ЗНАЕТЕ ЛИ ВЫ?

Занятие 13 . Режимы домена, универсальные группы.



 

В системе WIN 2000 домен может работать в двух режимах:

Режимы домена:

Смешанный( Mixed) этот режим устанавливается по умолчанию после первой установки контроллера домена. Он предназначен для взаимодействия с контроллерами WIN NT4 ( NT3.51) и рабочими станциями использующими аутентификацию NTLM (для NT4)

Естественный (Native) используется, если все контроллеры и рабочие станции - Win2000. В этом случае упрощается работа сервера ( он менее загружен)

 

В смешанном режиме доступны только локальные и глобальные группы. В естественном режиме становятся доступными универсальные группы. При первичной установке Active Directory запрашивается режим домена, по умолчанию предлагается смешанный режим. В естественный режим домен может быть преобразован только один раз – обратное преобразование недопустимо.

►10.Упражнение: Переключение режима домена

  • Запустить dsa и проверить недоступность универсальных групп.
  • Запустить Active Directory Domains and Trusts – свойства домена – General – Change Mode. и изменить режим домена на естественный.
  • Запустить dsa и проверить доступность универсальных групп.

Универсальные группы – создаются для организации доступа в нескольких доменах. Эти группы доступны только в естественном режиме домена. Они могут включаться в локальные группы разных доменов для получения к их ресурсам доступа, но они не могут включаться в глобальные группы.

►11.Упражнение: Создание универсальной группы

  • Запустить dsa и создать универсальную группу «Работники предприятия» и включить в нее глобальные группы prod, buxg.

технич. персон
журналы  
информация  
доска объявл  
ученики
В общем виде стратегию планирования групп при наличии универсальных групп в естественном режиме домена можно изобразить как

               
   
     
 
 
   

 

 


Самостоятельная работа на закрепление:

1. Назначение режимов домена. Из какого режима в какой можно перевести домен.

2. Назначение универсальных групп. Какие группы можно включать в универсальные группы.

 

Занятие 14 . Встроенные и Системные группы. Шаблоны учетных записей

Встроенные группы

В систему Win 2000 встроен ряд глобальных и локальных групп. Эти группы используются для упрощения администрирования т.к. изначально им даются определенные права. Для просмотра этих групп можно открыть оснастку dsa.msc ( Active Directory Users and Computers) и посмотреть списки групп в контейнере user( глобальные группы) и builtin ( локальные группы). Разберем назначение и права некоторых наиболее часто используемых из них:

Встроенные глобальные группы

Группа Автоматически добавляется в...
Domain Users (пользователи домена) В эту группу автоматически попадают все создаваемые пользователи домена. автоматически добавляется в локальную группу «Users». Домена. Учетная запись администра­тора входит по умолчанию
Domain Admins (администраторы домена) В эту группу нужно добавлять всех новых администраторов. Встроенная учетная запись администратора по умолчанию входит в эту группу. Эта группа автоматически добавляется в группу «Administrators»..
Domain Guests (гости домена) Эта группа предназначена для не зарегистрированных пользователей в системе ( получающих доступ только к общедоступным ресурсам).Она автоматически добавляется в локальную группу Guests. Учетная запись гостя (Guest) по умолчанию входит в эту группу.
Domain Computers (компьютеры домена) В эту группу входят все компьютеры, подключенные к домену
Domain Controllers В эту группу входят все контроллеры домена
Enterprise Admins (Администраторы предприятия) В эту группу входят администраторы всей сети предприятия (леса)
Group Policy Admins (администраторы групповых политик) Члены этой группы могут изменять групповые политики данного домена

Встроенные локальные группы

Локальная группа Возможности
Administrators Администраторы: любые действия по администрированию. В эту группу входит группа Domain Admins
Users Все пользователи текущего домена. Права по администрированию отсутствуют. В эту группу автоматически входит группа Domain Users
Guests Гости - все кто получил доступ к ресурсам не будучи пользователями текущего домена
BackupOperators для выполнения операций регулярного резервного архивирования файлов на резервные носители ( настройка службы резервного архивирования)
Replicators для настройки службы репликации каталогов ( постоянного автоматического обновления заданных папок на нескольких компьютерах домена одновременно) т.е. может запускать службу Replicator
Account Operators (операторы учетных записей) Создание, удаление и изменение пользователей, глобаль­ных и локальных групп. Недоступно изменение групп «Administrators» и «Server Operators».
Server Operators (операторы сервера)   Открытие совместного доступа к дисковым ресурсам, архи­вирование и восстановление сервера, отключение системы,. …
Printer Operators (операторы печати) Настройка сетевых принтеров и управление ими.
Power Users (Опытные пользователи) Эти группы существуют только на рабочих станциях или выделенных серверах. Ее члены могут управлять учетными записями, кроме записей администраторов.

 

 

►12.Упражнение: Просмотр встроенных групп

  • Запустить dsa и просмотреть встроенные группы в контейнерах User и Builtin
  • Просмотреть кто входит в локальные группы.

Системные группы

Кроме групп, перечисленных в оснастке dsa в систему встроен еще ряд групп, которые используются для управления доступом в системе. Но не все из них могут использоваться администратором для настройки доступа непосредственно. Некоторые используются системой автоматически.

 

Встроенные системные группы

Everyone (Все) входят все локальные и удаленные пользователи, подключенные к компьютеру, включая зарегистрировавшихся по учетной записи Guest (Гость). Администратор не может управлять членством в этой группе.
Creator/Owner (Создатель / владелец) Включает пользователя, который создал соответствующий ресурс или стал его владельцем. Если новый владелец — член группы Administrators(Администраторы), то владельцем ресурса становится вся административная группа. Группа CreatorOwner полезна для управления доступом к файлам на разделах NTFS
Authenticated Users(зарегистрированные пользователи) В эту группу входят только зарегистрированные в системе пользователи. Это более безопасная альтернатива группе Everyone  
Network (Сетевые пользователи) В состав этой группы входят удаленные пользователи, подключенные к сетевым ресурсам локального компьютера.
Interactive (Интерактивные пользователи) В состав этой группы автоматически попадает каждый зарегистрированный пользователь компьютера.
System( система) Группа, в которую входит только сама операционная система
Bath(пакетные задания) В эту группу входят все учетные записи, вошедшие в систему как пакетные задания
Dialup(удаленный вход) Входят все пользователи. Получившие доступ к системе через удаленное соединение ( через коммутируемый канал связи …)
Service(служба) Учетная запись, вошедшая в систему как служба.
Anonymous Logon(анонимный вход) Все пользователи, получившие анонимный вход в систему ( например, анонимные пользователи FTP)

 

Системные группы не появляются в соответствующем окне утилиты User Manager (Диспетчер пользователей) — их можно увидеть только в окне свойств дискового ресурса NTFS.

Практические рекомендации

Следующий список содержит практические рекомендации по использованию локальных и глобальных групп.

q Используйте глобальную группу «Authenticated Users» вместо группы «Everyone». Группа «Authenticated Users» содержит только созданные вами учетные записи, а не все учетные записи, подключенные к сети.

q Чтобы позволить группе «Administrators» выполнять задачи админи­стрирования в других доменах, добавьте глобальную группу «Domain Admins» в локальную группу «Administrators» на компьютере в домене, который необходимо администрировать.

q Если права встроенной группы удовлетворяют вашим нуждам, добавь­те учетную запись пользователя в эту группу. В противном случае, создайте локальную группу, а затем предоставьте ей соответствующие права пользователя. Например, если по соображениям безопасности необходимо, чтобы пользователь имел права архивирования, но не восстановления фай­лов, создайте локальную группу «Только архивирование» и предо­ставьте ей права «Backup Files and Directories» (Архивирование файлов и каталогов).

q Всегда добавляйте пользователей во встроенные группы, которые на­кладывают наибольшие ограничения и позволяют выполнить лишь необходимые задачи.

 

Создание шаблонов учетных записей

  • Для создания учетной записи – шаблона, по которому удобно создавать другие учетные записи нужно просто создать учетную запись с именем, которое будет именем шаблона и задать для нее нужные свойства
  • Если имя шаблона начинается со знака _ , например: _prep , _admin , то в этом случае эти имена всегда будут в начале списка, что удобно для их использования
  • Для создания любой записи по шаблону достаточно скопировать учетную запись шаблона и изменить нужные поля.
  • заполнение полей: описание, флаги пароля, группы, профиль, время доступа, список групп … - эти поля копируются! Поля имя, полное имя, пароль и блокировка и другие индивидуальные свойства записи не копируются. Они задаются индивидуально.
  • Копирование шаблона: контекстное меню - copy

Примечание. Права и разрешения, установленные для отдельной учетной записи пользователя, не копируются.

►13.Упражнение: Создание шаблона учетной записи

  • Запустить dsa и создать учетную запись night, для которой настроить ее вхождение в любые 2 группы ( кроме встроенных), установить для нее время входа c 18 - 8, разрешить вход только с заданных 2 компьютеров. Задать для нее имя, телефон, начинающееся с _ ( ( например, _night), описание – «ночной сторож», и заблокировать ее.
  • Скопировать эту учетную запись и задать новое имя stor, задать ей свой пароль и телефон ( эти поля не копируются)
  • Просмотреть свойства времени входа, назначенных компьютеров, описание список групп, которым принадлежит данная запись – все эти поля остались неизменными.

 

Самостоятельная работа на закрепление:

  1. Какие вы знаете встроенные глобальные группы. Кто в них включается по умолчанию.
  2. Назначение встроенных локальных групп. Назовите 2-3 встроенные локальные группы и их права.
  3. Какие вы знаете встроенные системные группы ( приведите пример 2-3 групп и их назначение). Какой группой желательно заменять группу everyone и почему.
  4. Для чего нужны шаблоны учетных записей. Как создать шаблон.

Занятие 15 . Практическая работа №1 [профили, группы, доступ]

1. Есть торговая фирма, в которой работает около 30 человек. Среди них есть:


  • Директор
  • Администратор
  • менеджер по продажам
  • продавцы - 21 чел
  • грузчики- 6 чел
  • кассиры - 7 чел
  • завмаги - 7 чел
  • гл. бухгалтер и бухгалтер
  • секретарь

С учетом возможности расширения предприятия и увеличения некоторых категорий работников ( кассиров, завмагов …) , подумайте, для кого создать индивидуальные учетные записи, а для кого шаблоны.

2. Создайте необходимые глобальные и локальные группы с учетом роста предприятия и увеличения количества некоторых категорий работников, чтобы обеспечить к следующим папкам (на томе ntfs) следующий доступ :

3.

Папка локал имя Какая в ней информация Кому назначить доступ Сетевое имя Сетевой доступ Локальный доступ
inform информация для всех всем Info полный доступ чтение
    директору, менеджеру и завмагам     полный доступ
admin административные документы директору и менеджеру     полный доступ
buxgalt бухгалтерская документация бухгалтерам bux   Изменение
    Всем пользователям   полный доступ  
    директору     только чтение
zaved данные для заведующих завмагам zav Изменение полный доступ
    директору и менеджеру   полный доступ только чтение
docum прочая текущая документация секретарю, директору, менеджеру, бухгалтерам doc Изменение полный доступ
    всем зарегистрирован пользователям     чтение и запись

4. Завмаги, продавцы, кассиры могут входить только с компьютеров mag1, mag 2 …mag7.

5. секретарь и бухгалтера имеют доступ только в дневное время с 8 до 18 часов

6. Создайте неизменяемый профиль для продавцов, на рабочем столе которого будет папка Info

7. Сделайте папку zaved домашней папкой для всех завмагов на сервере.





Последнее изменение этой страницы: 2016-08-16; Нарушение авторского права страницы

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.216.79.60 (0.01 с.)