Изменение пароля учетной записи пользователя
Если пароль пользователя стал недействительным раньше, чем пользователь смог его сменить, или если пользователь забыл свой пароль, Вы можете удалить его и ввести новый.
> Изменение пароля учетной записи пользователя
Зарегистрируйтесь в системе по учетной записи Administrator (Администратор).
Запустите утилиту User Manager for Domains (Диспетчер пользователей доменов).
Дважды щелкните имя пользователя, использованное в предыдущем упражнении. Появится диалоговое окно User Properties (Свойства пользователя).
В поле Password (Пароль) дважды щелкните старое значение и нажмите клавишу DELETE.
В поле Password (Пароль) введите новый пароль.
В поле Confirm Password (Пароль) еще раз введите новый пароль, а затем щелкните кнопку ОК.
Закройте User Manager for Domains.
Примечание Перед тем как продолжить изучение данной главы, отмените установленную на этом занятии стратегию учетных записей, чтобы вернуться к исходным значениям параметров. Это позволит Вам экспериментировать с учетными записями в упражнениях других глав без ограничений, накладываемых выбранной стратегией.
Настройка параметров блокировки учетных записей
Блокировка учетных записей защищает Windows NT от тех, кто пытается получить доступ к сети подбором пароля учетной записи. Параметры блокировки учетных записей определяют различные характеристики блокировки, выполняемой после одной или нескольких неудачных попыток регистрации.
Параметр
Описание
Account Lockout
(Блокировка учетной записи)
Выбор этого переключателя делает доступными следующие три параметра
Lockout After
(Блокировка после Х неудачных попыток входа)
Число неудачных попыток регистрации, после которого учетная запись будет блокирована. Диапазон допустимых значений — от 1 до 999
Reset Count After
(Сброс счетчика через Х мин)
Интервал (в минутах) обнуления счетчика неудачных попыток. Диапазон допустимых значений — от 1 до 99999 минут
Lockout Duration
(Длительность блокировки)
Forever [Постоянная (до снятия блокировки администратором)] блокирует учетные записи, пока их не разблокирует администратор; встроенная учетная запись Administrator (Администратор) не блокируется. Duration (Блокировать на Х мин) блокирует учетные записи на указанное время (в минутах). По истечении этого времени учетная запись будет автоматически разблокирована. Диапазон допустимых значений — от 1 до 99999 минут
Forcibly disconnect remote users from server when logon hours expire (Принудительно отключать удаленных пользователей по истечении разрешенного для работы времени)
Если этот флажок установлен, то по истечении разрешенного времени работы пользователь принудительно отключается от всех серверов домена. Если этот флажок сброшен, то по истечении разрешенного времени работы пользователь не будет автоматически отключен, но новые подключения будут запрещены. Этот параметр доступен только в Windows NT Server
> Планирование стратегии учетных записей
В этом упражнении Вы спланируете стратегии учетных записей для Вашего домена.
ответ
Вам нужно выработать:
ограничения на пароли;
требования к блокировке учетных записей.
Принимая решение, учтите приведенные ниже советы.
Требуйте от пользователей ежемесячной смены паролей.
Не позволяйте пользователям повторно использовать пароли в течение, по крайней мере, шести месяцев.
Сделайте все возможное для предотвращения проникновения в сеть неавторизованных пользователей.
Отключайте от сети пользователей, у которых закончилось разрешенное время работы.
Отметьте Ваши решения прямо на приведенном ниже рисунке в диалоговом окне Account Policy (Политика учетных записей).
> Реализация стратегии учетных записей
В этом упражнении Вы определите стратегию учетных записей для всех учетных записей пользователей домена сети со средними требованиями к защите.
Зарегистрируйтесь в системе по учетной записи Administrator (Администратор).
В меню Policies утилиты User Manager for Domains (Диспетчер пользователей доменов) (Политика) выберите пункт Account (Учетные записи).
Появится диалоговое окно Account Policy (Политика учетных записей).
Установите перечисленные ниже ограничения, чтобы обеспечить защиту сети со средними требованиями к безопасности.
Щелкните кнопку ОК, чтобы установить стратегию учетных записей.
> Проверка действия стратегии учетных записей для парольных ограничений
Здесь Вы проверите действие ограничений, заданных новой стратегией учетных записей.
Попытайтесь создать учетную запись пользователя с пустым паролем.
Появится сообщение о его недопустимости. Эта ошибка возникла потому, что стратегия учетных записей устанавливает минимальную длину пароля — 8 символов. Таким образом, пользователю не удастся воспользоваться пустым паролем.
Щелкните кнопку ОК.
В полях Password (Пароль) и Confirm Password (Подтверждение) введите пароль длиной по меньшей мере 8 символов и нажмите кнопку Add (Добавить).
Убедитесь, что установлен флажок User Must Change Password at Next Logon
(Потребовать смену пароля при следующем входе в систему).
Выйдите из системы и зарегистрируйтесь по новой учетной записи.
Появится окно с сообщением о необходимости смены пароля при первой регистрации в системе. Несмотря на то что для выбора стратегии учетных записей этого не требуется, параметр был установлен по умолчанию при создании данной учетной записи.
Щелкните кнопку ОК.
В полях New Password (Новый пароль) и Confirm New Password (Подтверждение) наберите watermelon и щелкните кнопку ОК.
Появится сообщение о том, что пароль был изменен.
Нажмите комбинацию клавиш CTRL+ALT+DELЕTE, чтобы вызвать диалоговое окно Windows NT Security (Безопасность Windows NT), а затем щелкните кнопку Change Password (Смена пароля).
В поле Old Password (Старый пароль) наберите watermelon.
В полях New Password (Новый пароль) и Confirm New Password (Подтверждение) наберите cantaloupe и щелкните ОК.
Появится сообщение о том, что в данный момент пароль нельзя изменить. Это происходит потому, что стратегия учетных записей не позволяет изменять пароль раньше, чем через 30 дней после предыдущего изменения. Первая смена пароля (при первой регистрации по новой учетной записи) была разрешена при создании учетной записи.
Щелкните кнопку ОК.
> Проверка действия стратегии блокировки учетных записей
Здесь Вы проверите действие блокировки учетных записей, несколько раз набрав неправильный пароль.
Выйдите из системы и попытайтесь зарегистрироваться в ней снова по той же учетной записи, но без указания пароля.
Появится сообщение, что регистрация невозможна.
Щелкните кнопку ОК.
Дважды повторите попытку зарегистрироваться без указания пароля.
Теперь попытайтесь зарегистрироваться по правильному паролю.
Почему Вам не удалось зарегистрироваться в системе, даже указав правильный пароль?
ответ
Как следует пользователям решать эту проблему?
ответ
Щелкните кнопку ОК.
Настройка параметров пароля
Стратегия учета позволяет задать требования к паролям учетных записей.
Параметр
Описание
Maximum Password Age
(Максимальный срок действия)
Период времени, в течение которого пользователь может применять данный пароль. По истечении этого времени пользователю будет предложено сменить пароль. Диапазон допустимых значений — от 1 до 999 дней
Minimum Password Age
(Минимальный срок действия)
Период времени, в течение которого пользователь не сможет изменить новый пароль. Это обеспечит уникальность паролей. Значение Minimum Password Age должно быть меньше, чем значение Maximum Password Age. Диапазон допустимых значений — от 1 до 999 дней
Minimum Password Length
(Минимальная длина пароля)
Password Uniqueness
(Уникальность пароля)
Минимально допустимое число символов в пароле. Диапазон допустимых значений — от 1 до 14 символов
Число новых паролей, которые должен использовать пользователь, прежде чем сможет повторить один из ранее использованных. Пользуясь этим ограничением, не разрешайте немедленного изменения только что введенного пароля (установите параметр Minimum Password Age). Диапазон допустимых значений — от 1 до 24 паролей
Users must log on in order to change password
(Для смены пароля пользователь должен войти в систему)
Если флажок установлен, пользователи не смогут самостоятельно изменить просроченный пароль. Если флажок сброшен, самостоятельная замена просроченного пароля разрешена
Внимание! Установка флажка Password Never Expires [Постоянный пароль (без ограничения срока действия)] в диалоговых окнах New User (Новый пользователь) или User Properties (Свойства пользователя) для индивидуальной учетной записи отменяет действие параметра Maximum Password Age (Максимальный срок действия).
Неожиданное отключение главного контроллера домена
Если главный контроллер домена неожиданно отключился, выполните следующие действия:
повысьте статус резервного контроллера домена до главного контроллера домена;
после исправления и включения первоначального главного контроллера домена понизьте его статус до резервного контроллера домена; это позволит далее понизить статус временного PDC до BDC;
повысьте статус первоначального главного контроллера домена.
Packet4-
Глава 4. Администрирование пользователей и групп
В этой главе
Эта глава посвящена сопровождению существующих учетных записей и методам оптимизации административной работы: созданию шаблонов учетных записей, одновременному редактированию нескольких учетных записей, планированию и применению стратегии учетных записей, поддержке контроллеров домена и разрешению проблем регистрации пользователей в системе. В упражнениях этот главы Вы примените полученные знания на практике.
Прежде всего
Прежде чем приступить к изучению занятий этой главы, необходимо:
выполнить процедуры установки, описанные в разделе «Об этой книге»;
хорошо усвоить материал главы 2, «Создание учетных записей пользователей»;
хорошо усвоить материал главы 3, «Создание учетных записей групп»;
создать учетную запись User4 (Пользователь) и две глобальные группы Managers4 (Менеджеры) и CustomerService4 (Служба поддержки): для этого зарегистрируйтесь в системе по учетной записи Administrator (Администратор); с помощью Windows NT Explorer (Проводник Windows NT) откройте папку LabFiles и дважды щелкните файл Chapter4.cmd.
Занятие 1. Основные понятия
Занятие 2. Реализация стратегии учетных записей
Занятие 3. Редактирование нескольких учетных записей
Занятие 4. Сопровождение контроллеров домена
Занятие 5. Устранение проблем регистрации
Закрепление материала
Планирование стратегии
При создании новой учетной записи пользователя единственное требование к паролю — это изменение его пользователем при первой регистрации в системе. Чтобы обеспечить дополнительные меры защиты учетных записей примите к сведению приведенные ниже рекомендации.
Не разрешайте пустые пароли (то есть не содержащие ни одного символа): они не обеспечивают никакой защиты. Строго запретите использование пустых паролей в системах, подключенных к Интернету, и в системах, к которым возможен доступ по телефонной линии.
Установите минимальную длину для всех паролей; чем длиннее пароль, тем сложнее его подобрать.
В сетях со средними требованиями к защите ограничьтесь 6—8 символами.
В сетях с высокими требованиями к защите рекомендованная длина — от 8 до 14 символов.
Требуйте, чтобы пользователи регулярно изменяли свои пароли: это еще более усложнит их подбор.
В сетях со средними требованиями к защите требуйте смены пароля каждые 45-90 дней.
В сетях с высокими требованиями к защите требуйте смены пароля каждые 14—45 дней.
Требуйте, чтобы пользователи при каждой смене пароля придумывали новую комбинацию. Обеспечьте невозможность применения недавно использованных паролей.
В сетях со средними требованиями к защите храните 8—12 ранее использованных паролей.
В сетях с высокими требованиями к защите храните 12—24 ранее использованных паролей.
Блокируйте учетные записи после нескольких неудачных попыток регистрации: это уменьшит вероятность несанкционированного доступа к сети.
В сетях со средними требованиями к защите блокируйте учетные записи после пяти неудачных попыток регистрации в системе.
В сетях с высокими требованиями к защите блокируйте учетные записи после трех неудачных попыток регистрации в системе.
Не разрешайте пользователям самостоятельно разблокировать учетную запись — передайте этот вопрос в ведение администратора. Это позволит регистрировать попытки подбора пароля.
Установите режим принудительного отключения пользователей с ограничением часов регистрации по окончании разрешенного времени.
Применение шаблонов
Шаблон учетной записи пользователя — это стандартная учетная запись с набором свойств, характерных для нескольких пользователей, имеющих общие потребности. Шаблоны учетных записей — полезный административный инструмент для создания новых учетных записей пользователей. Например, если все сотрудники отдела продаж должны быть членами группы Отдел продаж. Вы можете создать шаблон, который задает членство в этой группе.
Чтобы воспользоваться шаблоном для создания новой учетной записи пользователя, скопируйте учетную запись шаблона и присвойте новому пользователю имя и пароль. Перечисленные ниже параметры при этом автоматически станут свойствами новой учетной записи:
Description (Описание);
User Must Change Password at Next Logon (Потребовать смену пароля при следующем входе в систему);
User Cannot Change Password (Запретить смену пароля пользователем);
Password Never Expires [Постоянный пароль (без ограничения срока действия)];
Groups (Группы);
Profile (Профиль);
Hours (Часы регистрации) — только для контроллеров домена;
Logon to (Регистрация на рабочих станциях) — только для контроллеров домена;
Account (Учетная запись) — только для контроллеров домена;
Dialin (Связь).
Примечание. Привилегии, права доступа и разрешения, присвоенные индивидуальной учетной записи пользователя, не копируются.
Несколько советов по созданию шаблонов.
Создайте шаблоны для каждой группы сотрудников (или каждого типа служебных обязанностей) — сотрудников отдела продаж, бухгалтеров, менеджеров и т.п.
Если Вашей сетью часто пользуются временные пользователи, создайте для них шаблон и укажите дни и часы их регистрации в системе, перечень разрешенных к использованию рабочих станций и другие необходимые ограничения.
> Создание шаблона учетной записи для менеджеров
В этом упражнении Вы создадите шаблон учетной записи для менеджеров, только что принятых на работу.
Зарегистрируйтесь в системе по учетной записи User4— это пользователь, которого Вы добавили в группу Account Operators (Операторы сервера), — и запустите утилиту User Manager for Domains (Диспетчер пользователей доменов).
В меню User (Пользователь) выберите пункт New User (Добавить пользователя).
Введите следующую информацию:
Username (Пользователь): Manager_Template (Шаблон учетной записи менеджера);
Description (Описание): описание для всех учетных записей, которые будут создаваться на основе этого шаблона.
Совет Чтобы шаблоны всегда находились в начале списка Username (Пользователь) — это упростит их поиск, — в качестве первого символа имени шаблона укажите любой разрешенный символ, отличный от буквы, например символ подчеркивания ( _ ): «_Manager_Template».
> Потребуйте смены пароля при первой регистрации
Убедитесь, что в диалоговом окне New User (Новый пользователь) установлен флажок User Must Change Password At Next Logon (Потребовать смену пароля при следующем входе в систему).
Установите флажок Account Disabled (Отключить учетную запись).
> Укажите в шаблоне путь к домашнему каталогу
В диалоговом окне New User (Новый пользователь) щелкните кнопку Profile (Профиль).
В группе Home Folder (Домашний каталог) щелкните переключатель Connect (Подключить), затем выберите из списка букву Z.
В поле То (К) введите строку \\имя_компьютера\иsеrs\%иsеrnaте% (вместо имя_компьютера подставьте имя своего компьютера) и щелкните кнопку ОК.
> Выберите группы, членами которых будут новые менеджеры
В диалоговом окне New User (Новый пользователь) щелкните кнопку Groups (Группы).
Включите шаблон для менеджеров в следующие группы:
Managers4 (Менеджеры);
Domain Users (Пользователи домена).
> Создание шаблона для персонала ночной смены
В этом упражнении Вы создадите шаблон учетной записи для новых сотрудников ночной смены службы поддержки пользователей.
Создайте шаблон для новых сотрудников ночной смены службы поддержки, используя те же свойства, что и в шаблоне для новых менеджеров (за исключением групп).
Включите шаблон в следующие группы:
CustomerService4 (Служба поддержки);
Domain Users (Пользователи домена).
Установите интервал времени, в течение которого работникам службы ночной поддержки разрешена регистрация в системе: с 18:00 до 6:00, с понедельника по пятницу.
Ваш главный контроллер домена надо
Предположим, Ваш главный контроллер домена надо выключить для проведения профилактических работ. Средствами Server Manager Вы повысите статус BDC до РDС, одновременно статус PDC понизится до BDC. Когда это будет выполнено, можно будет отключить первоначальный главный контроллер домена.
Примечание На этом занятии Вы будете пользоваться программой Server Manager Simulation, которая имитирует наличие в домене резервного контроллера домена.
> Повышение статуса резервного контроллера домена до главного контроллера домена
Щелкните кнопку Start (Пуск), выберите в меню пункты Programs (Программы), Network Administration Training и щелкните пункт Server Manager Simulation.
В диалоговом окне Server Manager Simulation щелкните кнопку Promoting a BDC When the PDC Needs to Be Taken Offline (Повышение статуса BDC, когда нужно отключить PDC).
Появится диалоговое окно Server Manager Simulation.
Заметьте, что текущим резервным контроллером домена является Server1, a главным — Server1.
Щелкните резервный контроллер домена и выберите в меню Computer (Компьютер) команду Promote to Primary Domain Controller (Повысить статус до PDC).
Появится следующее сообщение:
Promoting Server1 to Primary may take a few minutes.
Promoting Server1 will also close client connections to Server1 and to the current domain controller (if any). Press 'Help' for details if either machine is a Remote Access server.
Do you want to make the change?
(Повышение статуса сервера до главного контроллера домена может занять несколько минут.
Повышение статуса сервера также разорвет все имеющиеся подключения клиентов к нему и к текущему контроллеру домена. Нажмите кнопку 'Help' для получения дополнительной информации в случае, если одна из этих машин является сервером удаленного доступа.
Хотите произвести изменения?)
В ответ на просьбу подтвердить изменения нажмите кнопку Yes (Да).
Появится окно состояния Server Manager. По мере повышения статуса BDC в этом окне будет отображаться информация о выполняемых операциях:
Вы только что добавили новую
Предположим, Вы только что добавили новую учетную запись пользователя и хотите проверить ее до того, как разрешить ее использование. Имя этой учетной записи — PDC1, а пароль — password.
> Моделирование проблемы
Зарегистрируйтесь в системе по учетной записи Administrator (Администратор).
Запустите Windows NT Explorer, раскройте папку LabFiles и дважды щелкните файл Scenario l.cmd.
Окно сеанса командной строки ненадолго откроется, затем автоматически закроется. Окно будет пустым, что не позволит Вам во время моделирования проблемы воспользоваться подсказкой для ее решения.
> Проверка наличия проблемы
Выйдите из системы и зарегистрируйтесь по учетной записи PDC1. Каковы симптомы проблемы?
ответ
> Решение проблемы
Используйте User Manager for Domains (Диспетчер пользователей доменов) для выявления причин проблемы и их устранения.
Что это за проблема?
ответ
Как ее решить?
ответ
Пользователю нужно изменить пароль, но
Пользователю нужно изменить пароль, но он испытывает трудности с регистрацией в системе. Имя этой учетной записи — PDC2, а пароль — password.
> Моделирование проблемы
Зарегистрируйтесь в системе по учетной записи Administrator (Администратор).
В Windows NT Explorer раскройте папку LabFiles и дважды щелкните файл Scenario2, cmd.
Окно сеанса командной строки ненадолго откроется, затем автоматически закроется. Окно будет пустым, что не позволит Вам во время моделирования проблемы воспользоваться подсказкой для ее решения.
> Проверка наличия проблемы
Выйдите из системы и зарегистрируйтесь в ней по учетной записи PDC2. Каковы симптомы проблемы?
ответ
> Решение проблемы
Используйте User Manager for Domains (Диспетчер пользователей доменов) для выявления причин проблемы и их устранения.
Что это за проблема?
ответ
Какие варианты решения Вы можете предложить?
ответ
Synchronizing Server1 with its primary domain controller (Синхронизация сервера Server1 с главным контроллером домена)
Stopping Net Logon Service on Server2 (Выключение сервиса Net Logon на сервере Server2)
Changing Server2's role to Backup (Изменение статуса сервера Server2) Changing Server1's role to Primary (Изменение статуса сервера Server1)
Starting Net Logon Service on Server! (Запуск сервиса Net Logon на сервере Server1)
Когда операция будет завершена, первоначальный главный контроллер домена (Server2) автоматически станет резервным контроллером домена.
> Восстановление статуса главного контроллера домена
Щелкните в окне Server Manager строку Server1 (первоначальный главный контроллер домена).
Повысьте его статус до главного контроллера домена.
Появится окно состояния Server Manager. По мере повышения статуса BDC в этом окне будет отображаться информация о производимых действиях.
Когда эта процедура завершится, текущий главный контроллер домена (Server1) автоматически станет резервным контроллером домена.
Проверка синхронизации
Вы можете проверить результат синхронизации, воспользовавшись утилитой Event Viewer (Просмотр событий) для просмотра в системном журнале событий сервиса Net Logon.
Примечание. Программа Server Manager Simulation не создает никаких записей о событиях в системном журнале, поэтому после выполнения предыдущих упражнений журнал не изменится.
> Просмотр системного журнала
В меню Start (Пуск) последовательно выберите пункты Programs (Программы), Administrative Tools (Администрирование) и щелкните пункт Event Viewer (Просмотр событий).
В меню Log (Журнал) выберите пункт System (Система). Откроется системный журнал.
Выберите последнее по времени событие, в качестве источника которого — в области Source (Источник) — выступает сервис Net Logon.
В меню View (Вид) выберите пункт Detail (Сведения).
Просмотрите подробности событий, нажимая кнопку Next (Следующее), пока не найдете подтверждения успешной синхронизации.
Закройте утилиту Event Viewer.
Распределение административных обязанностей
Вы можете снять с себя часть обязанностей администратора, присвоив административные полномочия учетной записи пользователя и добавив ее в одну из следующих групп:
Administrators (Администраторы) — члены этой группы имеют полные административные полномочия; они отвечают за планирование и поддержание безопасности сети;
Account Operators (Операторы учетных записей) — члены этой группы могут создавать, удалять и изменять учетные записи пользователей, глобальные и локальные группы, а также изменять стратегию учетных записей.
> Присвоение полномочии группы Account Operators учетной записи пользователя
В этом упражнении Вы добавите учетную запись пользователя в группу Account Operators (Операторы учетных записей).
Зарегистрируйтесь в системе по учетной записи Administrator и запустите утилиту User Manager for Domains (Диспетчер пользователей доменов).
В списке Username (Пользователь) дважды щелкните учетную запись User4.
В диалоговом окне User Properties (Свойства пользователя) щелкните кнопку Groups (Группы). Появится диалоговое окно Group Membership (Принадлежность к группам).
В списке Not member of (He член групп) щелкните строку Account Operators, a затем — кнопку Add (Добавить).
Обратите внимание: группа Account Operators (Операторы учетных записей) появилась в списке Member of (Член групп).
Щелкните кнопку ОК, чтобы закрыть диалоговое окно Group Membership
(Принадлежность к группам).
Щелкните кнопку ОК, чтобы закрыть диалоговое окно User Properties (Свойства пользователя), но не выходите из User Manager for Domains.
> Выясните привилегии по умолчанию группы Account Operators
В окне утилиты User Manager (Диспетчер пользователей) выберите из меню Policies (Политика) пункт User Rights (Привилегии).
В раскрывающемся списке Right (Привилегия) щелкните поочередно все элементы, чтобы узнать, какие привилегии автоматически присваиваются группе Account Operators [для этих элементов списка строка Account Operators появляется в поле Grant To (Обладают правом)]. В приведенном ниже списке отметьте галочкой привилегии по умолчанию группы Account Operators:
Access this computer from network
Access this computer from network (Доступ к компьютеру по сети) Q Add workstations to domain (Добавление компьютера к домену) Q Back up files and directories (Архивирование файлов и каталогов) Q Change the system time (Изменение системного времени)
Force shutdown from a remote system (Принудительное завершение работы системы с удаленного компьютера)
Load and unload device drivers (Загрузка и выгрузка драйверов устройств)
Log on locally (Локальная регистрация)
Manage auditing and security log (Управление аудитом и журналом безопасности)
Restore files and directories (Восстановление файлов и каталогов)
Shut down the system (Завершение работы системы)
Take ownership of files or other objects (Смена владельца файлов и других объектов)
Щелкните кнопку Cancel (Отмена).
ответ
Разблокировка учетной записи
Если в выбранную Вами стратегию учетных записей включена блокировка учетных записей пользователей после нескольких неудачных попыток регистрации в системе, Вам нужно научиться разблокировать такие учетные записи.
> Разблокировка учетной записи
Зарегистрируйтесь в системе по учетной записи Administrator (Администратор) и запустите утилиту User Manager for Domains (Диспетчер пользователей доменов).
В списке Username (Пользователь) дважды щелкните заблокированную учетную запись (из предыдущего упражнения).
Сбросьте флажок Account Locked Out (Заблокировать учетную запись).
Щелкните кнопку ОК.
Закройте User Manager for Domains.
> Проверка разблокированной учетной записи
Зарегистрируйтесь в системе по только что разблокированной учетной записи.
Совет Если пользователь несколько раз неправильно набрал пароль входа в домен, то, возможно, он просто забыл его. В таком случае, снимая блокировку записи, измените пароль и сообщите его пользователю.
Чтобы передать часть административных функций
Чтобы передать часть административных функций другому пользователю, включите его учетную запись в группы Administrators (Администраторы) или Account Operators (Операторы учетных записей).
Шаблон учетной записи пользователя — это прототип учетной записи с набором свойств, одинаковых для группы пользователей.
Стратегия учетных записей устанавливает ограничения
Стратегия учетных записей устанавливает ограничения на пароли и параметры блокировки для всех учетных записей домена.
Для защиты учетных записей от несанкционированного доступа не разрешайте пользователям применять пустые пароли. Чтобы пароли было труднее подобрать, установите для них минимально допустимую длину.
Требуйте, чтобы пользователи регулярно изменяли свои пароли и каждый раз — на новые. Это поможет предотвратить несанкционированный доступ.
Чтобы воспрепятствовать взлому, установите режим блокировки учетных записей после нескольких неудачных попыток регистрации в системе.
Дополнительную информацию о ...
Чтобы отредактировать одновременно несколько учетных
Чтобы отредактировать одновременно несколько учетных записей пользователей, выделите их и модифицируйте их свойства. Это полезно, например, при перемещении основных папок пользователей на другой том или сервер.
Дополнительную информацию о ...
Сопровождение контроллеров домена необходимо для
Сопровождение контроллеров домена необходимо для обеспечения бесперебойной работы главного контроллера домена и гарантии своевременного обновления всех копий базы данных каталогов. '
Администратор должен иметь возможность выполнить действия, гарантирующие работоспособность базы данных учетных записей сети в случае, если главный контроллер домена по какой-либо причине отключен.
Когда требуется отключить главный контроллер домена, повысьте статус резервного контроллера домена до главного.
Если главный контроллер домена неожиданно отключается, временно замените его резервным, повысив статус последнего до главного. Когда первоначальный главный контроллер домена будет исправлен и снова включен в сеть, сначала понизьте его статус до резервного контроллера, а затем — повысьте до главного контроллера домена.
Дополнительную информацию о ...
Всегда проверяйте, правильно ли пользователь
Всегда проверяйте, правильно ли пользователь вводит свое имя, имя домена и пароль, а также регистр символов при вводе пароля. Ошибки ввода — наиболее частая причина отказа в регистрации.
Если имя пользователя, имя домена и пароль введены правильно, проверьте ограничения, наложенные на учетную запись.
Если другие пользователи также испытывают трудности с регистрацией в сети, убедитесь, что контроллер домена работает надлежащим образом.
Дополнительную информацию о ...
Примечание Если Вы хотите удалить учетные записи, созданные в начале этой главы, зарегистрируйтесь по учетной записи Administrators дважды щелкните файл DeleteChapter4.cmd в папке Cleanup прилагаемого к курсу компакт-диска.
Server Manager
Инструментальное средство Windows NT Server — программа Server Manager — используется для поддержки контроллеров домена. Ее средствами Вы можете повысить статус резервного контроллера домена до главного контроллера домена, синхронизировать серверы с главным контроллером домена, а также добавлять компьютеры в домен и удалять их из него. Чтобы запустить Server Manager, в меню Start (Пуск) выберите пункты Programs (Программы), Administrative Tools (Администрирование) и щелкните пункт Server Manager.
В окне программы Server Manager появится следующая информация о текущем домене:
имя компьютера, а также название и версия операционной системы, под управлением которой он работает (если компьютер выключен, то номер версии операционной системы не указывается);
значок, обозначающий роль компьютера в сети — главный контроллер домепа, резервный контроллер домена, сервер или клиент на базе Windows NT Workstation или другой операционной системы (на приведенной иллюстрации это главный и резервный контроллеры домена);
если компьютер выключен, его значок затенен серой сеткой;
описание, указанное на этапе установки операционной системы.
Сервисы Windows NT
Многие функциональные возможности Windows NT реализованы в виде сервисов. Например, сервис Workstation (Рабочая станция) необходим для подключения пользователя к ресурсам других компьютеров; сервис Server обеспечивает совместное использование ресурсов. Для авторизации попыток пользователя зарегистрироваться в сети на контроллерах домена должен быть запущен сервис Net Logon.
Некоторые сервисы (они называются зависимыми) требуют для своей работы выполнения других сервисов, например сервис Server должен запускаться раньше сервиса Net Logon.
Вы можете просмотреть список выполняющихся сервисов с помощью команды net start, программы Services (выберите на панели управления) и программы Server Manager [команда Services (Сервисы) меню Computer (Компьютер)].
Синхронизация контроллеров домена
Синхронизация контроллеров домена обеспечивает идентичность всех копий базы данных каталогов и их своевременное обновление при внесении каких-либо изменений. По умолчанию Windows NT синхронизирует контроллеры домена каждые пять минут. Чтобы внесенные в базу данных учетных записей изменения вступили в силу немедленно, синхронизируйте контроллеры домена вручную.
Чем больше в системе резервных контроллеров домена, тем дольше длится их синхронизация. Ручная синхронизация контроллеров домена производится, чтобы:
немедленно вступили в силу внесенные изменения;
решить проблемы несоответствия паролей (если пользователь меняет свой пароль, то для автоматического распространения нового пароля на все резервные контроллеры большого домена потребуется время).
> Синхронизация резервного контроллера домена с главным
В диалоговом окне Server Manager Simulation щелкните кнопку Synchronizing Domain Controllers (Синхронизация контроллеров домена).
Появится окно Server Manager Simulation.
Обратите внимание, что текущим резервным контроллером является компьютер Server1, а главным — Server1.
Щелкните резервный контроллер домена и выберите в меню Computer (Компьютер) команду Synchronize with Primary Domain Controller (Синхронизировать с главным контроллером домена).
Появится следующее сообщение:
Resyncing Server1 with its Primary may take a few minutes. Do you want to make the change?
(Синхронизация сервера с главным контроллером домена может занять несколько минут. Продолжить?)
Примечание. Если в домене несколько резервных контроллеров, Вы можете синхронизировать их все сразу, выбрав команду Synchronize Entire Domain (Синхронизация домена).
Щелкните кнопку Yes (Да).
Появится следующее сообщение:
Backup Domain Controller Server1 will synchronize its account database with the Primary Domain Controller. Check the Event Log on Backup Domain Controller Server1 and on Primary Domain Controller to determine whether synchronization was successful.
(Резервный контроллер домена Server1 будет синхронизировать свою базу данных учетных записей с главным контроллером домена. Проверьте журналы событий на резервном контроллере домена и на главном контроллере домена, чтобы узнать, успешно ли завершилась синхронизация.)
Щелкните кнопку ОК.
В меню Computer (Компьютер) выберите команду Exit (Выход).
В окне Server Manager Simulation щелкните кнопку Exit (Выход).
Ситуация
Предположим, Ваш главный контроллер домена неожиданно отключился, например, потому что в компьютере испортился модуль памяти. Чтобы доставить и установить новый модуль потребуется неделя, а пользователям нужно работать с их файлами, расположенными в сети.
> Повышение статуса резервного контроллера при отключенном главном контроллере
В диалоговом окне Server Manager Simulation щелкните кнопку Promote a BDC When the PDC Goes Offline Unexpectedly (Повышение статуса BDC после того, как PDC неожиданно отключился).
Появится диалоговое окно Server Manager Simulation.
Заметьте, что текущим резервным контроллером домена является Server1, a текущим главным контроллером домена — Server1. Значок PDC — серый, так как главный контроллер домена выключен.
В диалоговом окне Server Manager Simulation щелкните название резервного контроллера домена.
Выберите в меню Computer команду Promote to Primary Domain Controller. Появится следующее сообщение:
Promoting Server2 to Primary may take a few minutes.
Promoting Server2 will also close client connections to Server2 and to the current domain controller (if any). Press 'Help' for details if either machine is a Remote Access server.
Do you want to make the change?
(Повышение статуса сервера до главного контроллера домена может занять несколько минут.
Повышение статуса сервера также разорвет все имеющиеся подключения клиентов к серверу и к текущему контроллеру домена. Нажмите кнопку 'Help' для получения дополнительной информации в случае, если одна из этих машин является сервером удаленного доступа.
Хотите произвести изменения?)
Щелкните кнопку Yes (Да).
Появится следующее сообщение:
Cannot find Primary for domain. Continuing with the promotion may result in errors when domain's old Primary comes back online. Do you want to continue with the promotion?
(He удалось обнаружить главный контроллер домена имя_домена. Продолжение повышения статуса может повлечь за собой ошибки, когда старый главный контроллер домена имя_домена вновь заработает. Продолжить повышение статуса?)
Щелкните кнопку ОК.
Появится окно состояния Server Manager. По мере повышения статуса BDC в этом окне будет отображаться информация о производимых действиях:
Stopping Net Logon Service on Server2 (Выключение сервиса Net Logon на сервере Server2) Changing Server2's role to Primary (Изменение статуса сервера Server2) Starting Net Logon Service on Server2 (Запуск сервиса Net Logon на сервере Server2)
Создание учетных записей пользователей с помощью шаблонов
Чтобы создать новую учетную запись пользователя с помощью шаблона, скопируйте этот шаблон.
> Создание учетной записи пользователя на основе шаблона
В области Username (Пользователь) окна утилиты User Manager (Диспетчер пользователей доменов) щелкните один из созданных Вами шаблонов.
В меню User (Пользователь) выберите пункт Copy (Копировать).
Заполните поля Username (Пользователь), Full Name (Полное имя) и Password (Пароль), а затем щелкните кнопку Add (Добавить).
Повторите эту процедуру с другим созданным Вами шаблоном.
> Определение параметров, скопированных в учетную запись из шаблона
В окне утилиты User Manager (Диспетчер пользователей) дважды щелкните учетную запись пользователя, которую Вы создали с помощью шаблона ночной смены службы поддержки. Сравните перечисленные ниже параметры учетной записи с соответствующими параметрами шаблона. Отметьте галочкой параметры, которые были скопированы из шаблона.
ответ
Username (Пользователь) Q Full name (Полное имя) О Description (Описание) Q Password и Confirm Password (Пароль и Подтверждение пароля)
User Must Change Password at Next Logon (Потребовать смену пароля при следующем входе в систему) Q User Cannot Change Password (Запретить смену пароля пользователем)
Password Never Expires [Постоянный пароль (без ограничения срока действия)]
Account Disabled (Отключить учетную запись)
Profile (Профиль)
Groups (Группы)
Hours (Часы регистрации)
Устранение проблем регистрации
В следующих упражнениях Вы научитесь устранять проблемы, связанные с попытками пользователей зарегистрироваться в системе. Каждую из двух описанных ниже проблем мы смоделируем командным файлом.
Эти вопросы помогут Вам лучше
Эти вопросы помогут Вам лучше усвоить основные темы данной главы. Если Вы не сумеете ответить на вопрос, повторите материал соответствующего занятия.
В каких случаях и для чего следует создавать шаблоны новых учетных записей пользователей?
ответ
Что определяет стратегия учетных записей и почему она важна?
ответ
Что Вы должны сделать, чтобы обеспечить нормальную работу базы данных каталогов, если главный контроллер домена неожиданно отключился?
ответ
Приведите несколько примеров причин, по которым пользователь не сможет зарегистрироваться в системе.
ответ
Восстановление первоначального статуса контроллеров домена
Иногда, после отключения PDC и повышения статуса BDC до PDC, требуется восстановить статус-кво. Для этого Вам придется понизить статус текущего PDC.
Вы также можете повысить статус BDC до PDC и после тою, как PDC будет отключен, но в этом случае статус этого PDC не понизится. Кроме того, так как PDC отключен, то между ним и повышаемым BDC будет невозможна автоматическая репликация базы данных учетных записей.
Когда первоначальный PDC вновь войдет в строй, на нем не сможет запуститься сервис Net Logon, так как в домене уже есть главный контроллер. Вам придется восстанавливать роль первоначального PDC.
> Восстановление роли первоначального главного контроллера
В диалоговом окне Server Manager Simulation щелкните кнопку Restoring the Original Domain Controller Roles (Восстановление первоначальных ролей контроллеров домена).
Появится диалоговое окно Server Manager Simulation.
Примечание В реальной ситуации нужно запустить утилиту Server Manager на первоначальном главном контроллере домена.
Обратите внимание, что и первоначальный, и текущий PDC упомянуты в списке как главные контроллеры домена, но значок первоначального PDC (Server!) недоступен. Сервис Net Logon на нем не был запущен во время загрузки системы, так как в домене уже есть главный контроллер домена. Отсутствие сервиса Net Logon не позволяет выполнять авторизацию пользователей.
Щелкните строку первоначального PDC.
В меню Computer (Компьютер) выберите команду Demote to Backup Domain Controller (Понизить статус до резервного контроллера).
Появится следующее сообщение:
Demoting Server2 to Backup Domain Controller may take a few minutes.
Demoting Server2 will also close client connections to Server2. Press 'Help' for details if Server2 is a Remote Access server.
Do you want to make the change?
(Понижение статуса сервера до резервного контроллера домена может занять несколько минут. Понижение статуса сервера также разорвет все имеющиеся подключения клиентов к нему. Нажмите кнопку 'Help' для получения дополнительной информации в случае, если сервер является сервером удаленного доступа. Продолжить?)
В ответ на просьбу подтвердить
В ответ на просьбу подтвердить изменения нажмите кнопку Yes (Да).
Появится окно состояния Server Manager, в котором будет отображаться информация о выполняемых операциях.
Попытайтесь запустить сервис Net Logon на сервере Server2.
Вы обнаружите, что сервис Net Logon запустить не удается, поскольку статус сервера понижен — Server2 стал резервным контроллером домена, что и показывает его значок.
Отметьте резервный контроллер, который был ранее главным, и выберите в меню Computer команду Promote to Primary Domain Controller (Повысить статус до главного контроллера).
В ответ на просьбу подтвердить внесение изменений щелкните кнопку Yes (Да). По мере повышения статуса резервного контроллера Вы увидите следующую информацию о выполняемых операциях:
Synchronizing Server2 with its primary domain controller (Синхронизация сервера Server2 с главным контроллером домена)
Stopping Net Logon Service on Server2 (Выключение сервиса Net Logon на сервере Server2)
Stopping Net Logon Service on Server1 (Выключение сервиса Net Logon на сервере Server1)
Changing Server1's role to Backup (Изменение статуса сервера Serveri)
Changing Server2's role to Primary (Изменение статуса сервера Server2)
Starting Net Logon Service on Server2 (Запуск сервиса Net Logon на сервере Server2)
Starting Net Logon Service on Serveri (Запуск сервиса Net Logon на сервере Server1)
Статус компьютера, изначально работавшего резервным контроллером домена, вернулся к исходному. Кроме того, Вы получите сообщение о том, что база данных каталогов на текущем главном контроллере домена синхронизирована с базой данных каталогов на текущем резервном контроллере домена перед повышением его статуса до РDС.
Если в то время, пока первоначальный главный контроллер был отключен, производились какие-либо операции администрирования (например, добавление учетных записей пользователей или изменение паролей), автоматическая синхронизация баз данных каталогов гарантирует, что внесенные изменения не будут потеряны.
Выбор стратегии
Стратегия учетных записей позволяет администратору выбрать:
максимальный и минимальный сроки действия паролей;
минимальную длину пароля;
уникальность пароля;
параметры блокировки учетной записи. Изменения, внесенные в стратегию учетных записей, вступают в силу:
при следующей регистрации пользователя в системе;
при следующей попытке пользователя изменить параметр, определяемый стратегией; например, изменение минимальной длины пароля не распространяется на уже существующий пароль, но при следующей попытке пользователя поменять его это ограничение уже будет действовать.
Выключение главного контроллера домена
Если Вам нужно временно отключить главный контроллер домена (например, для проведения профилактики компьютера), выполните перечисленные ниже действия.
Повысьте статус резервного контроллера домена до главного контроллера домена. При повышении статуса BDC основная копия базы данных каталогов домена немедленно реплицируется с прежнего главного контроллера домена на новый. После этого статус прежнего главного контроллера домена автоматически понижается до резервного.
Когда первоначальный главный контроллер домена вновь заработает, повысьте его статус до главного контроллера домена; при этом статус текущего главного контроллера домена автоматически понизится до резервного.
Задачи администратора
Существует ряд процедур, с помощью которых администратор может эффективно управлять учетными записями и обеспечивать бесперебойную работу сети. Перечислим некоторые наиболее полезные из них.
Создание шаблонов — например, для добавления новых учетных записей пользователей — облегчает работу.
Редактирование учетных записей — одновременная модификация нескольких учетных записей (например, перемещение основных папок) — избавляет от необходимости выполнять однообразные действия.
Планирование — эффективная стратегия учетных записей — обеспечивает надежную защиту сети.
Поддержка контроллеров домена — обеспечит бесперебойную регистрацию пользователей.
Устранение проблем — например, связанных с учетными записями пользователей — гарантирует, что пользователь сможет зарегистрироваться в системе.
На этом занятии Вы познакомитесь
Основные понятия
(Продолжительность занятия 20 минут)
На этом занятии Вы познакомитесь с основными приемами и инструментальными средствами администрирования. Мы начнем с обзора общих моментов, а затем разберем несколько конкретных задач.
Изучив материал этого занятия, Вы сможете:
присвоить пользователю привилегии оператора учетных записей;
создавать и использовать шаблоны учетных записей.
Редактирование нескольких учетных записей
(Продолжительность занятия 10 минут)
Windows NT позволяет редактировать несколько учетных записей пользователей одновременно. Это особенно полезно при переносе основных папок на другой том или сервер. На этом занятии Вы узнаете, как это делать.
Изучив материал этого занятия, Вы сможете:
редактировать несколько учетных записей пользователей одновременно.
Чтобы отредактировать одновременно несколько учетных записей пользователей, выделите их и модифицируйте их свойства. Пользуйтесь приведенными ниже инструкциями, чтобы изменить сразу несколько учетных записей пользователей — например, при перемещении основных папок на другой том или сервер либо при установке одинаковых часов работы для 100 пользователей.
> Одновременное редактирование нескольких учетных записей
Запустите утилиту User Manager for Domains (Диспетчер пользователей доменов).
Выберите учетные записи пользователей, созданные Вами с помощью шаблонов для менеджеров и работников ночной смены службы поддержки (занятие 1). Пользуйтесь для выбора учетных записей одним из описанных ниже способов.
Чтобы выбрать учетные записи в произвольном порядке, щелкните первую учетную запись, нажмите клавишу CTRL и, удерживая ее, щелкайте остальные,
или
чтобы выбрать учетные записи, расположенные подряд, щелкните первую учетную запись, нажмите клавишу SHIFT и, удерживая ее, щелкните последнюю учетную запись.
В меню User (Пользователь) выберите пункт Properties (Свойства).
Появится диалоговое окно User Properties (Свойства пользователей). В области Users (Пользователи) перечислены все выбранные Вами учетные записи пользователей.
Щелкните кнопку Dialin (Связь).
Появится диалоговое окно Dialin Information (Сведения для удаленного доступа).
Установите флажок Grant dialin permissions to user (Разрешить удаленный доступ пользователю) и щелкните два раза кнопку ОК, чтобы изменения вступили в силу.
Просмотрите свойства выбранных учетных записей, чтобы удостовериться, что всем им разрешен удаленный доступ.
Сопровождение контроллеров домена
(Продолжительность занятия 20 минут)
Сопровождение контроллеров домена требуется для обеспечения бесперебойной работы главного контроллера домена и гарантии своевременного обновления всех копий базы данных каталогов.
На этом занятии описаны процедуры поддержки контроллеров домена в случаях, когда требуется отключить главный контроллер домена или если он неожиданно отключается сам.
Изучив материал этого занятия, Вы сможете:
описать работу программы Server Manager;
повысить статус резервного контроллера домена до главного
контроллера домена:
восстановить статус главного контроллера домена;
синхронизировать контроллеры домена.
В одном домене может быть один и только один главный контроллер домена (Primary Domain Controller, PDC). Он содержит основную копию базы данных каталогов домена, которая каждые пять минут автоматически копируется (реплицируется) на все резервные контроллеры домена (Backup Domain Controller, BDC).
Если главный контроллер домена отключен, то пользователи по-прежнему могут регистрироваться в системе, но Вы лишитесь возможности администрировать учетные записи. Чтобы восстановить нормальное функционирование базы данных учетных записей. Вам придется предпринять ряд действий.
Устранение проблем регистрации
(Продолжительность занятия 20 минут)
Одна из проблем, с которыми пользователи сталкиваются чаще всего, — невозможность регистрации. На этом занятии описаны основные сообщения об ошибках при попытке зарегистрироваться и способы устранения наиболее распространенных проблем регистрации.
Изучив материал этого занятия, Вы сможете:
идентифицировать и устранять проблемы регистрации пользователя в сети.
В таблице приведены наиболее распространенные сообщения об ошибках и способы устранения вызвавших их проблем.
Сообщение об ошибке
Исправление ситуации
The system could not log you on. Make sure your user name and domain name are correct, and then type your password again. Letters in passwords must be typed using the correct case. Make sure that CAPS LOCK is not accidentally on. (Регистрация невозможна. Проверьте правильность имени пользователя и домена, и повторите ввод пароля. Пароли вводятся с учетом регистра. Проверьте, не нажата ли случайно клавиша CAPS LOCK.)
Убедитесь, что имя пользователя, имя домена и пароль введены правильно. Проверьте клавишу CAPS LOCK — пароли чувствительны к регистру символов [имя домена можно проверить с помощью программы Network (Сеть) Панели управления]. Если пользователь забыл свой пароль, то удалите или измените его. Если возникшая проблема относится к новой учетной записи, подождите: возможно, ее пока нет на соответствующем резервном контроллере домена. Синхронизируйте контроллеры домена
A domain controller for your domain could not be contacted. You have been logged on using cached account information. Changes made to your profile since you last logged on may not be available. (Невозможно подключиться к контроллеру Вашего домена. Для регистрации использована информация о предыдущей регистрации. Изменения в Вашем профиле, сделанные с момента успешной регистрации, могут быть недоступны.)
Проверьте, только ли на этом компьютере возникают подобные трудности. Проверьте работоспособность контроллеров домена. Если PDC не работает, выберите BDC и повысьте его статус до PDC. Если PDC выключен, повысьте статус BDC до PDC. Если эта проблема возникает только на одном компьютере, то проверьте кабель, соединяющий его с сетью. Проверьте карту сетевого адаптера и световой индикатор на ней. Если решение не найдено, перезагрузите компьютер
