Все новые пользователи домена становятся членами группы Domain Users (Пользователи домена); это их основная груп­па. Вы можете указывать членство в дополнительных группах через параметр -Memberof (к нему нужно добавить DN груп­пы). Если DN группы содержит пробелы, оно должно быть заключено в кавычки, например:

• dsadd user "CN=u1,0U=Sales,DC=site1,DC=com" -memberof "CN=Backup Operators,CN=Builtin,DC=cpandl,DC=com" "CN=DHCP Administrators,CN=Builtin,DC=site1,DC=com"

Здесь создается учетная запись пользователя, а затем до­бавляется в группы Backup Operators и DHCP Administrators. Это двухэтапный процесс: сначала создается учетная запись, а затем конфигурируется ее участие в группах. Если происхо­дит ошибка при включении в группы, DSADD USER сообщит, что объект создан, но после его создания возникла ошибка. Проверьте синтаксис задания DN группы, потом воспользуй­тесь командой DSMOD USER для правильной настройки членства пользователя в группах.

Из соображений безопасности при создании учетной запи­си пользователя вам также могут понадобиться следующие параметры.

• -Mustchpwd {yes | no} - по умолчанию пользователю не надо менять свой пароль при первом входе, т. е. подразуме­вается параметр -mustchpwd по. Если вы укажете -mustchpwd yes, пользователю придется сменить свой па­роль при первом входе.
• -Canchpwd {yes | по} - по умолчанию пользователь может сменить свой пароль, т. е. подразумевается параметр -canchpwd yes. При -canchpwd по пользователь не сможет сменить свой пароль.
• -Pwdneverexpires {yes | по} - по умолчанию предполага­ется -pwdneverexpires по, и пароль пользователя устаре­вает в соответствии с настройками политик групп. Если же вы установите -pwdneverexpires yes, пароль для этой учет­ной записи никогда не устареет.
• -Disabled {yes | по} - по умолчанию, как только вы созда­ете учетную запись с паролем, она становится доступна для использования (подразумевается значение -disabled по). Если вы укажете -disabled yes, учетная запись отключает­ся. Это временно запретит использование данной учетной записи.

Рассмотрим несколько примеров, чтобы лучше понять ко­манду DSADD USER.

Создание учетной записи для user1 в контейнере Users домена sit1.com и обязательная смена пароля при первом входе в систему:

• dsadd user "CN=Scott L. Bishop,CN=Users,DC=site1,DC=com" -fn Scott -mi L -In Bishop -samid "scottb" -display "user1" -pwd acornTree -mustchpwd yes

Создание локальных учетных записей пользователей

Локальные учетные записи пользователей создаются на инди­видуальных компьютерах. Если вы хотите создать локальную учетную запись на конкретном компьютере, вы должны под­ключиться локально или удаленно для получения доступа к

локальной командной строке. Войдя в нужную систему, вы можете создать необходимую учетную запись командой NET USER. Иногда политики локальных компьютеров позволяют создать учетную запись просто по ее имени и с параметром /Add, например:

net user user1 /add

Сейчас вы создали локальную учетную запись с именем user1 и пустым паролем. Хотя пустые пароли допустимы, они создают риск для безопасности компьютера и, возможно, сети. Поэтому, советую указывать имя пользователя и пароль для новых локальных учетных записей. Пароль должен следо­вать за именем учетной записи.

Windows network technology enables you to create network domains . A domain is a group of connected Windows computers that share user account information and a security policy. A domain controller manages the user account information for all domain members.

The domain controller facilitates network administration. By managing one account list for all domain members, the domain controller relieves the network administrator of the requirement to synchronize the account lists on each of the domain computers. In other words, the network administrator who creates or changes a user account must update only the account list on the domain controller rather than the account lists on each of the computers in the domain.

To log-in to a Windows database server, a user on another Windows computer must belong to either the same domain or a trusted domain . A trusted domain is one that has established a trust relationship with another domain. In a trust relationship, user accounts are located only in the trusted domain, but users can log on to the trusted domain.

A user who attempts to log-in to a Windows computer that is a member of a domain can do so either by using a local login and profile or a domain login and profile. However, if the user is listed as a trusted user or the computer from which the user attempts to log-in is listed as a trusted host, the user can be granted login access without a profile.

If you specify a user identifier but no domain name for a connection to a machine that expects both a domain name and a user name (domain\user), IBM Informix checks only the local machine and the primary domain for the user account. If you explicitly specify a domain name, that domain is used to search for the user account. The attempted connection fails with error -951 if no matching domain\user account is found on the local machine.

Use the CHECKALLDOMAINSFORUSER configuration parameter to configure how Informix searches for user names in a networked Windows environment. The following table lists the locations Informix searches for user names specified either alone or with a domain name with CHECKALLDOMAINSFORUSER set to 0 or 1.

Table 1. The CHECKALLDOMAINSFORUSER configuration parameter (Windows)

	Domain\user specified	User name only specified
CHECKALLDOMAINSFORUSER=0		Informix searches for the user name on the local host only.
CHECKALLDOMAINSFORUSER=1	Informix searches for the user name only in the specified domain.	Informix searches for the user name in all domains.

Omitting CHECKALLDOMAINSFORUSER from the onconfig file is the same as setting CHECKALLDOMAINSFORUSER to 0. See the IBM Informix Administrator"s Reference for more information about setting CHECKALLDOMAINSFORUSER.

For more information about domains, consult your Windows operating system manuals.

Important: The IBM Informix trusted client mechanism is unrelated to the trust relationship that you can establish between Windows domains. Therefore, even if a client connects from a trusted Windows domain, the user must have an account in the domain on which the database server is running. For more information about how the database server authenticates clients, see

Учетные записи пользователей

В Windows Server 2003 определены пользовательские учетные записи двух типов:

Доменные учетные записи (domain user accounts ) определены в Active Directory . Посредством системы однократного ввода пароля такие учетные записи могут обращаться к ресурсам во всем домене. Они создаются в консоли Active Directory - пользователи и компьютеры (Active Directory Users and Computers ).

Локальные учетные записи (local user accounts ) определены на локальном компьютере, имеют доступ только к его ресурсам и должны аутентифицироваться, прежде чем получат доступ к сетевым ресурсам. Локальные учетные записи пользователей создают в оснастке Локальные пользователи и группы (Local Users and Groups ).

Локальные учетные записи пользователей и групп хранятся только на рядовых серверах и рабочих станциях. На первом контроллере домена они перемещаются в Active Directory и преобразуются в доменные учетные записи.

Имена для входа в систему, пароли и открытые сертификаты

Все учетные записи пользователей распознаются по имени для входа в систему. В Windows Server 2003 оно состоит из двух частей:

имя пользователя - текстовое имя учетной записи;

домен или рабочая группа ,в которых находится учетная запись.

Для пользователя w e stanec , учетная запись которого создана в домене microsoft.com, полное имя для входа в WindowsServer 2003 выглядит так - we stane c @microsoft.com. При работе с Active Directory иногда требуется полное имя домена (fully qualified domain name , FQDN ) пользователя, состоящее из DNS-имени домена в сочетании с именами контейнера (или ОП) и группы. У пользователя microsoft.соm \ Users\w e stane c , microsoft.com - DNS-имя домена, Users -- имя контейнера, a w e stane c - имя пользователя.

С учетной записью пользователя могут сопоставляться пароль и открытый сертификат (public certificate ). В открытом сертификате сочетаются открытый и закрытый ключ для идентификации пользователя. Вход в систему по паролю проходит интерактивно. При входе в систему с открытым сертификатом используются смарт-карта и считывающее устройство.

Идентификаторы безопасности и учетные записи пользователей

Хотя для назначения привилегий и разрешений в Windows Server 2003 применяются имена пользователей, ключевым идентификатором учетной записи является генерируемый при e ё создании уникальный идентификатор безопасности (security identifier , SID). Он состоит из идентификатора безопасности домена и уникального относительного идентификатора, который был выделен хозяином относительных идентификаторов.

С помощью SID Windows Server 2003 способна отслеживать учетные записи независимо от имен пользователей. Благодаря наличию SID можно изменять имена пользователей и удалять учетные записи, не беспокоясь, что кто-то получит доступ к ресурсам, создав учетную запись с тем же именем.

Когда изменяется имя пользователя, Windows Server 2003 сопоставляет прежний SID с новым именем. При удалении учетной записи, Windows Server 2003 считает, что конкретный SID больше недействителен. Если затем создать учетную запись с тем же именем, она не получит привилегий предыдущей записи, так как у нее иной SID.

Учетные записи групп

Помимо учетных записей пользователя в Windows Server 2003 используются группы, позволяющие автоматически предоставлять разрешения схожим типам пользователей и упростить администрирование учетных записей. Если пользователь - член группы, которая вправе обращаться к ресурсу, то он тоже может к нему обратиться. Чтобы предоставить пользователю доступ к нужным ресурсам, достаточно просто включаете его в подходящую группу. Поскольку в разных доменах Active Directory могут быть группы с одинаковыми именами, на группы часто ссылаются по полному имени - домен\имя_группы , например, WORK\GMarketing соответствует группе GMarketing в домене WORK. При работе с Active Directory к группе иногда нужно обращаться по полному имени, состоящему из DNS-имени домена, имени контейнера или ОП и имени группы. В имени группы microsoft.com\Us e rs\GMarkcting , microsoft.com - DNS- имя домена, Users - контейнер или ОП, a GMarketing - имя группы.

Служащим отдела маркетинга скорее всего понадобится доступ ко всем ресурсам, связанным с маркетингом. Вместо того чтобы открывать доступ к ним индивидуально, стоит объединить пользователей в группу. Если позже пользователь перейдет в другой отдел достаточно будет его просто исключить из группы, и все разрешения доступа будут отозваны.

Типы групп

В Windows Server 2003 используются группы трех типов:

Локальные группы (local groups ) определяются и используются только на локальном компьютере, создаются в оснастке Локальные пользователи и группы (Local Users and Groups );

Группы безопасности (security groups ) располагают дескрипторами защиты и определяются в доменах посредством консоли Active Directory - пользователи и компьютеры (Active Directory Users and Computers );

Группы распространения (distribution groups ) используются как списки рассылки электронной почты, не имеют дескрипторов безопасности и определяются в доменах посредством консоли Active Directory - пользователи и компьютеры (Active Directory Users and Computers ).

Область действия группы

У групп возможны разные области действия - локальная доменная (domain local ), встроенная локальная (built - in local ), глобальная (global ) и универсальная (universal ). От этого зависит, в какой части сети они действительны.

Локальные доменные группы предоставляют разрешения в одном домене, В состав локальных доменных групп входят лишь учетные записи (и пользователей, и компьютеров) и группы из домена, в котором они определены.

Встроенные локальные группы обладают особыми разрешениями в локальном домене. Для простоты их часто называют локальными доменными группами, но в отличие от обычных групп, встроенные локальные группы нельзя создать или удалить - можно лишь изменить их состав. Как правило, говоря о локальных доменных группах, имеют в виду обычные, и встроенные локальные группы, если не указано обратное.

Глобальные группы используются для назначения разрешений на доступ к объектам в любом домене дерева или леса. В глобальную группу входят только учетные записи и группы из домена, в котором они определены.

Универсальные группы управляют разрешениями во всем дереве или лесе; в них входят учетные записи и группы из любого домена в дереве или лесе домена. Универсальные группы доступны только в Active Directory в основном режиме Windows 2000 или в режиме Windows Server 2003.

Универсальные группы очень полезны на больших предприятиях, имеющих несколько доменов. Состав универсальных групп не должен часто меняться, так как любое изменение надо реплицировать во все глобальные каталоги (ГК) в дереве или лесе.

Идентификаторы безопасности и учетные записи групп

В Windows Server 2003 учетные записи групп, как и учетные записи пользователей, различаются по уникальным идентификаторам безопасности (SID). Это значит, что нельзя удалить учетную запись группы, а затем создать группу с тем же именем, чтобы у нее появились прежние разрешения и привилегии. У новой группы будет новый SID, и все разрешения и привилегии старой группы будут утеряны.

Для каждого сеанса пользователя в системе Windows Server 2003 создает маркер безопасности, содержащий идентификатор учетной записи пользователя и SID всех групп безопасности, к которым относится пользователь. Размер маркера растет по мере того, как пользователь добавляется в новые группы безопасности. Это приводит к следующим последствиям:

Чтобы пользователь вошел в систему, маркер безопасности должен быть передан процессу входа в систему. Поэтому по мере увеличения членства пользователя в группах безопасности процесс входа требует все больше времени;

Чтобы выяснить разрешения доступа, маркер безопасности пересылается на каждый компьютер, к которому обращается пользователь. Поэтому чем больше маркер безопасности, тем выше сетевой трафик.

Когда использовать локальные доменные, глобальные и универсальные группы

Локальные доменные, глобальные и универсальные группы содержат множество параметров для настройки групп в масштабе предприятия. В идеале следует использовать области действия групп для создания ие рархий, схожих со структурой организации и обязанностями групп пользователей.

Локальные доменные группы обладают наименьшей сферой влияния и хорошо подходят для управления доступом к таким ресурсам, как принтеры и общие папки.

Глобальные группы оптимальны для управления учетными записями пользователей и компьютеров в отдельном домене.

Универсальные группы обладают самой широкой сферой влияния. Они используются для централизации групп, определенных в нескольких доменах. Обычно для этого в универсальную группу добавляется глобальная группа. Тогда при изменении состава глобальных групп изменения не будут реплицироваться во все ГК, поскольку формально состав универсальных групп не меняется.

Если в организации всего один домен, универсальные группы не нужны; рекомендуется использовать структуру на локальных доменных и глобальных группах.

Стандартные учетные записи пользователей и групп

При установке Windows Server 2003 создаются стандартные учетные записи пользователей и группы. Они предназначены для начальной настройки, необходимой для развития сети, Вот три типа стандартных учетных записей:

встроенные (built-in ) учетные записи пользователей и групп устанавливаются вместе с ОС, приложениями и службами;

предопределенные (predefined ) учетные записи пользователей и групп устанавливаются вместе с ОС;

неявные (implicit ) - специальные группы, создаваемые неявно при обращении к сетевым ресурсам; их также называют специальными объектами (special identities ).

Удалить пользователей и группы, созданные ОС, нельзя.

Встроенные учетные записи

У встроенных учетных записей пользователей в Windows Server 2003 есть особые цели. Все системы Windows Server 2003 обладают тремя встроенными учетными записями.

Локальная система (Local System ) - учетная псевдозапись для выполнения системных процессов и обработки задач системного уровня, доступная только па локальной системе. Эта запись обладает правом Вход в качестве службы (Log on as a service ). Большинство служб работает под локальной системной учетной записью и имеет право взаимодействовать с рабочим столом.

Службы, которым требуются дополнительные привилегии или права входа, работают под учетными записями Local Service или Network Service .

Local Service -учетная псевдозапись для запуска служб, которым необходимы дополнительные привилегии или права входа на локальной системе. Службы, которые работают под этой учетной записью, по умолчанию обладают правами и привилегиями на вход в качестве службы, на изменение системного времени и на создание журналов безопасности. К службам, работающим от имени учетной записи Local Service , относятся Оповещатель (Alerter ), Служба сообщений (Messenger ), Удаленный реестр (Remote Registry ), Смарт-карта (Smart Card ), Модуль поддержки смарт-карт (Smart Card Helper ), Служба обнаружения SSDP (SSDP Discovery Service ), Модуль поддержки NetBIOS через TCP/IP (TCP/IP NetBIOS Helper ), Источник бесперебойного питания (Uninterruptible Power Supply ) и Веб-клиент (WebClient ).

Network Service - учетная псевдозапись для служб, которым требуются дополнительные привилегии или права входа на локальной системе и в сети. Службы, которые работают под этой учетной записью, обладают правами на вход в качестве службы, изменение системного времени и создание журналов безопасности. Под учетной записью Network Service работают такие службы, как Координатор распределенных транзакций (Distributed Transaction Coordinator ), DNS -клиент(DNS Client ), Журналы и оповещения производительности (Performance Logs and Alerts ) и Локатор удаленного вызова процедур (Remote Procedure Call Locator ). При устанавливке па сервере дополнений или других приложений, разрешается установить и другие учетные записи по умолчанию. Обычно их можно потом удалить. После установки IIS (Internet Information Services ), появляются новые учетные записи: первая - встроенная учетная запись для анонимного доступа к IIS, а вторая служит IIS для запуска прикладных процессов. Эти учетные записи определяются в Active Directory , когда они настроены в домене, и как локальные учетные записи, когда они настроены на изолированном сервере или рабочей станции. Еще одна встроенная учетная запись, - TSInt e rnetUser - требуется службам терминала.

Предопределенные учетные записи пользователей

Вместе с Windows Server 2003 устанавливаются некоторые записи: Администратор (Administrator ), Гость (Guest ), ASPNET и Support . На рядовых серверах предопределенные учетные записи являются локальными для той системы, где они установлены. У предопределенных учетных записей есть аналоги в Active Directory , которые имеют доступ по всему домену и совершенно независимы от локальных учетных записей на отдельных системах.

Учетная запись Администратор (Administrator )

Эта предопределенная учетная запись обладает полным доступом к файлам, папкам, службам и другим ресурсам; ее нельзя отключить или удалить. В Active Directory она обладает доступом и привилегиями во всем домене. В остальных случаях Администратор (Administrator ) обычно имеет доступ только к локальной системе. Файлы и папки можно временно закрыть от администратора, но он имеет право в любой момент вернуть себе контроль над любыми ресурсами, сменив разрешения доступа.

Чтобы предотвратить несанкционированный доступ к системе или домену, у административной записи должен быть надежный пароль. Кроме того, стандартное имя этой записи всем известно, поэтому рекомендуется переименовать ее.

Обычно менять основные параметры учетной записи Администратор (Administrator ) не требуется, однако иногда следует сменить такие дополнительные параметры, как ее членство в некоторых группах. По умолчанию администратор в домене включен в группы Администраторы (Administrators ), Администраторы домена (Domain Admins ), Пользователи домена (Domain Users ), Администраторы предприятия (Enterprise Admins ), Администраторы схемы (Schema Admins ) и Владельцы-создатели групповой политики (Group Policy Creator Owners ).

Учетная запись ASPNET

Учетная запись ASPNET используется в NET Framework и предназначена для запуска рабочих процессов ASP.NET. Она является членом группы Пользователи домена (Domain Users ) и в этом качестве имеет те же привилегии, что и обычные пользователи в домене.

Учетная запись Гость (Guest )

Эта учетная запись предназначена для пользователей, которым нужен разовый или редкий доступ к ресурсам компьютера или сети. Гостевая учетная запись обладает весьма ограниченными системными привилегиями, тем не менее применять ее нужно с осторожностью, поскольку она потенциально снижает безопасность. Поэтому запись Гость (Guest ) при установке Windows Server 2003 изначально отключена.

Учетная запись Гость (Guest ) по умолчанию является членом групп Гости домена (Domain Guests ) и Гости (Guests ). Важно отметить, что все гостевые учетные записи являются членами неявной группы В се (Everyone ), которая обычно по умолчанию имеет доступ к файлам и папкам и располагает стандартным набором прав пользователя.

Учетная запись Support

Учетная запись Support применяется встроенной службой Справка и поддержка (Help and Support ). Она является членом групп HelpServicesGroup и Пользователи домена (Domain Users ) и имеет право входа в качестве пакетного задания. Это позволяет учетной записи Support выполнять пакетные задания, связанные с обновлением системы.

Встроенные и предопределенные группы

Встроенные группы устанавливаются со всеми системами Windows Server 2003. Чтобы предоставить пользователю привилегии и разрешения встроенной группы, достаточно включить его в ее состав.

Например, чтобы дать пользователю административный доступ к системе, его нужно включить в локальную группу Администраторы (Administrators ). Чтобы дать пользователю административный доступ к домену, его нужно включить в локальную доменную группу Администраторы (Administrators ) в Active Directory .

Неявные группы и специальные идентификаторы

В Windows NT неявные группы назначались автоматически при входе в систему, на основе того, как пользователь обращался к сетевому ресурсу. Так, если он обращался через интерактивный вход, то автоматически становился участником неявной группы Интерактивные (Interactive ).

В Windows 2000 и Windows Server 2003 объектный подход к структуре каталога изменил первоначальные правила для неявных групп. Хотя по-прежнему нельзя просмотреть состав неявных системных групп, в них можно включать пользователей, группы и компьютеры.

Состав специальной встроенной группы может настраиваться неявно, например, при входе в систему, или явно - через разрешения доступа. Как и в случае других стандартных групп, доступность неявных групп зависит от конфигурации сети.

Возможности учетных записей

Чтобы назначить пользователю те или иные права, достаточно добавить его в группы, а чтобы лишить - удалить его из соответствующих групп.

В Windows Server 2003 учетной записи можно назначить следующие типы прав.

Привилегия (privilege ) позволяет выполнять определенную административную задачу, например отключать систему. Привилегии можно назначать как пользователям, так и группам.

Права на вход в систему (logon rights ) определяют возможность входа в систему, например, локально. Права на вход разрешается назначить и пользователям, и группам.

Встроенные возможности (built-in capabilities ) предназначены для групп. Они предопределены и неизменны, но их допустимо делегировать пользователям с разрешением управлять объектами, ОП или другими контейнерами. Например, возможность создавать и удалять учетные записи пользователей, а также управлять ими дается администраторам и операторам учета. Иными словами, пользователь, включенный в состав группы Администраторы (Administrators ), получает право создавать и удалять учетные записи пользователей.

Разрешения доступа (access permissions ) определяют, какие действия можно выполнять с сетевыми ресурсами, например, создавать файл в папке. Можно назначать разрешения доступа пользователям, компьютерам и группам.

Нельзя менять встроенные возможности группы, но можно изменить ее стандартные права. Так, администратор может отменить сетевой доступ к компьютеру, удалив право группы па доступ к этому компьютеру из сети.

Стандартные учетные записи групп

Главное свойство стандартных групп - гибкость. Если назначить пользователей в правильные группы, управлять рабочими группами или доменами Windows Server 2003 будет гораздо легче. Однако в таком разнообразии групп понять назначение каждой из них непросто. Рассмотрим подробнее группы, используемые администраторами, и неявные группы.

Административные группы

Администратор обладает широким доступом к сетевым ресурсам. Администраторы могут создавать учетные записи, изменять права пользователя, устанавливать принтеры, управлять общими ресурсами и т. н. Основные группы администраторов: Администраторы (Administrators ), Администраторы домена (Domain Admins ) и Администраторы предприятия (Enterprise Admins ).

Администраторы (Administrators ) - локальная группа, в зависимости от ее расположения предоставляющая полный административный доступ к отдельному компьютеру или конкретному домену. Чтобы назначить кого-то администратором локального компьютера или домена, достаточно включить его в данную группу. Изменять эту учетную запись вправе только члены группы Администраторы (Administrators ).

Глобальная группа Администраторы домена (Domain Admins ) призвана помочь в администрировании всех компьютеров в домене. У этой группы есть административный контроль над всеми компьютерами в домене, поскольку по умолчанию она входит в группу Администраторы (Administrators ).

Глобальная группа Администраторы предприятия (Enterprise Admins ) позволяет администрировать все компьютеры в дереве или лесу. Она имеет административный контроль над всеми компьютерами на предприятии, так как по умолчанию включена в группу Администраторы (Administrators ).

Неявные группы

В Windows Server 2003 есть несколько встроенных системных групп, позволяющих назначить разрешения в конкретных ситуациях. Разрешения для таких групп обычно определяются неявно, но можно назначать их самостоятельно, при изменении объектов Active Directory .

Self - содержит сам объект и позволяет ему изменять себя.

Анонимный вход (Anonymous Logon ) - пользователи, обращающиеся к системе через анонимный вход. Применяется для анонимного доступа к таким ресурсам, как Web-страницы на серверах предприятия.

Все (Everyone ) - все интерактивные, сетевые, коммутируемые и прошедшие проверку пользователи. Эта группа предоставляет широкий доступ к системным ресурсам.

Группа-создатель (Creator Group ) - группа, применяемая для автоматического предоставления разрешений доступа пользователям, которые являются членами той же группы (групп), что и создатель файла или папки.

Интерактивные (Interactive ) - пользователи, зарегистрировавшиеся локально. Позволяет разрешить доступ к ресурсу только локальным пользователям.

Контроллеры домена предприятия (Enterprise Domain Controllers ) - контроллеры домена с ролями и обязательствами, действующими на всем предприятии. Включение в эту группу позволяет контроллерам выполнять определенные задачи с использованием транзитивного доверия.

Ограниченные (Restricted ) - пользователи и компьютеры с ограниченным доступом. На рядовом сервере или рабочей станции в эту группу включается локальный пользователь из группы Пользователи (Users ).

Пакетные файлы (Batch ) - пользователи или процессы, обращающиеся к системе как пакетное задание (или через пакетную очередь).

Пользователь служб терминалов (Terminal Server User ) - Пользователи, обращающиеся к системе через службы терминалов. Позволяет пользователям сервера терминалов обращаться к приложениям сервера и выполнять другие задачи.

Прокси (Proxy ) - пользователи и компьютеры, обращающиеся к ресурсам через прокси-сервер (применяется, когда в сети есть прокси-серверы ).

Прошедшие проверку (Authenticated Users ) - пользователи, обращающиеся к системе через процесс входа. Применяется для организации доступа к общим ресурсам и домене , например к файлам в общей папке, которые должны быть доступны всем сотрудникам организации.

Сеть (Network ) - пользователи, обращающиеся к системе через сеть. Позволяет разрешить доступ к ресурсу только удаленным пользователям.

Система (System ) - сама ОС Windows Server 2003. Используется, когда ОС нужно выполнить функцию системного уровня.

Служба (Service ) - службы, обращающиеся к системе. Предоставляет доступ к процессам, выполняемым службами Windows Server 2003.

Создатель-владелец (Creator Owner ) - пользователь, создавший данный файл или папку. Применяется для автоматического предоставления разрешений создателю файла или папки.

Удаленный доступ (Dial-Up ) - пользователи, обращающиеся к системе через коммутируемое соединение.

Я получаю от читателей множество писем с описанием проблем, с которыми они сталкиваются при создании или управлении учетными записями. Многие администраторы испытывают затруднения из-за того, что неосторожно пропускают важные элементы при настройке или не придерживаются системы. Поэтому я решила еще раз обратиться к основам создания и управления учетными записями и дать несколько советов, которые помогут упростить эти процессы.

Пользовательская учетная запись содержит имя и пароль для регистрации на локальном компьютере или в домене. В Active Directory (AD) учетная запись пользователя может также содержать дополнительную информацию, такую как полное имя пользователя, адрес электронной почты, номер телефона, отдел и физический адрес. Кроме того, учетная запись пользователя служит средством для назначения разрешений, сценариев регистрации, профилей и домашних каталогов.

Локальные учетные записи против доменных

Когда пользователи регистрируются на локальном компьютере, а не в домене, они задействуют локальные учетные записи. В среде рабочих групп (с равноправными узлами - P2P) локальные учетные записи обеспечивают функции регистрации для пользователей локальных компьютеров и предоставляют удаленным пользователям доступ к ресурсам компьютера. Определенные пользователи, например, могут иметь доступ к данным на сервере и применять локальную учетную запись для регистрации на такой системе.

Однако большинство пользовательских учетных записей в корпоративной сети являются доменными и предоставляют права и разрешения в масштабах домена. Если только доменная учетная запись явно не запрещает этого, пользователи могут регистрироваться в домене с доменной учетной записью на любой рабочей станции. После регистрации пользователи получают конкретные разрешения по отношению к сетевым ресурсам для доменной учетной записи.

Но доменные учетные записи имеют не только пользователи. В домене учетные записи представляют физические записи, которые могут соответствовать компьютеру, пользователю или группе. Пользовательские учетные записи, учетные записи компьютеров и учетные записи групп являются принципалами (элементами доступа) - объектами службы каталогов, автоматически получающими идентификаторы SID, которые и определяют доступ к ресурсам домена.

Два наиболее важных применения доменных учетных записей - аутентификация пользователей и разрешение или отказ в доступе к ресурсам домена. Аутентификация позволяет пользователям регистрироваться на компьютерах и в доменах с характеристиками, подлинность которых установлена службами домена. Домен разрешает или запрещает доступ к доменным ресурсам на основании разрешений, получаемых пользователем через членство в одной или нескольких доменных группах.

Встроенные доменные учетные записи

Когда создается домен, Windows автоматически генерирует несколько пользовательских учетных записей. В Windows 2000 встроенными являются учетные записи Administrator и Guest. Домены Windows Server 2003 имеют третью встроенную учетную запись с именем HelpAssistant, которая автоматически создается при первом запуске функции Remote Assistance. Каждая из этих встроенных учетных записей имеет разный набор разрешений.

Учетная запись Administrator имеет набор разрешений Full Control на все ресурсы домена и может назначать разрешения пользователям в домене. По умолчанию учетная запись Administrator является членом следующих групп:

• Administrators
• Domain Admins
• Domain Users
• Enterprise Admins
• Group Policy Creator Owners
• Schema Admins

Некоторые администраторы переименовывают или отключают учетную запись Administrator, чтобы усложнить пользователям доступ к контроллеру домена (DC). Вместо этого администраторы могли бы регистрироваться с учетными записями, которые являются членами тех же групп, что давало бы им достаточно прав для администрирования домена. Если учетную запись Administrator отключить, при необходимости получение доступа к DC можно будет пользоваться этой учетной записью, загружая DC в режиме Safe Mode (учетная запись Administrator всегда доступна в режиме Safe Mode).

Учетная запись Guest позволяет регистрироваться в домене пользователям, не имеющим учетной записи. Учетная запись Guest не требует пароля, но можно установить для нее разрешения точно так же, как для любой пользовательской учетной записи. Учетная запись Guest является членом групп Guests и Domain Guests. Понятно, что возможность регистрироваться в домене любому лицу, не имеющему реальной учетной записи, создает определенный риск, поэтому большинство администраторов эту учетную запись не используют. В Windows 2003 учетная запись Guest по умолчанию отключена. Для того чтобы отключить учетную запись Guest в Windows 2000, нужно щелкнуть по ней правой кнопкой в оснастке Microsoft Management Console (MMC) Active Directory Users and Computers, затем в меню выбрать Disable.

Учетная запись HelpAssistant появилась только в Windows 2003. Служба Remote Desktop Help Session Manager создает эту учетную запись и управляет ею, когда пользователь запрашивает сеанс Remote Assistance.

Создаем учетные записи пользователя домена

Учетные записи пользователей домена создаются на DC как функция AD. Необходимо открыть оснастку Active Directory Users and Computers, затем раскрыть подходящий домен (если их несколько). В отличие от Windows NT 4.0, в Windows 2000 и Windows 2003 процессы создания и настройки учетных записей разделены: сначала администратор создает пользователя и соответствующий пароль, затем выполняет настройку, задавая членство в группах.

Чтобы создать нового пользователя домена, следует щелкнуть правой кнопкой по контейнеру Users, затем выбрать New, User, чтобы открыть диалоговое окно New Object - User, изображенное на экране 1. Далее требуется ввести имя пользователя и регистрационное имя. Windows автоматически добавляет к регистрационному имени суффикс текущего домена, который называется суффиксом принципала пользователя (UPN-суффиксом). Можно создать дополнительные UPN-суффиксы и выбрать суффикс для нового пользователя в поле со списком. Можно также ввести другое имя пользователя для регистрации в домене с компьютеров NT 4.0 и Windows 9.x (по умолчанию подставляется предыдущее имя).

Далее следует щелкнуть Next, чтобы выполнить настройку пароля пользователя, как показано на экране 2. По умолчанию Windows вынуждает пользователей менять пароль при следующей регистрации, поэтому для каждого нового пользователя можно брать некий стандартный пароль компании, а затем дать пользователям возможность ввести новый пароль после первой самостоятельной регистрации. Далее следует выбрать параметры пароля, которые нужно задать для этого пользователя. Наконец, требуется щелкнуть Next, чтобы увидеть общую картину выбранных настроек, затем щелкнуть Finish, чтобы создать учетную запись пользователя в AD.

Свойства учетной записи пользователя

Чтобы выполнить настройку или изменить свойства учетной записи пользователя домена, необходимо выбрать ее в списке и дважды щелкнуть правой кнопкой мыши. На экране 3 видны категории настройки.

Вкладка Member Of управляет членством пользователя в группах (и, следовательно, разрешениями и правами пользователя в домене). По умолчанию Windows помещает учетную запись нового пользователя в группу Domain Users. Для одних пользователей этого достаточно, и больше ничего делать не нужно. Другим пользователям, например руководителям отделов или ИT-персоналу, нужно обеспечить такое членство в группах, которое позволило бы им выполнять необходимые задачи. Чтобы установить членство в группе, следует щелкнуть Add, затем выбрать для пользователя, учетная запись которого редактируется, подходящую группу. Если встроенные группы не обеспечивают точно соответствующего имеющимся требованиям набора разрешений, следует сформировать собственные группы.

Создаем шаблоны

Windows позволяет копировать учетные записи пользователей, что делает процесс создания шаблонов более быстрым и эффективным. Наилучший способ воспользоваться преимуществами этой функции - создать ряд шаблонов учетных записей пользователей, а потом превращать эти учетные записи в реальные. Поскольку разрешения и права являются наиболее важными (и потенциально опасными) свойствами, следует создавать шаблоны в категориях в соответствии с членством в группах. Начать нужно с шаблона для стандартного пользователя (т. е. члена только группы Domain Users), затем следует создать шаблоны, имеющие конкретные комбинации принадлежности к группам. Например, можно создать шаблон пользователя под именем Power с принадлежностью к группе Power Users без ограничений часов регистрации или шаблон пользователя под именем DialUp с заранее установленными параметрами коммутируемого доступа. Впоследствии, по мере создания новых учетных записей, можно выбирать подходящий шаблон и модифицировать его.

Я обнаружила несколько полезных приемов создания и копирования шаблонов:

• присваивать шаблонам имена, которые начинаются с 0, чтобы они все вместе появлялись поверх списка пользовательских файлов;
• назначать всем шаблонам один и тот же пароль;
• отключать все учетные записи шаблонов (щелкнуть правой кнопкой файл, затем выбрать Disable).

Для того чтобы создать учетную запись для нового пользователя из шаблона, следует щелкнуть правой кнопкой по списку шаблонов, затем выбрать Copy. В диалоговом окне Copy Object - User нужно ввести имя пользователя и регистрационное имя для вновь создаваемой записи, затем щелкнуть Next, чтобы задать пароль нового пользователя, как описано ниже.

1. Введите стандартный пароль компании и назначьте его новому пользователю.
2. Очистите ячейки Password never expires (срок действия не ограничен) и Account is disabled (учетная запись отключена).
3. Поставьте флажок User must change password at next logon.
4. Щелкните Next, затем Finish.

Не стоит возиться с вкладкой Member Of, поскольку система уже скопировала членство в группах из шаблона пользователя. По сути, если нет необходимости записывать телефон и адрес пользователя, на оставшихся вкладках можно ничего не делать. Система копирует все общие атрибуты. Однако можно добавить для автоматического копирования другие атрибуты или сделать так, чтобы определенные атрибуты не копировались, модифицируя схему AD.

Кэти Ивенс - редактор Windows 2000 Magazine. Участвовала в написании более 40 книг по компьютерной тематике, включая «Windows 2000: The Complete Reference» (Osborne/McGraw-Hill). С ней можно связаться по адресу:

Каждый компьютер с операционными системами Windows NT/2000/XP/2003 (если это не сервер, являющийся контроллером домена) имеет локальную базу данных учетных записей, называемую базой данных SAM. Эти БД обсуждались при описании модели безопасности "Рабочая группа". Локальные пользователи и особенно группы используются при назначении прав доступа к ресурсам конкретного компьютера даже в доменной модели безопасности. Общие правила использования локальных и доменных групп для управления доступом будут описаны ниже.

Управление доменными учетными записями пользователей

Доменные учетные записи пользователей (а также компьютеров и групп) хранятся в специальных контейнерах AD. Это могут быть либо стандартные контейнерыUsers для пользователей и Computers для компьютеров, либо созданное администратором Организационное подразделение (ОП). Исключение составляют учетные записи контроллеров домена, они всегда хранятся в ОП с названием Domain Controllers .

Рассмотрим на примерах процесс создания учетных записей пользователей в БД Active Directory и разберем основные свойства доменных учетных записей. Учетные записи для компьютеров создаются в процессе включения компьютера в домен.

Создание доменной учетной записи

Откроем административную консоль " Active Directory – пользователи и компьютеры ".

Щелкнем правой кнопкой мыши на контейнере, в котором будем создавать учетную запись, выберем в меню команду " Создать " и далее - " Пользователь ".

Заполним поля " Имя ", " Фамилия ", например, " Иван " и " Иванов " (в английской версии - First Name , Last Name ), поле " Полное имя " (Full Name ) заполнится само.

Введем " Имя входа пользователя " (User logon name ), например, User1 . К этому имени автоматически приписывается часть вида " @<имя домена> ", в нашем примере - " @world.ru " (полученное имя должно быть уникальным в масштабах леса).

В процессе формирования имени входа автоматически заполняется " Имя входа пользователя (пред-Windows 2000) " (User logon name (pre- Windows 2000) ), создаваемое для совместимости с прежними версиями Windows (данное имя должно быть уникально в масштабе домена). В каждой организации должны быть разработаны схемы именования пользователей (по имени, фамилии, инициалам, должности, подразделению и т.д.) В нашем примере получится имя "WORLD\User1 ". Нажмем кнопку " Далее " (рис. 6.43):

Рис. 6.43.

Вводим пароль пользователя (два раза, для подтверждения).

Укажем начальные требования к паролю:

Требовать смену пароля при следующем входе в систему (полезно в случае, когда администратор назначает пользователю начальный пароль, а затем пользователь сам выбирает пароль, известный только ему);

Запретить смену пароля пользователем (полезно и даже необходимо для учетных записей различных системных служб);

Срок действия пароля не ограничен (тоже используется для паролей учетных записей служб, чтобы политики домена не повлияли на функционирование этих служб, данный параметр имеет более высокий приоритет по сравнению с политиками безопасности);

Отключить учетную запись.

Рис. 6.44.

Получаем итоговую сводку для создаваемого объекта и нажимаем кнопку " Готово ".

Внимание ! В упражнениях лабораторных работ дается задание настроить политики, которые сильно понижают уровень требований к паролям и полномочиям пользователей:

отключается требование сложности паролей,

устанавливается минимальная длина пароля, равная 0 (т.е. пароль может быть пустым),

устанавливается минимальный срок действия паролей 0 дней (т.е. пользователь может в любой момент сменить пароль),

устанавливается история хранения паролей, равная 0 (т.е. при смене пароля система не проверяет историю ранее используемых паролей),

группе "Пользователи" дается право локального входа на контроллеры домена.

Данные политики устанавливаются исключительно для удобства выполнения упражнений, которые необходимо выполнять с правами простых пользователей на серверах-контроллерах домена. В реальной практике администрирования такие слабые параметры безопасности ни в коем случае устанавливать нельзя, требования к паролям и правам пользователей должны быть очень жесткими (политики безопасности обсуждаются далее в этом разделе).

Правила выбора символов для создания пароля:

длина пароля - не менее 7 символов;

пароль не должен совпадать с именем пользователя для входа в систему, а также с его обычным именем, фамилией, именами его родственников, друзей и т.д.;

пароль не должен состоять из какого-либо слова (чтобы исключить возможность подбора пароля по словарю);

пароль не должен совпадать с номером телефона пользователя (обычного или мобильного), номером его автомобиля, паспорта, водительского удостоверения или другого документа;

пароль должен быть комбинацией букв в верхнем и нижнем регистрах, цифр и спецсимволов (типа @#$%^*&()_+ и т.д.).

И еще одно правило безопасности - регулярная смена пароля (частота смены зависит от требований безопасности в каждой конкретной компании или организации). В доменах Windows существует политика, определяющая срок действия паролей пользователей.