Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows 2000/NT Администрирование Настройка политик управления правами пользователей RSS

Настройка политик управления правами пользователей

Текущий рейтинг: 3.26 (проголосовало 34)
 Посетителей: 52575 | Просмотров: 69556 (сегодня 2)  Шрифт: - +
Club logo

Информация взята из восьмой главы книги «Windows 2000. Руководство администратора». Автор Уильям Р. Станек (William R. Stanek).

Глава 7 описывает встроенные возможности и права пользователей. Хотя Вы не можете изменить встроенные возможности для учетных записей, Вы можете управлять правами учетных записей пользователей. Обычно управление правами учетных записей пользователей выполняется путем добавления пользователя в соответствующую группу или группы. Вы также можете применять права пользователей напрямую путем управления правами пользователя для его учетной записи.

Примечание. Любой пользователь, являющийся членом группы, которой назначено определенное право, также имеет это право. Например, если у группы Операторы архива (Backup Operators) имеется определенное право, и TJSMITH является членом этой группы, то у него также есть это право. Помните, что изменения, которые Вы производите с правами пользователей, могут иметь далеко идущие последствия. Поэтому только опытные администраторы должны вносить изменения в политику прав пользователей.

Права пользователей назначаются через узел Локальные политики (Local Policies) Групповой политики (Group Policies). Исходя из названия ясно, что локальные политики принадлежат локальному компьютеру. Вы можете также настраивать эти локальные политики, как часть существующей Групповой политики для сайта, домена или подразделения. Когда Вы это делаете, локальные политики применяются к учетным записям компьютеров в сайте, домене или подразделения.

Для управления политиками прав пользователей, выполните следующие шаги:

1. Откройте контейнер групповой политики, с которым Вам необходимо работать, затем откройте узел Локальные политики (Local Policies), спускаясь по дереву консоли. Разверните узлы Конфигурация компьютера (Computer Configuration), Конфигурация Windows (Windows Settings), Параметры безопасности(Security Settings), затем Локальные политики (Local Policies).
2. Разверните Присвоение прав пользователя (User Rights Assignment), как показано на рисунке 8-5. Теперь Вы можете управлять правами пользователя.
3. Для назначения прав пользователя, дважды щелкните или щелкните правой кнопкой по праву пользователя и выберите Свойства (Properties). Откроется диалоговое окно Свойства (Properties).
4. Теперь можно настроить права пользователя, как описано в шагах 1-4 раздела «Локальная настройка прав пользователей» или шагах 1-7 следующего раздела «Глобальная настройка прав пользователей»  

Рисунок 8-5. Используйте узел Назначение прав пользователя (User Rights Assignment) для конфигурирования прав пользователей текущего контейнера групповой политики.

Глобальная настройка прав пользователей

Вы можете настроить индивидуальные права пользователей для сайта, домена или подразделения, выполнив следующие шаги:

1. Откройте диалоговое окно Свойства (Properties) для права пользователя, как показано на Рисунке 8-6.

Примечание. Все политики могут быть либо определены, либо не определены. Это означает, что они либо настроены для использования, либо нет. Политика, которая не определена в данном контейнере, может быть унаследована от другого контейнера.

2. Выберите «Определить следующие параметры политики в шаблоне (Define These Policy Settings)», чтобы определить политику
3. Чтобы применить право пользователю или группе, нажмите кнопку Добавить пользователя или группу (Add). Откроется диалоговое окно Выбор: Пользователи или группы (Select Users Or Groups), показанное на рисунке 8-7. В этом окне используются следующие поля:

Искать в. Чтобы получить доступ к учетным записям из других доменов, раскройте список Искать в. Вы увидите список, в котором перечислены: текущий домен, доверенные домены и другие доступные Вам ресурсы. 

Рисунок 8-6. Определите право пользователя и назначьте его пользователю или группе.

Примечание. Только домены, с которыми установлены доверительные отношения, доступны в списке Искать в (Look In). Перечисление всех доменов  из дерева доменов или леса возможно вследствие наличия транзитивных доверительных отношений в Windows 2000. Доверительные отношения не устанавливаются явно. Вернее, доверительные отношения устанавливаются автоматически, основываясь на структуре леса и наборе разрешений в нем. 

Имя. В этой графе перечислены доступные учетные записи выбранного домена или ресурса. 

Добавить. Для добавления пользователей  в список выбора используйте Добавить (Add). 

Проверить имена. Подтвердить имена пользователей и групп, введенных в окно выбора. Это полезно, если вводите имена вручную и хотите убедиться, что они доступны.  

4. После того, как Вы выбрали учетные записи для добавления в группу, нажмите кнопку ОК. В диалоговом окне Название группы (Group Name) будут отображены выбранные учетные записи. Еще раз нажмите кнопку ОК.
5. В обновленном диалоговом окне Свойства (Properties) отобразятся выбранные Вами пользователи. Если Вы ошиблись, выделите имя и удалите его, нажав кнопку Удалить (Remove)
6. Если Вы закончили назначение прав пользователям и группам, нажмите кнопку ОК.

Локальная настройка прав пользователей

Чтобы назначить права пользователей на локальном компьютере, выполните следующие шаги:

1. Откройте диалоговое окно Свойства (Properties) для конфигурирования прав, изображенное на Рисунке 8-8.
2. Действующая политика для компьютера показана, но Вы не можете изменить её. Однако Вы можете изменить параметры локальной политики, используя специальные поля. Помните, что политики сайта, домена и подразделения имеют превосходство над локальными политиками. 

Рисунок 8-7. Используйте диалоговое окно Выбор: Пользователи или группы, чтобы присвоить права пользователям или группам.

3. Графа Назначен (Assigned To) показывает текущих пользователей и группы, которым было назначено право.

Установите или снимите соответствующие флажки под графой Параметры локальной политики (Local Policy Setting), чтобы присвоить или отменить право пользователя.

Вы можете назначить данное право дополнительным пользователям и группам, нажав кнопку Добавить (Add). Откроется диалоговое окно Выбор: Пользователи или группы (Выбор: Пользователи или группы), показанное на Рисунке 8-7 ранее. Теперь можно добавить пользователей и группы.

Наверх страницы

Добавление учетной записи пользователя

Необходимо создать учетную запись для каждого пользователя, которому нужно использовать сетевые ресурсы. Доменные учетные записи пользователей создаются с помощью оснастки Active Directory – Пользователи и компьютеры (Active Directory Users And Computers) . Локальные учетные записи создаются с помощью оснастки Локальные пользователи и группы (Local Users And Groups).

Создание доменных учетных записей пользователей

Существует два способа создания новых учетных записей пользователей в домене:

Создание полностью новой учетной записи пользователя. Чтобы создать совершенно новую учетную запись, щелкните правой кнопкой на контейнере, в который Вам необходимо поместить учетную запись, выберите Новый объект (New), затем Пользователь (User). Откроется окно мастера Новый объект – Пользователь (New Object - User), показанное на Рисунке 8-9. Когда Вы создаете новую учетную запись, используются системные параметры, установленные по умолчанию. 

Рисунок 8-8. Определите право пользователя, затем присвойте его пользователям или группам.

Создание новой учетной записи на основе существующей учетной записи. Щелкните правой кнопкой по учетной записи пользователя, которую Вам необходимо скопировать, в оснастке Active Directory – Пользователи и компьютеры (Active Directory Users And Computers), затем выберите Копировать (Copy). Откроется мастер Копирование объекта – Пользователь (Copy Object - User), аналогичный мастеру Новый объект – Пользователь (New Object - User). Несмотря на то, что Вы создаете копию учетной записи, новая учетная запись получит большинство настроек из существующей учетной записи. Для получения дополнительной информации по копированию учетных записей обратитесь к разделу «Копирование доменных учетных записей» ("Copying Domain User Accounts") Главы 9.

Запустив один из мастеров, Новый объект – Пользователь (New Object - User) или Копирование объекта – Пользователь (Copy Object - User), Вы можете создать учетную запись, выполнив следующие шаги:

1. Первое диалоговое окно мастера используется для настройки отображаемого имени пользователя и имени входа, как показано на Рисунке 8-9.
2. Введите имя и фамилию пользователя в предназначенные для этого поля. Имя и фамилия используются для создания полного имени, которое является отображаемым именем пользователя.
3. Внесите в поле Полное имя (Full Name) необходимые изменения. Например, Вам может понадобиться ввести имя в формате «Фамилия Имя Инициал» или в формате «Имя Инициал Фамилия». Полное имя должно быть уникальным в пределах домена и не длиннее 64 символов.
4. В поле Имя входа пользователя (User Logon Name) введите имя пользователя для входа в систему. Затем выберите из выпадающего списка домен, с которым будет связана учетная запись. Это однозначно определяет имя входа.
5. Для создания имени входа совместимого с Windows NT 4.0 или более ранними версиями Windows, используются первые 20 символов имени входа Windows 2000. Имя входа должно быть уникальным в пределах домена. Измените имя входа Windows NT 4.0 или более ранних версий, если это необходимо. 

Рисунок 8-9. Настройте имя входа и отображаемое имя пользователя.

6. Нажмите кнопку Далее (Next). Настройте пароль пользователя, используя диалоговое окно, показанное на рисунке 8-10. Поля этого диалогового окна перечислены ниже:

Пароль (Password). Пароль для учетной записи. Этот пароль должен соответствовать правилам вашей политики паролей. 

Подтверждение (Confirm Password). Поле предназначено для того, чтобы удостовериться в правильности ввода пароля учетной записи. Повторно введите пароль, чтобы подтвердить его. 

Потребовать смену пароля при следующем входе в систему (User Must Change Password At Next Logon). Если этот флажок установлен, пользователю придется сменить пароль при входе. 

Запретить смену пароля пользователем (User Cannot Change Password). Если флажок установлен, пользователь не сможет сменить пароль. 

Срок действия пароля не ограничен (Password Never Expires). Если флажок установлен, срок действия пароля для этой учетной записи не ограничен. Этот параметр аннулирует политику учетных записей домена. Обычно не рекомендуется задавать пароли без срока действия, поскольку это противоречит самой идее использования паролей. 

Отключить учетную запись (Account Is Disabled). Если флажок установлен, учетная запись отключена и не может быть использована. Используйте этот флажок для временной блокировки учетной записи. 

7. Нажмите кнопку Далее (Next), затем нажмите кнопку Готово (Finish) для создания учетной записи. Если во время создания учетной записи возникли проблемы, Вы увидите предупреждение, и Вам придется использовать кнопку Назад (Back), чтобы заново ввести информацию об имени пользователя и его пароле в соответствующих диалоговых окнах, если это необходимо.

Когда учетная запись создана, можно установить для нее дополнительные свойства, которые описаны далее в этой главе. 

Рисунок 8-10. Настойка пароля пользователя.

Создание локальных учетных записей пользователей

Локальные учетные записи пользователей создаются с помощью оснастки Локальные пользователи и группы (Local Users And Groups). Для доступа к этой утилите и создания учетной записи Вам необходимо выполнить следующие шаги:

1. Нажмите Пуск (Start), Программы(Programs), Администрирование(Administrative Tools), Управление компьютером (Computer Management) или просто выберите Управление компьютером (Computer Management) в папке Администрирование (Administrative Tools).
2. Щелкните правой кнопкой мыши по узлу Управление компьютером (Computer Management) в дереве консоли и выберите Подключиться к другому компьютеру (Connect To Another Computer) из контекстного меню. Теперь можно выбрать компьютер, учетными записями пользователей которого Вам необходимо управлять. У контроллеров домена нет локальных пользователей и групп.
3. Раскройте узел Служебные программы (System Tools), нажав на значок «плюс» (+) возле него, и выберите Локальные пользователи и группы (Local Users And Groups).
4. Щелкните правой кнопкой мыши папку Пользователи (Users) и выберите Новый пользователь (New User). Откроется диалоговое окно Новый пользователь (New User), показанное на Рисунке 8-11. Поля этого диалогового окна перечислены ниже:

Пользователь (Username). Имя входа для учетной записи пользователя. Это имя должно соответствовать правилам вашей политики локальных имен. 

Полное имя (Full Name). Полное имя пользователя, такое как William R. Stanek 

Описание (Description). Описание пользователя. Обычно в это поле записывают название должности пользователя, такое как «Вебмастер», или название должности и отдел. 

Пароль (Password). Пароль для учетной записи. Этот пароль должен соответствовать правилам вашей политики паролей. 

Подтверждение (Confirm Password). Поле предназначено для того, чтобы удостовериться в правильности ввода пароля учетной записи. Повторно введите пароль, чтобы подтвердить его. 

Рисунок 8-11. Настройка локальной учетной записи пользователя отличается от настройки доменной учетной записи. 

• 

Потребовать смену пароля при следующем входе в систему (User Must Change Password At Next Logon). Если этот флажок установлен, пользователю придется сменить пароль при входе. 

Запретить смену пароля пользователем (User Cannot Change Password). Если флажок установлен, пользователь не сможет сменить пароль. 

Срок действия пароля не ограничен (Password Never Expires). Если флажок установлен, срок действия пароля для этой учетной записи не ограничен. Этот параметр аннулирует политику учетных записей домена.  

Отключить учетную запись (Account Is Disabled). Если флажок установлен, учетная запись отключена и не может быть использована. Используйте этот флажок для временной блокировки учетной записи. 

5. Нажмите кнопку Создать (Create), когда закончите настройку новой учетной записи.

Наверх страницы

Создание учетной записи группы

Группы используются для управления правами нескольких пользователей. Учетные записи глобальных групп (Примечание переводчика. Групп безопасности Active Directory, содержащих учетные записи только из собственного домена) создаются с помощью оснастки Active Directory – Пользователи и компьютеры (Active Directory Users And Computers), учетные записи локальных групп - с помощью оснастки Локальные пользователи и группы (Local Users And Groups).

Создавая учетные записи групп, помните, что группы создаются для схожих типов пользователей. Некоторые типы групп, которые Вам возможно понадобится создать, приведены ниже:

Группы для отделов организации. Обычно пользователям, работающим в одном отделе, необходим доступ к одним и тем же ресурсам. Поэтому Вы можете создать группы для отделов, таких как отдел развития, отдел продаж, отдел маркетинга или инженерный отдел.
Группы для пользователей особых приложений. Зачастую пользователям необходим доступ к приложению и ресурсам, связанным с этим приложением. Если Вы создаете группы для пользователей определенного приложения, Вы можете быть уверены, что у пользователей есть доступ к необходимым ресурсам и файлам приложения.
Группы на основе обязанностей пользователей. Группы также могут быть созданы по принципу разделения обязанностей пользователей. Например, управляющему, наблюдателю и обычному пользователю необходим доступ к различным ресурсам. Создавая группы по этому принципу, Вы можете быть уверены, что права доступа к необходимым ресурсам даны пользователям, которые в них нуждаются.

Создание глобальной группы

Для создания глобальной группы необходимо выполнить следующие шаги:

1. Запустите оснастку Active Directory – Пользователи и компьютеры (Active Directory Users And Computers). Щелкните правой кнопкой мыши по контейнеру, в который Вам необходимо поместить учетную запись группы. Потом выберите Создать (New) -> Группу (Group). Откроется диалоговое окно Новый объект – Группа (New Object - Group), показанное на Рисунке 8-12.
2. Введите название группы. Названия учетных записей глобальных групп должны соответствовать правилам для отображаемых имен учетных записей пользователей. Они не чувствительны к регистру и не могут быть длиннее 64 знаков.
3. При создании имени группы для совместимости с Windows NT 4.0 или более ранними версиями Windows, используются первые 20 символов названия группы Windows 2000. Название группы должно быть уникальным в пределах домена. Измените название группы Windows NT 4.0 или более ранних версий, если это необходимо. 

Рисунок 8-12. Диалоговое окно Новый объект – Группа позволяет добавлять новые глобальные группы в домен.

4. Выберите область действия группы: локальный домен, глобальная или универсальная.
5. Выберите тип группы: группа безопасности или группа распространения.
6. Для создания группы нажмите кнопку ОК. Теперь в группу можно добавить пользователей и установить дополнительные свойства, которые описаны далее в этой главе.

Создание локальной группы и добавление членов

Локальные группы создаются с помощью оснастки Локальные пользователи и группы (Local Users And Groups). Вы можете открыть её, выполнив следующие шаги:

1. Нажмите Пуск (Start), Программы(Programs), Администрирование(Administrative Tools), Управление компьютером (Computer Management) или просто выберите Управление компьютером (Computer Management) в папке Администрирование (Administrative Tools).
2. Щелкните правой кнопкой мыши по узлу Управление компьютером (Computer Management) в дереве консоли и выберите Подключиться к другому компьютеру (Connect To Another Computer) из контекстного меню. Теперь можно выбрать компьютер, учетными записями которого Вам необходимо управлять. У контроллеров домена нет локальных пользователей и групп.
3. Раскройте узел Служебные программы (System Tools), нажав на значок «плюс» (+), соответствующий этому узлу, и выберите Локальные пользователи и группы (Local Users And Groups).
4. Щелкните правой кнопкой мыши по папке Группы (Groups) и выберите Новая группа (New Group). Откроется диалоговое окно Новая группа (New Group), показанное на Рисунке 8-13.
5. После того, как Вы ввели название и описание группы, нажмите кнопку Добавить (Add), чтобы добавить пользователей в данную группу. Откроется диалоговое окно Выбор: Пользователи или группы (Select Users Or Groups), показанное на рисунке 8-7. Теперь можно добавить в группу членов. Поля данного диалогового окна описаны ниже:

Искать в (Look In). Чтобы получить доступ к учетным записям других компьютеров и доменов, щелкните по списку Искать в (Look In). Вы увидите список, в котором перечислены текущий компьютер, доверенные домены и другие ресурсы, к которым Вы можете получить доступ. 

Имя (Name). Эта графа показывает доступные учетные записи выбранного домена или ресурса. 

Добавить (Add). Добавить выбранные имена в список выбора. 

Проверить имена (Check Names). Подтвердить имена пользователей и групп, введенных в окно выбора. Это полезно, когда Вы вводите имена вручную и хотите убедиться, что они доступны. 

6. После того, как Вы выберете названия учетных записей для добавления в группу, нажмите кнопку ОК.
7. Диалоговое окно Новая группа (New Group) обновлено, чтобы отразить ваш выбор. Если Вы ошиблись, выделите имя и удалите его, нажав кнопку Удалить (Remove)
8. Когда Вы закончите добавление или удаление членов группы, нажмите кнопку Создать (Create)

Рисунок 8-13. Диалоговое окно Новая группа позволяет добавить новую локальную группу.

Наверх страницы

Управление принадлежностью к глобальной группе

Для настройки членства в группах используйте оснастку Active Directory – Пользователи и компьютеры (Active Directory Users And Computers). Работая с группами, помните о следующих моментах:

Все вновь созданные пользователи домена являются членами группы Пользователи домена (Domain Users), она также является их основной группой.
Все вновь созданные рабочие станции и рядовые серверы домена являются членами группы Компьютеры домена (Domain Computers), она также является их основной группой.
Все вновь созданные контроллеры домена являются членами группы Контроллеры домена (Domain Controllers), которая является их основной группой.

Оснастка Active Directory – Пользователи и компьютеры (Active Directory Users And Computers) предоставляет несколько способов управления членством в группах. Вы можете:

Управлять членством отдельных пользователей и компьютеров
Управлять членством нескольких пользователей и компьютеров
Устанавливать членство в основной группе для отдельных пользователей и компьютеров

Управление членством отдельных пользователей и компьютеров

Вы можете добавлять или удалять членство в группах для любого типа учетной записи, выполняя следующие шаги:

1. Дважды щелкните по пользователю, компьютеру или группе в оснастке Active Directory – Пользователи и компьютеры (Active Directory Users And Computers). Откроется диалоговое окно Свойства (Properties) учетной записи.
2. Выберите вкладку Участник (Member Of).
3. Чтобы сделать учетную запись членом группы, нажмите кнопку Добавить (Add). Откроется такое же диалоговое окно Выбор: Группы (Select Groups), как диалоговое окно Выбор: Пользователи или группы (Select Users Or Groups), описанное в предыдущих примерах.
4. Чтобы удалить учетную запись из группы, выберите группу и затем нажмите кнопку Удалить (Remove).
5. Нажмите кнопку ОК.

Управление членством нескольких пользователей или компьютеров

Диалоговое окно группы Свойства (Properties), также позволяет управлять членством в группах. Для добавления или удаления учетных записей выполните следующие шаги:

1. Дважды щелкните по пользователю или компьютеру в оснастке Active Directory – Пользователи и компьютеры (Active Directory Users And Computers). Откроется диалоговое окно Свойства (Properties) учетной записи.
2. Выберите вкладку Участники (Members).
3. Нажмите Добавить (Add), чтобы добавить учетные записи в группу. Откроется диалоговое окно Выбор: пользователи или группы (Select Users Or Groups). Выберите пользователей, компьютеры и группы, которые должны стать членами данной группы.
4. Чтобы удалить членов из группы, выделите учетную запись и затем нажмите кнопку Удалить (Remove).
5. Нажмите кнопку ОК.

Установка членства в основной группе для пользователей и компьютеров

Основные группы используются пользователями, которые работают с Windows 2000 через службы, совместимые с Макинтош. Когда пользователь Макинтош создает файлы или папки на компьютере, работающем под управлением Windows 2000, основная группа присваивается этим файлам и папкам.

Все учетные записи пользователей и компьютеров должны иметь основную группу, независимо от того работают они с Windows 2000 посредством Макинтош или нет. Эта группа должна быть глобальной или универсальной, такой как глобальная группа Пользователи домена (Domain Users) или глобальная группа Компьютеры домена (Domain Computers).

Чтобы установить основную группу, выполните следующие шаги:

1. Дважды щелкните по пользователю или компьютеру или группе в оснастке Active Directory – Пользователи и компьютеры (Active Directory Users And Computers). Откроется диалоговое окно Свойства (Properties) учетной записи.
2. Выберите вкладку Участник (Member Of).
3. Выберите глобальную или универсальную группу в списке Участник (Member Of).
4. Нажмите кнопку Установить основную группу (Set Primary Group).

Все пользователи должны быть членами хотя бы одной основной группы. Вы не можете аннулировать членство пользователя в основной группе, пока не присвоите пользователю другую основную группу. Чтобы сделать это, выполните следующие шаги:

1. Выберите другую глобальную или универсальную группу в списке Участник (Member Of), затем нажмите кнопку Установить основную группу (Set Primary Group)
2. В списке Участник (Member Of) выделите бывшую основную группу и нажмите кнопку Удалить (Remove). Членство в группе аннулировано.

Материал взят из книги «Windows 2000. Руководство администратора». Автор Уильям Р. Станек (William R. Stanek). © Корпорация Microsoft, 1999. Все права защищены.  




Обсуждение статьи на форуме
Автор: Александр Кузьменко aka Kthulhu  •  Иcточник: (переведено с англ.) Microsoft Technet  •  Опубликована: 22.07.2006
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.