Каждый компьютер с операционными системами Windows NT/2000/XP/2003 (если это не сервер, являющийся контроллером домена) имеет локальную базу данных учетных записей, называемую базой данных SAM. Эти БД обсуждались при описании модели безопасности "Рабочая группа". Локальные пользователи и особенно группы используются при назначении прав доступа к ресурсам конкретного компьютера даже в доменной модели безопасности. Общие правила использования локальных и доменных групп для управления доступом будут описаны ниже.
Управление доменными учетными записями пользователей
Доменные учетные записи пользователей (а также компьютеров и групп) хранятся в специальных контейнерах AD. Это могут быть либо стандартные контейнерыUsers для пользователей и Computers для компьютеров, либо созданное администратором Организационное подразделение (ОП). Исключение составляют учетные записи контроллеров домена, они всегда хранятся в ОП с названием Domain Controllers .
Рассмотрим на примерах процесс создания учетных записей пользователей в БД Active Directory и разберем основные свойства доменных учетных записей. Учетные записи для компьютеров создаются в процессе включения компьютера в домен.
Создание доменной учетной записи
Откроем административную консоль " Active Directory – пользователи и компьютеры ".
Щелкнем правой кнопкой мыши на контейнере, в котором будем создавать учетную запись, выберем в меню команду " Создать " и далее - " Пользователь ".
Заполним поля " Имя ", " Фамилия ", например, " Иван " и " Иванов " (в английской версии - First Name , Last Name ), поле " Полное имя " (Full Name ) заполнится само.
Введем " Имя входа пользователя " (User logon name ), например, User1 . К этому имени автоматически приписывается часть вида " @<имя домена> ", в нашем примере - " @world.ru " (полученное имя должно быть уникальным в масштабах леса).
В процессе формирования имени входа автоматически заполняется " Имя входа пользователя (пред-Windows 2000) " (User logon name (pre- Windows 2000) ), создаваемое для совместимости с прежними версиями Windows (данное имя должно быть уникально в масштабе домена). В каждой организации должны быть разработаны схемы именования пользователей (по имени, фамилии, инициалам, должности, подразделению и т.д.) В нашем примере получится имя "WORLD\User1 ". Нажмем кнопку " Далее " (рис. 6.43):
Рис. 6.43.
Вводим пароль пользователя (два раза, для подтверждения).
Укажем начальные требования к паролю:
Требовать смену пароля при следующем входе в систему (полезно в случае, когда администратор назначает пользователю начальный пароль, а затем пользователь сам выбирает пароль, известный только ему);
Запретить смену пароля пользователем (полезно и даже необходимо для учетных записей различных системных служб);
Срок действия пароля не ограничен (тоже используется для паролей учетных записей служб, чтобы политики домена не повлияли на функционирование этих служб, данный параметр имеет более высокий приоритет по сравнению с политиками безопасности);
Отключить учетную запись.
Рис. 6.44.
Получаем итоговую сводку для создаваемого объекта и нажимаем кнопку " Готово ".
Внимание ! В упражнениях лабораторных работ дается задание настроить политики, которые сильно понижают уровень требований к паролям и полномочиям пользователей:
отключается требование сложности паролей,
устанавливается минимальная длина пароля, равная 0 (т.е. пароль может быть пустым),
устанавливается минимальный срок действия паролей 0 дней (т.е. пользователь может в любой момент сменить пароль),
устанавливается история хранения паролей, равная 0 (т.е. при смене пароля система не проверяет историю ранее используемых паролей),
группе "Пользователи" дается право локального входа на контроллеры домена.
Данные политики устанавливаются исключительно для удобства выполнения упражнений, которые необходимо выполнять с правами простых пользователей на серверах-контроллерах домена. В реальной практике администрирования такие слабые параметры безопасности ни в коем случае устанавливать нельзя, требования к паролям и правам пользователей должны быть очень жесткими (политики безопасности обсуждаются далее в этом разделе).
Правила выбора символов для создания пароля:
длина пароля - не менее 7 символов;
пароль не должен совпадать с именем пользователя для входа в систему, а также с его обычным именем, фамилией, именами его родственников, друзей и т.д.;
пароль не должен состоять из какого-либо слова (чтобы исключить возможность подбора пароля по словарю);
пароль не должен совпадать с номером телефона пользователя (обычного или мобильного), номером его автомобиля, паспорта, водительского удостоверения или другого документа;
пароль должен быть комбинацией букв в верхнем и нижнем регистрах, цифр и спецсимволов (типа @#$%^*&()_+ и т.д.).
И еще одно правило безопасности - регулярная смена пароля (частота смены зависит от требований безопасности в каждой конкретной компании или организации). В доменах Windows существует политика, определяющая срок действия паролей пользователей.
Я получаю от читателей множество писем с описанием проблем, с которыми они сталкиваются при создании или управлении учетными записями. Многие администраторы испытывают затруднения из-за того, что неосторожно пропускают важные элементы при настройке или не придерживаются системы. Поэтому я решила еще раз обратиться к основам создания и управления учетными записями и дать несколько советов, которые помогут упростить эти процессы.
Пользовательская учетная запись содержит имя и пароль для регистрации на локальном компьютере или в домене. В Active Directory (AD) учетная запись пользователя может также содержать дополнительную информацию, такую как полное имя пользователя, адрес электронной почты, номер телефона, отдел и физический адрес. Кроме того, учетная запись пользователя служит средством для назначения разрешений, сценариев регистрации, профилей и домашних каталогов.
Локальные учетные записи против доменных
Когда пользователи регистрируются на локальном компьютере, а не в домене, они задействуют локальные учетные записи. В среде рабочих групп (с равноправными узлами - P2P) локальные учетные записи обеспечивают функции регистрации для пользователей локальных компьютеров и предоставляют удаленным пользователям доступ к ресурсам компьютера. Определенные пользователи, например, могут иметь доступ к данным на сервере и применять локальную учетную запись для регистрации на такой системе.
Однако большинство пользовательских учетных записей в корпоративной сети являются доменными и предоставляют права и разрешения в масштабах домена. Если только доменная учетная запись явно не запрещает этого, пользователи могут регистрироваться в домене с доменной учетной записью на любой рабочей станции. После регистрации пользователи получают конкретные разрешения по отношению к сетевым ресурсам для доменной учетной записи.
Но доменные учетные записи имеют не только пользователи. В домене учетные записи представляют физические записи, которые могут соответствовать компьютеру, пользователю или группе. Пользовательские учетные записи, учетные записи компьютеров и учетные записи групп являются принципалами (элементами доступа) - объектами службы каталогов, автоматически получающими идентификаторы SID, которые и определяют доступ к ресурсам домена.
Два наиболее важных применения доменных учетных записей - аутентификация пользователей и разрешение или отказ в доступе к ресурсам домена. Аутентификация позволяет пользователям регистрироваться на компьютерах и в доменах с характеристиками, подлинность которых установлена службами домена. Домен разрешает или запрещает доступ к доменным ресурсам на основании разрешений, получаемых пользователем через членство в одной или нескольких доменных группах.
Встроенные доменные учетные записи
Когда создается домен, Windows автоматически генерирует несколько пользовательских учетных записей. В Windows 2000 встроенными являются учетные записи Administrator и Guest. Домены Windows Server 2003 имеют третью встроенную учетную запись с именем HelpAssistant, которая автоматически создается при первом запуске функции Remote Assistance. Каждая из этих встроенных учетных записей имеет разный набор разрешений.
Учетная запись Administrator имеет набор разрешений Full Control на все ресурсы домена и может назначать разрешения пользователям в домене. По умолчанию учетная запись Administrator является членом следующих групп:
- Administrators
- Domain Admins
- Domain Users
- Enterprise Admins
- Group Policy Creator Owners
- Schema Admins
Некоторые администраторы переименовывают или отключают учетную запись Administrator, чтобы усложнить пользователям доступ к контроллеру домена (DC). Вместо этого администраторы могли бы регистрироваться с учетными записями, которые являются членами тех же групп, что давало бы им достаточно прав для администрирования домена. Если учетную запись Administrator отключить, при необходимости получение доступа к DC можно будет пользоваться этой учетной записью, загружая DC в режиме Safe Mode (учетная запись Administrator всегда доступна в режиме Safe Mode).
Учетная запись Guest позволяет регистрироваться в домене пользователям, не имеющим учетной записи. Учетная запись Guest не требует пароля, но можно установить для нее разрешения точно так же, как для любой пользовательской учетной записи. Учетная запись Guest является членом групп Guests и Domain Guests. Понятно, что возможность регистрироваться в домене любому лицу, не имеющему реальной учетной записи, создает определенный риск, поэтому большинство администраторов эту учетную запись не используют. В Windows 2003 учетная запись Guest по умолчанию отключена. Для того чтобы отключить учетную запись Guest в Windows 2000, нужно щелкнуть по ней правой кнопкой в оснастке Microsoft Management Console (MMC) Active Directory Users and Computers, затем в меню выбрать Disable.
Учетная запись HelpAssistant появилась только в Windows 2003. Служба Remote Desktop Help Session Manager создает эту учетную запись и управляет ею, когда пользователь запрашивает сеанс Remote Assistance.
Создаем учетные записи пользователя домена
Учетные записи пользователей домена создаются на DC как функция AD. Необходимо открыть оснастку Active Directory Users and Computers, затем раскрыть подходящий домен (если их несколько). В отличие от Windows NT 4.0, в Windows 2000 и Windows 2003 процессы создания и настройки учетных записей разделены: сначала администратор создает пользователя и соответствующий пароль, затем выполняет настройку, задавая членство в группах.
Чтобы создать нового пользователя домена, следует щелкнуть правой кнопкой по контейнеру Users, затем выбрать New, User, чтобы открыть диалоговое окно New Object - User, изображенное на экране 1. Далее требуется ввести имя пользователя и регистрационное имя. Windows автоматически добавляет к регистрационному имени суффикс текущего домена, который называется суффиксом принципала пользователя (UPN-суффиксом). Можно создать дополнительные UPN-суффиксы и выбрать суффикс для нового пользователя в поле со списком. Можно также ввести другое имя пользователя для регистрации в домене с компьютеров NT 4.0 и Windows 9.x (по умолчанию подставляется предыдущее имя).
Далее следует щелкнуть Next, чтобы выполнить настройку пароля пользователя, как показано на экране 2. По умолчанию Windows вынуждает пользователей менять пароль при следующей регистрации, поэтому для каждого нового пользователя можно брать некий стандартный пароль компании, а затем дать пользователям возможность ввести новый пароль после первой самостоятельной регистрации. Далее следует выбрать параметры пароля, которые нужно задать для этого пользователя. Наконец, требуется щелкнуть Next, чтобы увидеть общую картину выбранных настроек, затем щелкнуть Finish, чтобы создать учетную запись пользователя в AD.
Свойства учетной записи пользователя
Чтобы выполнить настройку или изменить свойства учетной записи пользователя домена, необходимо выбрать ее в списке и дважды щелкнуть правой кнопкой мыши. На экране 3 видны категории настройки.
Вкладка Member Of управляет членством пользователя в группах (и, следовательно, разрешениями и правами пользователя в домене). По умолчанию Windows помещает учетную запись нового пользователя в группу Domain Users. Для одних пользователей этого достаточно, и больше ничего делать не нужно. Другим пользователям, например руководителям отделов или ИT-персоналу, нужно обеспечить такое членство в группах, которое позволило бы им выполнять необходимые задачи. Чтобы установить членство в группе, следует щелкнуть Add, затем выбрать для пользователя, учетная запись которого редактируется, подходящую группу. Если встроенные группы не обеспечивают точно соответствующего имеющимся требованиям набора разрешений, следует сформировать собственные группы.
Создаем шаблоны
Windows позволяет копировать учетные записи пользователей, что делает процесс создания шаблонов более быстрым и эффективным. Наилучший способ воспользоваться преимуществами этой функции - создать ряд шаблонов учетных записей пользователей, а потом превращать эти учетные записи в реальные. Поскольку разрешения и права являются наиболее важными (и потенциально опасными) свойствами, следует создавать шаблоны в категориях в соответствии с членством в группах. Начать нужно с шаблона для стандартного пользователя (т. е. члена только группы Domain Users), затем следует создать шаблоны, имеющие конкретные комбинации принадлежности к группам. Например, можно создать шаблон пользователя под именем Power с принадлежностью к группе Power Users без ограничений часов регистрации или шаблон пользователя под именем DialUp с заранее установленными параметрами коммутируемого доступа. Впоследствии, по мере создания новых учетных записей, можно выбирать подходящий шаблон и модифицировать его.
Я обнаружила несколько полезных приемов создания и копирования шаблонов:
- присваивать шаблонам имена, которые начинаются с 0, чтобы они все вместе появлялись поверх списка пользовательских файлов;
- назначать всем шаблонам один и тот же пароль;
- отключать все учетные записи шаблонов (щелкнуть правой кнопкой файл, затем выбрать Disable).
Для того чтобы создать учетную запись для нового пользователя из шаблона, следует щелкнуть правой кнопкой по списку шаблонов, затем выбрать Copy. В диалоговом окне Copy Object - User нужно ввести имя пользователя и регистрационное имя для вновь создаваемой записи, затем щелкнуть Next, чтобы задать пароль нового пользователя, как описано ниже.
- Введите стандартный пароль компании и назначьте его новому пользователю.
- Очистите ячейки Password never expires (срок действия не ограничен) и Account is disabled (учетная запись отключена).
- Поставьте флажок User must change password at next logon.
- Щелкните Next, затем Finish.
Не стоит возиться с вкладкой Member Of, поскольку система уже скопировала членство в группах из шаблона пользователя. По сути, если нет необходимости записывать телефон и адрес пользователя, на оставшихся вкладках можно ничего не делать. Система копирует все общие атрибуты. Однако можно добавить для автоматического копирования другие атрибуты или сделать так, чтобы определенные атрибуты не копировались, модифицируя схему AD.
Кэти Ивенс - редактор Windows 2000 Magazine. Участвовала в написании более 40 книг по компьютерной тематике, включая «Windows 2000: The Complete Reference» (Osborne/McGraw-Hill). С ней можно связаться по адресу:
Учетные записи пользователей
В Windows Server 2003 определены пользовательские учетные записи двух типов:
Доменные учетные записи (domain user accounts ) определены в Active Directory . Посредством системы однократного ввода пароля такие учетные записи могут обращаться к ресурсам во всем домене. Они создаются в консоли Active Directory - пользователи и компьютеры (Active Directory Users and Computers ).
Локальные учетные записи (local user accounts ) определены на локальном компьютере, имеют доступ только к его ресурсам и должны аутентифицироваться, прежде чем получат доступ к сетевым ресурсам. Локальные учетные записи пользователей создают в оснастке Локальные пользователи и группы (Local Users and Groups ).
Локальные учетные записи пользователей и групп хранятся только на рядовых серверах и рабочих станциях. На первом контроллере домена они перемещаются в Active Directory и преобразуются в доменные учетные записи.
Имена для входа в систему, пароли и открытые сертификаты
Все учетные записи пользователей распознаются по имени для входа в систему. В Windows Server 2003 оно состоит из двух частей:
имя пользователя - текстовое имя учетной записи;
домен или рабочая группа ,в которых находится учетная запись.
Для пользователя w e stanec , учетная запись которого создана в домене microsoft.com, полное имя для входа в WindowsServer 2003 выглядит так - we stane c @microsoft.com. При работе с Active Directory иногда требуется полное имя домена (fully qualified domain name , FQDN ) пользователя, состоящее из DNS-имени домена в сочетании с именами контейнера (или ОП) и группы. У пользователя microsoft.соm \ Users\w e stane c , microsoft.com - DNS-имя домена, Users -- имя контейнера, a w e stane c - имя пользователя.
С учетной записью пользователя могут сопоставляться пароль и открытый сертификат (public certificate ). В открытом сертификате сочетаются открытый и закрытый ключ для идентификации пользователя. Вход в систему по паролю проходит интерактивно. При входе в систему с открытым сертификатом используются смарт-карта и считывающее устройство.
Идентификаторы безопасности и учетные записи пользователей
Хотя для назначения привилегий и разрешений в Windows Server 2003 применяются имена пользователей, ключевым идентификатором учетной записи является генерируемый при e ё создании уникальный идентификатор безопасности (security identifier , SID). Он состоит из идентификатора безопасности домена и уникального относительного идентификатора, который был выделен хозяином относительных идентификаторов.
С помощью SID Windows Server 2003 способна отслеживать учетные записи независимо от имен пользователей. Благодаря наличию SID можно изменять имена пользователей и удалять учетные записи, не беспокоясь, что кто-то получит доступ к ресурсам, создав учетную запись с тем же именем.
Когда изменяется имя пользователя, Windows Server 2003 сопоставляет прежний SID с новым именем. При удалении учетной записи, Windows Server 2003 считает, что конкретный SID больше недействителен. Если затем создать учетную запись с тем же именем, она не получит привилегий предыдущей записи, так как у нее иной SID.
Учетные записи групп
Помимо учетных записей пользователя в Windows Server 2003 используются группы, позволяющие автоматически предоставлять разрешения схожим типам пользователей и упростить администрирование учетных записей. Если пользователь - член группы, которая вправе обращаться к ресурсу, то он тоже может к нему обратиться. Чтобы предоставить пользователю доступ к нужным ресурсам, достаточно просто включаете его в подходящую группу. Поскольку в разных доменах Active Directory могут быть группы с одинаковыми именами, на группы часто ссылаются по полному имени - домен\имя_группы , например, WORK\GMarketing соответствует группе GMarketing в домене WORK. При работе с Active Directory к группе иногда нужно обращаться по полному имени, состоящему из DNS-имени домена, имени контейнера или ОП и имени группы. В имени группы microsoft.com\Us e rs\GMarkcting , microsoft.com - DNS- имя домена, Users - контейнер или ОП, a GMarketing - имя группы.
Служащим отдела маркетинга скорее всего понадобится доступ ко всем ресурсам, связанным с маркетингом. Вместо того чтобы открывать доступ к ним индивидуально, стоит объединить пользователей в группу. Если позже пользователь перейдет в другой отдел достаточно будет его просто исключить из группы, и все разрешения доступа будут отозваны.
Типы групп
В Windows Server 2003 используются группы трех типов:
Локальные группы (local groups ) определяются и используются только на локальном компьютере, создаются в оснастке Локальные пользователи и группы (Local Users and Groups );
Группы безопасности (security groups ) располагают дескрипторами защиты и определяются в доменах посредством консоли Active Directory - пользователи и компьютеры (Active Directory Users and Computers );
Группы распространения (distribution groups ) используются как списки рассылки электронной почты, не имеют дескрипторов безопасности и определяются в доменах посредством консоли Active Directory - пользователи и компьютеры (Active Directory Users and Computers ).
Область действия группы
У групп возможны разные области действия - локальная доменная (domain local ), встроенная локальная (built - in local ), глобальная (global ) и универсальная (universal ). От этого зависит, в какой части сети они действительны.
Локальные доменные группы предоставляют разрешения в одном домене, В состав локальных доменных групп входят лишь учетные записи (и пользователей, и компьютеров) и группы из домена, в котором они определены.
Встроенные локальные группы обладают особыми разрешениями в локальном домене. Для простоты их часто называют локальными доменными группами, но в отличие от обычных групп, встроенные локальные группы нельзя создать или удалить - можно лишь изменить их состав. Как правило, говоря о локальных доменных группах, имеют в виду обычные, и встроенные локальные группы, если не указано обратное.
Глобальные группы используются для назначения разрешений на доступ к объектам в любом домене дерева или леса. В глобальную группу входят только учетные записи и группы из домена, в котором они определены.
Универсальные группы управляют разрешениями во всем дереве или лесе; в них входят учетные записи и группы из любого домена в дереве или лесе домена. Универсальные группы доступны только в Active Directory в основном режиме Windows 2000 или в режиме Windows Server 2003.
Универсальные группы очень полезны на больших предприятиях, имеющих несколько доменов. Состав универсальных групп не должен часто меняться, так как любое изменение надо реплицировать во все глобальные каталоги (ГК) в дереве или лесе.
Идентификаторы безопасности и учетные записи групп
В Windows Server 2003 учетные записи групп, как и учетные записи пользователей, различаются по уникальным идентификаторам безопасности (SID). Это значит, что нельзя удалить учетную запись группы, а затем создать группу с тем же именем, чтобы у нее появились прежние разрешения и привилегии. У новой группы будет новый SID, и все разрешения и привилегии старой группы будут утеряны.
Для каждого сеанса пользователя в системе Windows Server 2003 создает маркер безопасности, содержащий идентификатор учетной записи пользователя и SID всех групп безопасности, к которым относится пользователь. Размер маркера растет по мере того, как пользователь добавляется в новые группы безопасности. Это приводит к следующим последствиям:
Чтобы пользователь вошел в систему, маркер безопасности должен быть передан процессу входа в систему. Поэтому по мере увеличения членства пользователя в группах безопасности процесс входа требует все больше времени;
Чтобы выяснить разрешения доступа, маркер безопасности пересылается на каждый компьютер, к которому обращается пользователь. Поэтому чем больше маркер безопасности, тем выше сетевой трафик.
Когда использовать локальные доменные, глобальные и универсальные группы
Локальные доменные, глобальные и универсальные группы содержат множество параметров для настройки групп в масштабе предприятия. В идеале следует использовать области действия групп для создания ие рархий, схожих со структурой организации и обязанностями групп пользователей.
Локальные доменные группы обладают наименьшей сферой влияния и хорошо подходят для управления доступом к таким ресурсам, как принтеры и общие папки.
Глобальные группы оптимальны для управления учетными записями пользователей и компьютеров в отдельном домене.
Универсальные группы обладают самой широкой сферой влияния. Они используются для централизации групп, определенных в нескольких доменах. Обычно для этого в универсальную группу добавляется глобальная группа. Тогда при изменении состава глобальных групп изменения не будут реплицироваться во все ГК, поскольку формально состав универсальных групп не меняется.
Если в организации всего один домен, универсальные группы не нужны; рекомендуется использовать структуру на локальных доменных и глобальных группах.
Стандартные учетные записи пользователей и групп
При установке Windows Server 2003 создаются стандартные учетные записи пользователей и группы. Они предназначены для начальной настройки, необходимой для развития сети, Вот три типа стандартных учетных записей:
встроенные (built-in ) учетные записи пользователей и групп устанавливаются вместе с ОС, приложениями и службами;
предопределенные (predefined ) учетные записи пользователей и групп устанавливаются вместе с ОС;
неявные (implicit ) - специальные группы, создаваемые неявно при обращении к сетевым ресурсам; их также называют специальными объектами (special identities ).
Удалить пользователей и группы, созданные ОС, нельзя.
Встроенные учетные записи
У встроенных учетных записей пользователей в Windows Server 2003 есть особые цели. Все системы Windows Server 2003 обладают тремя встроенными учетными записями.
Локальная система (Local System ) - учетная псевдозапись для выполнения системных процессов и обработки задач системного уровня, доступная только па локальной системе. Эта запись обладает правом Вход в качестве службы (Log on as a service ). Большинство служб работает под локальной системной учетной записью и имеет право взаимодействовать с рабочим столом.
Службы, которым требуются дополнительные привилегии или права входа, работают под учетными записями Local Service или Network Service .
Local Service -учетная псевдозапись для запуска служб, которым необходимы дополнительные привилегии или права входа на локальной системе. Службы, которые работают под этой учетной записью, по умолчанию обладают правами и привилегиями на вход в качестве службы, на изменение системного времени и на создание журналов безопасности. К службам, работающим от имени учетной записи Local Service , относятся Оповещатель (Alerter ), Служба сообщений (Messenger ), Удаленный реестр (Remote Registry ), Смарт-карта (Smart Card ), Модуль поддержки смарт-карт (Smart Card Helper ), Служба обнаружения SSDP (SSDP Discovery Service ), Модуль поддержки NetBIOS через TCP/IP (TCP/IP NetBIOS Helper ), Источник бесперебойного питания (Uninterruptible Power Supply ) и Веб-клиент (WebClient ).
Network Service - учетная псевдозапись для служб, которым требуются дополнительные привилегии или права входа на локальной системе и в сети. Службы, которые работают под этой учетной записью, обладают правами на вход в качестве службы, изменение системного времени и создание журналов безопасности. Под учетной записью Network Service работают такие службы, как Координатор распределенных транзакций (Distributed Transaction Coordinator ), DNS -клиент(DNS Client ), Журналы и оповещения производительности (Performance Logs and Alerts ) и Локатор удаленного вызова процедур (Remote Procedure Call Locator ). При устанавливке па сервере дополнений или других приложений, разрешается установить и другие учетные записи по умолчанию. Обычно их можно потом удалить. После установки IIS (Internet Information Services ), появляются новые учетные записи: первая - встроенная учетная запись для анонимного доступа к IIS, а вторая служит IIS для запуска прикладных процессов. Эти учетные записи определяются в Active Directory , когда они настроены в домене, и как локальные учетные записи, когда они настроены на изолированном сервере или рабочей станции. Еще одна встроенная учетная запись, - TSInt e rnetUser - требуется службам терминала.
Предопределенные учетные записи пользователей
Вместе с Windows Server 2003 устанавливаются некоторые записи: Администратор (Administrator ), Гость (Guest ), ASPNET и Support . На рядовых серверах предопределенные учетные записи являются локальными для той системы, где они установлены. У предопределенных учетных записей есть аналоги в Active Directory , которые имеют доступ по всему домену и совершенно независимы от локальных учетных записей на отдельных системах.
Учетная запись Администратор (Administrator )
Эта предопределенная учетная запись обладает полным доступом к файлам, папкам, службам и другим ресурсам; ее нельзя отключить или удалить. В Active Directory она обладает доступом и привилегиями во всем домене. В остальных случаях Администратор (Administrator ) обычно имеет доступ только к локальной системе. Файлы и папки можно временно закрыть от администратора, но он имеет право в любой момент вернуть себе контроль над любыми ресурсами, сменив разрешения доступа.
Чтобы предотвратить несанкционированный доступ к системе или домену, у административной записи должен быть надежный пароль. Кроме того, стандартное имя этой записи всем известно, поэтому рекомендуется переименовать ее.
Обычно менять основные параметры учетной записи Администратор (Administrator ) не требуется, однако иногда следует сменить такие дополнительные параметры, как ее членство в некоторых группах. По умолчанию администратор в домене включен в группы Администраторы (Administrators ), Администраторы домена (Domain Admins ), Пользователи домена (Domain Users ), Администраторы предприятия (Enterprise Admins ), Администраторы схемы (Schema Admins ) и Владельцы-создатели групповой политики (Group Policy Creator Owners ).
Учетная запись ASPNET
Учетная запись ASPNET используется в NET Framework и предназначена для запуска рабочих процессов ASP.NET. Она является членом группы Пользователи домена (Domain Users ) и в этом качестве имеет те же привилегии, что и обычные пользователи в домене.
Учетная запись Гость (Guest )
Эта учетная запись предназначена для пользователей, которым нужен разовый или редкий доступ к ресурсам компьютера или сети. Гостевая учетная запись обладает весьма ограниченными системными привилегиями, тем не менее применять ее нужно с осторожностью, поскольку она потенциально снижает безопасность. Поэтому запись Гость (Guest ) при установке Windows Server 2003 изначально отключена.
Учетная запись Гость (Guest ) по умолчанию является членом групп Гости домена (Domain Guests ) и Гости (Guests ). Важно отметить, что все гостевые учетные записи являются членами неявной группы В се (Everyone ), которая обычно по умолчанию имеет доступ к файлам и папкам и располагает стандартным набором прав пользователя.
Учетная запись Support
Учетная запись Support применяется встроенной службой Справка и поддержка (Help and Support ). Она является членом групп HelpServicesGroup и Пользователи домена (Domain Users ) и имеет право входа в качестве пакетного задания. Это позволяет учетной записи Support выполнять пакетные задания, связанные с обновлением системы.
Встроенные и предопределенные группы
Встроенные группы устанавливаются со всеми системами Windows Server 2003. Чтобы предоставить пользователю привилегии и разрешения встроенной группы, достаточно включить его в ее состав.
Например, чтобы дать пользователю административный доступ к системе, его нужно включить в локальную группу Администраторы (Administrators ). Чтобы дать пользователю административный доступ к домену, его нужно включить в локальную доменную группу Администраторы (Administrators ) в Active Directory .
Неявные группы и специальные идентификаторы
В Windows NT неявные группы назначались автоматически при входе в систему, на основе того, как пользователь обращался к сетевому ресурсу. Так, если он обращался через интерактивный вход, то автоматически становился участником неявной группы Интерактивные (Interactive ).
В Windows 2000 и Windows Server 2003 объектный подход к структуре каталога изменил первоначальные правила для неявных групп. Хотя по-прежнему нельзя просмотреть состав неявных системных групп, в них можно включать пользователей, группы и компьютеры.
Состав специальной встроенной группы может настраиваться неявно, например, при входе в систему, или явно - через разрешения доступа. Как и в случае других стандартных групп, доступность неявных групп зависит от конфигурации сети.
Возможности учетных записей
Чтобы назначить пользователю те или иные права, достаточно добавить его в группы, а чтобы лишить - удалить его из соответствующих групп.
В Windows Server 2003 учетной записи можно назначить следующие типы прав.
Привилегия (privilege ) позволяет выполнять определенную административную задачу, например отключать систему. Привилегии можно назначать как пользователям, так и группам.
Права на вход в систему (logon rights ) определяют возможность входа в систему, например, локально. Права на вход разрешается назначить и пользователям, и группам.
Встроенные возможности (built-in capabilities ) предназначены для групп. Они предопределены и неизменны, но их допустимо делегировать пользователям с разрешением управлять объектами, ОП или другими контейнерами. Например, возможность создавать и удалять учетные записи пользователей, а также управлять ими дается администраторам и операторам учета. Иными словами, пользователь, включенный в состав группы Администраторы (Administrators ), получает право создавать и удалять учетные записи пользователей.
Разрешения доступа (access permissions ) определяют, какие действия можно выполнять с сетевыми ресурсами, например, создавать файл в папке. Можно назначать разрешения доступа пользователям, компьютерам и группам.
Нельзя менять встроенные возможности группы, но можно изменить ее стандартные права. Так, администратор может отменить сетевой доступ к компьютеру, удалив право группы па доступ к этому компьютеру из сети.
Стандартные учетные записи групп
Главное свойство стандартных групп - гибкость. Если назначить пользователей в правильные группы, управлять рабочими группами или доменами Windows Server 2003 будет гораздо легче. Однако в таком разнообразии групп понять назначение каждой из них непросто. Рассмотрим подробнее группы, используемые администраторами, и неявные группы.
Административные группы
Администратор обладает широким доступом к сетевым ресурсам. Администраторы могут создавать учетные записи, изменять права пользователя, устанавливать принтеры, управлять общими ресурсами и т. н. Основные группы администраторов: Администраторы (Administrators ), Администраторы домена (Domain Admins ) и Администраторы предприятия (Enterprise Admins ).
Администраторы (Administrators ) - локальная группа, в зависимости от ее расположения предоставляющая полный административный доступ к отдельному компьютеру или конкретному домену. Чтобы назначить кого-то администратором локального компьютера или домена, достаточно включить его в данную группу. Изменять эту учетную запись вправе только члены группы Администраторы (Administrators ).
Глобальная группа Администраторы домена (Domain Admins ) призвана помочь в администрировании всех компьютеров в домене. У этой группы есть административный контроль над всеми компьютерами в домене, поскольку по умолчанию она входит в группу Администраторы (Administrators ).
Глобальная группа Администраторы предприятия (Enterprise Admins ) позволяет администрировать все компьютеры в дереве или лесу. Она имеет административный контроль над всеми компьютерами на предприятии, так как по умолчанию включена в группу Администраторы (Administrators ).
Неявные группы
В Windows Server 2003 есть несколько встроенных системных групп, позволяющих назначить разрешения в конкретных ситуациях. Разрешения для таких групп обычно определяются неявно, но можно назначать их самостоятельно, при изменении объектов Active Directory .
Self - содержит сам объект и позволяет ему изменять себя.
Анонимный вход (Anonymous Logon ) - пользователи, обращающиеся к системе через анонимный вход. Применяется для анонимного доступа к таким ресурсам, как Web-страницы на серверах предприятия.
Все (Everyone ) - все интерактивные, сетевые, коммутируемые и прошедшие проверку пользователи. Эта группа предоставляет широкий доступ к системным ресурсам.
Группа-создатель (Creator Group ) - группа, применяемая для автоматического предоставления разрешений доступа пользователям, которые являются членами той же группы (групп), что и создатель файла или папки.
Интерактивные (Interactive ) - пользователи, зарегистрировавшиеся локально. Позволяет разрешить доступ к ресурсу только локальным пользователям.
Контроллеры домена предприятия (Enterprise Domain Controllers ) - контроллеры домена с ролями и обязательствами, действующими на всем предприятии. Включение в эту группу позволяет контроллерам выполнять определенные задачи с использованием транзитивного доверия.
Ограниченные (Restricted ) - пользователи и компьютеры с ограниченным доступом. На рядовом сервере или рабочей станции в эту группу включается локальный пользователь из группы Пользователи (Users ).
Пакетные файлы (Batch ) - пользователи или процессы, обращающиеся к системе как пакетное задание (или через пакетную очередь).
Пользователь служб терминалов (Terminal Server User ) - Пользователи, обращающиеся к системе через службы терминалов. Позволяет пользователям сервера терминалов обращаться к приложениям сервера и выполнять другие задачи.
Прокси (Proxy ) - пользователи и компьютеры, обращающиеся к ресурсам через прокси-сервер (применяется, когда в сети есть прокси-серверы ).
Прошедшие проверку (Authenticated Users ) - пользователи, обращающиеся к системе через процесс входа. Применяется для организации доступа к общим ресурсам и домене , например к файлам в общей папке, которые должны быть доступны всем сотрудникам организации.
Сеть (Network ) - пользователи, обращающиеся к системе через сеть. Позволяет разрешить доступ к ресурсу только удаленным пользователям.
Система (System ) - сама ОС Windows Server 2003. Используется, когда ОС нужно выполнить функцию системного уровня.
Служба (Service ) - службы, обращающиеся к системе. Предоставляет доступ к процессам, выполняемым службами Windows Server 2003.
Создатель-владелец (Creator Owner ) - пользователь, создавший данный файл или папку. Применяется для автоматического предоставления разрешений создателю файла или папки.
Удаленный доступ (Dial-Up ) - пользователи, обращающиеся к системе через коммутируемое соединение.
Применение учетных записей пользователей позволяет упростить работу нескольких человек на одном компьютере. Каждый пользователь может иметь отдельную учетную запись с собственными параметрами, такими как фон рабочего стола и экранная заставка. Учетные записи определяют, к каким файлам и папкам имеют доступ пользователи, и какие изменения они могут выполнять на компьютере. Для большинства пользователей используются обычные учетные записи.
Домены, рабочие группы и домашние группы представляют разные методы организации компьютеров в сети. Основное их различие состоит в том, как осуществляется управление компьютерами и другими ресурсами.
Компьютеры под управлением Windows в сети должны быть частью рабочей группы или домена. Компьютеры под управлением Windows в домашней сети также могут быть частью домашней группы, но это не обязательно.
Компьютеры в домашних сетях обычно входят в состав рабочих групп и, возможно, домашней группы, а компьютеры в сетях на рабочих местах - в состав доменов. Действия, которые потребуется выполнить, различаются в зависимости от того, входит ли компьютер в домен или рабочую группу.
В рабочей группе:
· Все компьютеры являются одноранговыми узлами сети; ни один компьютер не может контролировать другой.
· На каждом компьютере находится несколько учетных записей пользователя. Чтобы войти в систему любого компьютера, принадлежащего к рабочей группе, необходимо иметь на этом компьютере учетную запись.
· В составе рабочей группы обычно насчитывается не больше двадцати компьютеров.
· Рабочая группа не защищена паролем.
· Все компьютеры должны находиться в одной локальной сети или подсети.
В домашней группе:
· Компьютеры в домашней сети должны принадлежать рабочей группе, но они также могут состоять в домашней группе. С помощью домашней группы предоставлять доступ к рисункам, музыке, видео, документам и принтерам другим пользователям намного проще.
· Домашняя группа защищена паролем, но он вводится только один раз при добавлении компьютера в домашнюю группу.
В домене:
· Один или несколько компьютеров являются серверами. Администраторы сети используют серверы для контроля безопасности и разрешений для всех компьютеров домена. Это позволяет легко изменять настройки, так как изменения автоматически производятся для всех компьютеров. Пользователи домена должны указывать пароль или другие учетные данные при каждом доступе к домену.
· Если пользователь имеет учетную запись в домене, он может войти в систему на любом компьютере. Для этого не требуется иметь учетную запись на самом компьютере.
· Права изменения параметров компьютера могут быть ограничены, так как администраторы сети хотят быть уверены в единообразии настроек компьютеров.
· В домене могут быть тысячи компьютеров.
· Компьютеры могут принадлежать к различным локальным сетям.
В этом разделе рассматриваются методы ведения учетных записей пользователей и возможности, предоставляемые для
этого Exchange.
Создание учетных записей пользователей, подключенных к почтовым ящикам, и пользователей, подключенных к почте
Для каждого пользователя, который хочет работать с сетевыми ресурсами, необходимо создать учетную запись. Рассмот рим, как настроить доменные учетные записи, подключенные к почтовым ящикам, и доменные учетные записи, подключенные к почте. Если пользователю требуется отправлять и принимать электронную почту, то необходимо создать учетную "запись, подключенную к почтовому ящику. В противном случае достаточно учетной записи, подключенной к почте.
Понятия имен входа и паролей
Прежде чем создавать доменную учетную запись, следует по
думать о новом имени входа и пароле. Все доменные
учетные записи распознаются по имени входа. Оно может
совпадать (хотя это не обязательно) с адресом электронной
почты пользователя. В доменах Windows имя входа состоит
из двух частей:
- User name (Имя пользователя) - текстовая метка учетной записи;
- User domain (Домен пользователя) - домен, в котором находится учетная запись пользователя.
Полное имя входа Windows для пользователя williams в
домене adatum.com [email protected].
С учетными записями
пользователей могут быть связаны пароли и открытые
сертификаты (public certificates). Пароль - это символьная
строка для подтверждения прав доступа учетной записи.
Открытый сертификат представляет собой комби-Нацию двух
ключей (открытого и секретного) для идентификации
пользователя. Вход с применением пароля осуществляется в
диалоговом режиме, вход с рименением открытого сертификата - с помощью смарт-карты и устройства считывания
смарт-карт.
Хотя при описании прав и разрешений Windows выводит на экран имена пользователей, ключевыми идентификаторами учетных записей являются идентификаторы безопасности (security identifiers, SID). SID - это уникальный идентификатор, который генерируется при создании учетной записи. Он состоит из доменного префикса идентификатора безопасности и уникального связанного идентификатора. Эти идентификаторы используются Windows для отслеживания учетных записей независимо от имен пользователей. SID выполняют множество функций; две наиболее важные из которых - возможность легко изменять имена пользователей, а также удалять учетные записи без опасения, что некто посторонний получит несанкционированный доступ к ресурсам просто путем воссоздания учетной записи.
При изменении имени пользователя вы даете указание Windows сопоставить конкретный SID новому имени. При удалении записи вы указываете Windows, что конкретный SID впредь недействителен. Если после этого будет даже создана учетная запись с тем же именем пользователя, новая учетная запись не получит те же права и разрешения, что предыдущая, так как новая учетная запись будет иметь новый SID.
Создание доменных учетных записей с почтовыми ящиками и
без них
Вообще говоря, существует два способа создания новых доменных учетных записей.
- Создание новой учетной записи. Щелкните правой кнопкой контейнер, в который вы хотите поместить учетную запись пользователя, укажите New (Создать) и выберите User (Пользователь). Запустится мастер New Object - User (Новый объект - Пользователь), показанный на рис. 5-5. При создании новой учетной записи применяются системные параметры настройки по умолчанию.
- Создание новой учетной записи на базе существующей учетной записи. Откройте Active Directory Users and Computers, щелкните правой кнопкой учетную запись пользователя, которую вы хотите копировать, и выберите Сору (Копировать). Запустится мастер Copy Object - User
Рис. 5-5. Настройка отображаемого имени и регистрационного
имени пользователя с помощью диалогового окна New Object -
User
(Копировать объект - Пользователь), окно которого очень
похоже на диалоговое окно New User (Новый пользователь). Однако при создании копии учетной записи большинство значений параметров окружения новой учетной
записи берутся из существующей учетной записи. К сохраняемым параметрам относятся: участие в группах учетных
записей, значения параметров профиля, права соединения
через телефонную линию, срок окончания действия учетной записи, разрешенное время входа в систему и разрешенные рабочие станции для входа в систему.
Вот как создать новую учетную запись пользователя посредством мастера New Object - User или Copy Object - User.
1. На первой странице задается выводимое имя и имя входа
пользователя (рис. 5-5). Ведите имя и фамилию пользователя в соответствующие поля. Они необходимы для формирования параметра Full Name (Полное имя), которое
выводится на экране как имя пользователя.
2. При необходимости внесите изменения в поле Full Name
(Полное имя). Например, можно ввести имя в формате <фамилия><имя><второй инициал> или в формате <имя>
<второй инициал><фамшия>. Длина записи в Full Name
(Полное имя) - не более 64 символов.
3. В поле User Logon Name (Имя входа пользователя) введи
те имя входа пользователя. В раскрывающемся списке выберите домен, с которым должна быть связана учетная запись. В результате генерируется полное имя входа.
4. Первые 20 символов имени входа образуют имя входа для
операционных систем более ранних, чем Windows 2000. Оно
должно быть уникальным в пределах своего домена. В случае необходимости измените имя входа для операционных
систем более ранних, чем Windows 2000.
5. Щелкните Next (Далее). Настройте параметры пароля
пользователя (рис. 5-6). Для этого диалогового окна возможны следующие варианты выбора.
Рис. 5-6. Настройка пароля пользователя
- Password (Пароль). Пароль для данной учетной записи. Он должен отвечать условиям вашей парольной политики.
- Confirm Password (Подтверждение). Поле для проверки того, что вы правильно назначили пароль учетной записи. Для подтверждения пароля просто наберите егоеще раз.
- User must change password at next logon (Требовать смену пароля при следующем входе в систему). Если помечен этот флажок, пользователь должен изменить пароль при входе в систему. Этот флажок установлен по умолчанию для всех новых пользователей.
- User cannot change password (Запретить смену пароля пользователем). Если установлен этот флажок, пользователь не может изменить пароль.
- Password never expires (Срок действия пароля неограничен). Если помечен этот флажок, то пароль учетной записи имеет неограниченный срок действия. Это значение параметра имеет приоритет над доменной политикой учетных записей. Вообще говоря, задавать неограниченный срок действия пароля - это не очень хорошая идея, так как при этом снижается безопасность, которая является важным фактором.
- Account is disabled (Отключить учетную запись). Если установлен этот флажок, то учетная запись заблокирована и ее не удастся использовать. Этот флажок применяется для временного запрета использования учетной записи.
6. Щелкните Next (Далее). Если вы надлежащим образом на
строили на этом компьютере расширения Exchange, то по
лучите возможность предоставить учетной записи почтовый ящик. Если вы не хоитите предоставлять пользователю
почтового ящика, сбросьте флажок Create an Exchange
mailbox (Создать почтовый ящик Exchange) и пропустите
пункты 7 и 8.
7. Имени входа присваивается псевдоним Exchange по умолчанию (рис. 5-7), чтобы изменить его, введите новое значение вручную. Псевдоним Exchange необходим для задания адреса электронной почты пользователя.
ПримечаниеНа практике значение по умолчанию псевдонима Exchange присваивается имени входа для операционных систем более ранних, чем Windows 2000; как правило,
оно совпадает с именем входа пользователя. Однако если
вы измените имя входа для операционных систем более
ранних, чем Windows 2000, то значение по умолчанию псевдонима Exchange будет присвоено веденному вами значению.
Рис. 5-7. Настройка почтового ящика Exchange пользователя
8. Если Information Store (Хранилище данных) настроено на
работу с несколькими серверами Exchange, в раскрывающемся списке серверов необходимо указать сервер, на котором должен храниться почтовый ящик. Кроме того, если
имеется несколько хранилищ почтовых ящиков, то следу
ет задать хранилище для почтового ящика - в раскрывающемся списке Mailbox Store (Хранилище очтовых ящиков).
9. Щелкните Next (Далее) и Finish (Готово), чтобы завершить
создание учетной записи. Если вы создали учетную запись,
подключенную к почтовому ящику, то автоматически настраиваются следующие адреса электронной почты: SMTP, X.400 и связанные с коннектором. Эти адреса вы сможете впоследствии добавлять, изменять и удалять. Кроме того, вы сможете задавать дополнительные адреса, имеющие эти же типы. Например, у Синди Джонсон - администратора отдела
кадров компании - два адреса SMTP: [email protected] и
[email protected].
ПримечаниеЕсли вы настроили коннекторы Exchange, то
адреса по умолчанию создаются и для этих них. В состав коннекторов для Exchange 2000 входят коннектор для Lotus
Notes и коннектор для Novell GroupWise.
10. Создание учетной записи пользователя не является финальной операцией. На данном этапе вы можете:
- добавить подробную контактную информацию о пользователе, например номер рабочего телефона и должность;
- внести пользователя в группу безопасности и в группу рассылки;
- связать учетную запись с дополнительными адресами электронной почты;
- включить или отключить функции Exchange для учетной записи;
- изменить для пользователя параметры настройки, заданные по умолчанию, в отношении вариантов доставки, предельного объема памяти и ограничений, налагаемых на учетную запись.
Настройка контактной информации для учетной записи пользователя
Вот как задается контактная информация для учетной записи
пользователя.
1. В Active Directory Users and Computers дважды щелкните
имя пользователя. Откроется диалоговое окно Properties
(Свойства) учетной записи.
2. Щелкните вкладку General (Общие). Общая контактная
информация задается с помощью следующих полей:
- First Name, Initials, Last Name (Имя, Инициалы, Фамилия) задают полное имя пользователя;
- Display Name (Выводимое имя) задает выводимое имя пользователя, которое отображается в сеансах входа в систему и в Active Directory;
- Description (Описание) задает описание пользователя;
- Office (Комната) задает местонахождение пользователя в офисе;
- Telephone Number (Номер телефона) задает основной номер рабочего телефона пользователя. Если пользователь имеет другие номера рабочих телефонов, которые вы хотите внести в запись, щелкните Other (Другой), а затем с помощью диалогового окна Phone Number (Others) [Номер телефона (прочие)] введите дополнительные номера телефонов;
- E-Mail (Эл. почта) задает служебный адрес электронной почты пользователя;
- Web Page (Веб-страница) задает URL начальной Веб страницы пользователя - в Интернете или в локальной корпоративной сети. Если у пользователя есть другие Веб-страницы, которые вы хотите внести в запись, щелкните Other (Другой), а затем посредством диалогового окна Web Page Address (Others) [Адрес страницы в Интернете (прочие)] введите дополнительные адреса Веб-страниц.
Совет Обязательно заполните поля E-Mail (Эл. почта) и
Web Page (Веб-страница), если намереваетесь использовать
команды Send Mail (Отправить почту) и Open Home Page
(Открыть домашнюю страницу) консоли Active Directory
Users and Computers.
3. Щелкните вкладку Address (Адрес) (рис. 5-8). В полях на
этой вкладке задайте служебный или домашний почтовый
адрес пользователя. Обычно указывают служебный адрес
пользователя. Это позволит вам иметь данные о местонахождении и почтовых адресах пользователей, находящихся в различных офисах.
ПримечаниеПрежде чем вводить информацию частного
характера, например домашний адрес и домашний телефон
пользователя, необходимо обсудить этот вопрос с отделом
кадров и юридическим отделом. Возможно, на это следует
получить согласие пользователя.
4. Щелкните вкладку Telephones (Телефоны) и наберите, если требуется, основные контактные телефоны пользователя:
- Home Telephone (Домашний);
- Pager (Пейджер);
- Mobile (Мобильный);
- FAX (Факс);
- IP Phone (IP-телефон).
5. Для каждого типа телефона вы вправе задать и другие номера. Щелкните соответствующую кнопку Other (Другой), а затем в диалоговом окне введите дополнительные номера телефонов.
Рис. 5-8. На вкладке Address (Адрес) задайте рабочий или
домашний адрес пользователя
6. Щелкните вкладку Organization (Организация). Введите,
если требуется, должность пользователя, отдел и название
компании.
7. Чтобы указать руководителя данного пользователя, щелкните Change (Изменить). Если вы сделали это, то в учетной записи руководителя пользователь выведен в качестве
непосредственного подчиненного.
8. Щелкните Apply (Применить) или ОК, чтобы принять внесенные изменения.
Изменение псевдонима Exchange и выводимого имени
пользователя
Каждая учетная запись пользователя, подключенного к почтовому ящику, имеет связанные с ней псевдоним Exchange, имя,
фамилию и выводимое имя. Псевдоним Exchange определяет
адреса электронной почты SMTP и Х.400. Имя входа представляет собой псевдоним SMTP по умолчанию. Выводимое имя
определяет адрес Х,400.
В случае изменения информации об имени можно создать
новые адреса электронной почты и задать их в качестве адресов по умолчанию для SMTP, X.400 и коннекторов Exchange.
При этом старые адреса электронной почты для учетной записи не удаляются, а остаются в качестве альтернативных. Процедура изменения или удаления этих дополнительных адресов
электронной почты рассмотрены в этой главе, в разделе «Добавление, изменение и удаление адресов электронной почты».
Вот как изменить псевдоним Exchange и выводимое имя
учетной записи пользователя.
1. В Active Directory Users and Computers, дважды щелкните
имя пользователя. Откроется диалоговое окно Properties
(Свойства) учетной записи.
2. Щелкните вкладку General (Общие). Для изменения имени воспользуйтесь следующими полями:
в First Name, Initials, Last Name (Имя, Инициалы, Фамилия) задают полное имя пользователя;
в Display Name (Выводимое имя) указывают имя пользователя, которое отображается в сеансах входа в систему и в Active Directory.
3. Щелкните вкладку Exchange General, а затем введите новый псевдоним Exchange в поле Alias (Псевдоним).
4. Щелкните ОК.
Добавление, изменение и удаление адресов
электронной почты
Когда вы создаете учетную запись пользователя, подключенного к почтовому ящику, то создаются адреса электронной почты по умолчанию для SMTP, X.400 и настроенных коннекторов. Каждый раз, когда вы обновляете выводимое имя пользователя или псевдоним Exchange, можно создать новые адреса электронной почты по умолчанию. При этом старые адреса электронной почты не удаляются, а остаются в качестве альтернативных адресов учетной записи.
Вот как добавить, изменить или удалить адрес электронной почты.
1. Откройте диалоговое окно Properties (Свойства) учетной
записи, дважды щелкнув имя пользователя в Active Directory Users and Computers. Затем щелкните вкладку E-Mail
Addresses (Адреса электронной почты).
2. Чтобы добавить новый адрес электронной почты, щелкните New (Новый). В диалоговом окне New E-Mail Address
(Новый адрес электронной почты) выберите тип адреса электронной почты и щелкните ОК. Заполните поля диалогового окна Properties (Свойства) и снова щелкните ОК.
Совет Для стандартных адресов электронной почты Интернета используйте тип адреса SMTP. Другие типы адресов
электронной почты подробно рассмотрены в главе 13.
3. Чтобы изменить существующий адрес электронной почты, дважды щелкните запись адреса и измените параметры в
диалоговом окне Properties (Свойства). Щелкните ОК.
4. Чтобы удалить адрес электронной почты, выберите его и
щелкните Remove (Удалить). В ответ на предложение подтвердить операцию удаления щелкните Yes (Да).
ПримечаниеНельзя удалить адрес SMTP по умолчанию.
Exchange Server использует адрес SMTP для передачи и
приема сообщений.
Настройка адреса Reply-To (адреса отправителя) по умолчанию
Для каждого типа адреса электронной почты существует один
адрес отправителя по умолчанию. Вот как изменить адрес отправителя по умолчанию.
1. Откройте диалоговое окно Properties (Свойства) учетной
записи, дважды щелкнув имя пользователя в Active Directory Users and Computers. Затем щелкните вкладку E-Mail
Addresses (Адреса электронной почты).
2. Текущие адреса электронной почты по умолчанию выделены жирным шрифтом. Адреса электронной почты, которые не выделены, применяются только в качестве альтернативных адресов для доставки сообщений в текущий почтовый ящик.
3. Чтобы изменить текущие значения по умолчанию, выберите желаемый не выделенный адрес электронной почты и
щелкните Set As Primary (Задать в качестве основного).
Блокировка и разблокировка подключения к почте Exchange Server
Пользователи и контакты, подключенные к почте, в Exchange Server определяются как специальные получатели. Они имеют псевдоним Exchange и внешний адрес электронной почты.
Вот как подключить пользователя или контакт к почте.
1. В Active Directory Users and Computers щелкните правой
кнопкой соответствующую запись, затем выберите Exchange
Tasks (Задачи Exchange), чтобы запустить мастер Exchange
Task Wizard.
2. Если открывается страница Welcome, щелкните Next (Далее). Чтобы впоследствии пропускать эту страницу, стоит
выбрать Do Not Show This Welcome Page Again.
3. В Available Tasks (Доступные задачи) укажите Establish E-Mail
Addresses (Установить адреса электронной почты) и снова
щелкните Next (Далее).
4. Введите псевдоним Exchange для пользователя или контакта и щелкните Modify (Изменить).
5. Откроется диалоговое окно New E-Mail Address (Новый
адрес электронной почты). Наберите тип адреса электронной почты и щелкните ОК.
6. Заполните поля диалогового окна Properties (Свойства)
адреса электронной почты и снова щелкните ОК.
7. На странице мастера Exchange Task щелкните Next (Далее),
а затем - Finish (Готово).
Если вы впоследствии захотите удалить псевдоним Exchange и адреса электронной почты, связанные с пользователем или
контактом, то вот как это сделать.
1. В Active Directory Users and Computers дважды щелкните
нужную запись, затем выберите Exchange Tasks (Задачи
Exchange), чтобы запустить мастер Exchange Task Wizard.
2. Если открывается страница Welcome (Приветствие), щел
кните Next (Далее). Чтобы в последующем пропускать эту
страницу, можно выбрать Do Not Show This Welcome Page
Again.
3. В Available Tasks (Доступные задачи) выберите Delete E-Mail
Addresses (Удалить адреса электронной почты) и щелкните
Next (Далее).
4. Щелкните Next (Далее), а затем - Finish (Готово).
Создание учетной записи пользователя для приема и
переадресации почты
Специальные получатели, такие, как пользователи и контакты, подключенные к почте, обычно не получают сообщений от
пользователей за пределами организации, так как специальный
получатель не имеет адреса электронной почты, который соответствует конкретному почтовому ящику в вашей организации. Однако иногда возникает потребность в том, чтобы внешние пользователи, приложения или почтовые системы имели возможность отправить сообщение на адрес внутри вашей
организации, а затем Exchange переадресовал это сообщение на
внешний почтовый ящик.
Совет В своей организации я создал почтовые ящики переадресации для пейджерных предупреждений. Это простое
решение позволяет менеджерам, а также системам мониторинга в организации легко и быстро передавать страницы
текста специалистам ИТ. Для этого я создал контакт, подключенный к почте, для каждого адреса электронной почты пейджера, например [email protected], а затем создал
почтовый ящик, который переадресует сообщения специаль
ному получателю. В общем случае выводимое имя контакта,
подключенного к почте, имеет вид «Alert User Name», (Предупреждение Имя пользователя), например Alert William Stanek.
Выводимое имя и адрес электронной почты почтового ящика
имеют вид Z LastName и [email protected], например Z Stanek и [email protected] соответственно. Затем
я спрятал почтовый ящик, чтобы он не отображался в списке
глобальных адресов или в других списках адресов и чтобы
пользователи видели только почтовый ящик Alert William
Stanek.
Вот как создать учетную запись пользователя для приема и переадресации почты.
1. В Active Directory Users and Computers создайте контакт
для пользователя. Присвойте контакту имя X - Имя_Пользователя, например X - William Stanek. Убедитесь в том,
что для контакта существует внешний адрес электронной
почты, относящийся к адресу пользователя в Интернете.
2. Создайте учетную запись пользователя в домене. Присвойте учетной записи подходящее выводимое имя, например
William Stanek, Создайте почтовый ящик Exchange для
учетной записи, но не присваивайте никаких специальных
прав. Вы можете ограничить права учетной записи так, что
бы пользователь не имел возможности зарегистрироваться
ни на одном из серверов в домене.
3. Откройте диалоговое окно Properties (Свойства) учетной
записи, дважды щелкнув имя пользователя в Active
Directory Users and Computers. Щелкните вкладку
Exchange General (Общие).
4. Щелкните Delivery Options (Варианты доставки).
5. В диалоговом окне Delivery Options щелкните Forward To
(Переадресовать), а затем щелкните Modify (Изменить).
6. В диалоговом окне Select Recipient (Выбрать получателя)
выберите контакт, подключенный к почте, созданный ранее,
и щелкните ОК. Теперь вы можете применять учетную запись пользователя для переадресации сообщений на внешний почтовый ящик.
Изменение параметров сервисов беспроводной связи и
протоколов пользователя
Когда вы создаете учетные записи пользователей с почтовыми ящиками, доступные сервисы беспроводной связи и протоколы определяются глобальными параметрами настройки. Эти параметры в любое время разрешается изменять для отдельных пользователей.
1. В Active Directory Users and Cdmputers дважды щелкните
нужную запись, затем выберите вкладку Exchange Features.
Настройте для пользователя сервисы беспроводной связи
и протоколы (рис. 5-9):
Outlook Mobile Access предоставляет пользователю
возможность просматривать почтовый ящик с помощью
беспроводного устройства;
User Initiated Synchronization позволяет синхронизировать почтовый ящик с беспроводными устройствами;
Рис. 5-9. С помощью мастера Exchange Task Wizard можно
изменить параметры сервисов беспроводной связи и протоколов
пользователя
Up-To-Date Notifications обеспечивает постоянное обновление данных на беспроводном устройстве. Этот вариант доступен только при условии, что выбран вариант User Initiated Synchronization;
Outlook Web Access предоставляет возможность доступа к почтовому ящику с помощью Web-браузера;
РОРЗ открывает доступ к почтовому ящику посредством почтового клиента РОРЗ;
IMAP4 предоставляет пользователю возможность доступа к почтовому ящику с помощью почтового клиента
IMAP4.
2. Выберите параметр, затем щелкните Enable (Включить)
или Disable (Отключить) в зависимости от обстоятельств.
Если требуется изменить параметры протокола, выберите
протокол и щелкните Properties (Свойства).
3. Щелкните ОК.
Переименование учетных записей пользователей
Вот как переименовать учетную запись пользователя в Active
Directory Users and Computers.
1. Щелкните правой кнопкой имя учетной записи и выберите Rename (Переименовать). В ответ на приглашение введите новое имя учетной записи.
2. При переименовании учетной записи вы создаете новую
метку учетной записи. Переименование не влияет на идентификатор защиты (SID), который необходим для идентификации, отслеживания и обработки учетных записей не
зависимо от имен пользователей.
Примечание Распространенной причиной изменения имени учетной записи является замужество. Например, если Джуди Лью (JUDYL) выходит замуж, она может изменить свое имя пользователя на Джуди Кэтлер (JUDYK). После изменения имени пользователя JUDYL на JUDYK все связанные с ним права и разрешения будут назначены новому имени.
Например, при просмотре разрешений к файлу, к которому раньше имела доступ JUDYL, теперь будет иметь доступ JUDYK (причем имени JUDYL в списке не окажется).
Удаление учетных записей пользователей и контактов
При удалении учетная запись устраняется навсегда. После
удаления учетной записи вам не удастся создать учетную запись с тем же именем и теми же разрешениями, какие имела
исходная запись, так как идентификатор защиты (SID) новой
записи не будет совпадать с идентификатором защиты старой
записи. Это не означает, что после удаления записи вы не можете создать учетную запись с тем же именем. Например, человек уволился из компании, а через некоторое время вернулся. Вы вправе создать учетную запись с тем же именем, что
и раньше, но вам придется заново определить для нее разрешения.
Поскольку удаление встроенных учетных записей может
иметь далеко идущие последствия для домена, Windows не
допускает их удаления. Вы вправе удалить другие типы учетных записей, выбрав их и нажав клавишу Del или щелкнув
правой кнопкой и выбрав Delete (Удалить). Появится приглашение, показанное на рис. 5-10. Если вы хотите удалить адрес
электронной почты пользователя, когда флажок для удаления
почтового ящика установлен, щелкните Yes (Да). Если вы щелкните No (Нет), то Windows не удалит учетную запись.
Рис. 5-10. При удалении учетной записи пользователя
удаляется также и адрес электронной почты пользователя;
устанавливается также флажок удаления связанного с адресом
почтового ящика. Подтвердите операцию, щелкнув Yes (Да)
Примечание Защита Exchange основана на доменной
аутентификации, поэтому вы не можете иметь почтовый
ящик без учетной записи. Если вам все же необходим по
чтовый ящик для учетной записи, которую вы хотите удалить, то следует не удалять ее, а отключить. В результате
отключения учетной записи пользователю не удастся зарегистрироваться в системе, однако вы при необходимости
получите доступ к почтовому ящику. Чтобы отключить учетную запись, щелкните правой кнопкой эту учетную запись
в Active Directory Users and Computers и выберите Disable
Account (Отключить учетную запись).
