8264
.pdfПомимо настройки параметров соединения и наличия службы RAS на сервере, к которому подсоединяется пользователь, надо настроить и коммутируемое соединение по телефону для сервера на компьютере клиента. Это поможет сделать мастер NetworkConnection (Мастер сетевого подключения), вызываемый из папки NetworkConnections (Сеть и удаленный доступ к сети)
в ControlPanel.
Параметры безопасного коммутируемого соединения таковы:
Параметр Описание
AllowAccess (Разрешить доступ) Разрешает доступ по телефонной ли-
нии.
DenyAccess (Запретить доступ) Запрещает доступ по телефонной ли-
нии.
VerifyCaller-ID (Проверять идентификатор) Телефонный номер, с ко-
торого должен подсоединяться пользователь. |
|
NoCallback (Ответный вызов не выполняется) |
Служба RAS сервера |
не будет делать ответный звонок пользователю, что позволяет ему звонить с любого телефона. Этот параметр задан по умолчанию для среды с низким уровнем безопасности или при применении других способов обеспечения безопасности телефонного соединения.
SetByCaller (Устанавливается вызывающим) Пользователь предоставляет телефонный номер для ответного звонка службы RAS сервера, что позволяет ему позвонить с любого телефона, и служба RAS сервера сделает ему ответ-ный звонок. Сведения о соединениях можно регистрировать в журнале. Применяется в среде со средним уровнем безопасности.
AlwaysCallbackTo (Всегда по этому номеру) Служба RAS сервера делает ответный звонок пользователю по указанному номеру. Пользователь должен находиться по заданному номеру для соединения с сервером, что снижает риск того, что соединение будет осуществлено неуполномоченным лицом, поскольку номер задан заранее. Применяется в среде с высоким уровнем безопасности.
Вкладка Object
На вкладке Object (Объект) отображается полное доменное имя объекта и дополнительные сведения, например, класс, даты создания и изменения объекта, исходный и текущий номера USN. Последние применяются для отслеживания изменений объектов в хранилище ActiveDirectory.
Вкладка Security
Вкладка Security (Безопасность) позволяет установить разрешения для объекта пользователя в хранилище ActiveDirectory. Можно настраивать спе-
32
циальные разрешения для групп и пользователей в пределах домена. Можно также задать дополнительные разрешения и указать параметры наследования разрешений от родительского объекта. Вкладки служб терминалов
Вкладки Sessions (Сеансы), Environment (Среда), RemoteControl (Уда-
ленное управление) и Ter-minalServicesProfile (Профиль служб терминалов) содержат сведения о пользователе служб TerminalServices: допустимое время входа в систему, параметры запускаемой программы и удаленного управления, а также профиль пользователя. Службы терминалов позволяют пользователю входить в систему с компьютерного терминала и запускать на нем сеанс Windows.
Вкладка Environment
Позволяет создать рабочую среду клиента. Если определена начальная программа, она автоматически запускается при каждом соединении пользователя с сервером терминалов. Это единственное приложение, с которым может работать пользователь. Закрытие этого приложения влечет обрыв соединения с сервером терминалов.
Учетную запись можно настроить и так, чтобы службы терминалов при входе в систему клиента автоматически подключали локальные диски и принтеры. При входе клиента на сервер определяются локальные диски и принтеры, и на сервере терминалов устанавливаются соответствующие драйверы принтера. Если установлено несколько принтеров, все задания печати можно по умолчанию перенаправлять на основной принтер клиента.
Вкладка Sessions
Здесь задаются параметры ограничения длительности сеансов на основе их текущего состояния (активны, бездействуют или отключены). Так же можно определить действие, выполняемое по окончании времени сеанса.
Вот некоторые параметры вкладки Sessions:
Параметры тайм-аута Описание |
|
End A DisconnectedSession (Завершение отключенного сеанса) |
За- |
дает максимальный срок активности на сервере отключенного сеанса, по ис-
течении которого отключенный сеанс сбрасывается. |
|
ActiveSessionLimit (Ограничения активного сеанса) |
Задает макси- |
мальную продолжительность соединения. При истечении указанного времени сеанс либо отключается, оставаясь активным на сервере, либо сбрасывается.
IdlеSessionLimit (Ограничение бездейственного сеанса) Задает максимальную длительность простоя сеанса, после чего сеанс отключается или сбрасывается.
33
Вкладка RemoteControl
Вкладка RemoteControl (Удаленное управление) позволяет настроить свойства удаленного управления службами терминалов. Можно наблюдать за действиями клиента, вошедшего на сервер терминов, из другого сеанса. RemoteControl позволяет наблюдать или взаимодействовать с сеансом клиента. Выбрав последнее, можно при помощи клавиатуры и мыши воздействовать на сеанс клиента. Включить удаленный контроль учетной записи пользователя позволяют оснастка LocalUsersAndGroups (для локальных пользователей) и ActiveDirectoryUsersAndComputers (для пользователей до-
мена).
Вкладка TerminalServicesProfile
Вкладка TerminalServiceProfile (Профиль служб терминалов) позволяет назначить пользователю профиль для терминального сеанса. Профиль служб терминалов применяется для ограничения доступа к приложениям путем их удаления из меню Start (Пуск) на компьютере пользователя. Администраторы также могут создавать и сохранять сетевые соединения с принтерами и другими ресурсами для применения во время пользовательских сеансов.
Вы можете задать путь к домашнему каталогу, используемому для терминальных сеансов. Этот каталог может быть или локальным, или общим сетевым ресурсом. Можно также определить, будет ли у пользователя доступ к службам терминалов. При отключенном параметре AllowLogonToTerminal Server (Разрешить вход на сервер терминалов) пользователю запрещено входить на любой сервер терминалов.
Администрирование учетных записей пользователей
Включает изменение учетных записей и настройку пользовательских профилей и домашних каталогов.
Изменение учетных записей пользователей
Интересы предприятия могут потребовать изменения учетных записей, скажем, переименовать учетную запись для нового сотрудника так, чтобы он имел полномочия и доступ к сети своего предшественника. Другие изменения – например, отключение, подключение и удаление учетной записи – касаются персональных изменении личной информации. Может потребоваться и восстановление пар или разблокирование учетной записи.
Учетная запись изменяется путем изменения объекта учетной записи пользователя в хранилище ActiveDirectory. Для успешного изменения учетных записей, создания RUP и назначения долгих каталогов надо иметь право на администрирование ОП, к которому относятся учетные записи.
Администратор имеет возможность производить следующие действия.
34
Отключение/включение. Учетную запись следует отключать, когда пользователю в течение длительного времени она будет не нужна, но понадобится в будущем. Например, если Алексей уходит в отпуск, следует отключить его учетную запись, а когда он вернется, включить.
Переименование. Учетные записи переименовываются, когда надо сохранить все права, разрешения, членство в группе и большинство других свойств одной учетной записи и переназначить их другой. Например, если в организации появился новый бухгалтер, следует переименовать учетную запись, изменив имя, фамилию и пароль пользователя для нового бухгалтера.
Удаление. Удаляйте учетные записи уволенных сотрудников.
Процедуры отключения, включения, переименования и удаления доменных и локальных учетных записей похожи. Для доменных учетных записей следует использовать оснастку
ActiveDirectoryUsersAndComputers. Выберать учетную запись и щелк-
нуть в меню Action соответствую команду. Для локальных учетных записей использовать расширение LocalUsersAndGroups оснастки
ComputerManagement.
Восстановление паролей и разблокирование учетных записей пользователей
Если пользователь не может зарегистрироваться в домене или на локальном компьютере, может потребоваться смена его пароля или разблокирование его учетной записи. Для этого надо иметь административные привилегии для ОП, к которому относится данная учетная запись).
Смена паролей
Если срок действия пароля истечет до того, как его изменят, или пользователь забудет свой пароль, надо сменить пароль.Для этого старый пароль знать не обязательно.
Необходимо открыть оснастку ActiveDirectoryUsersAndComputers и
выбрать объект пользователя. В меню Action выбрать команду ResetPassword (Смена пароля). В диалоговом окне ResetPassword ввести пароль и указать флажок UserMustChangePasswordAtNextLogon (Потребовать смену пароля при следующем входе в систему).
Разблокирование учетных записей пользователей
Групповая политика Windows блокирует учетную запись пользователя, нарушившего политику, например, превысившего допустимое число неудачных попыток входа в систему. Если учетная запись заблокирована, Windows сообщает об ошибке. Чтобы разблокировать учетную запись, в оснастке
35
ActiveDirectoryUsersAndComputersследует щелкнуть правой кнопкой объект пользователя, выбрать в контекстном меню команду Properties (Свойства) и на вкладке Account (Учетная запись) сбросить флажок TheAccountIsLockedOut (Заблокировать учетную запись).
1.8. Создание домашней папки
Помимо папки MyDocuments, Windows позволяет создать дополнительную домашнюю папку пользователя, которую можно выделить ему для хранения личных документов и старых приложений. Иногда она является папкой по умолчанию для сохранения документов. Можно хранить домашнюю папку на компьютере клиента или в общей папке на файловом сервере. Домашняя папка не является частью RUP, поэтому ее размер не влияет на сетевой трафик при входе в систему. Можно разместить все домашние папки централизованно на сетевом сервере. Хранение всех домашних папок на файловом сервере дает ряд преимуществ:
пользователи могут получать доступ к своим домашним папкам с любого компьютера в сети;
централизованная поддержка и администрирование документе пользователя;
домашние папки доступны с компьютера клиента, на котором работает
любая ОС Microsoft (включая MS-DOS, Windows 2000)
Для создания домашней папки на файловом сервере в сетинеобходимо выполнить следующее:
Создать и открыть доступа к папке. Создать и открыть совместный доступ к папке, в которой будут храниться все домашние папки на сетевом сервере. Домашняя папка для всех пользователей будет вложена в эту общую папку.
Изменить разрешения FullControl. Для общей папки следует удалить разрешение по умолчанию FullControl (Полный доступ) для группы Everyone (Все) и назначьте его группе Users (Пользователи). Это гарантирует, что доступ к общей папке получат только пользователи с доменными учетными записями.
Указать путь к домашней папке. На вкладке Profile (Профиль) диалогового окна свойств учетной записи в группе Ноте folder (Домашняя папка). Поскольку домашняя папка находится на сетевом сервере, необходимо указатьConnect (Подключить) и указать букву подключаемого дис-
36
ка. Тогда при подключении пользователя к сети определенное имя диска появится в окне MyComputer. В поле То (к) появится имя UNC в виде \\<сервер>\ <ресурс>\<регистрационное_имя_пользователя>. В качестве имени пользователя указать переменную %username%, чтобы автоматически присвоить имя и создать домашнюю папку пользователя с тем же именем, под каким он входит в систему.
Можно расширить свойства домашней папки, перенаправив пользователя от папки MyDocuments к месту расположения его домашнего каталога.
Если задается имя папки на томе NTFS с помощью ременной %username%, пользователь и участники встроенной локальной группы Administrators получат для нее разрешение FullControl. Все другие разрешения для этой папки удаляются, включая права группы Everyone.
Создание RUP и назначение домашней папки
Создается профиль, применив учетную запись Alla. Чтобы создать локальный профиль для учетной записи, будет осуществлен вход в систему как Alla. Затем при входе в систему как Administrator и с помощью приложения System (Система) в ControlPanel можно убедиться, что нужный профиль создан.
Создание шаблона профиля пользователя
Следует определить и проверить локальный профиль пользователя. На Server создается шаблон профиля пользователя. Обычно для создания шаблона применяется компьютер с WindowsProfessional, но на данный момент предполагается, что задания выполняются на Windows Server
Необходимо войти в домен microsoft.com как Alla с паролем student. Если при этом была использована учетная запись Alla первый раз, создается стандартный локальный профиль. Он будет перенастроен и назначен другим пользователям.
Следует дважды щелкнуть значок MyComputer на рабочем столе. Откроется одноименное окно.
Следует перетащить значок LocalDisk (С:) [Локальный диск (С:)] на рабочий стол. Появится сообщение о том, что данный элемент не может быть скопирован или перемещен, но для него можно создать ярлык.
Следует щелкнуть кнопку Yes (Да) для создания ярлыка для диска С:
Закрыть окно MyComputer (Мой компьютер).
Необходимо раскрыть меню Start\Settings (Пуск\Настройка) и щелкнуть ярлык ControlPanel (Панель управления). В открывшемся окне следует дважды щелкнуть значок Display (Экран). Откроется диалоговое окно
DisplayProperties (Свойства:Экран).
37
Необходимо перейти на вкладку Appearance (Оформление). Следует обратить внимание на текущую цветовую схему.
В списке Scheme (Схема) выбрать другую схему и щелкнуть ОК. Рабочий стол изменится в соответствии с новой цветовой схемой.
Закрыть окно ControlPanel.
Завершив сеанс Alla, следует войти снова как Administrator с паролем password.
Раскрыв меню Start\Settings (Пуск\Настройка), щелкнуть ярлык ControlPanel. В открывшемся окне дважды щелкнуть значок System (Система).
Перейти на вкладку UserProfiles (Профили пользователей). Стоит обратить внимание: на Server несколько профилей. Они представляют все учетные записи пользователей на Server.
Не закрывать приложение System (Система) — оно еще потребуется.
Определение и назначение обязательного RUP
Из профиля пользователя Alla будет создан RUP и назначена для учетной записи Sergey. Действия выполняются на Server. Чтобы проверить RUP, можно войти в систему с Server.
Следует создать на диске С:\ папку с именем Profiles.
Создать общий ресурс с именем Profiles для папки C:\Profiles.
Открыть папку Profiles и создать подпапку Shared. Закрыть окно Profiles.
Найти диалоговое окно SystemProperties (Свойства системы). Приложение System было открыто на предыдущем задании.
Перейдите на вкладку UserProfiles (Профили пользователей).
В списке ProfilesStoredOnThisComputer (Профили, хранящиеся на этом компьютере) выбрать MICROSOFT\ Alla.
Щелкнуть кнопку Сору То (Копировать). Откроется диалоговое окно Сору То (Копирование профиля).
В поле CopyProfileto (Копировать профильна) следует набрать \\server \profiles\shared.
Щелкнуть кнопку Change (Изменить). Откроется диалоговое окно SelectUserOrGroup (Выбор:Пользователь или Группа).
В столбце Name (Имя) щелкнуть Users (Пользователи) и затем — кнопку ОК. В группе PermittedToUse (Разрешить использование) появится над-
пись BUILTIN\Users.
38
Щелкнуть кнопку ОК для возврата в окно SystemProperties. Появиться сообщение, что папка \\server\profiles\shared уже существует и текущее содержимое будет удалено. Такое сообщение появилось потому, что папку для этого профиля была уже создана.
Щелкнуть кнопку Yes (Да).
Щелкнуть кнопку ОК для возврата в окно ControlPanel.
Открытьоснастку Active Directory Users And Computers.
Раскрытьузел microsoft.com ищелкнутьпапку Users.
В правой панели дважды щелкнуть учетную запись пользователя Sergey. Откроется диалоговое окно ее свойств.
Ранее был установлен срок действия учетной записи этого пользователя. Чтобы удалить этот срок действия, на вкладке Account (Учетная запись) щелкнуть переключатель Never в группе AccountExpires (Срок действия учетной записи).
Перейти на вкладку Profile.
В поле Profilepath (Путь к профилю) набрать \\serverOl\profiles\shared и
щелкнуть ОК. Закрыть оснастку ActiveDirectoryUsersAndComputers. Так как используется централизованный профиль, который должен быть назначен другим пользователям, его надо сделать обязательным.
Дважды щелкнуть значок MyComputer (Мой компьютер) на рабочем столе.
Дважды щелкнуть значок LocalDisk (С:) [Локальный диск (С:)].
Дважды щелкнуть папку Profiles.
Дважды щелкнуть папку Shared. Стоит заметить, что открылись папки профиля.
В меню Tools (Сервис) выбрать команду FolderOptions (Свойства папки). Откроется одноименное диалоговое окно.
Перейти на вкладку View (Вид).
Щелкнуть переключатель SelecttheShowHiddenFilesAndFolders (Показы-
вать скрытые файлы и папки) и сбросить флажок
HideFileExtensionsForKnownFileTypes (Скрывать рас-ширения для заре-
гистрированных типов файлов).
Щелкнуть кнопку ОК. Откроется окно Shared, показывающее скрытые файлы и папки, включая файл Ntuser.dat.
Выбрать файл Ntuser.dat.
В меню File (Файл) выбрать команду Rename (Переименовать).
Изменить расширение файла на .man и нажать клавишу Enter.
39
Закрыть окно Shared и окно ControlPanel (Панель управления).
Завершить текущий сеанс и войти в систему как Sergey без пароля. Откроется рабочий стол пользователя Sergey. Необходимо убедиться, что его цветовая палитра именно та, что были назначены шаблону профиля пользователя и что на рабочем столе появился ярлык диска С:
Для проверки обязательного профиля следует удалить с рабочего стола ярлык ConnectToTheInternet (Подключение к Интернету).
Следует завершить текущий сеанс и войти в систему как Sergey без пароля.
На рабочем столе появился ярлык ConnecttotheInternet. Это произошло
потому, что было назначено учетной записи Sergey обязательный профиль.
Назначение пользователю домашней папки
На этом этапе будет назначена Sergey домашняя папка.
Завершить сеанс Sergey и войти как Administrator с паролем password.
Создать на диске С: папку HomeDirs.
Сделать папку HomeDirs общей.
Открытьоснастку Active Directory User And Computers.
Открыть окно свойств учетной записи Sergey, перейти на вкладку
Profile.
В разделе HomeFolder (Домашняя папка) щелкнуть переключатель
Connect (Подключить).
Проверить, что справа от переключателя Connect в списке появился диск
Z:
В поле То (к) наберите \\server\HomeDirs\%username% и щелкнуть кнопку ОК.
Закрытьоснастку Active Directory Users And Computers.
ЩелкнутьпапкуHomeDirsв Windows Explorer (Проводник).
В меню File (Файл) выбрать команду Properties (Свойства). Откроется диалоговое окно свойств папки HomeDirs.
Перейти на вкладку Security (Безопасность). Группа Everyone (Все) имеет разрешение FullControl (Полный доступ) для этого каталога.
Щелкнуть кнопку Add (Добавить). Откроется диалоговое окно
SelectUsers, Computers, OrGroups (Выбор:Пользователи, Компьютеры или Группы).
Выбрать Users (Пользователи) и щелкнуть кнопку Add (Добавить).
Щелкнуть кнопку ОК. Откроется диалоговое окно свойств папки
HomeDirs, показывающее группы Everyone (Все) и MICROSOFT\Users.
40
Следует убедиться, что группе Users назначены права Read&Execute (Чтение и выполнение), ListFolderContents (Список содержимого папки)
и Read (Чтение).
Необходимо сбросить флажок
AllowInheritablePermissionsFromParentToPropagateToThisObject (Перено-
сить наследуемые от родительского объекта разрешения на этот объект). Появится сообщение Security (Безопасность).
Прочитать сообщение и щелкнуть кнопку Remove (Удалить). Группа Everyone (Все) больше не имеет прав доступа к папке HomeDirs.
Щелкнуть кнопку Add (Добавить). Откроется диалоговое окно
SelectUsers, Computers, OrGroups.
Выбрать группу Administrators и щелкнуть кнопку Add.
Щелкнуть кнопку ОК. Откроется диалоговое окно свойств папки HomeDirs, показывающее группы MICROSOFT\Users и
MICROSOFT\Administrators.
Выбрать группу Administrators (Администраторы).
В списке Permissions (Разрешения) указать флажок Allow (Разрешить) в строке FullControl (Полный доступ).
Щелкнуть кнопку ОК.
Дважды щелкнуть папку HomeDirs.
Щелкнуть папку Sergey.
В меню File (Файл) выберать команду Properties (Свойства). Откроется диалоговое окно SergeyProperties.
Перейти на вкладку Security (Безопасность). Следует заметить, что Administrators и Sergey получили полный контроль над этим каталогом. Эти произошло автоматически.
Щелкнуть кнопку ОК и закрыть Windows Explorer (Проводник).
Завершить сеанс Administrator и войти снова как Sergey без пароля.
Дважды щелкнуть значок MyComputer (Мой компьютер). Следует заметить: появился новый значок сетевого диска Z:, указывающий на под-
папку Sergey папки \\server01\HomeDirs.
Закрыть окно MyComputer и выйти из системы.
Учетная запись позволяет пользователю регистрироваться в домене для доступа к сетевым ресурсам или на локальном компьютере для доступа к ресурсам этого компьютера. Windows предусматривает Доменные и локальные учетные записи. Встроенные учетные записи пользователей применяются для администрирования или для доступа к сетевым ресурсам. Прежде чем
41