1. User Manager for Domains (Диспетчер пользователей доменов). Для работы с ними необходимы полномочия администратора.
2. Планирование учетных записей пользователей
2.1. Прежде чем создавать учетные записи, необходимо сформулировать свои требования к пользователям, учитывая принятый в вашей сети уровень защиты — так называемую учетную стратегию.
3. создание и настройка учетных записей пользователей
3.1. Создание учетных записей С помощью программы User Manager for Domains зарегистрируйте учетные записи пользователей, запланированные в упражнении «Планирование новых учетных записей». 3. Создание основной папки Создайте домашний каталог для пользователей, записанных в «Шаблоне планирования учетных записей». 4. Создание шаблона пользовательского профиля Создайте учетную запись Template Profile (Шаблон профиля) — модель профиля. Затем настроите шаблон профиля. 5. Копирование шаблона пользовательского профиля на сервер Скопируйте профиль пользователя Template Profile на сетевой сервер и назначите его пользователю UserN (N=1..10) (если необходимо создайте данного пользователя). 6. Перечисление пользователей, которым разрешено применять профиль Укажите пользователя (UserN), которому разрешено применять профиль 7. Удаление профиля учетной записи Template Profile Удалите ставший ненужным профиль учетной записи Template Profile. Далее будет использоваться только профиль, размещенный на сервере. 8. Указать путь к серверному профилю Укажите пользователю UserN путь к серверному профилю.
4. Основные понятия
4.1. Учетная запись пользователя — основа защиты Windows NT, это уникальный личный код, предоставляющий право на доступ к ресурсам.
4.2. Каждый пользователь, регулярно работающий в домене или на одном из его компьютеров, должен иметь учетную запись.
4.3. Учетные записи позволяют администратору контролировать доступ пользователей к ресурсам домена и локальным ресурсам компьютера, например ограничить часы, когда пользователь может зарегистрироваться в домене.
5. Основные правила планирования новых учетных записей
5.1. Соглашение об именах. Используйте уникальные и содержательные имена учетных записей пользователей.
5.1.1. Соглашение об именах устанавливает, как пользователи будут называться при работе в сети.
5.1.1.1. Учетные имена пользователей должны быть уникальны: глобальные учетные записи — в рамках домена, локальные — на соответствующем компьютере.
5.1.1.2. Имена пользователей могут содержать до 20 любых символов в верхнем или нижнем регистре, кроме символов '' [] ; : ¦ = , + * ? < > . Можно также использовать комбинации букв, цифр и специальных символов.
5.1.1.3. В больших организациях удобно помечать учетные записи временных сотрудников. Например, использовать для этой цели префикс В- (В-ИванП).
5.2. Требования к паролям. Используйте режимы усиления парольной защиты. Например, решите, может ли пользователь менять собственный пароль лишь иногда, или он должен это делать регулярно.
5.2.1. Следующий элемент учетной стратегии — выработка требований к паролям пользователей. Пароль необходим каждой учетной записи, поскольку он защищает домен или компьютер от несанкционированного доступа. Это особенно важно в сетях со средним и высоким уровнем безопасности и для сетей, подключенных к Интернету. Разрабатывая стратегию парольной защиты, имейте в виду следующее.
5.2.2. Учетная запись Administrator (Администратор) обязательно должна быть защищена паролем, чтобы предотвратить неавторизованный доступ к ее возможностям.
5.2.3. Возможно несколько вариантов управления паролями: назначить пользователю пароль и запретить его изменение (в этом случае управление паролями возлагается на администратора); назначить пароль, но потребовать, чтобы пользователь изменил его при первой регистрации в системе (в этом случае учетная запись всегда защищена, а пароль известен только владельцу учетной записи; здесь управление паролями возложено на пользователя).
5.2.4. Срок действия учетной записи. Для внештатных сотрудников этот срок ограничивается временем действия контракта или трудового соглашения.
5.3. Часы регистрации. Выберите интервал времени, в течение которого пользователи могут регистрироваться в системе.
5.3.1. По умолчанию пользователь может подключаться к серверу в течении 24 часов семь дней в неделю. Чтобы повысить уровень защиты сети, ограничивается время регистрации пользователя.
5.3.1.1. Это полезно, например, в следующих случаях:
5.3.1.1.1. если часы регистрации входят в список требований защиты (например, в сети государственного учреждения);
5.3.1.1.2. если работа на предприятии — многосменная.
5.4. Ограничение на места работы. Составьте список компьютеров под управлением Windows NT, на которых разрешено работать пользователю. По умолчанию это может быть любая рабочая станция.
5.5. Местонахождение домашнего каталога. Выберите место для размещения домашних каталогов пользователей на локальном компьютере или на сервере. Размещение на сервере позволяет централизованно управлять данными и архивировать их.
6. Утилита User Manager for Domains
6.1. Утилита User Manager for Domains (Диспетчер пользователей доменов) предназначена для создания, удаления или временного отключения глобальных учетных записей пользователей на основном контроллере домена и с локальными учетными записями на любом компьютере домена.
6.2. Окно программы User Manager for Domains (Диспетчер пользователей доменов). Пункт Select Domain (Выбрать домен) позволяет администратору выбрать другой домен или компьютер, где необходимо выполнить администрирование учетных записей.
7. Профили пользователей
7.1. Профили — это удобное средство настройки и управления средой рабочего стола пользователей.
8. Где создаются учетные записи
8.1. На компьютерах с ОС Windows NT Server для управления учетными записями служит утилита User Manager for Domains (Диспетчер пользователей доменов). Эта программа применяется для управления учетными записями в домене, на локальном компьютере, на сервере или в других доступных доменах. User Manager for Domains может создавать как локальные, так и глобальные учетные записи.
9. Типы учетных записей пользователей
9.1. Учетные записи пользователей бывают трех типов: два из них — встроенные, они создаются автоматически при установке Windows NT, третий - создается администратором Встроенные учетные записи — Guest (Гость) и Administrator (Администратор)
10. Глобальная учетная запись
10.1. Глобальная учетная запись содержит сведения о пользователе домена. Она позволяет с помощью одного и того же имени и пароля зарегистрироваться в домене с любого компьютера сети и работать с ресурсами домена.
10.1.1. Глобальную учетную запись можно создать только средствами User Manager for Domains (Диспетчер пользователей доменов). Она всегда размещается в основной базе данных каталогов на главном контроллере домена (primary domain controller, PDC), хотя ее можно создать, работая на любом компьютере сети.
10.1.1.1. Копии базы данных хранятся на всех резервных контроллерах домена (Backup Domain Controller, BDC); они регулярно (каждые пять минут) обновляются с основного контроллера домена.
10.1.1.2. Глобальные учетные записи рекомендуется создавать для всех пользователей домена.