Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows 2000/NT Администрирование Управление существующими учетными записями пользователей и групп RSS

Управление существующими учетными записями пользователей и групп

Текущий рейтинг: 3.67 (проголосовало 18)
 Посетителей: 17540 | Просмотров: 21922 (сегодня 0)  Шрифт: - +
Club logo

Информация взята из девятой главы книги «Windows 2000. Руководство администратора». Автор Уильям Р. Станек (William R. Stanek).

В идеальном мире Вы могли бы создать учетные записи пользователей и групп и больше никогда к ним не возвращаться. Но, к сожалению, мы живем в реальном мире. И поэтому, после того, как Вы создали учетные записи, Вам предстоит потратить еще много времени на управление ими. В данной главе представлены советы и рекомендации, позволяющие облегчить выполнение этой задачи.

Управление контактной информацией пользователя

Active Directory является службой каталогов. При создании учетных записей пользователей Вы можете добавлять к ним детальную контактную информацию. Контактная информация будет доступна любому в дереве домена или лесу, и использоваться для поиска пользователей или создания записей в адресной книге.

Ввод контактной информации

Вы можете ввести контактную информацию в учетную запись пользователя, выполнив следующие шаги:

1. Щелкните дважды по имени пользователя в оснастке Active Directory - пользователи и компьютеры (Active Directory Users And Computers). При этом откроется диалоговое окно Свойства (Properties) выбранной учетной записи.
2. Выберите вкладку Общие (General), как показано на Рисунке 9-1. Введите контактную информацию в следующие поля:

•  В поля: Имя (First Name), Инициалы (Initials), Фамилия (Last Name) введите полное имя пользователя. 

•  В поле Выводимое имя (Display Name) введите то имя пользователя, которое будет отображаться при активных сеансах работы и в Active Directory. 

•  В поле Описание (Description) введите всю необходимую информацию о пользователе. 

•  В поле Комната (Office) введите информацию о месторасположении рабочего кабинета пользователя. 

•  В поле Номер телефона (Telephone Number) введите номер основного рабочего телефона пользователя. В случае, если необходимо внести другие рабочие телефоны пользователя, нажмите Другой (Other). В появившемся диалоговом окне Номер телефона (прочие) (Phone Number (Others)) введите дополнительные номера телефонов. 

•  В поле Электронная почта (E-Mail) введите рабочий адрес электронной почты. 

Рисунок 9-1: Использование вкладки Общие (General) для внесения общей контактной информации о пользователе. Эту информацию можно будет использовать для осуществления поиска, а также использовать ее в адресной книге. 

•  В поле Веб-страница (Web Page) Вы можете указать адрес домашней страницы пользователя, которая может находиться как в сети Интернет, так и в интрасети компании. В случае, если у пользователя есть дополнительные персональные страницы, которые Вы хотите отметить, нажмите Другая (Other). В появившемся диалоговом окне Адрес страницы в Интернете (прочие) (Web Page Address (Others)) введите дополнительные адреса веб-страниц.

Совет. Поля Электронная почта (E-Mail) и Веб-страница (Web Page) необходимо заполнять в том случае, если Вы собираетесь использовать функции Отправить почту (Send Mail) и Открыть домашнюю страницу (Open Home Page) оснастки Active Directory – пользователи и компьютеры (Active Directory Users And Computers). Для получения более подробной информации обратитесь к разделу "Обновление учетных записей пользователей и групп" этой главы. 

3. Выберите вкладку Адрес (Address). Используйте имеющиеся поля для ввода рабочего или домашнего адреса пользователя. Обычно используется рабочий адрес пользователя.Таким образом Вы всегда сможете получить информацию о месте работы и почтовых адресах пользователей, работающих в разных офисах.

Примечание. Перед вводом домашнего адреса пользователя Вам необходимо будет решить вопрос конфиденциальности личных данных с отделом кадров и юридическим отделом. Возможно, Вам также понадобится согласие пользователя на разглашение его домашнего адреса.

4. Выберите вкладку Телефоны (Telephones). Введите основные номера телефонов, с помощью которых можно будет связаться с пользователем. Укажите номер домашнего, мобильного телефона, IP-телефона, факса, пейджера.
5. Для каждого типа номера телефона можно указать дополнительные номера. Для этого нажмите соответствующую кнопку Другие (Others) и в диалоговом окне введите дополнительные номера.
6. Выберите вкладку Организация (Organization). Введите занимаемую пользователем должность, отдел и организацию.
7. Чтобы указать имя руководителя пользователя нажмите Изменить (Change) и затем выберите руководителя в диалоговом окне Выбор пользователя или контакта (Select User Or Contact). Когда Вы укажете руководителя, пользователь будет добавлен в учетную запись руководителя в качестве подчиненного.
8. Нажмите Применить (Apply) или OK, чтобы изменения вступили в силу.

Поиск пользователей и добавление записей в адресную книгу

Active Directory позволяет легко находить пользователей в каталоге и затем добавлять их в свою адресную книгу, используя результаты поиска. В обычной работе Вам неоднократно придется помогать пользователям осуществлять эти действия. Поиск выполняется следующим образом:

1. В меню Пуск (Start) выберите Найти (Search), затем щелкните Людей (For People). При этом отобразится диалоговое окно, показанное на Рисунке 9-2.
2. Выберите Active Directory из списка Место поиска (Look In) и затем впишите название или адрес электронной почты того пользователя, которого необходимо найти.
3. Для начала поиска нажмите Найти (Find Now). В случае, если совпадающие с запросом данные будут найдены, они будут показаны. В противном случае необходимо будет ввести новые параметры поиска и выполнить его еще раз.
4. Вы можете просмотреть свойства найденных учетных записей, выбрав необходимую запись и нажав Свойства (Properties).
5. Вы также можете добавить контактную информацию в адресную книгу, выбрав необходимую учетную запись и нажав Добавить в адресную книгу (Add To Address Book). 

Рисунок 9-2: Поиск пользователей в Active Directory и использование результатов поиска для создания записей в адресной книге.

Настройка параметров среды пользователя

Учетные записи пользователей могут иметь профили, сценарии входа и домашние каталоги, связанные с ними. Для настройки этих необязательных параметров щелкните дважды по отображаемой в оснастке Active Directory - пользователи и компьютеры (Active Directory Users And Computers) учетной записи и выберите вкладку Профиль (Profile), как показано ниже на Рисунке 9-3. Можете заполнить следующие поля на вкладке Профиль (Profile):

Поле Путь к профилю (Profile Path), отвечающее за путь к профилю пользователя. Профили отвечают за настройки пользовательской среды. При каждом входе пользователя в систему используется профиль пользователя для определения настроек рабочего стола и панели управления, доступных пунктов меню и приложений, а также многого другого. Указание пути к профилю будет описано далее в разделе "Управление профилями пользователей".
В поле Сценарий входа (Logon Script) указывается путь к сценарию входа в систему пользователя. Сценарии входа в систему представляют собой пакетные файлы, которые выполняются при каждом входе пользователя в систему. Сценарии входа в систему используют для задания тех команд, которые должны выполняться при каждом входе пользователя в систему. Сценарии входа в систему более детально рассматривались в Главе 4.
Поле Локальный путь (Local Path) определяет папку, в которой будут храниться файлы пользователя. Здесь Вы можете задать определенную папку для файлов пользователя. При этом, если она будет доступна в сети – пользователь сможет получить к ней доступ с любого компьютера, работающего в сети.
 

Рисунок 9-3: Вкладка Профиль (Profile) позволяет создать профиль пользователя. Профили позволяют настраивать параметры сетевого окружения для пользователя.

Переменные среды системы

Переменные среды системы могут использоваться при настройке среды пользователя, особенно при работе со сценариями входа в систему. Также Вы можете использовать их для определения пути, назначаемого динамически. Наиболее часто будут использоваться следующие переменные среды:

%SystemRoot% Основная папка для ОС Microsoft Windows 2000, такая как C:\WIN2000. Используйте ее на вкладке Профиль (Profile) диалогового окна пользователя Свойства (Properties) и в сценариях входа.
%UserName% Имя учетной записи пользователя, например WRSTANEK. Используйте ее на вкладке Профиль (Profile) диалогового окна пользователя Свойства (Properties) и в сценариях входа.
%HomeDrive% Имя диска, на котором расположен домашний каталог пользователя, например диск C:. Используйте ее в сценариях входа.
%HomePath% Полный путь к домашнему каталогу пользователя на соответствующем диске, например \USERS\MKG\GEORGEJ. Используйте ее в сценариях входа.
%Processor_Architecture% Архитектура процессора компьютера пользователя, например x86. Используйте ее в сценариях входа.

На Рисунке 9-4 показан пример использования переменных среды при создании учетной записи пользователя. Примите во внимание, что, используя переменную %UserName%, Вы разрешаете системе определять информацию о полном пути индивидуально для каждого пользователя. Применяя этот прием, Вы можете использовать один и тот же путь для нескольких пользователей, при этом у всех этих пользователей будут собственные настройки. 

Рисунок 9-4: Использование переменных среды позволяет упростить задание параметров на вкладке Профиль (Profile) особенно в том случае, когда создаете учетную запись, основанную на другой учетной записи.

Сценарии входа

В сценариях входа используются команды, которые должны выполняться каждый раз при входе пользователя в систему. Можно использовать сценарии входа для установки системного времени, задания путей к сетевым дискам, сетевым принтерам и т.д. Хотя Вы можете использовать сценарии входа для однократного выполнения команд, не следует их использовать для задания переменных среды. Заданные таким образом переменные среды не будут поддерживаться процессами пользователя. Также не следует использовать сценарии входа для запуска приложений при загрузке системы. Используйте для этих целей папку Автозагрузка, поместив в нее ярлыки на соответствующие приложения.

Обычно сценарий входа содержит команды ОС Windows 2000. Однако, в качестве сценариев входа также могут использоваться:

Файлы Сервера сценариев Windows (Windows Script Host) с расширениями .VBS, .JS или с другими зарегистрированными расширениями сценариев.
Пакетные файлы с расширением .BAT.
Командные файлы с расширением .CMD.
Исполняемые файлы программ с расширением .EXE.

Один сценарий входа можно использовать как для одного, так и для нескольких пользователей. Вы, как администратор, можете определять, с каким сценарием будет работать конкретный пользователь. Сценарии входа начинают выполняться сразу после входа пользователя под своей учетной записью. Для задания сценария входа выполните следующее:

1. Откройте диалоговое окно Свойства (Properties) пользователя в оснастке Active Directory – пользователи и компьютеры (Active Directory Users And Computers) и выберите вкладку Профиль (Profile).
2. В поле Сценарий входа (Logon Script) введите путь к сценарию входа. Убедитесь, что указали полный путь к сценарию входа, например такой, как \\ZETA\USER_LOGON\ENG.VBS.

Примечание. Возможны и другие способы определения сценария входа и выхода. Для получения детальной информации обратитесь к разделу "Управление сценариями пользователя и компьютера" из Главы 4.

Создание сценариев входа особенно при использовании командного языка ОС Windows 2000 выполняется проще, чем можно себе представить. Практически все команды, которые Вы привыкли использовать в командной строке, можно использовать и в сценарии входа. Наиболее общими задачами, которые Вы сможете решать с помощью сценариев входа, будет: задание принтера, используемого по умолчанию, и назначение сетевых путей пользователей. Эти параметры можно задать с помощью команды NET USE. Приведенный ниже пример использования команды NET USE позволяет назначить сетевой принтер и сетевой диск:

net use lpt1: \\zeta\deskjet
net use g: \\gamma\corp\files

Использование этих команд в сценарии входа пользователя позволяет открыть общий доступ к принтеру, подключенному к порту LPT1, и назначить букву G сетевому диску.

Назначение домашних каталогов

ОС Windows 2000 позволяет назначать домашний каталог для каждой учетной записи пользователя. Пользователи могут использовать этот каталог для хранения фалов и работы с ними. Домашний каталог используется многими приложениями при выполнении операций Открыть (File Open) и Сохранить как (Save As) в качестве каталога, заданного по умолчанию, что позволяет пользователям проще находить свою информацию. Командная строка использует домашний каталог в качестве начального текущего каталога.

Домашние каталоги могут находиться как на локальном диске пользователя, так и на сетевом диске. В первом случае папка будет доступна только на одном компьютере. Во втором – к ней можно будет получить доступ с любого компьютера в сети, что расширяет возможности среды пользователя.

Совет. Не рекомендуется открывать общий доступ к домашним каталогам пользователей, хотя это и не запрещается. Обычно назначается уникальный домашний каталог для каждого пользователя.

Нет необходимости создавать домашний каталог раньше срока. Оснастка Active Directory – пользователи и компьютеры (Active Directory Users And Computers) автоматически его создаст. А в случае возникновения проблем при создании каталога Active Directory – пользователи и компьютеры (Active Directory Users And Computers) сообщит о необходимости его созданию вручную.

Для указания локального домашнего каталога:

1. Откройте диалоговое окно Свойства (Properties) пользователя в оснастке Active Directory – пользователи и компьютеры (Active Directory Users And Computers) и выберите вкладку Профиль (Profile).
2. Переключателем выберите Локальный путь (Local Path) и введите путь к домашнему каталогу в соответствующем поле. Например: C:\Home\%UserName% .

Для указания сетевого домашнего каталога выполните следующие действия:

1. Откройте диалоговое окно Свойства (Properties) пользователя в оснастке Active Directory – пользователи и компьютеры (Active Directory Users And Computers) и выберите вкладку Профиль (Profile).
2. Переключателем выберите Подключить (Connect) и назначьте букву диска для домашнего каталога. Для совместимости используйте всегда одну и ту же букву для всех пользователей. Убедитесь, что выбранное значение не конфликтует с имеющимися физическими или подключенными дисками. Во избежание проблем используйте букву Z.
3. Введите полный путь к домашнему каталогу, используя обозначения универсального имени (UNC), такое как: \\GAMMA\USER_DIRS\%UserName%. Включите имя сервера в путь для гарантии того, что пользователь сможет получить доступ к каталогу c любого компьютера в сети.

Примечание. Если Вы не назначите домашний каталог, ОС Windows 2000 будет использовать домашний каталог, заданный по умолчанию. На тех компьютерах, где выполнялось обновление до ОС Windows 2000, этим каталогом будет \Users\Default. В противном случае это будет корневой каталог.

Установка параметров и ограничений учетной записи

ОС Windows 2000 предоставляет много возможностей по управлению учетными записями и обеспечению контроля доступа к сети. Вы можете указать время, при котором разрешается выполнять вход в систему, определять список рабочий станций, на которых вход запрещен, настраивать права входящих подключений и многое другое.

Управление временем входа

ОС Windows 2000 позволяет контролировать время регистрации пользователей в сети. Это осуществляется путем установки разрешенного времени входа. Вы можете использовать ограничение времени входа в целях усиления безопасности, предотвращения взлома системы или других злонамеренных действий во внерабочее время.

В разрешенное для регистрации в сети время пользователи могут работать, как обычно. Они могут регистрироваться в сети и использовать сетевые ресурсы. Во время ограниченных часов регистрации в сети пользователи работать не могут. Они не могут регистрироваться в сети или подключаться к сетевым ресурсам. Что произойдет после того, как пользователи войдут в сеть в то время, когда разрешенное время входа истекает, будет зависеть от установок политик учетных записей. Обычно происходит одно из двух:

Принудительное отсоединение. Вы можете установить политику, которая будет сообщать ОС Windows 2000 о необходимости принудительного отсоединения пользователей Windows 2000, когда их допустимое время работы истекло. Если установлена такая политика и допустимое время работы истекло, все удаленные пользователи Windows 2000 будут отсоединены от сетевых ресурсов, и произойдет их выход из системы.
Ограничение работы без отсоединения. Пользователи не будут принудительно отсоединены от сети, когда их допустимое время работы истечет. Вместо этого ОС Windows 2000 просто не позволит им создавать новые сетевые подключения.

Настройка разрешенного времени входа

Для указания времени, в течение которого можно выполнять вход в систему, проделайте следующее:

1. Откройте диалоговое окно Свойства (Properties) пользователя в оснастке Active Directory – пользователи и компьютеры (Active Directory Users And Computers) и выберите вкладку Учетная запись (Account).
2. Нажмите кнопку Время входа (Logon Hours). В появившемся диалоговом окне Время входа (Logon Hours), показанном на Рисунке 9-5, Вы можете указать, в какое время разрешается выполнять вход, а в какое – нет. Элементы настройки времени входа приведены в Таблице 9-1. 

Рисунок 9-5: Настройка разрешенного времени входа для пользователей с помощью предназначенных для этого полей.

В представленном диалоговом окне каждый час дня или ночи представляет собой поле, которое можно включить или отключить.

Поля, отмеченные темной областью, показывают разрешенные часы работы. Это выглядит так, как будто они «включены».
Пустые поля показывают запрещенное время работы. Это выглядит так, как будто они «выключены».

Для изменения настройки определенного часа, щелкните по соответствующему полю и поставьте переключатель в необходимое положение: Вход разрешен (Logon Permitted) или Вход запрещен (Logon Denied).

Таблица 9-1 Элементы настройки времени входа

Элементы Назначение
Кнопка Все (All) Позволяет выбрать все интервалы времени.
Кнопки с названиями дней недели Позволяют выбрать все время определенного дня.
Кнопки с указанием часов Позволяют выбрать определенный час для всех дней недели.
Вход разрешен (Logon Permitted) Задает разрешенные часы входа.
Вход запрещен (Logon Denied) Задает запрещенные часы входа.

Совет. Вы облегчите себе работу, если при настройке времени входа не будете указывать слишком жесткие временные рамки. Вместо жесткого указания рабочего времени с 9.00 до 17.00, оставьте некоторое время до его начала и после его завершения. Это позволит сотрудникам, которые приходят на работу слишком рано или уходят с нее поздно нормально работать. 

Принудительное завершение сеанса работы пользователя

Выполните следующие шаги, если необходимо принудительно отсоединять пользователей, когда их время работы истекло:

1. Перейдите в контейнер групповой политики, с которым хотите работать, как было описано в Разделе "Управление политиками сайта, домена и подразделения" в Главе 4.
2. С помощью дерева консоли перейдите к узлу Параметры безопасности (Security Options), как показано на Рисунке 9-6. Раскройте узел Конфигурация компьютера (Computer Configuration), Конфигурация Windows (Windows Settings) и затем Параметры безопасности (Security Settings). В Параметрах безопасности (Security Settings) откройте Локальные политики (Local Policies) и выберите Параметры безопасности (Security Options).
3. Щелкните дважды по Принудительный выход из сеанса по истечении допустимых часов работы (Automatically Log Off Users When Logon Time Expires), что приведет к открытию диалогового окна политики Свойства (Properties).
4. Поставьте флажок Определить следующий параметр политики (Define This Policy Setting) и нажмите Включен (Enabled). Тем самым будет применена политика и  установлено принудительное завершение сеанса работы пользователя по истечении его разрешенного времени работы. Нажмите OK. 

Рисунок 9-6: Переход к узлу Параметры безопасности (Security Options) в Групповой политике.

Установка разрешения для входа на рабочую станцию

В ОС Windows 2000 включена формальная политика, позволяющая пользователям локально входить в систему. Эта политика определяет, имеет ли пользователь право входить в систему и работать с компьютером. По умолчанию входить на рабочую станцию под управлением ОС Windows 2000 и использовать ее локально могут все пользователи, имеющие действующие учетные записи, включая гостевую запись.

Как Вы можете себе представить, подобное разрешение входа на любую рабочую станцию представляет собой большую угрозу безопасности. Если Вы не ограничите возможность использования рабочей станции, то любой, кто получит имя пользователя и пароль, сможет использовать их для входа на любую рабочую станцию в домене. Определяя список разрешенных рабочих станций, Вы тем самым закрываете «дыру» в Вашем домене и повышаете уровень безопасности. Теперь хакерам понадобится получить не только имя пользователя и пароль для входа в систему, но и найти соответствующую рабочую станцию.

Примечание. Рассмотренные возможности ограничения на вход в систему действуют только в домене для рабочих станций под управлением ОС Microsoft Windows 2000 и Windows NT. Если в домене используются компьютеры под управлением ОС Microsoft Windows 95 или Windows 98, ограничения на них невозможны. Это означает, что для того, чтобы войти в систему на этих рабочих станциях необходимо знать только имя пользователя и пароль.

Следующие шаги позволяют определить список рабочих станций, на которых пользователям домена будет разрешено выполнять вход:

1. Откройте диалоговое окно Свойства (Properties) пользователя в оснастке Active Directory  - пользователи и компьютеры (Active Directory Users And Computers) и выберите вкладку Учетная запись (Account).
2. Нажмите кнопку Вход на (Log On To), открыв диалоговое окно Рабочие станции для входа в систему (Logon Workstations).
3. Поставьте переключатель в положение Только на указанные компьютеры (The Following Computers), как показано на Рисунке 9-7. 

Рисунок 9-7: Для ограничения доступа к рабочим станциям определите список рабочих станций, на которых разрешено выполнять вход.

4. Введите название разрешенной рабочей станции и нажмите Добавить (Add). Повторите это действие, если необходимо указать несколько рабочих станций.
5. Если при вводе названия Вы допустили ошибку, выберите ошибочную запись и нажмите Изменить (Edit) или Удалить (Remove) на Ваше усмотрение.

Назначение прав на входящие подключения

ОС Windows 2000 позволяет определять права учетных записей пользователей, использующих входящие подключения, с помощью вкладки Входящие звонки (Dial-In) диалогового окна Свойства (Properties) пользователя. Как показано на Рисунке 9-8, права входящих подключений по умолчанию определяются Политикой удаленного доступа (Remote Access Policy). Этот метод управления удаленным доступом является наиболее предпочтительным. Вы можете явно задавать возможности удаленного подключения выбирая Разрешить доступ (Allow Access) или Запретить доступ (Deny Access). В любом случае, необходимо будет выполнить следующие шаги перед тем, как пользователи смогут использовать удаленной доступ к Вашей сети:

1. Установите Службы удаленного доступа (Remote Access Services) с помощью Мастера настройки сервера (Configure Your Server).
2. Для разрешения удаленных подключений необходимо выполнить настройку групповой политики для сайта, домена или подразделения. Вы можете сделать это с помощью узла Сеть и удаленный доступ к сети (Network Dial-Up And Connections). Выберите Конфигурация пользователя (User Configuration), Административные шаблоны (Administrative Templates) и затем Сеть (Network). Затем выберите Сеть и удаленный доступ к сети (Network Dial-Up And Connections).
3. Настройте удаленный доступ, используя службу Маршрутизация и удаленный доступ (Routing And Remote Access). Раскройте узел Службы и приложения (Services And Applications) в разделе Управление компьютером (Computer Management) и затем выберите службу Маршрутизация и удаленный доступ (Routing And Remote Access). 

Рисунок 9-8: Определение прав входящих подключений удаленного доступа к сети

После предоставления пользователю права удаленного доступа к сети необходимо настроить дополнительные параметры входящего подключения, представленные на вкладке Входящие звонки (Dial-In) диалогового окна Свойства (Properties) пользователя, показанного на Рисунке 9-8. Выполните следующие шаги:

1. В случае, если пользователю разрешено звонить только с определенного номера телефона, выберите Проверять код звонящего (Verify Caller-ID) и затем впишите номер телефона, с которого пользователю разрешено выполнять удаленное соединение. Для того, чтобы иметь возможность пользоваться этой функцией, ее должна поддерживать Ваша телефонная сеть.
2. Определите настройки обратного вызова, используя следующие параметры:

•  Ответный вызов не выполняется (No Callback). Пользователь устанавливает соединение и остается подключенным к сети, при этом он вынужден будет оплачивать соединение в случае его тарификации. 

•  Устанавливается вызывающим (Set By Caller). Пользователь устанавливает соединение и в ответ на запрос сервера вводит номер для обратного вызова. После ввода номера происходит отключение пользователя, сервер выполняет обратный вызов по указанному пользователем номеру телефона для восстановления соединения. В случае тарификации соединения счета будет оплачивать компания.

Примечание. Не следует предоставлять возможность обратного вызова для пользователей, осуществляющих входящее соединение с помощью коммутатора. Коммутатор может не позволить пользователям выполнить нормальное подключение к сети.  

•  Всегда по этому номеру (Always Callback To). В целях безопасности Вы можете заранее установить номер телефона, на который следует звонить для осуществления обратного вызова. При поступлении входящего вызова от пользователя сервер перезванивает по предварительно записанному номеру. В случае тарификации соединения счета будет оплачивать компания. При этом методе снижается риск доступа к Вашей сети посторонних лиц.

Примечание. Не следует применять метод с предварительно заданными номерами для осуществления обратного вызова в случае использования многоканальных линий. На таких линиях эта функция может работать неправильно. 

3. При необходимости Вы можете назначить статические IP-адреса и статические маршруты для входящих соединений, используя Статический IP-адрес пользователя (Assign A Static IP Address) и Использовать статическую маршрутизацию (Apply Static Routes) соответственно. Для получения дополнительной информации об IP-адресах и маршрутизации обратитесь к Главе 15.

Настройка параметров безопасности учетной записи

На вкладке Учетная запись (Account) диалогового окна Свойства пользователя (Properties) имеется множество параметров, позволяющих поддерживать сетевое окружение в безопасности. Применяйте эти параметры для контроля использования учетных записей и возможностей, которые им предоставляются. Имеются следующие параметры:

Потребовать смену пароля при следующем входе в систему (User Must Change Password At Next Logon). Установка данного параметра приведет к тому, что пользователь должен будет самостоятельно сменить пароль при следующем входе в систему.
Запретить смену пароля пользователем (User Cannot Change Password). Установка данного параметра запрещает пользователю изменять пароль учетной записи.
Срок действия пароля не ограничен (Password Never Expires). Установка данного параметра гарантирует, что пароль будет действителен всегда, тем самым снимаются ограничения обычного срока действия пароля.

Внимание. Установка данного параметра может поставить под угрозу безопасность сети. Возможно, Вы захотите использовать параметр Срок действия пароля не ограничен (Password Never Expires) для учетных записей администраторов, но в большинстве случаев не следует использовать ее для учетных записей обычных пользователей.

Хранить пароль, используя обратимое шифрование (Store The Password Using Reversible Encryption). Установка данного параметра позволяет хранить пароль в виде зашифрованного открытого текста.
Учетная запись отключена (Account Is Disabled). Установка данного параметра приводит к отключению учетной записи, что предотвращает возможность доступа пользователя к сети и входа в систему.
Для интерактивного входа в сеть нужна смарт-карта (Smart Card Is Required For Interactive Logon). Установка данного параметра требует от пользователя наличия смарт-карты для входа в систему. При этом пользователь не сможет выполнить вход на рабочей станции введя имя пользователя и пароль на клавиатуре.
Учетная запись доверена для делегирования (Account Is Trusted For Delegation). Установка данного параметра определяет, что пользователю, возможно, необходимы будут права на управление объектами в Active Directory, и что пользователю доверено выполнять любые разрешенные действия над теми объектами, в соответствии с предоставленными пользователю полномочиями.

Примечание. Для большинства пользователей этот параметр не нужен. Предоставлять это разрешение можно только для пользователей со специальными правами или в целях управления Active Directory.

Учетная запись важна и не может быть делегирована (Account Is Sensitive And Cannot Be Delegated). Установка этого параметра определяет, что пользователю нельзя доверять делегирование полномочий. Возможно, Вы захотите использовать этот параметр для всех обычных учетных записей пользователей, чтобы предотвратить возможность манипуляции объектами Active Directory, кроме тех случаев, когда Вы или другие авторизованные администраторы специально это разрешили.
Использовать тип шифрования DES для этой учетной записи (Use DES Encryption Types For This Account). Установка этого параметра определяет, что для этой учетной записи пользователя будет использоваться шифрование DES (Data Encryption Standard).
Без предварительной проверки подлинности Kerberos (Do Not Require Kerberos Preauthentication). Установка этого параметра определяет, что для доступа к ресурсам сети не нужно предварительно проверять подлинность с помощью протокола Kerberos. Предварительная проверка подлинности является частью процедуры обеспечения безопасности протокола Kerberos версии 5. Возможность входа без этой проверки оставлена для возможности использования старых клиентов, использующих старые или нестандартные реализации протокола Kerberos.

Материал взят из книги «Windows 2000. Руководство администратора». Автор Уильям Р. Станек. © Корпорация Microsoft, 1999. Все права защищены.




Обсуждение статьи на форуме
Автор: Александр Пришляк aka Alexander_Grig  •  Иcточник: (переведено с англ.) Microsoft Technet  •  Опубликована: 21.07.2006
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.