Kullanıcı hesabının alan adı. Etki alanı ve ev grubu hesapları. Active Directory Kullanıcıları ve Bilgisayarları ek bileşenini kullanarak bilgisayar oluşturma

Herkes işletim sistemini kurduktan sonra bilgisayarın başlangıçta çalışma grubuna dahil edildiğini bilir (varsayılan olarak WORKGROUP'ta). Bir çalışma grubunda, her bilgisayar, içinde bir Güvenlik Hesapları Yöneticisi (SAM) veritabanı bulunan bağımsız bir otonom sistemdir. Bir kişi bir bilgisayarda oturum açtığında, SAM'da bir hesabın varlığı kontrol edilir ve bu kayıtlar doğrultusunda, belirli haklar... Etki alanına girilen bilgisayar temelini korumaya devam ediyor sAM verileri, ancak kullanıcı bir etki alanı hesabı altında oturum açarsa, zaten etki alanı denetleyicisinde kontrol edilir, yani. bilgisayar, kullanıcının kimliği için etki alanı denetleyicisine güvenir.

Etki alanına bir bilgisayar ekleyebilirsiniz farklı yollar, ancak bunu yapmadan önce emin olmalısınız bu bilgisayar aşağıdaki gereksinimleri karşılar:

Bilgisayarı etki alanına katılma hakkına sahipsiniz (varsayılan olarak, Enterperise Yöneticileri, Etki Alanı Yöneticileri, Yöneticiler, Hesap Yöneticileri bu hakka sahiptir);

Bilgisayar nesnesi etki alanında oluşturuldu;

Bağlı bilgisayarda yerel yönetici olarak oturum açmalısınız.

Birçok yönetici için, ikinci nokta kızgınlığa neden olabilir - bilgisayar etki alanına eklendikten sonra Bilgisayarlar kapsayıcısında görünüyorsa neden AD'de bir bilgisayar oluşturun? Önemli olan, Bilgisayarlar kapsayıcısında kuruluş birimleri oluşturamazsınız, ancak daha da kötüsü, GPO'ları kapsayıcıya bağlayamazsınız. Bu nedenle, gerekli organizasyonel birimde bir bilgisayar nesnesi oluşturmanız ve otomatik olarak oluşturulan bir bilgisayar hesabıyla yetinmemeniz önerilir. Elbette, otomatik olarak oluşturulan bir bilgisayarı gerekli departmana taşıyabilirsiniz, ancak yöneticiler genellikle bu tür şeyleri yapmayı unutur.

Şimdi AD'de bilgisayar (lar) yaratmanın yollarına bakalım:

Active Directory Kullanıcıları ve Bilgisayarları ek bileşenini kullanarak bilgisayarlar oluşturun.

Bu yöntem için " Active Directory - Kullanıcılar ve Bilgisayarlar ", bilgisayarınızda şunu kullanarak Yönetici Paketi veya bir etki alanı denetleyicisinde. Bunu yapmak için " Başlangıç \u200b\u200bPaneli kontrol sistemi ve güvenlik- Yönetim-"gerekli birimi seçin, üzerine tıklayın sağ tık fare, içinde bağlam menüsü seç " Oluştur - Bilgisayar".

Bilgisayar adını girin.

DSADD komutunu kullanarak bir bilgisayar hesabı oluşturun.

Ekibin genel görünümü:

dsadd bilgisayar [-desc<описание>] [-loc<расположение>] [-üyesi<группа...>] [(-s<сервер> | -d<домен>)] [-u<пользователь>] [-p (<пароль> | *)] [-q] [(-uc | -uco | -uci)]

Seçenekler:

Değer Açıklama
Gerekli parametre. Eklenecek bilgisayarın ayırt edici adını (DN) belirtir.
-desc<описание> Bilgisayarın bir açıklamasını belirtir.
-loc<размещение> Bilgisayarın konumunu belirtir.
-üyesi<группа...> Boşlukla ayrılmış DN listesiyle tanımlanan bir veya daha fazla gruba bilgisayar ekler<группа...>.
(-s<сервер> | -d<домен>}
-s <сервер> adlı bir etki alanı denetleyicisine (DC) bağlantı tanımlar<сервер>.
-d <домен> bir etki alanındaki bir DC'ye bağlantı tanımlar<домен>.
Varsayılan olarak: Oturum açma etki alanındaki DC.
-u<пользователь> Adı altında bağlanın<пользователь>... Varsayılan: şu anda oturum açmış olan kullanıcının adı. Olası seçenekler: kullanıcı adı, etki alanı \\ kullanıcı adı, kullanıcı asıl adı (UPN).
-p (<пароль> | *} Kullanıcı şifresi<пользователь>... * Girilirse, bir şifre girmeniz istenecektir.
-q Sessiz mod: Tüm çıktı, standart çıktı ile değiştirilir.
(-uc | -uco | -uci)

-uc Boru veya çıktıdan boruya giriş için Unicode biçimlendirmesini belirtir.
-uco Bir boru veya dosyaya Unicode çıktısının biçimlendirmesini belirtir.
-uci Bir boru veya dosyadan giriş için Unicode formatını belirtir.

Dsadd komutunun kullanımına bir örnek:

Dsadd bilgisayarı "CN \u003d COMP001, OU \u003d Moscow, OU \u003d Departments, DC \u003d pk-help, DC \u003d com" –desc "BT departmanının bilgisayarı"

Yaratık Netdom komutunu kullanarak iş istasyonu veya sunucu hesabı.

Netdom ekibinin genel görünümü:

NETDOM EKLEME<компьютер> ]
<компьютер> bu eklenecek bilgisayarın adıdır
/ Alan adı bilgisayar hesabı oluşturmak istediğiniz etki alanını belirtir
/ KullanıcıD / Etki alanı bağımsız değişkeni tarafından belirtilen etki alanına bağlanırken kullanılan kullanıcı hesabı
/ ŞifreD / UserD bağımsız değişkeni tarafından belirtilen kullanıcı hesabının parolası. * Bir şifre istemi anlamına gelir
/ Sunucu eklemek için kullanılan etki alanı denetleyicisinin adı. Bu parametre / OU parametresiyle birlikte kullanılamaz.
/ OU bilgisayar hesabını oluşturmak istediğiniz kuruluş birimi. Tam farklılaştırma gerekli alan adı Bir bölüm için RFC 1779. Bu bağımsız değişkeni kullanırken, doğrudan belirtilen etki alanı denetleyicisinde çalışmalısınız. Bu bağımsız değişken belirtilmezse, hesap, bu etki alanının bilgisayar nesneleri için varsayılan kuruluş biriminde oluşturulur.
/ DC bir etki alanı denetleyicisi bilgisayar hesabı oluşturmak istediğinizi belirtir. Bu parametre / OU parametresiyle birlikte kullanılamaz.
/ SecurePasswordPrompt Kimlik bilgilerini sağlamak için güvenli bir açılır pencere kullanın. Akıllı kart kimlik bilgilerini belirtmeniz gerektiğinde bu parametreyi kullanın. Bu parametre yalnızca şifre * olarak belirtilmişse etkilidir.

Ldifde () ve Csvde () kullanarak bir Bilgisayar nesnesi oluşturma.

Active Directory'de bilgisayar hesaplarını yönetme.

Bilgisayarı AD olarak yeniden adlandırın.

Başlatmak komut satırı ve Netdom komutunu kullanarak bilgisayarı AD olarak yeniden adlandırın:

Netdom yeniden adlandırma bilgisayarı<Имя компьютера> / Yeni isim:<Новое имя>

Misal: Ağ yeniden adlandırma bilgisayarı COMP01 / Yeni ad: COMP02

Bilgisayar hesaplarını kaldırma.

1 Ek bileşeni kullanarak bilgisayar hesabını silin " aktif Dizin kulanıcıları ve bilgisayarları". Ek bileşeni çalıştırın." aktif Dizin kulanıcıları ve bilgisayarları"bul gerekli bilgisayar farenin sağ düğmesiyle tıklayın, bağlam menüsünde " Sil", silmeyi onayla

2 DSRM komutunu kullanarak bilgisayarı kaldırabilirsiniz:

DSRM

DSRM CN \u003d COMP001, OU \u003d Moscow, OU \u003d Departments, DC \u003d pk-help, DC \u003d com
.

"Bu iş istasyonu ile birincil etki alanı arasında güven ilişkisi kurulamadı" hatasını çözün.

Bazen bilgisayara girmeye çalışırken, kullanıcı bir mesaj alır " Bu iş istasyonu ile birincil etki alanı arasında güven ilişkisi kurulamadı". Bu hata, makine ile etki alanı denetleyicisi arasındaki güvenli kanal başarısız olduğunda meydana gelir. Bunu düzeltmek için güvenli kanalı sıfırlamanız gerekir. Yöntemlerden birini kullanabilirsiniz:

1 Active Directory Kullanıcıları ve Bilgisayarları ek bileşenine gidin, sorunlu bilgisayarı bulun, sağ tıklayın ve Hesabı Sıfırla'yı seçin. Daha sonra bilgisayar etki alanına yeniden bağlanmalı ve yeniden başlatılmalıdır.

2 Komutu kullanarak Netdom:

Netdom sıfırlama<имя машины> / alan adı<Имя домена> / Kullanıcı0<Имя пользователя> / Şifre0<Пароль> tırnak işareti olmadan<>

Misal: Netdom sıfırlama COMP01 / alan sitesi / Kullanıcı0 Ivanov / Şifre *****

3 Komutu kullanarak Nltest:

Nltest / sunucu:<Имя компьютера> / sc_reset:<Домен>\<Контроллер домена>

Alexander Emelyanov

Active Directory etki alanındaki hesapları yönetme

Bir yöneticinin en önemli görevlerinden biri yerel ve etki alanı hesaplarını yönetmektir: denetleme, alıntı yapma ve gereksinimlerine ve şirket politikasına bağlı olarak kullanıcı haklarını farklılaştırma. Active Directory'nin bu konuda sunması gereken nedir?

Active Directory ile ilgili bu makale serisine devam ederken, bugün yönetim sürecindeki merkezi bağlantıdan bahsedeceğiz - etki alanındaki kullanıcı kimlik bilgilerini yönetme. Düşüneceğiz:

• hesaplar oluşturmak ve yönetmek;
• kullanıcı profili türleri ve uygulamaları;
• aD etki alanlarındaki güvenlik grupları ve bunların kombinasyonları.

Sonunda bu malzemeleri inşa etmek için uygulayabileceksiniz. çalışma altyapısı veya mevcut olanın ihtiyaçlarınızı karşılayacak revizyonu.

İleriye baktığımda, konunun grup politikalarının idari amaçlarla uygulanmasıyla yakından ilgili olduğunu söyleyeceğim. Ancak onlara ayrılan materyalin çokluğu nedeniyle, bir sonraki makalede açıklanacak.

Active Directory Tanıtımı - Kullanıcılar ve Bilgisayarlar

Etki alanına ilk denetleyicinizi kurduktan sonra (böylece etki alanını gerçekten düzenlediniz), "Yönetim" bölümünde beş yeni öğe görünür (bkz. Şekil 1).

AD nesnelerini yönetmek için Active Directory - Kullanıcılar ve Bilgisayarlar (ADUC - AD Kullanıcıları ve Bilgisayarları, bkz. Şekil 2) kullanılır ve bu DSA.MSC aracılığıyla "Çalıştır" menüsünden de çağrılabilir.

ADUC ile kullanıcılar oluşturabilir ve silebilir, bir hesaba oturum açma komut dosyaları atayabilir ve grup üyeliğini ve grup politikalarını yönetebilirsiniz.

Doğrudan sunucuya gitmeden AD nesnelerini yönetme yeteneği de vardır. % SYSTEM_DRIVE% \\ Windows \\ system32 dizininde bulunan ADMINPAK.MSI paketi tarafından sağlanır. Makinenize dağıtarak ve kendinize etki alanı yöneticisi hakları vererek (hiç yoksa) etki alanını yönetebilirsiniz.

ADUC'yi açtığımızda, beş kapsayıcı ve kuruluş birimi içeren etki alanı şubemizi göreceğiz.

• Yerleşik... Etki alanı denetleyicileri dahil herhangi bir sunucu makinesinde bulunan yerleşik yerel grupları içerir.
• Kullanıcılar ve Bilgisayarlar... Bunlar, Windows NT üzerinden yüklerken varsayılan olarak kullanıcıları, grupları ve bilgisayar hesaplarını barındıran kapsayıcılardır. Ancak yeni hesaplar oluşturmak ve depolamak için yalnızca bu kapsayıcıları kullanmaya gerek yoktur, hatta bir etki alanı kapsayıcısında bir kullanıcı oluşturulabilir. Bir bilgisayar bir etki alanına eklendiğinde, Bilgisayarlar kapsayıcısında görünür.
• Etki Alanı Denetleyicileri... Varsayılan olarak etki alanı denetleyicileri içeren bir Kuruluş Birimidir (OU). Yeni bir oyun kumandası oluşturulduğunda burada görünür.
• ForeignSecurityPrincipals... Bu, harici güvenilir etki alanlarından gelen nesneler için varsayılan kapsayıcıdır.

GPO'ların yalnızca bir etki alanına, OU'ya veya siteye bağlı olduğunu unutmamak önemlidir. Etki alanınızın yönetici hiyerarşisini oluştururken bunu göz önünde bulundurun.

Bilgisayarı etki alanına girme

Prosedür doğrudan bağlanmak istediğimiz yerel makinede gerçekleştirilir.

"Bilgisayarım -\u003e Özellikler -\u003e Bilgisayar Adı" nı seçin, "Değiştir" düğmesine basın ve "Üye" menüsünden "Etki Alanı" nı seçin. Bilgisayarımızı eklemek istediğimiz alan adını giriyoruz ve ardından etki alanı yöneticisinin kimlik doğrulama verilerini girerek etki alanına iş istasyonları ekleme haklarına sahip olduğumuzu kanıtlıyoruz.

Bir etki alanı kullanıcısı oluşturun

Bir kullanıcı oluşturmak için, içinde bulunacağı herhangi bir konteyneri seçmeniz, üzerine sağ tıklamanız ve "Yeni -\u003e Kullanıcı" seçeneğini seçmeniz gerekir. Yeni Kullanıcı Sihirbazı açılacaktır. Burada kullanıcı adı ve etki alanı oturum açma zaman çerçevelerinden terminal hizmetleri ayarlarına kadar birçok özelliğini belirtebileceksiniz ve uzaktan erişim... Sihirbazı tamamladıktan sonra, yeni bir etki alanı kullanıcısı alacaksınız.

Bir kullanıcı oluşturma sürecinde, sistemin yetersiz parola karmaşıklığı veya kısalığı hakkında "yemin edebileceği" unutulmamalıdır. "Etki Alanı Güvenlik Politikası" (Varsayılan Etki Alanı Güvenlik Ayarları) ve ardından "Güvenlik Ayarları -\u003e Hesap İlkeleri -\u003e Parola İlkesi" ni açarak gereksinimleri azaltabilirsiniz.

Kullanıcılar kapsayıcısında Ivan Ivanov kullanıcısını oluşturalım (Kullanıcı Oturum Açma Adı: [email protected]). NT 4 sistemlerinde bu ad yalnızca bir dekorasyon iken, AD'de şuna benzeyen LDAP biçimli bir adın parçasıdır:

cn \u003d "Ivan Ivanov", cn \u003d "Kullanıcılar", dc \u003d "hq", dc \u003d "yerel"

Burada cn, kapsayıcı adı, dc, etki alanı bileşenidir. LDAP formatındaki nesne açıklamaları, WSH (Windows Komut Dosyası Ana Bilgisayarları) komut dosyalarını yürütmek için veya Active Directory ile iletişim kurmak için LDAP protokolünü kullanan programlar için kullanılır.

Alan adını girmek için Ivan Ivanov'un UPN (Evrensel Asıl Adı) biçiminde bir ad kullanması gerekecektir: [email protected]. Ayrıca, AD etki alanlarında, eski NT 4 biçimindeki (Win2000'den önce), bizim durumumuzda HQ \\ Ivanov adının yazılışı net olacaktır.

Bir kullanıcı hesabı oluşturulduğunda, otomatik olarak bir güvenlik tanımlayıcısı (SID, Güvenlik Tanımlayıcısı) atanır - benzersiz numarasistemin kullanıcıları tanımladığı. Bir hesabı silmek aynı zamanda SID'sini de sildiğinden ve asla tekrar kullanılmadığından, bunun anlaşılması çok önemlidir. Ve her yeni hesabın kendi yeni SID'si olacak, bu yüzden eskisinin haklarını ve ayrıcalıklarını alamayacak.

Hesap başka bir kapsayıcıya veya OU'ya taşınabilir, devre dışı bırakılabilir veya tersine etkinleştirilebilir, kopyalanabilir veya şifre değiştirilebilir. Kopyalama genellikle aynı parametrelere sahip birden çok kullanıcı oluşturmak için kullanılır.

Kullanıcı çalışma ortamı

Sunucuda merkezi olarak depolanan kimlik bilgileri, kullanıcıların kendilerini benzersiz bir şekilde etki alanına tanıtmalarına ve çalışma ortamına uygun hakları ve erişimi elde etmelerine olanak tanır. Herşey işletim sistemi windows ailesi NT, istemci makinede bir çalışma ortamı oluşturmak için bir kullanıcı profili kullanır.

Yerel profil

Bir kullanıcı profilinin ana bileşenlerini ele alalım:

• Belirli bir kullanıcıya karşılık gelen kayıt defteri anahtarı ("kovan" veya "kovan").Aslında, bu kayıt defteri dalının verileri NTUSER.DAT dosyasında depolanır. Kullanıcı profilini içeren% SYSTEMDRIVE% \\ Documents and Settings \\ Kullanıcı_adı klasöründe bulunur. Yani girerken belirli kullanıcı profilini içeren klasördeki NTUSER.DAT "kovanı", sisteme HKEY_CURRENT_USER kayıt defteri anahtarına yüklenir. Ve oturum için kullanıcı ortamının ayarlarında yapılan tüm değişiklikler bu "kovana" kaydedilecektir. NTUSER.DAT.LOG dosyası, NTUSER.DAT dosyasını korumak için var olan bir işlem günlüğüdür. Ancak, bir şablon olduğu için Varsayılan Kullanıcı için bulmanız pek olası değildir. Bununla ilgili daha sonra daha fazlası. Yönetici, belirli bir kullanıcının "kovanını" doğrudan kendi çalışma ortamından düzenleme yeteneğine sahiptir. Bunu yapmak için, REGEDIT32 kayıt defteri düzenleyicisini kullanarak, "kovanı" HKEY_USERS bölümüne yüklemeli ve ardından değişiklikleri yaptıktan sonra kaldırmalıdır.
• Klasörler dosya sistemiözel ayarlar dosyalarını içerir. Özel bir% SYSTEMDRIVE% \\ Documents and Settings \\ Kullanıcı_adı dizininde bulunurlar; burada Kullanıcı_adı, sistemde oturum açan kullanıcının adıdır. Burası masaüstü öğelerinin, başlangıç \u200b\u200böğelerinin, belgelerin vb. Depolandığı yerdir.

Bir kullanıcı ilk kez oturum açtığında aşağıdakiler gerçekleşir:

1. Sistem, bu kullanıcı için yerel bir profil olup olmadığını kontrol eder.
2. Bulamazsa, sistem, NETLOGON paylaşımındaki Varsayılan Kullanıcı klasöründe bulunması gereken varsayılan etki alanı profilini bulmak için etki alanı denetleyicisine başvurur; sistem bu profili algılarsa, makinede yerel olarak kullanıcı adıyla% SYSTEMDRIVE% \\ Documents and Settings klasörüne kopyalanır, aksi takdirde yerel% SYSTEMDRIVE% \\ Documents and Settings \\ Default User klasöründen kopyalanır.
3. HKEY_CURRENT_USER kayıt defteri anahtarına özel bir kovan yüklenir.
4. Oturumu kapattığınızda, tüm değişiklikler yerel olarak kaydedilir.

Nihayetinde, kullanıcının çalışma ortamı, bu makinenin tüm kullanıcıları için ortak olan ayarları içeren iş profili ile Tüm Kullanıcılar profilinin birleşimidir.

Şimdi bir etki alanı için varsayılan bir profil oluşturma hakkında birkaç söz. Makinenizde sahte bir profil oluşturun, ihtiyaçlarınıza veya kurumsal politika gereksinimlerinize göre özelleştirin. Ardından, oturumu kapatın ve etki alanı yöneticisi olarak tekrar oturum açın. NETLOGON sunucu paylaşımında Varsayılan Kullanıcı klasörünü oluşturun. Ardından, Sistem uygulamasındaki Kullanıcı Profilleri sekmesini kullanarak (bkz. Şekil 3), profilinizi bu klasöre kopyalayın ve bunu Etki Alanı Kullanıcıları grubuna veya başka bir uygun güvenlik grubuna kullanma haklarını verin. İşte bu, etki alanınız için varsayılan profil oluşturuldu.

Hareketli profil

Esnek ve ölçeklenebilir bir teknoloji olan Active Directory, kurumsal ortamınızda daha sonra tartışacağımız dolaşım profilleri ile çalışmanıza olanak tanır.

Aynı zamanda, IntelliMirror teknolojisinin özelliklerinden biri olarak, hata toleransı ve kullanıcı verilerinin merkezi olarak depolanmasını sağlamak için klasör yeniden yönlendirmeden bahsetmek uygun olacaktır.

Gezici profiller sunucuda saklanır. Bunların yolu, etki alanı kullanıcı ayarlarında belirtilir (bkz. Şekil 4).

Dilerseniz, birkaç kullanıcı seçerek aynı anda birden fazla kullanıcı için dolaşım profilleri belirleyebilirsiniz ve "Profil" sekmesindeki özelliklerde kullanıcı adının bulunduğu klasör yerine% KULLANICIADI% öğesini belirtebilirsiniz (bkz. Şekil 5).

Gezici profili olan bir kullanıcı için ilk oturum açma işlemi, birkaç istisna dışında yerel bir kullanıcı için yukarıda açıklanan işlemle benzerdir.

İlk olarak, profilin yolu kullanıcı nesnesinde belirtildiğinden, sistem makinede profilin önbelleğe alınmış yerel bir kopyasını kontrol eder, ardından her şey açıklandığı gibidir.

İkinci olarak, işin tamamlanmasının ardından, tüm değişiklikler sunucuya kopyalanır ve grup ilkeleri yerel kopyayı silmeyi belirtmezse, bu makineye kaydedilir. Kullanıcı profilin yerel bir kopyasına zaten sahipse, sunucu ve yerel kopya profiller karşılaştırılır ve birleştirilir.

Sistemlerde IntelliMirror teknolojisi Windows en son sürümü, "Belgelerim", "Resimlerim" vb. gibi belirli kullanıcı klasörlerini bir ağ kaynağına yeniden yönlendirmenize olanak tanır.

Böylece, kullanıcı için yapılan tüm değişiklikler kesinlikle şeffaf olacaktır. Belgeleri bilinçli olarak bir ağ kaynağına yönlendirilecek olan "Belgelerim" klasörüne kaydederek, her şeyin sunucuya kaydedildiğinden şüphelenmeyecektir.

Yönlendirmeyi hem her kullanıcı için manuel olarak hem de grup ilkelerini kullanarak yapılandırabilirsiniz.

İlk durumda, masaüstündeki veya "Başlat" menüsündeki "Belgelerim" simgesine farenin sağ tuşuyla tıklamanız ve özellikleri seçmeniz gerekir. O zaman her şey son derece basit.

İkinci durumda, yönlendirme uygulamak istediğimiz OU'nun veya etki alanının grup politikasını açmanız ve "Kullanıcı Yapılandırması -\u003e hiyerarşisini genişletmeniz gerekir. Windows yapılandırması"(Bkz. Şek. 6). Ayrıca yeniden yönlendirme, tüm kullanıcılar için veya bu grup ilkesinin uygulanacağı belirli OU veya etki alanı güvenlik grupları için yapılandırılır.

Gezici kullanıcı profilleriyle çalışmak için klasör yeniden yönlendirmeyi kullanarak, örneğin profil yükleme süresinde bir azalma sağlayabilirsiniz. Bu, gezici profilin her zaman yerel bir kopya kullanılmadan sunucudan yüklenmesi sağlanır.

Klasör yeniden yönlendirme teknolojisi, bahsetmeden eksik kalır çevrimdışı dosyalar... Kullanıcıların ağ bağlantısı olmadan bile belgelerle çalışmasına izin verirler. İle senkronizasyon sunucu kopyaları belgeler, bilgisayarın ağa bir sonraki bağlanışında ortaya çıkar. Böyle bir organizasyon şeması, örneğin hem yerel bir ağda hem de evde çalışan dizüstü bilgisayar kullanıcıları için faydalı olacaktır.

Gezici profillerin dezavantajları şunları içerir:

• Örneğin, bazı programların kısayolları kullanıcının masaüstünde mevcut olduğunda, ancak dolaşım profilinin sahibinin çalışmak istediği başka bir makinede, bu tür programlar yüklenmediğinde, bu nedenle bazı kısayolların çalışmayacağı bir durum ortaya çıkabilir;
• birçok kullanıcı, belgeleri, fotoğrafları ve hatta videoları masaüstünde depolama alışkanlığı içindedir, sonuç olarak sunucudan her gezici profil yüklendiğinde, ek trafik çevrimiçi ve profilin kendisinin yüklenmesi çok uzun sürüyor; sorunu çözmek için, masaüstünde "çöp" tasarrufunu sınırlamak için NTFS izinlerini kullanın;
• bir kullanıcı sistemde her oturum açtığında, onun için yerel bir profil oluşturulur (daha doğrusu, profil sunucudan yerel olarak kopyalanır) ve eğer çalışan makineleri değiştirirse, bu tür "çöp" her birinde kalır; grup ilkelerini belirli bir şekilde yapılandırarak bundan kaçınılabilir ("Bilgisayar Yapılandırması -\u003e Yönetim Şablonları -\u003e Sistem -\u003e Kullanıcı Profilleri", "Gezici profillerin önbelleğe alınmış kopyalarını sil" ilkesi).

Mevcut bir kullanıcıyı etki alanına tanıtma

Zaten bir mevcut ağ çalışma grupları temelinde, bir kullanıcının çalışma ortamının ayarlarını kaybetmeden etki alanına girmesi sorusu ortaya çıkar. Bu, dolaşım profilleri kullanılarak gerçekleştirilebilir.

Sunucuda paylaşılan bir ağ kaynağında (örneğin Profiller) kullanıcı adıyla bir klasör oluşturun ve bu klasöre Everyone grubu için yazma izinleri verin. HQUser olarak adlandırılsın ve tam yolu şuna benziyor: \\\\ Sunucu \\ Profiller \\ HQUser.

Yerel ağınızdaki kullanıcıya karşılık gelecek bir etki alanı kullanıcısı oluşturun ve profil yolu olarak \\\\ Sunucu \\ Profiller \\ HQUser belirtin.

Kullanıcımızın yerel profilini içeren bilgisayarda, bir yönetici hesabıyla oturum açmanız ve Sistem uygulamasının Kullanıcı Profilleri sekmesini kullanarak bunu \\\\ Sunucu \\ Profiller \\ HQUser klasörüne kopyalamanız gerekir.

Sisteme yeni bir etki alanı hesabı altında bir sonraki giriş yaptığımızda, kullanıcımızın iş profilini sunucudan yükleyeceğini ve yöneticinin yalnızca bu profili dolaşımda bırakıp bırakmayacağına veya yerel hale getirip getirmeyeceğine karar vermesi gerekeceğini anlamak kolaydır.

Kontenjanlar

Kullanıcılar çok sık indirir gereksiz bilgi ağ sürücüleri... Kişisel klasörlerinizi gereksiz çöplerden temizlemek için sürekli isteklerden kaçınmak için (bazı nedenlerden dolayı her zaman gereklidir), kota mekanizmasını kullanabilirsiniz. Windows 2000'den beri bu yapılabilir standart araçlar NTFS birimlerinde.

Kota mekanizmasını etkinleştirmek ve yapılandırmak için yerel birimin özelliklerine gidin ve Kota sekmesini açın (bkz. Şekil 7).

Ayrıca kullanılan disk alanındaki verileri görüntüleyebilir ve kotaları her kullanıcı için ayrı ayrı yapılandırabilirsiniz (bkz. Şekil 8). Sistem, işgal edilen disk alanını nesnelerin sahibi hakkındaki verilere dayanarak hesaplayarak kendisine ait dosya ve klasörlerin miktarını toplar.

AD'deki kullanıcı grupları

Bir etki alanındaki kullanıcıları yönetmek kolaydır. Ancak, birkaç düzine (hatta yüzlerce) kullanıcı için belirli kaynaklara erişimi yapılandırmanız gerektiğinde, erişim haklarını dağıtmak çok zaman alabilir.

Ve bir ağaç veya ormandaki çeşitli alan adlarının üyelerinin haklarını ince bir şekilde sınırlandırma ihtiyacı varsa, yönetici küme teorisindeki görevlere benzer bir görevle karşı karşıyadır. Grupların kullanımı burada kurtarmaya geliyor.

Bir alanda meydana gelen grupların ana karakterizasyonu, bir rehber hizmetinin mimarisi ile ilgili önceki bir makalede verildi.

Etki alanı yerel grupları, kendi etki alanlarındaki kullanıcıları ve ormandaki diğer etki alanlarını içerebilir ancak kapsamları ait oldukları etki alanıyla sınırlıdır.

Küresel gruplar yalnızca kendi etki alanlarının kullanıcılarını içerebilir, ancak bunları hem kendi etki alanlarındaki hem de ormandaki diğer etki alanlarındaki kaynaklara erişim sağlamak için kullanmak mümkündür.

Evrensel gruplar, adlarından da anlaşılacağı gibi, herhangi bir etki alanından kullanıcıları içerebilir ve orman genelinde erişim sağlamak için de kullanılabilir. Evrensel grubun hangi etki alanında oluşturulacağı önemli değildir, dikkate alınması gereken tek şey, onu taşıdığınızda erişim haklarının kaybedileceği ve yeniden atanmaları gerekeceğidir.

Yukarıdaki ve yuvalama gruplarının temel ilkelerini anlamak için bir örnek düşünün. HQ.local ve SD.local olmak üzere iki etki alanı içeren bir ormanımız olduğunu varsayalım (hangisi bu durumda, boşver). Etki alanlarının her biri, erişim ve kullanıcı vermeniz gereken kaynakları içerir (bkz. Şekil 9).

İncir. 9, ormandaki tüm kullanıcıların Docs ve Distrib kaynaklarına (yeşil ve kırmızı çizgiler) erişimi olması gerektiğini görebilirsiniz, böylece her iki etki alanından da kullanıcıları içeren evrensel bir grup oluşturabilir ve her iki kaynağa erişim için izinleri belirlerken bunu kullanabiliriz. Alternatif olarak, her bir etki alanında, yalnızca etki alanımızın kullanıcılarını içerecek ve onları evrensel gruba dahil edecek iki küresel grup oluşturabiliriz. Bu genel gruplardan herhangi biri, hakları atamak için de kullanılabilir.

Yalnızca HQ.local etki alanındaki (mavi çizgiler) kullanıcıların Base dizine erişimi olması gerekir, bu nedenle onları yerel etki alanı grubuna dahil edeceğiz ve bu gruba erişim izni vereceğiz.

Hem HQ.local etki alanının üyeleri hem de SD.local etki alanının üyeleri ( turuncu çizgiler incirde. dokuz). Bu nedenle, Manager ve Salary kullanıcılarını HQ.local etki alanının global grubuna ekleyebilir ve ardından bu grubu BT kullanıcısı ile birlikte SD.local etki alanının yerel grubuna ekleyebiliriz. Daha sonra bu yerel grup ve Distrib kaynağına erişim izni verin.

Şimdi bu grupların yuvalanmasına daha yakından bakacağız ve başka bir grup türü - yerleşik yerel alan grupları - ele alacağız.

Tablo, hangi grupların hangilerinin iç içe yerleştirilebileceğini gösterir. Burada yatay olarak, dikey olarak yerleştirilmiş grupların iç içe geçtiği gruplar vardır. Artı, bir tür grubun diğerinin içine yerleştirilebileceği anlamına gelir, eksi - hayır.

İnternette Microsoft sertifika sınavlarına adanmış bazı kaynaklarda, böyle bir formülden bahsettiğini gördüm - AGUDLP, bu şu anlama gelir: Hesaplar, evrensel (Evrensel) gruplara yerleştirilir ve yerel olarak yerleştirilir. izinlerin uygulandığı etki alanı grupları (Etki Alanı Yerel). Bu formül yuvalama olasılığını tam olarak açıklar. Tüm bu türlerin tek bir makinenin yerel gruplarına yerleştirilebileceği de eklenmelidir (yalnızca kendi etki alanlarındaki yerel etki alanları).

Etki alanı grubu iç içe yerleştirme

Yuvalama	Yerel gruplar	Küresel gruplar	Evrensel gruplar
Hesap
Yerel gruplar	+ (yerleşik yerel gruplar hariç ve yalnızca kendi etki alanı içinde)
Küresel gruplar		+ (yalnızca kendi alanınız dahilinde)
Evrensel gruplar

Yerleşik etki alanı yerel grupları Yerleşik kapsayıcıda bulunur ve aslında makine yerel gruplarıdır, ancak yalnızca etki alanı denetleyicileri içindir. Ve Kullanıcılar kapsayıcısındaki yerel etki alanı gruplarının aksine, diğer kuruluş birimlerine taşınamazlar.

Hesap yönetim sürecini doğru bir şekilde anlamak, iyi tanımlanmış bir hesap oluşturmanıza olanak sağlar. çalışma ortamı kurumsal, yönetim esnekliği ve en önemlisi - hata toleransı ve etki alanı güvenliği sağlar. Bir sonraki makalede, özel bir ortam oluşturmak için bir araç olarak Grup İlkesinden bahsedeceğiz.

uygulama

Etki alanı kimlik doğrulama nüansları

Yerel profilleri kullanırken, bir etki alanı kullanıcısı kendi yerel profiline sahip bir iş istasyonunda oturum açmaya çalıştığında, ancak bazı nedenlerden dolayı denetleyiciye erişimi olmadığında bir durum ortaya çıkabilir. Şaşırtıcı bir şekilde, kullanıcı başarıyla doğrulanacak ve çalışmasına izin verilecek.

Bu durum, kullanıcı kimlik bilgilerinin önbelleğe alınması nedeniyle oluşur ve kayıt defterinde değişiklik yapılarak düzeltilebilir. Bunu yapmak için, HKEY_LOCAL_MACHINE \\ Software \\ Microsoft \\ Windows NT \\ Current Version \\ Winlogon klasöründe, CachedLogonCount adında bir girdi oluşturun (yoksa), veri türü REG_DWORD ve değerini sıfır olarak ayarlayın. Grup İlkesi ile benzer bir sonuç elde edebilirsiniz.

1. Emelyanov A. İnşaat ilkeleri etki Alanları Dizin, // " Sistem yöneticisi", No. 2, 2007 - S. 38-43.

Temas halinde

Windows ağ teknolojisi, ağ etki alanları oluşturmanıza olanak sağlar. Etki alanı, kullanıcı hesabı bilgilerini ve bir güvenlik ilkesini paylaşan bir grup bağlı Windows bilgisayardır. Bir etki alanı denetleyicisi yönetir kullanıcı hesap için bilgi tüm etki alanı üyeleri.

Etki alanı denetleyicisi ağ yönetimini kolaylaştırır. Etki alanı denetleyicisi, tüm etki alanı üyeleri için tek bir hesap listesi yöneterek, ağ yöneticisini etki alanı bilgisayarlarının her birindeki hesap listelerini eşitleme gerekliliğinden kurtarır. Başka bir deyişle, bir kullanıcı hesabını oluşturan veya değiştiren ağ yöneticisinin, etki alanındaki bilgisayarların her birindeki hesap listeleri yerine yalnızca etki alanı denetleyicisindeki hesap listesini güncelleştirmesi gerekir.

Bir Windows veritabanı sunucusunda oturum açmak için, başka bir Windows bilgisayarındaki bir kullanıcının aynı etki alanına veya güvenilen bir etki alanına ait olması gerekir. Güvenilen etki alanı, başka bir etki alanıyla güven ilişkisi kuran bir etki alanıdır. Bir güven ilişkisinde, kullanıcı hesapları yalnızca güvenilen etki alanında bulunur, ancak kullanıcılar güvenilen etki alanında oturum açabilir.

Bir etki alanının üyesi olan bir Windows bilgisayarında oturum açmaya çalışan bir kullanıcı, bunu yerel bir oturum açma ve profil veya bir etki alanı oturumu ve profili kullanarak yapabilir. Ancak, kullanıcı güvenilen bir kullanıcı olarak listelenmişse veya kullanıcının oturum açmaya çalıştığı bilgisayar güvenilen bir ana bilgisayar olarak listeleniyorsa, kullanıcıya profil olmadan oturum açma erişimi verilebilir.

Bir kullanıcı tanımlayıcısı belirtirseniz ancak hem etki alanı adı hem de kullanıcı adı (etki alanı \\ kullanıcı) bekleyen bir makineye bağlantı için etki alanı adı belirtmezseniz, IBM Informix, kullanıcı hesabı için yalnızca yerel makineyi ve birincil etki alanını kontrol eder. Açıkça bir etki alanı adı belirtirseniz, bu etki alanı kullanıcı hesabını aramak için kullanılır. Denenen bağlantı başarısız hatalı Yerel makinede eşleşen etki alanı \\ kullanıcı hesabı bulunmazsa -951.

Informix'in ağa bağlı bir Windows ortamında kullanıcı adlarını nasıl arayacağını yapılandırmak için CHECKALLDOMAINSFORUSER yapılandırma parametresini kullanın. Aşağıdaki tablo, Informix'in tek başına veya CHECKALLDOMAINSFORUSER 0 veya 1 olarak ayarlanmış bir alan adı ile belirtilen kullanıcı adlarını aradığı konumları listeler.

Tablo 1. CHECKALLDOMAINSFORUSER yapılandırma parametresi (Windows)

	Etki alanı \\ kullanıcı belirtildi	Yalnızca kullanıcı adı belirtildi
CHECKALLDOMAINSFORUSER \u003d 0		Informix, kullanıcı adını yalnızca yerel ana bilgisayarda arar.
CHECKALLDOMAINSFORUSER \u003d 1	Informix, kullanıcı adını yalnızca belirtilen etki alanında arar.	Informix, tüm etki alanlarında kullanıcı adını arar.

CHECKALLDOMAINSFORUSER'ın onconfig dosyasından çıkarılması CHECKALLDOMAINSFORUSER'ın 0'a ayarlanmasıyla aynıdır. CHECKALLDOMAINSFORUSER'ın ayarlanması hakkında daha fazla bilgi için IBM Informix Administrator Referansına bakın.

Etki alanları hakkında daha fazla bilgi için Windows'unuza danışın işletim sistemi kılavuzlar.

Önemli: IBM Informix güvenilir istemci mekanizması, Windows etki alanları arasında kurabileceğiniz güven ilişkisi ile ilgisizdir. Bu nedenle, bir istemci güvenilen bir Windows etki alanından bağlansa bile, kullanıcının veritabanı sunucusunun çalıştığı etki alanında bir hesabı olması gerekir. Veritabanı sunucusunun istemcilerin kimliğini nasıl doğruladığı hakkında daha fazla bilgi için bkz.

Kullanıcı hesapları

İÇİNDE Windows Server 2003 iki tür kullanıcı hesabı tanımlar:

Etki alanı kimlik bilgileri kayıtları ( alan adıkullanıcı hesapları) active Directory'de tanımlanmıştır. Tek oturum açma şifre sistemi aracılığıyla, bu hesaplar tüm etki alanındaki kaynaklara erişebilir. Active Directory Kullanıcıları ve Bilgisayarları konsolunda oluşturulurlar.

Yerel hesaplar (yerel kullanıcıhesapları) yerel bilgisayarda tanımlıdır, yalnızca kaynaklarına erişimi vardır ve ağ kaynaklarına erişmeden önce kimlik doğrulaması yapılmalıdır. Yerel kullanıcı hesapları, Yerel Kullanıcılar ve Gruplar ek bileşeninde oluşturulur.

Yerel kullanıcı ve grup hesapları yalnızca üye sunucularda ve iş istasyonlarında saklanır. İlk etki alanı denetleyicisinde, Active Directory'ye taşınır ve etki alanı hesaplarına dönüştürülür.

Oturum açma adları, parolalar ve açık sertifikalar

Tüm kullanıcı hesapları, oturum açma adlarıyla tanınır. Windows Server 2003'te iki bölümü vardır:

kullanıcı adı - metin hesabı adı;

alan adı veya çalışma Grubu ,içindehangi hesabın bulunduğu.

Kullanıcı için westanechesabı microsoft.com etki alanında oluşturulmuşsa, WindowsServer 2003 tam oturum açma adı şöyle görünür - bizstanec@ microsoft.com. Active Directory ile çalışırken, tam nitelikli alan adı (tamamen niteliklialan adıisim, FQDN) kapsayıcı (veya OP) ve grup adlarıyla birlikte DNS etki alanı adından oluşan kullanıcı. Microsoft.co kullanıcısı m \\ Kullanıcılar \\ westanec, microsoft.com - DNS etki alanı adı, Kullanıcılar - kapsayıcı adı, a westanec - Kullanıcı adı.

Kullanıcı hesabı bir şifre ile eşleştirilebilir ve resmi sertifika (genel sertifika). Bir genel sertifika, bir kullanıcıyı tanımlamak için genel ve özel bir anahtarı birleştirir. Sisteme şifre ile giriş interaktiftir. Genel bir sertifika ile oturum açmak bir akıllı kart ve okuyucu kullanır.

Güvenlik Kimlikleri ve Kullanıcı Hesapları

Kullanıcı adları Windows Server 2003'te ayrıcalıklar ve izinler atamak için kullanılsa da, anahtar hesap tanımlayıcısı ne zaman oluşturulur? ebenzersiz bir güvenlik tanımlayıcısı (SID) oluşturmak. Bir etki alanı SID'sinden ve ilgili kimlik yöneticisi tarafından tahsis edilmiş benzersiz bir göreli kimlikten oluşur.

Windows Server 2003, SID'yi kullanarak, kullanıcı adlarından bağımsız olarak hesapları izleyebilir. SID'ler ile, aynı ada sahip bir hesap oluşturarak, birisinin kaynaklara erişmesi konusunda endişelenmeden kullanıcı adlarını değiştirebilir ve hesapları silebilirsiniz.

Bir kullanıcı adı değiştiğinde, Windows Server 2003 eski SID'yi yeni adla eşler. Bir hesabı sildiğinizde, Windows Server 2003 belirli SID'nin daha büyük olduğunu düşünür geçerli değil.Daha sonra aynı adla bir hesap oluşturursanız, farklı bir SID'ye sahip olduğu için önceki hesabın ayrıcalıklarını almayacaktır.

Grup hesapları

Windows Server 2003, kullanıcı hesaplarına ek olarak, benzer türdeki kullanıcılara otomatik olarak izinler vermek ve hesap yönetimini basitleştirmek için gruplar kullanır. Bir kullanıcı, bir kaynağa erişme hakkına sahip bir grubun üyesiyse, o kaynağa da başvurabilir. Bir kullanıcıya gerekli kaynaklara erişim sağlamak için, onu uygun gruba dahil etmeniz yeterlidir. Farklı Active Directory etki alanları aynı ada sahip gruplara sahip olabileceğinden, gruplar genellikle tam adlarıyla anılır - etki alanı \\ grup_adı , örneğin WORK \\ GMarketing, WORK etki alanındaki GMarketing grubuna karşılık gelir. Active Directory ile çalışırken, bir grubun bazen DNS etki alanı adı, kapsayıcı veya OP adı ve grup adından oluşan tam nitelikli adıyla adreslenmesi gerekir. Grup adında microsoft.com \\ Bizeers \\ GMarkcting, microsoft.com DNS etki alanı adıdır, Kullanıcılar kapsayıcı veya OP'dir ve GMarketing grup adıdır.

Pazarlama çalışanlarının pazarlamayla ilgili tüm kaynaklara erişme ihtiyacı duyması muhtemeldir. Onlara erişimi ayrı ayrı açmak yerine, kullanıcıları bir grupta birleştirmeye değer. Kullanıcı daha sonra başka bir departmana geçerse, onu gruptan çıkarmak yeterli olacak ve tüm erişim izinleri iptal edilecektir.

Grup türleri

İÇİNDE Windows Server 2003 üç tür grup kullanır:

Yerel gruplar yalnızca yerel bilgisayarda tanımlanır ve kullanılır, Yerel Kullanıcılar ve Gruplar ek bileşeninde oluşturulur;

Güvenlik grupları, güvenlik tanımlayıcılarını barındırır ve etki alanları arasında Active Directory Kullanıcıları ve Bilgisayarları (Active Directory Kullanıcıları ve Bilgisayarları) aracılığıyla tanımlanır. Rehber Kullanıcılarve Bilgisayarlar);

Dağıtım grupları (dağıtım grupları) posta listeleri olarak kullanılır e-posta, güvenlik tanımlayıcıları yoktur ve etki alanlarında Active Directory Kullanıcıları ve Bilgisayarları (Active Directory Kullanıcıları ve Bilgisayarları) aracılığıyla tanımlanırlar.Rehber Kullanıcılarve Bilgisayarlar).

Grup kapsamı

Grupların farklı kapsamları olabilir - yerel alan (alan adıyerel), yerleşik yerel (inşa edilmiş- içindeyerel), küresel (küresel) ve evrensel (evrensel). Ağın hangi kısmının geçerli olduğuna bağlıdır.

Etki alanı yerel grupları aynı etki alanında izinler verir Etki alanı yerel grupları yalnızca hesapları (hem kullanıcılar hem de bilgisayarlar) ve tanımlandıkları etki alanından grupları içerir.

Yerleşik yerel grupların özel izinleri vardır: yerel alan... Basit olması için, genellikle etki alanı yerel grupları olarak adlandırılırlar, ancak normal grupların aksine, yerleşik yerel gruplar oluşturulamaz veya silinemez - yalnızca kompozisyonlarını değiştirebilirsiniz. Tipik olarak, etki alanı yerel grupları hakkında konuşurken, aksi belirtilmedikçe, normal ve yerleşik yerel gruplar anlamına gelir.

Genel gruplar, bir ağaç veya ormandaki herhangi bir etki alanındaki nesnelere izinler atamak için kullanılır. Genel grup, yalnızca tanımlandıkları etki alanındaki hesapları ve grupları içerir.

Evrensel gruplar, bir ağaç veya ormandaki izinleri denetler; etki alanı ağacındaki veya ormanındaki herhangi bir etki alanından hesap ve grupları içerir. Evrensel gruplar yalnızca yerel modda Active Directory'de kullanılabilirpencereler 2000 veya modunda pencereler Sunucu 2003.

Evrensel gruplar, birden çok etki alanına sahip büyük kuruluşlarda çok kullanışlıdır. Herhangi bir değişikliğin ağaçtaki veya ormandaki tüm genel kataloglara (GC'ler) kopyalanması gerektiğinden, evrensel grupların bileşimi sık sık değişmemelidir.

Güvenlik kimlikleri ve grup hesapları

İÇİNDE Kullanıcı hesapları gibi Windows Server 2003 grup hesapları, benzersiz tanımlayıcılar güvenlik (SID). Bu, bir grup hesabını silip ardından aynı izinlere ve ayrıcalıklara sahip olması için aynı ada sahip bir grup oluşturamayacağınız anlamına gelir. Yeni grup yeni bir SID'ye sahip olacak ve eski grubun tüm izinleri ve ayrıcalıkları kaybedilecek.

Windows Server 2003'teki her kullanıcı oturumu için, kullanıcının ait olduğu tüm güvenlik gruplarının kullanıcı hesap kimliğini ve SID'lerini içeren bir güvenlik belirteci oluşturur. Kullanıcı yeni güvenlik gruplarına eklendikçe belirteç boyutu büyür. Bu, aşağıdaki sonuçlara yol açar:

Bir kullanıcının oturum açması için, oturum açma işlemine bir güvenlik belirteci geçirilmelidir. Bu nedenle, kullanıcının güvenlik grubu üyeliği arttıkça, oturum açma işlemi daha uzun sürer;

Erişim izinlerini bulmak için, kullanıcının eriştiği her bilgisayara bir güvenlik belirteci gönderilir. Bu nedenle, güvenlik belirteci ne kadar büyükse, ağ trafiği o kadar yüksek olur.

Etki alanı yerel, küresel ve evrensel gruplar ne zaman kullanılır?

Etki alanı yerel, küresel ve evrensel gruplar, kuruluş genelinde grupları yapılandırmak için birçok seçenek içerir. İdeal olarak, kullanıcı gruplarının organizasyon yapısı ve sorumluluklarına benzer hiyerarşiler oluşturmak için grup kapsamlarını kullanmalısınız.

Etki alanı yerel grupları en küçük etki alanına sahiptir ve yazıcılar ve paylaşılan klasörler gibi kaynaklara erişimi kontrol etmek için çok uygundur.

Küresel gruplar ayrı bir etki alanında kullanıcı ve bilgisayar hesaplarını yönetmek için idealdir.

Evrensel gruplar en geniş etki alanına sahip. Birden çok alanda tanımlanan grupları merkezileştirmek için kullanılırlar. Tipik olarak bu, evrensel bir gruba genel bir grup eklenerek yapılır. Daha sonra, küresel grupların bileşimi değiştiğinde, evrensel grupların bileşimi resmi olarak değişmediğinden değişiklikler tüm GC'lere kopyalanmayacaktır.

Kuruluşunuzun yalnızca bir alanı varsa, evrensel gruplara ihtiyacınız yoktur; yapının yerel ve küresel etki alanı grupları üzerinde kullanılması önerilir.

Standart kullanıcı ve grup hesapları

Ne zaman windows kurulumu Server 2003, standart kullanıcı ve grup hesapları oluşturur. Ağın geliştirilmesi için gerekli olan ilk kurulum için tasarlanmıştır. Üç tür standart hesap vardır:

yerleşik kullanıcı ve grup hesapları işletim sistemi, uygulamalar ve hizmetlerle birlikte kurulur;

önceden tanımlanmış kullanıcı ve grup hesapları işletim sistemi ile kurulur;

örtük - ağ kaynaklarına erişirken örtük olarak oluşturulan özel gruplar; onlar da denir özel tesisler (özel kimlikler).

İşletim sistemi tarafından oluşturulan kullanıcıları ve grupları silemezsiniz.

Yerleşik hesaplar

Windows Server 2003'teki yerleşik kullanıcı hesaplarının belirli amaçları vardır. Tüm Windows Server 2003 sistemlerinde üç yerleşik hesap bulunur.

Yerel Sistem - yürütmek için sözde kayıt sistem süreçleri ve sistem düzeyindeki görevleri işleme, yalnızca yerel sistem... Bu girişin hizmet olarak oturum açma hakkı vardır. Hizmetlerin çoğu yerel bir sistem hesabı altında çalışır ve masaüstü ile etkileşim kurma hakkına sahiptir.

Ek ayrıcalıklar veya oturum açma hakları gerektiren hizmetler hesaplar altında çalıştırılırYerel Hizmetveya Ağ Hizmet.

Yerel Hizmet -Yerel sistemde ek ayrıcalıklara veya oturum açma haklarına ihtiyaç duyan hizmetleri başlatmak için sahte bir hesap. Bu hesap altında çalışan hizmetler, varsayılan olarak, bir hizmet olarak oturum açma, sistem saatini değiştirme ve güvenlik günlükleri oluşturma haklarına ve ayrıcalıklarına sahiptir. Yerel Hizmet hesabı altında çalışan hizmetler arasında Uyarıcı, Messenger, Uzak Kayıt, Akıllı Kart, Akıllı Kart Yardımcısı, Hizmet bulunur SSDP Keşif Hizmeti, TCP / IP NetBIOS Yardımcısı, Kesintisiz Güç Kaynağı ve WebClient.

Ağ Hizmet - yerel sistemde ve ağda ek ayrıcalıklar veya oturum açma hakları gerektiren hizmetler için sahte bir hesap. Bu hesap altında çalışan hizmetler, hizmet olarak oturum açma, sistem saatini değiştirme ve güvenlik günlükleri oluşturma haklarına sahiptir. Network Service hesabı altında, Distributed Transaction Coordinator gibi hizmetler (DağıtılmışİşlemKoordinatör), DNSmüşteri ( DNSMüşteri), Performans Günlükleri ve Uyarıları ve Konum Belirleyici uzaktan arama prosedürler (UzakProsedürAramak Bulucu). Sunucuya eklentiler veya başka uygulamalar yüklerken, diğer varsayılan hesapları kurmasına izin verilir. Bunları genellikle daha sonra silebilirsiniz. Yüklemeden sonra IIS (İnternet BilgiHizmetler), yeni hesaplar görünür: ilki, IIS'ye anonim erişim için yerleşik bir hesaptır ve ikincisi, IIS tarafından uygulama işlemlerini çalıştırmak için kullanılır. Bu hesaplar, bir etki alanında yapılandırıldıklarında Active Directory'de ve bağımsız bir sunucu veya iş istasyonunda yapılandırıldıklarında yerel hesaplar olarak tanımlanır. Başka bir yerleşik hesap TSInternetUser - Terminal Hizmetleri tarafından gereklidir.

Önceden tanımlanmış kullanıcı hesapları

Birlikte Windows Server 2003 bazı girişleri yükler: Yönetici (Yönetici), Bir konuk ( Misafir), ASPNETve Destek... Üye sunucularda, önceden tanımlanmış hesaplar, yüklendikleri sisteme yereldir. Önceden tanımlanmış hesaplar, Active Directory'de, etki alanı çapında erişime sahip ve ayrı sistemlerdeki yerel hesaplardan tamamen bağımsız analoglara sahiptir.

Yönetici hesabı

Bu önceden tanımlanmış hesabın tam erişim dosyalara, klasörlere, hizmetlere ve diğer kaynaklara; devre dışı bırakılamaz veya silinemez. Active Directory'de, etki alanı çapında erişim ve ayrıcalıklara sahiptir. Aksi takdirde, Yönetici genellikle yalnızca yerel sisteme erişebilir. Dosyalar ve klasörler yönetici tarafından geçici olarak kapatılabilir, ancak herhangi bir zamanda erişim izinlerini değiştirerek herhangi bir kaynak üzerinde kontrolü yeniden kazanma hakkına sahiptir.

Sisteme veya etki alanına yetkisiz erişimi önlemek için, yönetim kaydının güçlü şifre... Ayrıca, herkes bu giriş için varsayılan adı bilir, bu nedenle yeniden adlandırmanız önerilir.

Genellikle, Yönetici hesabının temel parametrelerini değiştirmeniz gerekmez, ancak bazen bunları değiştirmeniz gerekir. ekstra seçeneklerbazı gruplardaki üyeliği gibi. Varsayılan olarak, bir etki alanı yöneticisi Yöneticiler, Etki Alanı Yöneticileri, Etki Alanı Kullanıcıları, Kurumsal Yöneticiler, Şema Yöneticileri ve Grup İlkesi Oluşturucu Sahiplerine (Grup PolitikaYaratıcıSahipler).

ASPNET hesabı

ASPNET hesabı kullanılır NET Çerçevesi ve ASP.NET çalışan işlemlerini çalıştırmak için tasarlanmıştır. Etki Alanı Kullanıcıları grubunun bir üyesidir ve bu nedenle şu ayrıcalıklara sahiptir: sıradan kullanıcılar etki alanında.

Ziyaretçi hesabı

Bu hesap, bilgisayara veya ağ kaynaklarına bir kerelik veya seyrek erişime ihtiyaç duyan kullanıcılar için tasarlanmıştır. Konuk hesabının çok sınırlı sistem ayrıcalıkları vardır, ancak güvenliği tehlikeye atabileceği için dikkatli kullanılmalıdır. Bu nedenle, Konuk girişi, Windows Server 2003 yüklenirken başlangıçta devre dışı bırakılır.

Konuk hesabı varsayılan olarak Etki Alanı Konukları ve Misafirler gruplarının bir üyesidir. Tüm konuk hesaplarının, genellikle dosyalara ve klasörlere varsayılan olarak erişime sahip olan ve standart bir kullanıcı hakları kümesine sahip olan örtük Everyone grubunun üyeleri olduğunu unutmamak önemlidir.

Destek hesabı

Destek hesabı, yerleşik Yardım ve Destek hizmeti (Yardım veDestek). HelpServicesGroup ve Etki Alanı Kullanıcılarının bir üyesidir ve toplu iş olarak oturum açma hakkına sahiptir. Bu, Destek hesabının sistem güncellemeleriyle ilgili toplu işleri çalıştırmasına olanak tanır.

Yerleşik ve önceden tanımlanmış gruplar

Yerleşik gruplar tümüyle kurulur windows sistemleri Sunucu 2003. Bir kullanıcıya yerleşik bir grubun ayrıcalıklarını ve izinlerini vermek için, onu gruba dahil etmeniz yeterlidir.

Örneğin, bir kullanıcıya sisteme yönetici erişimi vermek için, yerel Yöneticiler grubuna dahil edilmelidir. Bir kullanıcıya bir etki alanına yönetici erişimi vermek için, yerel etki alanı grubu Yöneticilerine dahil edilmelidir (Yöneticiler) içinde AktifRehber.

Örtülü gruplar ve özel tanımlayıcılar

İÇİNDE Windows NT örtük grupları, kullanıcının ağ kaynağına nasıl eriştiğine bağlı olarak oturum açma sırasında otomatik olarak atandı. Bu nedenle, etkileşimli bir oturum açma aracılığıyla erişmişse, otomatik olarak Interactive grubunun (Etkileşimli).

İÇİNDE pencereler 2000 ve pencerelerSunucu2003 dizin yapısına yönelik nesne tabanlı yaklaşım, örtük gruplar için orijinal kuralları değiştirdi. Örtülü sistem gruplarının yapısını hala göremiyor olsanız da, kullanıcıları, grupları ve bilgisayarları dahil edebilirsiniz.

Özel bir yerleşik grubun bileşimi, örtük olarak, örneğin oturum açma sırasında veya erişim izinleri aracılığıyla açıkça yapılandırılabilir. Diğer standart gruplarda olduğu gibi, örtük grupların kullanılabilirliği ağ yapılandırmanıza bağlıdır.

Hesap yetenekleri

Bir kullanıcıya belirli haklar atamak için, onu gruplara eklemek ve onu mahrum bırakmak yeterlidir - onu ilgili gruplardan çıkarın.

İÇİNDE Aşağıdaki haklar türleri bir Windows Server 2003 hesabına atanabilir.

Ayrıcalık sistemi kapatmak gibi belirli bir yönetim görevini gerçekleştirmenize olanak sağlar. Ayrıcalıklar hem kullanıcılara hem de gruplara atanabilir.

Giriş hakları (oturum açma hakları) örneğin yerel olarak sistemde oturum açma yeteneğini belirleyin. Oturum açma hakları hem kullanıcılara hem de gruplara atanabilir.

Yerleşik yetenekler gruplar için tasarlanmıştır. Önceden belirlenmiş ve değişmezler, ancak caizdirler yönetme izni olan kullanıcılara delege nesneler, OP veya diğer kaplar. Örneğin, kullanıcı hesaplarını oluşturma, silme ve yönetme yeteneği yöneticilere ve hesap operatörlerine verilmiştir. Başka bir deyişle, Yöneticiler grubuna dahil olan bir kullanıcı, kullanıcı hesaplarını oluşturma ve silme hakkına sahiptir.

İzinler giriş (erişim izinleri) ağ kaynakları üzerinde hangi eylemlerin gerçekleştirilebileceğini belirleyin, örneğin, bir klasörde bir dosya oluşturun. Kullanıcılara, bilgisayarlara ve gruplara erişim izinleri atayabilirsiniz.

Bir grubun yerleşik yeteneklerini değiştiremezsiniz, ancak varsayılan haklarını değiştirebilirsiniz. Örneğin, bir yönetici, grubun bu bilgisayara ağ üzerinden erişim hakkını kaldırarak bir bilgisayara ağ erişimini iptal edebilir.

Standart grup hesapları

Standart grupların temel özelliği esnekliktir. Kullanıcıları doğru gruplara atarsanız, ekipleri yönetirseniz veya windows etki alanları Server 2003 çok daha kolay olacak. Bununla birlikte, bu kadar çeşitli gruplarda, her birinin amacını anlamak kolay değildir. Yöneticiler ve örtük gruplar tarafından kullanılan gruplara daha yakından bakalım.

İdari gruplar

Yöneticinin ağ kaynaklarına geniş erişimi vardır. Yöneticiler hesap oluşturabilir, kullanıcı haklarını değiştirebilir, yazıcıları yükleyebilir, paylaşımları yönetebilir ve daha fazlasını yapabilir. Ana yönetici grupları Yöneticiler, Etki Alanı Yöneticileri ve Kurumsal Yöneticilerdir.

Yöneticiler) - yerel grupkonumuna bağlı olarak, tam yönetim erişimi sağlar ayrı bir bilgisayar veya belirli bir alan. Birini yönetici olarak atamak için yerel bilgisayar veya alan adı, sadece bu gruba ekleyin. Yalnızca Yöneticiler grubunun üyeleri bu hesabı değiştirebilir.

Domain Admins global grubu etki alanındaki tüm bilgisayarların yönetilmesine yardımcı olmak için tasarlanmıştır. Bu grup, varsayılan olarak Yöneticiler grubunun bir üyesi olduğundan, etki alanındaki tüm bilgisayarlar üzerinde yönetici denetime sahiptir.

Enterprise Admins global grubu bir ağaçtaki veya ormandaki tüm bilgisayarları yönetmenize olanak sağlar. Varsayılan olarak Yöneticiler grubuna dahil olduğundan, kuruluştaki tüm bilgisayarlar üzerinde yönetici denetimi vardır.

Örtük gruplar

İÇİNDE Windows Server 2003, belirli durumlarda izinler atamanıza izin veren birkaç yerleşik sistem grubuna sahiptir. Bu tür gruplar için izinler genellikle dolaylı olarak tanımlanır, ancak Active Directory nesnelerini değiştirirken bunları kendiniz atayabilirsiniz.

Kendisi - nesnenin kendisini içerir ve kendisini değiştirmesine izin verir.

Anonim Oturum Açma - sisteme erişim sağlayan kullanıcılar anonim giriş... Kurumsal sunuculardaki Web sayfaları gibi kaynaklara anonim erişim için kullanılır.

Herşey ( Herkes) - Tüm çevrimiçi, ağa bağlı, çevirmeli ve doğrulanmış kullanıcılar. Bu grup, sistem kaynaklarına geniş erişim sağlar.

Oluşturan grup (Oluşturan Grup) - grup, dosyanın veya klasörün yaratıcısı olarak aynı grupların üyeleri olan kullanıcılara otomatik olarak erişim izinleri vermek için kullanılır.

Etkileşimli - yerel olarak kaydolan kullanıcılar. Kaynağa erişime izin verir sadece yerel kullanıcılar.

Kontrolörler alan adı işletmeler (Kurumsal Etki Alanı Denetleyicileri) - kuruluş genelinde rol ve sorumluluklara sahip etki alanı denetleyicileri. Bu gruba dahil edilmesi, denetleyicilerin geçişli güven kullanarak belirli görevleri gerçekleştirmesine olanak tanır.

Kısıtlı - sınırlı erişime sahip kullanıcılar ve bilgisayarlar. Bir üye sunucuda veya iş istasyonunda bu grup, Kullanıcılar grubundan bir yerel kullanıcı içerir.

Toplu dosyalar - Sisteme toplu iş olarak (veya toplu iş kuyruğu aracılığıyla) erişen kullanıcılar veya işlemler.

Terminal Sunucusu Kullanıcısı - Sisteme Terminal Hizmetleri aracılığıyla erişen kullanıcılar. Terminal sunucusu kullanıcılarının sunucu uygulamalarına erişmesine ve diğer görevleri gerçekleştirmesine izin verir.

Vekil - bir proxy sunucu aracılığıyla kaynaklara erişen kullanıcılar ve bilgisayarlar (ağda proxy sunucular varken kullanılır).

Kimliği Doğrulanmış Kullanıcılar - sisteme giriş işlemi aracılığıyla erişen kullanıcılar. Erişimi düzenlemek için kullanılır paylaşılan kaynaklar ve kuruluştaki herkesin kullanımına açık olması gereken bir paylaşılan klasördeki dosyalar gibi bir etki alanı.

Ağ ( Ağ) - sisteme ağ üzerinden erişen kullanıcılar. Kaynağa erişime izin verir sadece uzak kullanıcılar.

Sistem ( Sistem) - işletim sisteminin kendisi Windows Server 2003. İşletim sisteminin sistem düzeyinde bir işlev gerçekleştirmesi gerektiğinde kullanılır.

Hizmet ( Hizmet) - sisteme erişen hizmetler. Çalışan işlemlere erişim sağlar windows hizmetleri Sunucu 2003.

Oluşturan Sahibi - yaratan kullanıcı bu dosya veya klasör. Bir dosya veya klasörün oluşturucusuna otomatik olarak izinler vermek için kullanılır.

Uzak Giriş ( Çevirmek) - sisteme çevirmeli bağlantı aracılığıyla erişen kullanıcılar.

Kullanıcı hesaplarını kullanmak, birden çok kişinin aynı bilgisayarda çalışmasını kolaylaştırır. Her kullanıcı, masaüstü arka planı ve ekran koruyucu gibi kendi seçeneklerine sahip ayrı bir hesaba sahip olabilir. Hesaplar, kullanıcıların hangi dosya ve klasörlere erişebileceğini ve bilgisayarlarında hangi değişiklikleri yapabileceklerini belirler. Çoğu kullanıcı normal hesaplar kullanır.

Etki alanları, çalışma grupları ve ev grupları, bir ağdaki bilgisayarları düzenlemenin farklı yöntemlerini temsil eder. Temel farkları, bilgisayarların ve diğer kaynakların nasıl yönetildiğidir.

Ağdaki Windows bilgisayarlar, çalışma Grubu veya alan adı. Windows bilgisayarlar ev ağı ayrıca parçası olabilir ev grubu, ancak bu isteğe bağlıdır.

Ev ağlarındaki bilgisayarlar genellikle çalışma gruplarının ve muhtemelen ev gruplarının bir parçasıdır, iş istasyonlarındaki ağlardaki bilgisayarlar ise etki alanlarının parçasıdır. Atmanız gereken adımlar, bilgisayarın bir etki alanının veya çalışma grubunun üyesi olmasına bağlı olarak değişir.

Çalışma grubunda:

· Tüm bilgisayarlar ağdaki eşlerdir; hiçbir bilgisayar diğerini kontrol edemez.

· Her bilgisayarın birden fazla kullanıcı hesabı vardır. Bir çalışma grubuna ait herhangi bir bilgisayarda oturum açmak için, o bilgisayarda bir hesabınızın olması gerekir.

· Bir çalışma grubu genellikle yirmiden fazla bilgisayara sahip değildir.

· Çalışma grubu parola korumalı değildir.

· Tüm bilgisayarlar aynı yerel ağda veya alt ağda olmalıdır.

Ev grubunda:

· Ev ağındaki bilgisayarlar bir çalışma grubuna ait olmalıdır, ancak bir ev grubuna da ait olabilirler. Bir ev grubu, resim, müzik, video, belge ve yazıcıları başkalarıyla paylaşmayı kolaylaştırır.

· Ev grubu şifre korumalıdır, ancak ev grubuna bir bilgisayar eklediğinizde yalnızca bir kez girilir.

Etki alanında:

· Bir veya daha fazla bilgisayar sunucudur. Ağ yöneticileri, etki alanındaki tüm bilgisayarların güvenliğini ve izinlerini denetlemek için sunucuları kullanır. Bu, tüm bilgisayarlar için otomatik olarak değişiklikler yapıldığından ayarların değiştirilmesini kolaylaştırır. Etki alanı kullanıcıları, etki alanına her eriştiklerinde bir parola veya başka kimlik bilgileri sağlamalıdır.

· Kullanıcının etki alanında bir hesabı varsa, herhangi bir bilgisayarda oturum açabilir. Bu, bilgisayarın kendisinde bir hesap gerektirmez.

· Ağ yöneticileri bilgisayar ayarlarının tutarlı olduğundan emin olmak istedikleri için bilgisayar ayarlarını değiştirme hakları sınırlı olabilir.

· Bir etki alanında binlerce bilgisayar olabilir.

· Bilgisayarlar farklı yerel ağlara ait olabilir.