'

Администрирование информационных систем Учетные записи пользователей

Понравилась презентация – покажи это...





Слайд 0

Администрирование информационных систем Учетные записи пользователей


Слайд 1

типы учетных записей пользователей планирование учетных записей пользователей создание и настройка учетных записей пользователей Цели занятия


Слайд 2

Основные понятия Учетная запись пользователя — основа защиты Windows NT, это уникальный личный код, предоставляющий право на доступ к ресурсам. Каждый пользователь, регулярно работающий в домене или на одном из его компьютеров, должен иметь учетную запись. Учетные записи позволяют администратору контролировать доступ пользователей к ресурсам домена и локальным ресурсам компьютера, например ограничить часы, когда пользователь может зарегистрироваться в домене.


Слайд 3

Типы учетных записей пользователей Учетные записи пользователей бывают трех типов: два из них — встроенные, они создаются автоматически при установке Windows NT, третий - создается администратором Встроенные учетные записи — Guest (Гость) и Administrator (Администратор)


Слайд 4

Где создаются учетные записи На компьютерах с ОС Windows NT Server для управления учетными записями служит утилита User Manager for Domains (Диспетчер пользователей доменов). Эта программа применяется для управления учетными записями в домене, на локальном компьютере, на сервере или в других доступных доменах. User Manager for Domains может создавать как локальные, так и глобальные учетные записи.


Слайд 5

Глобальная учетная запись Глобальная учетная запись содержит сведения о пользователе домена. Она позволяет с помощью одного и того же имени и пароля зарегистрироваться в домене с любого компьютера сети и работать с ресурсами домена. Глобальную учетную запись можно создать только средствами User Manager for Domains (Диспетчер пользователей доменов). Она всегда размещается в основной базе данных каталогов на главном контроллере домена (primary domain controller, PDC), хотя ее можно создать, работая на любом компьютере сети. Копии базы данных хранятся на всех резервных контроллерах домена (Backup Domain Controller, BDC); они регулярно (каждые пять минут) обновляются с основного контроллера домена. Глобальные учетные записи рекомендуется создавать для всех пользователей домена.


Слайд 6


Слайд 7

Локальная учетная запись Локальная учетная запись содержит информацию о пользователе данного компьютера. С ее помощью пользователь может зарегистрироваться в системе и получить доступ к ресурсами компьютера. Чтобы иметь право обратиться к ресурсам другого компьютера, надо и на нем завести локальную учетную запись пользователя. Локальные учетные записи следует создавать только внутри рабочей группы, как это показано ниже.


Слайд 8

Резюме Стратегия защиты Windows NT основана на понятии учетной записи пользователя. Встроенная учетная запись Administrator (Администратор) имеется на всех компьютерах, работающих под управлением Windows NT. Она служит для управления ресурсами и конфигурацией компьютеров. Встроенная учетная запись Guest (Гость) имеется на всех компьютерах, работающих под управлением Windows NT. Она позволяет пользователям, работающим на компьютере от случая к случаю, получить доступ к локальным ресурсам. Эта запись по умолчанию отключена. Глобальная учетная запись позволяет пользователю получить доступ к ресурсам домена с любого компьютера сети с помощью единого имени и пароля. Создавайте глобальные учетные записи для всех пользователей домена. Локальная учетная запись позволяет зарегистрироваться в системе и получить доступ к локальным ресурсам компьютера. Для работы с ресурсами другого компьютера пользователю необходимо иметь локальную учетную запись и на нем. Создавайте локальные учетные записи только в рабочей группе.


Слайд 9

Планирование учетных записей пользователей Прежде чем создавать учетные записи, необходимо сформулировать свои требования к пользователям, учитывая принятый в вашей сети уровень защиты — так называемую учетную стратегию.


Слайд 10

Основные правила планирования новых учетных записей Соглашение об именах. Используйте уникальные и содержательные имена учетных записей пользователей. Требования к паролям. Используйте режимы усиления парольной защиты. Например, решите, может ли пользователь менять собственный пароль лишь иногда, или он должен это делать регулярно. Часы регистрации. Выберите интервал времени, в течение которого пользователи могут регистрироваться в системе. Ограничение на места работы. Составьте список компьютеров под управлением Windows NT, на которых разрешено работать пользователю. По умолчанию это может быть любая рабочая станция. Местонахождение домашнего каталога. Выберите место для размещения домашних каталогов пользователей на локальном компьютере или на сервере. Размещение на сервере позволяет централизованно управлять данными и архивировать их.


Слайд 11

Соглашение об именах Соглашение об именах устанавливает, как пользователи будут называться при работе в сети. Учетные имена пользователей должны быть уникальны: глобальные учетные записи — в рамках домена, локальные — на соответствующем компьютере. Имена пользователей могут содержать до 20 любых символов в верхнем или нижнем регистре, кроме символов '' [] ; : ¦ = , + * ? < > . Можно также использовать комбинации букв, цифр и специальных символов. В больших организациях удобно помечать учетные записи временных сотрудников. Например, использовать для этой цели префикс В- (В-ИванП).


Слайд 12

Требования к паролям Следующий элемент учетной стратегии — выработка требований к паролям пользователей. Пароль необходим каждой учетной записи, поскольку он защищает домен или компьютер от несанкционированного доступа. Это особенно важно в сетях со средним и высоким уровнем безопасности и для сетей, подключенных к Интернету. Разрабатывая стратегию парольной защиты, имейте в виду следующее. Учетная запись Administrator (Администратор) обязательно должна быть защищена паролем, чтобы предотвратить неавторизованный доступ к ее возможностям. Возможно несколько вариантов управления паролями: назначить пользователю пароль и запретить его изменение (в этом случае управление паролями возлагается на администратора); назначить пароль, но потребовать, чтобы пользователь изменил его при первой регистрации в системе (в этом случае учетная запись всегда защищена, а пароль известен только владельцу учетной записи; здесь управление паролями возложено на пользователя). Срок действия учетной записи. Для внештатных сотрудников этот срок ограничивается временем действия контракта или трудового соглашения.


Слайд 13

Часы регистрации По умолчанию пользователь может подключаться к серверу в течении 24 часов семь дней в неделю. Чтобы повысить уровень защиты сети, ограничивается время регистрации пользователя. Это полезно, например, в следующих случаях: если часы регистрации входят в список требований защиты (например, в сети государственного учреждения); если работа на предприятии — многосменная.


Слайд 14

Местонахождение домашнего каталога В домашнем каталоге пользователь хранит свои файлы и программы. Домашний каталог полезен тем, что служит отправной точкой поиска файлов пользователя. Каждому пользователю следует назначить свой домашний каталог. Если пользователю не назначается домашний каталог, по умолчанию им будет папка Users\Default локального компьютера. Домашний каталог может быть размещен как на сетевом сервере, так и на локальном компьютере пользователя.


Слайд 15

Размещение домашних каталогов на сервере При размещении домашних каталогов на сервере надо обязательно учитывать некоторые особенности.


Слайд 16

Архивирование и восстановление данных. Одна из важнейших задач администратора — предотвращение потери данных. Когда файлы расположены на сервере, гораздо легче обеспечить их резервное копирование и восстановление. Если домашние каталоги пользователей размещены на локальных компьютерах, придется регулярно архивировать файлы на каждом компьютере. Место на сервере. Достаточно ли места на жестких дисках сервера для пользовательских данных Защита. В любой сети легче обеспечить безопасность данных при их централизованном хранении. Применение RAS uлu совместное использование компьютеров. Если пользователи подключаются к сети с помощью службы дистанционного доступа (Remote Access Service, RAS) или используют компьютеры совместно, их данные в домашних каталогах, размещенных на сервере, доступны с любой рабочей станции сети. Размещение домашних каталогов на сервере


Слайд 17

Размещение домашних каталогов на компьютерах пользователей Пространство на дисках пользовательских компьютеров. Если на локальных дисках достаточно места и централизованное архивирование данных не нужно, домашние каталоги размещаются на компьютерах пользователей. Быстродействие. Если домашний каталог пользователя размещен на его собственном компьютере, трафик в сети заметно уменьшается.


Слайд 18

Создание пользовательских учетных записей User Manager for Domains (Диспетчер пользователей доменов). Для работы с ними необходимы полномочия администратора.


Слайд 19

Из класса sunray2 (математический факультет) подключиться к серверу winray2 с помощью Citrix Ica Client Из winray2 подключиться к winray1 (82.179.1.26) с помощью «Подключение к удаленному рабочему столу» (Start-Programs-Стандартные - Связь – Подключение к удаленному рабочему столу) (Login/Passowrd – studN/studN, N=21..30) Из winray1 подключиться к (192.168.233.129) с помощью «Подключение к удаленному рабочему столу» ( Start-Programs- Стандартные - Связь – Подключение к удаленному рабочему столу) (Login/Password – adminN / adminN, где N=1..10) Доступ к Windows NT для практических заданий


Слайд 20

Утилита User Manager for Domains Утилита User Manager for Domains (Диспетчер пользователей доменов) предназначена для создания, удаления или временного отключения глобальных учетных записей пользователей на основном контроллере домена и с локальными учетными записями на любом компьютере домена. Окно программы User Manager for Domains (Диспетчер пользователей доменов). Пункт Select Domain (Выбрать домен) позволяет администратору выбрать другой домен или компьютер, где необходимо выполнить администрирование учетных записей.


Слайд 21


Слайд 22

Диалоговое окно New User (Новый пользователь).


Слайд 23

В приведенной ниже таблице описаны параметры, задаваемые в окне New User (Новый пользователь)


Слайд 24

В приведенной ниже таблице перечислены параметры пароля и ситуации, в которых они могут потребоваться. Выбор параметров пароля


Слайд 25

Создание домашнего каталога При создании домашнего каталога пользователя надо указать имя компьютера, на котором он будет находиться и его название. Для централизованного размещения основных каталогов выполните следующие действия. Создайте на сервере папку Users (Пользователи) — в ней разместятся домашние каталоги пользователей. Эту операцию достаточно выполнить один раз. Обеспечьте общий доступ к этой папке и присвойте право доступа Full Control (Полный контроль) всем пользователям, чтобы они могли подключаться к ней. Эту операцию также достаточно выполнить единожды. Для каждой учетной записи укажите имя и местонахождение домашнего каталога в диалоговом окне User Environment Profile (Профиль пользователя). Вместо имени пользователя в названии основного каталога можно ввести переменную среды %Username% — Windows NT заменит ее на учетное имя пользователя. Укажите символ для сетевого диска при подключении пользователя к основному каталогу.


Слайд 26

Выбор домашнего каталога пользователя в диалоговом окне User Environment Profile (Профиль пользователя).


Слайд 27

Настройка параметров учетной записи В диалоговом окне Account Information (Сведения об учетной записи) можно установить два параметра. Account Expires (Время действия учетной записи): используется для установки даты автоматического отключения учетной записи. Чтобы установить эту дату, просто введите ее в поле End of (До...). Эта возможность удобна для работы с временными учетными записями сотрудников, работающих по контракту, или совместителей. Account Type (Тип учетной записи): применяется для создания локальной учетной записи для пользователя другого домена, с которым нет доверительных отношений, если этому пользователю необходим доступ к ресурсам Вашего домена. Такая учетная запись не позволяет регистрироваться с компьютеров того домена, где она была создана. Кнопка Local Account for users from untrusted domain (Локальная учетная запись пользователя чужого домена) в группе Account Type (Тип учетной записи) предназначена только для предоставления доступа к ресурсам пользователю, зарегистрированному в домене, с которым у Вашего домена нет доверительных отношений.


Слайд 28


Слайд 29

Удаление и переименование учетных записей В Windows NT каждой учетной записи при ее создании присваивается уникальный защитный код (Security Identifier, SID) — число, которое идентифицирует учетную запись. Системные процессы Windows NT оперируют именно с идентификатором защиты, а не именами учетных записей пользователей и групп. Удаление учетной записи навсегда уничтожает и ее саму, и связанные с ней права. Например, если Вы создадите учетную запись, потом удалите ее, а затем создадите новую запись с тем же именем, новая запись не приобретет привилегий и прав доступа удаленной записи, поскольку эти записи имеют разные идентификаторы защиты. При переименовании учетной записи ее права и привилегии сохраняются, поскольку идентификатор защиты остается прежним.


Слайд 30

Программа User Manager for Domains позволяет создавать, удалять и отключать глобальные и локальные учетные записи на основном контроллере домена. Защищайте новые учетные записи первоначальным паролем и обяжите пользователей менять пароль при первой регистрации в системе. Это обеспечит защиту учетной записи и конфиденциальность пользовательского пароля. Создавая домашние каталоги пользователей, Вы указываете диск, к которому будет подключен пользователь, имя сервера и сетевое имя ресурса. Чтобы автоматизировать назначение имен домашних каталогов, вместо имени пользователя применяйте переменную среды %Usemame%. Ограничивая время регистрации, Вы указываете дни недели и интервал времени, когда для пользователя разрешена или запрещена регистрация. Чтобы ограничить доступные пользователю места работы, Вы можете указать до восьми компьютеров, где может регистрироваться данный пользователь. Вы можете указать дополнительные параметры учетной записи: срок действия и тип. Последний параметр применяется для создания локальной учетной записи для пользователя из другого домена, с которым у Вас нет доверительных отношений. Резюме


Слайд 31

Профили пользователей Профили — это удобное средство настройки и управления средой рабочего стола пользователей.


Слайд 32

Основные понятия Среда пользователя при работе в Windows NT определяется в первую очередь профилем пользователя. Средства защиты Windows NT требуют наличия профиля для каждой учетной записи, имеющей доступ к системе. В состав профиля входят все настраиваемые пользователем параметры рабочей среды компьютера, работающего под управлением Windows NT, включая параметры дисплея, язык и региональные настройки, настройку мыши и звуковых сигналов, а также подключаемые сетевые диски и принтеры. Когда пользователь первый раз регистрируется в системе, работающей под управлением Windows NT, для него создается профиль по умолчанию. Настройки пользователя автоматически сохраняются в папке Profiles, вложенной в системную папку (обычно — в папке С:\Winnt\Рrоfiles\имя_пользователя). Профиль пользователя позволяет администратору ограничить отображаемую на экране информацию, а также доступные пользователю приложения.


Слайд 33

 


Слайд 34

Серверные профили пользователей В отличие от профиля по умолчанию, серверный профиль обеспечивает пользователю одну и ту же рабочую среду вне зависимости от того, с какого компьютера (под управлением Windows NT) зарегистрировался пользователь. Эти профили хранятся на сетевом сервере, а не на пользовательском компьютере.


Слайд 35

С каждой учетной записью можно связать один из двух типов профилей. Персональный профиль пользователя. Пользователь может изменять такой профиль, причем все сделанные изменения сохраняются в профиле и после выхода пользователя из системы. При следующей его регистрации будет использован профиль, сохраненный в последний раз. При работе с персональными профилями каждому пользователю следует назначить собственный профиль. Персональные профили пользователей хранятся в файлах Ntuser.dat. Обязательный профиль пользователя. Это предварительно настроенный профиль, который пользователь не может изменить. Один и тот же, он может применяться к нескольким пользователям. Это, в частности, позволяет, изменив один профиль, изменить рабочую среду нескольких пользователей. Профили этого типа применяются для организации рабочего стола всех пользователей, нуждающихся в одной и той же рабочей среде. Обязательные профили хранятся в файлах с обязательным расширением .man. Персональный профиль можно сделать обязательным, переименовав его, например, в Ntuser.man.


Слайд 36

Создание серверного профиля пользователя Создайте шаблон пользовательского профиля с подходящей конфигурацией. Для этого сначала создайте новую учетную запись, а затем настройте параметры рабочего стола. Создайте папку Profiles и обеспечьте общий доступ к ней. Скопируйте шаблон пользовательского профиля на сервер и укажите, кому разрешено пользоваться этим профилем. В диалоговом окне User Environment Profile (Профиль пользователя) укажите путь к файлу профиля.


Слайд 37

Копирование профиля на сервер Копирование пользовательского профиля осуществляется с помощью программы System панели управления. Щелкнув вкладку User Profiles (Профили пользователей) в диалоговом окне System Properties (Система), увидите профили по умолчанию всех пользователей, которые регистрировались на этом компьютере. ! Чтобы сделать профиль обязательным, в окне Copy profile to введите \\computer_name\profiles (не указывая имени пользователя).


Слайд 38

Указание пути к перемещаемому профилю После того как профиль скопирован на сервер, нужно указать путь к нему. Это делается в диалоговом окне User Environment Profile (Профиль пользователя) программы User Manager for Domains.


Слайд 39

В окне User Profile Path (Путь к профилю пользователя) укажите местонахождение пользовательского профиля на сервере. Если профиль персональный, введите имя сервера, сетевое имя папки Profiles (в этом упражнении папка Profiles имеет сетевое имя Profiles) и переменную среды %Usemame%. Операционная система подставит вместо переменной %Usemame% имя учетной записи. Если профиль обязательный, введите имя сервера, сетевое имя папки Profiles и полное имя файла профиля, например \Server\Profiles\Ntuser.man. Если серверный профиль предназначен многим пользователям, Вы можете указать путь к нему сразу для нескольких учетных записей, выбрав их в окне утилиты User Manager.


Слайд 40

Резюме Пользовательский профиль определяет рабочую среду. Профиль по умолчанию создается при первой регистрации пользователя в системе. Локальный профиль пользователя содержит пользовательские настройки рабочей среды на данном компьютере. Серверные профили обеспечивают пользователю одну и ту же рабочую среду при регистрации с любого сетевого компьютера, работающего под управлением Windows NT. Персональный серверный профиль пользователя обновляется, когда пользователь изменяет параметры среды. У каждого пользователя есть персональный серверный профиль. Обязательный серверный профиль не может быть изменен пользователями. Такой профиль назначается многим пользователям.


Слайд 41

Необходимая информация для сохранения результатов практических заданий В сеансе Windows NT (пользователь adminN/adminN) сохранять данные в папке C:\Work В сеансе Windows 2003 ( пользователь studN/studN) в строке Адрес проводника Windows ввести \\192.168.233.129\Work_ADM В появившемся окне ввести логин/пароль пользователя (adminN/adminN,N=1..10), которым работали в сеансе WindowsNT C:\Work в сеансе Windows NT и \\192.168.233.129\Work_ADM в сеансе Windows 2003 – одна и та же папка и доступна для записи (сохранения, создания) в обоих сеансах.


Слайд 42

Задания для практического занятия 1. Планирование новых учетных записей Компания «Разноимпорт» ежегодно принимает на работу новых сотруднико (по контракту на один год и в постоянный штат). Каждому пользователю требуется собственная учетная запись. Вам как сетевому администратору необходимо зарегистрировать 9 учетных записей. Составьте свой «Шаблон планирования учетных записей», по образцу (колонка «Описание» содержит название должности каждого из 9 сотрудников). Необходимо занести в «Шаблон планирования учетных записей» следующие сведения. Полное имя каждого из пользователей (колонка «Полное имя»). Разработать свое соглашение об именах. Затем по нему определить учетное имя каждого пользователя и записать его в колонку «Учетная запись». Разработать требования к паролю каждого из пользователей и перечислить их в колонке «Требования к паролю». В колонке «Местонахождение домашнего каталога» указать один из двух вариантов: локальный компьютер или сервер. В колонке «Время работы» записать допустимые часы регистрации для каждого пользователя (например, 24/7, если пользователю разрешено регистрироваться круглые сутки 7 дней в неделю). В колонке «Допустимые рабочие места» указать «Да», если работа пользователя с разных машин будет ограничена и «Нет» — в противном случае.


Слайд 43

Заполняя шаблон, помните о некоторых тонкостях: У двоих сотрудников совпадают имена: и вице-президента, и торгового консультанта ночной смены зовут Лариса Михайлова. Постоянным сотрудникам нужно разрешить менять свои пароли. Управление паролями временных сотрудников в целях безопасности возлагается на администратора. Каждому сотруднику нужен домашний каталог. Все каталоги следует архивировать каждую ночь. Постоянные сотрудники, работающие в ночную смену, должны иметь доступ в сеть с 6 вечера до 6 утра. Постоянные сотрудники, работающие в дневную смену, должны иметь доступ в сеть круглосуточно 7 дней в неделю. Временные сотрудники должны иметь возможность регистрации только с назначенных им компьютеров с 8 утра до 5 вечера.  


Слайд 44

Шаблон планирования учетных записей


Слайд 45

2. Создание учетных записей С помощью программы User Manager for Domains зарегистрируйте учетные записи пользователей, запланированные в упражнении «Планирование новых учетных записей». 3. Создание основной папки Создайте домашний каталог для пользователей, записанных в «Шаблоне планирования учетных записей». 4. Создание шаблона пользовательского профиля Создайте учетную запись Template Profile (Шаблон профиля) — модель профиля. Затем настроите шаблон профиля. 5. Копирование шаблона пользовательского профиля на сервер Скопируйте профиль пользователя Template Profile на сетевой сервер и назначите его пользователю UserN (N=1..10) (если необходимо создайте данного пользователя). 6. Перечисление пользователей, которым разрешено применять профиль Укажите пользователя (UserN), которому разрешено применять профиль 7. Удаление профиля учетной записи Template Profile Удалите ставший ненужным профиль учетной записи Template Profile. Далее будет использоваться только профиль, размещенный на сервере. 8. Указать путь к серверному профилю Укажите пользователю UserN путь к серверному профилю.


×

HTML:





Ссылка: