Создание учетных записей пользователей и групп
308.14K
Category: softwaresoftware
Similar presentations:
Администрирование локальной компьютерной сети
Администрирование локальной компьютерной сети
Подсистема управления доступом в сетях под управлением Windows
Подсистема управления доступом в сетях под управлением Windows
Администрирование сетевых операционных систем
Администрирование сетевых операционных систем
Основные сведения об администрировании сети
Основные сведения об администрировании сети
Администрирование компьютерной сети поликлиники
Администрирование компьютерной сети поликлиники
Администрирование информационных систем. Основы администрирования Microsoft Windows
Администрирование информационных систем. Основы администрирования Microsoft Windows
Борьба с вредоносным ПО в локальной сети
Борьба с вредоносным ПО в локальной сети
Администрирование домена
Администрирование домена
Администрирование информационных систем. Группы безопасности. Управление пользователями
Администрирование информационных систем. Группы безопасности. Управление пользователями
Учетные записи пользователей и групп Windows Server
Учетные записи пользователей и групп Windows Server

Администрирование локальной компьютерной сети

1.

Администрирование
сетевых
операционных сетей

2.

Администрирование – процедуры управления,
регламентирующие некоторые процессы или их часть. Как
правило, оно фиксирует и руководит процессами и
ситуациями, нуждающимися в ограничениях или целевом
управлении.
Основной целью системного
администрирования является приведение сети в
соответствие с целями и задачами, для которых она
предназначена. Достигается эта цель путём управления
сетью, позволяющего минимизировать затраты времени и
ресурсов, направляемых на управление системой, и в
тоже время максимизировать доступность,
производительность и продуктивность системы.
Управление сетью (Network management) –
целенаправленное воздействие на сеть, осуществляемое
для организации её функционирования по заданной
программе.

3.

Управление сетью включает следующие процедуры:
включение и отключение системы, каналов передачи
данных, терминалов;
диагностика неисправностей;
сбор статистики;
подготовка отчётов и т.п.
С точки зрения модели OSI управление сетью
подразделяется на управление:
конфигурацией;
отказами;
безопасностью;
трафиком;
учётом.

4.

Задачи, решаемые в данной области,
разбиваются на две группы:
Контроль за работой сетевого оборудования,
Управление функционированием сети в целом.
Конечной целью управления сетью является
достижение параметров функционирования ИС,
соответствующих потребностям пользователей.
Пользователи оценивают работу ИС не по
характеристикам сетевого трафика, применяемым
протоколам, времени отклика серверов на запросы
определённого типа и особенностям выполняемых
сценариев управления, а по поведению приложений,
ежедневно запускаемых на их настольных компьютерах.

5.

Интегрированная система управления
сетью (Integrated network management system, INMS) –
система управления, обеспечивающая объединение
функций, связанных с анализом, диагностикой и
управлением сетью.
Проекты развития административных механизмов
обычно включают в себя задачи постановки
стратегического управления, разработки политики
информационного обеспечения и доступа к
информационным ресурсам, а также программноаппаратным устройствам, системам и комплексам,
постановки и развития системы, совершенствование
непрерывного управления.

6.

ЦЕЛИ И ЗАДАЧИ АДМИНИСТРАТОРА СЕТИ
Администратор сети – специалист, отвечающий за
нормальное функционирование и использование
ресурсов автоматизированной системы и (или)
вычислительной сети.
Администрирование информационных систем включает
следующие цели:
Установка и настройка сети.
Поддержка её дальнейшей работоспособности.
Установка базового программного обеспечения.
Мониторинг сети.

7.

В связи с этим администратор сети должен выполнять
следующие задачи:
Планирование системы.
Установка и конфигурация аппаратных устройств.
Установка программного обеспечения.
Установка сети.
Архивирование (резервное копирование) информации.
Создание и управление пользователями.
Установка и контроль защиты.
Мониторинг производительности.
Обеспечение работоспособности системы требует и
осуществления профилактических мероприятий.
Администратор должен обеспечивать удовлетворение
санкционированных запросов пользователей.

8. Создание учетных записей пользователей и групп

Основной
частью работы администратора является
создание учетных записей пользователей. Они
позволяют Microsoft Windows2000 управлять
информацией о пользователях, включая полномочия и
права доступа. Для этого служат:
• ActiveDirectoryUsers And Computers (ActiveDirectory—
пользователи и компьютеры) — средство
администрирования учетных записей в домене
ActiveDirectory;
• Local Users And Groups (Локальные пользователи и
группы) — средство администрирования учетных
записей на локальных компьютерах. В этой главе
описано создание учетных записей доменов,
локальных пользователей и групп.

9.

Учётная запись пользователя – это запись, которая
содержит сведения, необходимые для идентификации
пользователя при подключении к системе, а также
информацию для авторизации и учёта. Это имя пользователя и
пароль (или другое аналогичное средство аутентификации —
например, биометрические характеристики). Пароль или его
аналог, как правило, хранится в зашифрованном или
кэшированном виде (в целях его безопасности).
Для повышения надёжности могут быть, наряду с паролем,
предусмотрены альтернативные средства аутентификации —
например, специальный секретный вопрос такого содержания,
что ответ может быть известен только пользователю. Такие
вопросы и ответы также хранятся в учётной записи.
Учётная запись может содержать следующие
дополнительные анкетные данные о пользователе:
ФИО, псевдоним (ник), пол; национальность, возраст; дату
рождения; адрес электронной почты; адрес, номер мобильного
телефона; идентификатор Skype, др.

10.

Прежде чем создавать учетные записи, вы должны
определить политики, которые будете использовать при
их настройке в рамках организации.
Ключевая политика, которую нужно установить, —
схема именования учетных записей. Учетная запись
пользователя имеет отображаемое (или полное) имя
(display name) и имя для входа (logon name).
Первое отображается пользователю и упоминается в его
сеансах. Второе применяется при входе в домен.

11.

Правила для отображаемых имен
Отображаемое имя обычно является именем и
фамилией пользователя, по вы можете назначить ему
любое строковое значение.
При этом:
локальное отображаемое имя должно быть уникальным
на рабочей станции;
отображаемые имена должны быть уникальными во
всем домене;
отображаемые имена должны содержать не более 64
символов;
отображаемые имена могут содержать буквенноцифровые и специальные символы.

12.

Имена для входа задаются по таким правилам.
1. Локальные имена для входа должны быть уникальны
на рабочей станции, а глобальные имена для входа — во
всем домене.
2. Имена для входа могут содержать до 104 символов,
однако имена длиной более 64 символов неудобно
использовать.
3. Имена для входа не могут содержать символов:
«\\ :;!-.+*?<>
4. Имена для входа могут содержать все другие
специальные символы, включая пробелы, точки, тире и
символы подчеркивания. Но вообще использование
пробелов в именах учетных записей не рекомендуется.
Имена пользователей хранят регистр, но не
чувствительны к нему.

13.

Схемы именования
Для назначения имени учетным записям необходимо
применять согласованную процедуру, которая позволит
расти базе пользователей, ограничит конфликты имен и
гарантирует, что у учетных записей защищенные имена.
Типы схем назначения имен могут быть следующими.
Имя и первая буква фамилии пользователя — имя
пользователя сочетается с первой буквой его фамилии.
Эта схема непрактична для больших организаций.
Первая буква имени и фамилия пользователя — первая
буква имени пользователя сочетается с фамилией. Эта
схема также непрактична для больших организаций.

14.

Инициалы
и фамилия пользователя сочетаются с его
фамилией.
Инициалы и первые пять букв фамилии пользователя —
сочетаются инициалы пользователя с первыми пятью
буквами его фамилии
Имя и фамилия пользователя — вы сочетаете имя и
фамилию пользователя. Для разделения имени и
фамилии можно использовать символ подчеркивания ( _
) или дефис (-).
В системах с повышенной безопасностью имени для
входа можно назначить цифровой код длиной не менее 20
символов. Соединение такого метода назначения имен со
смарт-картами и устройствами для их чтения позволяет
пользователям быстро войти в сеть. У пользователей попрежнему будет отображаемое имя, удобное для чтения.

15.

Пароли и учетные политики
Для аутентификации доступа к ресурсам сети
учетные записи используют пароли и открытые
сертификаты.
Пароль — это чувствительная к регистру строка
длиной до 104 символов для службы каталогов
ActiveDirectory и до 14 — для диспетчера
безопасности. В паролях можно применять буквы,
цифры и знаки. ОС пароль в зашифрованном виде в
базе данных учетных записей.
Однако просто пароль не предотвратит
несанкционированного доступа к сетевым ресурсам.
Для этого необходимо применять защищенные пароли:
их труднее разгадать и взломать.
Можно затруднить взлом паролей, комбинируя все
возможные типы символов, включая буквы верхнего и
нижнего регистров, цифры и знаки.

16.

Настройка политики паролей
Политики паролей управляют безопасностью
паролей и позволяют задать следующие параметры:
Требовать
неповторимости паролей;
Максимальный
срок действия пароля;
Минимальный
срок действия пароля;
Минимальная
длина пароля;
Пароли
должны отвечать требованиям сложности;
Хранить
пароли всех пользователей в домене,
используя обратимое шифрование.

17.

Требовать неповторяемости паролей
Эта политика указывает, насколько часто старые пароли
могут использоваться повторно. Она также может помешать
пользователям менять пароли один на другой из одного
общего набора. ОС может хранить до 24 паролей для
каждого пользователя в предыстории паролей. По
умолчанию хранится один пароль в предыстории. Чтобы
отключить контроль предыстории, обнулите размер
предыстории паролей, а чтобы включить — введите
количество запоминаемых паролей в поле Passwords
Remember.
Максимальный срок действия пароля
Параметр определяет, как долго пользователи могут
применять пароли, прежде чем изменить их. Это делается с
целью заставить пользователей периодически изменять
свои пароли. Значение этого параметра определяется
потребностями вашей сети. Чем важнее безопасность, тем
короче должен быть период действия. По умолчанию — 42
дня.

18.

Минимальный
срок действия пароля
Параметр Minimum Password Age определяет, как
долго пользователи должны применять пароль, прежде
чем смогут изменить его. Этот параметр позволяет
помешать пользователям мошенничать с системой
паролей, вводя новый пароль, а затем изменяя его на
старый. По умолчанию ОС позволяет пользователям
изменять свой пароль сразу, но вы вправе задать
определенный минимальный срок, Рекомендуемое
значение — 3-7 дней.
Минимальная длина пароля
Параметр Minimum Password Length задает
минимальное количество символов для пароля.
Параметр Reset Account Lockout Threshold After
указывает частоту сброса счетчика неудачных попыток.

19.

Максимальное
число неудачных попыток
Параметр Account Lockout Threshold определяет
количество попыток входа в сеть. Установите его
значение таким, чтобы оно сбалансировало
потребность предотвращения взлома учетной записи
и потребности пользователей, которым не удается
сразу получить доступ к своим учетным записям.
Рекомендуемый диапазон значений для порога —
от 7 до 15: это позволяет исключить ошибку
пользователя и в то же время помешать
взломщикам.

20.

Продолжительность блокировки учетной записи
Параметр Account Lockout Duration задает период
времени, в течение которого учетная запись будет
заблокирована. Возможные значения — от 1 до 99 999
минут. Значение 0 блокирует учетную запись
неопределенное время: это лучшая политика безопасности,
так как при этом только администратор может
разблокировать учетную запись. Это должно предотвратить
попытки взломщиков получить доступ к системе повторно и
заставит пользователей, чьи учетные записи
заблокированы, искать помощи у администратора. Т.о., вы
можете определить, что пользователь делает неправильно,
и помочь ему избежать проблем в дальнейшем.
После блокировки учетной записи откройте окно свойств
учетной записи из консоли ActiveDirectoryUsers And
Computers (ActiveDirectory— пользователи и компьютеры) и
на вкладке Account (Учетная запись) сбросьте флажок
Account Is Locked (Учетная запись заблокирована). Это
разблокирует учетную запись.

21.

Частота
сброса счетчика неудачных попыток
После каждой неудачной попытки входа в сеть ОС
увеличивает значение счетчика неправильных попыток
входа. Параметр Reset Account Lockout Threshold After
(Сброс счетчика блокировки учетной записи через)
определяет, как долго сохраняется значение этого
счетчика. В исходное состояние это значение
возвращается двумя путями: если пользователь вошел
в сеть успешно или с момента последней неудачной
попытки прошло время, указанное в параметре Reset
Account Lockout Threshold After. По умолчанию значение
счетчика блокировки сохраняется 1 минуту, но вы
можете задать интервал от 1 до 99 999 минут. Как и с
порогом блокировки, нужно выбрать значение, которое
сбалансирует потребности безопасности и удобства
доступа. Рекомендуемое значение — 1-2 часа.

22.

Максимальное время жизни
Параметры Maximum Lifetime For Service Ticket и
Maximum Lifetime For User Ticket задают максимальное
время, в течение которого действительны служебные
или пользовательские билеты. По умолчанию
максимальное время жизни служебных билетов — 41
760 минут, а пользовательских — 720 часов. Нулевое
значения параметра соответствует неограниченному
сроку жизни. Билет, время жизни которого истекло,
может быть возобновлен, если это происходит в
Максимальное отклонение
Параметр Maximum Tolerance For Computer Clock
Synchronization — один из немногих, который, вероятно,
понадобится изменить. По умолчанию компьютеры в
домене должны быть синхронизированы друг с /другом
с точностью до 5 минут, иначе аутентификация
невозможна.

23.

Настройка политик прав пользователя
Встроенные возможности учетных записей
изменять нельзя, но администратор может
управлять правами пользователя для учетных
записей, делать пользователей членами
соответствующей группы или групп.
Поэтому изменять политику прав пользователя
должны только опытные администраторы. Можно
назначать права пользователя через узел Local
Policies (Локальные политики) консоли групповых
политик. Администратор может настраивать
локальные политики как часть существующей
групповой политики для сайта, домена или
подразделения, тогда они применяются к учетным
записям компьютеров в сайте, домене или
подразделении.

24.

Добавление учетной записи пользователя
Необходимо создать учетную запись для каждого
пользователя, который хочет обращаться к сетевым ресурсам. Для
этого можно создать доменную учетную запись пользователя в
консоли ActiveDirectoryUsers And Computers (ActiveDirectory—
пользователи и компьютеры), а локальную учетную запись
пользователя — из консоли Local Users And Groups (Локальные
пользователи и группы).
Создание доменной учетной записи пользователя можно
произвести двумя способами:
1. Создание полностью новой учетной записи пользователя.
Щелкните правой кнопкой контейнер, в который вы хотите
поместить учетную запись пользователя, выберите в контекстном
меню New (Создать), а затем — User (Пользователь). Откроется
окно мастера New Object User (Новый объект — пользователь). К
созданной учетной записи применяются системные параметры по
умолчанию.
2. Создание новой учетной записи на основе существующей.
Вызовите контекстное меню правым щелчком учетной записи
пользователя, которую вы хотите скопировать в консоль

25.

2. Создание новой учетной записи на основе существующей.
Вызовите контекстное меню правым щелчком учетной записи
пользователя, которую вы хотите скопировать в консоль
ActiveDirectoryUsers And Groups, и выберите Copy (Копировать).
Откроется мастер Copy Object — User, похожий на диалоговое окно
New User (Новый пользователь). Созданная копия учетной записи
получает большинство значений параметров от существующей.

26.

Добавление учетной записи группы
Учетные записи групп позволяют управлять привилегиями
нескольких пользователей. Вы можете создавать глобальные
учетные записи групп в консоли ActiveDirectoryUsers And
Computers, а локальные — в консоли Local Users And Groups.
Можно выделить следующие типы групп.
Группы по отделам организации. Сотрудники одного отдела
обычно нуждаются в доступе к одним и тем же ресурсам.
Поэтому можно создавать группы по отделам, таким как отдел
развития бизнеса, отдел продаж, производственный отдел.
Группы по приложениям. Зачастую пользователям нужен доступ
к одному приложению и ресурсам для этого приложения.
Группы по должностям в организации. Группы могут быть
организованы по должностям пользователей в организации. Так,
должностным лицам, возможно, нужны ресурсы, к которым не
обращаются другие пользователи. Создавая группы, основанные
на должностях, вы даете пользователям доступ к ресурсам, и
которых они нуждаются.

27.

Удаление учетных записей пользователей и групп
Удалив учетную запись, нельзя создать новую с таким же
именем для получения тех же полномочий, поскольку SID новой
записи не будет совпадать с SID старой (Идентификатор
безопасности (Security Identifier (SID)). ОС не позволяет удалять
встроенные учетные записи пользователей групп, так как их
удаление может серьезно повлиять на домен. Чтобы удалить
учетные записи других типов, надо выбрать их и нажать клавишу
DEL.
При удалении учетной записи, ОС не удаляет профиль
пользователя, личные файлы и домашнюю папку. Эти файлы
можно удалить вручную. Администратору приходится часто
изменять или обнулять пароли пользователей. Обычно это
требуется, когда пользователи забывают свои пароли либо если
время действия их паролей истекло.

28.

http://adminbook.ru/index.php?men3=4/
9
http://citforum.ru/operating_systems/intw
are_adm/ch3.shtml
http://www.studfiles.ru/preview/4254/
http://compress.ru/article.aspx?id=12484
English     Русский Rules