Управление пользователями в службе каталогов Active Directory ведется с помощью учетных записей. А именно, с помощью учетной записи пользователь регистрируется в домене, чтобы получить доступ к сетевым ресурсам или локальным ресурсам этого компьютера. Различают локальную и доменную пользовательские записи.
Локальная учетная запись позволяет пользователю подключиться к компьютеру, на котором она расположена, и работать с данными только этого компьютера. Сведения о вновь созданной записи Windows 2000 сохраняются в локальной базе данных безопасности и не дублируются на другие компьютеры и контроллеры домена. Для аутентификации владельца локальной записи на компьютере используется только локальная база безопасности.
Не нужно создавать локальные учетные записи на компьютерах, которым требуется доступ к ресурсам домена, поскольку домен рас познает локальные учетные записи и не предоставляет пользователям доступ к своим ресурсам. Кроме того, администрирование домена может изменять параметры локальных учетных записей, которые соединяются с компьютером с помощью меню Управление компьютером (Action Computer Management).
Доменная учетная запись позволяет пользователю подключаться к домену и получать доступ ко всем ресурсам сети. В процессе регистрации пользователь вводит имя и пароль. С помощью этой информации Windows 2000 подтверждает подлинность пользователя и создает маркер доступа, содержащий информацию о данной учетной записи и назначенных ей параметрах безопасности. С помощью маркера доступа пользователя распознают компьютеры, работающие под управлением Windows 2000 и более ранних версий, к ресурсам которых пользователь пытается получить доступ.
Чтобы создать доменную учетную запись, нужно создать объект-пользователь в папке или подразделении (organizational unit) Active Directory , которые сами являются объектами в иерархии службы каталогов, см. рис. 26.7. База данных Active Directory расположена на компьютерах с Windows 2000/2003 Server, называемых контроллерами домена. Доменная учетная запись, созданная на одном контроллере домена, будет реплицирована (помещена) на все остальные контроллеры в домене. По завершению репликации подтвердить подлинность пользователя в процессе регистрации могут все контроллеры домена.
Отключение и включение учетной записи. Учетную запись отключают, если она не нужна пользователю в течение долгого времени, но в будущем снова ему понадобится. Эта стратегия предотвращает попытки неавторизованных пользователей использовать запись отсутствие самого хозяина записи.
Переименование учетной записи. Учетную запись переименовывают, чтобы сохранить все связанные с ней права, членство в группах, но при этом изменить ее имя (для любого пользователя, чье имя изменилось, или для переназначения другому пользователю).
Помимо редактирования атрибутов пользователей потребности в аутентификации могут привести к необходимости других операций с учетными записями, в число которыхвходят включение, отключение записи.Иногда может понадобиться разблокировать запись или изменить пароль. Чтобы изменить учетную запись, нужно внести изменения в соответствующий объект службы Active Directory. И необходимо прямое или унаследованное разрешение на администрирование пользователей.
Смена пароля и разблокирование учетной записи. Если пользователю не удается подключиться к домену или локальному компьютеру из-за проблем с паролем или из-за блокировки учетной записи, может понадобиться переназначить пароли или блокировать учетную запись. Для выполнения этих задач необходимо обладать административными полномочиями, в отношении которых находится учетная запись.
Пароль, назначенный учетной записи администратором или пользователем, становится невидимым для всех, включая операторов. Таким образом, предотвращаются попытки пользователей узнать чужие пароли, и, следовательно, повышается степень безопасности.
Однако бывают ситуации, когда администратору необходимо переназначить пароль. Например, если пользователь должен изменить пароль по истечении определенного промежутка времени, но по каким-то причинам не смог этого сделать, его пароль стал недействительным, и это не позволяет пользователю войти в сеть. Кроме того, пользователи могут забыть пароли. В любом случае пользователь с административными полномочиями может переназначить пароль, не зная предыдущего (или просроченного) пароля.
Согласно правилам администрирования учетных записей, можно сделать следующие выводы:
•С помощью консоли Active Directory Users and Computers ( Active Direc tory – пользователи и компьютеры) можно отключать, включать, переименовывать и удалять пользователей.
•Отключение учетной записи предотвращает попытки регистрации с ее помощью, но оставляет всю информацию об учетной записи без изменений.
•Администратор может задать для пользователя новый пароль, но не может просматривать существующий.
•Учетная запись может быть заблокирована в результате работы групповых политик. Ее разблокирование входит в обязанности сетевого администратора.
•Учетные записи можно переименовывать при изменении имени пользователя и при передаче должности новому сотруднику.
Профилем пользователя называется набор папок и данных конфигурации рабочего стола, параметры запуска приложений. В профиле пользователя также содержатся сведения о меню Start (Пуск) и информация о подключенных сетевых папках, поддержка рабочей среды. Пользователь при входе на компьютер видит, что там осталась та же конфигурациячто и при последнем выходе из системы. Домашним каталогом называется папка на сетевом сервере, которая выделена пользователю для хранения личных данных. Информация о ее местоположении находится в списке атрибутов системы. Можно задать параметры среды по умолчанию, которые включены во все индивидуальные профили пользователей.
