Лабораторная работа №2. Учетные записи пользователей
1.
Цель работы:
Изучение типов учетных записей пользователей, планирование учетных записей
пользователей, создание и настройка учетных записей пользователей.
2.
Методические указания
Лабораторная работа направлена на ознакомление с основными понятиями учетных
записей пользователей в
Windows
Server
2003, получения навыков при планировании, создании и настройке учетных записей.
Требования к результатам выполнения лабораторного практикума:
2.1
Планирование новых учетных записей
Компания «Разноимпорт» ежегодно принимает на работу новых сотрудников (по
контракту на один год и в постоянный штат). Каждому пользователю требуется
собственная учетная запись.
Вам как сетевому администратору необходимо зарегистрировать 9 учетных записей.
Составьте свой «Шаблон планирования учетных записей», по образцу (колонка
«Описание» содержит название должности каждого из 9 сотрудников). Необходимо
занести в «Шаблон планирования учетных записей» следующие сведения:
-
Полное имя каждого из пользователей (колонка «Полное имя»).
-
Разработать свое соглашение об именах. Затем по нему определить
учетное имя каждого пользователя и записать его в колонку «Учетная запись».
-
Разработать требования к паролю каждого из пользователей и
перечислить их в колонке «Требования к паролю».
-
В колонке «Местонахождение домашнего каталога» указать один из двух
вариантов: локальный компьютер или сервер.
-
В колонке «Время работы» записать допустимые часы регистрации для
каждого пользователя (например, 24/7, если пользователю разрешено
регистрироваться круглые сутки 7 дней в неделю).
-
В колонке «Допустимые рабочие места» указать «Да», если работа
пользователя с разных машин будет ограничена и «Нет» — в противном случае.
-
Заполняя шаблон, помните о некоторых тонкостях:
-
У двоих сотрудников совпадают имена: и вице-президента, и торгового
консультанта ночной смены зовут Лариса Михайлова.
-
Постоянным сотрудникам нужно разрешить менять свои пароли.
-
Управление паролями временных сотрудников в целях безопасности
возлагается на администратора.
-
Каждому сотруднику нужен домашний каталог. Все каталоги следует
архивировать каждую ночь.
-
Постоянные сотрудники, работающие в ночную смену, должны иметь
доступ в сеть с 6 вечера до 6 утра.
-
Постоянные сотрудники, работающие в дневную смену, должны иметь
доступ в сеть круглосуточно 7 дней в неделю.
-
Временные сотрудники должны иметь возможность регистрации только с
назначенных им компьютеров с 8 утра до 5 вечера.
Шаблон планирования учетных записей
|
Полное имя |
Учетная запись |
Описание |
Требование к паролю |
Местонахождение домашнего каталога |
Время работы |
Допустимые места работы |
|
Лариса Михайловна |
|
Вице-президент |
|
|
|
|
|
|
|
Директор по кадрам |
|
|
|
|
|
|
|
Менеджер по продажам |
|
|
|
|
|
|
|
Торговый
представитель |
|
|
|
|
|
Лариса
Михайлова |
|
Торговый
консультант (ночное время) |
|
|
|
|
|
|
|
Торговый
консультант (дневное время) |
|
|
|
|
|
|
|
Главный бухгалтер |
|
|
|
|
|
|
|
Бухгалтер |
|
|
|
|
|
|
|
Временный сотрудник |
|
|
|
|
2.2 Создание учетных записей
2.3 Создание основной папки
-
Создайте домашний каталог для пользователей, записанных в «Шаблоне
планирования учетных записей».
2.4
Создание шаблона пользовательского профиля
Создайте учетную
запись
Template Profile (Шаблон профиля) — модель профиля. Затем настроите шаблон
профиля.
2.5 Копирование шаблона пользовательского профиля на сервер
Скопируйте профиль пользователя Template Profile на сетевой
сервер и назначите его пользователю UserN
(N=1..10)
(если необходимо создайте данного пользователя).
2.6 Перечисление пользователей, которым разрешено применять профиль
Укажите пользователя (UserN),
которому разрешено применять профиль.
2.7 Удаление профиля учетной записи Template Profile
Удалите ставший ненужным профиль учетной записи Template Profile.
Далее будет использоваться только профиль, размещенный на сервере.
2.8
Указание пути к серверному профилю
Укажите пользователю UserN путь к серверному профилю.
Создание отчёта
Отчёт должен быть оформлен согласно требованиям
к результатам выполнения лабораторного практикума
http://unesco.kemsu.ru/student/rule/rule.html.
Он должен содержать выводы, характеризующие
итоги проделанной работы.
Необходимо включить в отчёт скриншоты, иллюстрирующие основные
действия по выполнению лабораторного практикума.
3.
Теоретический материал
3.1
Основные понятия
Учетная запись пользователя — основа защиты
Windows
Server 2003, это
уникальный личный код, предоставляющий право на доступ к ресурсам.
Каждый пользователь, регулярно работающий в домене или на одном из его
компьютеров, должен иметь учетную запись. Учетные записи позволяют
администратору контролировать доступ пользователей к ресурсам домена и локальным
ресурсам компьютера, например ограничить часы, когда пользователь может
зарегистрироваться в домене.
3.2
Стандартные учетные записи
При установке Windows Server 2003 создаются стандартные учетные
записи пользователей. Они предназначены для начальной настройки, необходимой для
развития сети, Вот три типа стандартных учетных записей:
-
встроенные (built-in) учетные записи пользователей устанавливаются
вместе с ОС, приложениями и службами;
-
предопределенные (predefined) учетные записи пользователей
устанавливаются вместе с ОС;
-
неявные (implicit) — специальные группы, создаваемые неявно при обращении к
сетевым ресурсам; их также называют специальными объектами (special identities).
Примечание: Удалить пользователей и группы, созданные ОС, нельзя.
Встроенные учетные записи
Все системы Windows Server 2003 обладают тремя встроенными учетными
записями.
-
Локальная система (Local System) — учетная псевдозапись для
выполнения системных процессов и обработки задач системного уровня, доступная
только па локальной системе.
-
Local Service —учетная псевдозапись для запуска служб, которым
необходимы дополнительные привилегии или права входа на локальной системе.
-
Network Service — учетная псевдозапись для служб, которым требуются
дополнительные привилегии или права входа на локальной системе и в сети.
Предопределенные учетные записи пользователей
Вместе с Windows Server 2003 устанапливаются некоторые записи:
Администратор (Administrator), Гость (Guest),
ASPNET
и Support. На рядовых серверах предопределенные учетные записи
являются локальными для той системы, где они установлены.
У предопределенных учетных записей есть аналоги в Active Directory,
которые имеют доступ по всему домену и совершенно независимы от локальных
учетных записей на отдельных системах.
Учетная запись
Администратор (Administrator)
Эта предопределенная учетная запись обладает полным доступом к файлам, папкам,
службам и другим ресурсам; ее нельзя отключить
или удалить. В Active Directory она обладает доступом и привилегиями во всем
домене. В остальных случаях Администратор (Administrator) обычно имеет доступ
только к локальной системе. Файлы и папки можно временно закрыть от
администратора, но он имеет право в любой момент вернуть себе контроль над
любыми ресурсами, сменив разрешения доступа.
Учетная запись Гость (Guest)
Эта учетная запись предназначена для пользователей, которым нужен разовый или
редкий доступ к ресурсам компьютера или сети. Гостевая учетная запись обладает
весьма ограниченными системными привилегиями, тем не менее применяйте ее с
осторожностью, поскольку она потенциально снижает безопасность.
Типы учетных записей
В
Windows Server 2003 определены пользовательские
учетные записи двух типов:
-
Доменные учетные
записи (domain user accounts) определены и Active Directory. Посредством системы
однократного ввода пароля такие учетные записи могут обращаться к ресурсам во
всем домене. Они создаются в консоли Active Directory — пользователи и
компьютеры (Active Directory Users and Computers).
-
Локальные учетные
записи (local user accounts) определены на локальном компьютере, имеют доступ
только к его ресурсам и должны аутентифицироваться, прежде чем получат доступ к
сетевым ресурсам. Локальные учетные записи пользователей создают в оснастке
Локальные пользователи и группы (Local Users and Groups).
Примечание: Локальные учетные записи пользователей и групп хранятся
только на рядовых серверах и
рабочих станциях. На первом контроллере домена они
перемещаются в Active Directory и преобразуются в доменные учетные
записи.
Резюме
Стратегия защиты Windows
Server 2003 основана на понятии учетной записи пользователя.
Встроенная учетная запись Administrator (Администратор) имеется на всех
компьютерах, работающих под управлением Windows
Server 2003. Она служит для управления ресурсами и конфигурацией компьютеров.
Встроенная учетная запись
Guest (Гость) имеется на всех компьютерах, работающих под управлением
Windows Server 2003. Она позволяет пользователям, работающим на компьютере от
случая к случаю, получить доступ к локальным ресурсам. Эта запись по умолчанию
отключена.
Локальная учетная запись позволяет зарегистрироваться в системе и получить
доступ к локальным ресурсам компьютера. Для работы с ресурсами другого
компьютера пользователю необходимо иметь локальную учетную запись и на нем.
Создавайте локальные учетные
записи только в рабочей группе.
3.3 Планирование учетных записей пользователей
Прежде чем создавать учетные записи, необходимо сформулировать свои
требования к пользователям, учитывая принятый в
вашей сети уровень защиты — так называемую учетную стратегию.
Основные правила
планирования новых учетных записей
Соглашение об именах. Используйте уникальные и
содержательные имена учетных записей
пользователей.
Требования к паролям. Используйте режимы усиления
парольной защиты. Например, решите, может ли
пользователь менять собственный пароль лишь иногда, или он должен это делать
регулярно.
Часы регистрации. Выберите интервал
времени, в течение которого пользователи могут
регистрироваться в системе.
Ограничение на места работы. Составьте список
компьютеров под управлением Windows Server
2003, на которых разрешено работать пользователю. По умолчанию это может быть
любая рабочая станция.
Местонахождение домашнего каталога. Выберите место для
размещения домашних каталогов пользователей на
локальном компьютере или на сервере. Размещение на сервере позволяет
централизованно управлять данными и архивировать их.
Соглашение об именах
Соглашение об именах устанавливает, как пользователи будут называться при работе
в сети.
Учетные имена пользователей должны быть
уникальны: глобальные учетные записи — в рамках домена, локальные — на
соответствующем компьютере.
Имена пользователей могут содержать до
64 любых символов в
верхнем или нижнем регистре, кроме символов
= + * ? < >.
Можно также использовать комбинации букв, цифр и специальных символов.
Имена для входа могут содержать все другие специальные символы, включая пробелы,
точки, тире и символы подчеркивания. Но вообще применение пробелов в именах
учетных записей не рекомендуется.
Примечание: Хотя Windows
Server 2003 хранит имена пользователей в
том регистре,
в котором вы их ввели, от
регистра они не зависят.
В больших организациях удобно помечать учетные записи временных
сотрудников.
Например, использовать для этой цели префикс В- (В-ИванП).
Требования к паролям
Следующий элемент учетной стратегии — выработка требований к паролям
пользователей. Пароль необходим каждой учетной записи, поскольку он защищает
домен или
компьютер от несанкционированного доступа. Это особенно важно в сетях со средним
и высоким уровнем безопасности и для сетей, подключенных к Интернету.
Разрабатывая стратегию парольной защиты, имейте в виду следующее.
Учетная
запись
Administrator (Администратор) обязательно должна быть защищена паролем,
чтобы предотвратить неавторизованный доступ к ее возможностям.
Возможно несколько вариантов управления паролями:
–
назначить
пользователю пароль и запретить его изменение (в этом случае управление паролями
возлагается на администратора);
–
назначить пароль, но
потребовать, чтобы пользователь изменил его при первой регистрации в системе (в
этом случае учетная запись всегда защищена, а пароль известен только владельцу
учетной записи; здесь управление паролями возложено на пользователя).
–
Срок действия учетной
записи. Для внештатных сотрудников этот срок ограничивается временем действия
контракта или трудового соглашения.
–
Пароль — это
чувствительная к регистру строка до 127 символов длиной. В паролях можно
применять буквы, цифры и спецсимволы, Windows Server 2003 сохраняет пароль в
зашифрованном виде в базе данных учетных записей.
Часы регистрации
По умолчанию пользователь может подключаться к серверу в течении 24 часов
семь
дней в неделю. Чтобы повысить уровень защиты сети, ограничивается время
регистрации пользователя.
Это полезно, например, в следующих случаях:
–
если часы регистрации
входят в список требований защиты (например, в сети государственного
учреждения);
–
если работа на
предприятии — многосменная.
Местонахождение
домашнего каталога
В
домашнем
каталоге пользователь хранит свои файлы и программы. Домашний каталог полезен
тем, что служит отправной точкой поиска файлов пользователя. Каждому
пользователю следует назначить свой домашний каталог.
Если
пользователю
не назначается домашний каталог, по умолчанию им будет папка Users\Default
локального компьютера.
Домашний каталог может быть размещен как на сетевом сервере, так и на локальном
компьютере пользователя.
Размещение домашних
каталогов на сервере
При размещении домашних каталогов на сервере надо обязательно
учитывать
некоторые особенности.
Рисунок 1
-
Архивирование и восстановление данных. Одна из
важнейших задач администратора — предотвращение потери данных. Когда файлы
расположены на сервере, гораздо легче обеспечить их резервное копирование и
восстановление. Если домашние каталоги пользователей размещены на локальных
компьютерах, придется регулярно архивировать файлы на каждом компьютере.
-
Место на
сервере.
Достаточно ли места на жестких дисках сервера для пользовательских данных
-
Защита.
В любой сети легче обеспечить безопасность данных при их централизованном
хранении.
-
Применение RAS
uлu совместное использование компьютеров. Если
пользователи подключаются к сети с помощью службы дистанционного доступа (Remote
Access Service, RAS) или используют компьютеры совместно, их данные в домашних
каталогах, размещенных на сервере, доступны с любой рабочей станции сети.
Размещение домашних
каталогов на компьютерах пользователей
-
Пространство на
дисках пользовательских компьютеров.
Если на локальных дисках достаточно места и централизованное архивирование
данных не нужно, домашние каталоги размещаются на компьютерах пользователей.
-
Быстродействие.
Если домашний каталог пользователя размещен на его собственном компьютере,
трафик в сети заметно уменьшается.
Рисунок 2
Создание
пользовательских учетных записей
Active
Directory
Users
and
Computers.
Для работы с ними необходимы полномочия администратора.
Доступ к
Windows
Server 2003 для практических заданий
Из класса
sunray2 (математический
факультет) подключиться к серверу
winray2 с
помощью
Citrix
Ica
Client
Из
winray1 подключиться к (192.168.92.129) с помощью «Подключение к
удаленному
рабочему столу» (
Start-Programs- Стандартные - Связь – Подключение к удаленному рабочему столу) (Login/Password
–
adminN
/
adminN,
где
N=1..10)
Консоль
Active Directory Users and Computers
Консоль
Active
Directory
Users
and
Computers (Active
Directory — пользователи и компьютеры)
предназначена для создания, удаления или временного отключения глобальных
учетных записей пользователей на основном контроллере домена и с локальными
учетными записями на любом компьютере домена.
Рисунок 3
Рисунок 4
Рисунок 5
В приведенной ниже таблице перечислены параметры пароля и ситуации,
в
которых они могут потребоваться.
|
Флажок
|
Когда применяется
|
|
Требовать смену пароля при следующем входе в систему, режим по
умолчанию
|
Если Вы хотите, чтобы пользователи меняли свои пароли при первой
регистрации в системе. Это обеспечивает конфиденциальность пароля. Даже
если Вы не назначаете пароль, Вы должны заставить пользователей задать
его при первой регистрации |
|
Запретить смену пароля пользователем
|
Если несколько пользователей работают по одной учетной записи
(например, Guest), или Вы хотите сохранить административный
контроль за пользовательскими паролями |
|
Срок действия пароля не ограничен
|
Для учетных записей, менять пароль которых не требуется.
Например, учетные записи, которыми пользуются службы Windows
Server 2003
(служба репликации и др.). Этот флажок отменяет действие флажка
Требовать смену пароля при следующем входе в систему, режим по умолчанию
|
|
Отключить учетную запись |
Если нужно временно запретить использование учетной записи
(например, в случае командировки сотрудника) |
Создание домашнего каталога
При создании домашнего каталога пользователя надо указать имя
компьютера,
на котором он будет находиться и его название. Для централизованного размещения
основных каталогов выполните следующие действия.
Создайте на сервере папку Users (Пользователи) — в ней разместятся
домашние каталоги пользователей. Эту операцию достаточно выполнить один раз.
Обеспечьте общий доступ к этой папке и присвойте право доступа
Full Control (Полный контроль) всем пользователям, чтобы они могли подключаться к ней.
Эту операцию также достаточно выполнить единожды.
Для
каждой учетной записи укажите имя и местонахождение домашнего каталога в
диалоговом окне Свойства на вкладке Профиль.
Вместо имени пользователя в названии основного каталога можно
ввести
переменную
среды %Username% — Windows
Server 2003 заменит
ее на учетное имя пользователя.
Укажите символ для сетевого диска при подключении пользователя к
основному каталогу.
Выбор
домашнего каталога пользователя в диалоговом окне Свойства на вкладке
Профиль.
Рисунок 6
Настройка параметров учетной записи
В
диалоговом окне Свойства вкладке Учетная запись (Account) можно установить следующие параметра.
Время входа (Logon
Hours):
используется
для установки допустимых часов регистрации пользователем.
Срок действия учетной записи:
используется
для установки даты автоматического отключения учетной записи. Чтобы установить
эту дату, выберете пункт истекает и введите ее в текстовое поле. Эта
возможность удобна для работы с временными учетными записями сотрудников,
работающих по контракту, или совместителей.
Рисунок 7
Удаление и переименование учетных записей
В Windows
Server 2003 каждой учетной
записи при ее создании присваивается уникальный защитный код (Security
Identifier, SID) — число, которое идентифицирует учетную запись. Системные
процессы Windows
Server
2003 оперируют
именно с идентификатором защиты, а не именами учетных записей
пользователей и групп.
Удаление учетной записи навсегда уничтожает и ее саму, и связанные
с ней права. Например, если Вы
создадите учетную запись, потом удалите ее, а затем создадите новую запись с
тем же именем, новая запись не приобретет привилегий и прав доступа удаленной
записи, поскольку эти записи имеют разные идентификаторы защиты. При
переименовании учетной записи ее права и привилегии сохраняются, поскольку
идентификатор защиты остается прежним.
Резюме
Консоль Active Directory Users and Computers позволяет
создавать, удалять и отключать глобальные и
локальные
учетные записи на основном контроллере домена.
Защищайте новые
учетные записи первоначальным паролем и обяжите пользователей менять
пароль при первой регистрации в системе. Это обеспечит защиту учетной записи и
конфиденциальность пользовательского пароля.
Создавая домашние каталоги пользователей, Вы указываете диск, к
которому будет подключен
пользователь, имя сервера и сетевое имя ресурса. Чтобы автоматизировать
назначение имен домашних каталогов, вместо имени пользователя применяйте
переменную среды %Username%.
Ограничивая время регистрации, Вы указываете дни недели и интервал
времени, когда для пользователя разрешена или запрещена регистрация.
Чтобы ограничить доступные пользователю места работы, Вы можете
указать до восьми
компьютеров, где может регистрироваться данный пользователь.
Вы можете указать дополнительные параметры учетной записи: срок
действия и время входа.
3.4 Профили пользователей
Профили — это удобное средство настройки и управления средой
рабочего стола пользователей.
Основные понятия
Локальный, перемещаемый и обязательный профили
В Windows Server 2003 каждый пользователь обладает профилем. Профили управляют
параметрами запуска сеанса пользователя, типами доступных программ и приложений,
параметрами рабочего стола и т. д. Каждый компьютер, на который входит
пользователь, оснащен своей копией профиля пользователя. Профиль хранится на
жестком диске; поэтому пользователь, работающий на нескольких рабочих станциях,
должен обладать профилем на каждом из них. Другой компьютер сети не может
обращаться к профилю, сохраненному локально, или
локальному профилю
(local profile); очевидно, что в этом есть свои недостатки. Например, если
пользователь работает на трех рабочих станциях, то на каждой системе у него
могут быть разные профили. В результате пользователь может запутаться в том,
какие сетевые ресурсы доступны ему на каждой из систем.
Чтобы уменьшить путаницу, можно создать профиль, доступный другим компьютерам, —
перемещаемый профиль
(roaming profile). К такому профилю пользователь вправе обращаться с любого
компьютера домена. Перемещаемые профили хранятся только на сервере Windows
Server 2003. При входе пользователя с перемещаемым профилем в систему создается
локальная копия профиля на компьютере пользователя. Когда пользователь выходит
из системы, измененный профиль обновляется как на сервере, так и локально.
Администратор может управлять профилями пользователей или позволить им самим
распоряжаться своими профилями.
Управлять профилями пользователей администратору стоит лишь по одной причине:
чтобы убедиться, что у всех пользователей одинаковые параметры сети. Это может
уменьшить число проблем, связанных с сетевой средой. Профили, управляемые
администраторами, называются
обязательными
(mandatory). Пользователям с обязательными профилями разрешено производить лишь
временные изменения своего окружения, которые не будут сохранены: при следующем
входе в систему реализуется первоначальный профиль. Благодаря этому пользователи
но смогут произвести необратимых изменений сетевой среды. Глинный недостаток
обязательных профилей в том, что, если сервер, на котором хранится профиль,
недоступен, у пользователя возникнут проблемы со входом в систему.Точнее, если
недоступен только сервер, пользователь получит предупреждение, но сможет войти в
локальную систему при помощи котированного системного профиля. Если недоступен и
кэшированный профиль, вход в систему окажется невозможным.
Создание серверного профиля пользователя
Создайте шаблон пользовательского профиля с подходящей
конфигурацией. Для этого сначала
создайте новую
учетную запись, а затем настройте параметры рабочего стола.
Создайте папку Profiles и обеспечьте общий доступ к ней.
Скопируйте шаблон пользовательского профиля на сервер и укажите,
кому разрешено пользоваться этим профилем.
В диалоговом
окне Свойства
на вкладке Профиль
укажите путь к файлу профиля.
Копирование профиля на сервер
Копирование пользовательского профиля осуществляется с помощью
программы
Система панели управления. Щелкнув вкладку Дополнительно в
диалоговом окне System Properties (Свойства системы), войдя в
Параметры Профили пользователей увидите профили по умолчанию всех
пользователей,
которые
регистрировались на этом компьютере.
Примечание: Чтобы сделать профиль перемещаемым, в окне Профили
пользователей нажмите кнопку сменить тип.
Рисунок 8
Указание пути к перемещаемому профилю
После того как
профиль скопирован на сервер, нужно указать путь к нему. Это делается в
диалоговом окне Свойства на вкладке Профиль консоли Active Directory
Users and Computers.
Рисунок 9
В окне Путь к профилю
укажите
местонахождение пользовательского профиля на сервере.
Если профиль локальный,
введите имя
сервера, сетевое имя папки Profiles (в этом упражнении папка Profiles имеет
сетевое имя Profiles) и переменную среды %Username%. Операционная
система подставит вместо переменной %Username% имя учетной
записи.
Если профиль перемещаемый, введите имя сервера, сетевое имя папки
Profiles и полное имя файла профиля, например \Server\Profiles\Ntuser.man.
3.5 Необходимая информация для сохранения результатов практических заданий
В сеансе
Windows 2003 (пользователь
studN/studN)
в строке Адрес проводника
Windows ввести
\\192.168.233.129\Work_ADM
C:\Work в сеансе
Windows
NT
и
\\192.168.233.129\Work_ADM в сеансе
Windows 2003 –
одна и та же папка и доступна для записи (сохранения, создания) в обоих
сеансах.
4.
Порядок выполнения работы
1.
Изучить предлагаемый теоретический материал.
2.
Зарегистрировать пользователей и составить «Шаблон планирования учетных
записей».
3.
Копировать шаблон пользовательского профиля на сервер.
4.
Сделать выводы о цели создания учётных записей, их возможностях.
5.
Составить отчет о проделанной работе.
5.
Содержание отчета
В
отчёте следует
указать:
-
Цель работы
-
Введение
-
Программно-аппаратные
средства, используемые при выполнении работы.
-
Основную часть
(описание самой работы).
-
Заключение (выводы)
6.
Литература
1.
Уильям Р. Станек
Microsoft windows server 2003 Справочник администратора
2.
Ханикат Дж.
Знакомство с Microsoft Windows Server 2003 . /Пер. с англ. — М.:
Издательско-торговый дом «Русская Редакция», 2003. — 464 с.
3.
К. Айвенс Microsoft
Windows Server 2003. Полное руководство. /Пер. с англ., — М.: Издательство «СП
ЭКОМ», 2004.— 896 с.
