Počítačové siete a technológie: Tlač. Kategória Používateľské účty. Pomocou programu Správca používateľov pre domény zaregistrujte používateľské účty naplánované v rámci cvičenia „Plánovanie pre nové účty“.

Poskytovanie siete typu peer-to-peer vyžaduje nástroje a znalosti, ktoré sa líšia od nástrojov a znalostí potrebných na prácu s doménou. Tieto rozdiely sú veľmi zrejmé v oblasti správy používateľov. Správca siete typu peer-to-peer je zbavený možnosti používať službu Active Directory (AD) na organizovanie zoznamov používateľov a nastavení zabezpečenia, čo znamená, že každý počítač musí byť nakonfigurovaný individuálne - všetky úlohy na jednom počítači sú vylúčené. Keďže však väčšina sietí typu peer-to-peer nie je veľká, táto úloha netrvá príliš dlho. Ak je v sieti peer-to-peer vášho klienta alebo spoločnosti toľko počítačov, že je už ťažké ich spravovať, možno nastal čas zvážiť možnosť usporiadania domény.

V tomto článku sa zaoberám niektorými úlohami, ktoré sa riešia v procese správy používateľských účtov v sieti typu peer-to-peer, vrátane metód riadenia jednotlivých úloh používateľa, ktoré správcovi umožňujú vyriešiť mnoho problémov bez toho, aby opustili svoj počítač. Chcem sa venovať problémom, na ktoré sa počas seminárov často zaujímajú správcovia a konzultanti. V článku používam výrazy „peer-to-peer“ (opis metódy sieťovania) a „workgroup“ (v terminológii Windows je to skupina používateľov siete postavenej na topológii typu peer-to-peer), pretože podľa mojich pozorovaní oba odborníci v IT bežne používajú oba tieto pojmy.

Je potrebné poznamenať, že niektoré z funkcií, ktoré zvažujem, nie sú implementované ani vo verziách systému Windows Vista Home alebo v systéme Windows XP Home Edition, zatiaľ čo tieto systémy používajú malé podniky. Ďalšie informácie o týchto obmedzeniach nájdete v súboroch pomoci pre uvedené operačné systémy alebo na webových stránkach spoločnosti Microsoft vo Windows.

Duplicitné používateľské účty na viacerých počítačoch

Život administrátora pracovnej skupiny bude ľahší, ak sa ubezpečí, že každý užívateľ, ktorý má prístup k zdieľaným zdrojom na inom počítači, má v tomto vzdialenom systéme lokálne konto. Ak vzdialený používateľ nemá lokálne konto, systém Windows zobrazí dialógové okno zobrazené na obrazovke 1, v ktorom musí používateľ zadať meno a heslo pre účet, ktorý existuje na tomto vzdialenom počítači.

Tento spôsob vzdialenej registrácie funguje normálne, ak je účet Guest na vzdialenom systéme vypnutý (v tomto stave je tento účet predvolene nastavený). Ak je však povolený účet Hosť, je vzdialený prístup komplikovaný; faktom je, že tento účet musí byť prekonfigurovaný, aby používatelia mohli riešiť problémy (predvolene má účet Hosť veľmi úzky okruh právomocí). Okrem toho moje skúsenosti s mnohými sieťami malých a stredných podnikateľov nepotvrdzujú ustanovenia obsiahnuté v dokumentácii spoločnosti Microsoft, kde je štandardný stav účtu Guest často nesprávne opísaný.

Niektorí správcovia radšej organizujú prácu tak, aby sa používatelia zaregistrovali na vzdialenom systéme, pretože z hľadiska bezpečnosti sa zdá, že táto metóda je účinnejšia ako organizácia automatického prístupu k vzdialeným systémom. V praxi je však uvedená metóda takmer vždy menej bezpečná. V mnohých malých spoločnostiach, ktoré prijali túto paradigmu, je bežnou praxou pripájať malé kúsky papiera s užívateľskými menami a heslami potrebnými na prístup k vzdialeným počítačom k monitorom. Malé spoločnosti prevádzkujúce siete typu peer-to-peer nie sú spravidla úzko spojené s inými spoločnosťami, takže riziko, že niekto iný vstúpi do kancelárie, sedí pri počítači a zaregistruje sa na vzdialenom systéme, kde sú uložené firemné údaje, je relatívne malé. Ak dávate používateľom možnosť vybrať počítač zo sieťového priečinka a automaticky získať pripojenie, nebude to predstavovať takú hrozbu ako vo veľkých podnikoch, ktoré zaberajú celé budovy alebo majú niekoľko kancelárií, kde nie je také ľahké nájsť návštevníkov.

Pri vytváraní používateľského účtu na vzdialenom počítači by sa malo používať rovnaké meno a heslo ako pri registrácii v miestnom systéme. Systém Windows skúma registračné poverenia používateľa, ktorý sa pokúša získať prístup k počítaču, a skontroluje, či cieľový systém neobsahuje príslušné registračné meno a heslo. Ak test prinesie pozitívny výsledok, systém Windows umožní používateľovi prístup k počítaču. V opačnom prípade alebo v situácii, keď sa užívateľské mená zhodujú a heslá sa nezhodujú, otvorí sa dialógové okno zobrazené na obrazovke 1.

V malých firmách, ktoré používajú pracovné skupiny, sa údaje často ukladajú iba na jednom počítači. Aj v prípade, keď tento počítač nefunguje pod kontrolou systému Windows Server (a toto je zrejmá výhoda pracovných skupín z finančného hľadiska), počítač skutočne funguje ako súborový server. Obsah tohto počítača by sa mal zálohovať každý deň. Ak prevádzkujete súborový dátový server, ku ktorému majú prístup všetci používatelia, musíte na tomto počítači vytvoriť iba duplicitné používateľské účty. Ak sú údaje uložené na viacerých počítačoch, musíte vytvoriť užívateľské kontá pre každého vzdialeného používateľa na každom z týchto počítačov.

Ak chcete nakonfigurovať používateľský účet podľa požadovaných povolení, musíte tento účet umiestniť do príslušnej miestnej skupiny. Keď systém Windows preskúma poverenia a určí, či v cieľovom počítači existuje účet vzdialeného používateľa, systém ignoruje členstvo v skupinách. Ak používateľ pristupuje iba k dátovým súborom a tieto dátové súbory sú uložené v špeciálnom zdieľanom priečinku, je rýchlejšie a ľahšie použiť iné riešenie - dať tomuto používateľovi status používateľa s obmedzenými právami a nastaviť úplnú kontrolu pre oprávnenie Všetci na určenie úrovne oprávnenia. V systéme Windows 2000 a starších verziách sa povolenie Úplná kontrola pre všetkých nastavuje automaticky, v novších verziách nie je táto funkcia k dispozícii. Zdieľané prostriedky môžu byť okrem toho nakonfigurované tak, aby niektorí používatelia mali oprávnenie úplnej kontroly, aj keď sú títo používatelia zaregistrovaní v účtoch s obmedzenými oprávneniami. Vytvorením lokálnych účtov pre vzdialených používateľov môže správca vybrať príslušné používateľské mená a každému priečinku prideliť potrebné povolenia.

Na obmedzenie prístupu k finančným údajom spoločnosti v účtovných aplikáciách bola implementovaná metóda, ktorá vám umožňuje poskytovať a obmedzovať prístup používateľov k určitým typom údajov a záznamov transakcií. Všetci používatelia týchto aplikácií vyžadujú povolenie na úplnú kontrolu na prácu s dátovými súbormi pomocou účtovného softvéru; Aby mohli vykonávať svoju každodennú prácu, musia byť schopní vytvárať a upravovať objekty. Potom pomocou funkcie udeľovania povolení používateľom implementovaným v týchto programoch môžete obmedziť niektoré akcie týchto programov.

  Vytváranie užívateľských účtov na vzdialených počítačoch

Na vytvorenie užívateľských účtov pre vzdialených používateľov a nastavenie ich nastavení môžete použiť modul snap-in na ovládacom paneli (hovoríme o module User Accounts and Family Safety v systéme Vista alebo o module Users and Passwords v systéme Windows 2000 a novšom). Túto metódu však nemožno považovať za vhodnú, pretože správca bude musieť pracovať z lokálneho počítača a pristupovať ku každému systému individuálne. Okrem toho je obmedzená sada možností konfigurácie dostupných v module snap-in. To však nie je všetko: po použití tohto nástroja sa budete musieť obrátiť na ovládaciu konzolu počítača, aby ste mohli doladiť parametre (napríklad pravidlá používania hesiel a členstva v skupinách).

V časti Lokálni používatelia a skupiny konzoly Computer Management Console môžete ľahko vytvárať používateľské účty. Ak chcete vytvoriť nový používateľský účet, kliknite pravým tlačidlom myši na ikonu Tento počítač na pracovnej ploche, v rozbaľovacej ponuke vyberte príkaz Spravovať, dvakrát kliknite na Lokálnych používateľov a skupiny a v ponuke Akcia vyberte položku Nový používateľ. Tieto nastavenia používateľského účtu sú podrobnejšie ako nastavenia používateľa.

Ako ukazuje obrázok 2, pravidlo pre heslo sa dá zmeniť tak, aby platnosť hesla nikdy nevypršala. Toto nastavenie je výhodné pre pracovné skupiny, pretože ak je používateľské konto nakonfigurované na periodickú zmenu hesiel, tieto zmeny sa musia replikovať do všetkých vzdialených počítačov, ku ktorým má užívateľ prístup. Ak sa používateľ domnieva, že jeho heslo sa dostalo do nesprávnych rúk, môže (a mal by) otvoriť modul snap-in a zmeniť heslo a potom vykonať rovnaké zmeny na každom vzdialenom počítači. Siete typu peer-to-peer, ktoré slúžia IT konzultantom, môžu používateľom nariadiť, aby sa v prípade potreby obrátili na konzultantov, aby tak urobili, alebo ich naučia, ako vykonať potrebné zmeny na všetkých počítačoch, s ktorými pracujú.

Najdôležitejšou výhodou práce s počítačovou riadiacou konzolou je, že k tejto konzole môžete pristupovať zo vzdialených systémov a vytvárať užívateľské účty na ľubovoľnom počítači v sieti bez toho, aby ste opustili svoje pracovisko. V konzole pre správu počítača kliknite pravým tlačidlom myši na ikonu Správa počítača (miestne) a v otvorenej ponuke vyberte možnosť Pripojiť k inému počítaču. Zadajte názov vzdialeného systému (alebo vyhľadajte počítač kliknutím na tlačidlo Prehľadávať) a potom kliknite na tlačidlo OK.

Ďalšou výhodou konzoly Computer Management Console je, že ju možno tiež použiť na nastavenie povolení na prístup k zdieľaným zdrojom pre vzdialené počítače, ako je to znázornené na obrázku 3. Keď správca pridáva a nastavuje používateľské účty, môže pomocou v časti konzoly \\ Shared Folders \\ Shares, aby sa používateľom poskytli potrebné povolenia na prácu na vzdialených počítačoch. Pravým tlačidlom myši kliknite na zoznam zdieľaných zdrojov, v ponuke vyberte Vlastnosti a prejdite na kartu Zdieľať povolenia, aby ste nakonfigurovali povolenia.


Ak chcete pristupovať ku konzole pre správu počítača vo vzdialených systémoch, musíte mať na týchto počítačoch účet správcu. Keďže väčšina správcov a konzultantov používa na konfiguráciu každého počítača zabudované heslo účtu a heslo správcu, pri registrácii v počítači zadajte tento účet, aby ste mali prístup ku všetkým vzdialeným konzolám. Ak používate iný účet s právami správcu, systém Windows vás vyzve, aby ste na vzdialenom počítači zadali meno a heslo používateľa s oprávneniami správcu.

  Riadenie a diagnostika registračného procesu

Siete typu peer-to-peer sú vybavené množstvom nástrojov na správu procesov registrácie, ktoré sú implementované aj v doménach. Správca však nemôže nakonfigurovať celú sieť typu peer-to-peer v jednom výpadku, pretože nebude mať pred sebou globálny pohľad na sieť, ktorú poskytuje služba AD. Počítače musia byť nakonfigurované súčasne. V nasledujúcich častiach budem hovoriť o niektorých najbežnejších úlohách, ktorým bude musieť správca čeliť pri nastavovaní postupu registrácie používateľa v systéme.

Nastavenie registračných obrazoviek, Počítače XP a Vista, ktoré nie sú súčasťou domény, v predvolenom nastavení neotvárajú klasické dialógové okno na registráciu zabezpečenia systému Windows, ktoré obsahuje výzvu pre používateľa, aby stlačil kombináciu klávesov Ctrl + Alt + Del a potom zadal používateľské meno a heslo. Mnoho administrátorov a konzultantov (vrátane mňa), klasické bezpečnostné nástroje pri registrácii do systému, uprednostňujú predvolené uvítacie okno systému Windows so zoznamom používateľov a obrázkov v ňom obsiahnutých vo verziách XP a Vista. Ak chcete nakonfigurovať počítač XP tak, aby otváral známe okno registrácie systému Windows pre používateľa, otvorte modul ovládacieho panela Používateľské účty. Potom vyberte možnosť Zmeniť spôsob prihlásenia alebo odhlásenia používateľov a zrušte začiarknutie políčka Použiť uvítaciu obrazovku.

Vista môže byť nakonfigurovaný tak, aby vyzval užívateľa, aby stlačil Ctrl + Alt + Del. Potom, čo to používateľ urobí, sa na obrazovke znova objaví zoznam používateľov a sprievodných obrázkov a postup registrácie bude rovnaký ako pred zmenou nastavení, čo viedlo k výzve na stlačenie kombinácie klávesov Ctrl + Alt + Del. Nie je možné vynútiť vzhľad klasického registračného dialógového okna na obrazovke a zrušiť vzhľad uvítacej obrazovky, na ktorej sú zobrazené všetky užívateľské mená. Ale nech je to tak, pomocou klávesovej skratky Ctrl + Alt + Del chráni počítač pred votrelcami z Internetu. Ak chcete pridať túto úroveň zabezpečenia, musíte otvoriť okno príkazového riadka a zadať

ovládať užívateľské heslá2

Zobrazí sa dialógové okno Používateľské účty. V nej prejdite na kartu Spresnenie a začiarknite políčko Vyžadovať od používateľov stlačenie klávesov Ctrl + Alt + Delete. Mimochodom, tento príkaz je k dispozícii aj v systéme XP - pre tých, ktorí dávajú prednosť práci s príkazovým riadkom a nechcú otvoriť okno modulu snap-in kliknutím na odkazy a potom prejsť na existujúce nastavenia.

Obnovenie hesla.

Všetci používatelia môžu zmeniť svoje heslá v okne vlastného modulu snap-in. Po zmene hesla zostanú všetky ostatné súčasti užívateľskej konfigurácie nezmenené. Reset hesla sa líši od resetovania hesla, pretože pri resetovaní hesla stratí užívateľ prístup k šifrovaným súborom, šifrovaným e-mailovým správam a heslám uloženým na sieťových prostriedkoch a na webových stránkach. Všetky tieto služby sa musia znovu nakonfigurovať pomocou nového hesla.

Obnovenie hesla je potrebné v prípadoch, keď používateľ zabudne heslo a nemôže sa zaregistrovať v počítači. Je úžasné, ako často sa to stáva, a tejto situácii sa nedá vyhnúť tým, že núti používateľov vytvárať záložné disky na obnovenie hesla. Na túto tému sa chystám venovať jeden z budúcich článkov tejto série. Ak chcete obnoviť heslo používateľa, musíte sa zaregistrovať pomocou účtu správcu a otvoriť modul snap-in používateľa.

Vo Windows 2000 vyberte užívateľské konto a kliknite na tlačidlo Nastaviť heslo. Zadajte nové heslo dvakrát (s potvrdením) a kliknite na OK. Znova kliknite na tlačidlo OK a dialógové okno Používatelia a heslá sa zatvorí.

V systéme XP vyberte používateľské konto a kliknite na položku Zmeniť heslo. Zadajte nové heslo dvakrát (pre potvrdenie) a podľa potreby zadajte tip pre používateľa, ktorý zabudol heslo. Nezabudnite však, že tento tip môže vidieť každý používateľ, ktorý sedí v tomto počítači. Operáciu dokončite kliknutím na tlačidlo Zmeniť heslo.

V systéme Vista vyberte položku Spravovať ďalší účet a zobrazia sa všetky účty dostupné v tomto počítači. Vyberte účet potrebného používateľa a kliknite na tlačidlo Zmeniť heslo. Zadajte nové heslo dvakrát (pre potvrdenie) a podľa potreby zadajte tip pre používateľa, ktorý zabudol heslo (pamätajte, ostatní používatelia môžu tiež vidieť tento tip). Operáciu dokončite kliknutím na tlačidlo Zmeniť heslo.

  Pohľad do budúcnosti

V priebehu rokov práce v systéme Windows IT Pro som od čitateľov dostal neuveriteľné množstvo e-mailov. Autormi niektorých z nich boli IT špecialisti, ktorí pracujú ako konzultanti v malých spoločnostiach, a veľa správ pochádza od IT profesionálov, ktorí sa chcú zapojiť do poskytovania poradenských služieb pre malé podniky. Mnoho problémov a výziev v oblasti IT sa týka výlučne sietí typu peer-to-peer. Jedným z typických problémov vlastníkov podnikov je potreba spravovať používateľské účty v pracovných skupinách typu peer-to-peer a konzultanti často uprednostňujú používateľom vysvetlenie, ako riešiť problémy, a nie prichádzať ku klientovi vždy, keď sa stretávajú s úlohou zriadiť užívateľský účet. V tomto článku som hovoril o tom, ako duplikovať používateľské účty na viacerých počítačoch, vytvoriť používateľské účty na vzdialených systémoch a tiež riadiť postup registrácie a odstrániť problémy, ktoré sa vyskytnú. V budúcich článkoch sa plánujem zamerať na úlohy a možnosti konfigurácie týkajúce sa bezpečnosti používateľov a presadzovania politiky, ako aj na ďalšie témy súvisiace s prevádzkou sietí typu peer-to-peer.

Katie Evens  - hlavný editor systému Windows IT Pro

Používateľské účty

Windows Server 2003 definuje dva typy používateľských účtov:

Účty domén záznamy ( doménapoužívateľské účty) definované v Active Directory. Prostredníctvom jednorazového systému hesiel môžu takéto účty pristupovať k zdrojom v celej doméne. Vytvárajú sa v konzole Active Directory - používatelia a počítače (používatelia a počítače služby Active Directory).

Miestne účty (miestna užívateľúčty) ak sú definované na lokálnom počítači, majú prístup iba k svojim zdrojom a pred získaním prístupu k sieťovým zdrojom musia byť overené. Lokálne používateľské účty sa vytvárajú v module Local Users and Groups.

Lokálne účty používateľov a skupín sú uložené iba na členských serveroch a pracovných staniciach. V prvom radiči domény sa presunú do služby Active Directory a skonvertujú sa na účty domény.

Prihlasovacie mená, heslá a otvorené certifikáty

Všetky používateľské účty sú rozpoznávané podľa svojho prihlasovacieho mena. V systéme Windows Server 2003 sa skladá z dvoch častí:

užívateľské meno - textový názov účtu;

doména alebo pracovná skupina vktorý účet sa nachádza.

Pre používateľa westanecktorého účet bol vytvorený v doméne microsoft.com, celé meno na prihlásenie do systému WindowsServer 2003 vyzerá takto: mystanec@ microsoft.com. Pri práci so službou Active Directory sa niekedy vyžaduje úplný názov domény (plne kvalifikovanýdoménanázov, FQDN) používateľa, ktorý pozostáva z názvu domény DNS v kombinácii s názvami kontajnerov (alebo OP) a skupín. Microsoft.co má m \\ Používatelia \\ westanec, microsoft.com - názov domény DNS, Používatelia - názov kontajnera, a westanec  - užívateľské meno.

Heslo môže byť priradené k používateľskému účtu a otvorený certifikát (verejné osvedčenie). Verejný certifikát kombinuje verejné a súkromné \u200b\u200bkľúče na identifikáciu používateľa. Prihlasovanie hesiel je interaktívne. Pri vstupe do systému s otvoreným certifikátom sa používa čipová karta a čítačka.

Identifikátory zabezpečenia a používateľské účty

Hoci sa mená používateľov používajú na priraďovanie privilégií a povolení v systéme Windows Server 2003, identifikátor kľúčového účtu sa vygeneruje, keď eё vytvorenie jedinečného bezpečnostného identifikátora (SID). Skladá sa z bezpečnostného identifikátora domény a jedinečného relatívneho identifikátora, ktorý bol pridelený hostiteľom relatívneho identifikátora.

Pomocou SID dokáže systém Windows Server 2003 sledovať účty bez ohľadu na užívateľské mená. Vďaka SID môžete meniť užívateľské mená a mazať účty bez obáv, že niekto získa prístup k zdrojom vytvorením účtu s rovnakým menom.

Keď sa používateľské meno zmení, systém Windows Server 2003 priradí starému SID novému názvu. Pri odstraňovaní účtu sa systém Windows Server 2003 domnieva, že konkrétny identifikátor SID je väčší neplatné.Ak potom vytvoríte účet s rovnakým názvom, nezískajú sa mu oprávnenia predchádzajúceho záznamu, pretože má odlišné SID.

  Skupinové účty

Okrem užívateľských účtov používa systém Windows Server 2003 skupiny, ktoré automaticky udeľujú povolenia podobným typom používateľov a zjednodušujú správu účtu. Ak je užívateľ členom skupiny, ktorá má právo na prístup k prostriedku, môže sa s ním tiež skontaktovať. Ak chcete používateľovi poskytnúť prístup k potrebným zdrojom, jednoducho ho zaradte do príslušnej skupiny. Pretože v rôznych doménach služby Active Directory môžu existovať skupiny s rovnakým názvom, často sa na skupiny odkazuje na celé meno - doména \\ názov_skupiny , napríklad WORK \\ GMarketing zodpovedá skupine GMarketing v doméne WORK. Pri práci so službou Active Directory je niekedy potrebné skupinu adresovať podľa jej celého názvu, ktoré pozostáva z názvu domény DNS, názvu kontajnera alebo OP a názvu skupiny. V názve skupiny microsoft.com \\ Users \\ GMmarkcting, microsoft.com je názov domény DNS, Users je kontajner alebo OP a GMarketing je názov skupiny.

Marketingoví pracovníci budú pravdepodobne potrebovať prístup ku všetkým zdrojom súvisiacim s marketingom. Namiesto toho, aby ste im otvárali prístup jednotlivo, mali by ste spojiť používateľov v skupine. Ak sa neskôr používateľ presťahuje do iného oddelenia, stačí ho vylúčiť zo skupiny a všetky prístupové povolenia budú zrušené.

Typy skupín

Windows Server 2003 používa tri typy skupín:

Lokálne skupiny (lokálne skupiny) sú definované a používané iba na lokálnom počítači, vytvárajú sa v module Local Users and Groups;

Skupiny zabezpečenia majú popisovače zabezpečenia a sú definované v doménach prostredníctvom konzoly Active Directory - používatelia a počítače (Active adresár užívateliaa Počítače);

Distribučné skupiny (distribúcia skupiny) sa používajú ako distribučné zoznamy e-mailov, nemajú popisovače zabezpečenia a sú definované v doménach prostredníctvom konzoly Active Directory - používatelia a počítače (Activeadresár užívateliaa Počítače).

Rozsah skupiny

Skupiny môžu mať rôzne rozsahy. - lokálna doména (doménamiestna), vstavaný lokálny (postavený- vmiestna), globálnej (globálne) a univerzálne (Universal). Závisí to od toho, ktorá časť siete je platná.

Skupiny lokálnych domén poskytujú povolenia v jednej doméne. Skupiny miestnych domén zahŕňajú iba účty (používatelia aj počítače) a skupiny z domény, v ktorej sú definované.

Vstavané miestne skupiny majú špeciálne povolenia v lokálnej doméne. Z dôvodu jednoduchosti sa často nazývajú skupiny miestnych domén, ale na rozdiel od bežných skupín nemožno zabudované miestne skupiny vytvárať ani mazať - môžete zmeniť iba ich zloženie. Spravidla sa myslí skupina obyčajných a vstavaných miestnych skupín, pokiaľ nie je uvedené inak.

Globálne skupiny sa používajú na priradenie povolení na prístup k objektom v ľubovoľnej doméne v strome alebo strome. Globálna skupina obsahuje iba účty a skupiny z domény, v ktorej sú definované.

Univerzálne skupiny spravujú povolenia v celom strome alebo v lese; zahŕňajú účty a skupiny z ľubovoľnej domény v strome alebo strome domén. Univerzálne skupiny sú k dispozícii iba v službe Active Directory v natívnom režime.windows  2000 alebo v režime windows server 2003.

Univerzálne skupiny sú veľmi užitočné vo veľkých podnikoch s viacerými doménami. Zloženie univerzálnych skupín by sa nemalo často meniť, pretože každá zmena sa musí replikovať na všetky globálne katalógy (GL) v strome alebo lese.

Identifikátory zabezpečenia a skupinové účty

Skupinové účty systému Windows Server 2003, ako napríklad používateľské účty, sa líšia jedinečnými identifikátormi zabezpečenia (SID). To znamená, že nemôžete odstrániť skupinový účet a potom vytvoriť skupinu s rovnakým názvom, takže má rovnaké povolenia a privilégiá. Nová skupina bude mať nové SID a všetky povolenia a oprávnenia starej skupiny sa stratia.

Pre každú reláciu používateľa v systéme Windows Server 2003 sa vytvorí bezpečnostný token, ktorý obsahuje identifikátor používateľského účtu a SID všetkých bezpečnostných skupín, do ktorých používateľ patrí. Veľkosť tokenu sa zvyšuje s pridaním používateľa do nových skupín zabezpečenia. To vedie k nasledujúcim dôsledkom:

Aby sa používateľ mohol prihlásiť, bezpečnostný token musí byť odovzdaný do prihlasovacieho procesu. Preto, ako sa členstvo používateľov v bezpečnostných skupinách zvyšuje, proces prihlasovania zaberie stále viac času;

Na zistenie prístupových oprávnení sa na každý počítač, ku ktorému má užívateľ prístup, pošle bezpečnostný token. Čím väčší je bezpečnostný token, tým vyššia je sieťová prevádzka.

Kedy používať lokálne domény, globálne a univerzálne skupiny

Lokálne domény, globálne a univerzálne skupiny obsahujú veľa možností konfigurácie skupín v rámci celého podniku. V ideálnom prípade by sa rozsahy skupín mali používať na vytváranie hierarchií podobných organizačnej štruktúre a zodpovednostiam skupín používateľov.

Skupiny miestnych domén majú najmenší vplyv a sú vhodné na riadenie prístupu k zdrojom, ako sú tlačiarne a zdieľané priečinky.

Globálne skupiny optimálne pre správu používateľských účtov a počítačov v samostatnej doméne.

Univerzálne skupiny majú najširší dosah. Používajú sa na centralizáciu skupín definovaných vo viacerých doménach. Zvyčajne sa za univerzálnu skupinu pridá globálna skupina. Potom, keď sa zmení zloženie globálnych skupín, zmeny sa nebudú replikovať na všetky GC, pretože formálne sa zloženie univerzálnych skupín nezmení.

Ak má organizácia iba jednu doménu, univerzálne skupiny nie sú potrebné; Odporúča sa používať štruktúru na lokálnej doméne a globálnych skupinách.

   Štandardné účty používateľov a skupín

Pri inštalácii systému Windows Server 2003 sa vytvoria štandardné kontá používateľov a skupín. Sú určené na počiatočné nastavenie potrebné na rozvoj siete. Existujú tri typy štandardných účtov:

vložený (vstavaný)  účty používateľov a skupín sú nainštalované v systéme, aplikáciách a službách;

preddefinované (preddefinované)  užívateľské a skupinové účty sú nainštalované v OS;

implicitné (implicitné)  - špeciálne skupiny vytvorené implicitne pri prístupe k sieťovým zdrojom; nazývajú sa tiež špeciálne zariadenia (špeciálne identity).

Nemôžete vymazať používateľov a skupiny vytvorené operačným systémom.

Vstavané účty

Vstavané používateľské účty v systéme Windows Server 2003 majú konkrétne ciele. Všetky systémy Windows Server 2003 majú tri vstavané účty.

Lokálny systém  - účtovné pseudo-zaznamenávanie na vykonávanie systémových procesov a úloh spracovania na systémovej úrovni, dostupné iba v miestnom systéme. Tento záznam má prihlasovacie právo ako servisné právo. Väčšina služieb je spustená pod lokálnym systémovým účtom a má právo interagovať s pracovnou plochou.

Služby, ktoré vyžadujú ďalšie privilégiá alebo prihlasovacie práva, fungujú na účtochmiestna službaalebo sieť služba.

miestna   služba -account pseudo-entry pre spustenie služieb, ktoré vyžadujú dodatočné privilégiá alebo prihlasovacie práva v miestnom systéme. Služby, ktoré sú predvolene spustené pod týmto účtom, majú práva a privilégiá na prihlásenie ako služba, zmenu systémového času a vytvorenie protokolov zabezpečenia. Medzi služby, ktoré pracujú v mene účtu miestnej služby, patria Alerter, Messenger, Vzdialený register, Smart Card, Smart Card Helper, Service SSDP Discovery Service (SSDP), podporný modul NetBIOS cez TCP / IP (pomocný protokol NetBIOS TCP / IP), neprerušiteľný zdroj napájania a webový klient (WebClient).

sieť   služba   - účtovný pseudo-záznam pre služby, ktoré vyžadujú dodatočné privilégiá alebo prihlasovacie práva v miestnom systéme a sieti. Služby, ktoré sú prevádzkované pod týmto účtom, majú právo prihlásiť sa ako služba, zmeniť systémový čas a vytvoriť denníky zabezpečenia. Služby ako koordinátor distribuovaných transakcií (distribuovanétransakciekoordinátor), DNSklient ( DNSzákazník), Denníky výkonu a výstrahy a vzdialený vyhľadávač volaní procedúr (diaľkovýprocedúravolanie Locator). Pri inštalácii doplnkového servera alebo iných aplikácií na server je povolené inštalovať ďalšie predvolené účty. Zvyčajne ich môžete odstrániť neskôr. Po inštalácii IIS (internet informácieslužby), objavia sa nové účty: prvý je vstavaný účet pre anonymný prístup k IIS a druhý slúži ako IIS na spustenie aplikačných procesov. Tieto účty sú definované v službe Active Directory, keď sú nakonfigurované v doméne, a ako lokálne účty, keď sú nakonfigurované na samostatnom serveri alebo pracovnej stanici. Ďalší vstavaný účet je TSInternetUser - požadované terminálovými službami.

Preddefinované užívateľské účty

Spolu s Windows Server 2003 nainštaluje niektoré položky: Administrátor (správca), Hosť ( hosť), ASPNETa podpora, Na členských serveroch sú preddefinované účty lokálne v systéme, v ktorom sú nainštalované. Preddefinované účty majú analógy v službe Active Directory, ktoré majú prístup v celej doméne a sú úplne nezávislé od miestnych účtov v samostatných systémoch.

Účet správcu

Tento preddefinovaný účet má plný prístup k súborom, priečinkom, službám a iným zdrojom; nemožno ho zakázať ani odstrániť. V službe Active Directory má prístup a oprávnenia v celej doméne. V iných prípadoch má správca zvyčajne prístup iba k miestnemu systému. Správca môže dočasne zatvoriť súbory a priečinky, ale má právo kedykoľvek získať späť kontrolu nad akýmikoľvek prostriedkami zmenou prístupových povolení.

Aby sa zabránilo neoprávnenému prístupu do systému alebo domény, musí mať administratívny záznam silné heslo. Okrem toho každý pozná štandardný názov pre túto položku, preto sa odporúča premenovať ho.

Zvyčajne nie je potrebné meniť hlavné parametre účtu správcu, niekedy by ste však mali zmeniť také ďalšie parametre, ako je jeho členstvo v niektorých skupinách. V predvolenom nastavení je správca v doméne zahrnutý do skupín tvorcov Administrators, Domain Admins, Domain Users, Enterprise Admins, Schema Admins a Group Policy (skupina politikatvorcamajitelia).

Účet ASPNET

Účet ASPNET sa používa v NET Framework a je určený na spúšťanie pracovných postupov ASP.NET. Je členom skupiny Domain Users a ako taká má rovnaké privilégiá ako bežní používatelia v doméne.

Hosťovský účet

Tento účet je určený pre používateľov, ktorí potrebujú jednorazový alebo zriedkavý prístup k počítačovým alebo sieťovým zdrojom. Hosťovský účet má veľmi obmedzené systémové privilégiá, musíte ho však používať opatrne, pretože potenciálne znižuje bezpečnosť. Preto je položka hosť pri inštalácii systému Windows Server 2003 na začiatku zakázaná.

Účet Hosť je v predvolenom nastavení členom skupín Hostia domény a Hostia. Je dôležité si uvedomiť, že všetky účty hosťa sú členmi implicitnej skupiny Všetci (všetci), ktorí zvyčajne majú prístup k súborom a priečinkom a majú štandardnú sadu užívateľských práv.

Podporný účet

Účet technickej podpory sa používa v zabudovanej pomoci a podpore (pomôcť apodpora). Je členom HelpServicesGroup and Domain Users a má právo prihlásiť sa ako dávková úloha. To umožňuje účtu podpory vykonávať dávkové úlohy súvisiace s aktualizáciou systému.

Vstavané a preddefinované skupiny

Vnorené skupiny sa inštalujú so všetkými systémami Windows Server 2003. Ak chcete používateľovi poskytnúť oprávnenia a oprávnenia vnorenej skupiny, jednoducho ju zahrňte do jej zloženia.

Napríklad, aby sa používateľovi poskytol administratívny prístup do systému, musí byť zahrnutý do miestnej skupiny Administrators. Ak chcete používateľovi poskytnúť administratívny prístup k doméne, musí byť zahrnutý do skupiny správcov miestnej domény (administrátori) v aktívnyadresár.

Implicitné skupiny a špeciálne identifikátory

Implicitné skupiny systému Windows NT boli automaticky priradené pri prihlásení na základe toho, ako používateľ pristupoval k zdieľanej sieti. Ak sa teda pripojil prostredníctvom interaktívneho vstupu, automaticky sa stal členom implicitnej interaktívnej skupiny (interaktívne).

windows  2000 a 2000 windowsserverObjektový prístup k štruktúre adresárov z roku 2003 zmenil pôvodné pravidlá pre implicitné skupiny. Aj keď stále nemôžete zobraziť zloženie implicitných systémových skupín, môžete zahrnúť používateľov, skupiny a počítače.

Zloženie špeciálnej zabudovanej skupiny je možné konfigurovať implicitne, napríklad pri vstupe do systému alebo explicitne prostredníctvom prístupových povolení. Ako v prípade iných štandardných skupín, dostupnosť implicitných skupín závisí od konfigurácie siete.

  Funkcie účtu

Ak chcete používateľovi prideliť určité práva, stačí ho pridať do skupín a pripraviť ho o odstránenie z príslušných skupín.

K účtu Windows Server 2003 je možné priradiť nasledujúce typy práv.

Privilégium (privilégium) umožňuje vykonať konkrétnu administratívnu úlohu, napríklad vypnutie systému. Privilégiá môžu byť pridelené používateľom aj skupinám.

Práva na prihlásenie (prihlasovacie práva) určiť schopnosť vstupu do systému, napríklad lokálne. Vstupné práva môžu byť pridelené používateľom aj skupinám.

Vstavané funkcie určené pre skupiny. Sú vopred definované a nemenné, ale sú prípustné. delegovať na používateľov so súhlasom spravovať  predmety, OP alebo iné nádoby. Napríklad schopnosť vytvárať, mazať a spravovať používateľské účty je poskytnutá správcom a účtovným operátorom. Inými slovami, používateľ zaradený do skupiny Administrators získa právo vytvárať a mazať používateľské účty.

dovolenia prístup (prístupové oprávnenia) určiť, aké akcie sa môžu vykonať so sieťovými prostriedkami, napríklad vytvorte súbor v priečinku. Používateľom, počítačom a skupinám môžete prideliť prístupové oprávnenia.

Nemôžete zmeniť vstavané schopnosti skupiny, ale môžete zmeniť jej štandardné práva. Správca tak môže zrušiť prístup k počítaču v sieti odstránením práva skupiny na prístup k tomuto počítaču zo siete.

  Štandardné skupinové účty

Hlavnou vlastnosťou štandardných skupín je flexibilita. Priradenie používateľov k správnym skupinám značne uľahčuje správu pracovných skupín alebo domén systému Windows Server 2003. V takýchto rôznych skupinách však pochopenie účelu každej z nich nie je ľahké. Pozrime sa bližšie na skupiny, ktoré používajú správcovia a implicitné skupiny.

Administratívne skupiny

Správca má široký prístup k sieťovým zdrojom. Správcovia môžu vytvárať účty, meniť používateľské práva, inštalovať tlačiarne, spravovať zdieľané prostriedky atď. Hlavnými skupinami správcov sú správcovia, správcovia domén a správcovia podnikov.

Administrátori (Administrátori)   - miestna skupina v závislosti od jej umiestnenia, ktorá poskytuje úplný administratívny prístup k jednému počítaču alebo konkrétnej doméne. Ak chcete niekoho označiť za správcu miestneho počítača alebo domény, stačí ho zahrnúť do tejto skupiny. Tento účet môžu zmeniť iba členovia skupiny Administrators.

Globálna skupina správcov domén sú navrhnuté tak, aby pomohli spravovať všetky počítače v doméne. Táto skupina má administratívnu kontrolu nad všetkými počítačmi v doméne, pretože v predvolenom nastavení je členom skupiny Administrators.

Globálna skupina Enterprise Admins   Umožňuje správu všetkých počítačov v strome alebo v lese. Má administratívnu kontrolu nad všetkými počítačmi v podniku, ako je predvolene zahrnuté do skupiny Administrators.

Implicitné skupiny

Windows Server 2003 obsahuje niekoľko vstavaných systémových skupín, ktoré vám umožňujú priraďovať povolenia v konkrétnych situáciách. Povolenia pre tieto skupiny sa zvyčajne definujú implicitne, ale môžete ich priradiť sami pri zmene objektov služby Active Directory.

sám - obsahuje samotný objekt a umožňuje mu meniť sa.

Anonymné prihlásenie - užívatelia pristupujúci do systému prostredníctvom anonymného prihlásenia. Používa sa na anonymný prístup k zdrojom, ako sú napríklad webové stránky na podnikových serveroch.

Všetko ( každý) - všetci interaktívni, sieťoví, dial-up a overení používatelia. Táto skupina poskytuje široký prístup k systémovým zdrojom.

Skupina autorov (Skupina autorov) -   skupina používaná na automatické udeľovanie prístupových oprávnení používateľom, ktorí sú členmi rovnakej skupiny (skupín) ako tvorca súboru alebo priečinka.

Interactive (interactive) - Používatelia zaregistrovaní lokálne. Umožňuje prístup k prostriedku iba miestne pre používateľov.

  radiče doména spoločnosť (Enterprise Domain Controllers) - radiče domény s úlohami a povinnosťami, ktoré platia v celom podniku. Zaradenie do tejto skupiny umožňuje kontrolórom vykonávať konkrétne úlohy pomocou tranzitívnej dôvery.

Obmedzené (obmedzené) - používatelia a počítače s obmedzeným prístupom. Na členskom serveri alebo pracovnej stanici táto skupina zahŕňa lokálneho používateľa zo skupiny Users.

Dávkové súbory - užívatelia alebo procesy, ktoré pristupujú k systému ako dávková úloha (alebo prostredníctvom dávkového frontu).

Používateľ terminálových služieb - Používatelia pristupujúci do systému prostredníctvom terminálových služieb. Umožňuje používateľom terminálového servera pristupovať k serverovým aplikáciám a vykonávať ďalšie úlohy.

Proxy (Proxy) - používatelia a počítače, ktorí pristupujú k zdrojom prostredníctvom proxy servera (používajú sa, keď sú v sieti proxy servery).

Overení používatelia - používatelia pristupujúci do systému prostredníctvom procesu prihlásenia. Používa sa na organizovanie prístupu k zdieľaným zdrojom a doméne, napríklad k súborom v zdieľanom priečinku, ktorý by mal byť prístupný všetkým zamestnancom organizácie.

  Sieť ( Network) - užívatelia pristupujúci do systému prostredníctvom siete. Umožňuje prístup k prostriedku iba vzdialené pre používateľov.

Systém ( system) - OS sám Windows Server 2003. Používa sa, keď operačný systém potrebuje vykonať funkciu na úrovni systému.

Služba ( service) - služby pristupujúce k systému. Poskytuje prístup k procesom so službami Windows Server 2003.

Vlastník tvorcu - používateľa, ktorý vytvoril tento súbor alebo priečinok. Používa sa na automatické udeľovanie povolení tvorcovi súboru alebo priečinka.

  diaľkový   prístup ( Dial-Up) - používatelia pristupujúci do systému prostredníctvom telefonického pripojenia.

Používanie používateľských účtov môže zjednodušiť prácu viacerých ľudí na jednom počítači. Každý používateľ môže mať samostatný účet s vlastnými nastaveniami, napríklad pozadie pracovnej plochy a šetrič obrazovky. Účty určujú, ktoré súbory a priečinky majú používatelia prístup a aké zmeny môžu v počítači vykonať. Väčšina používateľov používa bežné účty.

Domény, pracovné skupiny a domáce skupiny predstavujú rôzne spôsoby organizácie počítačov v sieti. Ich hlavný rozdiel spočíva v spôsobe spravovania počítačov a iných zdrojov.

Počítače Windows v sieti musia byť súčasťou pracovnej skupiny alebo domény. Počítače Windows v domácej sieti môžu byť tiež súčasťou domácej skupiny, nie je to však potrebné.

Počítače v domácich sieťach sú zvyčajne súčasťou pracovných skupín a prípadne domácej skupiny a počítače v sieťach na pracoviskách sú súčasťou domén. Kroky, ktoré musíte vykonať, sa líšia v závislosti od toho, či je počítač členom domény alebo pracovnej skupiny.

V pracovnej skupine:

· Všetky počítače sú rovnocenné; žiadny počítač nemôže ovládať iný.

· Každý počítač má niekoľko používateľských účtov. Ak sa chcete prihlásiť do ktoréhokoľvek počítača, ktorý patrí do pracovnej skupiny, musíte mať v tomto počítači účet.

· Pracovná skupina zvyčajne nemá viac ako dvadsať počítačov.

· Pracovná skupina nie je chránená heslom.

· Všetky počítače musia byť v rovnakej lokálnej sieti alebo podsieti.

V domácej skupine:

· Počítače v domácej sieti musia patriť do pracovnej skupiny, ale môžu byť aj členmi domácej skupiny. Používanie domácej skupiny na zdieľanie obrázkov, hudby, videa, dokumentov a tlačiarní s ostatnými používateľmi je oveľa jednoduchšie.

· Domáca skupina je chránená heslom, ale zadá sa iba raz, keď sa do domácej skupiny pridá počítač.

V doméne:

· Jeden alebo viac počítačov sú servery. Správcovia siete používajú servery na riadenie zabezpečenia a povolení pre všetky počítače v doméne. To vám umožní ľahko zmeniť nastavenia, pretože zmeny sa automaticky vykonajú pre všetky počítače. Používatelia domény musia pri každom prístupe do domény zadať heslo alebo iné poverenia.

· Ak má používateľ v doméne účet, môže sa prihlásiť do ľubovoľného počítača. Toto nevyžaduje účet na samotnom počítači.

· Práva na zmenu nastavení počítača môžu byť obmedzené, pretože správcovia siete chcú mať istotu jednotnosti nastavení počítača.

· Doména môže mať tisíce počítačov.

· Počítače môžu patriť do rôznych miestnych sietí.

V predchádzajúcej časti článku sa diskutovalo o metódach vytvorenia lokálnych užívateľských účtov a užívateľských účtov domén. V tejto časti budeme hovoriť o správe používateľských účtov pomocou komponentu „Správa používateľských účtov“ a modulu snap-in „Lokálni používatelia a skupiny“, ako aj o „Správcovi poverení“ - komponente, ktorý vám umožní uložiť poverenia používateľov.

Správa účtu pomocou dialógového okna „Správa používateľských účtov“

Ako je uvedené v prvej časti, pomocou dialógového okna „Správa používateľských účtov“  Účty môžete nielen vytvárať, ale aj vykonávať s nimi jednoduché akcie, ako napríklad:

  • Zmena mena;
  • Vytvorenie hesla;
  • Zmena hesla;
  • Odstránenie hesla;
  • Zmeniť obrázok;
  • Nastavenie rodičovskej kontroly;
  • Zmeniť typ účtu;
  • Odstrániť účet
  • Povoliť alebo zakázať účet hosťa;

V tejto časti sa podrobne zvážia všetky uvedené akcie.

Zmena mena

Ak chcete zmeniť názov účtu, postupujte takto:

Vytvorenie hesla

Ak chcete vytvoriť heslo pre používateľský účet, postupujte takto:



Zmeňte heslo

Ak už používateľský účet má heslo, ale je potrebné ho zmeniť, postupujte takto:



Na vytvorenie silných hesiel a prístupových fráz môžete použiť aj rozšírenú množinu znakov ASCII - systém, ktorý priradí číselné hodnoty písmenám, číslam a iným znakom. Použitím rozšírenej znakovej sady ASCII môžete zvýšiť silu hesiel a prístupových fráz. Pred použitím znakov z rozšírenej sady ASCII na vytváranie hesiel a prístupových fráz sa uistite, že heslá a frázy s takýmito znakmi sú kompatibilné s aplikáciami, ktoré používate. Pri používaní rozšírených znakov ASCII v heslách a prístupových frázach buďte mimoriadne opatrní.

Odstránenie hesla

V prípade, že používateľ má heslo a toto heslo nepotrebuje na prácu s počítačom, vykonáme nasledujúce kroky:



Zmeniť obrázok účtu

V operačných systémoch Windows je možné vybrať obrázok zodpovedajúci používateľskému kontu, ktorý sa zobrazí vo všetkých oknách a ponukách, na ktorých by sa malo zobraziť meno používateľa. Ak chcete zmeniť obrázok používateľského účtu, postupujte takto:



Nastavenie rodičovskej kontroly

V prípade, že máte deti a spolu s nimi používate počítač alebo nastavíte počítač v inštitúcii, kde budú deti študovať, mali by ste sa pokúsiť obmedziť ich prístup k používaniu obsahu počítača, ako aj k aplikáciám nainštalovaným v počítači. Môžete nastaviť časové intervaly, v ktorých môžu deti používať počítač, a tiež určiť, ktoré hry a programy môžu používať.

Keď rodičovská kontrola blokuje prístup k hre alebo programu, zobrazí sa upozornenie, že program bol zablokovaný. Dieťa môže kliknúť na odkaz v upozornení a požiadať o povolenie na prístup k hre alebo programu. Prístup môžete povoliť zadaním podrobností o svojom účte.

Ak chcete nakonfigurovať rodičovskú kontrolu, postupujte takto:



Zmena typu účtu

Po inštalácii operačného systému je vytvorený účet predvolene vybavený správcovskými právami. Tento účet umožňuje konfigurovať počítač a inštalovať všetky programy. Po dokončení nastavenia počítača na každodenné použitie spoločnosť Microsoft dôrazne odporúča používať účet bez oprávnení správcu. Nové používateľské účty by sa mali vytvárať ako bežné účty. Používanie bežných účtov je pre počítač bezpečnejšie. Ak chcete zmeniť typ účtu, postupujte takto:



Odstrániť účet

Ak je potrebné odstrániť používateľský účet, môžete urobiť nasledujúce kroky:



Povolenie a zakázanie účtu hosťa

Používatelia, ktorí sa prihlásia do počítača pod účtom hosťa, dostanú dočasný profil, ktorý sa vytvorí po prihlásení používateľa a pri odhlásení sa odstráni. Ak chcete povoliť tento účet, postupujte takto:



Operácie s účtami pomocou modulu snap-in Local Users and Groups

Ako je uvedené v prvej časti, použitie modulu snap-in vám umožňuje obmedziť možné akcie používateľov a skupín priradením práv a povolení. Pomocou tohto modulu snap-in môžete vykonávať akcie, ako napríklad:

  • Obnoviť heslo používateľa;
  • Zakázanie používateľského účtu;
  • Odstrániť účet
  • Zmena mena;
  • Priradenie prihlasovacích skriptov;
  • Cieľový domovský priečinok.

Obnoviť heslo používateľa

V prvom rade nezabudnite, že resetovanie hesla pre lokálny používateľský účet môže viesť k čiastočnej strate údajov tohto používateľa, ak má šifrované údaje alebo alternatívne internetové heslá. Ak chcete obnoviť heslo používateľa, postupujte takto:


Ak je heslo zadané a potvrdené správne, zobrazí sa nasledujúce dialógové okno, ktoré naznačuje, že heslo bolo úspešne zmenené:

Zakázať alebo aktivovať

Pri odpájaní účtu nemá užívateľ povolené prihlásiť sa. V informačnej oblasti modulu snap-in „Miestni používatelia a skupiny“  ikona deaktivovaného účtu sa zobrazuje s ikonou šípky. Keď aktivujete svoj účet, používateľ opäť získa možnosť pravidelného prihlásenia. Ak chcete zakázať používateľský účet, vykonajte nasledujúce kroky:

  1. Otvorte snímku „Miestni používatelia a skupiny“;
  2. Otvorte uzol "Užívatelia";
  3. Pravým tlačidlom myši kliknite na používateľské konto, ktoré chcete zakázať, a potom vyberte príkaz z kontextovej ponuky "Vlastnosti";
  4. Ak chcete deaktivovať vybratý používateľský účet, začiarknite políčko pre príslušnú možnosť „Zakázať účet“.

Ak chcete znova aktivovať svoj účet, zrušte začiarknutie políčka. „Zakázať účet“.

Odstrániť účet

Ak potrebujete odstrániť používateľské konto, spoločnosť Microsoft odporúča, aby ste toto konto najskôr zakázali. V prípade, že počas odpojenia nedošlo k žiadnym chybám, môže byť bezpečne odstránený. Po odstránení nie je možné účet obnoviť. Ak chcete účet odstrániť, postupujte takto:

  1. Otvorte snímku „Miestni používatelia a skupiny“;
  2. Otvorte uzol "Užívatelia";
  3. "Delete".

Zmena mena

Pri zmene používateľského mena sa nemusíte starať o integritu údajov. Pretože sú zachované bezpečnostné identifikátory (SID) účtov, premenovaný účet si zachováva všetky ostatné vlastnosti vrátane popisu, hesla, členstva v skupine, užívateľského profilu, informácií o účte, ako aj všetkých oprávnení a práv používateľov. Ak chcete premenovať používateľský účet, postupujte takto:

  1. Otvorte snímku „Miestni používatelia a skupiny“;
  2. Otvorte uzol "Užívatelia";
  3. Pravým tlačidlom myši kliknite na používateľské konto, ktoré chcete odstrániť, a potom vyberte príkaz z kontextovej ponuky "Premenovať".

Priradenie prihlasovacieho skriptu

Správcovia systému môžu použiť prihlasovacie skripty na priradenie úloh, ktoré sa automaticky vykonajú po prihlásení používateľa na konkrétny počítač v systéme. Tieto skripty používajú premenné systémového prostredia a môžu volať aj iné skripty alebo spustiteľné programy. Prihlasovacie skripty sa často používajú na pripojenie systémových diskov, spúšťanie procesov na pozadí a nastavenie vlastných premenných prostredia.

Prihlasovací skript sa spustí automaticky, keď sa používateľ prihlási k počítaču s operačným systémom Windows. Skript môže obsahovať príkazy operačného systému, napríklad príkazy na mapovanie sieťových jednotiek alebo spúšťanie programov. Prihlasovacie skripty tiež obsahujú premenné prostredia na špecifikovanie informácií, napríklad cestu na vyhľadávanie súborov a umiestnenie adresára pre dočasné súbory. Prihlasovací skript je zvyčajne dávkový súbor (s príponou .bat alebo .cmd), ale povolený je aj akýkoľvek spustiteľný program.

Prihlasovacie skripty sú voliteľné. Môžete ich použiť na nastavenie pracovného prostredia vytvorením sieťových pripojení a spustením programov. Prihlasovacie skripty sa používajú, keď potrebujete ovplyvniť niektoré parametre pracovného prostredia používateľa bez toho, aby ste spravovali všetky jeho aspekty.

Prihlasovacie skripty hostené v lokálnom počítači sa vzťahujú iba na používateľov, ktorí sa do systému prihlasujú z tohto lokálneho počítača. Lokálne prihlasovacie skripty musia byť umiestnené v zdieľanom priečinku alebo v podpriečinku zdieľaného priečinka s názvom Netlogon. Ak tento priečinok v predvolenom nastavení neexistuje, musíte ho vytvoriť. Ak chcete určiť prihlasovací skript umiestnený v podpriečinku priečinka Netlogon, zadajte pred názvom súboru relatívnu cestu k tomuto priečinku. Ak chcete napríklad priradiť prihlasovací skript Start.bat uložený v priečinku \\\\ ComputerName \\ Netlogon \\ Local User FolderName, do poľa Login Script zadajte FolderName \\ Start.bat. Ak chcete priradiť prihlasovací skript k používateľskému účtu, postupujte takto:

  1. Otvorte snímku „Miestni používatelia a skupiny“;
  2. Otvorte uzol "Užívatelia";
  3. Pravým tlačidlom myši kliknite na používateľské konto, ktorému chcete priradiť prihlasovací skript, a potom vyberte príkaz z kontextovej ponuky "Vlastnosti";
  4. Prejdite na kartu "Profil"  a tam na poli „Prihlasovací skript“  Musíte zadať názov a relatívnu cestu súboru skriptu.

Priradenie domácej zložky

Ak nie je priradený žiadny domáci priečinok, systém priradí používateľskému kontu lokálny predvolený domáci priečinok (v koreňovom priečinku, v ktorom sú nainštalované súbory operačného systému). Ak chcete určiť sieťovú cestu pre domáci priečinok, musíte najprv vytvoriť zdieľanie a nastaviť povolenia, ktoré používateľom umožnia otvoriť prístup. zložka "Dokumenty"  Je to pohodlná alternatíva k domácim priečinkom, ale nenahrádza ich. Priečinky sa vytvárajú na zavádzacom zväzku "Dokumenty"  pre každého používateľa. Ak chcete určiť domáci priečinok v lokálnom alebo sieťovom prostriedku, vykonajte nasledujúce kroky:

  1. Otvorte snímku „Miestni používatelia a skupiny“;
  2. Otvorte uzol "Užívatelia";
    3. ,
  3. Pravým tlačidlom myši kliknite na používateľské konto, ktorého domovský priečinok chcete priradiť, a potom vyberte príkaz z kontextovej ponuky "Vlastnosti";
  4. Prejdite na kartu "Profil";
  5. Zadajte domovský priečinok pre používateľa:
    • Do poľa zadajte lokálny domáci priečinok Cesta  zadajte cestu k priečinku na lokálnom počítači;
    • Ak chcete určiť domáci priečinok v sieťovom zdieľaní, vyberte prepínač možností "Pripojiť", zadajte písmeno jednotky a vyberte sieťový prostriedok:

Ukladací priestor poverení používateľa

Aplikácia Credential Manager je navrhnutá na ukladanie poverení, napríklad používateľských mien a hesiel, ktoré sa používajú na prihlásenie na webové stránky alebo iné počítače v sieti. Úložisko poverení systému Windows vám umožňuje automaticky sa prihlásiť na webovú stránku alebo do počítača, keď sa k nemu pripojíte. Poverenia sa ukladajú v počítači do priečinkov nazývaných úložiská. Windows a programy (napríklad webové prehliadače) môžu bezpečne prenášať poverenia v úložisku na iné počítače a webové stránky.

Úložisko poverení systému Windows vám umožňuje ukladať poverenia pre servery, webové stránky a ďalšie programy, aby používatelia systému Windows mali automatický prístup k svojim zdrojom. Používatelia môžu teraz ukladať svoje poverenia pre Facebook, Twitter, Gmail, Hotmail atď. aby sa k nim mohli všetci používatelia počítačov prihlásiť automaticky.

Správca poverení  je možné otvoriť nasledujúcimi spôsobmi:

  • Stlačte tlačidlo "Štart"  Ak chcete otvoriť menu, otvorte „Ovládací panel“ Používateľské účty, Na ľavej table kliknite na odkaz „Správa účtu“;
  • Stlačte tlačidlo "Štart"  Ak chcete otvoriť menu, otvorte „Ovládací panel“  a zo zoznamu komponentov ovládacieho panela vyberte položku Správca poverení.

Zobrazí sa nasledujúca snímka obrazovky Správca poverení:

Pridávanie poverení systému Windows

Pridanie nových poverení umiestnených v lokálnej sieti alebo na internete do kategórie Poverenia systému Windows  kliknite na odkaz „Pridať poverenia systému Windows“.

V dialógovom okne v poli „Internetová alebo sieťová adresa“ "User Name"  v aktuálnom dialógovom okne zadajte názov použitého účtu a do poľa "Password" "OK".

V hlavnom okne Správca poverenív skupine Poverenia systému Windows

Pridajte prihlasovacie údaje

Správca poverení  Môžete tiež ukladať údaje na základe použitých certifikátov. Ak chcete pridať prihlasovacie údaje, kliknite sem „Pridať poverenia založené na certifikáte“, V dialógovom okne môžete otvoriť miestneho manažéra certifikátov a zobraziť existujúce a exportovať na kartu Smart Card.

Certifikáty modulu snap-in otvoríte kliknutím na odkaz „Open Certificate Manager“.

Z tohto modulu snap-in môžete exportovať akýkoľvek dostupný certifikát na čipovú kartu a pridať poverenia založené na certifikáte.

Po exportovaní certifikátu v dialógovom okne „Zadajte webovú adresu alebo sieťové umiestnenie a vyberte certifikát“  v teréne „Internetová alebo sieťová adresa“  zadajte adresu a kliknite na tlačidlo „Výber certifikátu“, Ak nie je vložená karta Smart Card, zobrazí sa nasledujúce dialógové okno.


Po vložení karty Smart Card a výbere certifikátu kliknite na tlačidlo "OK"  v dialógu „Zadajte webovú adresu alebo sieťové umiestnenie a vyberte certifikát“.

Archivácia úložiska

podľa Správca poverení  Môžete archivovať svoje údaje. Ak chcete svoje poverenia archivovať, kliknite na odkaz v dialógovom okne „Archivácia úložiska“.

Ak vás sprievodca vyzve, aby ste určili priečinok na ukladanie archívnych údajov. Ak chcete určiť priečinok, do ktorého chcete uložiť archívnu kópiu poverení, kliknite na tlačidlo "Prehľad".

V zobrazenom dialógovom okne Uložiť ako  vyberte priečinok, do ktorého sa má súbor uložiť. Ak chcete súbor uložiť do nového priečinka, môžete ho vytvoriť priamo z tohto dialógového okna pomocou kontextovej ponuky alebo tlačidla „Nový priečinok“  na paneli akcií. V teréne „Názov súboru“  zadajte meno a kliknite na tlačidlo "Save".

Po zadaní priečinka na uloženie archívu vás Sprievodca vyzve, aby ste pracovnú plochu umiestnili do bezpečného režimu a pokračovali v archivácii poverení. Na tento účel použite klávesovú skratku Ctrl + Alt + Delete.

Po prepnutí na zabezpečenú pracovnú plochu musíte zadať heslo pre archív. V dialógu „Chráňte archívny súbor heslom“  zadajte heslo pre tento účet a potom ho duplikujte do poľa "Potvrdenie"potom stlačte tlačidlo "Next".

Po dokončení archivácie údajov v poslednom dialógovom okne sprievodcu stačí kliknúť na tlačidlo "Hotovo", Po kliknutí na toto tlačidlo sa pracovná plocha presunie z bezpečného režimu do užívateľského režimu.

Obnova trezora

Ak chcete obnoviť poverenia z úložiska, musíte to urobiť v dialógovom okne „Uložiť poverenia na automatické prihlásenie“  Sprievodcu otvoríte kliknutím na odkaz obnoviť úložisko.

Ihneď po kliknutí na odkaz sa otvorí dialógové okno „Ukladanie používateľských mien a hesiel“, kde vás sprievodca vyzve, aby ste určili priečinok, v ktorom nájdete súbor na obnovenie údajov z archívu. Ak chcete určiť priečinok, v ktorom sa nachádza archívna kópia poverení, kliknite na tlačidlo "Prehľad".

V dialógovom okne "Otvorená"Pri prechádzaní stromom adresárov otvorte priečinok obsahujúci požadovaný súbor. Po nájdení požadovaného archívu ho musíte vybrať kliknutím ľavým tlačidlom myši, čím vložíte jeho názov do riadku pre zadanie názvu súboru a kliknete na tlačidlo "Otvorená".

Sprievodca vás vyzve, aby ste pracovnú plochu uviedli do bezpečného režimu a pokračovali v získavaní poverení. Na tento účel použite klávesovú skratku Ctrl + Alt + Delete.

Na zabezpečenej ploche vás v prvom dialógovom okne zobrazí výzva na zadanie hesla pre archívny súbor. V teréne "Password"  zadajte heslo, ktoré bolo zadané pri vytváraní archívu. Potom kliknite na tlačidlo "Next".

V prípade, že pri zadávaní hesla došlo k chybe, sprievodca zobrazí dialógové okno s chybou, kde budete vyzvaní na opätovné zadanie správneho hesla pre archív.

V prípade, že bolo zadané správne heslo, sprievodca okamžite začne obnovovať archivované poverenia. Po obnovení kliknite na tlačidlo "Hotovo"  za účelom prenosu počítača z núdzového režimu do užívateľského režimu.

Pridávanie zdieľaných poverení

Credential Manager vám tiež umožňuje pridať tzv. Zdieľané poverenia. Pridanie zdieľaných poverení do skupiny „Všeobecné poverenia“  kliknite na odkaz „Pridať zdieľané poverenia“.

V dialógovom okne „Zadajte svoju webovú adresu alebo sieťové umiestnenie a poverenia“  v teréne „Internetová alebo sieťová adresa“  Zadajte adresu hostiteľa alebo názov počítača v miestnej sieti. V teréne "User Name"  do poľa zadajte názov použitého účtu a "Password"  - vaše heslo k prostriedku, ku ktorému pridávame poverenia. Potom kliknite na tlačidlo "OK".

V hlavnom okne Správca poverenív skupine „Všeobecné poverenia“  Zobrazia sa údaje, ktoré sme zadali v predchádzajúcom dialógovom okne.

záver

Táto časť článku popisuje správu používateľských účtov pomocou komponentu „Správa používateľských účtov“ a modulu snap-in „Lokálni používatelia a skupiny“. Konkrétne o zmene mena, vytvorení hesla, zmene hesla, vymazaní hesla, zmene obrázka používateľského účtu, nastavení rodičovskej kontroly, zmene typu účtu, vymazaní účtu, zmene umiestnenia domácich adresárov, povolení alebo zakázaní účtu hosťa a ďalších. Je opísaný aj princíp „Credential Manager“ - komponent, ktorý umožňuje uložiť poverenia používateľa