- •Учетные записи пользователей и группы
- •Типы уз.
- •Локальные уз
- •Уз пользователя домена.
- •Права пользователя
- •Общие права пользователей:
- •Имена пользователей
- •Использование групп в Active Directory
- •Глобальная группа.
- •Локальная группа
- •Универсальная группа
- •Организационные единицы(оу)
- •Создание новых учетных записей. (для самостоятельного изучения)
- •Перемещаемые (блуждающие) профили
- •Создание перемещаемых профилей
- •Создание настроенных перемещаемых профилей
- •Использование обязательных профилей
- •Конфигурирование разделяемых ресурсов и полномочий
- •Отличия между полномочиями разделяемого доступа и полномочиями ntfs
- •Использование специальных разделяемых ресурсов
Права пользователя
Права относятся не к конкретному ресурсу, а ко всей системе, и влияют на работу компьютера или домена в целом. Всем пользователям, обращающимся к сетевым ресурсам, нужны определенные общие права на тот ресурс. Конкретные общие права администраторы могут назначать группам пользователей или отдельным пользователям
Права позволяют пользователю, вошедшему на компьютер или в сеть, выполнять в этой системе определенные действия. Если у пользователя нет прав на выполнение какой-то операции, попытка выполнения этой операции будет блокирована.
Права пользователя могут относиться как к отдельным пользователям, так и к группам. Однако лучше всего управлять правами пользователя, работая с группами. Это гарантирует, что пользователь, входящий в систему как член группы, автоматически получит все связанные с этой группой права. Операционная система Windows 2003 дает администратору возможность назначать права пользователям и группам пользователей, то есть определять, какие пользователи могут выполнять ту или иную работу в домене.
Общие права пользователей:
Общие права пользователя включают право локального входа в систему, право на изменение системного времени, право на отключение системы и право доступа к данному компьютеру из сети.
Локальный вход в систему
Изменение системного времени
Завершение работы системы
Доступ к этому компьютеру из сети
Имена пользователей
Основное имя пользователя состоит из двух частей, разделенных знаком @, например ИванП@University.MAMI Имя пользователя для входа в систему состоит из следующих частей:
префикса основного имени пользователя, в показанном выше примере это ИванП;
суффикса основного имени пользователя, в показанном выше примере — University.MAMI.
По умолчанию суффиксом является имя корневого домена сети.
Вы можете использовать и другие домены сети, чтобы сформировать дополнительные суффиксы для пользователей. Дополнительный суффикс понадобится, если вы решите создать имя пользователя для входа в систему, которое будет соответствовать адресу его электронный почты.
Достоинства использования основного имени пользователя-оно не меняется при перемещении учетной записи на другой домен, так как это имя уникально в пределах Active Directory;
оно может полностью совпадать с именем адреса электронной почты, так как имеет тот же формат, что и стандартный электронный адрес.
Правила уникальности имени пользователя для входа в сеть
Имена пользователей для входа в сеть для доменных учетных записей должны удовлетворять правилам уникальности в Active Directory. При создании этих имен учтите следующие особенности:
полное имя должно быть уникальным в контейнере, где вы создаете учетную запись. Полное имя используется как относительное составное имя;
основное имя пользователя должно быть уникальным в пределах леса;
имя пользователя для входа в сеть (по правилам, предлагаемым для ОС, предшествующих Windows 2003) должно быть уникальным в пределах домена.
Основное имя безопасности следует присваивать с помощью постоянно действующего соглашения об именах, чтобы вы и ваши пользователи могли запоминать имена пользователей и находить их в списках. Вот некоторые возможные варианты.
• Имя плюс инициал фамилии. Например, MichaelG и NatalyaM. В случае совпадения имен можно добавлять номера (MichaelG 1 и MichaelG2) или достаточное количество букв, чтобы обеспечить однозначную идентификацию (IngridMat и IngridMur).
• Имя плюс номер. Например, Vasily 12 и Vasily 13. Здесь возможны проблемы, если имя имеет большое распространение. Трудно запомнить свое собственное пользо¬вательское имя и еще труднее — идентифицировать других пользователей.
• Инициал имени плюс фамилия. Например, MSmith. Если у вас работают Linda Smith и Louise Smith, то можно использовать LiSmith и LoSmith или LSmithl и LSmith2.
• Фамилия плюс инициалы. Это соглашение полезно использовать в большой сети. При наличии нескольких пользователей с одинаковой фамилией добавьте несколько букв, например, SmithLi или SmithLo.
Пароли:
Все ваши пользователи должны иметь хорошо подобранные пароли, и эти пароли должны периодически изменяться. Пароли следует выбирать согласно рекомендациям врезки с практическими советами «Правила для хороших паролей». Задавайте блокировку учетных записей на случай ввода неверных паролей. (Разрешите три- пять попыток, чтобы допустить возможность ошибки при вводе.)
Правила для хороших паролей
«Хороший» пароль имеет следующие характеристики:
• он не является перестановкой символов имени входа.
• он содержит не менее двух букв и хотя бы один небуквенный символ;
• он содержит не менее семи символов;
• это не имя и не инициалы пользователя, его детей или других близких к нему людей, и не комбинация этих элементов в сочетании с другими легкодоступными личными данными, такими как дата рождения, номер телефона или номер водительских прав.
Лучше всего использовать для паролей алфавитно-цифровые акронимы фраз, которые имеют смысл для данного пользователя, но, скорее всего, не известны другим людям. В результате пользователь легко запоминает пароль, и, в то же время, его трудно разгадать другим людям.
Имеет смысл научить пользователей созданию паролей и пониманию конфиденциальности паролей, но самое главное — проследите за тем, чтобы ваш собственный пароль, выбранный для администрирования, был достаточно хорошим паролем, и почаще изменяйте его. Это позволит избежать взлома вашей системы и последствий этого взлома. Если пользователи будут подсоединяться к сети через телефонные линии из дома или из удаленного сайта, вам могут потребоваться более жесткие меры безопасности по сравнению с авторизацией пароля на уровне домена.
Администраторам следует иметь две учетные записи на компьютере: одна учетная запись администратора и одна обычная пользовательская учетная запись. Если вы не выполняете административные задачи, используйте обычную пользовательскую учетную запись. Из-за привилегий, связанных с административными учетными записями, они являются главной целью злоумышленников.