8265

Помимо настройки параметров соединения и наличия службы RAS на сервере, к которому подсоединяется пользователь, надо настроить и коммутируемое соединение по телефону для сервера на компьютере клиента. Это поможет сделать мастер Network Connection (Мастер сетевого подключения), вызываемый из папки Network Connections (Сеть и удаленный доступ к сети)

в Control Panel.

Параметры безопасного коммутируемого соединения таковы:

нии.

Verify Caller-ID (Проверять идентификатор) Телефонный номер, с ко-

не будет делать ответный звонок пользователю, что позволяет ему звонить с любого телефона. Этот параметр задан по умолчанию для среды с низким уровнем безопасности или при применении других способов обеспечения

доставляет телефонный номер для ответного звонка службы RAS сервера, что позволяет ему позвонить с любого телефона, и служба RAS сервера сделает ему ответ-ный звонок. Сведения о соединениях можно регистрировать в журнале. Применяется в среде со средним уровнем безопасности.

Always Callback To (Всегда по этому номеру) Служба RAS сервера делает ответный звонок пользователю по указанному номеру. Пользователь должен находиться по заданному номеру для соединения с сервером, что снижает риск того, что соединение будет осуществлено неуполномоченным лицом, поскольку номер задан заранее. Применяется в среде с высоким уровнем безопасности.

Вкладка Object

На вкладке Object (Объект) отображается полное доменное имя объекта и дополнительные сведения, например, класс, даты создания и изменения объекта, исходный и текущий номера USN. Последние применяются для отслеживания изменений объектов в хранилище Active Directory.

Вкладка Security

Вкладка Security (Безопасность) позволяет установить разрешения для объекта пользователя в хранилище Active Directory. Можно настраивать спе-

32

циальные разрешения для групп и пользователей в пределах домена. Можно также задать дополнительные разрешения и указать параметры наследования разрешений от родительского объекта. Вкладки служб терминалов

Вкладки Sessions (Сеансы), Environment (Среда), Remote Control (Уда-

ленное управление) и Ter-minal Services Profile (Профиль служб терминалов) содержат сведения о пользователе служб Terminal Services: допустимое время входа в систему, параметры запускаемой программы и удаленного управления, а также профиль пользователя. Службы терминалов позволяют пользователю входить в систему с компьютерного терминала и запускать на нем сеанс Windows.

Вкладка Environment

Позволяет создать рабочую среду клиента. Если определена начальная программа, она автоматически запускается при каждом соединении пользователя с сервером терминалов. Это единственное приложение, с которым может работать пользователь. Закрытие этого приложения влечет обрыв соединения с сервером терминалов.

Учетную запись можно настроить и так, чтобы службы терминалов при входе в систему клиента автоматически подключали локальные диски и принтеры. При входе клиента на сервер определяются локальные диски и принтеры, и на сервере терминалов устанавливаются соответствующие драйверы принтера. Если установлено несколько принтеров, все задания печати можно по умолчанию перенаправлять на основной принтер клиента.

Вкладка Sessions

Здесь задаются параметры ограничения длительности сеансов на основе их текущего состояния (активны, бездействуют или отключены). Так же можно определить действие, выполняемое по окончании времени сеанса.

Вот некоторые параметры вкладки Sessions:

дает максимальный срок активности на сервере отключенного сеанса, по истечении которого отключенный сеанс сбрасывается.

Active Session Limit (Ограничения активного сеанса) Задает максимальную продолжительность соединения. При истечении указанного времени сеанс либо отключается, оставаясь активным на сервере, либо сбрасыва-

максимальную длительность простоя сеанса, после чего сеанс отключается или сбрасывается.

33

Вкладка Remote Control

Вкладка Remote Control (Удаленное управление) позволяет настроить свойства удаленного управления службами терминалов. Можно наблюдать за действиями клиента, вошедшего на сервер терминов, из другого сеанса. Remote Control позволяет наблюдать или взаимодействовать с сеансом клиента. Выбрав последнее, можно при помощи клавиатуры и мыши воздействовать на сеанс клиента. Включить удаленный контроль учетной записи пользователя позволяют оснастка Local Users And Groups (для локальных пользователей) и Active Directory Users And Computers (для пользователей домена).

Вкладка Terminal Services Profile

Вкладка Terminal Service Profile (Профиль служб терминалов) позволяет назначить пользователю профиль для терминального сеанса. Профиль служб терминалов применяется для ограничения доступа к приложениям путем их удаления из меню Start (Пуск) на компьютере пользователя. Администраторы также могут создавать и сохранять сетевые соединения с принтерами и другими ресурсами для применения во время пользовательских сеансов.

Вы можете задать путь к домашнему каталогу, используемому для терминальных сеансов. Этот каталог может быть или локальным, или общим сетевым ресурсом. Можно также определить, будет ли у пользователя доступ к службам терминалов. При отключенном параметре Allow Logon To Terminal Server (Разрешить вход на сервер терминалов) пользователю запрещено входить на любой сервер терминалов.

Администрирование учетных записей пользователей

Включает изменение учетных записей и настройку пользовательских профилей и домашних каталогов.

Изменение учетных записей пользователей

Интересы предприятия могут потребовать изменения учетных записей, скажем, переименовать учетную запись для нового сотрудника так, чтобы он имел полномочия и доступ к сети своего предшественника. Другие изменения – например, отключение, подключение и удаление учетной записи – касаются персональных изменении личной информации. Может потребоваться и восстановление пар или разблокирование учетной записи.

Учетная запись изменяется путем изменения объекта учетной записи пользователя в хранилище Active Directory. Для успешного изменения учетных записей, создания RUP и назначения долгих каталогов надо иметь право на администрирование ОП, к которому относятся учетные записи.

34

Администратор имеет возможность производить следующие действия.

Отключение/включение. Учетную запись следует отключать, когда пользователю в течение длительного времени она будет не нужна, но понадобится в будущем. Например, если Алексей уходит в отпуск, следует отключить его учетную запись, а когда он вернется, включить.

Переименование. Учетные записи переименовываются, когда надо сохранить все права, разрешения, членство в группе и большинство других свойств одной учетной записи и переназначить их другой. Например, если в организации появился новый бухгалтер, следует переименовать учетную запись, изменив имя, фамилию и пароль пользователя для нового бухгалтера.

Удаление. Удаляйте учетные записи уволенных сотрудников.

Процедуры отключения, включения, переименования и удаления доменных и локальных учетных записей похожи. Для доменных учетных записей следует использовать оснастку Active Directory Users And Computers. Выберать учетную запись и щелкнуть в меню Action соответствую команду. Для локальных учетных записей использовать рас-

ширение Local Users And Groups оснастки Computer Management.

Восстановление паролей и разблокирование учетных записей пользователей

Если пользователь не может зарегистрироваться в домене или на локальном компьютере, может потребоваться смена его пароля или разблокирование его учетной записи. Для этого надо иметь административные привилегии для ОП, к которому относится данная учетная запись).

Смена паролей

Если срок действия пароля истечет до того, как его изменят, или пользователь забудет свой пароль, надо сменить пароль.Для этого старый пароль знать не обязательно.

Необходимо открыть оснастку Active Directory Users And Computers и

выбрать объект пользователя. В меню Action выбрать команду Reset Password (Смена пароля). В диалоговом окне Reset Password ввести пароль и указать флажок User Must Change Password At Next Logon (Потребовать сме-

ну пароля при следующем входе в систему).

Разблокирование учетных записей пользователей

Групповая политика Windows блокирует учетную запись пользователя, нарушившего политику, например, превысившего допустимое число неудачных попыток входа в систему. Если учетная запись заблокирована, Windows сообщает об ошибке. Чтобы разблокировать учетную запись, в оснастке

35

Active Directory Users And Computers следует щелкнуть правой кнопкой объ-

ект пользователя, выбрать в контекстном меню команду Properties (Свойства) и на вкладке Account (Учетная запись) сбросить флажок The Account Is Locked Out (Заблокировать учетную запись).

1.8. Создание домашней папки

Помимо папки My Documents, Windows позволяет создать дополнительную домашнюю папку пользователя, которую можно выделить ему для хранения личных документов и старых приложений. Иногда она является папкой по умолчанию для сохранения документов. Можно хранить домашнюю папку на компьютере клиента или в общей папке на файловом сервере. Домашняя папка не является частью RUP, поэтому ее размер не влияет на сетевой трафик при входе в систему. Можно разместить все домашние папки централизованно на сетевом сервере. Хранение всех домашних папок на файловом сервере дает ряд преимуществ:

пользователи могут получать доступ к своим домашним папкам с любого компьютера в сети;

централизованная поддержка и администрирование документе пользователя;

домашние папки доступны с компьютера клиента, на котором работает

любая ОС Microsoft (включая MS-DOS, Windows 2000)

Для создания домашней папки на файловом сервере в сетинеобходимо выполнить следующее:

Создать и открыть доступа к папке. Создать и открыть совместный доступ к папке, в которой будут храниться все домашние папки на сетевом сервере. Домашняя папка для всех пользователей будет вложена в эту общую папку.

Изменить разрешения Full Control. Для общей папки следует удалить разрешение по умолчанию Full Control (Полный доступ) для группы Everyone (Все) и назначьте его группе Users (Пользователи). Это гарантирует, что доступ к общей папке получат только пользователи с доменными учетными записями.

Указать путь к домашней папке. На вкладке Profile (Профиль) диалогового окна свойств учетной записи в группе Ноте folder (Домашняя папка). Поскольку домашняя папка находится на сетевом сервере, необходимо указать Connect (Подключить) и указать букву подключаемого

36

диска. Тогда при подключении пользователя к сети определенное имя диска появится в окне My Computer. В поле То (к) появится имя UNC в виде \\<сервер>\ <ресурс>\<регистрационное_имя_пользователя>. В качестве имени пользователя указать переменную %username%, чтобы автоматически присвоить имя и создать домашнюю папку пользователя с тем же именем, под каким он входит в систему.

Можно расширить свойства домашней папки, перенаправив пользователя от папки My Documents к месту расположения его домашнего каталога.

Если задается имя папки на томе NTFS с помощью ременной %username%, пользователь и участники встроенной локальной группы Administrators получат для нее разрешение Full Control. Все другие разрешения для этой папки удаляются, включая права группы Everyone.

Создание RUP и назначение домашней папки

Создается профиль, применив учетную запись Alla. Чтобы создать локальный профиль для учетной записи, будет осуществлен вход в систему как Alla. Затем при входе в систему как Administrator и с помощью приложения System (Система) в Control Panel можно убедиться, что нужный профиль создан.

Создание шаблона профиля пользователя

Следует определить и проверить локальный профиль пользователя. На Server создается шаблон профиля пользователя. Обычно для создания шаблона применяется компьютер с Windows Professional, но на данный момент предполагается, что задания выполняются на Windows Server

Необходимо войти в домен microsoft.com как Alla с паролем student. Если при этом была использована учетная запись Alla первый раз, создается стандартный локальный профиль. Он будет перенастроен и назначен другим пользователям.

Следует дважды щелкнуть значок My Computer на рабочем столе. Откроется одноименное окно.

Следует перетащить значок Local Disk (С:) [Локальный диск (С:)] на рабочий стол. Появится сообщение о том, что данный элемент не может быть скопирован или перемещен, но для него можно создать ярлык.

Следует щелкнуть кнопку Yes (Да) для создания ярлыка для диска С:

Закрыть окно My Computer (Мой компьютер).

Необходимо раскрыть меню Start\Settings (Пуск\Настройка) и щелкнуть ярлык Control Panel (Панель управления). В открывшемся окне следует дважды щелкнуть значок Display (Экран). Откроется диалоговое окно

Display Properties (Свойства: Экран).

37

Необходимо перейти на вкладку Appearance (Оформление). Следует обратить внимание на текущую цветовую схему.

В списке Scheme (Схема) выбрать другую схему и щелкнуть ОК. Рабочий стол изменится в соответствии с новой цветовой схемой.

Закрыть окно Control Panel.

Завершив сеанс Alla, следует войти снова как Administrator с паролем password.

Раскрыв меню Start\Settings (Пуск\Настройка), щелкнуть ярлык Control Panel. В открывшемся окне дважды щелкнуть значок System (Система).

Перейти на вкладку User Profiles (Профили пользователей). Стоит обратить внимание: на Server несколько профилей. Они представляют все учетные записи пользователей на Server.

Не закрывать приложение System (Система) — оно еще потребуется.

Определение и назначение обязательного RUP

Из профиля пользователя Alla будет создан RUP и назначена для учетной записи Sergey. Действия выполняются на Server. Чтобы проверить RUP, можно войти в систему с Server.

Следует создать на диске С:\ папку с именем Profiles.

Создать общий ресурс с именем Profiles для папки C:\Profiles.

Открыть папку Profiles и создать подпапку Shared. Закрыть окно Profiles.

Найти диалоговое окно System Properties (Свойства системы). Приложение System было открыто на предыдущем задании.

Перейдите на вкладку User Profiles (Профили пользователей).

В списке Profiles Stored On This Computer (Профили, хранящиеся на этом компьютере) выбрать MICROSOFT\ Alla.

Щелкнуть кнопку Сору То (Копировать). Откроется диалоговое окно Сору То (Копирование профиля).

В поле Copy Profile to (Копировать профиль на) следует набрать \\server \profiles\shared.

Щелкнуть кнопку Change (Изменить). Откроется диалоговое окно Select User Or Group (Выбор: Пользователь или Группа).

В столбце Name (Имя) щелкнуть Users (Пользователи) и затем — кнопку ОК. В группе Permitted To Use (Разрешить использование) появится надпись BUILTIN\Users.

Щелкнуть кнопку ОК для возврата в окно System Properties. Появиться сообщение, что папка \\server\profiles\shared уже существует и текущее

38

содержимое будет удалено. Такое сообщение появилось потому, что папку для этого профиля была уже создана.

Щелкнуть кнопку Yes (Да).

Щелкнуть кнопку ОК для возврата в окно Control Panel.

Открытьоснастку Active Directory Users And Computers.

Раскрытьузел microsoft.com ищелкнутьпапку Users.

В правой панели дважды щелкнуть учетную запись пользователя Sergey. Откроется диалоговое окно ее свойств.

Ранее был установлен срок действия учетной записи этого пользователя. Чтобы удалить этот срок действия, на вкладке Account (Учетная запись) щелкнуть переключатель Never в группе Account Expires (Срок действия учетной записи).

Перейти на вкладку Profile.

В поле Profile path (Путь к профилю) набрать \\serverOl\profiles\shared и

щелкнуть ОК. Закрыть оснастку Active Directory Users And Computers.

Так как используется централизованный профиль, который должен быть назначен другим пользователям, его надо сделать обязательным.

Дважды щелкнуть значок My Computer (Мой компьютер) на рабочем столе.

Дважды щелкнуть значок Local Disk (С:) [Локальный диск (С:)].

Дважды щелкнуть папку Profiles.

Дважды щелкнуть папку Shared. Стоит заметить, что открылись папки профиля.

В меню Tools (Сервис) выбрать команду Folder Options (Свойства папки). Откроется одноименное диалоговое окно.

Перейти на вкладку View (Вид).

Щелкнуть переключатель Select the Show Hidden Files And Folders (По-

казывать скрытые файлы и папки) и сбросить флажок Hide File Extensions For Known File Types (Скрывать рас-ширения для зарегистрированных типов файлов).

Щелкнуть кнопку ОК. Откроется окно Shared, показывающее скрытые файлы и папки, включая файл Ntuser.dat.

Выбрать файл Ntuser.dat.

В меню File (Файл) выбрать команду Rename (Переименовать).

Изменить расширение файла на .man и нажать клавишу Enter.

Закрыть окно Shared и окно Control Panel (Панель управления).

39

Завершить текущий сеанс и войти в систему как Sergey без пароля. Откроется рабочий стол пользователя Sergey. Необходимо убедиться, что его цветовая палитра именно та, что были назначены шаблону профиля пользователя и что на рабочем столе появился ярлык диска С:

Для проверки обязательного профиля следует удалить с рабочего стола ярлык Connect To The Internet (Подключение к Интернету).

Следует завершить текущий сеанс и войти в систему как Sergey без па-

роля.

На рабочем столе появился ярлык Connect to the Internet. Это произошло потому, что было назначено учетной записи Sergey обязательный профиль.

Назначение пользователю домашней папки

На этом этапе будет назначена Sergey домашняя папка.

Завершить сеанс Sergey и войти как Administrator с паролем password.

Создать на диске С: папку HomeDirs.

Сделать папку HomeDirs общей.

Открытьоснастку Active Directory User And Computers.

Открыть окно свойств учетной записи Sergey, перейти на вкладку

Profile.

В разделе Home Folder (Домашняя папка) щелкнуть переключатель

Connect (Подключить).

Проверить, что справа от переключателя Connect в списке появился диск

Z:

В поле То (к) наберите \\server\HomeDirs\%username% и щелкнуть кнопку ОК.

Закрытьоснастку Active Directory Users And Computers.

Щелкнутьпапку HomeDirs в Windows Explorer (Проводник).

В меню File (Файл) выбрать команду Properties (Свойства). Откроется диалоговое окно свойств папки HomeDirs.

Перейти на вкладку Security (Безопасность). Группа Everyone (Все) имеет разрешение Full Control (Полный доступ) для этого каталога.

Щелкнуть кнопку Add (Добавить). Откроется диалоговое окно Select Users, Computers, Or Groups (Выбор: Пользователи, Компьютеры или Группы).

Выбрать Users (Пользователи) и щелкнуть кнопку Add (Добавить).

Щелкнуть кнопку ОК. Откроется диалоговое окно свойств папки

HomeDirs, показывающее группы Everyone (Все) и MICROSOFT\Users.

40

Следует убедиться, что группе Users назначены права Read & Execute (Чтение и выполнение), List Folder Contents (Список содержимого папки) и Read (Чтение).

Необходимо сбросить флажок Allow Inheritable Permissions From Parent To Propagate To This Object (Переносить наследуемые от родительского объекта разрешения на этот объект). Появится сообщение Security (Безопасность).

Прочитать сообщение и щелкнуть кнопку Remove (Удалить). Группа Everyone (Все) больше не имеет прав доступа к папке HomeDirs.

Щелкнуть кнопку Add (Добавить). Откроется диалоговое окно Select

Users, Computers, Or Groups.

Выбрать группу Administrators и щелкнуть кнопку Add.

Щелкнуть кнопку ОК. Откроется диалоговое окно свойств папки

HomeDirs, показывающее группы MICROSOFT\Users и

MICROSOFT\Administrators.

Выбрать группу Administrators (Администраторы).

В списке Permissions (Разрешения) указать флажок Allow (Разрешить) в строке Full Control (Полный доступ).

Щелкнуть кнопку ОК.

Дважды щелкнуть папку HomeDirs.

Щелкнуть папку Sergey.

В меню File (Файл) выберать команду Properties (Свойства). Откроется диалоговое окно Sergey Properties.

Перейти на вкладку Security (Безопасность). Следует заметить, что Administrators и Sergey получили полный контроль над этим каталогом. Эти произошло автоматически.

Щелкнуть кнопку ОК и закрыть Windows Explorer (Проводник).

Завершить сеанс Administrator и войти снова как Sergey без пароля.

Дважды щелкнуть значок My Computer (Мой компьютер). Следует заметить: появился новый значок сетевого диска Z:, указывающий на под-

папку Sergey папки \\server01\HomeDirs.

Закрыть окно My Computer и выйти из системы.

Учетная запись позволяет пользователю регистрироваться в домене для доступа к сетевым ресурсам или на локальном компьютере для доступа к ресурсам этого компьютера. Windows предусматривает Доменные и локальные учетные записи. Встроенные учетные записи пользователей применяются для администрирования или для доступа к сетевым ресурсам. Прежде чем

41