Module 6: Creating and Managing User Accounts
Transkript
Module 6: Creating and Managing User Accounts
Module 6: Creating and Managing User Accounts Introduction to User Accounts Local User Accounts Umožní uživatelům přihlášení a přístup ke zdrojům daného počítače Obsažen v databázi SAM - součást registrů Domain User Accounts Umožní uživatelům přihlášení do domény a získat přístup k síťovým zdrojům Obsažen v databázi Active Directory Built-in User Accounts Administrator and Guest Umožní uživatelům provádět administrativní úkony nebo dočasný přístup k síťovým zdrojům Obsažen v SAM (local built-in user accounts) Obsažen v Active Directory (domain built-in user accounts) 1 Naming Conventions User Logon Names and Full Names Must Be Unique User Logon Names: Can contain up to 20 characters Can include a combination of special alphanumeric characters Password Guidelines Assign a Password for the Administrator Account doporučení – min 15 znaků Determine Who Has Control over Passwords Educate Users on How to Use Passwords nepoužívat jména, příjmení, přezdívky, datumy nar., rodná č. použít dlouhá hesla (min. 6 znaků) kombinovat malá a velká písmena „složité heslo“ i. min. 6 znaků ii. nesmí obsahovat celé - část uživatelského jména iii. musí obsahovat 3 ze 4 kategorií znaků: (velká / malá písmena, číslovky a speciální znaky (@,&,$,<,>)) např: P@ssW0rd 2 Account Options Set Logon Hours to Match Users’ Work Hours Specify the Computers from Which a User Can Log On Domain users can log on at any computer in the domain except for domain controllers, by default Domain users can be restricted to specific computers to increase security Specify When a User Account Expires Creating Local User Accounts Local User Accounts Are: Created on Computers Running Windows 2000 Professional Created on Standalone or Member Servers Running Windows 2000 Server or Windows 2000 Advanced Server Reside in SAM New User User name: JYoung Full name: Jonathan Young Description: Password: ********** Confirm: ********** User must change password at next logon User cannot change password Password never expires Account is disabled Create Close 3 Installing Windows 2000 Administration Tools Windows 2000 Administration Tools Setup Wizard Setup options Select the action you want the Setup Wizard to perform. Click an option and then click Next. Uninstall the Administrative Tools Install all of the Administrative Tools Description Install / Reinstall all components of the Windows 2000 Administration Tools. The tools appear on the Administrative Tools menu After you install Administration Tools, use the < Back runas command to run the tools \\server\admin$\SYSTEM32\adminpak.msi Active Directory Domains and Trusts Active Directory Sites and Services Active Directory Users and Computers Component Services Component Management Configure your Sever Data Sources (ODBC) DHCP Distributed File System DNS Domain Controller Security Policy Domain Security Policy Event Viewer Internet Services Manager Licensing Local Security Policy Performance Routing and Remote Access Server Extensions Administrator Services Telnet Server Administration Creating a Domain User Account Active Directory Users and Computers Console Window Help Action View Users 20 objects Tree Type Description Active Directory Users and Comp Name nwtraders.msft Administrator User Built-in account Builtin Cert Publishers Security Group - Global Enterprise certi Computers DNSAdmins Security Group - Domain Local DNS Administra Domain Controllers DNSUpdateProxy Security Group - Global DNS clients who ForeignSecurityPrincipals Domain Admins Security Group - Global Designated adm LostAndFound Domain Computers Security Group - Global All workstations New Object - User System Domain Controllers Security Group - Global All domain cont Find… Users Domain Guests Security Group Global All domain gues Delegate Control… Create in: nwtraders.msft/Users Computer New Contact All Tasks Group View First name: Judy Initials: A Printer New Window from Here User Lew Last name: Refresh Shared Folder Export List… Full name: Judy A. Lew Properties User logon name: Help judy1 @nwtraders.msft User logon name (pre-Windows 2000): judy1 NWTRADERS\ < Back Next > Cancel 4 Setting Password Requirements New Object - User Create in: nwtraders.msft/Users Password: ******** Confirm Password: ******** User must change password at next logon User cannot change password Password never expires Account is disabled < Back Next > Cancel Managing User Data by Creating Home Folders \Home User1 Co zvážit před vytvořením domovských složek? schopnost zálohy a obnovy dat dostatečný prostor na disku serveru výkon sítě Vytvoření domovské složky: 1. vytvořit a nasdílet složku na serveru, která bude obsahovat domovské složky uživatelů 2. nastavit vhodná oprávnění 3. nastavit pro uživatelský účet cestu ke složce \\server\share\%username% User2 User3 5 Setting Properties for Domain User Accounts Setting Personal Properties Setting Account Properties Specifying Logon Options Copying Domain User Accounts Creating User Account Templates Setting Personal Properties Add Personal Information About Users As Stored in Active Directory Use Personal Properties to Search Active Directory Active Directory Student 01 Properties Remote control Member Of Dial-in General Address Account Terminal Services Profile Environment Sessions Profile Telephones Organization User01 6 Setting Account Properties Use 01 Properties User01 User02 User03 User04 User05 Copy… User06 User User User User User User Add members to a group…… Disable Account Remote control Member Of Dial-in General Address Account User logon name: User01 @nwtraders.msft User logon name (pre-Windows 2000): NWTRADERS\ Student01 Reset Password… Logon Hours… Move… Open home page Send mail Terminal Services Profile Environment Sessions Profile Telephones Organization Log On To… Account is locked out Account options: Send mail Delete Rename Refresh Properties Help User must change password at next logon User cannot change password Password never expires Store password using reversible encryption Account expires: Never End of: Wednesday, November 24, 1999 OK Cancel Apply Specifying Logon Options Logon Hours for User01 12 . 2 . 4 . 6 . 8 .10.12 . 2 . 4 . 6 . 8 .10 .12 All OK Cancel Sunday Monday Tuesday Wednesday Thursday Friday Saturday Logon Permitted Logon Denied Logon Workstations This feature requires the NetBIOS protocol. In Computer name, type the pre-Windows 2000 computer name. This user can log on to: All computers Default The following computers Computer name: Brisbane Add Edit Perth Remove OK Cancel 7 Copying Domain User Accounts Copy an Existing Domain User Account to Simplify the Process of Creating a New Domain User Account. Domain Domain User Copy User Account Account (User1) (User2) Domain User1 Domain User2 Creating User Account Templates Active Directory Users and Computers Console Window Help Action Tree View Users 28 objects Name _Sales Template nwtraders.msft Administrator Builtin Casablanca Cert Publishers Computers DHCP Administrators Denver OU DHCP Users Domain Controllers DnsAdmins ForeignSecurityPrincipals DnsUpdateProxy Portland Domain Admins Seattle Domain Computers StudentOU Domain Controllers Tunis Domain Guests Users Domain Users Vancouver OU Enterprise Admins Group 01 Active Directory Users and Compu Type User Creates a new user, copying information from the selected user. Set Up a User Account as a Template Account Create a User Account by Coping the Template Account Description Copy… Add members to a group… ount f certifi Enable Account o hav Reset Password… o hav Move… Copy Object - User strato admi Open home page ions who Send mail ontro Create in: nwtraders.msft/Users All Tasks uest aser Delete admi Rename First name: sales Refresh user1 Last name: Properties Full sales user1 Helpname: User logon name: salesuser1 Initials: @nwtraders.msft User logon name (pre-Windows 2000): salesuser1 NWTRADERS\ < Back Next > Cancel 8 User Profile Types Display Modify Regional Settings Default User Profile User Save Profile Local User Profile Mouse Sounds Created the First Time a User Logs on to a Computer Stored on a Computer's Local Hard Disk Profile Roaming User Profile Serves as the bases for all user profiles Display Created by the System Administrator Stored on a server Created by the System Administrator Stored on a server Windows 2000 Client Regional Settings Mandatory User Profile Windows 2000 Client Profile Server Mouse Windows 2000 Client Sounds Creating Roaming and Mandatory User Profiles Create a Roaming User Profile Create a Shared Folder on the Server Specify the Shared Folder in Path Information Create a Mandatory User Profile Create a Shared Folder on the Server with a User Profile Folder Inside Set Up a Configured Roaming User Profile Specify the Shared Folder in Path Information Rename Ntuser.dat to Ntuser.man 9 Best Practices Rename the Administrator Account Create a User Account with Administrative Rights Create a User Account for Non-Administrative Tasks Enable the Guest Account Only in Low Security Networks Create Random Initial Passwords Require New Users to Change Their Passwords Set Account Expiration Dates for Temporary Employees User Informations net user logon_name net user logon_name /domain 10 Příklad: tvorba uživatelského účtu A serveru v AD vytvořte organizační jednotku AGIP: V OU = AGIP vytvořte: Uživatelský účet Františku Koudelkovi, logon name: příjmení Nastavte heslo: Passw0rd Vytvořte uživateli domovskou složku na :\HOME_AGIP\%username% Doplňte osobní údaje a popisek Účet uživateli vyprší 30.6. tohoto roku Doba přihlašování pouze po - st od 8:00 – 19:00 Nastavte přístup pouze ze stanice s adresou 192.168.10.100 Vytvořte globální skupinu OBSLUHA a přidejte do ní uživatele Uživatel bude mít povoleno měnit heslo a nutnost jej používat Nastavte min. délku hesla na 8 znaků Vynuťte uživateli pravidelnou obměnu hesla (1×měsíčně) Po 3 neplatných pokusech se účet uzamkne na 25 min Omezte velikost dat. prostoru na disku na 500 MB / uživatele 11 Module 7: Managing Access to Resources by Using Groups Účel skupin zajistit přístup k zdrojům zajistit přístup k datům organizace uživatelů management uživatelů RIGHTS – oprávnění PERMISSION – přístupová práva 12 How Windows 2000 Groups Work Přístupová práva přidělena Přístupová práva přidělena místo toho skupině každému uživatelskému účtu Permissions Group User Permissions Permissions Permissions User User Členové skupin mají přístupová práva a oprávnění garantována ze skupiny Uživatelé mohou být členy více skupin (max. 1022) Uživatelé, skupiny a počítače mohou být dále členy dalších skupin Groups in Workgroups and Domains Workgroup SAM SAM Client Computer Member Server Vytvořeny na PC, který není Doménovým řadičem Součástí registrů (SAM) Určeny pro řízení přístupu ke zdrojům počítače Vytvořeny na Doménovém řadiči Obsaženy v Active Directory Určeny pro řízení přístup ke zdrojům domény Domain Domain Controller 13 Implementace skupin v pracovní skupině Local Groups Built-in Local Groups The Strategy for Using Local Groups in a Workgroup Creating Local Groups Lokální skupiny – Místní skupiny počítače The Guidelines for Local Groups: Use local groups to control access to resources and who can perform system tasks on the local computer Membership Rules for Local Groups: Use local groups on computers that do not belong to a domain Local groups can only contain local user accounts that are on the local computer Local groups cannot be a member of any other group Members of the Administrators Group or Power Users Group on the Local Computer Can Create Local Groups 14 Lokální vestavěné skupiny vytvořeny při instalaci systému platí pouze pro jeden PC, kde jsou uloženy definují oprávnění pro práci pouze s tímto PC Administrators Backup Operators Power Users Users Guests Lokální vestavěné skupiny Vestavěné skupiny mají nastavená předdefinovaná práva a nelze je smazat Built-in Local Groups: Members have rights to perform system tasks User accounts can be added Special – System Groups: Organize users for system use Have automatic membership that cannot be modified 15 The Strategy for Using Local Groups in a Workgroup L Add Assign P A Add L Assign P A Windows 2000 Professional Workgroup Windows 2000 Professional L Add L Add P A Assign Windows 2000 Server P A Assign Windows 2000 Professional A = L = User Accounts P = Local Group Permissions Creating Local Groups Computer Management Action View New Group Group name: Project1 Description: Project1 data Tree Computer Management (Local) System Tools Event Viewer System Information Performance Logs and Al Shared Folders Device Manager Local Users and Groups Users Groups Storage New Group… Services and Refresh Required Optional Members: Help Add… Remove Add or Remove Members Create Close Creates a new local group 16 Implementace skupin v doméně Group Types and Scopes Built-in and Predefined Groups in a Domain The Strategy for Using Groups in a Single Domain Guidelines for Creating Domain Groups Creating and Deleting Domain Groups Adding Members to Domain Groups Typy a rozsahy skupin domény TYPY SKUPIN Bezpečnostní používány pro přidělování přístupových práv NELZE použít pro přidělování oprávnění použity pro posílání e-mailů (MS Exchange) Distribuční ROZSAHY SKUPIN Globální kontejner USERS Pro organizaci uživatelů s podobnými požadavky na přístup k síti Lokální doménové kontejner BUILTIN Pro přidělování oprávnění k (SDÍLENÝM) prostředkům jakéhokoliv počítače domény Univerzální Pro přidělení oprávnění k prostředkům ve vícedoménových sítích Systémové Členství je automatické dle práce uživatele v systému; nelze jej měnit; 17 Lokální (vestavěné) doménové skupiny pro přidělení oprávnění ke sdíleným prostředkům jakéhokoli PC v doméně Administrators Backup Operators Print Operators Server Operators Account Operators Users Guests Globální (předdefinované) skupiny domény organizují uživatele s podobnými vlastnostmi nepřidělují se oprávnění po připojení počítače do domény se stávají členy lokálních skupin PC nebo doménových skupin – oprávnění se přenesou na celou doménu Domain Admins Domain Users Domain Guests Domain Computers 18 Systémové skupiny na všech PC se systémem W2K (XP) členství je automatické a nedá se měnit skupiny nejsou viditelné při správě skupin skupiny se nedají smazat ani ovlivňovat Everyone Authenticated Users Creator Owner System Network Built-in and Predefined Groups in a Domain Built-in Domain Local Groups Give Users Predefined Rights and Permissions to Perform Tasks: On domain controllers In Active Directory Special Identities (Special Groups) Organize users for system use Membership is automatic and cannot be modified Predefined Global Groups Give Administrators Control of Domain Resources 19 The Strategy for Using Groups in a Single Domain A G DL P Strategy for Groups in a Domain A G User Accounts Add Global Group Add P DL Assign Domain Local Group PŘÍKLAD – použití skupin A A Manažeři Obchodníci G G Data-R Tisk Data-FC DL DL DL P User Accounts Global Group Domain Local Group P 20 Guidelines for Creating Domain Groups Determine Which Group Scope to Use Determine Whether You Have Permissions to Create Groups Determine the Name of the Group Creating and Deleting Domain Groups You Use Active Directory Users and Computers to Create and Delete Groups When You Delete a Group Its: Rights and permissions are removed Members are not deleted New Object - Group Create in: nwtraders.msft/Users Group name: Group Name Public Group name (pre-Windows 2000): Group scope: Domain local Global Universal Group type: Security Distribution SID is never used again OK Cancel 21 Adding Members to Domain Groups Group 01 Properties General Members Member Of Managed By Members: Name Select Users, Contacts, Computers, or Groups Active Directory Folder Look in: Select nwtraders.msft Name Casablanca Portland Seattle Denver Administrator Guest TsInternet User Add In Folder nwtraders.msft/Casablanca nwtraders.msft/Portland nwtraders.msft/Seattle nwtraders.msft/Denver OU nwtraders.msft/Users nwtraders.msft/Users nwtraders.msft/Users Check Names Casablanca; Portland Add... Add Remove OK Cancel Apply OK Cancel Spolupráce skupin po přidání PC do domény dojde k propojení skupin globální (předdefinované) skupiny se nainstalují do místních (vestavěných) skupin domény i lokálních (vestavěných) skupin PC přenesou se oprávnění vyšších skupin na nižší - místní LOKÁLNÍ SK. DOMÉNY Administrators Users Guests GLOBÁLNÍ SK. Domain Admins Domain Users Domain Guests DOMÉNA LOKÁLNÍ SK. PC Administrators Users Guests 22 Význam propojení doménových a lokálních skupin A A G User Accounts G Administrator Domain Users Domain Admins L L Users Administrators ZÁKLADNÍ ROZDĚLENÍ VESTAVĚNÝCH SKUPIN WORKGROUP Local Computer lokální skupiny Administrators Backup Operators Power Users Users Guests systémové skupiny Everyone Authenticated Users Creator Owner System Network lokální skupiny Administrators Backup Operators Print Operators Server Operators Account Operators Users Guests DOMAIN Domain Controler globální skupiny Domain Admins Domain Users Domain Guests Domain Computers systémové skupiny Everyone Authenticated Users Creator Owner System Network 23 24