3. Управление пользователями в Microsoft Windows nt/2000/xp

3.1 Состав бюджета пользователя

Учетная запись пользователя. Имеет уникальный идентификатор безопасности (SID), присваиваемый при создании; если удалить учетную запись, а потом создать новую с тем же именем, все допуски будут потеряны.

Username (вводится при logon’е), Password, Full name, Logon hours, Logon on workstations, Expiration date, Home directory, Logon script, Profile (environment), Account Type Окружение пользователя (Environment). Доступные ресурсы + конфигурация пиктограмм desktop’а + фоновые рисунки + параметры автоматических соединений по сети + startup – программы; управляется профилем, входным сценарием (скриптом), личным каталогом. Содержание профиля (profile). Сохраняются при выходе настройки, которые мог сделать сам пользователь:(Program/Desktop manager): собственные группы программ и shortcut’ы (File manager / Explorer): сетевые соединения - 10 - (DOS session) шрифты, цвета, параметры видеобуфера, положение окон (Print manager) связь с принтерами сети и все настройки (Control Panel) набор цветов, screensaver, настройки мыши и клавиатуры, sound, international, cursor (Accessories) настройки прикладных программ: Calc, Calendar, Cardfile, Clock, Notepad, PBrush, Terminal настраиваемые на пользователя прикладные программы закладки в системе справки.

Типы профилей. На NT Workstation автоматически создаются локальные профили (в Registry: HKLM\Software\Microsoft\Windows\Current Version\Profile List) На NT Server – персональные (.USR) или обязательные (.MAN) профили, привязанные к учетным записям. Личный каталог (home directory) \Users\Default (\Users\имя_пользователя). Входные сценарии (script). \WinNT или \WinNT\ SYSTEM32\ REPL\IMPORT \ SCRIPTS.BAT,CMD,EXE – файл.

3.2 Управление профилями пользователей

В профилях пользователей содержатся параметры рабочего стола, настройки меню и другие элементы пользовательской среды. Иногда проблемы с профилем могут воспрепятствовать входу пользователя в систему. Например, у пользователя могут возникнуть проблемы со входом в систему, для которой не поддерживаются параметры разрешения экрана, сохраненные в профиле. Фактически, пользователь не увидит ничего, кроме пустого экрана. Можно перезагрузить машину и войти в режиме VGA, чтобы установить необходимые параметры вручную. Однако, проблемы, связанные с профилями, не всегда просты и могут потребовать обновления данных профиля.

Управление профилями пользователей в Windows 2000 можно осуществлять различными способами:

• Указывать пути к профилям в оснастке Active Directory - пользователи и компьютеры (Active Directory Users and Computers);

• Использовать компонент Система (System) панели управления для изменения, копирования или удаления локального профиля;

• При помощи групповых политик контролировать пользовательскую среду, а также возможность ее изменения пользователями.

Локальные, перемещаемые и обязательные профили. В операционной системе Windows 2000 у каждого пользователя есть свой профиль. В профиле содержатся параметры загрузки пользовательской среды, доступные программы и приложения, настройки рабочего стола и т.д. Профиль есть на каждом компьютере, на котором работает пользователь. Поскольку профиль хранится на локальном жестком диске, у пользователей, работающих на нескольких компьютерах, будут профили нак каждом из них. С другого компьютера сети локально сохраненный профиль недоступен (он так и называется: локальный профиль). Как Вы понимаете, в этом есть свои недостатки. Например, у пользователя, входящего на различные компьютеры сети, профили могут отличаться друг от друга. В результате, пользователь может запутаться в доступных ему сетевых ресурсах. Чтобы решить проблему многочисленных профилей и упростить ситуацию, можно создать особый профиль, который будет доступен различным компьютерам сети. Такой профиль называется перемещаемым. Перемещаемый профиль доступен пользователю на любом компьютере, входящем в домен. Такой профиль может храниться только на сервере под управлением операционной системы Windows 2000 Server или Windows 2003 Server. При входе пользователя в систему происходит загрузка профиля с сервера, что в свою очередь создает локальную копию на компьютере пользователя. При выходе пользователя из системы, произведенные в течение сеанса изменения сохраняются как в локальной, так и серверной копии профиля.

Как администратор, Вы можете контролировать профили пользователей или позволить им это делать самостоятельно. К примеру, можно контролировать профили, чтобы обеспечить единую конфигурацию сети для всех пользователей. Это снизит количество проблем, связанных с пользовательской средой.

Профили, контролируемые администраторами, называются обязательными профилями. Пользователи, имеющие обязательный профиль, могут вносить лишь временные изменения в свою среду. Иными словами, все модификации пользовательской среды сохраняются лишь на протяжении сеанса, а при следующем входе в систему вновь загружается обязательный профиль. Смысл использования обязательных профилей заключается в том, что если пользователям не позволено модифицировать среду, они не сумеют внести изменения, которые могут привести к проблемам в работе. Основным недостатком такого подхода является то, что пользователи могут войти в систему только в случае, когда им доступен обязательный профиль. Если по какой-либо причине нет доступа к серверу, хранящему обязательные профили, а кэшированный профиль тоже недоступен, пользователь не сможет войти в систему. Если сервер недоступен, но есть возможность загрузить локальный кэшированный профиль, пользователь сможет войти в Windows 2000 с кэшированным профилем после соответствующего предупреждения операционной системы.

Создание локальных профилей. В Windows 2000 профили пользователей располагаются в каталоге по умолчанию, либо в расположении, указанном в поле Путь к профилю (Profile Path)диалогового окнаСвойства (Properties) пользователя. Расположение каталога по умолчанию зависит от конфигурации локального компьютера следующим образом:

• Обновление более ранней ОС до Windows 2000. Профиль пользователя располагается в файле %SystemRoot%\Profiles\ %UserName%\ NTUSER.DAT, где %SystemRoot% является корневым каталогом операционной системы (например, C:\WINNT), а %UserName% - это имя учетной записи пользователя (например, wrstanek);

• "Чистая" установка Windows 2000 (нет предыдущей ОС). Профиль пользователя располагается в файле %SystemDrive%\Documents and Settings\%UserName%.%UserDomain%\NTUSER.DAT (например, F:\Documents and Settings\WRSTANEK.WEBATWORK\NTUSER.DAT). Если пользователь осуществляет вход в систему контроллера домена, профиль может находиться в каталоге %SystemDrive%\Documents and Settings\ %UserName%. (например, F:\Documents and Settings\WRSTANEK.ZETA\).

Если расположение по умолчанию не менять, у пользователя будет локальный профиль.

Создание перемещаемых профилей. Перемещаемые профили хранятся на сервере под управлением операционной системы Windows 2000 Server или Windows 2003 Server. Если Вы хотите назначить пользователю перемещаемый профиль, нужно сконфигурировать серверное расположение каталога профиля. Этого можно достичь следующими действиями:

1. Создайте общий каталог на сервере и убедитесь, что у группы Все (Everyone) есть доступ к нему;

2. Откройте оснастку групповой политики Active Directory - пользователи и компьютеры (Active Directory Users and Computers) и в Свойствах (Properties) пользователя перейдите на вкладку Профиль (Profile). В поле Путь к профилю (Profile Path) введите путь к общему каталогу. Путь должен иметь вид \\server name\profile folder name\user name. Например, \\ZETA\USER_ PROFILES\GEORGEJ, где ZETA - имя сервера, USER_PROFILES – название общего каталога, а GEORGEJ является именем учетной записи;

3. Впоследствии профиль будет храниться в файле NTUSER.DAT в указанном каталоге (например, \\ZETA\USER_PROFILES\GEORGEJ\NTUSER.DAT) Примечание. Как правило, нет необходимости в создании папки для пользователя. Она будет создана автоматически при входе пользователя в систему;

4. Можно создать профиль для пользователя или скопировать существующий профиль в указанный каталог, однако этот шаг не является обязательным. Если Вы не создадите профиль для пользователя заранее, при следующем входе в систему он получит локальный профиль по умолчанию. Все изменения, произведенные пользователем в профиле, сохранятся по завершении сеанса. Таким образом, при следующем входе в систему у пользователя будет уже персональный профиль.

Создание обязательных профилей. Обязательные профили хранятся на сервере под управлением операционной системы Windows 2000 Server или Windows 2003 Server. Если вы хотите назначить пользователю обязательный профиль, выполните следующие действия:

1. Следуйте пунктам 1-3 раздела Создание перемещаемых профилей;

2. Создайте обязательный профиль, переименовав файла NTUSER.DAT в %USERNAME%\NTUSER.MAN. Теперь при следующем входе в систему у пользователя будет обязательный профиль. Примечание. В файле NTUSER.DAT содержатся пользовательские настройки профиля. Изменяя расширение файла на NTUSER.MAN, Вы указываете Windows 2000 создать обязательный профиль.

Использование компонента панели управления Система (System) для управления локальными профилями. Для управления локальными профилями Вам нужно войти в систему на компьютере пользователя. Затем запустите компонент Система (System) панели управления и перейдите на вкладку Профили пользователей (User Profiles). Как показано на Рисунке 9-9 ниже, вкладка Профили пользователей отображает в виде таблицы различную информацию о профилях локальной системы. Эта информация поможет Вам в управлении профилями. Значения полей таблицы раскрываются ниже:

• Имя. Имя локального профиля, которое обычно включает в себя имя домена или компьютера. Например, имя WEBATWORK\WRSTANEK означает, что этот профиль из домена WEBATWORK, а имя учетной записи - WRSTANEK;

• Размер. Размер профиля. Обычно, чем больше размер профиля, тем больше личных изменений пользователь внес в свою среду;

• Тип. Тип профиля: локальный или перемещаемый.

• Изменен. Дата последнего изменения профиля.

Создание профиля вручную. В некоторых случаях Вам может понадобиться создать профиль вручную. Для этого нужно войти в систему с учетными данными пользователя, настроить среду, и выйти из системы. Несложно догадаться, что создание профилей таким способом отнимает немало времени. Лучше задействовать базовый профиль для создания новых пользовательских профилей. Иными словами, Вы создаете базовую учетную запись, настраиваете пользовательскую среду, а затем используете полученный профиль, как основу для создания других учетных записей.

Копирование существующего профиля в новую учетную запись. Если у Вас есть базовый профиль или иная учетная запись, которую Вы хотите взять за основу, можно скопировать существующий профиль в новую учетную запись. Для этого можно задействовать компонент панели управления Система (System), проделав следующие операции:

1. Запустите компонент Система и перейдите на вкладку Профили пользователей (User Profiles);

2. Из списка Профили, хранящиеся на этом компьютере (Profiles Stored On This Computer) выберите существующий профиль, который Вы желаете скопировать;

3. Скопируйте профиль в новую учетную запись, нажав кнопку Копировать (Copy To). Затем введите путь к папке профиля нового пользователя в поле Копировать профиль на (Copy Profile To), как показано на Рисунке 9-10. Например, создавая профиль для нашего пользователя GEORGEJ, Вы бы ввели такой путь: \\ZETA\USER_PROFILES\GEORGEJ.\\ZETA;

4. Теперь нужно выдать пользователю разрешения на доступ к профилю. Нажмите кнопку Изменить (Change) в области Разрешить использование (Permitted To Use), а затем используйте диалоговое окно Выбор: Пользователь или Группа (Select User Or Object), чтобы выдать новой учетной записи необходимые разрешения;

5. Нажмите кнопку OK, чтобы закрыть диалоговое окно Копировать и тем самым дать операционной системе команду на копирование профиля в указанное расположение.

Копирование или восстановление профиля. При обслуживании рабочих групп, где каждый компьютер управляется отдельно, Вам часто придется копировать локальный профиль пользователя с одного компьютера на другой. Копирование профиля позволяет пользователям работать с привычными настройками на различных компьютерах. Безусловно, в домене Windows 2000 Вы можете использовать перемещаемый профиль в виде единого профиля, который доступен в пределах всего домена. Впрочем, иногда Вам может понадобиться скопировать существующий локальный профиль поверх перемещаемого профиля пользователя (в случаях, когда последний поврежден) или может возникнуть необходимость в копировании существующего локального профиля в перемещаемый профиль другого домена.

Вы можете скопировать существующий профиль в новое расположение следующим образом:

1. Войдите в систему на компьютере пользователя, из панели управления запустите компонент Система (System) и перейдите на вкладку Профили пользователей (User Profiles);

2. Из списка Профили, хранящиеся на этом компьютере (Profiles Stored On This Computer) выберите существующий профиль, который вы желаете скопировать;

3. Скопируйте профиль в новую учетную запись, нажав кнопку Копировать (Copy To). Затем введите путь к папке профиля нового пользователя в поле Копировать профиль на (Copy Profile To). Например, создавая профиль для пользователя JANEW, Вы бы ввели такой путь: \\GAMMA\USERPROFILES\JANEW;

4. Теперь нужно выдать пользователю разрешения на доступ к профилю. Нажмите кнопку Изменить (Change) в области Разрешить использование (Permitted To Use), а затем используйте диалоговое окно Выбор: Пользователь или Группа (Select User Or Object), чтобы выдать новой учетной записи необходимые разрешения;

5. Нажмите кнопку OK, чтобы закрыть диалоговое окно Копировать и дать Windows 2000 команду на копирование профиля в указанное расположение.

Удаление локального профиля и назначение нового. Профили задействуются при входе пользователя в систему. Windows 2000 использует локальные профили для всех пользователей, не имеющих перемещаемых профилей. Вообще, локальный профиль также используется еще и в случае, когда дата его последнего изменения новее, чем у перемещаемого профиля. Поэтому в некоторых случаях может возникнуть необходимость в удалении локального профиля пользователя. Например, если локальный профиль поврежден, Вы можете удалить его и назначить новый. Учтите, что персональные настройки пользователя будут утеряны при удалении локального профиля, который более нигде в домене не сохранен.

Выполните следующие шаги для удаления профиля пользователя:

1. Войдите в систему на компьютере пользователя;

2. Из панели управления запустите компонент Система (System) и перейдите на вкладку Профили пользователей (User Profiles);

3. Выберите профиль, подлежащий удалению, и нажмите кнопку Удалить (Delete). Затем нажмите Да (Yes) в диалоговом окне, запрашивающем подтверждение на удаление профиля.

Переименование учетных записей пользователей и групп. Выполните следующие действия, чтобы переименовать учетную запись:

1. Откройте оснастку Active Directory - пользователи и компьютеры или Локальные пользователи и группы, в зависимости от того, какой тип учетной записи Вам нужно переименовать;

2. Вызовите контекстное меню правым щелком мыши на имени учетной записи и выберите команду Переименовать (Rename). Затем введите новое имя учетной записи.

Изменение прочей информации. Когда Вы изменяете имя учетной записи с JANEW на JANEM, свойства пользователя и имена файлов, связанных с этой учетной записью, остаются прежними. Это означает, что Вам следует обновить данные учетной записи. Возможно, Вам понадобится обновить следующую информацию:

• Выводимое имя. Измените Выводимое имя (Display Name) учетной записи в оснастке Active Directory - пользователи и компьютеры;

• Путь к профилю пользователя. Поменяйте Путь к профилю (Profile Path) в оснастке Active Directory - пользователи и компьютеры, а затем переименуйте соответствующую папку на диске;

• Сценарий входа в систему. Если Вы применяете индивидуальные сценарии входа в систему для каждого пользователя, измените Сценарий входа (Logon Script Name) в оснастке Active Directory - пользователи и компьютеры, и затем переименуйте файл сценария;

• Домашняя папка. Измените путь к домашней папке в оснастке Active Directory - пользователи и компьютеры (Active Directory Users And Computers), и затем переименуйте соответствующую папку на диске.

Удаление учетных записей пользователей и групп. Удаление учетной записи ведет к ее полному уничтожению. Если вы удалите учетную запись, а затем создадите новую с точно таким же именем, у последней уже не будет разрешений удаленной учетной записи. Это происходит потому, что идентификаторы безопасности новой и старой учетных записей не совпадают друг с другом. Операционная система Windows 2000 не позволяет производить удаление встроенных учетных записей, поскольку это может привести к негативным последствиям в домене. Удаление прочих учетных записей можно осуществить, выделив учетную запись и нажав клавишу Delete на клавиатуре или выбрав команду Удалить (Delete) из контекстного меню. Затем останется лишь последовательно нажать кнопки OK и Да (Yes) в диалоговом окне подтверждения удаления учетной записи.

Задание и смена паролей. Администратору часто приходится задавать или менять пароли пользователей. Как правило, это приходится делать в случаях, когда пользователь не может вспомнить пароль или срок действия пароля истек. Выполните следующие действия, чтобы задать или сменить пароль:

1. Откройте оснастку Active Directory - пользователи и компьютеры (Active Directory Users And Computers) или Локальные пользователи и группы (Local Users And Groups), в зависимости от типа учетной записи для которой Вы меняете или задаете пароль;

2. Правым щелчком мыши на имени учетной записи вызовите контекстное меню и выберите команду Смена пароля (Reset Password) или Задать пароль (Set Password), в зависимости от поставленной задачи;

3. Введите новый пароль и подтвердите его. Пароль должен соответствовать требованиям сложности, определяемых политикой домена или локального компьютера;

4. Двойным щелчком на имени учетной записи откройте ее свойства и снимите флажок Отключить учетную запись (Account Is Disabled) или Заблокировать учетную запись (Account Is Locked Out), если это применимо к Вашей ситуации или необходимо для выполнения поставленной задачи.В оснастке Active Directory - пользователи и компьютеры эти флажки находятся на вкладке Учетная запись (Account).