User Manager for Domains
Windows NT Serwer pamięta informację o kontach użytkowników i grup w bazie
kont, na-zywanej bazą danych Security Account Manager. W środowisku domeny, ta
baza danych znaj-duje się w podstawowym kontrolerze domeny (Primary Domain
Contorller) i jest automatycznie powielana do każdego rezerwowego kontrolera
domeny (Backup Domain Controler), członka danej domeny. Jeśli NT Server jest
zainstalowany w samodzielnym serwerze, baza danych kont znajduje się lokalnie w
tym serwerze i nie jest rozdzielana na inne serwery w sieci.
Konta użytkowników i grup domeny są przechowywane w rozproszonej bazie danych
kont w podstawowym kontrolerze domeny. Dają one użytkownikowi dostęp przez
domenę do zasobów, do których ma niezbędne prawa i zezwolenia. Konta
użytkowników i grup stacji roboczej są przechowywane w lokalnej bazie danych
kont, na stacji roboczej będącej przedmiotem rozważań i kontrolują dostęp
użytkownika tylko do danej stacji roboczej.


NT Server dostarcza, w zależności od środowiska, w którym zostanie uruchomiony,
jeden z dwóch widoków tego samego narzędzia do zarządzania użytkownikami i
grupami. W środowisku domen, narzędzie to nazywa się User Manager for Domain. W
środowisku samodzielnego serwera nazywa się ono po prostu User Manager. User
Manager dostarcza podzbiór narzędzi dostarczonych z User Manager for Domain,
pozbawiony jest tylko narzędzi do zarządzania związanych z domenami. Zmiany
dokonywane przez User Managera dotyczą tylko lokalnej bazy danych kont w
komputerze, na którym jest on uruchomiony. Zmiany czynione przez User Managera
for Domains dotyczą rozproszonej bazy danych kont w zasadniczym kontrolerze
domeny, a nie lokalnej bazy danych kont i dlatego oddziałują na całą domenę.
User Mangera for Domains stosujemy do tworzenia i zarządzania kontami
użytkownika; do tworzenia i zarządzania grupami; do ustalania globalnej
strategii kont, dotyczącej wszystkich użytkowników w domenie; do ustalania
strategii kontroli (Audit POlicy) dla domeny; oraz do tworzenia i zarządzania
relacjami opartymi na wzajemnym zaufaniu pomiędzy domenami.

Uruchomienie User Managera for Domains
NT Server automatycznie instaluje, w trakcie instalacji kopię User Managera lub
User Mana-gera for Domains w Menu Start. Aby wywołać User Managera for Domains,
z przycisku Start wybierz Programs, następnie Administrative Tools i User
Manager for Domains. Indywidualne konta użytkowników są widoczne w głównym
panelu, a grupy są pokazywane w panelu dolnym. Jeśli istnieje więcej
użytkowników lub grup, niż może być wyświetlone w dostępnej przestrzeni, User
Manager dostarcza paska przesuwania, pozwalając wyświetlić tę część listy,
która zawiera pozycje do zarządzania.
Aby stosować User Managera lub Managera for Domains, do zarządzania odpowiednio
komputerami i domenami, musisz mieć konto z dostępem na poziomie
administratora, do komputera lub domeny, o których mowa. Masz niezbędny poziom
dostępu, jeśli Twoje konto jest członkiem grupy Administrators, grupy Domian
Admins lub grupy Accont Operators dla komputera lub domeny, którymi chcesz
zarządzać.
Można uruchomić User Managera z okienka Run. Na przykład:
usrmgr TTGNET
Polecenie to wywołuje UM z aktywną domeną TTGNET
usrmgr \\KERBY
Polecenie to wywołuje UM z aktywnym komputerem KERBY
Ikony skrótów na pulpicie też mogą zawierać takie polecenia jak wyżej.

Dodawanie użytkowników i zarządzanie nimi.
Aby rozpocząć dodawanie użytkowników lub zarządzanie istniejącymi użytkonikami,
zaloguj się w Windows NT Server na konto, które ma przywileje administratora i
uruchom User Manager for Domains. Pasek tytułowy aplikacji wyświetli nazwę
aktywnej domeny lub kom-putera, która domyślnie jest bieżącym komputerem lub
domeną. Można wybrać inną domenę lub komputer do modyfikacji bazy danych
Security Accont Manager, przez wybór Select Domain. Wprowadź nazwę domeny lub
komputera. Jeśli połączenie odbywa się przez dial-up lub inne powolne łącze,
możesz opcjonalnie zaznaczyć pole wyboru Low Speed Connection.

Tworzenie nowych użytkowników i ustalenie ich właściwości
Aby dodać użytkownika, wybierz opcję New User z menu User, by wyświetlić okno
dialo-gowe New User, jak na rysunku.

Wprowadź nazwę konta użytkownika w polu Username. Chociaż Windows NT Server
automatycznie przypisuje SID i używa go w funkcji klucza rekordu, musisz ciągle
podawać unikalną wartość dla Username. Wiele organizacji standaryzuje konwencje
nazw użytkowników przez tworzenie ośmioznakowych nazw użytkowników z pierwszymi
sześcioma lub siedmioma literami nazwiska i jedną literą każdego z imion.
Stosując ten lub zbliżony schemat, o wiele prościej zarządzać kontami
użytkowników, szczególnie w nie-jednorodnym środowisku sieci złożonych.
Opcjonalnie wprowadź całe nazwisko użytkownika w polu Full Name. W przypadku
jeśli domena zawiera wiele kont użytkowników, ustal wcześniej, jak będziesz
wprowadzał te dane i ustal wcześniej, jak będziesz wprowadzał te dane i trzymaj
się tego konsekwentnie. NT Server pozwala wyświetlać listę kont użytkowników
posor-towaną według full Name lug według Username. Wprowadzenie niektórych
pełnych nazwisk w formie "John Doe", a innych jako "Doe, John" czyni bardzo
trudnym zlokalizowanie właściwego konta w serwerze lub domenie z wieloma
kontami.
Wprowadź następnie i potwierdź hasło, które chcesz przypisać użytkownikowi. NT
wuświetla gwiazdki w trakcie wpisywania i wymaga wprowadzenia dwóch
identycznych wartości w dwóch polach, aby hasło zostało zaakceptowane. Hasło
może zawierać 14 znaków i jest wraż-liwe na wielkość liter. Zależnie od
ustawień w sekcji Account Policy, opisywancy dalej, możesz pozostawić pola
haseł puste lub może być konieczne wprowadzenie hasła o długości minimalnej
wyspecyfikowanej w Account Policy. Dla większego bezpieczeństwa, wprowadź hasło
co naj-mniej sześcio- (a lepiej ośmio- lub więcej) znakowe, używając kombinacji
liter i cyfr. Następnie zaznacz pole wyboru, specyfikując jak hasło powinno być
kontrolowane, a mianowicie:
User Must Change Password at Next Logon
Zaznacz to pole wyboru, aby wymusić zmianę hasła za pierwszym razem, kiedy
użytkownik zaloguje się na nowe konto. Wielu admininstratorów stosuje puste
hasła dla nowych kont, ułatwiając, w ten sposób pierwsze połączenie nowym
użytkownikom. Alternatywnie, niektórzy administratorzy usta-wiają hasło dla
nowego konta identycznie z nazwą, konta lub używając jako hasła identycznego
słowa, jak "password". Oczywiście każda z tych metod, upewnij się, że ustawiłeś
wymuszenie zmiany hasła za pierwszym razem, kiedy nowy użytkownik będzie się
logował.
User Cannot Change Password
Zaznacz to pole wyboru, aby wyspecyfikować, że tylko administrator może zmienić
hasło. Używanie tej opcji zabezpieczenia użytkowników przed wyborem prostych do
złamania haseł, ale wymóg częstej zmiany haseł dodaje sporo pracy
administratorowi.
Password Never Expires
Jeśli masz ustawiony czas obowiązywania hasła w Accont Policy, zaznaczenie tego
pola wyboru przekreśla ustawienie w Accont Policy. Zaznaczenie tej opcji
narusza fundamentalną zasadę zarządzania hasłami, ponieważ "stałe" hasło może
stać się znane. Dziwi więc, że wielu administratorów wymusza częstą zmianę
haseł użytkowników, którzy mają względnie ograniczone przywileje, ale ustawia
status hasła na stały dla własnego konta, które ma duże przywileje.
Accont Disabled
Zaznaczenie tego pola wyboru powoduje czasowe zablokowanie konta. Możesz to
zrobić, na przykład, gdy pracownik jest na urlopie lub czasowo nieobecny.
Proste wyczyszczenie tego pola przywraca kontu jego poprzedni status. Użycie
tej opcji jest alternatywą kasowania konta, które musi być odtworzone, gdy
pracownik wróci do pracy.
Account Locked Out
To pole wyboru pozostaje szare (zablokowane), dopóki nie odblokujesz Account
Lockuot w Account Policy. Jeśli Account Lockout jest odblokowane i kraker
próbuje dostać się do jakiegoś konta, konto zostaje zablokowane zgodnie z
parametrami ustawionymi dla blokady. Jeśli Lockout Duration (czas trwania
blokady) jest ustawiony na Forever (until admin unlocks). konto raz zablokowane
zgodnie z parametrami ustawionymi dla blokady. Jeśli Lockout Duration (czas
trwania blokady) jest ustawiony na Forever (until admin unlocks), konto raz
zablokowane pozostaje w tym stanie, dopóki administrator nie odblokuje go
ręcznie przez wy-czyszczenie tego pola wyboru.
Maintain NetWare Compatibility Login
Zaznacz to pole wyboru w celu uaktywnienia ikony NW Compatibility, opisanej w
tej części poniżej. Pole to jest obecne tylko wtedy, gdy zainstalowana jest
opcjonalna usługa File and Print Services for NetWare.

Przypisanie członkostwa grupy


Na okienku dialogowym New User kliknij przycisk Group, co otworzy okienko
dialogowe Group Membersihip. Domyślnie nowi użytkownicy mają przypisane
członkostwo w grupie Domain Users, co jest wyświetlane w panelu sterowania
Member of. Dostępne grupy, do których można przypisać użytkownika, są
wyświetlane w panelu Not member of. Możesz dwukrotnie kliknąć nazwę grupy, aby
przenieść ją z jednego panela do drugiego. Alternatywnie można zaznaczyć wiele
grup, używając standardowych metod [Ctrl+klikniecie] i [Shift+kliknięcie], a
następnie przenieś je w całości do przeciwnego panela, przyciskiem Add lub
Remove.

Ustalenie parametrów użytkownika i położenia katalogu macierzystego


Kolejny przycisk oznaczony Profile na okienku dialogowym New User otwierający
okienko User Environment Profile. Można opcjonalnie wyspecyfikować parametry
użytkownika i skrypt logowania.
User Profile Path
Wprowadź ścieżką sieciową do miejsca, gdzie zlokalizowane są parametry
użytkownika, używając składni UNC w formie \\servername\profilepath\username.
Logon Script Name
Można opcjonalnie przypisać użytkownikowi skrypt logowania, który będzie
uruchamiany przy każdym logowaniu się użytkownika. Skrypt może być plikiem
wsadowym (*.CMD lub *.BAT) albo plikiem wykonywalnym (*.EXE).
Za każdym razem, gdy użytkownik się loguje, serwer identyfikujący próbuje
zlokalizować skrypt logowania tego serwera. Domyślnie skrypty logowania
umieszczone są w katalogu \WINNT\system32\Rempl\Import\Scripts. Każdy
użytkownik może mieć przypisany swój unikalny skrypt logowania lub też
pojedynczy skrypt logowania może być wspólny dla wielu użytkowników.
Local Path
Jeśli katalog macierzysty jest zlokalizowany na lokalnym dysku twardym, należy
wprowadzić tu nazwę katalogu, na przykład c:\usr\rowed.
Connect To
Jeśli natomiast katalog macierzysty jest ulokowany na wspólnym dysku sieciowym,
wykorzystaj przewijaną listę wybiórczą do wybrania następnej litery napędu i
wtedy wprowadź położenie UNC w polu listy. Jeśli zarządzasz jednocześnie
wieloma kontami użytkowników, zamiast wprowadzać katalog macierzysty każdego
użytkownika, możesz zastąpić końcową nazwę katalogu w ścieżce wartością
metatekstu %USERNAME%.NT podstawi aktualną nazwę użytkownika dla każdego
konta.

Ustalenie zezwoleń telefonicznych.


Jeśli chcesz, żeby użytkownik mógł się dołączyć do domeny telefonicznie,
wyświetl okno dialogowe Dialin Information, klikają ikonę Dialin. Domyślnie,
Windows NT Server nie pozwala użytkownikowi, na dostęp telefoniczny. Zaznacz
pole wyboru Grant Dialin Permition to User, aby zmienić domyślnie ustawienia i
pozwolić użytkownikowi na dostęp telefoniczny. W sekcji Call Back, zaznacz
jedno z pól opcji:
No Call Back
Jest domyślna opcja, która pozwala abonentowi wywołującemu na ustanowienie
połączenia sieciowego z oryginalnym połączeniem telefonicznym. Jeśli abonent
jest klientem używającym Microsoft Dial-Up Networking. Proces połączenia może
być całkowicie zautomatyzowany, pozwalając abonentowi po prostu wyspecyfikować
numer z książki telefonicznej i ustanowić połączenie bez dalszych czynności.
Set By Caller
Ta opcja powoduje, że Widows NT Server Remote Access Service (RAS) pyta
abonenta o jego numer telefonu. Po uzyskaniu numeru, serwer RAS pyta abonenta o
jego numer telefonu. Po uzuskaniu numeru, serwer RAS przerywa połączenie i
dzwoni pod numer dostarczony przez abonenta. Możesz użyć tej opcji do
przerzucenia opłat na telefony zamiejscowe z abonenta na serwer RAS. Wybranie
tej opcji pozwala także na rejestrację, dla celów bezpieczeństwa, numerów
telegonicznych, z których było inicjowane połączenie.
Preset To
Ta opcja jest najbardziej restrykcyjna. Gdy jest aktywna, serwer RAS odbiera
przychodzące wywołanie, identyfikuje abonenta i przerywa połączenie. Następnie
dzwoni pod zaprogramowany w serwerze numer i ustanawia połączenie. Metoda ta
jest najbardziej odpowiednia dla klientów znajdujących się stale w ustalonym
miejscu.