Политики доменных паролей

Вы можете для своих пользователей использовать дополнительные правила в форме политик паролей Windows Server 2003.

Вам следует тщательно проверить и обдумать имеющиеся политики паролей в Windows Server 2003, поскольку ваши пользователи будут постоянно подчиняться этим правилам.

Политики паролей доступны только для домена, а не для OU.

0. Конфигурируйте политики паролей для домена в Domain Security Policy --Security Settings\Account Policies\Password Policy.

.

Все пароли по умолчанию должны отвечать следующим требованиям.

• Он не может содержать частично (или полностью) имя из учетной записи пользователя.

• Он должен содержать не менее шести символов.

• Он должен содержать символы, по крайней мере, из трех категорий среди следующих четырех категорий:

  • английские прописные буквы (от A до Z);

  • английские строчные буквы (от a до z);

  • цифры от 0 до 9;

  • неалфавитные символы (например, !, $, #, %).

Профили пользователей

Профиль пользователя - это группа настроек, которые определяют рабочее окружение пользователя. Windows Server 2003 использует профиль для создания рабочего окружения пользователя при входе. Типичные настройки профиля пользователя включают конфигурацию рабочего стола, содержимое меню, настройки панели управления (Control Panel), соединения с сетевым принтером и т.д.

Имеются несколько типов профилей, и вы можете использовать любое сочетание профилей на всем предприятии, отвечающее потребностям ваших пользователей. В этом разделе дается обзор следующих типов профилей:

• локальные (Local);

• перемещаемые, или "блуждающие" (Roaming);

• обязательные (Mandatory).

Локальные профили

Windows Server 2003 создает локальный профиль при первом входе каждого пользователя на компьютер. Каждый пользовательский профиль хранится в папке \Documents and Settings\User, где User - это имя входа этого пользователя

Перемещаемые профили

Перемещаемый (блуждающий) профиль хранится на сервере. Этот профиль загружается на локальный компьютер с сервера, когда пользователь входит в сеть, - независимо от компьютера, с которого выполняет вход этот пользователь. Любые изменения, которые вносит этот пользователь в настройки конфигурации, сохраняются в данном профиле на сервере.

Обязательные профили

Обязательный профиль - это перемещаемый профиль, который нельзя изменять. Хотя пользователи могут изменять некоторые настройки во время сеанса, эти изменения не сохраняются в профиле на сервере и недоступны при следующем входе этого пользователя в сеть. Однако администраторы могут вносить изменения в обязательные профили пользователей. Поскольку обязательные профили нельзя изменять в соответствии с личными настройками пользователя, их можно применять к группам пользователей.

Домашние папки

Домашняя папка - это директория, которую вы назначаете как контейнер для документов пользователя. В случае домена это обычно папка на сервере, которая способствует резервному копирования данных пользователя. Резервное копирование серверов происходит регулярно, в то время как резервное копирование локальных рабочих станций не происходит почти никогда. Вы можете также создавать домашние папки для пользователей на их локальных рабочих станциях, но обычно эту роль выполняет папка My Documents. Домашние папки на сервере создаются для отдельных пользователей внутри заранее созданного расшареного ресурса.

Перенаправление документов в домашнюю папку

Если у пользователя без перемещаемого профиля имеется домашняя папка на сервере, то в окне My Computer появляется отображаемая буква накопителя, и приглашение в командной строке тоже содержит эту букву накопителя. Однако программы продолжают сохранять документы в папке My Documents, являющейся домашней папкой. Вам нужно перенаправить папку My Documents в домашнюю папку, и это можно делать разнообразными способами.

Инструкции очень простые: нужно щелкнуть правой кнопкой мыши на папке My Documents, выбрать пункт Properties и затем изменить местоположение в поле Target (Место назначения) на домашнюю папку (соответствующая буква накопителя). Windows спросит вас, нужно ли переместить существующие документы в это новое место. Щелкните на кнопке Yes.

Помимо задач управления пользовательскими учётными записями и группами существует масса других задач управления доменом. Для этого служат другие вкладки и приложения.

Вкладка Active Directory Domains and Trusts (Active Directory – домены и доверие) служит для работы с доменами, деревьями доменов и лесами доменов.

Вкладка Active Directory Sites and Services (Active Directory – сайты и службы) позволяет управлять сайтами и подсетями, а так же межсайтовой репликацией.

Для управления объектами AD существуют средства командной строки, которые позволяют осуществлять широкий спектр административных задач:

Dsadd – добавляет в Active Directory компьютеры, контакты, группы, организационные подразделения и пользователей. Для получения справочной информации введите dsadd /?, например dsadd computer/?

Dsmod – изменяет свойства компьютеров, контактов, групп, организационных подразделений, пользователей и серверов, зарегистрированных в Active Directory. Для получения справочной информации введите dsmod /?, например dsmod server /?

Dsmove – перемещает одиночный объект в новое расположение в пределах домена или переименовывает объект без перемещения.

Dsget – отображает свойства компьютеров, контактов, групп, организационных подразделений, пользователей, сайтов, подсетей и серверов, зарегистрированных в Active Directory. Для получения справочной информации введите dsget /?, например dsget subnet /?

Dsquery – осуществляет поиск компьютеров, контактов, групп, организационных подразделений, пользователей, сайтов, подсетей и серверов в Active Directory по заданным критериям.

Dsrm – удаляет объект из Active Directory.

Ntdsutil – позволяет просматривать информацию о сайте, домене или сервере, управлять хозяевами операций (operations masters) и обслуживать базу данных Active Directory.

Так же существуют средства поддержки Active Directory:

Ldp – Осуществляет в Active Directory Administration операции по протоколу LDAP.

Replmon – Управляет репликацией и отображает ее результаты в графическом интерфейсе.

Dsacls – Управляет списками ACL (списками управления доступом) для объектов Active Directory.

Dfsutil – Управляет распределенной файловой системой (Distributed File System, DFS) и отображает сведения о её работе.

Dnscmd – Управляет свойствами серверов, зон и записей ресурсов DNS.

Movetree – Перемещает объекты из одного домена в другой.

Repadmin – Управляет репликацией и отображает её результаты в окне командной строки.

Sdcbeck – Анализирует распространение, репликацию и наследование списков управления доступом.

Sidwalker – Задает списки управления доступом для объектов, в прошлом принадлежавших перемещенным, удаленным или потерянным учетным записям.

Netdom – Позволяет управлять доменами и доверительными отношениями из командной строки.

Как видно из этой статьи объединение групп компьютеров в домены на базе Active Directory позволяет существенно снизить издержки административных задач за счёт централизации управления доменными учётными записями компьютеров и пользователей, а так же позволяет гибко управлять правами пользователей, безопасностью и массой других параметров.