module 6: creating and managing user accounts · 2012-01-04 · cert publishers dhcp administrators...
TRANSCRIPT
1
Module 6: Creating and
Managing User
Accounts
Introduction to User Accounts
Domain User Accounts
Umožní uživatelům přihlášení do domény a získat
přístup k síťovým zdrojům
Obsažen v databázi Active Directory
Local User Accounts
Umožní uživatelům přihlášení a přístup ke zdrojům
daného počítače
Obsažen v databázi SAM - součást registrů
Built-in User Accounts
Umožní uživatelům provádět administrativní úkony nebo
dočasný přístup k síťovým zdrojům
Obsažen v SAM (local built-in user accounts)
Obsažen v Active Directory (domain built-in user
accounts)
Administrator
and Guest
2
Naming Conventions
User Logon Names and Full Names Must Be Unique
User Logon Names:
Can contain up to 20 characters
Can include a combination of special alphanumeric characters
Password Guidelines
Assign a Password for the Administrator Account
doporučení – min 15 znaků
Determine Who Has Control over Passwords
Educate Users on How to Use Passwords
nepoužívat jména, příjmení, přezdívky, datumy nar., rodná č.
použít dlouhá hesla (min. 6 znaků)
kombinovat malá a velká písmena
„složité heslo“ např: P@ssW0rd
i. min. 6 znaků
ii. nesmí obsahovat celé - část uživatelského jména
iii. musí obsahovat 3 ze 4 kategorií znaků: (velká / malá písmena, číslovky a speciální znaky (@,&,$,<,>))
3
Account Options
Set Logon Hours to Match Users’ Work Hours
Specify the Computers from Which a User Can Log On
Domain users can log on at any computer in the domain except for domain controllers, by default
Domain users can be restricted to specific computers to increase security
Specify When a User Account Expires
Creating Local User Accounts
Created on Computers Running Windows 2000 Professional
Created on Stand-alone or Member Servers Running Windows 2000 Server or Windows 2000 Advanced Server
Reside in SAM
New User
User name: JYoung
Full name:
Description:
Jonathan Young
Password: **********
Confirm: **********
User must change password at next logon
User cannot change password
Password never expires
Account is disabled
Close Create
Local User Accounts Are:
4
Setup options
Select the action you want the Setup Wizard to perform.
Uninstall the Administrative Tools
Click an option and then click Next.
Install all of the Administrative Tools
Description
Install / Reinstall all components of the Windows 2000
Administration Tools.
Windows 2000 Administration Tools Setup Wizard
< Back
Active Directory Domains and Trusts
Active Directory Sites and Services
Active Directory Users and Computers
Component Services
Component Management
Configure your Sever
Data Sources (ODBC)
DHCP
Distributed File System
DNS
Domain Controller Security Policy
Domain Security Policy
Event Viewer
Internet Services Manager
Licensing
Local Security Policy
Performance
Routing and Remote Access
Server Extensions Administrator
Services Telnet Server Administration
Installing Windows 2000 Administration Tools
The tools appear on the Administrative
Tools menu
After you install Administration Tools, use the
runas command to run the tools
\\server\admin$\SYSTEM32\adminpak.msi
Creating a Domain User Account
Console
Active Directory Users and Computers
Window Help
Action View
Tree Name Type Description
Users 20 objects
Active Directory Users and Comp nwtraders.msft
Builtin Computers Domain Controllers ForeignSecurityPrincipals LostAndFound System
Users
Administrator Cert Publishers DNSAdmins DNSUpdateProxy Domain Admins Domain Computers Domain Controllers Domain Guests
User Security Group - Global Security Group - Domain Local Security Group - Global Security Group - Global Security Group - Global Security Group - Global Security Group - Global
Built-in account Enterprise certi
DNS clients who Designated adm All workstations All domain cont All domain gues
DNS Administra
Find…
New
All Tasks
View New Window from Here
Refresh Export List…
Properties
Help
Computer Contact Group Printer
Shared Folder User
Create in: nwtraders.msft/Users
First name:
Last name:
Full name:
Judy
Lew
Judy A. Lew
Initials: A
User logon name:
judy1 @nwtraders.msft
User logon name (pre-Windows 2000):
NWTRADERS\ judy1
< Back Next > Cancel
Delegate Control…
New Object - User
5
Setting Password Requirements
New Object - User
Create in: nwtraders.msft/Users
Password:
Confirm Password:
< Back Next > Cancel
User must change password at next logon
User cannot change password
Password never expires
Account is disabled
********
********
Managing User Data by Creating Home Folders
Co zvážit před vytvořením domovských složek?
schopnost zálohy a obnovy dat
dostatečný prostor na disku serveru
výkon sítě
Vytvoření domovské složky:
1. vytvořit a nasdílet složku na serveru, která bude obsahovat domovské složky uživatelů
2. nastavit vhodná oprávnění
3. nastavit pro uživatelský účet cestu ke složce \\server\share\%username%
\Home
User1
User2
User3
6
Setting Properties for Domain User Accounts
Setting Personal Properties
Setting Account Properties
Specifying Logon Options
Copying Domain User Accounts
Creating User Account Templates
Setting Personal Properties
Active Directory Add Personal Information About Users
As Stored in Active Directory
Use Personal Properties to Search Active Directory
Student 01 Properties
Remote control
User01
Terminal Services Profile Member Of Dial-in Environment Sessions
General Address Account Profile Telephones Organization
7
Setting Account Properties
User02 User
User03 User
User04 User
User05 User
User06 User
User01 User
Use 01 Properties
Remote control Terminal Services Profile
Member Of Dial-in Environment Sessions
General Address Account Profile Telephones Organization
@nwtraders.msft User01
User logon name:
User logon name (pre-Windows 2000):
NWTRADERS\
Account is locked out
Logon Hours…
Student01
Log On To…
Account options:
User must change password at next logon
User cannot change password
Password never expires
Store password using reversible encryption
Account expires:
Never
End of: Wednesday, November 24, 1999
OK Cancel Apply
Copy…
Add members to a group……
Reset Password…
Disable Account
Move…
Open home page
Send mail
Send mail
Delete
Rename
Refresh
Properties
Help
Specifying Logon Options
Logon Hours for User01
OK
Cancel
12 12 12 2 4 6 8 10 2 4 6 8 10 . . . . . . . . . . . .
Logon Permitted
Logon Denied
All
Sunday
Monday
Tuesday
Wednesday
Thursday
Friday
Saturday
Default
Logon Workstations
This feature requires the NetBIOS protocol. In Computer
name, type the pre-Windows 2000 computer name.
This user can log on to:
All computers
The following computers
Computer name:
Brisbane
Perth
OK Cancel
Add
Edit
Remove
8
Copying Domain User Accounts
Copy an Existing Domain User Account to Simplify the
Process of Creating a New Domain User Account.
Domain
User
Account
(User1)
Domain
User
Account
(User2)
Copy
Domain User2 Domain User1
Creating User Account Templates
Console
Active Directory Users and Computers
Window Help
Action View
Tree Name Type Description Users 28 objects
Active Directory Users and Compu nwtraders.msft
Builtin Casablanca Computers Denver OU Domain Controllers ForeignSecurityPrincipals
Administrator Cert Publishers DHCP Administrators DHCP Users DnsAdmins DnsUpdateProxy Domain Admins Domain Computers
ount f certifi o hav o hav strato who
Users
Portland Seattle StudentOU Tunis
Vancouver OU
Domain Controllers Domain Guests Domain Users Enterprise Admins Group 01
_Sales Template User Copy…
Add members to a group… Enable Account Reset Password… Move… Open home page Send mail
All Tasks
Delete Rename Refresh
Properties
Help Creates a new user, copying information from the selected user.
admi ions ontro uest aser admi
Copy Object - User
Create in: nwtraders.msft/Users
First name:
Last name:
Full name:
sales
user1
sales user1
Initials:
User logon name:
salesuser1 @nwtraders.msft
User logon name (pre-Windows 2000):
NWTRADERS\ salesuser1
< Back Next > Cancel
Set Up a User Account as a Template Account
Create a User Account by Coping the Template Account
9
User Profile Types
Default User Profile
Serves as the bases for all user profiles
Local User Profile
Created the First Time a User Logs on to a Computer
Stored on a Computer's Local Hard Disk
User Profile
Display
Regional Settings
Mouse
Sounds
Modify Save
Roaming User Profile
Created by the System Administrator
Stored on a server
Mandatory User Profile
Created by the System Administrator
Stored on a server
Profile Windows 2000 Client
Windows 2000 Client
Windows 2000 Client
Profile Server
Display
Regional Settings
Mouse
Sounds
Creating Roaming and Mandatory User Profiles
Create a Roaming User Profile
Create a Shared Folder on the Server
Set Up a Configured Roaming User Profile
Specify the Shared Folder in Path Information
Create a Mandatory User Profile
Create a Shared Folder on the Server with a
User Profile Folder Inside
Rename Ntuser.dat to Ntuser.man
Specify the Shared Folder in Path Information
10
Best Practices
Rename the Administrator Account
Create a User Account with Administrative Rights
Create a User Account for Non-Administrative Tasks
Enable the Guest Account Only in Low Security Networks
Create Random Initial Passwords
Require New Users to Change Their Passwords
Set Account Expiration Dates for Temporary Employees
User Informations
net user logon_name
net user logon_name /domain
11
Příklad: tvorba uživatelského účtu
A serveru v AD vytvořte organizační jednotku AGIP:
V OU = AGIP vytvořte:
Uživatelský účet Františku Koudelkovi, logon name: příjmení
Nastavte heslo: Passw0rd
Vytvořte uživateli domovskou složku na :\HOME_AGIP\%username%
Doplňte osobní údaje a popisek
Účet uživateli vyprší 30.6. tohoto roku
Doba přihlašování pouze po - st od 8:00 – 19:00
Nastavte přístup pouze ze stanice s adresou 192.168.10.100
Vytvořte globální skupinu OBSLUHA a přidejte do ní uživatele
Uživatel bude mít povoleno měnit heslo a nutnost jej používat
Nastavte min. délku hesla na 8 znaků
Vynuťte uživateli pravidelnou obměnu hesla (1×měsíčně)
Po 3 neplatných pokusech se účet uzamkne na 25 min
Omezte velikost dat. prostoru na disku na 500 MB / uživatele
12
Module 7: Managing
Access to Resources by
Using Groups
Účel skupin
zajistit přístup k zdrojům
zajistit přístup k datům
organizace uživatelů
management uživatelů
RIGHTS – oprávnění
PERMISSION – přístupová práva
13
How Windows 2000 Groups Work
Permissions
Group
Permissions User
Permissions User
Přístupová práva přidělena
každému uživatelskému účtu
Přístupová práva přidělena
skupině místo toho
Permissions User
Členové skupin mají přístupová práva a oprávnění garantována ze skupiny
Uživatelé mohou být členy více skupin (max. 1022)
Uživatelé, skupiny a počítače mohou být dále členy dalších skupin
Groups in Workgroups and Domains
Domain
Workgroup
Vytvořeny na Doménovém řadiči
Obsaženy v Active Directory
Určeny pro řízení přístup ke zdrojům domény
Vytvořeny na PC, který není Doménovým řadičem
Součástí registrů (SAM)
Určeny pro řízení přístupu ke zdrojům počítače
Domain Controller
Client Computer
Member Server
SAM
SAM
14
Implementace skupin v pracovní skupině
Local Groups
Built-in Local Groups
The Strategy for Using Local Groups in a Workgroup
Creating Local Groups
Lokální skupiny – Místní skupiny počítače
The Guidelines for Local Groups:
Use local groups on computers that do not belong to a domain
Use local groups to control access to resources and who can perform system tasks on the local computer
Membership Rules for Local Groups:
Local groups can only contain local user accounts that are on the local computer
Local groups cannot be a member of any other group
Members of the Administrators Group or Power Users Group on the Local Computer Can Create Local Groups
15
Lokální vestavěné skupiny
vytvořeny při instalaci systému
platí pouze pro jeden PC, kde jsou uloženy
definují oprávnění pro práci pouze s tímto PC
Administrators
Backup Operators
Power Users
Users
Guests
Built-in Local Groups:
Members have rights to perform system tasks
User accounts can be added
Special – System Groups:
Organize users for system use
Have automatic membership that cannot be modified
Vestavěné skupiny mají nastavená
předdefinovaná práva a nelze je smazat
Lokální vestavěné skupiny
16
The Strategy for Using Local Groups in a Workgroup
A
User Accounts
= P =
Permissions
L
Local Group
=
Workgroup
Windows 2000
Professional
Windows 2000
Professional
Windows 2000
Professional
L
P A
Add
L
P A
Add
L
P A
Add
Windows 2000
Server
L
P A
Add
Assign
Assign Assign
Assign
Creating Local Groups
Computer Management
Action View
Tree
Computer Management (Local)
System Tools Event Viewer System Information Performance Logs and Al Shared Folders Device Manager Local Users and Groups
Users
Groups Storage Services and
Creates a new local group
New Group…
Refresh
Help
New Group
Group name:
Description:
Project1
Add… Remove
Create Close
Optional
Required
Add or Remove Members
Members:
Project1 data
17
Implementace skupin v doméně
Group Types and Scopes
Built-in and Predefined Groups in a Domain
The Strategy for Using Groups in a Single Domain
Guidelines for Creating Domain Groups
Creating and Deleting Domain Groups
Adding Members to Domain Groups
Typy a rozsahy skupin domény
TYPY SKUPIN
Bezpečnostní
používány pro přidělování přístupových práv
Distribuční NELZE použít pro přidělování oprávnění
použity pro posílání e-mailů (MS Exchange)
ROZSAHY SKUPIN
Globální
kontejner USERS
Pro organizaci uživatelů s podobnými
požadavky na přístup k síti
Lokální doménové
kontejner BUILTIN
Pro přidělování oprávnění k (SDÍLENÝM)
prostředkům jakéhokoliv počítače domény
Univerzální Pro přidělení oprávnění k prostředkům
ve vícedoménových sítích
Systémové Členství je automatické dle práce uživatele
v systému; nelze jej měnit;
18
Lokální (vestavěné) doménové skupiny
pro přidělení oprávnění ke sdíleným prostředkům jakéhokoli PC v doméně
Administrators
Backup Operators
Print Operators
Server Operators
Account Operators
Users
Guests
Globální (předdefinované) skupiny domény
organizují uživatele s podobnými vlastnostmi
nepřidělují se oprávnění
po připojení počítače do domény se stávají členy lokálních skupin PC nebo doménových skupin – oprávnění se přenesou na celou doménu
Domain Admins
Domain Users
Domain Guests
Domain Computers
19
Systémové skupiny
na všech PC se systémem W2K (XP)
členství je automatické a nedá se měnit
skupiny nejsou viditelné při správě skupin
skupiny se nedají smazat ani ovlivňovat
Everyone
Authenticated Users
Creator Owner
System
Network
Built-in and Predefined Groups in a Domain
Built-in Domain Local Groups Give Users Predefined Rights and Permissions to Perform Tasks:
On domain controllers
In Active Directory
Special Identities (Special Groups)
Organize users for system use
Membership is automatic and cannot be modified
Predefined Global Groups Give Administrators Control of Domain Resources
20
The Strategy for Using Groups in a Single Domain
A G DL P Strategy for
Groups in a Domain
Add
A
G
Domain Local Group
DL
Add
P
Global Group
User Accounts
Assign
PŘÍKLAD – použití skupin
A
Domain Local Group
P
Global Group
User Accounts
G
A
G
P
DL DL DL
Manažeři Obchodníci
Tisk Data-R
Data-FC
21
Guidelines for Creating Domain Groups
Determine Whether You Have Permissions to Create Groups
Determine the Name of the Group
Determine Which Group Scope to Use
Creating and Deleting Domain Groups
You Use Active Directory Users and Computers to Create and Delete Groups
When You Delete a Group Its:
Rights and permissions are removed
Members are not deleted
SID is never used again
New Object - Group
Create in: nwtraders.msft/Users
Group name:
Group name (pre-Windows 2000):
Group scope:
Domain local
Global
Universal
Group type:
Security
Distribution
OK Cancel
Public Group Name
22
Adding Members to Domain Groups
Group 01 Properties
General Members Member Of Managed By
Members:
Name Active Directory Folder
Add... Remove
OK Cancel Apply
Select Users, Contacts, Computers, or Groups
Name In Folder
Look in: nwtraders.msft
Casablanca
Portland
Seattle
Denver
Administrator
Guest
TsInternet User
Add
Casablanca; Portland
Check Names
OK Cancel
nwtraders.msft/Casablanca
nwtraders.msft/Portland
nwtraders.msft/Seattle
nwtraders.msft/Denver OU
nwtraders.msft/Users
nwtraders.msft/Users
nwtraders.msft/Users
Select
Add
Spolupráce skupin
po přidání PC do domény dojde k propojení skupin
globální (předdefinované) skupiny se nainstalují do místních (vestavěných) skupin domény i lokálních (vestavěných) skupin PC
přenesou se oprávnění vyšších skupin na nižší - místní
DOMÉNA
GLOBÁLNÍ SK.
Domain Admins
Domain Users
Domain Guests
LOKÁLNÍ SK. DOMÉNY
Administrators
Users
Guests
LOKÁLNÍ SK. PC
Administrators
Users
Guests
23
Význam propojení doménových a lokálních skupin
A
G
Users
L
Domain
Users
User
Accounts
A
G
Administrators
L
Domain
Admins
Administrator
ZÁKLADNÍ ROZDĚLENÍ VESTAVĚNÝCH SKUPIN
Administrators
Backup Operators
Power Users
Users
Guests
Administrators
Backup Operators
Print Operators
Server Operators
Account Operators
Users
Guests
Domain Admins
Domain Users
Domain Guests
Domain Computers
Everyone
Authenticated Users
Creator Owner
System
Network
lokální
skupiny
lokální
skupiny
globální
skupiny
systémové
skupiny
systémové
skupiny
Everyone
Authenticated Users
Creator Owner
System
Network
DOMAIN
Domain Controler
WORKGROUP
Local Computer
24