Управление пользователями и учетными записями
В большинстве сетей управление на уровне отдельных пользователей связано с множеством затруднений. Для упрощения задач администрирования Windows NT 4 содержит специальную программу — User Manager For Domains (вызывается из меню Start — Start >• Programs >• Administrative Tools (Common) > User Manager For Domains). В User Manager For Domains администраторы создают учетные записи пользователей и групп, а также работают с ними. Когда вы освоитесь с этой программой, User Manager For Domains станет вашим основным инструментом для управления доступом на уровне пользователей и групп.
Для упрощения работы (и экономии вашего времени) управление пользователями основано на концепции группового администрирования. Вместо того чтобы заниматься отдельными пользователями, намного удобнее распределить их по группам и назначать права сразу для целой группы. Как только пользователь включается в группу, он наследует все права и ограничения доступа, присвоенные данной группе.
Чтобы и далее упростить процесс управления пользователями, Microsoft предусмотрительно создает встроенные группы (как локальные, так и глобальные). Обратите внимание — встроенные группы нельзя удалить или переименовать. Обычно эти группы оказываются удобными для администрирования прав и ограничений пользователей. Кроме того, некоторые пользователи включаются в эти встроенные группы по умолчанию. Пользователей можно включать или удалять из этих групп по своему усмотрению. Основные концепции групп, а также встроенные локальные и глобальные группы NT рассматриваются далее в этой главе.
Работа с User Manager For Domains
User Manager For Domains — основной инструмент для управления правами пользователей. Ниже перечислены основные функции и задачи User Manager For Domains:
• Создание, изменение, дублирование и удаление групповых учетных записей.
• Создание, изменение, дублирование и удаление учетных записей пользователей.
• Установка политики учетных записей (выбор стандартных требований к паролям, параметров блокировки учетных записей, статуса отключения и т. д.).
• Создание прав и определение политики аудита для пользователей.
• Установление доверительных отношений.
Создание новых пользователей и групп
Чтобы создать в User Manager For Domains новую учетную запись пользователя или группы, выполните следующие действия:
1. Запустите User Manager For Domains и откройте меню User.
2. Выберите команду New User для создания пользователя (или команду New Group для создания группы).
3. Заполните диалоговое окно New User: введите имя пользователя (User Name), полное имя (Full Name) (необязательно), описание (Description) (необязательно), пароль (Password) и подтверждение пароля (Confirm Password).
4. Установите соответствующие флажки в нижней части окна New User, если:
• Пользователь должен изменить пароль при первом входе в систему.
• Пользователю не разрешается менять свой пароль.
• Для пароля не существует ограничений срока действия.
• Учетная запись отключается.
Кроме четырех флажков в нижней части диалогового окна находятся шесть кнопок. Они управляют многими возможностями, доступными для данного пользователя:
• Groups (Группы). Кнопка позволяет добавить пользователей в группу (или группы) или удалить их.
• Profiles (Профиль). Кнопка позволяет определить путь к профилям конкретного пользователя, к сценариям входа и основному каталогу пользователя.
• Hours (Время). Кнопка позволяет задать интервал времени, в течение которого пользователю разрешается вход в сеть. Если к концу разрешенного времени пользователь уже зарегистрирован, то по умолчанию он остается в сети, однако повторный вход станет возможным лишь с наступлением разрешенного интервала. Вы также можете установить принудительное отключение пользователя в определенное время, это делается с помощью политики учетной записи пользователя (см. далее в этой главе).
• Logon To (Вход с). Кнопка разрешает вход пользователя в систему только с определенных компьютеров. Тем не менее, пользователи редко остаются на одном месте, поэтому желательно оставить значение по умолчанию (вход с любой рабочей станции).
• Account (Учетная запись). Здесь задается срок окончания действия учетной записи (полезно для временных или контрактных работников). По умолчанию используется значение Never (Никогда), однако вы можете ввести определенную дату. Кроме того, учетную запись можно сделать локальной (для пользователей из доменов, для которых не установлены доверительные отношения) или глобальной (для учетных записей обычных пользователей в домене).
• Dialin (Связь). Здесь пользователю предоставляется возможность модемного подключения к сети, а при необходимости задается такой элемент защиты, как ответный звонок сервера.
Модификация существующих учетных записей
Создание учетных записей пользователей является одной из самых распространенных задач сетевых администраторов. Новые пользователи часто занимают место уже существующих — переименовать учетную запись работника, переведенного на другое место, проще, чем создавать новую. Для этого достаточно выполнить команду User > Rename в User Manager For Domains. He забудьте предупредить нового работника о том, чтобы он сменил пароль при первом входе, потому что среди прочих параметров будет сохранен и старый пароль.
К сожалению, учетные записи пользователей довольно часто удаляются случайно. Единственный выход из положения — заново создать учетную запись с тем же именем, правами и ограничениями. Сделать это проще, чем кажется, потому что вы можете создать шаблоны прав пользователей для отделов и групп. Затем из меню User вы копируете шаблон, переименовываете его для нового пользователя и продолжаете действовать с этой точки, если вам потребуется задать дополнительные права или ограничения.
Если для пользователя были изменены права доступа, этот пользователь должен завершить работу и войти заново — лишь тогда новые права вступят в силу.
