Лабораторная работа №8
Организация функционирования ЛВС на базе операционной системы Windows 2003 Server. Управление учетными записями пользователей.

Целью данной работы является приобретение навыков управления учетными записями пользователей, а также их профилями.

Условием работы любой сети, конечно же, является наличие в ней пользователей и компьютеров. Сегодня Вы изучите возможности по созданию пользователей в глобальном каталоге Active Directory и попробуете  управлять компьютерами и пользователями в ЛВС.

Ход работ.

Часть первая «Общие принципы»:

·         Подготовка хранилища профилей пользователей

Прежде чем мы перейдем к созданию пользователей нашего домена, необходимо выполнить несколько предварительных действий. Во-первых, необходимо определить, где будут храниться профиля пользователей. Пусть у нас это будет папка «Profiles» на диске C. После создания этой папки необходимо открыть к ней общий доступ (рис. 1) и дать разрешение всем на чтение и изменение (кнопка Разрешение, рис. 2).

 рис.1                                                                        рис.2
           

·         Создание пользователей

Для управления сервером воспользуемся консолью mmc. Нажмите ПускВыполнить… (StartRun…), в текстовом поле введите mmc и нажмите [Enter]. Откроется окно (рис. 1), озаглавленное «Консоль» («Console1»). Нажимаем КонсольДобавить или удалить оснастку (FileAdd/Remove Snap-In), дальше выбираем Добавить (Add) и из списка предложенных инструментов добавляем в список только необходимые. Это делается путем нажатия на кнопку Добавить (Add). Нажмите ЗакрытьОК (CloseOk) — и Вы получите несколько открытых элементов управления в одном окне. Дальше консоль можно сохранить и открывать уже настроенную. Таким образом, все необходимые инструменты будут всегда находиться у Вас под рукой.

рис.3

Теперь перейдем непосредственно к созданию первых пользователей. В отличие от компьютеров, которые автоматически добавляются при их подключении к серверу, создавать пользователей придется вручную. Сразу замечу, что лучше сразу же организовывать каталог так, чтобы пользователи и компьютеры не размещались в стандартных контейнерах (Organisation Unit), а каким-то образом систематизировались.

Итак, создадим первого пользователя и поместим его не в стандартном контейнере Users, а в подразделении. Нажимаем правой кнопкой мыши на названии домена в оснастке «Active Directory Users and Computers», выбираем СоздатьПодразделение, вбиваем название «MyDepartment» и жмем ОК.
Далее выбираем в меню Действие (Action) пункт СоздатьПользователь (NewUser) создаем нового пользователя (эти действия эквивалентны нажатию правой кнопки мыши на контейнере и выбору пункта СоздатьПользователь (NewUser)). Откроется диалоговое окно «Новый объект — Пользователь» (New Object — User). На его первой странице нам будет необходимо ввести сведения об имени пользователя (рис. 4).

рис.4

Закончив ввод значений и щелкнув Далее (Next), мы увидим вторую страницу, на которой надо будет ввести пароль пользователя, введем «password».
Здесь также необходимо установить настройки данной учетной записи. Остановимся на них подробнее:
• Требовать смену пароля при следующем входе в систему (User Must Change Password At Next Logon) — установлено по умолчанию. Очень удобное средство для того, чтобы пароль пользователя знал только он. Вы создаете учетную запись, например, со стандартным паролем Microsoft (p@s$w0rd) и требуете, чтобы пользователь изменил его сразу же при запуске системы. Пользователь просто не войдет в систему, не изменив пароль!
• Запретить смену пароля пользователя (User Cannot Change Password) — установите этот флажок, если этой учетной записью пользуются несколько пользователей в домене (в частности, это касается учетной записи Гость (Guest), ведь если какой-то пользователь случайно изменит пароль, то доступ к системе будет невозможен для остальных пользователей, использующих учетную запись.
• Срок действия пароля неограничен (Password Never Expires) — используйте этот флаг для не очень защищенных сетей (вроде домашней, которую мы и строим). В защищенных его обязательно надо снимать, т.к. пароли пользователей, имеющих доступ к конфиденциальной информации, должны меняться регулярно.
• Отключить учетную запись (Account is disabled) — для создания пользователей, которым пока нет необходимости входить в сеть.

Нажав ДалееГотово (NextFinish), мы заканчиваем создание нового пользователя в каталоге Active Directory, но скорее всего Вы получите следующие сообщение.

Проблема заключается в том, что пароль, который Вы ввели не отвечает требованиям безопасности. У нас есть два пути: вводить сложный пароль (более 7 знаков и содержать буквы в разных регистрах и цифры) или изменить текущую политику безопасности.
Нажмите Пуск > Администрирование > Политика безопасности домена

Параметры безопасности  Политика учетных записей  Политика паролей

После создания пользователя, теперь мы вполне можете просмотреть его свойства, выбрав в меню Действие (Action) пункт Свойства (Properties). Перед Вами откроется диалоговое окно, в котором находится весь спектр информации об этом пользователе. Особое внимание стоит обратить на закладку Учетная запись (Account) — рис. 5.

рис.5                                                                       рис.6

Определенные свойства были уже настроены при создании пользователя. Рассмотрим назначение некоторых из них:
• Время входа (Logon Hours) — позволяет настроить время, когда пользователю позволено входить в сеть.
• Вход на (Log On To) — определение компьютеров, с которых пользователю позволено входить в домен.
• Хранить пароль, используя обратимое шифрование (Store Password Using Reversible Encryption) — этот параметр разрешает хранение пароля в Active Directory без использования мощного алгоритма для шифрования хешированием (между прочим — без возможности обратного преобразования!). Используется для поддержки приложений, которым требуется знать пароль пользователя. Пользуйтесь этим параметром только в случае крайней необходимости, т.к. это существенно ослабляет безопасность (пароли, которые хранятся с использованием обратимого шифрования, для опытного взломщика — практически то же самое, что и пароль, записанный в блокноте открытым текстом).
• Срок действия учетной записи (Account Expires) — позволяет задать дату окончания действия учетной записи.

На рис.6 размещены настройки расположения профиля пользователя и домашняя папка пользователя. У нас это папка «Profiles» на диске «C» (см. выше).

Можно также одновременно менять некоторые свойства у нескольких учетных записей. Для этого надо выделить нужные учетные записи и выбрать их свойства.

Перейдем к понятию Групп. Группы — это контейнеры, которые содержат объекты пользователей и компьютеров. Если в разрешениях к доступу к файлам и папкам заданы группы, то эти права распространяются на всех членов этой группы. Чтобы создать группу, выберите контейнер, щелкните правой кнопкой мыши и выберите пункт СоздатьГруппа (NewGroup). Затем вы сможете задать тип и область действия создаваемой группы.

Группы бывают двух типов: группы безопасности и группы распространения. Группы безопасности (security groups) используются для назначения доступа к сетевым ресурсам, в то время как группы распространения (distribution groups) применяются для объединения пользователей в списки рассылки электронной почты. Как Вы наверняка догадались, нам необходимо создавать группы именно первого типа.
Область действия группы определяет, каким образом ее составу назначаются разрешения в доступе. Здесь Вам следует выбрать одну из трех областей:
• Локальная доменная (Domain local) — используется для назначения группам разрешений на доступ к локальным ресурсам домена.
• Глобальная (Global) — эти группы часто применяются для объединения пользователей или компьютеров в одном домене и совместного исполнения одной и той же работы, какой-либо роли или функции.
• Универсальная (Universal) — из такой области применяют преимущественно для предоставления доступа к ресурсам во всех доверенных доменах.
В основном Вам необходимо будет использовать группы с областью действия Domain local.

·         Сетевые ресурсы

Для создания сетевого ресурса на сервере необходимо:

·          Определится с расположением ресурса, и создать папку.

·         Отдать ресурс в общий доступ (рис. 7).

·         Дать разрешение на ресурс определенным группам и пользователям (рис. 8).

рис.7                                                                       рис.8

Ход работы. Часть вторая «Задание»:
В ходе работы необходимо изучить теоретические сведенья, связанные с администрированием пользователей, а также проделать практические задания и ответить на контрольные вопросы, описанные ниже.

·         Создать подразделение «enterprise»:

·         Создать следующие группы в данном подразделении:

·         workers,

·         teachers,

·         students.

·         Создать пользователей user_[номер варианта]_ N, где N =1, 2, .., 5.

Пользователей с N равным 1 и 2 добавить в группу workers.
Пользователей с N равным 3, 4 и 5 добавить в группу students.

·         Создать пользователя teacher_[номер варианта].

Имя учетной записи должна содержать Ваше ФИО.
Пользователя добавить в группу teachers.

·         Для всех пользователей user_[номер варианта]_ N задайте пароли «password». Для пользователя teacher_[номер варианта]

·         Создать директорию labs в корневом каталоге. В нем создать каталоги library и tests

·         Создать файлы book_[фамилия студента] и поместить их в library

·         Дать право на изменение файла только пользователю teacher_[номер варианта], а

на чтение пользователям группы workers.

·         Настроить права доступа к каталогу library и tests, таким образом, чтобы пользователи группы teachers могли изменять и создавать там файлы, а пользователи группы students имели доступ на чтение и при входе в домен автоматически подключались эти директории как диски «L» и «T» соответственно.