Настройка перемещаемого профиля

Можно настроить или указать готовый RUP для всех учетных записей и запретить его модификацию. Для этого можно настроить рабочую среду и скопировать полученный про­филь на место RUP пользователя.

Перемещаемые профили используются для:

• обеспечения пользователей рабочей средой, включающей только необходимые для ра­боты подключения и приложения;

• обеспечения стандартной среды рабочего стола для RUP пользователей, имеющих оди­наковые требования к работе; им нужны одинаковые сетевые ресурсы;

• устранения ошибок: имея ясное представление о настройке рабочих столов пользова­телей, специалисты службы технической поддержки найдут отклонение или проблему.

Вы можете настраивать локальные профили, но это не рекомендуется. Они располагаются только на компьютере клиента, с которого он входит в сеть. Так что Вам придется создавать локальный профиль на каждом компьютере, с которого регистрируется клиент.

Обязательный профиль

Так называют RUP «только для чтения». Пользователь по-прежнему может изменять па­раметры своего рабочего стола, но при выходе из системы эти изменения не сохраняются. При его следующем входе обязательный профиль снова загружается с сервера.

Вы можете назначить один обязательный профиль многим пользователям, которым нужны одинаковые параметры рабочего стола. Изменив один профиль, Вы измените рабочую среду нескольких пользователей.

Чтобы сделать профиль обязательным, переименуйте файл Ntuser.dat, расположенный сервере, в Ntuser.man.

Настройка перемещаемого профиля пользователя

Если настроить на сервере RUP, при следующем входе пользователя на компьютер в домене Windows скопирует локальный профиль пользователя в папку RUP на сервер. При следующем входе пользователя в систему RUP будет скопирован с сервера на компьютер пользователя.

Храните перемещаемые профили на часто архивируемом сервере. Для ускорения вхо­да в систему в сильно загруженной сети поместите папки RUP на рядовой сервер, а не на контроллер домена. Копирование RUP с сервера на компьютеры клиентов может занять значительную часть полосы пропускания сети и усилить нагрузку на процессоры компьютеров. Хранение профилей на контроллере домена замедляет проверку подлинности (аутентификацию) пользователей в домене.

Для повышения производительности и доступности профилей настройте доменный корень DFS для профилей пользователей и сконфигурируйте FRS, чтобы профили копировались в несколько мест в сети.

Чтобы настроить RUP, надо создать общую папку на сервере и задать путь в формате \\<сервер>\<ресурс>. На вкладке Profile (Профиль) в диалоговом окне свойств учетной записи назначьте путь к общей папке в поле Profile Path (Путь к профилю) – \\<сервер>\<ресурс>\<регистрационное_имя>.

Назначение перемещаемого профиля пользователя

Можно настроить RUP и назначить его нескольким пользователям – вследствие этого при входе в систему у них будут одинаковые параметры и подключения. До создания и назначения RUP надо создать шаблон профиля, включающий параметры рабочего стола, которые должны быть у пользователей.

Создав шаблон профиля пользователя, войдите в систему как Administrator и скопи­руйте шаблон в папку перемещаемого профиля на сервере. Папка должна быть доступна для всех пользователей, которым будет назначен этот профиль. Шаблон профиля копиру­ется на общий сетевой ресурс с помощью приложения Система (System) из Панель управления (Control Panel)

Чтобы завершить данный процесс, при помощи оснастки Active Directory – пользователи и компьютеры назначьте профиль соответствующему пользователю. Открыв оснастку, в окне свойств учетной записи перейдите на вкладку Профиль (Profile) и задайте путь к профилю в поле Путь к профилю (Profile path).

Файл Ntuser.dat является скрытым. Снять атрибут «скрытый» поможет утилита командной строки attrib, или измените свойства этого файла, включив просмотр скры­тых файлов в Windows Explorer (Проводник).

Изменение учетных записей пользователей

Учетная запись изменяется путем изменения объекта учетной записи поль­зователя в хранилище Active Directory. Для успешного изменения учетных записей, создания RUP и назначения домашних каталогов надо иметь право на администрирование ОП, к ко­торому относятся учетные записи.

Отключение, включение, переименование и удаление учетных записей пользователей

Отключение/включение. Учетную запись следует отключать, когда пользователю в течение длительного времени она будет не нужна, но понадобится в будущем.

Переименование. Учетные записи переименовываются, когда надо сохранить все пра­ва, разрешения, членство в группе и большинство других свойств одной учетной запи­си и переназначить их другой.

Удаление. Удаляйте учетные записи уволенных сотрудников.

Для доменных учетных записей используйте оснастку Active Directory – пользователи и компьютеры. Для локальных учетных записей используйте расширение Локальные пользователи и группы (Local Users And Groups) оснастки Управление компьютером (Computer Management).

Восстановление паролей и разблокирование учетных записей пользователей

Если пользователь не может зарегистрироваться в домене или на локальном компьютере может потребоваться смена его пароля или разблокирование его учетной записи.

Смена паролей

Если срок действия пароля истечет до того, как его изменят, или пользователь забудет свой пароль, Вам надо сменить пароль. Откройте оснастку Active Directory – пользователи и компьютеры и выберите объект пользова­теля. В меню Action (Действие) выберите команду Смена пароля (Reset Password. В диалоговом окне Смена пароля введите пароль и пометьте флажок Требовать смену пароля при следующем входе в систему (User Must Change Password At Next Logon).

Разблокирование учетных записей пользователей

Групповая политика Windows блокирует учетную запись пользователя, нарушившего политику, например, превысившего допустимое число неудачных попыток входа в систе­му. Если учетная запись заблокирована, Windows сообщает об ошибке. Чтобы раз­блокировать учетную запись, в оснастке Active Directory Users And Computers щелкните правой кнопкой объект пользователя, выберите в контекстном меню команду Свойства (Properties) и на вкладке Учетная запись (Account) сбросьте флажок Заблокировать учетную запись (The Account Is Locked Out).

Создание домашней папки

Помимо папки My Documents, Windows позволяет создать дополнительную – до­машнюю – папку пользователя, которую Вы можете выделить ему для хранения личных документов и старых приложений. Иногда она является папкой по умолчанию для сохра­нения документов. Вы можете хранить домашнюю папку на компьютере клиента или в общей папке на файловом сервере. Домашняя папка не является частью RUP, поэтому ее размер не влияет на сетевой график при входе в систему. Вы можете разместить все до­машние папки централизованно на сетевом сервере. Хранение всех домашних папок на файловом сервере дает ряд преимуществ:

пользователи могут получать доступ к своим домашним папкам с любого компьютера в сети;

централизованная поддержка и администрирование документов пользователя;

домашние папки доступны с компьютера клиента, на котором работает любая ОС Microsoft (включая MS-DOS, Windows 9x/2000).

Для создания домашней папки на файловом сервере в сети выполните следующее:

Создайте и откройте совместный доступ к папке, в которой будут храниться все домашние папки на сетевом сервере. Домашняя папка для всех пользователей будет вложена в эту общую папку.

Для общей папки удалите разрешение по умолчанию Полный доступ для группы Все (Everyone) и назначьте его группе Пользователи (Users). Это гарантирует, что доступ к общей папке получат только пользователи с доменными учетными записями.

Укажите путь на вкладке Профиль (Profile) диалогово­го окна свойств учетной записи в группе Домашняя папка (Home folder). Поскольку домашняя папка находится на сетевом сервере, щелкните Под­ключить (Connect) и укажите букву подключаемого диска. Тогда при подключении пользовате­ля к сети определенное Вами имя диска появится в окне My Computer. В поле «То» (к) появится имя UNC в виде \\<сервер>\<ресурс>\<регистрационное_имя_пользователя>. В качестве имени пользователя укажите переменную %username%, чтобы автоматичес­ки присвоить имя и создать домашнюю папку пользователя с тем же именем, под ка­ким он входит в систему. Если Вы задаете имя папки на томе NTFS с помощью переменной %user­name%, пользователь и участники встроенной локальной группы Administrators получат для нее разрешение Полный доступ. Все другие разрешения для этой папки удаляются, включая права группы Everyone.

58. Параметры безопасного коммутируемого соединения.

служба удаленного доступа Remote Access Service (RAS) использует ряд параметров для обеспечения безопасности коммутируемых соединений. Вот основные параметры безопасности, которые вы должны знать:

1. Allow Access (Разрешить доступ): Этот параметр настраивается для каждой учетной записи пользователя и определяет, может ли пользователь использовать RAS для подключения к сети. Если выбрано, то пользователь получает возможность подключения.

2. Deny Access (Запретить доступ): Если установлен этот параметр, пользователь не сможет устанавливать соединение с RAS сервером.

3. Control access through NPS Network Policy (Управление доступом через политику сети NPS): Эта опция позволяет использовать политики сетевых серверов NPS (Network Policy Server), чтобы управлять доступом. Политика NPS может включать в себя разнообразные условия и ограничения, такие как проверка времени суток или групповое членство.

4. Verify Caller-ID (Проверка идентификатора звонящего): Параметр, который позволяет RAS серверу проверять номер телефона звонящего. Это может быть использовано как форма аутентификации и для установления дополнительной безопасности.

5. Callback options (Опции обратного вызова):

- No callback (Без обратного вызова): Этот параметр означает, что после аутентификации соединение будет продолжено без обратного вызова.

- Set by caller (Задается звонящим): Пользователь может выбрать, чтобы RAS сервер перезвонил на номер, заданный пользователем во время установления соединения.

- Always callback to (Всегда перезванивать на): Сервер RAS всегда будет осуществлять обратный звонок на определенный администратором номер после первоначальной аутентификации.

6. Assigned IP Address (Назначенный IP-адрес): Можно назначить статический IP-адрес пользователю для использования при подключении через RAS.

7. Static Routes (Статические маршруты): Применение статических маршрутов для трафика от удаленного пользователя для доступа к определенным сетевым ресурсам.

8. Encryption (Шифрование): Можно настроить требования к шифрованию для всех подключений. Например, можно требовать максимальное шифрование для обеспечения наилучшей безопасности передаваемых данных.

Эти параметры помогут администраторам настроить RAS в соответствии с требованиями безопасности организации и использоваться во время экзамена по администрированию Windows и Active Directory. Учтите, что конкретные шаги конфигурации могут изменяться в зависимости от версий Windows Server, поэтому важно проверить документацию или практические руководства для вашей конкретной среды.

59. Перемещаемый и неперемещаемый профили пользователя.

В Active Directory существуют два типа профилей пользователя: перемещаемые и неперемещаемые.

Перемещаемые профили пользователя:

• Перемещаемые профили хранятся на сетевом хранилище и доступны пользователям из любого компьютера в сети, к которому они имеют доступ.

• Когда пользователь входит в систему на новом компьютере, его перемещаемый профиль загружается на этот компьютер.

• После завершения сеанса работы профиль обновляется на сервере, чтобы отразить все изменения, внесенные пользователем во время сеанса.

Неперемещаемые профили пользователя:

• Неперемещаемые профили хранятся непосредственно на локальном компьютере пользователя.

• Эти профили обычно используются, когда пользователь работает на одном компьютере и не требуется доступ к профилю с других машин.

• Неперемещаемые профили обеспечивают быстрый доступ к настройкам и файлам пользователя, но не поддерживают такую гибкость, как перемещаемые профили.

Выбор между перемещаемыми и неперемещаемыми профилями зависит от требований пользователя и политики управления ресурсами в организации. Перемещаемые профили часто используются в средах с несколькими рабочими станциями, где пользователи могут работать с разных машин. Неперемещаемые профили часто применяются в средах с одним рабочим компьютером, где пользователи редко меняют место работы.