Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Лабораторная работа №1

Администрирование локальных учетных записей пользователей

Цель работы: изучение технологии создания локальных учетных записей пользователей, групп и настройка их свойств с помощью утилиты Локальные пользователи и группы.

Теоретические сведения

локальная учетная запись пользователь утилита

Одной из основных задач управления сетью является создание учетных записей пользователей и групп. Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows 2000, поскольку, назначая им права доступа, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера. Обычно право доступа ассоциируется с объектом -- файлом или папкой. Оно определяет возможность данного пользователя получить доступ к объекту.

Учетной записью называется совокупность прав и дополнительных параметров, ассоциированных с определенным пользователем.

Учетные записи пользователей и компьютеров представляют физический объект, такой как компьютер или пользователь. Учетные записи пользователей и компьютеров (а также группы) называются участниками безопасности. Участники безопасности являются объектами каталога, которым автоматически присваиваются коды безопасности. Объекты с кодами безопасности могут входить в сеть и получать доступ к ресурсам домена. Учетная запись пользователя или компьютера используется для следующих целей.

· Проверка подлинности пользователя или компьютера.

· Разрешение или запрещение доступа к ресурсам домена.

· Администрирование других участников безопасности.

· Аудит действий, выполняемых с использованием учетной записи пользователя или компьютера.

Любой пользователь характеризуется наличием определенной учетной записи, которая позволяет пользователю производить вход на компьютеры и домены, если она может быть проверена и допущена к ресурсам домена. Каждый входящий в сеть пользователь должен иметь собственную учетную запись и пароль. Учетные записи пользователей также могут использоваться для некоторых приложений как учетные записи службы.

Каждый компьютер, работающий под управлением Windows 2000 или Windows NT, который присоединяется к домену, имеет собственную уникальную учетную запись. Так же, как и учетные записи пользователей, учетные записи компьютеров предоставляют возможность проверки подлинности и аудита доступа компьютеров к сети, а также доступ к ресурсам домена.

Windows 2000 Server поддерживает локальных пользователей и группы, а также пользователей и группы Active Directory, поэтому работать с пользователями можно локально и посредством Active Directory.

В Windows 2000 с пользователями и группами на локальном уровне можно работать на рядовых серверах Windows 2000 и на компьютерах Windows 2000 Professional. На контроллерах доменов Windows 2000 для этого служит Active Directory.

В Windows 2000 поддерживаются пользователи двух видов: локальные и пользователи Active Directory (доменов). Компьютер, на котором функционирует Windows 2000 Professional или Windows 2000 Server (установленный как рядовой сервер), имеет возможность хранить свою собственную базу данных учетных записей пользователей. Пользователи, сведения о которых хранятся на локальном компьютере, называются локальными пользователями.

Active Directory - это служба каталога, доступная на платформе Windows 2000 Server и хранящая информацию в центральной базе данных, которая дает пользователям возможность иметь одну учетную запись в сети. Пользователи и группы, сведения о которых содержатся в центральной базе данных Active Directory, называются пользователями Active Directory или пользователями доменов.

Active Directory (активный каталог) разработан как масштабируемая сетевая структура. Он логически состоит из контейнеров, доменов и подразделений.

Контейнер - это объект Active Directory, в котором хранятся другие объекты Active Directory. Примерами объектов - контейнеров являются домены и подразделения.

Домен - основная логическая единица организации Active Directory. Объекты домена используют общую систему безопасности и информацию об учетных записях. У каждого домена должен быть как минимум один контроллер. Контроллер домена - это компьютер Windows 2000 Server, содержащий всю базу данных домена (компьютер, на котором установлен Active Directory).

Локальные учетные записи пользователя должны присутствовать на каждом компьютере сети, к которому пользователю необходимо иметь доступ. Именно поэтому в больших сетях чаще применяются учетные записи пользователей доменов.

На компьютерах с Windows 2000 Professional и на рядовых серверах Windows 2000 Server локальные пользователи создаются и обслуживаются с помощью утилиты Локальные пользователи и группы, а на контроллерах доменов Windows 2000 пользователи обслуживаются посредством утилиты Пользователи и компьютеры Active Directory.

При установке Windows 2000 Server несколько встроенных учетных записей пользователей создаются по умолчанию. В таблице 1 описаны эти учетные записи и указана среда (локально или домен) для каждой из них.

Таблица 1. Встроенные учетные записи пользователей

Удалять учетную запись следует только тогда, когда точно известно, что она больше не понадобится.

Для удаления пользователя откройте утилиту Локальные пользователи и группы, выделите удаляемую учетную запись и щелкните мышью на кнопке Действие. В открывшемся меню выберите Удалить.

Удаление - операция необратимая, поэтому появится диалоговое окно, предлагающее подтвердить желание удалить учетную запись.

Учетные записи Администратор и Гость удалить нельзя, а учетную запись начального пользователя - можно.

Переименование пользователей

Учетную запись можно переименовать в любой момент. Переименование позволяет сохранить все свойства пользователя.

Для переименования откройте утилиту Локальные пользователи и группы, выделите переименовываемую учетную запись и выберите Действие Переименовать. Измените имя пользователя и нажмите Enter, завершив операцию.

Изменение пароля пользователя

Если какой-то пользователь забыл свой пароль и не может войти в систему, нельзя посмотреть его старый пароль, но администратор может изменить пароль, которым тот и будет пользоваться.

Для изменения пароля откройте утилиту Локальные пользователи и группы, выделите учетную запись и выберите Действие Задать пароль. Введите новый пароль и подтвердите его. Щелкните ОК.

Работа со свойствами локальных пользователей

Для лучшего управления учетными записями пользователей следует настроить их свойства. В диалоговом окне свойств пользователя можно изменить исходные параметры пароля, добавить пользователей в существующие группы и указать сведения о профиле пользователя.

Чтобы открыть диалоговое окно свойств пользователя, обратитесь к утилите Локальные пользователи и группы, откройте папку Пользователи и дважды щелкните мышью на учетной записи пользователя. Диалоговое окно свойств пользователя состоит из четырех вкладок, соответствующих классам свойств: Общие, Членство в группах, Профиль, Удаленный доступ.

Общие содержит сведения, предоставляемые при создании новой учетной записи пользователя, а также сведения об отключении или включении учетной записи. Для изменения любого из этих параметров существующего пользователя откройте диалоговое окно свойств и внесите изменения на вкладке Общие.

Членство в группах используется для организации членства пользователя в группах.

Профиль позволяет настроить среду для пользователя. Профиль пользователя содержит сведения о среде Windows 2000 для конкретного пользователя. К параметрам профиля относятся, например, расположение ярлыков на рабочем столе, цвет экрана, который видит пользователь при входе в систему. По умолчанию при входе пользователя в систему открывается его профиль. При первом входе пользователи получают профиль по умолчанию. В папке Documents and Settings для пользователя создается папка с именем, соответствующим имени входа пользователя. При выходе пользователя из системы все изменения, сделанные им на рабочем столе, сохраняются на локальном компьютере.

Удаленный доступ используется для описания свойств удаленного доступа и ответного вызова. Эти параметры применяются при работе с серверами удаленного доступа и серверами виртуальной частной сети.

Организация членства пользователей в группах

На вкладке Членство в группах показаны все группы, к которым принадлежит пользователь. Здесь можно включить пользователя в существующую группу или удалить его из группы. Для включения пользователя в группу щелкните мышью на кнопке Добавить, выберите нужную группу, щелкните Добавить, а затем ОК. Щелкните мышью на кнопке ОК, закрыв диалоговое окно Свойства пользователя.

Для удаления пользователя из группы выделите группу и щелкните мышью на кнопке Удалить.

Работа с локальными учетными записями групп

Группы - это важный элемент управления сетью. Грамотные администраторы большую часть своих задач управления выполняют с помощью групп и крайне редко предоставляют полномочия отдельным пользователям.

На рядовых серверах Windows 2000 могут находиться локальные группы, а на контроллерах доменов Windows 2000 в Active Directory - группы безопасности и распространения. По области действия они могут делиться на локальные, глобальные и универсальные.

Для создания локальных групп применяется утилита Локальные пользователи и группы, с помощью которой можно создавать, переименовывать и удалять группы, а также менять их состав.

Создание новых локальных групп

Для создания группы необходимо войти в систему как член группы Администраторы или Опытные пользователи. Группа Администраторы обладает всеми полномочиями для работы с пользователями и группами. Члены группы Опытные пользователи могут работать только с теми группами, которые они сами создают.

По возможности следует не создавать новых групп, а включать пользователей в состав встроенных локальных групп. Это упрощает работу администратора, так как встроенные группы уже обладают соответствующими полномочиями. Все, что нужно при этом выполнить, - сделать пользователей членами группы.

При создании локальной группы рекомендуется соблюдать следующие правила:

§ Имя группы должно быть уникальным для компьютера, т.е. отличаться от имен всех других групп и пользователей компьютера.

§ Длина имени группы может составлять 256 символов. Символ обратной косой черты (\) использовать нельзя.

Создание групп похоже на создание пользователей. Откройте утилиту Локальные пользователи и группы, щелкните правой кнопкой мыши на папке Группы и выберите Новая группа во всплывающем меню. На экране появится диалоговое окно Новая группа. Единственным обязательным элементом окна является имя группы. При желании можно привести описание группы и добавить (или удалить) членов группы. Введя сведения о новой группе, щелкните мышью на кнопке Создать.

Настройка свойств локальных групп

После создания группы можно добавить в нее членов. Пользователь может принадлежать нескольким группам. Добавляются и удаляются пользователи с помощью диалогового окна свойств группы. Откройте его, дважды щелкнув мышью в папке Группы утилиты Локальные пользователи и группы на нужной группе.

В диалоговом окне свойств группы можно добавить или удалить ее членов. Щелчком мыши на кнопке Добавить открывается диалоговое окно Выбор пользователей и групп. Здесь выбираются учетные записи пользователей, которых нужно включить в группу. После этого нужно щелкнуть мышью на кнопке Добавить, а затем на кнопке ОК.

Чтобы удалить члена группы, выберите его в списке Члены диалогового окна свойств группы и щелкните мышью на кнопке Удалить.

Для выбора нескольких расположенных по порядку пользователей для добавления или удаления, щелкните мышью на первом и последнем из них при нажатой клавише Shift. Для выбора нескольких пользователей не по порядку щелкните мышью на каждом из них при нажатой клавише Ctrl.

Переименование групп

Группа, как и учетная запись пользователя, при переименовании сохраняет все свои свойства, в том числе членов и полномочия.

Чтобы переименовать группу, щелкните на ней правой кнопкой мыши и выберите Переименовать во всплывающем меню. Переименуйте группу и нажмите Enter.

Удаление групп

Для удаления группы щелкните правой кнопкой мыши и выберите Удалить во всплывающем меню. Появится диалоговое окно с предупреждением о том, что после удаления восстановить группу нельзя. Щелкните мышью на кнопке Да.

Задание к лабораторной работе

· Создайте четырех новых пользователей (например, Дима, Саша, Таня, Ира). Для каждого из них снимите флажок «Требовать смену пароля при следующем входе в систему». Для первых двух пользователей пароль не задавайте, для последних установите пароли. После создания всех пользователей выйдите из диалогового окна, щелкнув мышью на кнопке Закрыть.

· Отключите учетную запись одного из пользователей. Выйдите из системы и попытайтесь войти с именем отключенного пользователя. Попытка будет неудачна. Войдите в систему как Администратор.

· Удалите одного из созданных ранее пользователей.

· Переименуйте одного из созданных ранее пользователей.

· Измените пароль одного из созданных ранее пользователей.

· Выполните настройку профилей пользователей.

Выберите Пуск Программы Стандартные Проводник, раскройте Мой компьютер, затем Диск С: и Documents and Settings. В этой папке будут находиться подпапки только тех пользователей, которые вошли в систему. Убедитесь, что профили для некоторых пользователей (например, Таня, Ира) не существуют (так как они еще не вошли в систему).

Выйдите как Администратор и войдите как Таня. Щелкните правой кнопкой мыши на незанятой области рабочего стола и выберите Свойства. В окне Свойства экрана выберите вкладку Оформление. Выберите цветовую схему красно-бело-синяя (VGA).

Щелкните правой кнопкой мыши на незанятой области рабочего стола и выберите Создать Ярлык. Создайте ярлык с именем CALС.

Выйдите как Таня и войдите как Ира. Обратите внимание: пользователь Ира видит конфигурацию рабочего стола, хранящуюся в профиле по умолчанию.

Выйдите как Ира и войдите как Таня. Обратите внимание: Таня видит конфигурацию рабочего стола такой, какой она была установлена в последний раз

Выйдите как Таня и войдите как Администратор. Раскройте Documents and Settings. Убедитесь, что теперь для Тани и Иры существуют папки с профилями пользователей.

· Создайте две локальные группы с именами Пользователи данных и Пользователи приложений.

· Добавьте созданных Вами пользователей в группу Пользователи данных.

· Переименуйте группу Пользователи приложений.

· Удалите группу Пользователи приложений.

· Удалите все созданные группы и пользователей.

Содержание отчета

Наименование и цель выполняемой работы.

1. Дайте краткое определение учетной записи.

2. Для каких целей используется учетная запись пользователя или компьютера.

3. Назовите встроенные учетные записи и дайте их характеристики.

4. На каких компьютерах могут храниться сведения о локальных пользователях Windows 2000 в их локальной базе данных учетных записей? Выберите все подходящие варианты.

A. Windows NT 4 Workstation

B. Windows 2000 Professional

C. На рядовых серверах Windows 2000

D. На контроллерах доменов Windows 2000

5. Какая утилита применяется для создания учетных записей пользователей, хранящихся на рядовых серверах Windows 2000?

6. Назовите встроенные группы.

7. Опишите последовательность действий для создания учетной записи пользователя.

8. Опишите последовательность действий для создания группы.

9. Опишите последовательность действий для добавления пользователя в группу.

10. Какая папка применяется по умолчанию для хранения профилей пользователей?

11. Если пользователь должен архивировать и восстанавливать файловую систему, но не должен иметь к ней доступ, в какую группу его следует включить?

12. Какое из следующих прав не предоставляется членам группы Опытные пользователи на рядовых серверах Windows 2000?

A. Создание любых пользователей и групп

B. Удаление любых пользователей и групп

C. Создание сетевых ресурсов

D. Создание сетевых принтеров

13. Какая группа создается на контроллерах доменов Windows 2000 по умолчанию и разрешает членам управлять контроллерами доменов, но не разрешает управлять учетными записями пользователей и групп?

14. Какую утилиту может применить администратор на рядовом сервере Windows 2000 для изменения пароля пользователя?

15. Какая из следующих групп имеет наивысший уровень полномочий в Active Directory?

A. Администраторы

B. Администраторы домена

C. Администраторы предприятия

D. Администраторы Active Directory

Размещено на Allbest