Conturi locale. Conturi de domeniu și grup de domiciliu

Un cont de utilizator local permite unui utilizator să se conecteze la un computer local pentru a accesa resursele locale. Cu toate acestea, într-un mediu în rețea, utilizatorii au nevoie de acces la resursele aflate în altă parte a rețelei. Este necesar un cont de utilizator de domeniu pentru a accesa aceste resurse. Când se creează un cont de utilizator de domeniu, acesta este plasat în serviciul de director Active Directory și este accesibil de pe orice computer care aparține domeniului respectiv. Într-un grup de lucru, pe de altă parte, contul de utilizator există doar pe computerul local.

a) Conturi de utilizator de domeniu definite de utilizator

Conturile de utilizator de domeniu definite de utilizator sunt conturi pe care un administrator le creează pentru a permite utilizatorilor să se conecteze la un domeniu și să acceseze resursele rețelei. Conturile de utilizator de domeniu definite de utilizator sunt create pe controlerul de domeniu. Acest controler de domeniu reproduce noile informații despre contul de utilizator către toți controlorii din domeniu. În timpul procesului de conectare, utilizatorul furnizează un nume de utilizator și o parolă, precum și domeniul în care există contul. Primul controler de domeniu disponibil folosește aceste informații pentru a autentifica contul de utilizator.

b) Conturi de utilizator încorporate (domeniu)

Pe lângă faptul că permite administratorilor să definească noi conturi de utilizator de domeniu, sistemul de operare Win2000 oferă două conturi de utilizator de domeniu încorporate, Administrator și Guest. Aceste conturi de utilizator încorporate sunt similare cu conturile de utilizator încorporate care există pe computerele locale din grupurile de lucru. Principala diferență este că aceste conturi vă oferă acces la un întreg domeniu.

c) Administrator

Contul de administrator încorporat gestionează toate configurațiile computerului și domeniului. Folosind acest cont, un administrator poate crea conturi de utilizator și de grup, poate gestiona securitatea, gestiona imprimante și poate atribui permisiuni conturilor de utilizator. Acest cont poate fi redenumit, dar nu poate fi șters.

Contul de invitat încorporat permite utilizatorilor ocazionali să acceseze resursele rețelei. De exemplu, într-un sistem cu securitate redusă, un angajat care are nevoie de acces pe termen scurt la resurse ar putea folosi contul de invitat. În mod implicit, acest cont este dezactivat.

e) Utilitar pentru utilizatori și computere Active Directory

Sistemul de operare Win2000 oferă un utilitar numit Active Directory UandC care permite administratorilor să gestioneze conturile de utilizator în serviciul de director Active Directory. Acest utilitar este instalat pe computere care sunt configurate ca controlere de domeniu. Pentru a lucra cu utilitarul Active Directory UandC, trebuie să fiți conectat la domeniul Win2000 (nu la computerul local) și să aveți suficiente drepturi pentru a efectua sarcinile corespunzătoare.

Folosind utilitarul Active Directory Users and Computers, puteți efectua următoarele sarcini într-un domeniu:

  • adăugați sau ștergeți conturi de utilizator;
  • activați și dezactivați conturile de utilizator;
  • găsiți sau mutați conturi de utilizator;
  • redenumiți conturile de utilizator;

resetați parolele utilizatorului.
12. Grupuri. Grupuri pe computerul local. Grupuri pe un controler de domeniu. Grupuri încorporate și standard în domeniu. Crearea de grupuri într-un domeniu. Tipuri de grupuri și domeniul lor.

grup - acesta este un set de conturi de utilizator. Permisiunile de acces pot fi setate pentru toți membrii unui grup în același timp și nu trebuie să fie setate individual. Odată ce ați asigurat accesul pentru un grup, puteți adăuga pur și simplu utilizatorii corespunzători la acel grup. Puteți utiliza grupurile implicite sau încorporate furnizate de sistemul de operare Win2000 sau puteți crea grupuri noi pentru a se potrivi nevoilor organizației dumneavoastră. Un grup poate exista fie numai pe computerul local, fie pe computere dintr-un domeniu, fie pe computere din mai multe domenii.

Grupuri pe computerul local:

Pe computerele locale (calculatoare care sunt controlere de domeniu), puteți crea numai grupuri locale în baza de date locală de securitate. Un grup situat pe un computer care nu este un controler de domeniu oferă securitate și acces numai la acel computer local. De exemplu, pentru a acorda unui utilizator drepturi administrative pe un computer local, pur și simplu adăugați utilizatorul la grupul Administratori de pe acel computer folosind utilitarul Utilizatori și grupuri locale.

Grupuri pe controlerul de domeniu:

Pe controlerul de domeniu, grupurile sunt create în serviciul de director Active Directory. Un grup situat pe un controler de domeniu poate include utilizatori dintr-un întreg domeniu sau din mai multe domenii. De exemplu, pentru a acorda utilizatorilor drepturi administrative, aceștia sunt adăugați la grupul Administratori pe un controler de domeniu utilizând utilitarul Active Directory Users and Computers.

Grupuri încorporate și standard în domeniu:

Ca și în cazul computerelor client și al serverelor membre, controlerele de domeniu au grupuri implicite încorporate. Pe lângă grupurile încorporate, controlerele de domeniu au grupuri standard standard. Când un computer devine controler de domeniu, Windows 2000 Advanced Server creează automat aceste grupuri în snap-in Utilizatori și computere Active Directory. La fel ca grupurile locale încorporate, aceste grupuri oferă drepturi predefinite care determină ce sarcini de sistem le poate îndeplini un utilizator sau un grup încorporat sau standard.

Grupurile standard cu domeniu global sunt situate în folderul Utilizatori. Grupurile locale de domeniu încorporate se află în folderul Builtin. Pe Windows 2000, grupurile de domenii implicite includ următoarele grupuri.

  • Grupuri locale de domeniu încorporate. Aceste grupuri oferă utilizatorilor drepturi și permisiuni predefinite pentru a efectua sarcini în serviciul de director Active Directory și pe controlerele de domeniu. Grupurile locale de domeniu încorporate sunt localizate numai pe controlere de domeniu. Aceste grupuri nu pot fi șterse.
  • Grupuri speciale. Aceste grupuri organizează automat conturile de utilizator pentru nevoile sistemului. Administratorii nu atribuie utilizatori acestor grupuri. În schimb, utilizatorii sunt fie membri implicit, fie devin membri prin activitățile lor online. Grupuri speciale există pe toate computerele care rulează Windows 2000. De exemplu, dacă utilizatorii se conectează la un folder partajat pe un computer la distanță, ei devin membri ai grupului Network System. Grupurile speciale nu sunt afișate în snap-in Utilizatori și computere Active Directory.
  • Grupuri globale standard . Aceste grupuri permit unui administrator să gestioneze cu ușurință toți utilizatorii dintr-un domeniu. Grupurile globale standard sunt disponibile numai pe controlerele de domeniu. Aceste grupuri sunt situate în folderul Utilizator al componentei snap-in Utilizatori și computere Active Directory.

Crearea de grupuri într-un domeniu:

Urmați aceste instrucțiuni atunci când creați grupuri pentru utilizare într-un domeniu.

  • Determinați domeniul necesar al grupului în funcție de modul în care va fi utilizat. De exemplu, pentru a grupa conturile de utilizator, utilizați un grup global. În schimb, utilizați un grup local de domeniu pentru a acorda permisiuni pentru o resursă.
  • Stabiliți dacă aveți permisiunile necesare pentru a crea un grup în domeniul corespunzător.

a) În mod implicit, membrii grupurilor Administratori sau Operatori de cont au permisiunile necesare pentru a crea grupuri.

b) Administratorul poate acorda utilizatorului permisiunea de a crea grupuri în domeniu.

  • Definiți numele grupului. Alegeți un nume intuitiv care reflectă scopul grupului pe care îl creați. Această abordare este utilă în special dacă administratorii altor domenii trebuie să caute acest grup în serviciul de director Active Directory.

Grupurile sunt create și șterse în snap-in-ul Utilizatori și computere Active Directory. Puteți crea grupuri în folderul implicit Utilizatori sau în orice dosar nou creat. Dacă un grup nu mai este necesar, acesta trebuie șters, astfel încât să nu-i acordați accidental permisiuni.

Pentru a crea un grup, deschideți snap-inul Active Directory Users and Computers. Faceți clic dreapta pe folderul în care va fi localizat grupul, selectați Nou și faceți clic pe Grup. Următorul tabel descrie opțiunile din caseta de dialog Obiect nou - Grup.

Tipuri de grupuri:

Serviciul de director Active Directory oferă suport pentru diferite tipuri de grupuri și domenii de grup dintr-un domeniu. Deoarece grupurile sunt stocate în Active Directory, acestea pot fi utilizate pe orice computer din rețea. Tipul de grup determină sarcinile care pot fi gestionate folosindu-l. Sfera unui grup determină dacă grupul se întinde pe mai multe domenii sau este limitat la un singur domeniu. Fiecare tip de grup dintr-un domeniu are un atribut scope care determină modul în care grupul este aplicat rețelei.

Există două tipuri de grupuri în serviciul de director Active Directory.

1) Grupuri de securitate. Grupurile de securitate ar trebui utilizate în scopuri legate de securitate, cum ar fi acordarea de permisiuni de acces la resurse. De asemenea, le puteți folosi pentru a trimite mesaje de e-mail către mai mulți utilizatori. Când trimiteți e-mail la un grup, mesajele sunt trimise tuturor membrilor acelui grup. Prin urmare, grupurile de securitate împărtășesc unele capabilități cu grupurile de distribuție.

2) Grupuri de distribuție. Grupurile de securitate sunt folosite de aplicații ca liste pentru a efectua funcții non-securitate, cum ar fi trimiterea de e-mailuri către grupuri de utilizatori. Nu puteți acorda permisiuni folosind grupuri de securitate. Deși grupurile de securitate au capabilitățile grupurilor de distribuție, acestea sunt totuși necesare deoarece unele aplicații pot funcționa numai cu grupuri de distribuție.

Domenii de aplicare a grupului:

Sfera de aplicare a unui grup determină unde în domenii este utilizat grupul. Domeniul de aplicare afectează apartenența la grup și atașamentul grupuri. Imbricarea înseamnă adăugarea unui grup la alt grup ca membru. Windows 2000 are trei domenii de grup.

1) Domeniul de aplicare al grupului global. Acest domeniu de aplicare este utilizat pentru a grupa utilizatorii care au cerințe similare de acces la rețea. Puteți folosi un grup global pentru a acorda permisiuni resurselor situate în orice domeniu.

a) Calitatea de membru în grupuri globale este limitată. Conturile de utilizator și grupurile globale sunt adăugate numai din domeniul în care este creat grupul global.

b) Grupurile globale pot fi imbricate în alte grupuri. Această caracteristică vă permite să adăugați un grup global la un alt grup global din același domeniu sau la grupuri universale sau locale din alte domenii.

2) Domeniul domeniului de aplicare a grupului local. Acest domeniu este utilizat pentru a acorda permisiuni resurselor de domeniu situate în același domeniu în care este creat grupul local de domeniu. Resursa nu trebuie să fie localizată pe un controler de domeniu.

a) Calitatea de membru în grupurile locale ale unui domeniu este deschisă. Conturile de utilizator, grupurile universale și grupurile globale sunt adăugate din orice domeniu.

b) Grupurile locale de domeniu nu pot fi imbricate în alte grupuri; aceasta înseamnă că un grup local de domeniu nu poate fi adăugat la niciun alt grup, chiar și la cele situate în același domeniu.

3) Domeniul de aplicare al grupului universal. Acordă permisiuni resurselor asociate pe mai multe domenii. Grupurile universale sunt folosite pentru a acorda permisiuni resurselor situate în orice domeniu.

a) Calitatea de membru în grupuri universale este deschisă. Orice cont de utilizator sau grup poate fi membru.

b) Grupurile universale pot fi imbricate în alte grupuri. Această caracteristică vă permite să adăugați un anumit grup universal la un grup universal sau la un grup local de domeniu situat în orice domeniu.


13. Drepturi generale ale utilizatorului. Permisiuni atribuite grupurilor încorporate (implicit).

Grup de lucru.

Drepturile nu se aplică unei anumite resurse, ci întregului sistem și afectează funcționarea computerului sau a domeniului în ansamblu. Toți utilizatorii care accesează resursele rețelei au nevoie de anumite drepturi generale asupra computerului pe care lucrează, de exemplu, dreptul de a se conecta la computer sau de a modifica ora sistemului de pe acesta. Administratorii pot atribui drepturi generale specifice unor grupuri de utilizatori sau utilizatori individuali. În plus, sistemul de operare Windows 2000 acordă anumite drepturi grupurilor încorporate în mod implicit. Drepturile utilizatorului determină ce utilizatori pot efectua anumite lucrări pe un computer sau domeniu.

Drepturi generale de utilizator:

Drepturile permit unui utilizator conectat la un computer sau o rețea să efectueze anumite acțiuni pe acel sistem. Dacă un utilizator nu are permisiunea de a efectua o operație, încercarea de a efectua acea operație va fi blocată.

Drepturile de utilizator se pot aplica atât utilizatorilor individuali, cât și grupurilor. Cu toate acestea, cel mai bine este să gestionați drepturile utilizatorului lucrând cu grupuri. Acest lucru asigură că un utilizator care se conectează ca membru al unui grup va primi automat toate drepturile asociate cu acel grup. Sistemul de operare Windows 2000 oferă administratorului posibilitatea de a atribui drepturi utilizatorilor și grupurilor de utilizatori. Drepturile generale ale utilizatorului includ dreptul de a se conecta local, dreptul de a schimba ora sistemului, dreptul de a opri sistemul și dreptul de a accesa acest computer din rețea.

  • Autentificare locală

Acest drept permite unui utilizator să se conecteze la computerul local sau domeniul de pe computerul local.

  • Modificarea orei sistemului

Acest drept permite utilizatorului să seteze ceasul intern al computerului.

  • Oprirea sistemului

Acest drept permite utilizatorului să închidă computerul local.

  • Accesați acest computer din rețea

Acest drept permite unui utilizator să acceseze un computer care rulează Windows 2000 de pe orice alt computer din rețea.

Permisiuni atribuite grupurilor încorporate (implicit):

Sistemul de operare Windows 2000 acordă implicit anumite drepturi grupurilor încorporate, cum ar fi Administratori, Utilizatori, Utilizatori cu putere și Operatori de rezervă.

1) Administratori

Administratorii este un grup încorporat care există atât pe computerele care sunt controlere de domeniu, cât și pe computerele care nu sunt controlere de domeniu. Membrii acestui grup au control total asupra computerului sau domeniului. Administratorii. Singurul grup încorporat căruia i se acordă automat toate drepturile încorporate pe sistem.

2) Utilizatori

Users este un grup încorporat care există atât pe computerele care sunt controlere de domeniu, cât și pe computerele care nu sunt controlere de domeniu. Membrii acestui grup pot efectua numai acele sarcini pentru care au drepturi specifice, cum ar fi rularea aplicațiilor, utilizarea imprimantelor locale și de rețea și închiderea și blocarea stațiilor de lucru. Membrii grupului Utilizatori pot crea grupuri locale și le pot modifica, dar nu pot partaja foldere sau crea imprimante locale.

3) Utilizatori avansați

Power Users este un grup încorporat care există pe computere care nu sunt controlere de domeniu. Membrii grupului Power Users pot îndeplini anumite funcții administrative, dar nu au drepturi care să le ofere control complet asupra sistemului. Grupul Power Users are următoarele drepturi.

  • Creați conturi de utilizator și de grup pe computerul local.
  • Modificarea și ștergerea conturilor pe care le-au creat.
  • Oferirea accesului partajat la resurse. Cu toate acestea, membrii grupului Power Users nu pot efectua următoarele acțiuni:
  • Schimbați grupurile Administratori și Operatori de rezervă.
  • Arhivați sau restaurați folderele dintr-o arhivă.

4) Operatori de arhivă

Operatori de rezervă este un grup încorporat care există atât pe computerele care sunt controlere de domeniu, cât și pe computerele care nu sunt controlere de domeniu. Membrii grupului Operatori de backup pot arhiva și restaura fișiere dintr-o arhivă, indiferent de permisiunile cu care sunt protejate fișierele. Membrii grupului Operatori de backup se pot conecta și închide computerul, dar nu pot modifica setările de securitate.

Grup de lucru:

Un grup de lucru este un grup mic de computere în rețea care lucrează împreună și nu necesită administrare centralizată.

Grupul de lucru are următoarele caracteristici.

  • Alocarea resurselor, administrarea și autentificarea sunt efectuate pe fiecare computer de grup de lucru separat.
  • Fiecare computer are instalată propria sa bază de date locală SAM (Security Accounts Manager). Utilizatorul trebuie să aibă un cont de utilizator pe fiecare computer pe care intenționează să lucreze.
  • Numărul de calculatoare nu depășește zece. Aceste computere pot rula produse server Windows 2000, dar fiecare are propria sa bază de date SAM. Dacă numărul de computere dintr-un grup de lucru depășește 10, devine mai dificil de gestionat. Numărul de conexiuni simultane pentru un computer care rulează Windows 2000 Professional nu poate depăși 10.

14. Configurarea protocolului TCP/IP (Transmission Control Protocol/Internet Protocol). Adresare DHCP. Alocarea automată a adreselor IP. Configurați TCP/IP pentru a utiliza o adresă IP statică. Verificarea si testarea protocolului TCP/IP.

Configurarea protocolului TCP/IP. Adresare DHCP:

Dacă protocolul TCP/IP a fost configurat pentru a obține automat o adresă IP, atunci după instalarea protocolului TCP/IP, computerul client obține o adresă IP în unul din două moduri:

  • de la un server DHCP;
  • folosind atribuirea automată a adreselor private APIPA (Automatic Private IP Addressing).

Serverul DHCP atribuie automat o adresă IP și setări de protocol TCP/IP, cum ar fi adresa IP a serverului DNS, serverul WINS și gateway-ul implicit. Următoarea procedură este utilizată pentru a atribui automat o adresă IP de către serverul DHCP.

1. Computerul client solicită o adresă IP de la serverul DHCP.

2. Serverul DHCP atribuie o adresă IP computerului client.

Asigurați-vă că setările protocolului TCP/IP sunt configurate astfel încât computerul client să poată obține automat o adresă IP de la serverul DHCP. În mod implicit, aceste setări sunt configurate automat în Windows 2000. Dacă din anumite motive computerul client nu este configurat pentru a obține automat o adresă IP, puteți configura manual TCP/IP.

Alocarea automată a adreselor IP:

Instrumentul de atribuire automată a adresei IP private vă permite să creați o adresă IP în cazul în care un computer client nu poate obține o adresă IP de la serverul DHCP. Acest instrument atribuie doar o adresă IP și o mască de subrețea, dar nu oferă informații suplimentare despre setări, cum ar fi gateway-ul implicit. Ca urmare, capacitatea computerului client de a se conecta la rețeaua locală este limitată: nu se poate conecta la alte rețele sau la Internet.

Când porniți un computer care nu are o adresă IP, se întâmplă următoarele:

1. Computerul client încearcă să descopere serverul DHCP și să obțină informații despre setările protocolului TCP/IP de la acesta.

2. Dacă computerul client nu detectează un server DHCP, își configurează adresa IP și masca de subrețea selectând adresa de rețea de clasă B 169.254.0.0 din intervalul de adrese IP rezervat de Microsoft cu o mască de subrețea de 255.255.0.0.

Configurarea TCP/IP pentru a utiliza o adresă IP statică:

Uneori trebuie să configurați manual adrese IP statice pentru computerele dintr-o rețea care acceptă serviciul server DHCP. De exemplu, un computer care acceptă serviciul server DHCP nu poate fi configurat să accepte automat o adresă IP. În plus, uneori este necesar să păstrați aceeași adresă IP pentru serverul de e-mail și serverul web. În astfel de cazuri, ar trebui să configurați aceste computere cu o adresă IP statică.

Când setați o adresă IP statică, trebuie să configurați masca de subrețea și gateway-ul implicit pentru fiecare dintre plăcile de rețea de pe computer, utilizând protocolul TCP/IP. Mai jos este un tabel care arată setările protocolului TCP/IP.

Opțiuni de setări Descriere
adresa IP O adresă pe 32 de biți care identifică o gazdă TCP/IP. Fiecare placă de rețea de pe un computer care rulează TCP/IP necesită o adresă IP unică, care este de obicei reprezentată în zecimală (de exemplu, 192.168.0.108). Fiecare adresă constă din două părți: un identificator de rețea, care identifică toate nodurile dintr-o rețea, și un identificator de nod, care identifică un anumit nod din această rețea. În acest exemplu, ID-ul rețelei este 192.168.0, iar ID-ul gazdei este 108, bazat pe masca de subrețea implicită.
Mască de rețea O valoare care determină la ce subrețea este conectat computerul. Un intranet mare este împărțit într-un număr de subrețele conectate prin routere. Valoarea măștii de subrețea arată care parte a adresei IP a gazdei este identificatorul rețelei și care parte este identificatorul gazdei. Când gazdele încearcă să comunice între ele, măștile lor de subrețea sunt folosite pentru a determina dacă gazda finală este locală sau la distanță.
Poarta principala Un router către care o gazdă va redirecționa toate pachetele IP pentru rețelele de la distanță atunci când nu are o rută specifică pentru acele rețele. Gateway-ul implicit este de obicei configurat cu informații de rutare, permițându-i să trimită pachete către rețeaua de destinație sau către alte routere intermediare. Pentru a comunica cu o gazdă dintr-o altă rețea, trebuie să configurați o adresă IP pentru gateway-ul implicit.

Verificarea și testarea protocolului TCP/IP:

După ce ați configurat TCP/IP, ar trebui să utilizați comenzile ipconfig și ping pentru a testa configurația computerului local pentru a vă asigura că se poate conecta la o rețea TCP/IP.

1) Comanda Ipconfig:

Comanda ipconfig vă permite să afișați pe ecranul computerului testat informații despre setarea proprietăților protocolului TCP/IP și să determinați dacă acesta este inițializat pe computer. Este apoi verificată corectitudinea informațiilor afișate.

2) Comanda ping:

Comanda ping este un instrument de diagnosticare care verifică setările protocolului TCP/IP între două computere și identifică erorile de conexiune. Comanda ping stabilește capacitatea de a comunica cu o altă gazdă utilizând protocolul TCP/IP.

Verificarea și testarea protocolului TCP/IP:

Combinând comenzile ipconfig și ping, puteți verifica configurația protocolului IP a unui computer local și conexiunea IP a două computere aflate în rețea. Procedura de utilizare împreună a comenzilor ipconfig și ping este să urmați acești pași de bază:

1) Introduceți comanda ipconfig la promptul de comandă. Veți obține următoarea ieșire din comanda ipconfig.

  • Dacă TCP/IP este inițializat, rularea comenzii ipconfig va afișa adresa IP și masca de subrețea a fiecărei plăci de rețea de pe computer. În plus, vor fi afișate și alte opțiuni de setare, cum ar fi gateway-ul implicit.
  • Dacă există o adresă IP duplicată, comanda ipconfig va afișa un mesaj care indică faptul că adresa IP a fost configurată; cu toate acestea, valoarea măștii de subrețea este 0.0.0.0., ceea ce indică faptul că această adresă este deja utilizată în rețea. Serviciul Automatic Private IP Assignment are întotdeauna un ID de rețea de 169.254.0.0. Dacă specificați un ID de rețea care începe cu 169.254.x.x., nu obțineți o adresă IP de la un server DHCP, ci prin serviciul de atribuire automată a adresei IP private.

2) Rulați ping 127.0.0.1 cu adresa de loopback pentru a verifica dacă protocolul TCP/IP este instalat corect. Adresa loopback este adresa pe care computerul o folosește pentru a se identifica.

Comanda ping folosește sintaxa ping IP_address, unde IP_address este adresa altei gazde sau computer care are TCP/IP instalat.

3) Faceți ping la adresa IP a computerului local pentru a vă asigura că adresa dvs. este configurată corect.

4) Faceți ping la adresa IP implicită a gateway-ului pentru a vă asigura că computerul dumneavoastră poate comunica cu rețeaua locală. Pentru a vă asigura că un computer poate fi conectat la o rețea locală, ar trebui să trimiteți o solicitare oricărui alt computer din acea rețea locală. Cu toate acestea, gateway-ul implicit este cel mai des folosit în acest scop, deoarece de obicei nu este niciodată dezactivat.

5) Faceți ping la adresa IP a gazdei de la distanță pentru a vă asigura că computerul poate comunica cu routerul.

În mod implicit, dacă comenzile ping au succes, apar patru mesaje identice de următorul tip: Răspuns primit de la adresa IP corespunzătoare


Informații conexe.


Instrucțiuni

Prin crearea unei rețele de domiciliu, puteți organiza accesul la o imprimantă de rețea pentru toate computerele din grupul dvs. de lucru. Pentru a face acest lucru, trebuie să le configurați în consecință, și anume, să setați adrese IP, să specificați numele computerelor și să le adăugați la un grup. Toate setările necesare, ale căror valori le veți modifica, se află în folderul de sistem „Panou de control”.

În primul rând, trebuie să denumiți computerele și să le definiți grupul de lucru. Pentru a face acest lucru, mergeți pe desktop și faceți clic dreapta pe pictograma „Computerul meu”. În meniul contextual care se deschide, selectați „Proprietăți”. Veți vedea appletul „Proprietăți sistem”, care poate fi accesat rapid folosind combinația de taste Win + Pause Break.

În acest applet, accesați fila Nume computer. Este recomandabil să creați o listă de computere în care să le indicați nu numai numele, ci și adresele IP. Folosind această listă, dați un nume fiecărui computer. Pentru a schimba numele, faceți clic pe butonul Modificare din partea de jos a applet-ului. În fereastra care se deschide, înlocuiți numele anterior cu cel pe care l-ați adăugat recent în listă.

Tot în această filă puteți seta numele grupului de lucru. Valoarea implicită este Workgroup. Se recomandă înlocuirea acestuia cu un nume mai simplu, de exemplu, Net sau Connect. Faceți clic pe OK pentru a salva modificările. O fereastră mică va apărea în fața dvs. care vă anunță că v-ați alăturat unui nou grup de lucru. În partea de jos a ferestrei „Proprietăți sistem”, va apărea o notificare care vă va cere să reporniți sistemul, dar acest lucru nu merită încă, așa că după ce faceți clic pe butonul „OK”, selectați „Nu”.

Acum nu mai rămâne decât să atribui fiecărui computer propria sa adresă IP, astfel încât ordinea în care sunt identificați în rețea să nu fie perturbată. Faceți clic pe meniul Start, selectați Panou de control. În folderul care se deschide, faceți dublu clic pe pictograma „Network Connections”, faceți clic dreapta pe elementul „Local Area Connection” și selectați „Properties”.

Faceți clic dreapta pe linia „Protocol (TCP/IP)” și selectați „Proprietăți”. Accesați blocul „Utilizați următoarea adresă IP” și introduceți o valoare individuală pentru fiecare computer cu o diferență de o unitate. De exemplu, „Dmitry” - 192.168.1.3; „Pavel” - 192.168.1.4 etc. Este de remarcat faptul că, în legătură cu 192.168.1.x, se recomandă începerea numărării de la numărul 3, deoarece primele două valori sunt folosite de router și modem.

În toate ferestrele, faceți clic pe butonul „OK” și răspundeți la cererea de repornire pozitiv sau negativ dacă există documente nesalvate. Apoi reporniți-vă folosind meniul Start.

Utilizarea conturilor de utilizator facilitează lucrul mai multor persoane pe același computer. Fiecare utilizator poate avea un cont separat cu propriile setări, cum ar fi fundalul desktopului și economizorul de ecran. Conturile determină ce fișiere și foldere pot accesa utilizatorii și ce modificări pot face pe computer. Pentru majoritatea utilizatorilor, sunt folosite conturi obișnuite.

Domeniile, grupurile de lucru și grupurile de acasă reprezintă metode diferite de organizare a computerelor într-o rețea. Principala diferență este modul în care sunt gestionate computerele și alte resurse.

Calculatoarele Windows din rețea trebuie să facă parte dintr-un grup de lucru sau dintr-un domeniu. De asemenea, computerele Windows din rețeaua dvs. de domiciliu pot face parte dintr-un grup de domiciliu, dar nu trebuie să fie.

Calculatoarele din rețelele de domiciliu fac de obicei parte din grupurile de lucru și, eventual, un grup de acasă, în timp ce computerele din rețelele de la locul de muncă fac de obicei parte din domenii. Pașii pe care trebuie să-i faceți variază în funcție de dacă computerul face parte dintr-un domeniu sau dintr-un grup de lucru.

În grupul de lucru:

· Toate computerele sunt noduri peer în rețea; niciun computer nu poate controla pe altul.

· Fiecare computer are mai multe conturi de utilizator. Pentru a vă conecta la orice computer care aparține unui grup de lucru, trebuie să aveți un cont pe acel computer.

· Un grup de lucru nu conține de obicei mai mult de douăzeci de computere.

· Grupul de lucru nu este protejat prin parolă.

· Toate computerele trebuie să fie în aceeași rețea locală sau subrețea.

În grupul de acasă:

· Calculatoarele din rețeaua dvs. de domiciliu trebuie să aparțină unui grup de lucru, dar pot fi și într-un grup de domiciliu. Grupul de acasă face mult mai ușor să partajați fotografii, muzică, videoclipuri, documente și imprimante cu alții.

· Grupul de acasă este protejat prin parolă, dar este introdus o singură dată când adăugați un computer la grupul de acasă.

In domeniul:

· Unul sau mai multe computere sunt servere. Administratorii de rețea folosesc servere pentru a controla securitatea și permisiunile pentru toate computerele dintr-un domeniu. Acest lucru facilitează modificarea setărilor, deoarece modificările sunt făcute automat pentru toate computerele. Utilizatorii domeniului trebuie să furnizeze o parolă sau alte acreditări de fiecare dată când accesează domeniul.

· Dacă un utilizator are un cont pe un domeniu, se poate conecta la orice computer. Pentru a face acest lucru, nu trebuie să aveți un cont pe computer în sine.

· Drepturile de modificare a setărilor computerului pot fi limitate deoarece administratorii de rețea doresc să se asigure că setările computerului sunt consecvente.

· Pot exista mii de computere într-un domeniu.

· Calculatoarele pot aparține unor rețele locale diferite.

Toți utilizatorii de domeniu noi devin membri ai grupului Utilizatori de domeniu; acesta este grupul lor principal. Puteți specifica apartenența pentru grupuri suplimentare utilizând parametrul -Memberof (trebuie să adăugați DN-ul grupului la acesta). Dacă grupul DN conține spații, acesta trebuie inclus între ghilimele, de exemplu:

  • dsadd utilizator „CN=u1,0U=Vânzări,DC=site1,DC=com” -membru al „CN=Operatori de rezervă,CN=Builtin,DC=cpandl,DC=com” „CN=Administratori DHCP,CN=Builtin,DC =site1,DC=com"

Aici este creat un cont de utilizator și apoi adăugat la grupurile Operatori de rezervă și Administratori DHCP. Este un proces în doi pași: mai întâi crearea unui cont și apoi configurarea apartenenței acestuia la grupuri. Dacă apare o eroare la inserarea în grupuri, DSADD USER va raporta că obiectul a fost creat, dar a apărut o eroare după ce a fost creat. Verificați sintaxa pentru setarea DN-ului grupului, apoi utilizați comanda DSMOD USER pentru a configura corect apartenența la grup a utilizatorului.

Din motive de securitate, este posibil să aveți nevoie și de următoarele setări atunci când vă creați contul de utilizator.

  • -Mustchpwd (da | nu) - implicit, utilizatorul nu trebuie să-și schimbe parola prima dată când se conectează, adică parametrul -mustchpwd este implicit. Dacă specificați -mustchpwd da, utilizatorul va trebui să-și schimbe parola prima dată când se conectează.
  • -Canchpwd (yes | by) - implicit utilizatorul își poate schimba parola, adică parametrul -canchpwd yes este implicit. Cu -canchpwd utilizatorul nu își va putea schimba parola.
  • -Pwdneverexpires (da | by) - -pwdneverexpires by este presupus în mod implicit, iar parola utilizatorului este expirată conform setărilor politicii de grup. Dacă setați -pwdneverexpires da, parola pentru acest cont nu va expira niciodată.
  • -Dezactivat (da | de) - implicit, de îndată ce creați un cont cu o parolă, acesta devine disponibil pentru utilizare (implică valoarea -dezactivat). Dacă specificați -disabled da, contul este dezactivat. Acest lucru va dezactiva temporar utilizarea acestui cont.

Să ne uităm la câteva exemple pentru a înțelege mai bine comanda DSADD USER.

Crearea unui cont pentru user1 în containerul Users al domeniului sit1.com și schimbarea obligatorie a parolei la prima conectare:

  • dsadd user "CN=Scott L. Bishop,CN=Utilizatori,DC=site1,DC=com" -fn Scott -mi L -In Bishop -samid "scottb" -display "user1" -pwd acornTree -mustchpwd yes

Crearea conturilor de utilizator locale

Conturile de utilizator locale sunt create pe computere individuale. Dacă doriți să creați un cont local pe un anumit computer, trebuie să vă conectați local sau de la distanță pentru a accesa

linie de comandă locală. Odată autentificat în sistemul dorit, puteți crea contul necesar folosind comanda NET USER. Uneori, politicile locale de computer vă permit să creați un cont pur și simplu după numele său și cu parametrul /Add, de exemplu:

net user user1 /add

Acum ați creat un cont local numit user1 cu o parolă goală. Deși parolele goale sunt acceptabile, ele reprezintă un risc de securitate pentru computer și, eventual, pentru rețea. Prin urmare, vă sfătuiesc să specificați un nume de utilizator și o parolă pentru noile conturi locale. Parola trebuie să urmeze numele contului.

Primesc multe e-mailuri de la cititori care descriu problemele pe care le întâmpină la crearea sau gestionarea conturilor. Mulți administratori se luptă pentru că omit din greșeală elemente importante în timpul configurării sau nu aderă la sistem. Așa că am decis să revizuiesc elementele de bază ale creării și gestionării conturilor și să vă ofer câteva sfaturi pentru a facilita procesul.

Un cont de utilizator conține un nume și o parolă pentru autentificarea la un computer sau domeniu local. În Active Directory (AD), un cont de utilizator poate conține și informații suplimentare, cum ar fi numele complet al utilizatorului, adresa de e-mail, numărul de telefon, departamentul și adresa fizică. În plus, contul de utilizator servește ca mijloc de a atribui permisiuni, scripturi de conectare, profiluri și directoare de acasă.

Conturi locale vs conturi de domeniu

Când utilizatorii se conectează la un computer local și nu la un domeniu, folosesc conturi locale. Într-un mediu de grup de lucru (peer-to-peer - peer-to-peer), conturile locale oferă funcționalitate de conectare pentru utilizatorii locali de computer și oferă utilizatorilor de la distanță acces la resursele computerului. Anumiți utilizatori, de exemplu, pot avea acces la datele de pe un server și pot folosi un cont local pentru a se conecta la un astfel de sistem.

Cu toate acestea, majoritatea conturilor de utilizator dintr-o rețea corporativă sunt bazate pe domenii și oferă drepturi și permisiuni la nivelul întregului domeniu. Cu excepția cazului în care contul de domeniu o interzice în mod specific, utilizatorii se pot conecta la domeniu cu un cont de domeniu pe orice stație de lucru. Odată înregistrați, utilizatorilor li se acordă permisiuni specifice pentru resursele de rețea pentru contul de domeniu.

Dar nu doar utilizatorii au conturi de domeniu. Într-un domeniu, conturile reprezintă înregistrări fizice care pot corespunde unui computer, unui utilizator sau unui grup. Conturile de utilizator, conturile de computer și conturile de grup sunt principale (autorizatori) - obiecte de servicii de director cărora li se atribuie automat SID-uri care determină accesul la resursele domeniului.

Cele mai importante două utilizări ale conturilor de domeniu sunt autentificarea utilizatorilor și a permite sau interzice accesul la resursele de domeniu. Autentificarea permite utilizatorilor să se înregistreze pe computere și domenii cu caracteristici care sunt autentificate de serviciile de domeniu. Un domeniu permite sau interzice accesul la resursele domeniului pe baza permisiunilor pe care le obține un utilizator prin apartenența la unul sau mai multe grupuri de domenii.

Conturi de domeniu încorporate

Când se creează un domeniu, Windows generează automat mai multe conturi de utilizator. Windows 2000 are încorporate conturi de administrator și invitat. Domeniile Windows Server 2003 au un al treilea cont încorporat numit HelpAssistant, care este creat automat prima dată când rulați Remote Assistance. Fiecare dintre aceste conturi încorporate are un set diferit de permisiuni.

Contul de administrator are un set de permisiuni Control total pentru toate resursele domeniului și poate atribui permisiuni utilizatorilor din domeniu. În mod implicit, contul de administrator este membru al următoarelor grupuri:

  • Administratorii
  • Administratorii domeniului
  • Utilizatori de domeniu
  • Administratorii întreprinderii
  • Proprietarii de creatori de politici de grup
  • Administratorii de schemă

Unii administratori redenumesc sau dezactivează contul de administrator pentru a îngreuna accesul utilizatorilor la controlerul de domeniu (DC). În schimb, administratorii s-ar putea înregistra cu conturi care sunt membri ai acelorași grupuri, ceea ce le-ar oferi drepturi suficiente pentru a administra domeniul. Dacă contul de administrator este dezactivat, puteți utiliza acest cont pentru a obține acces la DC, dacă este necesar, pornind DC în modul sigur (contul de administrator este întotdeauna disponibil în modul sigur).

Contul Guest permite utilizatorilor care nu au un cont să se înregistreze cu domeniul. Contul de oaspeți nu necesită o parolă, dar puteți seta permisiuni pentru acesta la fel cum ați proceda pentru orice cont de utilizator. Contul Guest este membru al grupurilor Guests și Domain Guests. Este clar că posibilitatea oricui care nu are un cont real de a se înregistra pe un domeniu creează un anumit risc, motiv pentru care majoritatea administratorilor nu folosesc acest cont. În Windows 2003, contul de invitat este dezactivat implicit. Pentru a dezactiva contul de invitat în Windows 2000, trebuie să faceți clic dreapta pe el în snap-in-ul Utilizatori și computere Active Directory Microsoft Management Console (MMC), apoi selectați Dezactivare din meniu.

Contul HelpAssistant a fost introdus numai în Windows 2003. Serviciul Remote Desktop Help Session Manager creează și gestionează acest cont atunci când un utilizator solicită o sesiune de asistență la distanță.

Creați conturi de utilizator de domeniu

Conturile de utilizator de domeniu sunt create pe DC ca o caracteristică a AD. Trebuie să deschideți snap-inul Active Directory Users and Computers, apoi extindeți domeniul corespunzător (dacă există mai multe dintre ele). Spre deosebire de Windows NT 4.0, Windows 2000 și Windows 2003 separă procesele de creare și configurare a conturilor: administratorul creează mai întâi un utilizator și parola asociată, apoi le configurează prin setarea apartenenței la grup.

Pentru a crea un nou utilizator de domeniu, faceți clic dreapta pe containerul Users, apoi selectați New, User pentru a deschide caseta de dialog New Object - User, pe care o arată Figura 1. În continuare, trebuie să introduceți un nume de utilizator și un nume de conectare. Windows adaugă automat sufixul domeniului curent la numele de conectare, care se numește sufixul principal al utilizatorului (sufixul UPN). Puteți crea sufixe UPN suplimentare și puteți selecta un sufix pentru noul utilizator în caseta combinată. De asemenea, puteți introduce un alt nume de utilizator pentru a vă înregistra în domeniu de pe computerele NT 4.0 și Windows 9.x (numele anterior este înlocuit implicit).

Apoi, faceți clic pe Următorul pentru a configura parola utilizatorului, așa cum se arată în Figura 2. În mod implicit, Windows îi obligă pe utilizatori să își schimbe parola data viitoare când se conectează, astfel încât pentru fiecare utilizator nou, puteți utiliza parola implicită a companiei și apoi le oferi utilizatorilor. opțiunea de a introduce o nouă parolă după prima auto-înregistrare. Apoi, trebuie să selectați opțiunile de parolă pe care doriți să le setați pentru acest utilizator. În cele din urmă, trebuie să faceți clic pe Următorul pentru a vedea o prezentare generală a setărilor selectate, apoi faceți clic pe Terminare pentru a crea contul de utilizator în AD.

Proprietățile contului utilizatorului

Pentru a configura sau modifica proprietățile unui cont de utilizator de domeniu, trebuie să îl selectați din listă și să faceți dublu clic pe butonul din dreapta al mouse-ului. Ecranul 3 arată categoriile de setări.

Fila Member Of controlează apartenența la grup a utilizatorului (și, prin urmare, permisiunile și drepturile utilizatorului în domeniu). În mod implicit, Windows plasează noul cont de utilizator în grupul Utilizatori de domeniu. Pentru unii utilizatori, acest lucru este suficient și nu trebuie făcut nimic altceva. Alți utilizatori, cum ar fi managerii de departamente sau personalul IT, trebuie să li se atribuie apartenența la grup care să le permită să îndeplinească sarcinile necesare. Pentru a seta apartenența la grup, faceți clic pe Adăugare, apoi selectați grupul potrivit pentru utilizatorul al cărui cont îl editați. Dacă grupurile încorporate nu oferă exact setul potrivit de permisiuni pentru nevoile dvs., ar trebui să vă creați propriile grupuri.

Crearea șabloanelor

Windows vă permite să copiați conturile de utilizator, făcând procesul de creare a șablonului mai rapid și mai eficient. Cel mai bun mod de a profita de această funcție este să creați un număr de șabloane de conturi de utilizator și apoi să transformați acele conturi în unele reale. Deoarece permisiunile și drepturile sunt cele mai importante (și potențial periculoase) proprietăți, ar trebui să creați șabloane în categorii în funcție de apartenența la grup. Veți începe cu un șablon pentru un utilizator standard (adică un membru numai al grupului de utilizatori de domeniu), apoi veți crea șabloane care au combinații specifice de apartenență la grup. De exemplu, puteți crea un șablon de utilizator numit Power cu apartenență la grupul Power Users fără restricții privind orele de conectare sau un șablon de utilizator numit DialUp cu setări predefinite de acces la linie telefonică. Ulterior, pe măsură ce sunt create conturi noi, puteți selecta un șablon potrivit și îl puteți modifica.

Am descoperit câteva tehnici utile pentru crearea și copierea șabloanelor:

  • atribuiți nume șabloanelor care încep cu 0, astfel încât să apară toate împreună în partea de sus a listei de fișiere utilizator;
  • atribuiți aceeași parolă tuturor șabloanelor;
  • dezactivați toate conturile șablon (faceți clic dreapta pe fișier, apoi selectați Dezactivați).

Pentru a crea un cont pentru un utilizator nou dintr-un șablon, faceți clic dreapta pe lista de șabloane, apoi selectați Copiere. În caseta de dialog Copiere obiect - Utilizator, trebuie să introduceți numele de utilizator și numele de conectare pentru intrarea nou creată, apoi faceți clic pe Următorul pentru a seta parola noului utilizator, așa cum este descris mai jos.

  1. Introduceți parola standard a companiei și atribuiți-o noului utilizator.
  2. Ștergeți parola nu expiră niciodată și contul este dezactivat celulele.
  3. Bifați caseta de selectare Utilizatorul trebuie să schimbe parola la următoarea conectare.
  4. Faceți clic pe Următorul, apoi pe Terminare.

Nu este nevoie să vă deranjați cu fila Membru, deoarece sistemul a copiat deja membrii grupului din șablonul de utilizator. În esență, dacă nu este nevoie să înregistrați numărul de telefon și adresa utilizatorului, nu puteți face nimic în filele rămase. Sistemul copiază toate atributele comune. Cu toate acestea, puteți adăuga alte atribute pentru copierea automată sau puteți împiedica copierea anumitor atribute prin modificarea schemei AD.

Katie Ivens- Editor al revistei Windows 2000. Ea a contribuit la peste 40 de cărți de calculator, inclusiv Windows 2000: The Complete Reference (Osborne/McGraw-Hill). Ea poate fi contactată la:



Vă recomandăm alte articole
Cum funcționează mineritul criptomonedei Procesul de extragere a criptomonedei
Cum funcționează mineritul criptomonedei Procesul de extragere a criptomonedei
Rezumatul unei lecții la grădiniță „Programatorul este un vrăjitor grozav”
Rezumatul unei lecții la grădiniță „Programatorul este un vrăjitor grozav”
Cum să treci verificarea când te conectezi la contul tău pe Aliexpress?
Cum să treci verificarea când te conectezi la contul tău pe Aliexpress?