Module 6: Creating and Managing User Accounts

Module 6: Creating and
Managing User
Accounts
Introduction to User Accounts
Local User Accounts


Umožní uživatelům přihlášení a přístup ke zdrojům
daného počítače
Obsažen v databázi SAM - součást registrů
Domain User Accounts


Umožní uživatelům přihlášení do domény a získat
přístup k síťovým zdrojům
Obsažen v databázi Active Directory
Built-in User Accounts

Administrator
and Guest


Umožní uživatelům provádět administrativní úkony nebo
dočasný přístup k síťovým zdrojům
Obsažen v SAM (local built-in user accounts)
Obsažen v Active Directory (domain built-in user
accounts)
1
Naming Conventions

User Logon Names and Full Names Must Be Unique

User Logon Names:


Can contain up to 20 characters
Can include a combination of special alphanumeric
characters
Password Guidelines

Assign a Password for the Administrator Account

doporučení – min 15 znaků

Determine Who Has Control over Passwords

Educate Users on How to Use Passwords

nepoužívat jména, příjmení, přezdívky, datumy nar., rodná č.

použít dlouhá hesla (min. 6 znaků)

kombinovat malá a velká písmena

„složité heslo“
i.
min. 6 znaků
ii.
nesmí obsahovat celé - část uživatelského jména
iii.
musí obsahovat 3 ze 4 kategorií znaků: (velká / malá
písmena, číslovky a speciální znaky (@,&,$,<,>))
např:
P@ssW0rd
2
Account Options

Set Logon Hours to Match Users’ Work Hours

Specify the Computers from Which a User Can Log On



Domain users can log on at any computer in the domain
except for domain controllers, by default
Domain users can be restricted to specific computers to
increase security
Specify When a User Account Expires
Creating Local User Accounts
Local User Accounts Are:



Created on
Computers Running
Windows 2000
Professional
Created on Standalone or Member
Servers Running
Windows 2000
Server or
Windows 2000
Advanced Server
Reside in SAM
New User
User name:
JYoung
Full name:
Jonathan Young
Description:
Password:
**********
Confirm:
**********
User must change password at next logon
User cannot change password
Password never expires
Account is disabled
Create
Close
3
Installing Windows 2000 Administration Tools
Windows 2000 Administration Tools Setup Wizard
Setup options
Select the action you want the Setup Wizard to perform.
Click an option and then click Next.
Uninstall the Administrative Tools
Install all of the Administrative Tools
Description
Install / Reinstall all components of the Windows 2000
Administration Tools.



The tools appear on the Administrative
Tools menu
After you install Administration Tools,
use the
< Back
runas command to run the tools
\\server\admin$\SYSTEM32\adminpak.msi
Active Directory Domains and Trusts
Active Directory Sites and Services
Active Directory Users and Computers
Component Services
Component Management
Configure your Sever
Data Sources (ODBC)
DHCP
Distributed File System
DNS
Domain Controller Security Policy
Domain Security Policy
Event Viewer
Internet Services Manager
Licensing
Local Security Policy
Performance
Routing and Remote Access
Server Extensions Administrator
Services
Telnet Server Administration
Creating a Domain User Account
Active Directory Users and Computers
Console Window Help
Action View
Users 20 objects
Tree
Type
Description
Active Directory Users and Comp Name
nwtraders.msft
Administrator
User
Built-in account
Builtin
Cert Publishers
Security Group - Global
Enterprise certi
Computers
DNSAdmins
Security Group - Domain Local DNS Administra
Domain Controllers
DNSUpdateProxy Security Group - Global
DNS clients who
ForeignSecurityPrincipals
Domain Admins
Security Group - Global
Designated adm
LostAndFound
Domain Computers Security
Group
- Global
All workstations
New
Object
- User
System
Domain Controllers Security Group - Global
All domain cont
Find…
Users
Domain
Guests
Security
Group
Global
All domain gues
Delegate Control…
Create in: nwtraders.msft/Users
Computer
New
Contact
All Tasks
Group
View
First name:
Judy
Initials: A
Printer
New Window from Here
User
Lew
Last name:
Refresh
Shared Folder
Export List…
Full name:
Judy A. Lew
Properties
User logon name:
Help
judy1
@nwtraders.msft
User logon name (pre-Windows 2000):
judy1
NWTRADERS\
< Back
Next >
Cancel
4
Setting Password Requirements
New Object - User
Create in:
nwtraders.msft/Users
Password:
********
Confirm Password:
********
User must change password at next logon
User cannot change password
Password never expires
Account is disabled
< Back
Next >
Cancel
Managing User Data by Creating Home Folders

\Home
User1

Co zvážit před vytvořením
domovských složek?

schopnost zálohy a obnovy dat

dostatečný prostor na disku serveru

výkon sítě
Vytvoření domovské složky:
1.
vytvořit a nasdílet složku na serveru,
která bude obsahovat domovské
složky uživatelů
2.
nastavit vhodná oprávnění
3.
nastavit pro uživatelský účet cestu
ke složce
\\server\share\%username%
User2
User3
5
Setting Properties for Domain User Accounts

Setting Personal Properties

Setting Account Properties

Specifying Logon Options

Copying Domain User Accounts

Creating User Account Templates
Setting Personal Properties

Add Personal Information About Users
As Stored in Active Directory

Use Personal Properties to Search
Active Directory
Active Directory
Student 01 Properties
Remote control
Member Of
Dial-in
General Address Account
Terminal Services Profile
Environment
Sessions
Profile Telephones Organization
User01
6
Setting Account Properties
Use 01 Properties
User01
User02
User03
User04
User05 Copy…
User06
User
User
User
User
User
User
Add members to a group……
Disable Account
Remote control
Member Of
Dial-in
General Address Account
User logon name:
User01
@nwtraders.msft
User logon name (pre-Windows 2000):
NWTRADERS\
Student01
Reset Password…
Logon Hours…
Move…
Open home page
Send mail
Terminal Services Profile
Environment
Sessions
Profile Telephones Organization
Log On To…
Account is locked out
Account options:
Send mail
Delete
Rename
Refresh
Properties
Help
User must change password at next logon
User cannot change password
Password never expires
Store password using reversible encryption
Account expires:
Never
End of:
Wednesday, November 24, 1999
OK
Cancel
Apply
Specifying Logon Options
Logon Hours for User01
12 . 2 . 4 . 6 . 8 .10.12 . 2 . 4 . 6 . 8 .10 .12
All
OK
Cancel
Sunday
Monday
Tuesday
Wednesday
Thursday
Friday
Saturday
Logon Permitted
Logon Denied
Logon Workstations
This feature requires the NetBIOS protocol. In Computer
name, type the pre-Windows 2000 computer name.
This user can log on to:
All computers
Default
The following computers
Computer name:
Brisbane
Add
Edit
Perth
Remove
OK
Cancel
7
Copying Domain User Accounts
Copy an Existing Domain User Account to Simplify the
Process of Creating a New Domain User Account.
Domain
Domain
User Copy User
Account
Account
(User1)
(User2)
Domain User1
Domain User2
Creating User Account Templates
Active Directory Users and Computers
Console Window Help
Action
Tree
View
Users 28 objects
Name
_Sales Template
nwtraders.msft
Administrator
Builtin
Casablanca
Cert Publishers
Computers
DHCP Administrators
Denver OU
DHCP Users
Domain Controllers
DnsAdmins
ForeignSecurityPrincipals
DnsUpdateProxy
Portland
Domain Admins
Seattle
Domain Computers
StudentOU
Domain Controllers
Tunis
Domain Guests
Users
Domain Users
Vancouver OU
Enterprise Admins
Group 01
Active Directory Users and Compu
Type
User
Creates a new user, copying information from the selected user.


Set Up a User Account as a
Template Account
Create a User Account by
Coping the Template Account
Description
Copy…
Add members to a group… ount f
certifi
Enable Account
o hav
Reset Password…
o
hav
Move…
Copy
Object - User
strato
admi
Open home page
ions
who
Send mail
ontro
Create in: nwtraders.msft/Users
All Tasks
uest
aser
Delete
admi
Rename
First
name:
sales
Refresh
user1
Last name:
Properties
Full
sales user1
Helpname:
User logon name:
salesuser1
Initials:
@nwtraders.msft
User logon name (pre-Windows 2000):
salesuser1
NWTRADERS\
< Back
Next >
Cancel
8
User Profile Types

Display


Modify
Regional
Settings
Default User Profile
User
Save Profile
Local User Profile


Mouse
Sounds

Created the First Time a
User Logs on to a Computer
Stored on a Computer's Local
Hard Disk
Profile
Roaming User Profile



Serves as the bases for all
user profiles
Display
Created by the System
Administrator
Stored on a server

Created by the System
Administrator
Stored on a server
Windows 2000
Client
Regional
Settings
Mandatory User Profile

Windows 2000
Client
Profile
Server
Mouse
Windows 2000
Client
Sounds
Creating Roaming and Mandatory User Profiles
Create a Roaming User Profile
Create a Shared Folder on the Server
Specify the Shared Folder in Path Information
Create a Mandatory User Profile
Create a Shared Folder on the Server with a
User Profile Folder Inside
Set Up a Configured Roaming User Profile
Specify the Shared Folder in Path Information
Rename Ntuser.dat to Ntuser.man
9
Best Practices
Rename the Administrator Account
Create a User Account with Administrative Rights
Create a User Account for Non-Administrative Tasks
Enable the Guest Account Only in Low Security Networks
Create Random Initial Passwords
Require New Users to Change Their Passwords
Set Account Expiration Dates for Temporary Employees
User Informations
net user logon_name
net user logon_name /domain
10
Příklad: tvorba uživatelského účtu















A serveru v AD vytvořte organizační jednotku AGIP:
V OU = AGIP vytvořte:
Uživatelský účet Františku Koudelkovi, logon name: příjmení
Nastavte heslo: Passw0rd
Vytvořte uživateli domovskou složku na
:\HOME_AGIP\%username%
Doplňte osobní údaje a popisek
Účet uživateli vyprší 30.6. tohoto roku
Doba přihlašování pouze po - st od 8:00 – 19:00
Nastavte přístup pouze ze stanice s adresou 192.168.10.100
Vytvořte globální skupinu OBSLUHA a přidejte do ní uživatele
Uživatel bude mít povoleno měnit heslo a nutnost jej používat
Nastavte min. délku hesla na 8 znaků
Vynuťte uživateli pravidelnou obměnu hesla (1×měsíčně)
Po 3 neplatných pokusech se účet uzamkne na 25 min
Omezte velikost dat. prostoru na disku na 500 MB / uživatele
11
Module 7: Managing
Access to Resources by
Using Groups
Účel skupin

zajistit přístup k zdrojům

zajistit přístup k datům

organizace uživatelů

management uživatelů

RIGHTS – oprávnění

PERMISSION – přístupová práva
12
How Windows 2000 Groups Work
Přístupová práva přidělena
Přístupová práva přidělena
místo toho
skupině
každému uživatelskému účtu
Permissions
Group
User
Permissions
Permissions
Permissions
User
User

Členové skupin mají přístupová práva a oprávnění garantována ze
skupiny

Uživatelé mohou být členy více skupin (max. 1022)

Uživatelé, skupiny a počítače mohou být dále členy dalších skupin
Groups in Workgroups and Domains
Workgroup
SAM
SAM
Client
Computer
Member
Server

Vytvořeny na PC, který není
Doménovým řadičem

Součástí registrů (SAM)

Určeny pro řízení přístupu
ke zdrojům počítače

Vytvořeny na Doménovém
řadiči
Obsaženy v Active Directory
Určeny pro řízení přístup ke
zdrojům domény
Domain


Domain
Controller
13
Implementace skupin v pracovní skupině

Local Groups

Built-in Local Groups

The Strategy for Using Local Groups in a Workgroup

Creating Local Groups
Lokální skupiny – Místní skupiny počítače

The Guidelines for Local Groups:



Use local groups to control access to resources and
who can perform system tasks on the local computer
Membership Rules for Local Groups:



Use local groups on computers that do not belong to a
domain
Local groups can only contain local user accounts that
are on the local computer
Local groups cannot be a member of any other group
Members of the Administrators Group or Power Users
Group on the Local Computer Can Create Local
Groups
14
Lokální vestavěné skupiny

vytvořeny při instalaci systému
platí pouze pro jeden PC, kde jsou uloženy
definují oprávnění pro práci pouze s tímto PC

Administrators

Backup Operators

Power Users

Users

Guests


Lokální vestavěné skupiny
Vestavěné skupiny mají nastavená
předdefinovaná práva a nelze je smazat


Built-in Local Groups:

Members have rights to perform system tasks

User accounts can be added
Special – System Groups:

Organize users for system use

Have automatic membership that cannot be modified
15
The Strategy for Using Local Groups in a Workgroup
L
Add
Assign
P
A
Add
L
Assign
P
A
Windows 2000
Professional
Workgroup
Windows 2000
Professional
L
Add
L
Add
P
A
Assign
Windows 2000
Server
P
A
Assign
Windows 2000
Professional
A =
L =
User Accounts
P =
Local Group
Permissions
Creating Local Groups
Computer Management
Action View
New Group
Group name:
Project1
Description:
Project1 data
Tree
Computer Management (Local)
System Tools
Event Viewer
System Information
Performance Logs and Al
Shared Folders
Device Manager
Local Users and Groups
Users
Groups
Storage New Group…
Services and
Refresh
Required
Optional
Members:
Help
Add…
Remove
Add or Remove Members
Create
Close
Creates a new local group
16
Implementace skupin v doméně

Group Types and Scopes

Built-in and Predefined Groups in a Domain

The Strategy for Using Groups in a Single Domain

Guidelines for Creating Domain Groups

Creating and Deleting Domain Groups

Adding Members to Domain Groups
Typy a rozsahy skupin domény
TYPY SKUPIN
Bezpečnostní
používány pro přidělování přístupových práv
NELZE použít pro přidělování oprávnění
použity pro posílání e-mailů (MS Exchange)
Distribuční
ROZSAHY SKUPIN
Globální
kontejner USERS
Pro organizaci uživatelů s podobnými
požadavky na přístup k síti
Lokální doménové
kontejner BUILTIN
Pro přidělování oprávnění k (SDÍLENÝM)
prostředkům jakéhokoliv počítače domény
Univerzální
Pro přidělení oprávnění k prostředkům
ve vícedoménových sítích
Systémové
Členství je automatické dle práce uživatele
v systému; nelze jej měnit;
17
Lokální (vestavěné) doménové skupiny

pro přidělení oprávnění ke sdíleným prostředkům
jakéhokoli PC v doméně

Administrators

Backup Operators

Print Operators

Server Operators

Account Operators

Users

Guests
Globální (předdefinované) skupiny domény



organizují uživatele s podobnými vlastnostmi
nepřidělují se oprávnění
po připojení počítače do domény se stávají členy
lokálních skupin PC nebo doménových skupin –
oprávnění se přenesou na celou doménu

Domain Admins

Domain Users

Domain Guests

Domain Computers
18
Systémové skupiny

na všech PC se systémem W2K (XP)
členství je automatické a nedá se měnit
skupiny nejsou viditelné při správě skupin
skupiny se nedají smazat ani ovlivňovat

Everyone

Authenticated Users

Creator Owner

System

Network



Built-in and Predefined Groups in a Domain



Built-in Domain Local Groups Give Users Predefined
Rights and Permissions to Perform Tasks:

On domain controllers

In Active Directory
Special Identities (Special Groups)

Organize users for system use

Membership is automatic and cannot be modified
Predefined Global Groups Give Administrators Control
of Domain Resources
19
The Strategy for Using Groups in a Single Domain
A G DL P Strategy for
Groups in a Domain
A
G
User Accounts
Add
Global Group
Add
P
DL
Assign
Domain Local Group
PŘÍKLAD – použití skupin
A
A
Manažeři
Obchodníci
G
G
Data-R
Tisk
Data-FC
DL
DL
DL
P
User Accounts
Global Group
Domain Local Group
P
20
Guidelines for Creating Domain Groups
Determine Which Group Scope to Use
Determine Whether You Have Permissions to Create Groups
Determine the Name of the Group
Creating and Deleting Domain Groups


You Use Active
Directory Users and
Computers to Create
and Delete Groups
When You Delete a
Group Its:



Rights and
permissions are
removed
Members are not
deleted
New Object - Group
Create in:
nwtraders.msft/Users
Group name:
Group Name
Public
Group name (pre-Windows 2000):
Group scope:
Domain local
Global
Universal
Group type:
Security
Distribution
SID is never used
again
OK
Cancel
21
Adding Members to Domain Groups
Group 01 Properties
General Members Member Of Managed By
Members:
Name
Select Users, Contacts, Computers, or Groups
Active Directory Folder
Look in:
Select
nwtraders.msft
Name
Casablanca
Portland
Seattle
Denver
Administrator
Guest
TsInternet User
Add
In Folder
nwtraders.msft/Casablanca
nwtraders.msft/Portland
nwtraders.msft/Seattle
nwtraders.msft/Denver OU
nwtraders.msft/Users
nwtraders.msft/Users
nwtraders.msft/Users
Check Names
Casablanca; Portland
Add...
Add
Remove
OK
Cancel
Apply
OK
Cancel
Spolupráce skupin



po přidání PC do domény dojde k propojení skupin
globální (předdefinované) skupiny se nainstalují do
místních (vestavěných) skupin domény i lokálních
(vestavěných) skupin PC
přenesou se oprávnění vyšších skupin na nižší - místní
LOKÁLNÍ SK. DOMÉNY
Administrators
Users
Guests
GLOBÁLNÍ SK.
Domain Admins
Domain Users
Domain Guests
DOMÉNA
LOKÁLNÍ SK. PC
Administrators
Users
Guests
22
Význam propojení doménových a lokálních skupin
A
A
G
User
Accounts
G
Administrator
Domain
Users
Domain
Admins
L
L
Users
Administrators
ZÁKLADNÍ ROZDĚLENÍ VESTAVĚNÝCH SKUPIN
WORKGROUP
Local Computer
lokální
skupiny
Administrators
Backup Operators
Power Users
Users
Guests
systémové
skupiny
Everyone
Authenticated Users
Creator Owner
System
Network
lokální
skupiny
Administrators
Backup Operators
Print Operators
Server Operators
Account Operators
Users
Guests
DOMAIN
Domain Controler
globální
skupiny
Domain Admins
Domain Users
Domain Guests
Domain Computers
systémové
skupiny
Everyone
Authenticated Users
Creator Owner
System
Network
23
24