 özel program + 5 popüler hizmet ...