Налаштування політик управління правами користувачів

Глава 7 описує вбудовані можливості і права користувачів. Хоча Ви не можете змінити вбудовані можливості для облікових записів, Ви можете управляти правами облікових записів користувачів. Зазвичай управління правами облікових записів користувачів виконується шляхом додавання користувача до відповідної групи або групи. Ви також можете застосовувати права користувачів безпосередньо шляхом управління правами користувача для його облікового запису.

Примітка. Будь-який користувач, який є членом групи, якій призначено певне право, також має це право. Наприклад, якщо у групи Оператори архіву (Backup Operators) є певна право, і TJSMITH є членом цієї групи, то у нього також є це право. Пам'ятайте, що зміни, які Ви робите з правами користувачів, можуть мати далекосяжні наслідки. Тому тільки досвідчені адміністратори повинні вносити зміни в політику прав користувачів.

Для управління політиками прав користувачів, виконайте наступні кроки:

Відкрийте контейнер групової політики, з яким Вам необхідно працювати, потім відкрийте вузол Локальні політики (Local Policies). спускаючись по дереву консолі. Розгорніть вузли Конфігурація комп'ютера (Computer Configuration). Конфігурація Windows (Windows Settings). Параметри безпеки (Security Settings), потім Локальні політики (Local Policies).

Розгорніть Присвоєння прав користувача (User Rights Assignment). як показано на малюнку 8-5. Тепер Ви можете управляти правами користувача.

Для призначення прав користувача, двічі клацніть або клацніть правою кнопкою по праву користувача і виберіть Властивості (Properties). Відкриється діалогове вікно Властивості (Properties).

Тепер можна налаштувати права користувача, як описано в кроках 1-4 розділу «Локальна настройка прав користувачів» або кроках 1-7 наступного розділу «Глобальна настройка прав користувачів»

Малюнок 8-5. Використовуйте вузол Призначення прав користувача (User Rights Assignment) для конфігурації прав користувачів поточного контейнера групової політики.

Глобальна настройка прав користувачів

Відкрийте діалогове вікно Властивості (Properties) для права користувача, як показано на рисунку 8-6.

Примітка. Всі політики можуть бути або визначені, або не визначені. Це означає, що вони або налаштовані для використання, або ні. Політика, яка не визначена в даному контейнері, може бути успадкована від іншого контейнера.

Виберіть «Визначити наступні параметри політики в шаблоні (Define These Policy Settings)», щоб визначити політику

Щоб застосувати право користувачу або групі, натисніть кнопку Додати користувача або групу (Add). Відкриється діалогове вікно Вибір: Користувачі або групи (Select Users Or Groups). показане на малюнку 8-7. У цьому вікні використовуються наступні поля:

• Шукати в. Щоб отримати доступ до облікових записів з інших доменів, розкрийте список Шукати в. Ви побачите список, в якому перераховані: поточний домен, довірені домени і інші доступні Вам ресурси.

Малюнок 8-6. Визначте право користувача і призначте його користувачеві або групі.

• Ім'я. У цій графі перераховані доступні облікові записи обраного домену або ресурсу.

• Додати. Для додавання користувачів в список вибору використовуйте Додати (Add).

• Перевірити імена. Підтвердити імена користувачів і груп, введених в вікно вибору. Це корисно, якщо вводите імена вручну і хочете переконатися, що вони доступні.

Після того, як Ви вибрали облікові записи для додавання в групу, натисніть кнопку ОК. У діалоговому вікні Назва групи (Group Name) будуть відображені вибрані облікові записи. Ще раз натисніть кнопку ОК.

В оновленому діалоговому вікні Властивості (Properties) відобразяться вибрані Вами користувачі. Якщо Ви помилилися, перейдіть до неї та видаліть його, натиснувши кнопку Видалити (Remove)

Якщо Ви закінчили призначення прав користувачам і групам, натисніть кнопку ОК.

Локальна настройка прав користувачів

Щоб призначити права користувачів на локальному комп'ютері, виконайте наступні кроки:

Відкрийте діалогове вікно Властивості (Properties) для конфігурації прав, зображене на рисунку 8-8.

Діюча політика для комп'ютера показана, але Ви не можете змінити її. Однак Ви можете змінити параметри локальної політики, використовуючи спеціальні поля. Пам'ятайте, що політики сайту, домену та підрозділи мають перевагу над локальними політиками.

Малюнок 8-7. Використовуйте діалогове вікно Вибір: Користувачі або групи, щоб привласнити права користувачам або групам.

Графа Призначено (Assigned To) показує поточних користувачів і групи, яким було призначено право.

Встановіть або зніміть відповідні прапорці під графою Параметри локальної політики (Local Policy Setting). щоб привласнити або скасувати право користувача.

Ви можете призначити дане право додатковим користувачам і групам, натиснувши кнопку Додати (Add). Відкриється діалогове вікно Вибір: Користувачі або групи (Вибір: Користувачі або групи). показане на рисунку 8-7 раніше. Тепер можна додати користувачів і групи.

Додавання облікового запису користувача

Необхідно створити обліковий запис для кожного користувача, якому потрібно використовувати мережеві ресурси. Доменні облікові записи користувачів створюються за допомогою оснастки Active Directory - користувачі й комп'ютери (Active Directory Users And Computers). Локальні облікові записи створюються за допомогою оснастки Локальні користувачі та групи (Local Users And Groups).

Створення доменних облікових записів користувачів

Існує два способи створення нових облікових записів користувачів в домені:

Створення повністю новий обліковий запис користувача. Щоб створити абсолютно новий обліковий запис, клацніть правою кнопкою на контейнері, в який Вам необхідно помістити обліковий запис, виберіть Новий об'єкт (New). потім Користувач (User). Відкриється вікно майстра Новий об'єкт - Користувач (New Object - User). показане на рисунку 8-9. Коли Ви створюєте новий обліковий запис, використовуються системні параметри, встановлені за замовчуванням.

Малюнок 8-8. Визначте право користувача, потім надайте його користувачам або групам.

Перше діалогове вікно майстра використовується для настройки Імен користувача і імені входу, як показано на рисунку 8-9.

Введіть ім'я та прізвище користувача в призначені для цього поля. Ім'я та прізвище використовуються для створення повного імені, яке є відображуваним ім'ям користувача.

Внесіть в поле Повне ім'я (Full Name) необхідні зміни. Наприклад, Вам може знадобитися ввести ім'я в форматі «Прізвище Ім'я Ініціал» або в форматі «Ім'я Ініціал Прізвище». Повне ім'я повинно бути унікальним в межах домену і не довше 64 символів.

Малюнок 8-9. Налаштуйте ім'я входу і коротке ім'я користувача.

Натисніть кнопку Далі (Next). Налаштуйте пароль користувача, використовуючи діалогове вікно, показане на малюнку 8-10. Поля цього діалогового вікна перераховані нижче:

• Пароль (Password). Пароль для облікового запису. Цей пароль повинен відповідати правилам вашої політики паролів.

• Підтвердження (Confirm Password). Поле призначене для того, щоб упевнитися в правильності введення пароля облікового запису. Повторно введіть пароль, щоб підтвердити його.

• Вимагати зміну пароля при наступному вході в систему (User Must Change Password At Next Logon). Якщо цей прапорець встановлений, користувачеві доведеться змінити пароль при вході.

• Заборонити зміну пароля користувачем (User Can not Change Password). Якщо прапорець встановлений, користувач не зможе змінити пароль.

• Термін дії пароля не обмежений (Password Never Expires). Якщо прапорець встановлений, термін дії пароля для цього облікового запису не обмежений. Цей параметр анулює політику облікових записів домену. Зазвичай не рекомендується ставити паролі без терміну дії, оскільки це суперечить самій ідеї використання паролів.

Натисніть кнопку Далі (Next). потім натисніть кнопку Готово (Finish) для створення облікового запису. Якщо під час створення облікового запису виникли проблеми, Ви побачите попередження, і Вам доведеться використовувати кнопку Назад (Back). щоб заново ввести інформацію про ім'я користувача і його пароль у відповідних діалогових вікнах, якщо це необхідно.

Малюнок 8-10. Настоянка пароля користувача.

Створення локальних облікових записів користувачів

Локальні облікові записи користувачів створюються за допомогою оснастки Локальні користувачі та групи (Local Users And Groups). Для доступу до цієї утиліті і створення облікового запису Вам необхідно виконати наступні кроки:

Натисніть Пуск (Start). Програми (Programs). Адміністрування (Administrative Tools). Управління комп'ютером (Computer Management) або просто виберіть Керування комп'ютером (Computer Management) в папці Адміністрування (Administrative Tools).

Клацніть правою кнопкою миші по вузлу Управління комп'ютером (Computer Management) в дереві консолі і виберіть пункт Підключення до іншого комп'ютера (Connect To Another Computer) з контекстного меню. Тепер можна вибрати комп'ютер, обліковими записами користувачів якого Вам необхідно управляти. У контролерів домену немає локальних користувачів і груп.

Розкрийте вузол Службові програми (System Tools). натиснувши на значок «плюс» (+) біля нього, і виберіть Локальні користувачі та групи (Local Users And Groups).

Клацніть правою кнопкою миші папку Користувачі (Users) і виберіть Новий користувач (New User). Відкриється діалогове вікно Новий користувач (New User). показане на рисунку 8-11. Поля цього діалогового вікна перераховані нижче:

• Користувач (Username). Ім'я входу для облікового запису користувача. Це ім'я має відповідати правилам вашої політики локальних імен.

• Повне ім'я (Full Name). Повне ім'я користувача, таке як William R. Stanek

• Опис (Description). Опис користувача. Зазвичай в це поле записують назву посади користувача, таке як «Веб-майстер», або назва посади і відділ.

Малюнок 8-11. Налаштування локального облікового запису користувача відрізняється від настройки доменної облікового запису.

Вимагати зміну пароля при наступному вході в систему (User Must Change Password At Next Logon). Якщо цей прапорець встановлений, користувачеві доведеться змінити пароль при вході.

Натисніть кнопку Створити (Create). коли закінчите настроювання нового облікового запису.

Створення облікового запису групи

Групи використовуються для управління правами декількох користувачів. Облікові записи глобальних груп (Примітка перекладача. Груп безпеки Active Directory, що містять облікові записи тільки з власного домену) створюються за допомогою оснастки Active Directory - користувачі й комп'ютери (Active Directory Users And Computers), облікові записи локальних груп - за допомогою оснастки Локальні користувачі та групи (Local Users And Groups).

Створюючи облікові записи груп, пам'ятайте, що групи створюються для подібних типів користувачів. Деякі типи груп, які Вам можливо знадобиться створити, наведені нижче:

Групи для відділів організації. Зазвичай користувачам, які працюють в одному відділі, необхідний доступ до одних і тих же ресурсів. Тому Ви можете створити групи для відділів, таких як відділ розвитку, відділ продажів, відділ маркетингу або інженерний відділ.

Групи для користувачів особливих додатків. Найчастіше користувачам необхідний доступ до додатка і ресурсів, пов'язаних з цим додатком. Якщо Ви створюєте групи для користувачів певної програми, Ви можете бути впевнені, що у користувачів є доступ до необхідних ресурсів і файлів програми.

Групи на основі обов'язків користувачів. Групи також можуть бути створені за принципом поділу обов'язків користувачів. Наприклад, керуючому, спостерігачеві і звичайному користувачеві необхідний доступ до різних ресурсів. Створюючи групи за цим принципом, Ви можете бути впевнені, що права доступу до необхідних ресурсів дано користувачам, які їх потребують.

Створення глобальної групи

Для створення глобальної групи необхідно виконати наступні кроки:

Запустіть оснащення Active Directory - користувачі й комп'ютери (Active Directory Users And Computers). Клацніть правою кнопкою миші по контейнеру, в який Вам необхідно помістити обліковий запис групи. Потім виберіть Створити (New) -> Групу (Group). Відкриється діалогове вікно Новий об'єкт - Група (New Object - Group). показане на рисунку 8-12.

Введіть назву групи. Назви облікових записів глобальних груп повинні відповідати правилам для відображуваних імен облікових записів користувачів. Вони не чутливі до регістру і не можуть бути довшими 64 знаків.

Малюнок 8-12. Діалогове вікно Новий об'єкт - Група дозволяє додавати нові глобальні групи в домен.

Виберіть область дії групи: локальний домен, глобальна або універсальна.