В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты




НазваниеВ ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты
страница2/10
Дата конвертации11.12.2012
Размер0.97 Mb.
ТипДокументы
1   2   3   4   5   6   7   8   9   10

5. Управление профилями пользователей.

Профили пользователей

Профиль пользователя (user profile) — это набор папок и файлов данных, содержащих элементы среды рабочего стола конкретного пользователя. Профиль состоит из:

• ярлыков в меню Пуск (Start), на рабочем столе и на панели быстрого запуска;

• документов на рабочем столе и, если не настроена переадресация, в папке Мои документы (My Documents); Свойства папки Мои документы (My Documents) и политик перенаправления папок в групповой политике позволяют настраивать хранение папок Мои документы в сети. Таким образом, содержимое папки можно хранить на сервере, где ее можно архивировать и проверять на наличие вирусов. Кроме того, вы можете обеспечить пользователю доступ к своей папке, даже если он перейдет на другой компьютер в сети организации. Также папку Мои документы можно сделать доступной в автономном режиме, чтобы пользователи могли обращаться к своим файлам локально, без подключения к сети.

• избранных страниц и файлов «cookie» в Internet Explorer;

• сертификатов (если они внедрены в сети);

• специальных файлов приложений, например пользовательского словаря, шаблонов и списка автотекста в Microsoft Office;

• содержимого папки Сетевое окружение (My Network Places);

• параметров отображения рабочего стола, например, его вида, фона и заставки.

Эти важные элементы у каждого пользователя свои. Желательно, чтобы они не изменялись между входами в систему, были доступны, если пользователю потребуется войти в другую систему, и их можно было восстановить в случае, если система даст сбой и ее потребуется переустановить.
Локальные профили пользователей

По умолчанию профили пользователей хранятся локально в папке %Systemdrive%\Documents and Settings\%Username% и работают следующим образом:

• Когда пользователь входит в систему впервые, система создает для него профиль путем копирования профиля Пользователь по умолчанию (Default User). Имя для нового профиля формируется на основе имени для входа, указанного при первом входе в систему.

• Все изменения рабочего стола пользователя и программной среды хранятся в локальном профиле пользователя. Для каждого пользователя существуют отдельные профили, поэтому все параметры индивидуальны.

• Пользовательская среда расширена за счет профиля Все пользователи (All Users), который может включать ярлыки на рабочем столе или в меню Пуск (Start), адреса компьютеров в сети и даже данные приложений. Для создания среды пользователя элементы профиля Все пользователи (All Users) соединяются с профилем пользователя. По умолчанию только члены группы Администраторы (Administrators) могут модифицировать профиль Все пользователи (All Users).

• Профиль является локальным в полном смысле. Если пользователь входит в другую систему, документы и параметры, являющиеся частью его профиля, не перемещаются. Вместо этого, когда пользователь впервые входит в систему, она генерирует для него новый локальный профиль.
Перемещаемые профили пользователей

Если пользователь работает на нескольких компьютерах, вы можете настроить перемещаемый профиль пользователя (roaming user profile, RUP), чтобы гарантировать сохранность и неизменность его документов и параметров вне зависимости от того, в какую систему он входит. RUP хранит профили на сервере, а значит, их можно архивировать, проверять на наличие вирусов и централизованно управлять ими. Даже в среде, где пользователи не перемещаются, RUP обеспечивает сохранность важной информации. Если система пользователя дала сбой и ее необходимо переустановить, RUP гарантирует, что новая пользовательская среда будет идентичная предыдущей. Чтобы настроить RUP, создайте общую папку на сервере. В идеальном случае это должен быть файловый сервер, на котором часто проводится архивирование.
Создание преднастроенного группового профиля

При помощи перемещаемых профилей можно создать стандартную среду рабочего стола для нескольких пользователей с одинаковыми должностными обязанностями. Этот процесс схож с процессом создания преднастроенного профиля для одного пользователя, но результирующий профиль будет доступен нескольким пользователям.

Создайте профиль, выполнив описанные выше действия. При копировании профиля на сервер укажите такой путь: \\<имя_сервера>\<имя_общего_ресурса>\<имя_группвого_профиля>. Необходимо разрешить доступ всем пользователям, которые будут использовать этот профиль. Для этого в области Разрешить использование (Permitted To Use) щелкните Изменить (Change) и выберите группу, в которую входят все пользователи, или группу BUILTIN\USERS, которая включает всех пользователей домена. В действительности профиль будет применен только к тем пользователям, для объектов которых вы указали путь к этому профилю.

После того как профиль скопирован в сеть, необходимо настроить путь к нему для тех пользователей, которым он предназначен. Windows Server 2003 упрощает эту задачу — путь к профилю можно изменить одновременно для нескольких выбранных пользователей. Введите тот же UNC, который вы указали при копировании профиля в сеть, например \\<имя_сервера>\<имя_общего_ресурса>\<имя_группового_профиля>.

Путь к профилю настраивается как свойство одного или нескольких объектов пользователей. Он не назначается объекту группы. Хотя мы считаем, что профиль является групповым, не попадитесь в ловушку — не пытайтесь связать профиль с объектом самой группы.

И наконец, поскольку к групповому профилю получат доступ несколько пользователей, его необходимо сделать обязательным, как описано в следующем разделе.
Настройка обязательного профиля

Обязательный профиль не позволяет пользователям изменять среду профиля. Точнее, обязательный профиль не сохраняет изменения от сеанса к сеансу. Хотя пользователь и может внести изменения, при следующем входе в систему его рабочий стол будет выглядеть так же, как раньше.

Обязательные профили удобны в ситуациях, когда вы хотите зафиксировать состояние рабочего стола. То есть в практическом смысле обязательные профили полезны, если, создавая групповые профили, вы не хотите, чтобы изменения, которые внесет один пользователь, повлияли на среду других пользователей.

Чтобы сделать профиль обязательным, просто переименуйте файл в корневой папке профиля. Интересно, что обязательные профили не настраиваются путем назначения разрешений. Файл, который вам требуется переименовать, — Ntuser.dat. Это скрытый файл, поэтому убедитесь, что в программе Свойства папки (Folder Options) из Панели управления вы включили параметр Показывать скрытые файлы и папки (Show hidden files and folders), или запустите из командной строки программу attrib, чтобы снять атрибут Скрытый (Hidden). Возможно, вам понадобится включить в Проводнике Windows отображение расширений файлов.

Найдите файл Ntuser.dat в профиле, который собираетесь сделать обязательным.

Переименуйте его в Ntuser.man. Профиль (перемещаемый или локальный) теперь является обязательным.
6. Учетные записи групп. Управление учетными записями групп.

Пользователи, группы и компьютеры — ключевые объекты в службе каталогов Active Directory, так как они позволяют всем, кто использует компьютер в сети, идентифицировать себя в качестве участника безопасности. Без такой идентификации персонал не сможет получить доступ к компьютерам, программам и данным, необходимым для повседневной работы. Хотя для минимальной идентификации достаточно знать имя пользователя и компьютера, управление участниками безопасности для отдельного пользователя серьезно усложнится, если не организовать пользователей в группы. На определенном этапе назначать разрешения каждому из множества пользователей станет просто невозможно, однако при разумном использовании групп назначение разрешений и управление ими сильно упрощается.

В Windows Server 2003 существует два типа групп, каждая из которых может иметь три области действия. Понимание их структуры в рамках соответствующей области действия гарантирует оптимальное распределение административных ресурсов при управлении правами доступа к ресурсам. Возможности конструкции группы также зависят от того, в каком режиме работает их родительский домен или лес Windows Server 2003: основном, промежуточном или смешанном. В Windows Server 2003 несколько групп уже созданы предварительно, или встроены. Вы можете создать дополнительно столько групп, сколько пожелаете.

Группы (groups) — это контейнеры, содержащие объекты пользователей и компьютеров. Если разрешения безопасности для группы заданы в таблице управления доступом (Access control list, ACL) для некоего ресурса, то их получают все члены группы. В Windows Server 2003 существует два типа групп: безопасности и распространения. Группы безопасности (security groups) используют для назначения разрешений доступа к сетевым ресурсам. Группы распространения (distribution groups) применяются для объединения пользователей в списки рассылки электронной почты. Группу безопасности можно использовать в качестве группы распространения, но не наоборот. Правильное планирование структуры групп влияет на производительность и масштабируемость, особенно в корпоративных средах, содержащих множество доменов.

Хотя в таблицах ACL можно задавать параметры для отдельных участников безопасности (пользователей и компьютеров), эта практика должна быть скорее исключением из общего правила. Если вы обнаружите, что задаете в ACL слишком много исключений для пользователя какой-либо группы, пересмотрите его членство в этой группе.

Функциональные уровни доменов

В Windows Server 2003 доступны четыре функциональных уровня домена: смешанный Windows 2000 (выбирается по умолчанию), основной Windows 2000, промежуточный Windows Server 2003 и основной Windows Server 2003.

Смешанный режим Windows 2000. Поддерживает контроллеры доменов Windows NT 4/2000 и Windows Server 2003.

Основной режим Windows 2000. Поддерживает контроллеры доменов Windows 2000 и Windows Server 2003.

Промежуточный режим Windows Server 2003. Поддерживает контроллеры доменов Windows 4 и Windows Server 2003.

Windows Server 2003. Поддерживает контроллеры доменов Windows Server 2003.

.

Область действия группы

Область действия группы (group scope) определяет, каким образом участникам группы назначаются разрешения. В Windows Server 2003 и группы безопасности, и группы распространения классифицируют по трем областям действия: локальная доменная, глобальная и универсальная.

Локальные группы

Локальные группы (local groups), или локальные группы компьютеров, используются в основном для обратной совместимости с Windows NT 4. На компьютерах с Windows Server 2003 существуют локальные пользователи и группы, сконфигурированные как рядовые серверы. Контроллеры доменов не используют локальные группы.

• Локальные группы могут содержать участников из любого домена в пределах леса, из доверенных доменов в других лесах и более низкого уровня.

• Локальная группа действует в пределах конкретного компьютера и может предоставлять разрешения для ресурсов только на этом компьютере.

Локальные группы домена

Локальные группы домена (domain local groups) главным образом используются для назначения глобальным группам разрешений на доступ к локальным ресурсам домена.

Характерные черты локальных групп домена таковы:

• Существуют во всех режимах работы доменов и лесов — смешанном, промежуточном и основном.

• Доступны в пределах всего домена только в доменах основного режима Windows 2000 или доменах Windows Server 2003. Локальная группа домена функционирует подобно локальной группе на контроллере домена, пока домен работает в смешанном режиме.

• Могут содержать участников из любого домена в пределах леса, из доверенных доменов в других лесах и более низкого уровня.

• Действуют в пределах домена в основном режиме Windows 2000 и режиме Windows Server 2003 и могут использоваться для предоставления прав на ресурсы на любом компьютере с Windows Server 2003 в том домене, где определена группа.

Глобальные группы

Глобальные группы (global groups) чаще используются для предоставления категоризированного членства в локальных группах доменов для отдельных участников безопасности и для прямого назначения разрешений (в частности, в доменах смешанного или промежуточного режимов). Часто глобальные группы применяются для объединения пользователей или компьютеров в одном домене и совместного исполнения одной работы, роли или функции. Характеристики глобальных групп таковы.

• Существуют во всех режимах работы доменов и лесов — смешанном, промежуточном и основном.

• Могут содержать только членов из своего домена.

• Могут сами являться членами локальной группы компьютера или домена.

• Могут получать разрешения в любом домене, включая доверенные домены в других лесах и домены пред-Windows 2003.

• Могут содержать другие глобальные группы, но только в домене, работающем в основном режиме Windows 2000 или в режиме Windows Server 2003.

Универсальные группы

Универсальные группы (universal groups) в основном применяют для предоставления доступа к ресурсам во всех доверенных доменах. Однако такие группы могут использоваться только как участники безопасности (то есть как группы безопасности) в доменах, работающих в основном режиме Windows 2000 или в режиме Windows Server 2003.

• Универсальные группы могут содержать участников из любого домена в лесу.

• В домене основного режима Windows 2000 или режима Windows Server 2003 универсальным группам могут предоставляться разрешения в любом домене, включая доверенные домены в других лесах.

Универсальные группы помогают представить и объединить группы, которые распределены по разным доменам и выполняют типичные функции в рамках вашей организации. Рекомендуется делать универсальными широко используемые и редко изменяемые группы.

7. Учетные записи компьютеров.

Как и пользователю, компьютеру можно присвоить учетную запись с именем и паролем, при помощи которой будет создана безопасная связь этого компьютера с доменом и которая также может потребовать смены пароля или отключения.

стандартной конфигурации Windows Server 2003 и всех ОС Microsoft Windows компьютер принадлежит какой-либо рабочей группе (workgroup).

Чтобы пользователь входил в систему под доменной учетной записью, компьютер должен принадлежать какому-нибудь домену: необходимо создать учетную запись компьютера и настроить его для присоединения к домену по этой учетной записи.

Учетная запись компьютера, как и учетная запись пользователя, содержит имя, пароль и идентификатор безопасности (security identifier, SID). Эти свойства встроены в класс объекта компьютера в Active Directory. Подготовка к включению компьютера в домен, таким образом, очень похожа на подготовку объекта пользователя для добавления в домен: вам нужно создать в Active Directory объект компьютера.

Создание учетных записей компьютеров

Для создания объекта компьютера в Active Directory необходимо быть членом групп Администраторы (Administrators) или Операторы учета (Account Operators) на контроллерах домена. Члены групп Администраторы домена (Domain Admins) и Администраторы предприятия (Enterprise Admins) по умолчанию являются участниками группы Администраторы (Administrators). Также можно делегировать административные права, чтобы другие пользователи или группы могли создавать объекты компьютеров.

Впрочем, пользователи домена также могут создавать объекты компьютеров косвенным путем. Когда компьютер присоединяется к домену, а учетная запись еще не создана, Active Directory по умолчанию автоматически создает объект компьютера в контейнере Computers. Каждому пользователю из группы Прошедшие проверку (Authenticated Users) (то есть всем пользователям) разрешается присоединять к домену до 10 компьютеров и, следовательно, создавать до 10 объектов компьютеров.
1   2   3   4   5   6   7   8   9   10

Похожие:

В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты iconВ ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты
Предлагается в 32 разрядном, 64 разрядном и встроенном (embedded) вариантах. Четыре редакции ос, которые перечислены ниже в порядке...
В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты iconВ ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты
Предлагается в 32 разрядном, 64 разрядном и встроенном (embedded) вариантах. Четыре редакции ос, которые перечислены ниже в порядке...
В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты iconВ ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты
Предлагается в 32 разрядном, 64 разрядном и встроенном (embedded) вариантах. Четыре редакции ос, которые перечислены ниже в порядке...
В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты iconУчетные записи пользователей Создание объектов пользователей в консоли Active Directory — пользователи и компьютеры
Ть объект пользователя можно в консоли Active Directory — пользователи и компьютеры. Хотя их можно создавать в домене или в любом...
В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты iconПрежде чем работать и детально изучать какую-то нам необходимо понимать ее суть, выучить и опять же понять все основные термины, а самое главное разложить в
«тонут» в терминах, встречающихся в документации. Посудите сами «Лес Active Directory, Дерево Active Directory, Схема Active Directory,...
В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты iconМониторинг и поддержка Active Directory в этой главе
Повседневный мониторинг и поддержка обязательны для оптимизации про- изводительности и надежности Active Directory. Active Directory...
В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты icon37. Групповые политики, функции и назначения. Объекты групповой политики. Назначение групповых политик для задач администрирования. Групповая политика
Сервер имен специальный сервер, осуществляющий отображение доменных имен в ip-адреса (и наоборот)
В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты iconСлужба шлюза управления Active Directory
Удаление службы шлюза управления Active Directory с серверов с системой Windows Server 2003 4
В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты iconМедиакомпоненты для сайта
В процессе эволюции Интернета появлялись все новые и новые средства мультимедиа. 
В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты iconНовые впечатления, новые открытия, новые знакомые, 
Кто-то записался на курсы в  из пластилина персонажей, делать серии снимков, записы
Разместите кнопку на своём сайте:
kak.znate.ru


База данных защищена авторским правом ©kak.znate.ru 2012
обратиться к администрации
KakZnate
Главная страница