User Manager for Domains

Windows NT Serwer pamięta informację o kontach użytkowników i grup w bazie kont, na-zywanej bazą danych Security Account Manager. W środowisku domeny, ta baza danych znaj-duje się w podstawowym kontrolerze domeny (Primary Domain Contorller) i jest automatycznie powielana do każdego rezerwowego kontrolera domeny (Backup Domain Controler), członka danej domeny. Jeśli NT Server jest zainstalowany w samodzielnym serwerze, baza danych kont znajduje się lokalnie w tym serwerze i nie jest rozdzielana na inne serwery w sieci.

Konta użytkowników i grup domeny są przechowywane w rozproszonej bazie danych kont w podstawowym kontrolerze domeny. Dają one użytkownikowi dostęp przez domenę do zasobów, do których ma niezbędne prawa i zezwolenia. Konta użytkowników i grup stacji roboczej są przechowywane w lokalnej bazie danych kont, na stacji roboczej będącej przedmiotem rozważań i kontrolują dostęp użytkownika tylko do danej stacji roboczej.

NT Server dostarcza, w zależności od środowiska, w którym zostanie uruchomiony, jeden z dwóch widoków tego samego narzędzia do zarządzania użytkownikami i grupami. W środowisku domen, narzędzie to nazywa się User Manager for Domain. W środowisku samodzielnego serwera nazywa się ono po prostu User Manager. User Manager dostarcza podzbiór narzędzi dostarczonych z User Manager for Domain, pozbawiony jest tylko narzędzi do zarządzania związanych z domenami. Zmiany dokonywane przez User Managera dotyczą tylko lokalnej bazy danych kont w komputerze, na którym jest on uruchomiony. Zmiany czynione przez User Managera for Domains dotyczą rozproszonej bazy danych kont w zasadniczym kontrolerze domeny, a nie lokalnej bazy danych kont i dlatego oddziałują na całą domenę.

User Mangera for Domains stosujemy do tworzenia i zarządzania kontami użytkownika; do tworzenia i zarządzania grupami; do ustalania globalnej strategii kont, dotyczącej wszystkich użytkowników w domenie; do ustalania strategii kontroli (Audit POlicy) dla domeny; oraz do tworzenia i zarządzania relacjami opartymi na wzajemnym zaufaniu pomiędzy domenami.

Uruchomienie User Managera for Domains

NT Server automatycznie instaluje, w trakcie instalacji kopię User Managera lub User Mana-gera for Domains w Menu Start. Aby wywołać User Managera for Domains, z przycisku Start wybierz Programs, następnie Administrative Tools i User Manager for Domains. Indywidualne konta użytkowników są widoczne w głównym panelu, a grupy są pokazywane w panelu dolnym. Jeśli istnieje więcej użytkowników lub grup, niż może być wyświetlone w dostępnej przestrzeni, User Manager dostarcza paska przesuwania, pozwalając wyświetlić tę część listy, która zawiera pozycje do zarządzania.

Aby stosować User Managera lub Managera for Domains, do zarządzania odpowiednio komputerami i domenami, musisz mieć konto z dostępem na poziomie administratora, do komputera lub domeny, o których mowa. Masz niezbędny poziom dostępu, jeśli Twoje konto jest członkiem grupy Administrators, grupy Domian Admins lub grupy Accont Operators dla komputera lub domeny, którymi chcesz zarządzać.

Można uruchomić User Managera z okienka Run. Na przykład:

usrmgr TTGNET

Polecenie to wywołuje UM z aktywną domeną TTGNET

usrmgr \\KERBY

Polecenie to wywołuje UM z aktywnym komputerem KERBY

Ikony skrótów na pulpicie też mogą zawierać takie polecenia jak wyżej.

Dodawanie użytkowników i zarządzanie nimi.

Aby rozpocząć dodawanie użytkowników lub zarządzanie istniejącymi użytkonikami, zaloguj się w Windows NT Server na konto, które ma przywileje administratora i uruchom User Manager for Domains. Pasek tytułowy aplikacji wyświetli nazwę aktywnej domeny lub kom-putera, która domyślnie jest bieżącym komputerem lub domeną. Można wybrać inną domenę lub komputer do modyfikacji bazy danych Security Accont Manager, przez wybór Select Domain. Wprowadź nazwę domeny lub komputera. Jeśli połączenie odbywa się przez dial-up lub inne powolne łącze, możesz opcjonalnie zaznaczyć pole wyboru Low Speed Connection.

Tworzenie nowych użytkowników i ustalenie ich właściwości

Aby dodać użytkownika, wybierz opcję New User z menu User, by wyświetlić okno dialo-gowe New User, jak na rysunku.
Wprowadź nazwę konta użytkownika w polu Username. Chociaż Windows NT Server automatycznie przypisuje SID i używa go w funkcji klucza rekordu, musisz ciągle podawać unikalną wartość dla Username. Wiele organizacji standaryzuje konwencje nazw użytkowników przez tworzenie ośmioznakowych nazw użytkowników z pierwszymi sześcioma lub siedmioma literami nazwiska i jedną literą każdego z imion. Stosując ten lub zbliżony schemat, o wiele prościej zarządzać kontami użytkowników, szczególnie w nie-jednorodnym środowisku sieci złożonych. Opcjonalnie wprowadź całe nazwisko użytkownika w polu Full Name. W przypadku jeśli domena zawiera wiele kont użytkowników, ustal wcześniej, jak będziesz wprowadzał te dane i ustal wcześniej, jak będziesz wprowadzał te dane i trzymaj się tego konsekwentnie. NT Server pozwala wyświetlać listę kont użytkowników posor-towaną według full Name lug według Username. Wprowadzenie niektórych pełnych nazwisk w formie "John Doe", a innych jako "Doe, John" czyni bardzo trudnym zlokalizowanie właściwego konta w serwerze lub domenie z wieloma kontami.

Wprowadź następnie i potwierdź hasło, które chcesz przypisać użytkownikowi. NT wuświetla gwiazdki w trakcie wpisywania i wymaga wprowadzenia dwóch identycznych wartości w dwóch polach, aby hasło zostało zaakceptowane. Hasło może zawierać 14 znaków i jest wraż-liwe na wielkość liter. Zależnie od ustawień w sekcji Account Policy, opisywancy dalej, możesz pozostawić pola haseł puste lub może być konieczne wprowadzenie hasła o długości minimalnej wyspecyfikowanej w Account Policy. Dla większego bezpieczeństwa, wprowadź hasło co naj-mniej sześcio- (a lepiej ośmio- lub więcej) znakowe, używając kombinacji liter i cyfr. Następnie zaznacz pole wyboru, specyfikując jak hasło powinno być kontrolowane, a mianowicie:

User Must Change Password at Next Logon

Zaznacz to pole wyboru, aby wymusić zmianę hasła za pierwszym razem, kiedy użytkownik zaloguje się na nowe konto. Wielu admininstratorów stosuje puste hasła dla nowych kont, ułatwiając, w ten sposób pierwsze połączenie nowym użytkownikom. Alternatywnie, niektórzy administratorzy usta-wiają hasło dla nowego konta identycznie z nazwą, konta lub używając jako hasła identycznego słowa, jak "password". Oczywiście każda z tych metod, upewnij się, że ustawiłeś wymuszenie zmiany hasła za pierwszym razem, kiedy nowy użytkownik będzie się logował.

User Cannot Change Password

Zaznacz to pole wyboru, aby wyspecyfikować, że tylko administrator może zmienić hasło. Używanie tej opcji zabezpieczenia użytkowników przed wyborem prostych do złamania haseł, ale wymóg częstej zmiany haseł dodaje sporo pracy administratorowi.

Password Never Expires

Jeśli masz ustawiony czas obowiązywania hasła w Accont Policy, zaznaczenie tego pola wyboru przekreśla ustawienie w Accont Policy. Zaznaczenie tej opcji narusza fundamentalną zasadę zarządzania hasłami, ponieważ "stałe" hasło może stać się znane. Dziwi więc, że wielu administratorów wymusza częstą zmianę haseł użytkowników, którzy mają względnie ograniczone przywileje, ale ustawia status hasła na stały dla własnego konta, które ma duże przywileje.

Accont Disabled

Zaznaczenie tego pola wyboru powoduje czasowe zablokowanie konta. Możesz to zrobić, na przykład, gdy pracownik jest na urlopie lub czasowo nieobecny. Proste wyczyszczenie tego pola przywraca kontu jego poprzedni status. Użycie tej opcji jest alternatywą kasowania konta, które musi być odtworzone, gdy pracownik wróci do pracy.

Account Locked Out

To pole wyboru pozostaje szare (zablokowane), dopóki nie odblokujesz Account Lockuot w Account Policy. Jeśli Account Lockout jest odblokowane i kraker próbuje dostać się do jakiegoś konta, konto zostaje zablokowane zgodnie z parametrami ustawionymi dla blokady. Jeśli Lockout Duration (czas trwania blokady) jest ustawiony na Forever (until admin unlocks). konto raz zablokowane zgodnie z parametrami ustawionymi dla blokady. Jeśli Lockout Duration (czas trwania blokady) jest ustawiony na Forever (until admin unlocks), konto raz zablokowane pozostaje w tym stanie, dopóki administrator nie odblokuje go ręcznie przez wy-czyszczenie tego pola wyboru.

Maintain NetWare Compatibility Login

Zaznacz to pole wyboru w celu uaktywnienia ikony NW Compatibility, opisanej w tej części poniżej. Pole to jest obecne tylko wtedy, gdy zainstalowana jest opcjonalna usługa File and Print Services for NetWare.

Przypisanie członkostwa grupy

Na okienku dialogowym New User kliknij przycisk Group, co otworzy okienko dialogowe Group Membersihip. Domyślnie nowi użytkownicy mają przypisane członkostwo w grupie Domain Users, co jest wyświetlane w panelu sterowania Member of. Dostępne grupy, do których można przypisać użytkownika, są wyświetlane w panelu Not member of. Możesz dwukrotnie kliknąć nazwę grupy, aby przenieść ją z jednego panela do drugiego. Alternatywnie można zaznaczyć wiele grup, używając standardowych metod [Ctrl+klikniecie] i [Shift+kliknięcie], a następnie przenieś je w całości do przeciwnego panela, przyciskiem Add lub Remove.

Ustalenie parametrów użytkownika i położenia katalogu macierzystego

Kolejny przycisk oznaczony Profile na okienku dialogowym New User otwierający okienko User Environment Profile. Można opcjonalnie wyspecyfikować parametry użytkownika i skrypt logowania.

User Profile Path

Wprowadź ścieżką sieciową do miejsca, gdzie zlokalizowane są parametry użytkownika, używając składni UNC w formie \\servername\profilepath\username.

Logon Script Name

Można opcjonalnie przypisać użytkownikowi skrypt logowania, który będzie uruchamiany przy każdym logowaniu się użytkownika. Skrypt może być plikiem wsadowym (*.CMD lub *.BAT) albo plikiem wykonywalnym (*.EXE).

Za każdym razem, gdy użytkownik się loguje, serwer identyfikujący próbuje zlokalizować skrypt logowania tego serwera. Domyślnie skrypty logowania umieszczone są w katalogu \WINNT\system32\Rempl\Import\Scripts. Każdy użytkownik może mieć przypisany swój unikalny skrypt logowania lub też pojedynczy skrypt logowania może być wspólny dla wielu użytkowników.

Local Path

Jeśli katalog macierzysty jest zlokalizowany na lokalnym dysku twardym, należy wprowadzić tu nazwę katalogu, na przykład c:\usr\rowed.

Connect <litera napędu> To

Jeśli natomiast katalog macierzysty jest ulokowany na wspólnym dysku sieciowym, wykorzystaj przewijaną listę wybiórczą do wybrania następnej litery napędu i wtedy wprowadź położenie UNC w polu listy. Jeśli zarządzasz jednocześnie wieloma kontami użytkowników, zamiast wprowadzać katalog macierzysty każdego użytkownika, możesz zastąpić końcową nazwę katalogu w ścieżce wartością metatekstu %USERNAME%.NT podstawi aktualną nazwę użytkownika dla każdego konta.

Ustalenie zezwoleń telefonicznych.

Jeśli chcesz, żeby użytkownik mógł się dołączyć do domeny telefonicznie, wyświetl okno dialogowe Dialin Information, klikają ikonę Dialin. Domyślnie, Windows NT Server nie pozwala użytkownikowi, na dostęp telefoniczny. Zaznacz pole wyboru Grant Dialin Permition to User, aby zmienić domyślnie ustawienia i pozwolić użytkownikowi na dostęp telefoniczny. W sekcji Call Back, zaznacz jedno z pól opcji:

No Call Back

Jest domyślna opcja, która pozwala abonentowi wywołującemu na ustanowienie połączenia sieciowego z oryginalnym połączeniem telefonicznym. Jeśli abonent jest klientem używającym Microsoft Dial-Up Networking. Proces połączenia może być całkowicie zautomatyzowany, pozwalając abonentowi po prostu wyspecyfikować numer z książki telefonicznej i ustanowić połączenie bez dalszych czynności.

Set By Caller

Ta opcja powoduje, że Widows NT Server Remote Access Service (RAS) pyta abonenta o jego numer telefonu. Po uzyskaniu numeru, serwer RAS pyta abonenta o jego numer telefonu. Po uzuskaniu numeru, serwer RAS przerywa połączenie i dzwoni pod numer dostarczony przez abonenta. Możesz użyć tej opcji do przerzucenia opłat na telefony zamiejscowe z abonenta na serwer RAS. Wybranie tej opcji pozwala także na rejestrację, dla celów bezpieczeństwa, numerów telegonicznych, z których było inicjowane połączenie.

Preset To

Ta opcja jest najbardziej restrykcyjna. Gdy jest aktywna, serwer RAS odbiera przychodzące wywołanie, identyfikuje abonenta i przerywa połączenie. Następnie dzwoni pod zaprogramowany w serwerze numer i ustanawia połączenie. Metoda ta jest najbardziej odpowiednia dla klientów znajdujących się stale w ustalonym miejscu.

4 z 4 12 User Manager for Domains cz1

12 User Manager for Domains cz1 3 z 4

---