Лабораторная работа №6

Администрирование учетных записей пользователей и групп MDS

Цели работы

Получить теоретические и практические навыки по следующим вопросам:

• создание и управление учетными записями пользователей;

• управление доступом к ресурсам посредством групп.

Теоретическое введение

Учетные записи пользователей

Посредством учетной записи пользователь может подключиться к домену для доступа к ресурсам сети или зарегистрироваться на каком-либо компьютере, чтобы получить доступ к его ресурсам. Все, кто регулярно пользуется сетью, должны иметь уникальную учетную запись.

В Mandriva Directory Server предусмотрено три типа учетных записей: локальные, доменные и встроенные. Локальная учетная запись (local user account) позволяет пользователю зарегистрироваться на конкретном компьютере, чтобы получить доступ к его ресурсам.

Пользователь, обладающий доменной учетной записью (domain user account) может подключиться к домену, чтобы получить доступ к ресурсам сети. Встроенная учетная запись (built-in user account) позволяет выполнять функции администрирования или получать доступ к локальным или сетевым ресурсам.

Учетные записи домена

Позволяют пользователям получить доступ к домену и его ресурсам из любого места сети.

При входе в систему пользователь вводит свой пароль и регистрационное имя. На основе этих сведений Mandriva Directory Server опознает пользователя и выделяет ему маркер доступа, который содержит информацию о пользователе и параметрах защиты. Маркер доступа идентифицирует пользователя. MDS создает маркер доступа на время данной сессии.

Доменная учетная запись создается в контейнере или ОП в копии БД каталога на контроллере домена. Этот контроллер реплицирует информацию о новой учетной записи на остальные контроллеры домена. После этого все контроллеры в дереве домена могут опознать пользователя при входе в систему.

Встроенные учетные записи Mandriva Directory Server автоматически создает встроенные учетные записи. Наиболее часто применяются встроенные учетные записи admin (Администратор) и nobody (некто).

Встроенная учетная запись admin

Учетная запись admin позволяет создавать и модифицировать учетные записи и труппы, управлять политикой безопасности, устанавливать принтеры, назначать разрешения учетным записям для доступа к ресурсам.

Учетную запись admin лучше использовать только для выполнения административных задач. Удалить учетную запись admin нельзя. Желательно её переименовать для повышения уровня зашиты.

Встроенная учетная запись nobody

Учетная запись nobody применяется временными пользователями для входа в систему и по умолчанию отключена. Ее следует активизировать только в сетях, не требующих высокой степени зашиты. Можно переименовать эту учетную запись, но нельзя ее удалить.

Домашние папки пользователей

Домашняя папка (home directory) — это дополнительная папка, позволяющая пользователям хранить личные документы, а старым приложениям — сохранять документы по умолчанию. Домашняя папка располагается на клиентском компьютере или в общей папке на файловом сервере. Поскольку домашняя папка не является частью перемещаемого профиля пользователя, ее размер не влияет на сетевой трафик при входе в систему.

Имеется возможность разместить все домашние папки централизованно на сетевом сервере. Хранение всех домашних папок на файловом сервере дает ряд преимуществ:

1. пользователи получают доступ к своим домашним папкам с любого компьютера в сети;

2. поддержка и администрирование документов пользователя выполняется централизованно;

Для успешного создания домашних папок необходимо иметь разрешение на администрирование контейнерного объекта, где расположена учетная запись пользователя.

Группы и разрешения

Группа (group) — это набор учетных записей пользователей. Группы упрощают администрирование, позволяя назначать разрешения и права группе пользователей, а не каждой отдельной учетной записи.

Кроме пользователей, в группу можно добавлять контакты, компьютеры и другие группы. Группы добавляют в другие группы для создания объединенных групп — таким образом, упрощается назначение разрешений.

Разрешения и права

Назначая разрешения (permissions), администратор предоставляет пользователям доступ к определенным ресурсам и определяет права доступа. Если, например, нескольким пользователям требуется доступ к одному файлу, целесообразно добавить их учетные записи в группу, а затем предоставить группе разрешение на считывание файла.

Права (rights) дают возможность выполнять системные задачи, например, изменять системное время, архивировать или восстанавливать файлы, а также локально регистрироваться в системе.

Права пользователя предоставляются на уровне отдельного компьютера или домена; разрешения предоставляются на уровне объекта.