19296

Пользователи и группы

Лекция

Информатика, кибернетика и программирование

Лекция 12 Пользователи и группы Группы Windows 2003/XP Основным инструментом для управления возможностями пользователей в Windows 2003 является понятие группы. Под группой понимается набор учетных записей пользователей. Использование групп упрощает управление ресурсами сист...

Русский

2013-07-11

6.31 MB

8 чел.

Лекция 12

Пользователи и группы

Группы Windows 2003/XP

Основным инструментом для управления возможностями пользователей в Windows 2003 является понятие группы. Под группой понимается набор учетных записей пользователей. Использование групп упрощает управление ресурсами системы, когда права и разрешения присваиваются не одному, а сразу нескольким пользователям. Права (rights) дают возможность выполнять системную задачу, т.е. создавать новых пользователей или изменять системное время.

Группы используются для объединения учетных записей пользователей, учетных записей компьютеров и учетных записей групп в управляемые элементы. Использование групп позволяет упростить обслуживание и администрирование сети.

В настоящее время в доменах Windows известны группы распространения и группы безопасности. Основным инструментом управления возможностями пользователей в Windows 2003 является понятие группы:

  •  локальной,
  •  глобальной,
  •  встроенной
  •  системной.

Такое разделение типов групп появляется  в продуктах Микрософт, начиная с Windows 2000 и характерно для Active Directory.

В Active Directory группы распространения могут быть использованы для создания списков рассылки электронной почты, а группы безопасности — для задания разрешений на использование общих ресурсов. Если группа создается для контроля доступа к общим ресурсам, эта группа должна быть только группой безопасности. При грамотном  использовании группы безопасности обеспечивают эффективное управление доступом к ресурсам сети.

Группы безопасности могут быть локальные, глобальные и системные.

Встроенные локальные и глобальные группы порождаются при инсталляции СОС, другие создаются пользователями в зависимости от задач, которые те выполняют. Состав этих групп может изменяться, т.е. пользователи могут включать и удалять соответствующие бюджеты пользователей в группы.

Состав и членство системных  групп устанавливается в момент инсталляции СОС  и изменяется  только системой.

Таблица 12_1. Характеристики групп

Название

Стандартные члены

Назначение

Основной режим домена

Локальная группа домена

Любые учетные записи пользователей и компьютеров, глобальные и универсальные группы

Доступ к ресурсам одного домена

Глобальная группа

Учетные записи пользователей и компьютеров, глобальные группы из того же домена

Организация пользователей с одинаковыми требованиями к системе

Универсальная группа

Любые учетные записи пользователей и компьютеров, глобальные и универсальные группы

Доступ к ресурсам нескольких доменов

Смешанный режим домена

Локальная группа домена

Любые учетные записи пользователей и компьютеров, глобальные группы

Доступ к ресурсам одного домена

Глобальная группа

Учетные записи пользователей и компьютеров  из того же домена

Организация пользователей с одинаковыми требованиями к системе

Универсальная группа

недоступны

______

Локальные группы содержат набор учетных записей на локальном компьютере и предоставляют доступ к ресурсам именно этого компьютера. Windows 2000-2003 создает локальные группы в локальной базе данных безопасности. Локальные группы бывают доменные и изолированные. Созданные на локальном компьютере изолированные группы не отображаются в Active Directory. Локальные группы домена создаются в хранилище Active Directory и используются всеми контроллерами домена. Локальной группе домена можно предоставить разрешения к любому ресурсу на контроллерах домена.

На контроллере домена 2000-2003 порождаются следующие доменные встроенные локальные  группы:

  •  простые пользователи Users;
  •  гости Guests;
  •  репликаторы Replicator;
  •  операторы архива Backup operators;
  •  администраторы  Administrators;
  •  операторы бюджетов  Account Operators;
  •  операторы печати Print Operators;
  •  операторы сервера  Server Operators;
  •  клиенты младших версий Pre_Windows.

Состав локальных встроенных групп домена и их свойства доступны в оснастке Active Directory Users and Computers Built-in  (рис. 12_1).

Рис. 12_1. Встроенные локальные группы в оснастке Active Directory Windows Server 2003

Локальная группа домена используется для разрешения доступа к ресурсам. Эти группы обладают открытым членством, т.е. в нее можно добавлять членов из любого домена, а разрешить доступ только к ресурсам домена, где она была создана.

При создании домена создаются встроенные глобальные группы в Active Directory. Чтобы присвоить глобальной группе права, ее нужно включить в локальную встроенную группу или сделать явное назначение. К наиболее распространенным глобальным встроенным группам относятся (рис. 12_2):

  •  администраторы домена Domain Admins;
  •  пользователи домена Domain Users;
  •  гости домена Domain Guests;
  •  администраторы сети в масштабе предприятия  Enterprise Admins.

Глобальная группа обладает ограниченным членством, т. е. в нее можно добавлять пользователей лишь из того домена, где она была создана. Но доступ к ресурсам для нее возможен в любом домене.

Рис.12_2. Глобальные группы и пользователи домена

При инсталляции, на рабочих станциях  по умолчанию создаются десять встроенных изолированных локальных групп (рис.12_3):

На рабочих станциях порождаются следующие встроенные локальные группы:

  •  Гости
  •  Пользователи
  •  Опытные пользователи
  •  Администраторы
  •  Операторы архива
  •  Репликатор
  •  Пользователи удаленного рабочего стола
  •  Операторы настройки сети
  •  Отладчики
  •  Центр справки и поддержки

Встроенные локальные группы отображаются в оснастке Computer Management  в окне Groups. Изначально, в них нет никаких членов, кроме стандартных. Возможности этих групп представлены в таблице 12_2.

Рис.  12_3.  Встроенные локальные группы Windows Professional

Для создания новых локальных групп используется оснастка Computer Management . При создании новой локальной группы вводится имя, описание (рис. 4) и добавляются новые члены группы.

Гости

Группа «Гости» позволяет случайным или разовым пользователям войти в систему со встроенной учетной записью гостя рабочей станции и получить ограниченные возможности. Члены группы «Гости» могут только завершить работу системы на рабочей станции.

Пользователи

Группа «Пользователи» является наиболее безопасной, поскольку разрешения по умолчанию, предоставленные этой группе, не позволяют пользователям изменять параметры операционной системы или данные других пользователей.  Группа «Пользователи» предоставляет самую безопасную среду для выполнения программ. На томе с файловой системой NTFS параметры безопасности по умолчанию только что установленной (не обновленной) системы разработаны, чтобы предотвратить нарушение целостности операционной системы и установленных программ членами этой группы

Участники группы «Пользователи» могут:

  •  гарантированно запускать только сертифицированные для Windows приложения (т.е. для Windows 2000, Windows XP Professional; или системы из семейства Windows Server 2003, проходящие проверку на соответствие требованиям Windows, установленные или развернутые администраторами) 
  •  выключать  и блокировать рабочие станции, но не серверы
  •  имеют полный доступ к своим файлам данных и своей части реестра (HKEY_CURRENT_USER)

Члены этой группы не могут 

  •  организовывать общий доступ к каталогам
  •  создавать локальные принтеры.
  •  изменять параметры реестра на уровне системы, файлы операционной системы или программы.

Несмотря на то, что по умолчанию пользователи  имеют право создавать  новые локальные группы, но в данной конфигурации такой возможности у них нет.

Члены группы «Пользователи» ориентированы на  выполнение наиболее распространенные задачи, т.е.   запуск офисных  приложений, использование локальных и сетевых принтеров для печати документов, завершение работы и блокировка рабочих станций и т.д.

Опытные пользователи

Эта группа поддерживается, в основном, для совместимости с предыдущими версиями операционных систем для выполнения не сертифицированных приложений и управления локальными ресурсами рабочей станции. Разрешения по умолчанию, предоставленные этой группе, позволяют членам группы изменять параметры компьютера. Если необходима поддержка не сертифицированных приложений, конечные пользователи должны быть членами группы "Опытные пользователи".

Члены группы "Опытные пользователи" имеют больше разрешений, чем члены группы "Пользователи", и меньше, чем члены группы "Администраторы". Опытные пользователи могут выполнять любые задачи операционной системой, кроме задач, зарезервированных для группы "Администраторы".

Опытные пользователи могут:

  •  выполнять приложения, сертифицированные для Windows 2000 и Windows XP Professional, а также устаревшие и не сертифицированные  приложения;
  •  устанавливать программы, не изменяющие файлы операционной системы, и системные службы;
  •  настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления;
  •  создавать и управлять локальными учетными записями пользователей и групп;
  •  останавливать и запускать системные службы, не запущенные по умолчанию.

Опытные пользователи не могут 

  •  добавлять себя в группу «Администраторы».
  •  изменять системные файлы и службы
  •  не имеют доступа к данным других пользователей на томе NTFS, если соответствующие разрешения этих пользователей не получены.

В силу того, что  опытные пользователи могут устанавливать и изменять программы, работа под учетной записью группы "Опытные пользователь" при подключении к Интернету может сделать систему уязвимой для троянских коней и других программ, угрожающих безопасности.

Администраторы

Членство в этой группе по умолчанию предоставляет самый широкий набор разрешений и возможность изменять собственные разрешения. Администраторы имеют полные, ничем неограниченные права доступа к рабочей станции.

Рекомендуется использовать административный доступ только для выполнения следующих действий:

  •  установки операционной системы и ее компонентов (например, драйверов устройств, системных служб и так далее);
  •  установки пакетов обновления;
  •  обновления операционной системы;
  •  восстановления операционной системы;
  •  настройки важнейших параметров операционной системы (политики паролей, управления доступом, политики аудита, настройки драйверов в режиме ядра и так далее);
  •  вступления во владение файлами, ставшими недоступными;
  •  управления журналами безопасности и аудита;
  •  архивирования и восстановления системы.

На практике учетные записи администраторов часто должны использоваться для установки и запуска программ, написанных для предыдущих версий Windows.

Работа в Windows XP в качестве администратора делает систему уязвимой для троянских коней и других программ, угрожающих безопасности. Простое посещение веб-узла может очень сильно повредить систему. На не знакомом веб-узле может находиться троянская программа, которая будет загружена в систему и выполнена. Если в это время находиться в системе с правами администратора, такая программа может переформатировать жесткий диск, стереть все файлы, создать новую учетную запись пользователя с административным доступом и т. д.

Операторы архива

Члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от всех разрешений, которыми защищены эти файлы. Они могут также входить в систему и завершать работу компьютера, но не могут изменять параметры безопасности. Для архивирования и восстановления файлов данных и системных файлов требуются разрешения на чтение и запись. Разрешения по умолчанию для операторов архива, позволяющие им архивировать и восстанавливать файлы, делают для них возможным использование разрешений группы для других целей, например для чтения файлов других пользователей и установки программ с троянскими вирусами.

Пользователи удаленного рабочего стола

Члены этой группы имеют право на выполнение удаленного входа в систему.

В остальном они обладают теми же возможностями, что и члены группы «Пользователи»

Операторы настройки сети

Члены этой группы могут иметь некоторые административные права для управления настройкой сетевых параметров.

Для того чтобы добавить учетную запись пользователя в ту или иную группу, щелкните правой кнопкой мыши на названии группы и из выпадающего меню выберите. Добавить в группу. Более подробную справку по выполнению этих и других задач, связанных с учетными записями пользователей и групп, а так же более полное описание учетных записей пользователей и групп читайте в справке оснастки "Локальные пользователи и группы".

Репликатор

Группа «Репликатор» поддерживает функции репликации каталога. Только член этой группы может иметь учетную запись пользователя домена, которая используется для входа в систему службы репликации контроллера домена. Пароль такой учетной записи не задается. Не рекомендуется добавлять в эту группу учетные записи реальных пользователей.

Помимо рассмотренных встроенных локальных и глобальных  групп, в Windows 2000 существуют еще встроенные системные группы, состав которых регулировать нельзя (так как к ним принадлежит любой бюджет, использующий компьютер определенным образом), а назначать полномочия доступа на объекты (например, файлы), можно. К наиболее распространенным встроенным системным группам относятся:

  •  Everyone – все пользователи, как локальные, так и сетевые,
  •  System – операционная система,
  •  Creator Owner – создатель ресурса,
  •  Network – пользователи, получившие доступ к ресурсу по сети,
  •  Interactive - пользователи, получившие доступ к ресурсу локально,
  •  Authenticated Users – аутентифицированные пользователи сети, которые прошли проверку,
  •  Anonymous Logon – все учетные записи, не аутентифицированные Windows;
  •  Dialup – пользователи по удаленному соединению.

В таблице.12_2  рассмотрены возможности встроенных групп.

Табл. 12_2. Возможности встроенных групп

Название

Стандартные члены

Описание

Встроенные изолированные локальные группы

Administrators

Administrator,

Domain Admins

Полностью управляют ресурсами компьютера

Users

Все локальные пользователи компьютера,

Interactive,

Authenticated Users,  Domain Users

Имеют ограниченные права в пределах домена и своего компьютера. Могут создавать новые локальные группы.

Guests

Guest

Имеют ограниченные права в пределах домена. Не могут изменять установки компьютера. Не могут создавать новые локальные группы.

Replicator

-нет-

Могут копировать файлы в домене. Используется только службой репликации системы. Нельзя  устанавливать членам группы  пароль.

Могут создавать новые локальные группы.

Backup operators

-нет-

Могут резервировать и восстанавливать любые файлы и каталоги, несмотря на установленные полномочия доступа. Могут создавать новые локальные группы.

Power Users

-нет-

Могут создавать новые локальные группы и локальных пользователей. Могут создавать и управлять разделяемыми каталогами и принтерами, создавать общие программные группы, изменять переменные окружения.

Встроенные доменные локальные группы

Administrators

Administrator, Domain Admins, Enterprise Admins

Полностью управляют ресурсами своего домена

Users

Domain Users,

Interactive,

Authenticated Users

Имеют ограниченные права в пределах домена. Могут создавать новые локальные группы. Доступ к серверу возможен только по сети.

Guests

Guest,

Domain Guests

Имеют ограниченные права в пределах домена. Не могут изменять установки компьютера. Не могут создавать новые локальные группы.

Replicator

- нет-

Используется только службой репликации системы. Нельзя  устанавливать членам группы  пароль.

Могут создавать новые локальные группы и копировать файлы в домене.

Print Operators

-нет-

.Могут управлять разделяемыми принтерами, закрывать систему.

Backup operators

- нет-

Могут резервировать и восстанавливать любые файлы и каталоги, несмотря на установленные полномочия доступа. Могут создавать новые локальные группы.

Account Operators  

-нет-  

Могут  управлять групповыми и индивидуальными бюджетами, кроме администраторских, операторов сервера, операторов бюджетов, операторов печати и операторов резервирования

Server Operators

-нет-

.Могут управлять разделяемыми папками и принтерами, резервировать и восстанавливать файлы, форматировать диски, блокировать сервер и переопределять блокировку.

Встроенные глобальные группы

Domain Admins

Administrator

Администраторы домена. Автоматически включаются в локальную группу Administrators.

Domain Guests

Guest

Все гости домена. Автоматически включаются в локальную группу Guests. По умолчанию, бюджет пользователя Guest заморожен.

Domain Users

Administrator

Все пользователи домена. Автоматически включаются в локальную группу Users.

Enterprise Admins

Administrators,

Administrator

Администраторы масштаба предприятия.

Автоматически включаются в локальную группу Administrators.

Любому пользователю после создания можно явно назначить дополнительные права.  Такое назначение можно сделать  косвенно, включив этого пользователя в какую либо встроенную локальную группу.

Все права по работе с системой пользователь получает, как член соответствующих встроенных локальных групп. Большую часть прав групп мы определяем с помощью User Manager в опции Policy/Users Rights. Остальные права получаем по умолчанию.

Права пользователей и групп составляют следующее (рис. 12_4) .

  •  Сетевой вход
  •  Локальный вход
  •  Архивирование файлов и каталогов
  •  Восстановление файлов и каталогов
  •  Добавление рабочих станций к домену
  •  Завершение работы системы
  •  Загрузка и выгрузка драйверов
  •  Работа с системным временем
  •  Овладение объектами
  •  Принудительное удаленное завершение
  •  Управление аудитом и журналом безопасности

Любому пользователю после создания можно явно назначить дополнительные права.  Такое назначение можно сделать  косвенно, включив этого пользователя в еще какую либо группу. Например, назначение пользователю с именем New привилегий администратора возможно включением в состав группы «Администраторы» (Administrators).

Рис 12_4. Права пользователей и групп (Administrators).

После создания группы и  добавления в нее пользователей,  группе присваиваются права на работу - например, право локального входа в систему.

Учетные записи пользователей

Любому пользователю, для того, что бы он получил возможность работы с сетевыми ресурсами Windows XP, присваивается учетная запись – бюджет пользователя.

В Windows 2003 различается три типа учетных записей:

  •  локальные (local user account) позволяют, зарегистрироваться на конкретном компьютере и получить доступ к его ресурсам;
  •  доменные  (domain user account) позволяют, подключится к домену и получить доступ к ресурсам сети;
  •  встроенные  (built-in user account) позволяет, администрировать (Administrator) или получить доступ к сетевым или локальным ресурсам (Guest).

При создании локальной учетной записи Windows XP создает ее только в локальной базе данных безопасности и не тиражирует ее на какой-либо другой компьютер. Доступ для этого бюджета возможен только к ресурсам данного компьютера. Локальные учетные записи создаются на Windows XP, выполняющих функции рабочих станций в доменах,  и изолированных серверах.

Доменные учетные  записи позволяют подключиться из любого места в сети. Доменные учетные  записи создаются на контроллерах домена, когда активирована Active Directory.В процессе регистрации пользователь вводит свое сетевое имя и пароль. Контролер домена Windows 2000 в Active Directory опознает пользователя и выделяет ему маркер безопасности, который содержит информацию о пользователе и параметры защиты. Этот маркер действителен до тех пор, пока пользователь не завершит данную сессию.

При инсталляции Windows XP создает встроенные учетные записи, которые нельзя удалить: Administrator и Guest. Учетная запись Administrator предназначена для управления общей конфигурацией компьютера или домена, например, для создания и управления учетными записями пользователей и групп, управления политикой безопасности, создание принтеров и т.д. Для обеспечения большей безопасности, учетную запись Administrator стоит переименовать, что затруднит взлом системы. А затем, создайте новую учетную запись с именем Administrator, которая вообще не будет иметь прав в системе.

Учетная запись Guest предназначена  для случайных пользователей и временного доступа к ресурсам. По умолчанию, учетная запись  Guest отключена. При ее включении необходимо назначить ей соответствующий пароль.

При планировании новых учетных записей, следует определить правила именования и требования для паролей.

В отношении правил именования, следует всегда помнить, что используемые имена должны быть уникальны, длина их не превышает 20 символов, не содержит символы  типа « \ / [ ] ; : , = + ?< >    и не чувствительны к регистру.

Максимальная длина пароля –128 символов, рекомендуется использовать не менее 8 и всегда назначать пароль встроенным учетным записям. Пароль не должен быть связным контекстом, который легко подбирается программой – взломщиком по словарю. В этом смысле пароль типа белый@popygau считается очень удачным.

Локальные учетные записи 

Создание новых локальных  учетных записей производится с помощью окна Local Users and Groups оснастки Computer Manager в меню Start\Programs\Administrative Tools (рис.12_5.1, рис.12_5.2). При желании для управления пользователями и группами можно использовать Control Panel\Users and Passwords\ Properties Advanced (рис. 12_6).

При создании нового пользователя используются  следующие параметры (рис. 12_7):

  •  имя пользователя - необходимо для входа в систему,
  •  полное имя, включает имя и фамилию пользователя,
  •  описание, заполнять его необязательно,
  •  пароль, для повышения уровня защиты всегда назначайте пароль, длина не более 20 символов,
  •  подтверждение пароля, если он был назначен,
  •  потребовать смену пароля при следующем входе в систему, выставляется по умолчанию, может быть сброшен,
  •  запретить смену пароля пользователю,
  •  срок действия пароля не ограничен,
  •  учетная запись отключена.  

Далее, в диалоговом окне свойств локальной учетной записи пользователя имеются три вкладки: общие, членство в группах и профиль. В зависимости от функций, которые выполняет данный пользователь, можно определить его принадлежность к различным группам и установки профиля

 

Рис. 12_5.1. Оснастка Computer Management

 

Рис. 12_5.2. Оснастка Computer Management

.

Рис. 12_6. Консоль Local Users and Groups

Каждый пользователь Windows работает в уникальном окружении, которое формируется из доступных ему разделяемых файлов и принтеров,  значков Program Manager, автоматически устанавливаемых сетевых соединения, обоев, заставок, меню, личных данных  и т.д.

Пользовательское окружение формируется в первую очередь профилем (profile) пользователя, который можно создать и поддерживать на компьютере  как локальный (local) или перемещаемый (roaming), пользовательский или обязательный (mandatory). Локальный профиль доступен только на том компьютере, на котором был создан, а перемещаемый профиль сохраняется в разделяемой папке и доступен с любого компьютера домена. Пользовательский профиль может быть изменен самим пользователем, а обязательный – нет.

Если пользователь входил в сеть с данного компьютера, то операционная система создала для него локальный, кэшированный, профиль и сохранила в каталоге %systemroot%\Documents and Setttings\<Logon Username>.  Профиль пользователя содержит папку, где пользователь может хранить свои файлы. Эта папка предлагается по умолчанию при выборе меню File команд   Save As или  Open. Windows 2000 помещает эту папку на рабочий стол пользователя, что упрощает поиск личных документов.

Копировать, удалять  и управлять пользовательскими профилями могут администраторы  или операторы бюджетов Windows XP во вкладке System Properties   (рис 12_9), они используются как средство, защищающее сетевые ресурсы от неумелых или злостных, недобросовестных пользователей.

Помимо сценариев входа, большое значение для пользователей имеет домашний каталог. Домашний каталог пользователя может быть создан как на рабочей станции, так и на сервере. Удобно хранить все домашние папки пользователей на сервере, т. к. тогда они могут получить к ним доступ с любого компьютера в сети и под управлением любой операционной системы Микрософт, включая MS-DOS.  Для этого, в соответствующее  окно введите букву, идентифицирующую диск и полное имя UNC домашнего каталога пользователя на сервере, например, \\IT_SERVER\USERS\ANNA .

При создании учетной записи пользователя, остальные свойства бюджета система берет из специальной политики учетных записей, которая доступна с помощью оснастки Group Policy и Local Security Policy.

Рис. 12_7. Свойства локального пользователя

Рис. 12_8. Изменение типов профилей

Но некоторые элементы пользовательского окружения проще контролировать через сценарии входа (logon scripts), которые выполняются каждый раз, когда пользователь входит в сеть командой  WINLOGON. Каждому пользователю можно присвоить свой собственный сценарий входа, а можно создать сценарий на множество пользователей. Назначение пользователю сценария входа, необходимо указать имя файла logon script в профиле пользовательского окружения.

Доменные учетные  записи

 Создание новых доменных  учетных записей производится с помощью окна User and Groups оснастки Active Directory Users and Computers  (рис. 12_9).

В зависимости от того, для какой деятельности создается пользователь, Вы задаете следующие свойства учетной записи:

  •  First Name , имя,
  •  Last Name, фамилию.
  •  Full Name , полное имя,
  •  User Logon Name, уникальное имя для входа в систему,
  •  User Logon Name (pre-Windows 2000), уникальное имя  для входа в систему клиентов низшего уровня ,
  •  Password, пароль;
  •  Conform Password, подтверждение пароля;
  •  User Must Change Password At Next Logon, потребовать смену пароля при следующем входе в систему;
  •  User Cannot Change Password, запретить смену пароля;
  •  Password Never Expires, установить неограниченный срок действия пароля;
  •  Account Is Disable, отключить учетную запись.

Рис. 12_9. Оснастка Active Directory Users and Computers

Свойства, которые задаются для доменных пользователей, применяются для поиска в хранилище Active Directory. Поэтому, значение характеристик нужно задавать подробно.

Такие вкладки, как General, Member of, Dial-In задаются таким же образом, как и для локальных пользователей. Но остальные свойства определяются только для пользователей доменов. К ним относятся (рис. 12_10):

  •  Account - свойства бюджета пользователя;
  •  Profile – можно задать путь в виде имени UNC, где находится профиль пользователя, домашний каталог, сценарий входа;
  •  Published Certificates – список сертификатов, т. е. набор данных для аутентификации и передачи данных по Интернет, Х.509 для учетной записи пользователя;
  •  Object -  полное доменное имя пользователя и дополнительные сведения;
  •  Security – разрешения для объекта пользователя в Active Directory;
  •  Environment – начальная программа для работы с сервером Terminal;
  •  Sessions – задаются параметры ограничения длительности соединения с системой;
  •  Remote Control – удаленное управление службами терминала;
  •  Terminal Services Profile – профиль для терминального сеанса.

Рис. 12_10. Свойства учетной записи домена

Для пользователей домена, которые могут входить в систему с любого компьютера, большое значение имеет настройка профилей и домашних каталогов.

Windows 2000 создает профиль локального пользователя в папке %systemroot%\Documents and Setttings\<Logon _Username>   при первом входе в систему. Этот профиль обеспечивает индивидуальные настройки рабочего стола и сетевых соединений и доступ к папке с личными документами My Documents, независимо от количества работающих на этом компьютере пользователей. Для поддержки пользователей, работающих на разных компьютеров, или групп пользователей с одинаковыми требованиями к работе, создается перемещаемый профиль RUP (Roaming User Profile), который хранится на сервере. При входе сеть Windows 2000 копирует такой профиль с сервера на компьютер, с которого входит пользователь, при выходе происходит копирование измененной версии RUP обратно на сервер.

Настройка перемещаемого профиля делается следующим образом. На сервере создайте общую папку и назначьте к ней полномочия на доступ тем пользователям, для которых вы задаете профиль.  Создайте шаблон доменного пользователя и настройте переменные окружения, таким образом, каким вы считаете нужным. Войдите после этого в систему, как Administrator, и скопируйте  шаблон в папку перемещаемого профиля на сервере с помощью приложения System Properties). Затем с помощью оснастки Active Directory Users and Computers  назначьте профиль соответствующему пользователю, задав путь в поле Profile Path в формате UNC:

 \\<сервер> \<общая_папка> \<регистрационное_ имя>.

Если вы хотите сделать профиль обязательным, т. е. лишить пользователей возможности изменять его, то в этом случае нужно переименовать скрытый файл Ntuser.dat  в Ntuser.man на сервере.

Помимо прав на работу, группе нужно присвоить какие-либо разрешения доступа к принтерам, папкам или файлам.

Все права по работе с системой пользователь получает либо в виде  явного назначения, либо как член соответствующих встроенных локальных групп. Большую часть прав групп мы определяем с помощью оснастки Local Security Settings. Остальные права получаем по умолчанию.

При создании нового пользователя необходимо задать имя,  полное имя, возможно, описание. Можно определит принадлежность пользователя к различным группам, его профиль и возможность удаленного доступа.

При необходимости, пользователю можно задать пароль - не более 14 символов. Помимо этого, определите, нужно ли задавать смену пароля при каждом входе, можно ли вообще менять пароль, установите, бессрочный ли бюджет пользователя или Вы хотите этот бюджет заморозить

PAGE   \* MERGEFORMAT 1


EMBED PBrush  

EMBED PBrush  


 

А также другие работы, которые могут Вас заинтересовать

52767. Розв’язування вправ на всі дії зі звичайними дробами з використанням міжпредметних зв’язків 52 KB
  Наполеон Математика королева і слуга наук Е. Белл Не знаючи математики не можна пізнати ні інших наук ні мирських прав Математика брама і ключ науки Р. Бекон Математика – та одна наука без якої неможлива ніяка інша. Соболєв Вся математика – це власне одне велике рівняння для інших наук.
52768. Действия с обыкновенными дробями 75.5 KB
  Человек подобен дроби: В знаменателе то что он думает о себе В числителе то что он есть на самом деле. станция Вопрос ответ Как называется деление числителя и знаменателя дроби на одно и тоже число Как называется элемент дроби стоящий под чертой дроби над чертой Каким действием можно заменить черту дроби Для того чтобы найти общий знаменатель дробей нужно найти НОК или НОД Как сложить дроби с разными знаменателями Какие числа называются взаимно обратными Как найти дробь от числа Как называется...
52770. Дії з десятковими дробами 59.5 KB
  Мета: - Систематизувати, узагальнити знання за темою: «Дії з десятковими дробами»; - закріпити вміння та навички учнів під час розв’язання вправ і задач; - розвивати пам'ять, увагу, пізнавальні здібності учнів; - виховувати вміння уважно слухати думку інших; - поважно відноситись до відповідей однокласників.
52772. Додавання та віднімання десяткових дробів 48 KB
  Мета уроку: повторити основний теоретичний матеріал за даною темою продовжити формувати практичні навики по розв’язуванню вправ за даною темою; з метою активізації пізнавальної діяльності організувати роботу учнів на уроці у формі змагання між двома командами одного класу. Сьогодні учні ми проведемо з вами урок – подорож по математичному океану. При допомозі піктограм трьох видів учні демонструють свій настрій на початку уроку. Учні пробують при допомозі вчителя сформулювати завдання уроку виходячи з теми уроку.
52773. Мандрівка до країни Десяткових дробів 121 KB
  Виконуючи різні завдання ми з вами побуваємо в різних містах країни Десяткових дробів і успішно прийдемо в місто гарних оцінок. Щоб потрапити до міста Усної лічби треба відгадати загадку: На базарі їх не купити На дорозі не зайдеш Їх не зважиш на терезах І ціни не підбереш знання Подивіться які гарні квіти ростуть в цьому місті. Щоб потрапити до міста Кмітливих треба відновити запис: 35 5 04 0 4187...
52774. Десяткові дроби і дії над ними 2.75 MB
  Дробова частина містить стільки цифр скільки нулів в запису знаменника звичайного дробу. 02 = 020 = 0200 = 5400 = 54 125080 = 12508 00980 = 0098 З двох десяткових дробів більше та у якої більша ціла частина. 32 41 092 102 45 3947 Для порівняння двох дробів з однаковими цілими частинами необхідно за допомоги приписування нулів праворуч зрівняти кількість цифр в дробовій частині після чого порівняти отриманні дроби порозрядно. З двох десяткових дробів більше та у якої більша ціла частина 32 41 092 102...
52775. Подорож до країни дробів. Позакласний навчально-виховний захід 1.35 MB
  Мета: прищеплювати інтерес до математики; формувати навички роботи з додатковою літературою; поглиблювати знання про дроби та розвивати навички виконання дій зі звичайними дробами. Селище ІСТОРИЧНЕ Дроби в Древнем Египте Необходимость в дробных числах возникла в результате практической деятельности человека. Первые дроби с которыми нас знакомит история зто дроби вида ; ; –так называемые единичные дроби. Эти дроби мы находим прежде всего в египетских папирусах около 2000 лет до н.