Часы регистрации

По умолчанию пользователь может подключаться к серверу в течении 24 часов семь дней в неделю. Чтобы повысить уровень защиты сети, ограничивайте время регистрации пользователя. Это полезно, например, в следующих случаях:

если часы регистрации входят в список требований защиты (например, в сети государственного учреждения);

если работа на предприятии — многосменная.

Где создаются учетные записи

Как типы учетных записей, доступные администратору, так и программные средства для их создания и управления определяются версией операционной системы.

На компьютерах с ОС Windows NT Workstation учетными записями управляет утилита User Manager (Диспетчер пользователей). Эта программа применяется для работы с локальными учетными записями компьютера. Создаваемые ею учетные записи также являются локальными.

На компьютерах с ОС Windows NT Server для управления учетными записями служит утилита User Manager for Domains (Диспетчер пользователей доменов). Эта программа применяется для управления учетными записями в домене, на локальном компьютере, на сервере или в других доступных доменах. User Manager for Domains может создавать как локальные, так и глобальные учетные записи.

Глобальная учетная запись

Глобальная учетная запись содержит сведения о пользователе домена. Она позволяет с помощью одного и того же имени и пароля зарегистрироваться в домене с любого компьютера сети и работать с ресурсами домена.

Глобальную учетную запись можно создать только средствами User Manager for Domains (Диспетчер пользователей доменов). Она всегда размещается в основной базе данных каталогов на главном контроллере домена (primary domain controller, PDC), хотя ее можно создать, работая на любом компьютере сети.

Копии базы данных хранятся на всех резервных контроллерах домена (Backup Domain Controller, BDC); они регулярно (каждые пять минут) обновляются с основного контроллера домена.

Глобальные учетные записи рекомендуется создавать для всех пользователей домена.

Примечание User Manager for Domains (Диспетчер пользователей доменов) можно запускать на компьютерах под управлением Windows NT Workstation или Windows 95, установив клиентские средства администрирования Windows NT Server.

Копирование профиля на сервер

Копирование пользовательского профиля осуществляется с помощью программы System панели управления. Щелкнув вкладку User Profiles (Профили пользователей) в диалоговом окне System Properties (Система), Вы увидите профили по умолчанию всех пользователей, которые регистрировались на этом компьютере.

> Копирование шаблона пользовательского профиля на сервер

В этом упражнении Вы скопируете профиль пользователя Template Profile на сетевой сервер и назначите его пользователю User2 (соответствующая папка была создана при установке материалов учебного курса).

Выйдите из системы и зарегистрируйтесь по учетной записи Administrator.

С помощью User Manager for Domains (Диспетчер пользователей доменов) создайте учетную запись User2, не защищая ее паролем.

В меню Start (Пуск) выберите пункт Settings (Настройка), а в появившемся меню щелкните пункт Control Panel (Панель управления).

На панели управления щелкните дважды значок System (Система). Появится диалоговое окно System Properties (Свойства системы).

Щелкните вкладку User Profiles (Профили пользователей).

Обратите внимание, что профили были созданы для всех пользователей, регистрировавшихся на этом компьютере, в том числе и для пользователя Template Profile.

В списке Profiles stored on this computer (Профили, размещенные локально) щелкните строчку Template Profile, а затем — кнопку Copy To (Копировать).

Появится диалоговое окно Copy To (Копировать).

В окне Copy profile to (Копировать профиль на) наберите \\имя_компьютера\profiles\user2 (имя_компьютера — это имя Вашего компьютера).

Внимание! Чтобы сделать профиль обязательным, в окне Copy profile to введите \\computer_name\profiles (не указывая имени пользователя).

> Перечисление пользователей, которым разрешено применять профиль

В диалоговом окне Copy To (Копировать) в группе Permitted to use (Разрешен к использованию) щелкните кнопку Change (Изменить).

Появится диалоговое окно Choose User (Выбор пользователя).

Убедитесь, что в окне list Names From (Список имен из...) выбран домен, в котором расположены Ваши учетные записи, а затем щелкните кнопку Show Users (Показать).

В окне списка Names (Имена) щелкните строку User2, а затем — кнопку Add (Добавить).

В списке Add Name (Добавить имя) появится строка Domain\User2.

Щелкните кнопку ОК.

Строка Domain\User2 появится в списке пользователей, которым разрешено применять выбранный профиль.

Щелкните кнопку ОК.

В папке Profiles будет создана папка с именем, соответствующим имени указанного пользователя. В нее будет скопирован профиль со всеми настройками учетной записи Template Profile.

Просмотрите папку с помощью Проводника (Windows NT Explorer). Убедитесь, что в папке Template Profile хранятся папки с настройками рабочего стола и файл Ntuser.dat.

> Удаление профиля учетной записи Template Profile

В этом упражнении Вы удалите ставший ненужным профиль учетной записи Template Profile. Далее будет использоваться только профиль, размещенный на сервере.

Появится окно Confirm Delete (Подтвердите удаление) с просьбой подтвердить удаление профиля.

Чтобы удалить локальный профиль, щелкните кнопку Yes (Да).

Профиль учетной записи Template Profile будет удален с Вашего компьютера.

Локальная учетная запись

Локальная учетная запись содержит информацию о пользователе данного компьютера. С ее помощью пользователь может зарегистрироваться в системе и получить доступ к ресурсами компьютера. Чтобы иметь право обратиться к ресурсам другого компьютера, надо и на нем завести локальную учетную запись пользователя.

Хотя User Manager for Domains (Диспетчер пользователей доменов) и позволяет создавать глобальные и локальные учетные записи, создать локальную учетную запись можно только с помощью User Manager (Диспетчер пользователей).

Локальные учетные записи следует создавать только внутри рабочей группы, как это показано ниже.

Местонахождение домашнего каталога

В домашнем каталоге пользователь хранит свои файлы и программы. Домашний каталог полезен тем, что служит отправной точкой поиска файлов пользователя. Каждому пользователю следует назначить свой домашний каталог. Домашний каталог пользователя становится папкой, используемой по умолчанию, при выполнении Windows NT или программой следующих действий:

открытия файла с помощью пункта Open (Открыть) меню File (Файл);

сохранения файла с помощью пункта Save As (Сохранить как...) меню File (Файл);

запуска сеанса командной строки.

Если Вы не назначите пользователю домашний каталог, по умолчанию им будет папка Users\Default локального компьютера.

Домашний каталог может быть размещен как на сетевом сервере, так и на локальном компьютере пользователя.

Настройка параметров учетной записи

В диалоговом окне Account Information (Сведения об учетной записи) можно установить два параметра.

Account Expires (Время действия учетной записи): используется для установки даты автоматического отключения учетной записи. Чтобы установить эту дату, просто введите ее в поле End of (До...). Эта возможность удобна для работы с временными учетными записями сотрудников, работающих по контракту, или совместителей.

Account Type (Тип учетной записи): применяется для создания локальной учетной записи для пользователя другого домена, с которым нет доверительных отношений, если этому пользователю необходим доступ к ресурсам Вашего домена. Такая учетная запись не позволяет регистрироваться с компьютеров того домена, где она была создана.

Кнопка Local Account for users from untrusted domain (Локальная учетная запись пользователя чужого домена) в группе Account Type (Тип учетной записи) предназначена только для предоставления доступа к ресурсам пользователю, зарегистрированному в домене, с которым у Вашего домена нет доверительных отношений.

> Установка параметров учетной записи

В этом упражнении Вы установите срок действия учетной записи временного сотрудника равным 30 дням.

В окне программы User Manager (Диспетчер пользователей) дважды щелкните учетную запись временного сотрудника (см. шаблон планирования учетных записей).

В диалоговом окне User Properties (Свойства пользователя) щелкните кнопку Account (Учетная запись).

На экране появится диалоговое окно Account Information (Сведения об учетной записи). Обратите внимание, что по умолчанию срок действия учетной записи не ограничен: переключатель Account expires (Время действия учетной записи) установлен в положение Never (Никогда).

Установите переключатель Account expires в положение End of (До...) и наберите в окне дату, которая наступит через месяц.

Чтобы вернуться в диалоговое окно User Properties (Свойства пользователя), щелкните кнопку ОК.

Чтобы вернуться в окно программы User Manager (Диспетчер пользователей), щелкните кнопку ОК.

Ограничение на места работы

Если нужно ограничить число доступных мест работы , Вы можете указать до восьми компьютеров, с которых может регистрироваться пользователь. Ограничение на места работы позволяет контролировать компьютеры, которыми может воспользоваться данный сотрудник для регистрации в домене. Эта мера ограничивает доступ пользователей к конфиденциальным данным и заставляет их работать в сети только с компьютеров, находящихся в контролируемых помещениях. Ограничение доступа к компьютерам применяется в сетях с высокими требованиями к безопасности.

> Ограничение мест работы

В окне программы User Manager (Диспетчер пользователей) дважды щелкните учетную запись временного сотрудника.

В диалоговом окне User Properties (Свойства пользователя) щелкните кнопку Logon To (Регистрация на).

Появится диалоговое окно Logon workstations (Регистрация на рабочих станциях). По умолчанию все пользователи могут регистрироваться с любого компьютера.

Щелкните переключатель User May Log On To These Workstations (Пользователь может регистрироваться на перечисленных рабочих станциях).

В первом поле введите Temp1 (имя компьютера, с которого может работать пользователь).

Чтобы вернуться в диалоговое окно User Properties (Свойства пользователя), щелкните кнопку ОК.

Чтобы вернуться в окно программы User Manager (Диспетчер пользователей), щелкните кнопку ОК.

> Проверка ограничений мест работы

Зарегистрируйтесь в системе по учетной записи временного сотрудника.

Если Вам будет предложено изменить пароль, введите student.

Как видите, Вам не удалось зарегистрироваться, поскольку временный сотрудник может работать только на компьютере Temp1.

Ограничение на рабочие места

По умолчанию любой пользователь с действующей учетной записью может работать в сети с любого компьютера, где установлена ОС Windows NT. Если на локальном компьютере в сети с высокими требованиями к защите размещены конфиденциальные данные, ограничьте возможность регистрации пользователей на этом компьютере.

Основные понятия

Среда пользователя при работе в Windows NT определяется в первую очередь профилем пользователя. Средства защиты Windows NT требуют наличия профиля для каждой учетной записи, имеющей доступ к системе.

В состав профиля входят все настраиваемые пользователем параметры рабочей среды компьютера, работающего под управлением Windows NT, включая параметры дисплея, язык и региональные настройки, настройку мыши и звуковых сигналов, а также подключаемые сетевые диски и принтеры.

Когда пользователь первый раз регистрируется в системе, работающей под управлением Windows NT, для него создается профиль по умолчанию. Настройки пользователя автоматически сохраняются в папке Profiles, вложенной в системную папку (обычно — в папке С:\Winnt\Рrоfiles\имя_пользователя).

Профиль пользователя позволяет администратору ограничить отображаемую на экране информацию, а также доступные пользователю приложения. Например, администратор может запретить общий доступ к папке Administrative Tools (Администрирование), не позволяя пользователю изменять конфигурацию.

Источник

Параметры, автоматически сохраняемые в профиле пользователя

Windows NT Explorer (Проводник)

Все заданные пользователем настройки Проводника

Taskbar (Панель задач)

Все персональные группы программ и их свойства, элементы групп и их свойства, а также все настройки панели задач

Printers Settings (Принтеры)

Подключение к сетевым принтерам

Control Panel (Панель управления)

Все пользовательские настройки панели управления

Accessories (Стандартные)

Все пользовательские настройки программ, включая Calculator (Калькулятор), Clock (Часы), Notepad (Блокнот), Paint и другие

Программы для Windows NT

Любая программа, предназначенная специально для Windows NT, может быть разработана так, чтобы отслеживать установки отдельно для каждого пользователя. Если такие настройки существуют, они хранятся в профиле пользователя

Закладки интерактивной справочной системы

Любые закладки в файлах справочной системы Windows NT

Примечание. Профили пользователей не поддерживаются для клиентов, регистрирующихся с компьютеров под управлением LAN Manager, MS-DOS, Windows for Workgroups или Windows 3-х. Для них можно создать сценарий регистрации (logon script), по которому будут настроены пользовательские сетевые диски и принтеры. Дополнительную информацию о сценариях регистрации Вы найдете в документе Microsoft Windows NT Server Concepts and Planning.

Основные правила планирования новых учетных записей

Чтобы упростить администрирование и обеспечить уровень защиты, требуемый для Вашей организации, учитывайте следующие правила.

Соглашение об именах. Используйте уникальные и содержательные имена учетных записей пользователей.

Требования к паролям. Используйте режимы усиления парольной защиты. Например, решите, может ли пользователь менять собственный пароль лишь иногда, или он должен это делать регулярно.

Часы регистрации. Выберите интервал времени, в течение которого пользователи могут регистрироваться в системе.

Ограничение на места работы. Составьте список компьютеров под управлением Windows NT, на которых разрешено работать пользователю. По умолчанию это может быть любая рабочая станция.

Местонахождение домашнего каталога. Выберите место для размещения домашних каталогов пользователей на локальном компьютере или на сервере. Размещение на сервере позволяет централизованно управлять данными и архивировать их.

Paket2-

Глава 2. Создание учетных записей пользователей

В этой главе

Учетные записи предоставляют пользователям возможность работы в сети и доступ к сетевым ресурсам. В этой главе Вы познакомитесь с тремя типами учетных записей пользователей, а также научитесь создавать их в соответствии с разработанным планом. Выполняя упражнения, Вы попрактикуетесь в планировании и создании учетных записей пользователей.

Прежде всего

Прежде чем приступить к изучению занятий этой главы, необходимо:

просмотреть видеоролик «Обзор службы каталогов» (см. главу 1, «Основы администрирования сети Microsoft Windows NT»);

понимать различия между рабочей группой и доменом;

понимать различия между контроллером домена и сервером;

уметь зарегистрироваться в Windows NT и выйти из системы.

Занятие1. Основные понятия

Занятие 2. Планирование учетных записей пользователей

Занятие3. Создание пользовательских учетных записей

Занятие 4. Профили пользователей

Рекомендации

Закрепление материала

До того как Вы начнете

Рекомендации

До того как Вы начнете создавать учетные записи пользователей, ознакомьтесь с приведенными ниже рекомендациями.

Чтобы повысить уровень защиты, создайте для себя учетную запись без привилегий для выполнения обычных работ. Регистрируйтесь по учетной записи Administrator только для решения административных задач.

Разрешайте доступ по учетной записи Guest (Гость) только в случае невысоких требований к безопасности и тем не менее всегда защищайте ее паролем. Эта запись по умолчанию отключена.

Всегда защищайте учетные записи паролем.

Требуйте от новых пользователей смены пароля при первой регистрации в системе (режим по умолчанию). Это заставит пользователей защищать свою учетную запись.

В сетях со средними и высокими требованиями к безопасности защищайте все создаваемые учетные записи случайно генерируемыми паролями.

Если пользователи часто регистрируются с разных компьютеров, используйте серверные профили. Это обеспечит пользователям привычную рабочую среду.

Создавая домашний каталог или персональный пользовательский профиль, всегдаиспользуйте переменную среды %Username%. Эта переменная автоматически заменяется именем учетной записи пользователя.

Если Ваш сервер подключен к Интернету, переименуйте учетную запись Administrator. Это поможет предотвратить взлом системы.

Предоставление права удаленного доступа

Клиентское программное обеспечение Windows NT предоставляет пользователям доступ к таким серверным пакетам удаленного доступа Windows NT, как сервис дистанционного доступа (Remote Access Service, RAS). Как только между клиентом и сервером RAS будет установлено соединение, работающий на удаленном компьютере сможет пользоваться сетью так же, как если бы его компьютер был подключен непосредственно к сети.

Чтобы работать в сети с использованием сервиса RAS, пользователю необходимо право удаленного доступа, фиксируемое в учетной записи.

Примечание. Помимо этого, на сервере следует установить и настроить сервис дистанционного доступа, а компьютер-клиент должен быть сконфигурирован для доступа к сети по телефонной линии.

Сервер RAS можно настроить для работы в режиме обратной связи (ответного звонка пользователю): сервер RAS перезвонит по номеру, указанному пользователем, а компания оплатит сеанс связи. В целях усиления защиты можно на- строить сервер RAS так, что он будет звонить только по указанному Вами номеру, ограничив тем самым возможность удаленного доступа пользователей.

В приведенной ниже таблице описаны параметры обратной связи, устанавливаемые в диалоговом окне Dialin Information (Сведения для удаленного доступа).

Параметр

Описание

No Call Back

(He требуется)

RAS-сервер не звонит в ответ, а пользователь оплачивает все телефонные расходы на сеанс связи. Это — режим по умолчанию

Set By Caller

(По выбору пользователя)

Пользователь может указать телефонный номер, по которому сервер RAS сделает ответный звонок. Это означает, что организация — владелец сервера RAS — получит телефонный счет за сеанс связи

Preset To

(По указанному номеру)

Вы указываете телефонный номер, по которому сервер RAS сделает ответный звонок пользователю. Этот режим уменьшает риск использования учетной записи посторонними, поскольку для подключения к серверу RAS пользователь должен находиться по указанному телефону. Используйте этот вариант в сетях с высокими требованиями к безопасности, чтобы ограничить удаленный доступ пользователей к серверу единственным телефонным номером

> Предоставление права удаленного доступа

В этом упражнении Вы предоставите права удаленного доступа сотруднику, работающему дома.

Появится диалоговое окно Dialin Permissions (Права удаленного доступа).

Щелкните переключатель Grant dialin permission to user (Разрешить пользователю удаленный доступ).

Чтобы вернуться в диалоговое окно User Properties (Свойства пользователя), щелкните кнопку ОК.

Чтобы вернуться в окно программы User Manager (Диспетчер пользователей), щелкните кнопку ОК.

Размещение домашних каталогов на компьютерах пользователей

Вам не обязательно централизованно хранить данные — Вы можете создать каждому пользователю домашний каталог на его компьютере. При локальном размещении домашних каталогов нужно учесть некоторые особенности.

Пространство на дисках пользовательских компьютеров. Если на локальных дисках достаточно места и централизованное архивирование данных не нужно, разместите домашние каталоги на компьютерах пользователей.

Быстродействие. Если домашний каталог пользователя размещен на его собственном компьютере, трафик в сети заметно уменьшается.

> Планирование новых учетных записей

Предположим, компания «Разноимпорт» ежегодно принимает на работу 300 новых сотрудников. Примерно 20 из них взяты на работу по контракту — на один год, остальные зачислены в постоянный штат. Каждому пользователю требуется собственная учетная запись.

Вам как сетевому администратору компании «Разноимпорт» нужно зарегистрировать сотрудников Квебекского филиала. В данном упражнении Вам придется зарегистрировать только 9 учетных записей.

Запишите свои соображения в «Шаблон планирования учетных записей», приведенный в конце этого занятия. Заметьте, что колонка «Описание» содержит название должности каждого из 9 сотрудников. Выполнив упражнение, обратитесь к приложению «Шаблоны планирования» и сравните свой результат с образцом. Образец содержит один из возможных вариантов ответа; учетные записи можно спланировать и иначе.

Вы должны занести в «Шаблон планирования учетных записей» следующие сведения.

Укажите полное имя каждого из пользователей и запишите его в колонку «Полное имя» (кроме случаев, когда имена уже указаны).

Разработайте свое соглашение об именах. Затем по нему определите учетное имя каждого пользователя и запишите его в колонку «Учетная запись».

Обратите внимание, что в колонку «Описание» уже занесены должности сотрудников.

Разработайте требования к паролю каждого из пользователей и перечислите их в колонке «Требования к паролю».

В колонке «Местонахождение домашнего каталога» укажите один из двух вариантов: локальный компьютер или сервер.

ответ

Заполняя шаблон, помните о некоторых тонкостях.

У двоих сотрудников совпадают имена: и вице-президента, и торгового консультанта ночной смены зовут Лариса Михайлова.

Постоянным сотрудникам нужно разрешить менять свои пароли.

Управление паролями временных сотрудников в целях безопасности возлагается на администратора.

Каждому сотруднику нужен домашний каталог. Все каталоги следует архивировать каждую ночь.

Постоянные сотрудники, работающие в ночную смену, должны иметь доступ в сеть с 6 вечера до 6 утра.

Постоянные сотрудники, работающие в дневную смену, должны иметь доступ в сеть круглосуточно 7 дней в неделю.

Временные сотрудники должны иметь возможность регистрации только с назначенных им компьютеров с 8 утра до 5 вечера.

Размещение домашних каталогов на сервере

При размещении домашних каталогов на сервере надо обязательно учитывать некоторые особенности.

Архивирование и восстановление данных. Одна из важнейших задач администратора — предотвращение потери данных. Когда файлы расположены на сервере, гораздо легче обеспечить их резервное копирование и восстановление. Если домашние каталоги пользователей размещены на локальных компьютерах, Вам придется регулярно архивировать файлы на каждом компьютере.

Место на сервере. Достаточно ли места на жестких дисках сервера для пользовательских данных? Имейте в виду: Windows NT не позволяет ограничить объем доступного каждому пользователю дискового пространства.

Защита. В любой сети легче обеспечить безопасность данных при их централизованном хранении.

Применение RAS uлu совместное использование компьютеров. Если пользователи подключаются к сети с помощью службы дистанционного доступа (Remote Access Service, RAS) или используют компьютеры совместно, их данные в домашних каталогах, размещенных на сервере, доступны с любой рабочей станции сети.

Стратегия защиты Windows NT основана

Стратегия защиты Windows NT основана на понятии учетной записи пользователя.
Встроенная учетная запись Administrator (Администратор) имеется на всех компьютерах, работающих под управлением Windows NT. Она служит для управления ресурсами и конфигурацией компьютеров.
Встроенная учетная запись Guest (Гость) имеется на всех компьютерах, работающих под управлением Windows NT. Она позволяет пользователям, работающим на компьютере от случая к случаю, получить доступ к локальным ресурсам. Эта запись по умолчанию отключена.
Глобальная учетная запись позволяет пользователю получить доступ к ресурсам домена с любого компьютера сети с помощью единого имени и пароля.
Создавайте глобальные учетные записи для всех пользователей домена.
Локальная учетная запись позволяет зарегистрироваться в системе и получить доступ к локальным ресурсам компьютера. Для работы с ресурсами другого компьютера пользователю необходимо иметь локальную учетную запись и на нем.
Создавайте локальные учетные записи только в рабочей группе.

Дополнительную информацию о...
Вы найдете в ...
создании учетных записей пользователя
главе 2, «Working With User and Group Accounts», документа Microsoft Windows NT Server Concepts and Planning
установке клиентских средств администрирования
главе 11, «Managing Client Administration», документа Microsoft Windows NT Server Concepts and Planning

Составляющих эффективной учетной политики пять:

Составляющих эффективной учетной политики пять: соглашение об именах, требования к паролям, местоположение домашнего каталога, время работы и допустимые места работы.
Обязательно назначайте пароли всем пользователям.
В сетях со средними и высокими требованиями к защите, а также при подключении локальной сети к Интернету обяжите пользователей применять длинные пароли, состоящие из букв в разных регистрах и цифр. Научите пользователей избегать очевидных ассоциаций при выборе пароля.
В сетях с высокими требованиями к безопасности ограничивайте часы работы пользователя в сети.
Если на компьютере размещены конфиденциальные данные, ограничьте список пользователей, которые могут регистрироваться на этом компьютере.
Назначьте пользователям домашние каталоги для хранения данных.
Если Вы хотите упростить процесс архивирования и сопровождения конфиденциальных данных, назначьте пользователям домашние каталоги на сервере.

Диспетчер пользователей) позволяет создавать, удалять

Программа User Manager ( Диспетчер пользователей) позволяет создавать, удалять и отключать локальные учетные записи на компьютере рабочей группы.
Программа User Manager for Domains (Диспетчер пользователей доменов) позволяет создавать, удалять и отключать глобальные и локальные учетные записи на основном контроллере домена.
Защищайте новые учетные записи первоначальным паролем и обяжите пользователей менять пароль при первой регистрации в системе. Это обеспечит защиту учетной записи и конфиденциальность пользовательского пароля.
Создавая домашние каталоги пользователей, Вы указываете диск, к которому будет подключен пользователь, имя сервера и сетевое имя ресурса. Чтобы автоматизировать назначение имен домашних каталогов, вместо имени пользователя применяйте переменную среды %Usemame%.
Ограничивая время регистрации, Вы указываете дни недели и интервал времени, когда для пользователя разрешена или запрещена регистрация.
Чтобы ограничить доступные пользователю места работы, Вы можете указать до восьми компьютеров, где может регистрироваться данный пользователь.
Вы можете указать дополнительные параметры учетной записи: срок действия и тип. Последний параметр применяется для создания локальной учетной записи для пользователя из другого домена, с которым у Вас нет доверительных отношений.

Дополнительную информацию о...	Вы найдете в...
создании учетных записей пользователей	главе 2, «Working with User and Group Accounts», документа Microsoft Windows NT Server Concepts and Planning
доверительных отношениях между доменами	главе 1, «Managing Microsoft Windows NT Server Domains», документа Microsoft Windows NT Server Concepts and Planning; главе 2, «Network Security and Domain Planning», руководства Networking Guide комплекта документации Microsoft Windows NT Server Resource Kit
службе удаленного доступа и доступе к сети по телефонной линии	главе 7, «RAS Security», документа Microsoft Windows NT Server Networking Supplement

Пользовательский профиль определяет рабочую среду.

Пользовательский профиль определяет рабочую среду. Профиль по умолчанию создается при первой регистрации пользователя в системе.
Локальный профиль пользователя содержит пользовательские настройки рабочей среды на данном компьютере.
Серверные профили обеспечивают пользователю одну и ту же рабочую среду при регистрации с любого сетевого компьютера, работающего под управлением Windows NT.
Персональный серверный профиль пользователя обновляется, когда пользователь изменяет параметры среды. У каждого пользователя есть персональный серверный профиль.
Обязательный серверный профиль не может быть изменен пользователями. Такой профиль назначается многим пользователям.

Дополнительную информацию о...
Вы найдете в...
сценариях регистрации
главе 3, «Managing User Work Environments», документа Microsoft Windows NT Server Concepts and Planning
профилях пользователей
главе 3, «Managing User Work Environments», документа Microsoft Windows NT Server Concepts and Planning
создании профилей пользователей Windows 95
главе 15, «User Profiles and System Policies», книги Ресурсы Microsoft Windows 95
Рекомендации

До того как Вы начнете создавать учетные записи пользователей, ознакомьтесь с приведенными ниже рекомендациями.
Чтобы повысить уровень защиты, создайте для себя учетную запись без привилегий для выполнения обычных работ. Регистрируйтесь по учетной записи Administrator только для решения административных задач.
Разрешайте доступ по учетной записи Guest (Гость) только в случае невысоких требований к безопасности и тем не менее всегда защищайте ее паролем. Эта запись по умолчанию отключена.
Всегда защищайте учетные записи паролем.
Требуйте от новых пользователей смены пароля при первой регистрации в системе (режим по умолчанию). Это заставит пользователей защищать свою учетную запись.
В сетях со средними и высокими требованиями к безопасности защищайте все создаваемые учетные записи случайно генерируемыми паролями.
Если пользователи часто регистрируются с разных компьютеров, используйте серверные профили. Это обеспечит пользователям привычную рабочую среду.
Создавая домашний каталог или персональный пользовательский профиль, всегдаиспользуйте переменную среды %Username%. Эта переменная автоматически заменяется именем учетной записи пользователя.
Если Ваш сервер подключен к Интернету, переименуйте учетную запись Administrator. Это поможет предотвратить взлом системы.

Серверные профили пользователей

В отличие от профиля по умолчанию, серверный профиль обеспечивает пользователю одну и ту же рабочую среду вне зависимости от того, с какого компьютера (под управлением Windows NT) зарегистрировался пользователь. Эти профили хранятся на сетевом сервере (отсюда и название), а не на пользовательском компьютере.

С каждой учетной записью можно связать один из двух типов профилей.

Персональный профиль пользователя. Пользователь может изменять такой профиль, причем все сделанные изменения сохраняются в профиле и после выхода пользователя из системы. При следующей его регистрации будет использован профиль, сохраненный в последний раз. При работе с персональными профилями каждому пользователю следует назначить собственный профиль.

Персональные профили пользователей хранятся в файлах Ntuser.dat.

Обязательный профиль пользователя. Это предварительно настроенный профиль, который пользователь не может изменить. Один и тот же, он может применяться к нескольким пользователям. Это, в частности, позволяет, изменив один профиль, изменить рабочую среду нескольких пользователей. Профили этого типа применяются для организации рабочего стола всех пользователей, нуждающихся в одной и той же рабочей среде, например для банковских операционистов.

Обязательные профили хранятся в файлах с обязательным расширением .man. Персональный профиль можно сделать обязательным, переименовав его, например, в Ntuser.man.

Примечание. Профили пользователей Windows NT не совместимы с профилями Windows 95. Профили для клиентов, работающих под управлением Windows 95, следует создавать на компьютере под управлением Windows 95.

Соглашение об именах

Соглашение об именах устанавливает, как пользователи будут называться при работе в сети. Разумные правила облегчат и Вам, и самим пользователям запоминание имен и их поиск в различных списках.

Вырабатывая соглашение об именах, обдумайте следующие моменты.

Учетные имена пользователей должны быть уникальны: глобальные учетные записи — в рамках домена, локальные — на соответствующем компьютере.

Имена пользователей могут содержать до 20 любых символов в верхнем или нижнем регистре, кроме символов '' [] ; : ¦ = , + * ? < > . Можно также использовать комбинации букв, цифр и специальных символов.

Если в Вашей организации много пользователей, подумайте, что делать с именами сотрудников-тезок. Возможны следующие решения:

использовать имя и несколько букв фамилии; например, если в штате фирмы два Ивана Петрова, то имя учетной записи первого может быть ИванП, а второго — ИванПе;

воспользоваться порядковыми номерами, например ИванП1 и ИванП2.

В больших организациях удобно помечать учетные записи временных сотрудников. Например, воспользуйтесь для этой цели префиксом В- (В-ИванП).

Полное имя

Учетная запись

Описание

Требования к паролю

Местонахождение домашнего каталога

Время работы

Допустимые места работы

Лариса Михайлова

Вице-президент

Директор по кадрам

Менеджер по продажам

Торговый

представитель

Лариса Михайлова

Торговый консультант (ночное время)

Торговый консультант (дневное время)

Главный бухгалтер

Бухгалтер

Временный сотрудник

Создание домашнего каталога

При создании домашнего каталога пользователя надо указать имя компьютера, на котором он будет находиться и его название. Для централизованного размещения основных каталогов выполните следующие действия.

Создайте на сервере папку Users (Пользователи) — в ней разместятся домашние каталоги пользователей. Эту операцию достаточно выполнить один раз.

Обеспечьте общий доступ к этой папке и присвойте право доступа Full Control (Полный контроль) всем пользователям, чтобы они могли подключаться к ней. Эту операцию также достаточно выполнить единожды.

Примечание. Папка Users с соответствующими правами доступа создана при установки учебных материалов (см. раздел «Об этой книге»). Совместное использование папок и назначение прав доступа к ним детально описаны в главе 5, «Защита сетевых ресурсов с помощью прав доступа», и в главе 6, «Защита сетевых ресурсов средствами NTFS».

Для каждой учетной записи укажите имя и местонахождение домашнего каталога в диалоговом окне User Environment Profile (Профиль пользователя).

Вместо имени пользователя в названии основного каталога можно ввести переменную среды %Username% — Windows NT заменит ее на учетное имя пользователя.

Укажите символ для сетевого диска при подключении пользователя к основному каталогу.

Ниже показан выбор домашнего каталога пользователя в диалоговом окне User Environment Profile (Профиль пользователя).

Примечание При создании локальной учетной записи в рабочей группе. Вы должны указать домашний каталог для работы на локальном компьютере. В поле Local Path (Локальный путь) введите локальный путь (например, с:\имя_папки), и Windows NT создаст указанную папку.

> Создание учетных записей

В этом упражнении Вы с помощью программы User Manager for Domains (Диспетчер пользователей доменов) зарегистрируете учетные записи пользователей, запланированные на предыдущем занятии (упражнение «Планирование новых учетных записей»). Если Вы не заполнили шаблон планирования учетных записей предыдущего занятия, воспользуйтесь примером из приложения «Шаблоны планирования».

Создание серверного профиля пользователя

Ниже описаны основные действия при создании серверных пользовательских профилей.

Создайте шаблон пользовательского профиля с подходящей конфигурацией. Для этого сначала создайте новую учетную запись, а затем настройте параметры рабочего стола.

Создайте папку Profiles и обеспечьте общий доступ к ней (здесь этот этап пропущен, поскольку соответствующая папка была создана при установке материалов учебного курса).

Скопируйте шаблон пользовательского профиля на сервер и укажите, кому разрешено пользоваться этим профилем.

В диалоговом окне User Environment Profile (Профиль пользователя) укажите путь к файлу профиля.

> Создание шаблона пользовательского профиля

В этом упражнении Вы создадите учетную запись Template Profile (Шаблон профиля) — модель профиля. Затем Вы настроите шаблон профиля.

В диалоговом окне New User (Новый пользователь) создайте учетную запись без пароля с именем Template Profile (Шаблон профиля). Снимите флажок User Must Change Password at Next Logon (Требовать смены пароля при следующей регистрации).

Зарегистрируйтесь по учетной записи Template Profile.

После регистрации будет автоматически создан локальный профиль по умолчанию для пользователя Template Profile; он размещается в папке диск:\ systemroot\Profiles. ; ,

Щелкните правой кнопкой мыши в любом месте рабочего стола и в появившемся меню щелкните пункт Properties (Свойства).

Появится диалоговое окно Display properties (Параметры дисплея).

Щелкните пункт Appearance (Вид). Запомните цветовую схему.

В диалоговом окне Color Schemes (Цвета) выберите другую схему и щелкните кнопку ОК. Изменения будут немедленно отражены на экране.

Выйдите из системы и зарегистрируйтесь под тем же именем.

Обратите внимание на цветовую схему: она взята из сохраненного Профиля.

Типы учетных записей пользователей

Учетные записи пользователей бывают трех типов: два из них — встроенные, они создаются автоматически при установке Windows NT Server или Windows NT Workstation, а еще один Вы создаете сами. Примеры встроенных учетных записей — Guest (Гость) и Administrator (Администратор).

Учетная запись

Описание

Учетная запись, созданная администратором

Позволяет пользователю зарегистрироваться на компьютере или в домене и получить определенные права доступа к сетевым ресурсам. Содержит сведения о пользователе, в том числе его имя и пароль

Guest (Гость)

Встроенная учетная запись Guest предназначена для допуска к ресурсам компьютера случайных пользователей (например, для допуска сотрудника, которому компьютер нужен на короткое время). По умолчанию эта учетная запись отключена

Administrator (Администратор)

Встроенная учетная запись Administrator используется для управления всеми ресурсами и конфигурацией компьютера или домена. Применяется при выполнении задач администрирования, например для создания или изменения учетных записей групп или отдельных пользователей, управления средствами защиты, настройки сетевого сервера печати или для предоставления пользователям прав доступа к ресурсам

Требования к паролям

Следующий элемент учетной стратегии— выработка требований к паролям пользователей. Пароль необходим каждой учетной записи, поскольку он защищает домен или компьютер от несанкционированного доступа. Это особенно важно в сетях со средним и высоким уровнем безопасности и для сетей, подключенных к Интернету. Разрабатывая стратегию парольной защиты, имейте в виду следующее.

Учетная запись Administrator (Администратор) обязательно должна быть защищена паролем, чтобы предотвратить неавторизованный доступ к ее возможностям.

Решите, кто будет управлять паролями. Возможно несколько вариантов:

назначить пользователю пароль и запретить его изменение (в этом случае управление паролями возлагается на администратора);

назначить пароль, но потребовать, чтобы пользователь изменил его при первой регистрации в системе (в этом случае учетная запись всегда защищена, а пароль известен только владельцу учетной записи; здесь управление паролями возложено на пользователя).

Решите, нужно ли задавать срок действия учетной записи. Для внештатных сотрудников ограничьте этот срок временем действия контракта или трудового соглашения.

Порекомендуйте пользователям приведенные ниже правила выбора паролей для защиты от хакеров.

Не использовать очевидные ассоциации, например имя члена семьи или любимого домашнего животного.

Не использовать в составе пароля учетное имя пользователя.

Применять длинные пароли — пароль может содержать до 14 символов.

Пароли чувствительны к регистру символов, поэтому можно использовать символы в верхнем и нижнем регистрах. Например, пароль SeCret отличается от пароля secret.

Включать в пароль цифры.

Удаление и переименование учетных записей

В Windows NT каждой учетной записи при ее создании присваивается уникальный защитный код (Security Identifier, SID) — число, которое идентифицирует учетную запись. Системные процессы Windows NT оперируют именно с идентификатором защиты, а не именами учетных записей пользователей и групп.

Удаление учетной записи навсегда уничтожает и ее саму, и связанные с ней права. Например, если Вы создадите учетную запись, потом удалите ее, а затем создадите новую запись с тем же именем, новая запись не приобретет привилегий и прав доступа удаленной записи, поскольку эти записи имеют разные идентификаторы защиты. При переименовании учетной записи ее права и привилегии сохраняются, поскольку идентификатор защиты остается прежним.

Действие

Когда применяется

Переименование учетной записи

Если нужно передать все права доступа, привилегии и принадлежность к группам другому пользователю. Например, когда новый сотрудник заменяет старого, переименуйте учетную запись и потребуйте от нового пользователя сменить пароль при первом входе в систему

Удаление учетной записи

Если учетная запись больше не нужна. После удаления учетной записи исчезает вся информация о правах доступа, разрешениях, принадлежности к группам и т.д. Учетные записи Guest (Гость) и Administrator (Администратор) не могут быть удалены

> Переименование учетной записи

В этом упражнении Вы создадите учетную запись, а затем переименуете ее.

Создайте новую учетную запись Temp1.

В окне программы User Manager (Диспетчер пользователей) выделите учетную запись Temр.

В меню User (Пользователь) щелкните пункт Rename (Переименовать).

В окне Change To (Новое имя) наберите ТеmрЗ, а затем щелкните кнопку ОК.

Содержимое окна программы User Manager (Диспетчер пользователей) немедленно обновится.

> Удаление учетной записи

В окне программы User Manager (Диспетчер пользователей) выделите учетную запись ТетрЗ.

Нажмите клавишу DELETE или в меню User (пользователь) щелкните пункт Delete (удалить).

Появится окно с предупреждением, что после удаления учетной записи даже создание новой учетной записи с тем же именем не вернет права прежней записи.

Прочитав предупреждение, щелкните кнопку ОК.

Появится окно с вопросом, хотите ли Вы удалить учетную запись.

Щелкните кнопку Yes (Да) — и учетная запись будет удалена.

Указание пути к перемещаемому профилю

После того как профиль скопирован на сервер, нужно указать путь к нему. Это делается в диалоговом окне User Environment Profile (Профиль пользователя) программы User Manager for Domains (Диспетчер пользователей доменов).

В окне User Profile Path (Путь к профилю пользователя) укажите местонахождение пользовательского профиля на сервере.

Если профиль персональный, введите имя сервера, сетевое имя папки Profiles (в этом упражнении папка Profiles имеет сетевое имя Profiles) и переменную среды %Usemame%. Операционная система подставит вместо переменной %Usemame% имя учетной записи.

Если профиль обязательный, введите имя сервера, сетевое имя папки Profiles и полное имя файла профиля, например \Server\Profiles\Ntuser.man.

Примечание Если серверный профиль предназначен многим пользователям, Вы можете указать путь к нему сразу для нескольких учетных записей, выбрав их в окне утилиты User Manager.

> Как указать путь к серверному профилю

В окне User Manager дважды щелкните запись User2.

Появится диалоговое окно User Properties (Свойства пользователя).

В диалоговом окне User Properties (Свойства пользователя) щелкните кнопку Profile (Профиль).

В поле User Profile Path (Путь к пользовательскому профилю) введите \\uмя_компьюmepa\profiles\%Username% (имя_компьютера — это имя Вашего компьютера).

Чтобы внесенные изменения оказали действие, два раза щелкните кнопку ОК.

Выйдите из программы, а затем — из системы. ^ Проверка серверного профиля

Выйдите из системы и зарегистрируйтесь по учетной записи User2. Заметьте, что установлены цвета экрана, заданные в профиле Template Profile.

> Проверка серверного профиля с другого компьютера

Если у Вас есть доступ к двум компьютерам одной сети, завершите упражнение проверкой со второго компьютера.

Зарегистрируйтесь на втором компьютере по учетной записи User2.

Если появится диалоговое окно с запросом параметров профиля, щелкните кнопку Download (Загрузить).

Заметьте, что цвета экрана те же, что и на первом компьютере, поскольку серверный профиль шаблона учетной записи загружается с сервера и применяется на том компьютере, где зарегистрировался пользователь.

Выйдите из системы.

> Определение типа профиля, назначенного пользователю

Зарегистрируйтесь по учетной записи Administrator и откройте панель управления (Control Panel).

Щелкните дважды значок System (Система), а затем — вкладку User Profiles (Профили пользователей).

Убедитесь, что пользователю User2 назначен серверный профиль.

Закройте все программы и выйдите из системы.

Утилиты User Manager и User Manager for Domains

Утилиты User Manager (Диспетчер пользователей) и User Manager for Domains (Диспетчер пользователей доменов) очень похожи друг на друга. Первая позволяет создавать, удалять или временно отключать локальные учетные записи пользователей на компьютере, входящем в рабочую группу. Вторая предназначена для выполнения тех же операций с глобальными учетными записями на основном контроллере домена и с локальными учетными записями на любом компьютере домена.

Ниже показано окно программы User Manager for Domains (Диспетчер пользоателей доменов). Такие же параметры учетной записи пользователя, кроме пункта Select Domain (Выбрать домен), есть и в программе User Manager (Диспетчер пользователей). Пункт Select Domain (Выбрать домен) позволяет администратору выбрать другой домен или компьютер, где необходимо выполнить администрирование учетных записей.

Изображенное ниже диалоговое окно New User (Новый пользователь) заимствовано из программы User Manager for Domains (Диспетчер пользователей доменов). Это окно раскрывается после щелчка мышью пункта New User (Добавить пользователя) меню User (Пользователь).

В диалоговом окне New User (Новый пользователь) программы User Manager (Диспетчер пользователей) имеются те же параметры, кроме кнопок Hours (Часы работы), Logon To (Доступ к...) и Account (Учетная запись). При администрировании глобальных учетных записей эти кнопки используются для установки времени работы, ограничения доступа к рабочим станциям и срока действия учетной записи.

В приведенной ниже таблице описаны параметры, задаваемые в окне New User (Новый пользователь) программ User Manager (Диспетчер пользователей) и User Manager for Domains (Диспетчер пользователей доменов).

Параметр

Описание

Username

(Имя пользователя)

Единственный необходимый параметр — уникальное имя, сконструированное на основе принятого соглашения об именах

Full Name

(Полное имя)

Настоящее имя пользователя; необязательный параметр

Description

(Описание)

Описание, которое поможет отождествить пользователя: название должности, отдел или номер комнаты, где работает пользователь; необязательный параметр

Password

(Пароль)

Первоначальный пароль для регистрации в системе. В сетях со средним и высоким уровнем защиты этот пароль следует задавать всегда, чтобы обезопасить учетные записи. По умолчанию пользователь должен сменить пароль при первом входе в систему. Заметьте, что пароль на экране не отображается. Вместо него и вне зависимости от его настоящей длины на экран выводится 14 звездочек

Confirm password

(Подтверждение пароля)

Предназначено для повторного ввода пароля для контроля правильности набора. При назначении пароля этот параметр необходим

Приведенные ниже вопросы помогут Вам

Выбор часов регистрации

Параметр Logon Hours (Часы регистрации) позволяет выбрать дни недели и интервал времени, когда пользователю разрешена (или запрещена) регистрация в системе.

Ограничение часов регистрации позволяет уменьшить трафик сети, а также снизить опасность взлома сети.

Примечание Пользователь, подключенный к ресурсам домена, не будет отключен, когда истечет его время регистрации, однако он не сможет подключиться ни к одному новому ресурсу.

> Как указать часы регистрации

В окне программы User Manager (Диспетчер пользователей) дважды щелкните учетную запись, для которой необходимо ограничить время работы (см. шаблон планирования учетных записей предыдущего занятия).

В диалоговом окне User Properties (Свойства пользователя) щелкните кнопку Hours (Время).

Закрашенный прямоугольник указывает, что пользователь может зарегистрироваться в течение этого часа, а пустой — что регистрация запрещена. По умолчанию пользователям разрешена круглосуточная работа всю неделю (на это указывают закрашенные прямоугольники).

Укажите курсором мыши на прямоугольник, соответствующий дню и часу, когда Вы хотите запретить доступ. Держа кнопку мыши нажатой, перетащите указатель к часу, до которого запрещен доступ. Выделенный интервал времени будет затенен.

Щелкните кнопку Disallow (Запретить). Линии, указывающие на часы доступа, исчезнут.

Повторите пункты 3—4 для всех случаев, когда в какое-то время доступ пользоателя должен быть запрещен.

Чтобы вернуться в диалоговое окно User Properties (Свойства пользователя), щелкните кнопку ОК.

Чтобы вернуться в окно программы User Manager (Диспетчер пользователей), щелкните кнопку ОК.

Ограничьте часы работы для всех пользователей, которым разрешено входить в систему только в указанное время.

> Проверка настройки часов регистрации

Выйдите из системы, а затем попробуйте зарегистрироваться по учетной записи торгового представителя.

Если Вам будет предложено изменить пароль, введите student. Помните, что пароль чувствителен к регистру символов. Удалось ли Вам зарегистрироваться? Почему?

ответ

Выйдите из системы, а затем попробуйте зарегистрироваться по учетной записи пользователя, которому Вы запретили доступ в ночное время.

Если Вам будет предложено изменить пароль, введите student. Удалось ли Вам зарегистрироваться? Почему?

ответ

Выбор параметров пароля

Вне зависимости от того, установили ли Вы пароль новой учетной записи, пользоателю при первой регистрации придется назначить новый пароль. Параметры пароля задаются в диалоговом окне New User (Новый пользователь).

В приведенной ниже таблице перечислены параметры пароля и ситуации, в которых они могут потребоваться.

Флажок

Когда применяется

User Must Change Password at Next Logon (Требовать смены пароля при следующей регистрации), режим по умолчанию

Если Вы хотите, чтобы пользователи меняли свои пароли при первой регистрации в системе. Это обеспечивает конфиденциальность пароля. Даже если Вы не назначаете пароль, Вы должны заставить пользователей задать его при первой регистрации

User Cannot Change Password

(Запретить смену пароля пользователем)

Если несколько пользователей работают по одной учетной записи (например, Guest), или Вы хотите сохранить административный контроль за пользовательскими паролями

Password Never Expires

(Срок действия пароля не ограничен)

Для учетных записей, менять пароль которых не требуется. Например, учетные записи, которыми пользуются службы Windows NT (служба репликации и др.). Этот флажок отменяет действие флажка User Must Change Password at Next Logon

Account Disabled

(Учетная запись отключена)

Если нужно временно запретить использование учетной записи (например, в случае командировки сотрудника)

Основные понятия

(Продолжительность занятия 10 минут)

Учетная запись пользователя — основа защиты Windows NT. Это — уникальный личный код, предоставляющий право на доступ к ресурсам.

Изучив материал этого занятия, Вы сможете:

перечислить типы учетных записей пользователей;

объяснить разницу между локальными и глобальными учетными записями.

Каждый пользователь, регулярно работающий в домене или на одном из его компьютеров, должен иметь учетную запись. Учетные записи позволяют администратору контролировать доступ пользователей к ресурсам домена и локальным ресурсам компьютера, например ограничить часы, когда пользователь может зарегистрироваться в домене.

Планирование учетных записей пользователей

(Продолжительность занятия 30 минут)

Прежде чем создавать учетные записи, Вам необходимо сформулировать свои требования к пользователям, учитывая принятый в Вашей сети уровень защиты — так называемую учетную стратегию. На этом занятии Вы познакомитесь с принципами формирования учетной стратегии в сетях с низким, средним и высоким уровнями защиты.

Изучив материал этого занятия, Вы сможете:

перечислить пяить составляющих эффективной учетной стратегии;

спланировать стратегию регистрации новых пользователей;

объяснить, как требования к паролям влияют на степень безопасности;

описать назначение и варианты расположения домашних каталогов пользователей.

и управления средой рабочего стола