Kullanıcı hesaplarının kullanılması, birden fazla kişinin aynı bilgisayarda çalışmasını kolaylaştırır. Her kullanıcı, masaüstü arka planı ve masaüstü arka planı gibi kendi seçenekleriyle ayrı bir hesaba sahip olabilir. Ekran koruyucusu... Hesaplar, kullanıcıların hangi dosya ve klasörlere erişebileceğini ve bilgisayarda hangi değişiklikleri yapabileceklerini belirler. Çoğu kullanıcı için normal hesaplar kullanılır.
Etki alanları, çalışma grupları ve ev grupları, bilgisayarları bir ağda düzenlemenin farklı yöntemlerini temsil eder. Aralarındaki temel fark, bilgisayarların ve diğer kaynakların nasıl yönetildiğidir.
Ağdaki Windows bilgisayarlar bir çalışma grubunun veya etki alanının parçası olmalıdır. Windows bilgisayarlar ev ağı ayrıca bir ev grubunun parçası olabilir, ancak bu gerekli değildir.
Ev ağlarındaki bilgisayarlar genellikle çalışma gruplarının ve muhtemelen bir ev grubunun parçasıdır, iş yerlerindeki ağlardaki bilgisayarlar ise etki alanlarının bir parçasıdır. Yapmanız gereken adımlar, bilgisayarın bir etki alanının veya çalışma grubunun üyesi olmasına bağlı olarak farklılık gösterir.
· Tüm bilgisayarlar ağdaki eşlerdir; hiçbir bilgisayar diğerini kontrol edemez.
· Her bilgisayarın birden fazla kullanıcı hesabı vardır. Bir çalışma grubuna ait herhangi bir bilgisayarda oturum açmak için o bilgisayarda bir hesabınızın olması gerekir.
· Bir çalışma grubunda genellikle yirmiden fazla bilgisayar bulunmaz.
· Çalışma grubu parola korumalı değildir.
· Tüm bilgisayarlar aynı yerel ağda veya alt ağda olmalıdır.
V ev grubu:
· Ev ağındaki bilgisayarlar bir çalışma grubuna ait olmalıdır, ancak bir ev grubuna da ait olabilirler. Ev Grubu ile resimlerinizi, müziklerinizi, videolarınızı, belgelerinizi ve yazıcılarınızı başkalarıyla paylaşmak çok daha kolay.
· Ev grubu parola korumalıdır, ancak ev grubuna bir bilgisayar eklediğinizde yalnızca bir kez girilir.
Etki alanında:
· Bir veya daha fazla bilgisayar sunucudur. Ağ yöneticileri, etki alanındaki tüm bilgisayarların güvenliğini ve izinlerini denetlemek için sunucuları kullanır. Bu, tüm bilgisayarlar için değişiklikler otomatik olarak yapıldığından ayarları değiştirmeyi kolaylaştırır. Etki alanı kullanıcıları, etki alanına her eriştiklerinde bir parola veya başka kimlik bilgileri sağlamalıdır.
· Kullanıcının etki alanında bir hesabı varsa, herhangi bir bilgisayarda oturum açabilir. Bu, bilgisayarın kendisinde bir hesap gerektirmez.
· Ağ yöneticileri bilgisayar ayarlarının tutarlı olduğundan emin olmak istedikleri için bilgisayar ayarlarını değiştirme hakları sınırlı olabilir.
· Bir etki alanında binlerce bilgisayar olabilir.
· Bilgisayarlar farklı yerel ağlara ait olabilir.
Herkes, işletim sistemini kurduktan sonra bilgisayarın başlangıçta çalışma grubuna dahil edildiğini bilir (varsayılan olarak WORKGROUP'ta). Bir çalışma grubunda, her bilgisayar, bir Güvenlik Hesapları Yöneticisi (SAM) veritabanının bulunduğu bağımsız bir otonom sistemdir. Bir kişi bir bilgisayara giriş yaptığında SAM'da bir hesabın olup olmadığı kontrol edilir ve bu kayıtlar doğrultusunda, belirli haklar... Etki alanına girilen bilgisayar tabanını korumaya devam eder. SAM verileri, ancak kullanıcı bir etki alanı hesabı altında oturum açarsa, etki alanı denetleyicisinde zaten kontrol edilir, yani. bilgisayar, kullanıcının kimliği için etki alanı denetleyicisine güvenir.
Etki alanına bir bilgisayar ekleyebilirsiniz Farklı yollar, ancak bunu yapmadan önce, bu bilgisayarın aşağıdaki gereksinimleri karşıladığından emin olmalısınız:
Bilgisayarı etki alanına katılma hakkına sahipsiniz (varsayılan olarak bu hak, İşletme Yöneticilerine, Etki Alanı Yöneticilerine, Yöneticilere, Hesap Yöneticilerine aittir);
Bilgisayar nesnesi etki alanında oluşturuldu;
Bağlı bilgisayarda yerel yönetici olarak oturum açmış olmanız gerekir.
Birçok yönetici için ikinci nokta kızgınlığa neden olabilir - bilgisayar etki alanına eklendikten sonra Bilgisayarlar kapsayıcısında görünüyorsa neden AD'de bir bilgisayar oluşturalım. Mesele şu ki, Bilgisayarlar kapsayıcısında kuruluş birimleri oluşturamazsınız, ancak daha da kötüsü, GPO'ları kapsayıcıya bağlayamazsınız. Bu nedenle, gerekli organizasyon biriminde bir bilgisayar nesnesi oluşturmanız ve otomatik olarak oluşturulan bir bilgisayar hesabıyla yetinmemeniz önerilir. Tabii ki, otomatik olarak oluşturulmuş bir bilgisayarı gerekli departmana taşıyabilirsiniz, ancak yöneticiler genellikle bu tür şeyleri yapmayı unuturlar.
Şimdi AD'de bilgisayar(lar) oluşturmanın yollarına bakalım:
Active Directory Kullanıcıları ve Bilgisayarları ek bileşenini kullanarak bilgisayarlar oluşturun.
Bu yöntem için " Aktif Dizin- kullanıcılar ve bilgisayarlar ", kullanarak bilgisayarınızda Yönetici Paketi veya bir etki alanı denetleyicisinde. Bunu yapmak için " Başlatma Paneli Kontrol sistemi ve güvenlik- Yönetim-"gerekli birimi seçin, üzerine tıklayın sağ tık fare, içinde bağlam menüsü Seçme " Oluştur- Bilgisayar".
Bilgisayarın adını girin.
DSADD komutunu kullanarak bir bilgisayar hesabı oluşturun.
Takımın genel görünümü:
dsadd bilgisayarı
parametreler:
Değer Açıklama
-az<описание>
Bilgisayarın açıklamasını belirtir.
-lok<размещение>
Bilgisayarın konumunu belirtir.
-üyesi<группа...>
Boşlukla ayrılmış bir DN listesiyle tanımlanan bir veya daha fazla gruba bir bilgisayar ekler<группа...>.
(-s<сервер>| -D<домен>}
-s <сервер>adlı bir etki alanı denetleyicisine (DC) bir bağlantı belirtir.<сервер>.
-D <домен>bir etki alanındaki bir DC'ye bağlantıyı tanımlar<домен>.
Varsayılan olarak: Oturum açma etki alanında DC.
-u<пользователь>
Adı altında bağlan<пользователь>... Varsayılan: şu anda oturum açmış olan kullanıcının adı. Olası seçenekler: kullanıcı adı, etki alanı \ kullanıcı adı, kullanıcı asıl adı (UPN).
-P (<пароль> | *}
Kullanıcı şifresi<пользователь>... * girilirse, bir şifre girmeniz istenecektir.
-Q Sessiz mod: tüm çıktıyı standart çıktıyla değiştirir.
(-uc | -uco | -uci)
-uc Bir borudan giriş veya bir boruya çıkış için Unicode biçimlendirmesini belirtir.
-uco Bir kanala veya dosyaya Unicode çıktısının biçimlendirmesini belirtir.
-uci Bir kanaldan veya dosyadan giriş için Unicode biçimlendirmesini belirtir.
Dsadd komutunun kullanımına bir örnek:
Dsadd bilgisayarı “CN = COMP001, OU = Moskova, OU = Departmanlar, DC = pk-help, DC = com” –desc “BT departmanının bilgisayarı”
oluşturmaNetdom komutunu kullanarak iş istasyonu veya sunucu hesabı.
Netdom ekibinin genel görünümü:
NETDOM EKLE<компьютер> ]
<компьютер>
bu eklenecek bilgisayarın adıdır
/ Alan adı bilgisayar hesabı oluşturmak istediğiniz etki alanını belirtir
/ KullanıcıD/ Etki alanı bağımsız değişkeni tarafından belirtilen etki alanına bağlanırken kullanılan kullanıcı hesabı
/ ŞifreD/ UserD bağımsız değişkeni tarafından belirtilen kullanıcı hesabının parolası. * Bir şifre istemi anlamına gelir
/ Sunucu eklemek için kullanılan etki alanı denetleyicisinin adı. Bu parametre / OU parametresi ile birlikte kullanılamaz.
/ Sen bilgisayar hesabını oluşturmak istediğiniz kuruluş birimi. Tam farklılaştırma gerekli Alan adı Bir bölüm için RFC 1779. Bu bağımsız değişkeni kullanırken, doğrudan belirtilen etki alanı denetleyicisi üzerinde çalışmanız gerekir. Bu bağımsız değişken belirtilmezse, hesap bu etki alanının bilgisayar nesneleri için varsayılan kuruluş biriminde oluşturulur.
/ DC bir etki alanı denetleyicisi bilgisayar hesabı oluşturmak istediğinizi belirtir. Bu parametre / OU parametresi ile birlikte kullanılamaz.
/ SecurePasswordPrompt Kimlik bilgilerini sağlamak için güvenli bir açılır pencere kullanın. Akıllı kart kimlik bilgilerini belirtmeniz gerektiğinde bu parametreyi kullanın. Bu parametre yalnızca parola * biçiminde ayarlanmışsa etkilidir.
Ldifde () ve Csvde () kullanarak bir Bilgisayar nesnesi oluşturun.
Active Directory'de bilgisayar hesaplarını yönetme.
Bir bilgisayarı AD olarak yeniden adlandırma.
Başlatmak Komut satırı ve Netdom komutunu kullanarak bilgisayarı AD olarak yeniden adlandırın:
Netdom yeniden adlandırma bilgisayarı<Имя компьютера>/ Yeni isim:<Новое имя>
Örnek: Netdom bilgisayarı yeniden adlandırın COMP01 / Yeni ad: COMP02
Bilgisayar hesaplarını kaldırma.
1 Ek bileşeni kullanarak bilgisayar hesabını kaldırın " aktif Dizin kulanıcıları ve bilgisayarları". Ek bileşeni çalıştırın." aktif Dizin kulanıcıları ve bilgisayarları"bulmak gerekli bilgisayar farenin sağ tuşuyla tıklayın, içerik menüsünde " Silmek", silmeyi onayla
2 DSRM komutunu kullanarak bilgisayarı kaldırabilirsiniz:
DSRM
DSRM CN = COMP001, OU = Moskova, OU = Departmanlar, DC = pk-help, DC = com
.
"Yüklenemedi" hatasını ortadan kaldırma güven ilişkisi bu iş istasyonu ile ana etki alanı arasında. "
Bazen, bilgisayara girmeye çalışırken kullanıcı bir mesaj alır " Bu iş istasyonu ile birincil etki alanı arasında güven ilişkisi kurulamadı". Bu hata, makine ile etki alanı denetleyicisi arasındaki güvenli kanal başarısız olduğunda oluşur. Bunu düzeltmek için güvenli kanalı sıfırlamanız gerekir. Aşağıdaki yöntemlerden birini kullanabilirsiniz:
1 Active Directory Kullanıcıları ve Bilgisayarları ek bileşenine gidin, sorunlu bilgisayarı bulun, sağ tıklayın ve Hesabı Sıfırla'yı seçin. Bundan sonra, bilgisayar etki alanına yeniden katılmalı ve yeniden başlatılmalıdır.
2 Komutu kullanma ağ:
Ağ alanı sıfırlama<имя машины>/ alan adı<Имя домена>/ Kullanıcı0<Имя пользователя>/ Şifre0<Пароль> tırnak işareti olmadan<>
Örnek: Netdom sıfırlama COMP01 / etki alanı sitesi / Kullanıcı0 Ivanov / Şifre *****
3 Komutu kullanma En iyi:
En iyi / sunucu:<Имя компьютера>/ sc_reset:<Домен>\<Контроллер домена>
Windows ağ teknolojisi, ağ etki alanları oluşturmanıza olanak tanır. Etki alanı, paylaşan bir grup bağlı Windows bilgisayarıdır. Kullanıcı hesabı bilgi ve bir güvenlik Politikası... Bir etki alanı denetleyicisi yönetir Kullanıcı tüm etki alanı üyeleri için hesap bilgileri.
Etki alanı denetleyicisi ağ yönetimini kolaylaştırır. Etki alanı denetleyicisi, tüm etki alanı üyeleri için bir hesap listesi yöneterek, ağ yöneticisini etki alanı bilgisayarlarının her birinde hesap listelerini eşitleme gereksiniminden kurtarır. Başka bir deyişle, bir kullanıcı hesabını oluşturan veya değiştiren ağ yöneticisi, etki alanındaki her bir bilgisayardaki hesap listeleri yerine yalnızca etki alanı denetleyicisindeki hesap listesini güncellemelidir.
Bir Windows veritabanı sunucusunda oturum açmak için, başka bir Windows bilgisayarındaki bir kullanıcının aynı etki alanına veya güvenilir bir etki alanına ait olması gerekir. Güvenilen etki alanı, başka bir etki alanıyla güven ilişkisi kuran bir etki alanıdır. Bir güven ilişkisinde, kullanıcı hesapları yalnızca güvenilen etki alanında bulunur, ancak kullanıcılar güvenilen etki alanında oturum açabilir.
Bir etki alanının üyesi olan bir Windows bilgisayarında oturum açmaya çalışan bir kullanıcı, bunu yerel oturum açma ve profil veya etki alanı oturum açma ve profili kullanarak yapabilir. Ancak, kullanıcı güvenilir kullanıcı olarak listeleniyorsa veya kullanıcının oturum açmaya çalıştığı bilgisayar güvenilir ana bilgisayar olarak listeleniyorsa, kullanıcıya profil olmadan oturum açma erişimi verilebilir.
Hem etki alanı adı hem de kullanıcı adı (etki alanı \ kullanıcı) bekleyen bir makineye bağlantı için bir kullanıcı tanımlayıcısı belirtir ancak etki alanı adı belirtmezseniz, IBM Informix kullanıcı hesabı için yalnızca yerel makineyi ve birincil etki alanını denetler. Açıkça bir alan adı belirtirseniz, bu alan kullanıcı hesabını aramak için kullanılır. Yerel makinede eşleşen bir etki alanı \ kullanıcı hesabı bulunamazsa, denenen bağlantı -951 hatasıyla başarısız olur.
Informix'in ağ bağlantılı bir Windows ortamında kullanıcı adlarını nasıl arayacağını yapılandırmak için CHECKALLDOMAINSFORUSER yapılandırma parametresini kullanın. Aşağıdaki tablo Informix'in tek başına veya CHECKALLDOMAINSFORUSER 0 veya 1 olarak ayarlanmış bir alan adıyla belirtilen kullanıcı adlarını aradığı yerleri listeler.
| Etki alanı \ kullanıcı belirtildi | Kullanıcı adı yalnızca belirtilen | |
|---|---|---|
| CHECKALLDOMAINSFORUSER = 0 | Informix, kullanıcı adını yalnızca yerel ana bilgisayarda arar. | |
| CHECKALLDOMAINSFORUSER = 1 | Informix, kullanıcı adını yalnızca belirtilen etki alanında arar. | Informix, tüm etki alanlarında kullanıcı adını arar. |
CHECKALLDOMAINSFORUSER'ı onconfig dosyasından çıkarmak, CHECKALLDOMAINSFORUSER'ı 0'a ayarlamakla aynıdır. CHECKALLDOMAINSFORUSER ayarı hakkında daha fazla bilgi için IBM Informix Yönetici Başvurusu'na bakın.
Etki alanları hakkında daha fazla bilgi için Windows işletim sistemi kılavuzlarınıza bakın.
Önemli: IBM Informix güvenilir istemci mekanizması, Windows etki alanları arasında kurabileceğiniz güven ilişkisiyle ilgisizdir. Bu nedenle, bir istemci güvenilir bir Windows etki alanından bağlansa bile, kullanıcının etki alanında bir hesabı olması gerekir. veritabanı sunucusuçalışıyor. Veritabanı sunucusunun istemcilerin kimliğini nasıl doğruladığı hakkında daha fazla bilgi için bkz.
Alexander Emelyanov
Active Directory etki alanındaki hesapları yönetme
Bir yöneticinin en önemli görevlerinden biri yerel ve etki alanı hesaplarını yönetmektir: Kullanıcı haklarının ihtiyaçlarına ve şirket politikasına göre denetlenmesi, alıntılanması ve farklılaştırılması. Active Directory bu konuda neler sunuyor?
Active Directory'deki bu makale dizisinin devamı olarak, bugün yönetim sürecindeki merkezi bağlantıdan - etki alanı içindeki kullanıcı kimlik bilgilerinin yönetilmesinden bahsedeceğiz. Düşüneceğiz:
- hesap oluşturma ve yönetme;
- kullanıcı profili türleri ve uygulamaları;
- AD etki alanlarındaki güvenlik grupları ve bunların kombinasyonları.
Sonunda bu malzemeleri inşa etmek için uygulayabileceksiniz. çalışan altyapı veya mevcut olanın gereksinimlerinizi karşılayacak şekilde revizyonu.
İleriye baktığımızda, konunun yönetimsel amaçlar için grup politikalarının uygulanmasıyla yakından ilgili olduğunu söyleyeceğim. Ancak onlara ayrılan malzemenin çokluğu nedeniyle, bir sonraki makalede açıklanacaktır.
Active Directory Tanıtımı - Kullanıcılar ve Bilgisayarlar
Etki alanına ilk denetleyicinizi yükledikten sonra (böylece etki alanını gerçekten düzenlediniz), "Yönetim" bölümünde beş yeni öğe görünür (bkz. Şekil 1).
AD nesnelerini yönetmek için, Active Directory - Kullanıcılar ve Bilgisayarlar (ADUC - AD Kullanıcıları ve Bilgisayarları, bkz. Şekil 2) kullanılır ve bu, DSA.MSC aracılığıyla Çalıştır menüsünden de çağrılabilir.
ADUC ile kullanıcılar oluşturabilir ve silebilir, bir hesaba oturum açma komut dosyaları atayabilir ve grup üyeliklerini ve grup ilkelerini yönetebilirsiniz.
AD nesnelerini doğrudan sunucuya gitmeden yönetme seçeneği de vardır. % SYSTEM_DRIVE% \ Windows \ system32 dizininde bulunan ADMINPAK.MSI paketi tarafından sağlanır. Makinenize dağıtarak ve kendinize etki alanı yöneticisi hakları vererek (yoksa), etki alanını yönetebileceksiniz.
ADUC'u açtığımızda, beş kapsayıcı ve organizasyon birimi içeren etki alanı şubemizi göreceğiz.
- yerleşik... Bu, etki alanı denetleyicileri de dahil olmak üzere herhangi bir sunucu makinesinde bulunan yerleşik yerel grupları içerir.
- Kullanıcılar ve Bilgisayarlar... Bunlar, Windows NT üzerinden yükleme yapılırken varsayılan olarak kullanıcıları, grupları ve bilgisayar hesaplarını barındıran kapsayıcılardır. Ancak yeni hesaplar oluşturmak ve depolamak için yalnızca bu kapsayıcıları kullanmaya gerek yoktur, hatta bir etki alanı kapsayıcısında bir kullanıcı oluşturulabilir. Bir etki alanına bir bilgisayar eklendiğinde, Bilgisayarlar kapsayıcısında görünür.
- Etki Alanı Denetleyicileri... Varsayılan olarak etki alanı denetleyicilerini içeren bir Kuruluş Birimidir (OU). Yeni bir denetleyici oluşturulduğunda burada görünür.
- DışGüvenlikPrensipleri... Bu, güvenilir harici etki alanlarından nesneler için varsayılan kapsayıcıdır.
GPO'ların yalnızca bir etki alanına, kuruluş birimine veya siteye bağlı olduğunu hatırlamak önemlidir. Alanınızın yönetim hiyerarşisini oluştururken bunu göz önünde bulundurun.
Bilgisayarı etki alanına girme
İşlem doğrudan bağlanmak istediğimiz yerel makinede gerçekleştirilir.
"Bilgisayarım -> Özellikler -> Bilgisayar Adı"nı seçin, "Değiştir" düğmesini tıklayın ve "Üye" menüsünden "Etki Alanı"nı seçin. Bilgisayarımızı eklemek istediğimiz etki alanının adını giriyoruz ve ardından etki alanı yöneticisinin kimlik doğrulama verilerini girerek etki alanına iş istasyonları ekleme hakkımız olduğunu kanıtlıyoruz.
Bir etki alanı kullanıcısı oluşturun
Bir kullanıcı oluşturmak için, içinde bulunacağı herhangi bir kapsayıcıyı seçmeniz, üzerine sağ tıklamanız ve "Yeni -> Kullanıcı" seçeneğini seçmeniz gerekir. Yeni Kullanıcı Sihirbazı açılacaktır. Burada, kullanıcı adı ve etki alanı oturum açma zaman çerçevelerinden terminal hizmetleri ve uzaktan erişim ayarlarına kadar birçok özniteliğini belirleyebilirsiniz. Sihirbazı tamamladıktan sonra yeni bir etki alanı kullanıcısı alacaksınız.
Bir kullanıcı oluşturma sürecinde, sistemin yetersiz şifre karmaşıklığı veya kısalığı hakkında “yemin edebileceği” belirtilmelidir. "Varsayılan Etki Alanı Güvenlik Ayarları"nı ve ardından "Güvenlik Ayarları -> Hesap İlkeleri -> Şifre İlkesi"ni açarak gereksinimleri azaltabilirsiniz.
Kullanıcılar kapsayıcısında Ivan Ivanov kullanıcısını oluşturalım (Kullanıcı Oturum Açma Adı: [e-posta korumalı]). NT 4 sistemlerinde bu ad yalnızca bir dekorasyon iken, AD'de LDAP biçimli bir adın parçasıdır ve tamamı şuna benzer:
cn = "Ivan Ivanov", cn = "Kullanıcılar", dc = "hq", dc = "yerel"
Burada cn kapsayıcı adıdır, dc etki alanı bileşenidir. LDAP biçimindeki nesne açıklamaları, WSH (Windows Komut Dosyası Ana Bilgisayarları) komut dosyalarını yürütmek veya Active Directory ile iletişim kurmak için LDAP protokolünü kullanan programlar için kullanılır.
Alana girmek için Ivan Ivanov'un UPN formatında (Evrensel Asıl Adı) bir ad kullanması gerekecek: [e-posta korumalı] Ayrıca, AD etki alanlarında, adın eski NT 4 formatında (Win2000'den önce) yazılışı, bizim durumumuzda HQ \ Ivanov açık olacaktır.
Bir kullanıcı hesabı oluşturulduğunda, kendisine otomatik olarak bir güvenlik tanımlayıcısı (SID, Güvenlik Tanımlayıcısı) atanır - benzersiz numara, sistemin kullanıcıları tanımladığı. Bunu anlamak çok önemlidir, çünkü bir hesabı silmek SID'sini de siler ve asla yeniden kullanılmaz. Ve her yeni hesabın kendi yeni SID'si olacak, bu yüzden eskisinin hak ve ayrıcalıklarını alamayacak.
Hesap başka bir kapsayıcıya veya kuruluş birimine taşınabilir, devre dışı bırakılabilir veya tersine etkinleştirilebilir, kopyalanabilir veya şifre değiştirilebilir. Kopyalama, genellikle aynı parametrelerle birden çok kullanıcı oluşturmak için kullanılır.
Kullanıcı çalışma ortamı
Sunucuda merkezi olarak depolanan kimlik bilgileri, kullanıcıların kendilerini etki alanında benzersiz bir şekilde tanımlamalarına ve uygun haklar ve çalışma ortamına erişim elde etmelerine olanak tanır. Her şey işletim sistemi Windows ailesi NT, istemci makinede bir çalışma ortamı oluşturmak için bir kullanıcı profili kullanır.
yerel profil
Bir kullanıcı profilinin ana bileşenlerini ele alalım:
- Belirli bir kullanıcıya ("Hive" veya "Hive") karşılık gelen bir kayıt defteri anahtarı. Aslında, bu kayıt şubesinin verileri NTUSER.DAT dosyasında depolanır. Kullanıcı profilini içeren % SYSTEMDRIVE% \ Documents and Settings \ User_name klasöründe bulunur. yani girerken belirli kullanıcı NTUSER.DAT "kovanı", profilini içeren klasörden sisteme HKEY_CURRENT_USER kayıt anahtarına yüklenir. Ve oturum için kullanıcı ortamı ayarlarında yapılan tüm değişiklikler bu "kovana" kaydedilecektir. NTUSER.DAT.LOG dosyası, NTUSER.DAT dosyasını korumak için var olan bir işlem günlüğüdür. Ancak, bir şablon olduğu için Varsayılan Kullanıcı için bulmanız pek olası değildir. Bu konuda daha sonra. Yönetici, belirli bir kullanıcının "kovanı"nı doğrudan kendi çalışma ortamından düzenleme yeteneğine sahiptir. Bunu yapmak için, REGEDIT32 kayıt defteri düzenleyicisini kullanarak, "kovanı" HKEY_USERS bölümüne yüklemeli ve ardından değişiklikleri yaptıktan sonra kaldırmalıdır.
- klasörler dosya sistemiözel ayar dosyaları içeren. Bunlar özel bir %SYSTEMDRIVE% \ Documents and Settings \ User_name dizininde bulunurlar, burada User_name sistemde oturum açan kullanıcının adıdır. Burası masaüstü öğelerinin, başlangıç öğelerinin, belgelerin vb. depolandığı yerdir.
Bir kullanıcı ilk kez oturum açtığında aşağıdakiler gerçekleşir:
- sistem olup olmadığını kontrol eder yerel profil bu kullanıcının.
- Bulamayınca sistem, varsayılan kullanıcı klasöründe bulunması gereken varsayılan etki alanı profilini aramak için etki alanı denetleyicisiyle bağlantı kurar. ortak kaynak NETLOGON; sistem bu profili algılarsa, makinede yerel olarak kullanıcı adıyla % SYSTEMDRIVE% \ Documents and Settings klasörüne kopyalanır, aksi takdirde kopyalanır yerel klasör% SYSTEMDRIVE% \ Belgeler ve Ayarlar \ Varsayılan Kullanıcı.
- HKEY_CURRENT_USER kayıt defteri anahtarına özel bir kovan yüklenir.
- Oturumu kapattığınızda, tüm değişiklikler yerel olarak kaydedilir.
Sonunda çalışma ortamı kullanıcı, iş profili ile bu makinenin tüm kullanıcıları için ortak olan ayarları içeren Tüm Kullanıcılar profilinin birleşimidir.
Şimdi bir alan adı için varsayılan profil oluşturma hakkında birkaç söz. Makinenizde sahte bir profil oluşturun, ihtiyaçlarınıza veya kurumsal politika gereksinimlerinize göre özelleştirin. Ardından oturumu kapatın ve etki alanı yöneticisi olarak tekrar oturum açın. NETLOGON sunucu paylaşımında, Varsayılan klasör kullanıcı. Ardından, Sistem uygulamasındaki Kullanıcı Profilleri sekmesini kullanarak (bkz. Şekil 3), profilinizi bu klasöre kopyalayın ve bunu Etki Alanı Kullanıcıları grubuna veya başka bir uygun güvenlik grubuna kullanma haklarını verin. İşte bu, alan adınız için varsayılan profil oluşturuldu.
hareketli profil
Esnek ve ölçeklenebilir bir teknoloji olarak Active Directory, daha sonra tartışacağımız dolaşım profilleriyle kurumsal ortamınızda çalışmanıza olanak tanır.
Aynı zamanda, hata toleransı ve kullanıcı verilerinin merkezi olarak depolanması için IntelliMirror teknolojisinin özelliklerinden biri olarak klasör yeniden yönlendirmeden bahsetmek yerinde olacaktır.
Dolaşım profilleri sunucuda saklanır. Onlara giden yol, etki alanı kullanıcı ayarlarında belirtilir (bkz. Şekil 4).
Dilerseniz birden fazla kullanıcı seçerek aynı anda birden fazla kullanıcı için roaming profilleri belirleyebilirsiniz ve "Profil" sekmesindeki özelliklerde kullanıcı adının bulunduğu klasör yerine % USERNAME% öğesini belirtebilirsiniz (bkz. Şekil 5).
Dolaşım profiline sahip bir kullanıcı için ilk oturum açma işlemi, birkaç istisna dışında, yerel bir kullanıcı için yukarıda açıklanana benzer.
İlk olarak, profilin yolu kullanıcı nesnesinde belirtildiğinden, sistem profilin makinede önbelleğe alınmış yerel bir kopyasını kontrol eder, ardından her şey açıklandığı gibidir.
İkinci olarak, çalışma tamamlandıktan sonra tüm değişiklikler sunucuya kopyalanır ve grup ilkeleri yerel kopyanın silinmesini belirtmezse, bu makineye kaydedilir. Kullanıcı profilin yerel bir kopyasına zaten sahipse, sunucu ve yerel kopya profiller karşılaştırılır ve birleştirilir.
IntelliMirror teknolojisi Windows sistemleri en son sürümler, "Belgelerim", "Resimlerim" vb. gibi belirli kullanıcı klasörlerinin bir ağ kaynağına yeniden yönlendirilmesine izin verir.
Böylece, kullanıcı için yapılan tüm değişiklikler kesinlikle şeffaf olacaktır. Belgeleri bilerek bir ağ kaynağına yönlendirilecek olan "Belgelerim" klasörüne kaydederek, her şeyin sunucuya kaydedildiğinden şüphelenmeyecektir.
Yeniden yönlendirmeyi her kullanıcı için manuel olarak veya grup ilkelerini kullanarak yapılandırabilirsiniz.
İlk durumda, masaüstündeki veya "Başlat" menüsündeki "Belgelerim" simgesine sağ fare tuşuyla tıklamanız ve özellikleri seçmeniz gerekir. O zaman her şey son derece basittir.
İkinci durumda, yeniden yönlendirme uygulamak istediğimiz kuruluş biriminin veya etki alanının grup politikasını açmanız ve "Kullanıcı Yapılandırması -> hiyerarşisini genişletmeniz gerekir. Windows yapılandırması"(Bkz. şekil 6). Ayrıca, yeniden yönlendirme, tüm kullanıcılar için veya bu grup ilkesinin uygulanacağı belirli OU veya etki alanı güvenlik grupları için yapılandırılır.
Gezici kullanıcı profilleriyle çalışmak için klasör yeniden yönlendirmeyi kullanarak, örneğin profil yükleme süresinde bir azalma elde edebilirsiniz. Bu, dolaşım profilinin yerel bir kopya kullanılmadan her zaman sunucudan yüklenmesi sağlanır.
Klasör yeniden yönlendirme teknolojisi, bahsetmeden eksik kalır çevrimdışı dosyalar... Kullanıcıların ağa bağlı olmadıklarında bile belgelerle çalışmasına izin verir. Belgelerin sunucu kopyalarıyla senkronizasyon, bilgisayar ağa bir sonraki bağlanışında gerçekleşir. Böyle bir organizasyon şeması, örneğin, her ikisi de çerçevesinde çalışan dizüstü bilgisayar kullanıcıları için faydalı olacaktır. yerel ağ ve evde.
Gezici profillerin dezavantajları şunları içerir:
- Örneğin, bazı programların kısayollarının kullanıcının masaüstünde bulunacağı, ancak dolaşım profilinin sahibinin çalışmak istediği başka bir makinede olduğu, bu tür programlar yüklenmediği, bu nedenle bazı kısayolların çalışmadığı bir durum ortaya çıkabilir;
- birçok kullanıcı, sunucudan bir dolaşım profili her yüklendiğinde, masaüstünde belgelerin yanı sıra fotoğrafları ve hatta videoları depolama alışkanlığına sahiptir, ek trafik ağda ve profilin yüklenmesi çok uzun sürüyor; sorunu çözmek için masaüstünde "çöp" tasarrufunu sınırlamak için NTFS izinlerini kullanın;
- bir kullanıcı sisteme her giriş yaptığında, onun için yerel bir profil oluşturulur (daha doğrusu, sunucudan gelen profil yerel olarak kopyalanır) ve çalışan makineleri değiştirirse, bu tür "çöp" her birinde kalır; bu, grup ilkelerini belirli bir şekilde yapılandırarak önlenebilir ("Bilgisayar Yapılandırması -> Yönetim Şablonları -> Sistem -> Kullanıcı Profilleri", "Gezici profillerin önbelleğe alınmış kopyalarını sil" ilkesi).
Mevcut bir kullanıcıyı etki alanına tanıtma
Genellikle bir dizin hizmetini zaten bir mevcut ağçalışma grupları bazında, bir kullanıcının çalışma ortamının ayarlarını kaybetmeden etki alanına girmesiyle ilgili soru ortaya çıkıyor. Bu, dolaşım profilleri kullanılarak elde edilebilir.
Genel üzerine inşa ağ kaynağı(örneğin, Profiller) sunucuda kullanıcı adının bulunduğu bir klasör oluşturun ve Herkes grubu için bunun için yazma izinlerini ayarlayın. HQUser olarak adlandırılsın ve tam yolu şöyle görünür: \\ Server \ Profiles \ HQUser.
Yerel ağınızdaki kullanıcıya karşılık gelecek bir etki alanı kullanıcısı oluşturun ve profilin yolu olarak \\ Server \ Profiles \ HQUser'ı belirtin.
Kullanıcımızın yerel profilini içeren bilgisayarda, bir yönetici hesabıyla oturum açmanız ve Sistem uygulamasının Kullanıcı Profilleri sekmesini kullanarak onu \\ Sunucu \ Profiller \ HQKullanıcı klasörüne kopyalamanız gerekir.
Yeni bir etki alanı hesabı altında sisteme bir sonraki girişimizde, kullanıcımızın iş profilini sunucudan yükleyeceğini ve yöneticinin yalnızca bu profili dolaşımda bırakıp bırakmamaya veya yerel hale getirmeye karar vermesi gerektiğini anlamak kolaydır.
kotalar
Çok sık kullanıcılar indirir gereksiz bilgi ağ sürücüleri. Kişisel klasörlerinizi temizlemek için sürekli isteklerden kaçınmak için gereksiz çöp(nedense her zaman gerekli olduğu ortaya çıkıyor), kota mekanizmasını kullanabilirsiniz. Windows 2000'den başlayarak yapılabilir standart yollarla NTFS birimlerinde.
Kota mekanizmasını etkinleştirmek ve yapılandırmak için yerel birimin özelliklerine gidin ve Kota sekmesini açın (bkz. Şekil 7).
Ayrıca, dolu disk alanındaki verileri görüntüleyebilir ve kotaları her kullanıcı için ayrı ayrı yapılandırabilirsiniz (bkz. Şekil 8). Sistem, nesnelerin sahibi hakkındaki verilere dayanarak, kendisine ait dosya ve klasörlerin miktarını toplayarak işgal edilen disk alanını hesaplar.
AD'deki kullanıcı grupları
Bir etki alanındaki kullanıcıları yönetmek kolaydır. Ancak erişimi yapılandırmanız gerektiğinde belirli kaynaklar birkaç düzine (hatta yüzlerce) kullanıcı için erişim haklarını dağıtmak çok zaman alabilir.
Ve bir ağaç veya orman içindeki birkaç etki alanının üyelerinin haklarını ustaca sınırlandırma ihtiyacı varsa, yönetici küme teorisindeki görevlere benzer bir görevle karşı karşıya kalır. Grupların kullanımı burada kurtarmaya geliyor.
Bir etki alanında bulunan grupların ana karakterizasyonu, bir dizin hizmetinin mimarisiyle ilgili önceki bir makalede verilmiştir.
Etki alanı yerel grupları, kullanıcıları kendi etki alanlarında ve ormandaki diğer etki alanlarında içerebilir, ancak kapsamları ait oldukları etki alanıyla sınırlıdır.
Global gruplar yalnızca kendi etki alanlarının kullanıcılarını içerebilir, ancak bunları hem kendi alanlarındaki hem de ormandaki diğer etki alanlarındaki kaynaklara erişim sağlamak için kullanmak mümkündür.
Evrensel gruplar, adından da anlaşılacağı gibi, herhangi bir etki alanından kullanıcıları içerebilir ve ayrıca orman genelinde erişim sağlamak için kullanılabilir. Evrensel grubun hangi etki alanında oluşturulacağı önemli değil, dikkate alınması gereken tek şey, onu hareket ettirdiğinizde erişim haklarının kaybedileceği ve yeniden atanmaları gerekeceğidir.
Yukarıdakileri ve yuvalama gruplarının temel ilkelerini anlamak için bir örnek düşünün. HQ.local ve SD.local olmak üzere iki etki alanı içeren bir ormanımız olduğunu varsayalım (hangisi kök bu durumda, boşver). Etki alanlarının her biri, erişim vermek istediğiniz kaynakları ve kullanıcıları içerir (bkz. Şekil 9).
Şek. 9'da, ormandaki tüm kullanıcıların Belgeler ve Dağıtım kaynaklarına (yeşil ve kırmızı çizgiler) erişimi olması gerektiğini görebilirsiniz, böylece her iki etki alanından kullanıcıları içeren evrensel bir grup oluşturabilir ve her iki kaynağa erişim izinlerini belirtirken kullanabiliriz. Alternatif olarak, her etki alanında, yalnızca etki alanımızın kullanıcılarını içerecek ve onları evrensel gruba dahil edecek iki global grup oluşturabiliriz. Bu global gruplardan herhangi biri, hakların atanması için de kullanılabilir.
Yalnızca HQ.local etki alanındaki (mavi çizgiler) kullanıcıların Base dizine erişimi olmalıdır, bu nedenle onları yerel etki alanı grubuna dahil edeceğiz ve bu gruba erişim izni vereceğiz.
Hem HQ.local etki alanının üyelerinin hem de SD.local etki alanının üyelerinin Dağıtım dizinini kullanmasına izin verilecektir (Şekil 9'daki turuncu çizgiler). Bu nedenle, Yönetici ve Maaş kullanıcılarını HQ.local etki alanının global grubuna ekleyebilir ve ardından bu grubu BT kullanıcısı ile birlikte SD.local etki alanının yerel grubuna ekleyebiliriz. Ardından bu yerel grup ve Dağıtım kaynağına erişim izni verin.
Şimdi bu grupların iç içe geçmesine daha yakından bakacağız ve başka bir grup türü - yerleşik yerel etki alanı grupları - ele alacağız.
Tablo, hangi grupların hangi gruplara yerleştirilebileceğini gösterir. Burada yatay olarak dikey grupların iç içe geçtiği gruplar vardır. Artı, bir tür grubun diğerine yuvalanabileceği anlamına gelir, eksi - değil.
İnternette Microsoft sertifika sınavlarına ayrılmış bazı kaynaklarda, böyle bir formülden bahsettim - AGUDLP, bu şu anlama gelir: Hesaplar, evrensel (Evrensel) yerel olarak yerleştirilmiş küresel gruplara (Global) yerleştirilir. izinlerin uygulandığı etki alanı grupları (Yerel Etki Alanı). Bu formül, yuvalama olasılığını tam olarak açıklar. Tüm bu türlerin tek bir makinenin yerel gruplarında (yalnızca kendi etki alanlarındaki yerel etki alanları) yuvalanabileceğini de eklemek gerekir.
Etki alanı grubu yerleştirme
|
yuvalama |
Yerel gruplar |
Küresel Gruplar |
Evrensel gruplar |
|
Hesap |
|||
|
Yerel gruplar |
+ (yerleşik yerel gruplar hariç ve yalnızca kendi etki alanı içinde) |
||
|
Küresel Gruplar |
+ (yalnızca kendi alanınızda) |
||
|
Evrensel gruplar |
Yerleşik etki alanı yerel grupları Yerleşik kapsayıcıda bulunur ve aslında yerel gruplar makineler, ancak yalnızca etki alanı denetleyicileri için. Etki alanı yerel gruplarının aksine, Kullanıcılar kapsayıcısından diğer kuruluş birimlerine taşınamazlar.
Hesap yönetimi sürecinin doğru anlaşılması, iyi tanımlanmış bir hesap oluşturmanıza olanak sağlar. çalışma ortamı kurumsal, yönetim esnekliği ve en önemlisi - hata toleransı ve etki alanı güvenliği sağlar. Bir sonraki yazıda bahsedeceğimiz grup politikalarıözel ortamlar oluşturmak için bir araç olarak.
ek
Etki alanı kimlik doğrulama nüansları
Yerel profilleri kullanırken, bir etki alanı kullanıcısı oturum açmaya çalıştığında bir durum ortaya çıkabilir. iş istasyonu yerel profiline sahip olan, ancak herhangi bir nedenle denetleyiciye erişimi olmayan . Şaşırtıcı bir şekilde, kullanıcı başarıyla kimliği doğrulanacak ve çalışmasına izin verilecektir.
Bu durum, kullanıcı kimlik bilgilerinin önbelleğe alınması ve kayıt defterinde değişiklik yapılarak düzeltilebilmesi nedeniyle oluşur. Bunu yapmak için, HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ Current Version \ Winlogon klasöründe (eğer yoksa) CachedLogonCount adında, REG_DWORD veri tipinde bir giriş oluşturun ve değerini sıfır olarak ayarlayın. Grup İlkesi ile benzer bir sonuç elde edebilirsiniz.
- Emelianov A. İnşaat ilkeleri Etki Alanları Etkin Dizin, // " Sistem yöneticisi", No. 2, 2007 - S. 38-43.
Temas halinde
İlgili Makaleler
-
2022-01-01 00:05:31Bir gezginden oryantiring için bir tablet nasıl yapılır -
2022-01-01 00:05:31mts'den bonuslar nasıl atılır
-
2021-12-26 15:13:38Sınıf arkadaşlarına mesajlarda kartpostal gönderme Sınıf arkadaşları mesajlarında kartpostal nasıl gönderilir
Bugün size Odnoklassniki.ru web sitesinde arkadaşlarınıza ve meslektaşlarınıza göndermenize izin veren tüm ücretsiz yöntemleri anlatacağım ...
-
2021-12-26 15:13:38Android platformu nedir ve ne içindir?Android işletim sistemi tabanlıdır.
Makaleler ve Yaşam Hack'leri Bugün, kendisini "akıllı" teknoloji ile çevrelemek istemeyen böyle bir insan bulmak zor. "Telefonsuz - eller olmadan" ifadesi ...
-
2021-12-26 15:13:38Ücretsiz kayıt olmadan Odnoklassniki'de bir kişi bulun
Sosyal ağlar olmadan hayatınızı hayal edemiyorsanız ve sosyal ağ sınıf arkadaşlarıyla ilgileniyorsanız sayfam: giriş ve şifre olmadan giriş yapın, giriş yapın ...
-
2021-12-26 15:13:38Ücretsiz "VKontakte" nasıl kaydedilir: cep telefonuyla veya cep telefonu olmadan Davetsiz bir kişiye nasıl kayıt olunur
VKontakte, kullanıcı sayısı her geçen gün artan tanınmış bir sosyal ağdır. Ancak, bugün herkes özgür değil ...
-
2021-12-21 19:13:59Yandex tarayıcısında eklentiler nasıl yönetilir Kullanılarak tarayıcı nasıl yönetilir
Yandex tarayıcısındaki eklentiler veya eklentiler, işlevselliği artıran ek entegre mini programlardır. Onlar...
MTS'de İnterneti Kapatmanın Yolları MTS'de İnterneti Kapatma Komutu
MTS'de mobil İnternet nasıl devre dışı bırakılır?
iPad Nasıl Sıfırlanır - Tüm Verileri ve Ayarları Sil
E-posta şifrenizi unuttunuz: ne yapmalı?
Geri ödeme hizmeti Cash4Brands: inceleme ve incelemeler