2. Управление учетными записями

Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows Server 2003, поскольку, назначая им права доступа и привилегии, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера.

Для работы с локальными учетными записями используется оснастка Local Users and Groups.

Оснастка Local Users and Groups

Оснастка Local Users and Groups (Локальные пользователи и группы) — это инструмент ММС, с помощью которого выполняется управление локальными учетными записями пользователей и групп — как на локальном, так и на удаленном компьютере. Запускать оснастку может любой пользователь. Выполнять администрирование учетных записей могут только администраторы и члены группы Power Users (Опытные пользователи).

3. Папка Users

Сразу после установки системы Windows Server 2003 папка Users (Пользователи) содержит три автоматически создаваемые встроенные учетные записи, перечисленные ниже. Две первые записи имелись и в системах Windows 2000, третья появилась в Windows ХР.

Administrator (Администратор) — эту учетную запись используют при установке и настройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Administrators (Администраторы), ее можно только переименовать.

Guest (Гость) — эта учетная запись применяется для регистрации в компьютере без использования специально созданной учетной записи. Учетная запись Guest не требует ввода пароля и по умолчанию заблокирована. (Обычно пользователь, учетная запись которого блокирована, но не удалена, при регистрации получает предупреждение, и входить в систему не может.) Она является членом группы Guests (Гости). Ей можно предоставить права доступа к ресурсам системы точно так же, как любой другой учетной записи.

SUPPORT 388945а0 — компания Microsoft зарезервировала эту запись за собой для поддержки справочной службы Help and Support Service; запись является заблокированной.

Кроме того, могут появиться и другие пользовательские учетные записи, например, после установки служб Интернета — Internet Information Services.

Для работы с локальными пользователями можно использовать утилиту командной строки net user.

Команда net user <имяПользователя> /times позволяет определять день и время, когда пользователь может входить в данную систему.

4. Папка Groups

В системах Windows 2000 (на рабочей станции или сервере, являющимся членом домена) папка Groups (Группы) содержит шесть встроенных групп. Они создаются автоматически при установке системы. Ниже описаны свойства этих групп.

Administrators (Администраторы) — ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автоматически предоставляющая своим членам весь набор встроенных прав. По умолчанию содержит встроенную учетную запись Administrator. Если компьютер подключен к домену, эта группа также содержит группу Domain Admins.

Backup Operators (Операторы архива) — члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности. По умолчанию пуста.

Guests (Гости) — эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Guest и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы. По умолчанию содержит пользователя Guest.

Power Users (Опытные пользователи) — члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Users, Guests и Power Users. Члены группы Power Users не могут модифицировать членство в группах Administrators и Backup Operators. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий. По умолчанию пуста.

Replicator (Репликатор) — членом группы Replicator должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи. По умолчанию пуста.

Users (Пользователи) — члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер. По умолчанию содержит служебные учетные записи NT AUTHORITY\Authenticated Users (S-1-5-11) и NT AUTHORITY\INTERACTIVE (S-l-5-

4. . Если компьютер подключен к домену, эта группа также содержит группу Domain Users.

Еще четыре группы появились в системах Windows Server 2003.

Performance Log Users — члены этой группы могут удаленно запускать журналы регистрации. По умолчанию содержит служебную учетную запись NT AUTHORITY\NETWORK SERVICE (S-l-5-20).

Performance Monitor Users — группа, члены которой могут выполнять мониторинг производительности компьютера. По умолчанию пуста.

Print Operators — члены этой группы могут администрировать принтеры в домене. По умолчанию пуста.

TelnetClients — группа, члены которой имеют доступ к службе Telnet Server на данном компьютере. По умолчанию пуста.

Для работы с локальными пользователями можно использовать утилиту командной строки net localgroup.

Практическая часть

Настройка Windows 2003

1. Переходим к настройке ролей сервера

Админис тратор
Управление данным сервером	|цр| Мой компьютер
	Г1*п™.
Сv/ Прово , —■Обзор ролей и средс	:тв управления данного сервера.
Командная строка Ijjlp Блокнот Part	Щ Администрирование Принтеры и факсы
	^^1 Справка и поддержка Поиск Выполнить...
Все программы ►
^ Выход из системы ||о| Завершение работы

Рисунок 92 Меню «Пуск»

2. Запускаем мастер настройки сервера через кнопку «Добавить или удалить роль»

Управление данным сервером

Сервер: X3WF8DG9DU3RZ4

Поиск б центре справки и | поддержки И

Управление ролями данного сервера

Используйте данные средства и сведения для удаления и. добавления ролей и выполнения ежедневных заданий,

или удалить

Конфигурация усиленной безопасности Internet Explorer

Данный сервер настроен на следующие роли:

□оль

пппчитдт[запуск работы мастера настртики сервёрГ^^ре сервера в) Дополнительно об удаленном администрировании

Средства и обновления

Администрирование Средства Windows Update

Ш Добавить

См. такзке

Справка и поддержка Microsoft TechNet Развертывание и ресурсы Список общих административных заданий Сообщество пользователей сервера Windows Server Новинки

Программа защиты стратегических технологий

удаленного доступа/VPN

SI Управление удаленным доступом или VPN- сервером

Просмотреть дальнейшие шаги для роли

Серверы удаленного доступа или VPN позволяют удаленным клиентам входить в сеть с помощью удаленного доступа или безопасного подключения к виртуальной частной сети (VPN), Они также обеспечивают преобразование сетевых адресов (NAT), позволяющее всем компьютерам небольшой сети совместно использовать одно подключение к Интернету.

DNS-I

DNS-серверы (Domain Name System) транслируют DNS- имена доменов и компьютеров в 1Р-адреса.

Управление этим DNS- сервером

3. В первом окне мастера проверяем необходимые требования и жмем «Далее», программа установки проверяет сервер на предмет установленных сервисов. Затем добавляем роль сервера в качестве «Файл-сервера» и жмем «Далее»

Мастер настройки сервера

Роль сервера

Данный сервер можно настроить на выполнение одной или нескольких конкретных ролей. Если требуется добавить на сервер более одной роли, можно повторно выполнить мастер.

Можно добавлять или удалять роли сервера. Если роли, которую требуется добавить или удалить, нет в списке, откройте компонент Установка и удаление программ.

I Роль сервера	Настроено |	Файл-сервер
■Файл-сервер	Нет
Сервер печати	Нет	Файловые серверы обеспечивают
Сервер приложений (IIS, ASP.NET)	Нет	совместное использование и сохранение
Почтовый сервер (POP3, SMTP)	Нет	файлов для пользователей или
Сервер терминалов	Нет	приложений,
Сервер удаленного доступа или VPN-c...	Да
Контроллер домена (Active Directory)	Нет	Сведения о Файловых серверах
DNS-сервер	Да
DHCP-сервер	Да
Сервер потоков мультимедиа	Нет
WINS-cepeep	Нет	Просмотр журнала настройки сервера.

< Назад

Далее >

Отмена

Справка |

Рисунок 94 Выбор варианта настройки сервера

4. Окно мастера «Дисковые квоты сервера файлов» оставляем без изменений и жмем «Далее»

Мастер настройки сервера

Дисковые квоты сервера файлов

Дисковые квоты используются для отслеживания и управления использованием дискового пространства на сервере,

Этот мастер назначит квоты дискового пространства по умолчанию для новых пользователей дисков с файловой системой NTFS на данном сервере. Если будут установлены особые квоты для отдельных пользователей или групп, то эти квоты перекроют значения по умолчанию.

Г~ Остановить дисковые квоты по умолчанию для новых пользователей данного сервера!

Выделять на диске не более: |		|МБ Zi
Поеюг выдачи предупреждений: |
		|МБ J

2. Не выделять место на диске при превышении дискового пространства Занести событие в журнал, когда пользователь превысит следующее:

I” Предел дискового пространства Н Порог предупреждений

< Назад

Далее >

Отмена

Справка |

5. В следующем окне выключаем службу индексирования и жмем «Далее»

Мастер настройки сервера

Служба индексирования сервера файлов

Пользователи могут проводить поиск в индексированных файлах конкретных слов или символов.

Служба индексирования каталогизирует содержимое файлов в папках общего доступа для ускорения поиска. В данный момент служба индексирования выключена.

Наличие включенной службы индексирования может снизить производительность сервера, необходимо использовать ее только при частом поиске в содержимом файлов на данном сервере.

Использовать службу индексирования на этом сервере?

Да, включить службу индексирования (• Нет, оставить службу индексирования выключенной;

< Назад

Далее >

Отмена

Справка |

Рисунок 96 Окно включения службы индексирования файлов

6. Жмем кнопку «Далее», после чего запустился мастер создания общих

ресурсов, для продолжения так же жмем «Далее». Выбираем папку которую необходимо открыть для общего доступа (например, папка share) и переходим далее

ИЯ*

Ш1

Мастер создания общин ресурсов

Путь к папке

Задайте путь к папке, которую требуется сделать общей.

Имя компьютера: |X3WF8DG9DU3RZ4

Введите путь к папке общего пользования или нажмите "Обзор", чтобы выбрать или создать новую папку.

Путь к папке: ICAshare Обзор...

Пример: CADocs\Public

< Назад

Отмена

Далее >

7. Вводим описание создаваемого ресурса и жмем «Далее»

Мастер создания общин ресурсов

Имя, описание и параметры

Определите, как пользователи должны просматривать и использовать этот общий ресурс по сети.

I share

| \ W3WF8D G9DU3RZ4\share

Введите данные об общем ресурсе. Для настройки доступа в автономном режиме нажмите кнопку "Изменить".

Общий ресурс:

П уть к ресурсу:

• писание:

Автономный режим:

Файлы и программы доступны в авто Изменить...

< Назад

Отмена

Далее >

Рисунок 98 Окно задание параметров общего ресурса

8. Ставим права доступа к данной папке только на чтение и жмем «Готово»

ИЯ*

Ш1

Мастер создания общин ресурсов

Разрешения

Задайте разрешения для этой папки.

Выберите один из стандартных типов доступа или создайте измененные права доступа к папке и общему ресурсу.

(* |У всех пользователей доступ только для чтений

С Администраторы имеют полный доступ, остальные - доступ только для чтения

Г Администраторы имеют полный доступ, остальные • доступ для чтения и записи

Настроить...

Использовать особые права доступа к общей папке

Установленные разрешения доступа относятся к общему ресурсу в целом, можно также задать разрешения для отдельных файлов и папок. Дополнительные сведения содержатся в справке.

Чтобы создать общий ресурс, нажмите кнопку "Готово".

• Готово

  Отмена

  Назад

Рисунок 99 Окно задания прав для создаваемого общего ресурса

Мастер создания общин ресурсов

Ресурс успешно сделан общим

Чтобы закрыть мастер, нажмите кнопку "Закрыть"

Состояние:

Работа мастера создания общих ресурсов успешно завершена.

1

Итоговые сведения:

Для общего ресурса W3WF8DG9DU3RZ4 заданы ^ следующие параметры:

Путь к папке: CAshare

Имя общего ресурса: share

Путь к общему ресурсу: \V<3WF8DG9DU3RZ4\share

I” |После нажатия кнопки "Закрыть" запустить мастер |повторно, чтобы обработать другую папку

*]

Утмена

Закрыть

Рисунок 100 Завершающее окно мастера создания общих ресурсов

10. После успешной установки сервера будет показано следующее окно в котором нажимаем «Готово»

_|

Мастер настройки сервера

Данный сервер настроен на работу в режиме файлового сервера

Данный сервер успешно установлен как файловый сервер. Для добавления или удаления другой роли еще раз запустите мастер настройки сервера,

Просмотр следующих шагов для данной роли

Внесенные изменения записаны в журнал настройки сервера. Для закрытия мастера нажмите кнопку "Готово¹'.

< Назад

Г отово

Отмена

Справка

10. Создадим пользователя для доступа к сетевому ресурсу. Вызываем «Пуск»

• Администрирование - Управление компьютером

Г Администратор
Управление данным сервером Проводник	Мой компьютер 1
	Панель управления ► ■
	L ТтгВШЯДГД .
Командная строка Pairlt Блокнот	Принтеры и факсы
	Справка и поддержка Поиск Выполнить... ,1 (
Все программы ►
Выход из системы JjQjJ Завершение работы (
\4. Пуск J С& J

ИЗ DHCP

Управление компьютером

Управление файловым сервером Центр сертификации

Диспетчер балансировки сетевой нагрузки Диспетчер служб терминалов Источники данных (ODBC)

Конфигурация платформы Microsoft .NET Framewo.. Лицензирование ]gl Лицензирование сервера терминалов ^ Локальная политика безопасности Маршрутизация и удаленный доступ ■J Мастер настройки сервера (§2 Мастера платформы Microsoft .NET Framework 1.1 Ш Настройка служб терминалов Производительность Ц] Просмотр событий

Распределенная файловая система DFS Службы ^ Службы компонентов Ъ Удаленные рабочие столы I Управление данным сервером

Рисунок 102 Меню «Пуск»

10. Перейдем по дереву объектов Служебные программы | Локальные пользователи | Пользователи. В правой части окна видим существующих пользователей. Вызываем меню в котором выбираем пункт «Новый пользователь»

Ji«J

Ш Консоль Действие Вид Окно Справка

^SUPPORT_38,, -С Ад министра. 45ГОСТЬ

CN=Microsoft Corporation..

)Д1 Управление компьютером (локал! П-Щь Служебные программы Ё-1ёН Просмотр событий ЁЬЙ Общие папки В-® Локальные пользователи

• Г руппы ЁШ Журналы и оповещения п[ ^i-"'.Щ Диспетчер устройств B-gj Запоминающие устройства S М Съемные ЗУ I Дефрагментация диска Управление дисками S Службы и приложения

Описание

Это учетная запись поставщика Встроенная учетная запись адми Встроенная учетная запись для .

J ±J

Новый пользователь

JJ х|

Пользователь: I client Полное имя:

client

□писание: IУ четная запись для подключения по сети

П ароль:

П одтве-ржд ение: | •

Г Т ребовать смену пароля при следующем входе в систему Ф Запретить смену пароля пользователем W Срок действия пароля не ограничен Г~ Отключить учетную запись

Создать

Закрыть

Рисунок 104 Окно создания нового пользователя

Примечание: необходимо указать пароль и поставить галочку напротив пунктов «Запретить смену пароля пользователем» и «Срок действия пароля неограничен»