Лекция №2. Управление учетными записями пользователей

Объект пользователя в AD состоит из имени пользователя, пароля, идентификатор безопасности (SID), профиль пользователя. Создавать объекты пользователей можно в консоли Active Directory – пользователи и компьютеры или в командной строке с помощью команды dsedd user. При создании объекта пользователя через консоль необходимо заполнить ряд обязательных палей:

· Полное имя (на его основе генерируются обычное имя (cn), различающееся имя (dn), собственно имя и отображаемое имя (displayname);

· имя входа пользователя (представляет собой имя_пользователя@имя домена);

· имя входа пользователя (пред-Windows 2000), используется для входа в домен с клиентов под управлением ранних версий Windows;

· пароль (пароль должен отвечает требованиям сложности, установленным групповой политикой).

Также можно задать некоторые свойства пользователей: требовать смену пароля при следующем входе в систему, Запретить смену пароля пользователем, снять ограничение срока действия пароля или отключить учетную запись. В ряде случаев, настройки свойств объекта пользователя могут противоречить настройкам политики безопасности, действующей в системе. Настройки объекта пользователя приоритетнее настроек политики безопасности.

После создания объекта пользователя можно настроить его остальные свойства, среди которых путь к профилю пользователя, членство в группах, личные данные пользователя и прочее.

Также можно настроить список компьютеров, с которых пользователь может входить в сеть, время входа пользователя в систему, использование смарт-карт и срок действия самой учетной записи. Из консоли Active Directory – пользователи и компьютеры можно управлять несколькими объектами пользователей одновременно. Для этого их достаточно выделить в рабочей области оснастки. Перемещать несколько объектов пользователей, копировать и удалять их можно без ограничений. Но далеко не все свойства учетных записей доступны для совместного редактирования (одновременно можно изменять путь к профилю пользователя, сценарий входа в систему, домашнюю папку, должность, практически все свойства адреса, срок действия учетных записей и некоторые другие свойства). Все операции с объектами пользователей, доступные в графической консоли, можно осуществлять из командной строки. Для создания объектов пользователей можно использовать так называемые шаблоны – заранее созданные объекты пользователей, копируемые при необходимости создания конкретных объектов. При копировании шаблона копируются не все свойства, настроенные в шаблоне. Свойства копируются в следующем порядке: на вкладках Общие, телефоны, входящие звонки, среда, сеансы, удаленное управление, профиль служб терминалов, COM+ - свойства не копируются; на вкладке Адрес копируются все свойства кроме Улица; на вкладке Учетная запись копируются все свойства кроме Имя входа; на вкладке Организация копируются все свойства кроме Должность; свойства на вкладках Профиль и Член групп копируются полностью.

В случае если нужно создать очень много однотипных объектов в AD (в том числе и объектов пользователей) можно импортировать их из специально созданного текстового файла формата csv, текстовые записи в котором соответствуют свойствам создаваемых объектов. Для импорта объектов в AD из файла csv используется утилита csvde. Эта команда также может экспортировать объекты из AD в файлы csv. Также для управления объектами в AD можно использовать команды семейства ds: dsedd – добавляет объекты в каталог; dsget – отображает свойства объектов каталога; dsmod – изменяет свойства объекта; dsmove – перемещает объект в каталоге; dsrm – удаляет объект из каталога; dsquery – выбирает объекты из каталога по заданным признакам.

Разница команд dsquery и dsget в том, что с помощью dsget можно просмотреть свойства заданного объекта, а dsquery выбирает из каталога объекты с заданными свойствами. Все команды семейства ds поддерживают пакетный режим, т.е. результаты выполнения одной команды могут быть поданы на вход другой команде в качестве параметров (например, с помощью команды dsrm можно удалить объекты, которые были выбраны командой dsquery).

Каждый пользователь имеет свой профиль – набор файлов и папок, содержащих элементы рабочего стола. Профиль включает в себя ярлыки на рабочем столе и в панели инструментов; документы рабочего стола и домашней папки пользователя (если нет перенаправления папок, то это папка Мои документы); избранное в IE; сертификаты; настройки Microsoft Office; настройки папки Сетевое окружение; параметры рабочего стола. Профили пользователей могут быть локальными и перемещаемыми.

Локальные профили пользователей хранятся в папке %Systemdrive%\Documents and Settings\%Username%. При первом входе пользователя в систему в указанную папку копируется содержимое папки %Systemdrive%\Documents and Settings\Default User. Для каждого пользователя локальные профили уникальны. Дополнять локальные профили пользователей можно с помощью внесения изменений в профиль с именем «Все пользователи». Но для этого необходимо быть членом группы Администраторы. При использовании локального профиля, в случае если пользователь входит в систему с другого компьютера, настройки и свойства его профиля не перемещаются, а система создает новый локальный профиль.

Перемещаемые профили хранятся на сервере, и при входе пользователя в систему с разных компьютеров копируется на эти компьютеры с сервера, поэтому пользователь всегда использует привычные настройки. Для использования перемещаемых профилей необходимо скопировать файлы профиля на сервер (в любую доступную общую папку), а в свойствах учетной записи пользователя указать путь к этой папке (необходимо также позаботиться, чтобы пользователь имел необходимые права на чтение, изменение файлов из этой папки). Перемещаемые профили выгружаются обратно на сервер при выходе пользователя из системы, поэтому не влияют на общее свободное дисковое пространство того или иного компьютера. Но при этом скорость загрузки системы (время копирования файлов профиля с сервера) снижается только в первый раз, т.к. Windows Server 2003 загружает и выгружает профиль не полностью, а синхронизирует его (загружает и выгружает только изменения), в связи с этим затрагиваются дисковые квоты, установленные для данного пользователя на том компьютере, с которого он входит в сеть.

В случае если одному или нескольким пользователям необходимо настроить одинаковые параметры профиля, можно воспользоваться так называемым преднастроенным профилем. Для этого надо создать новую учетную запись и настроить необходимые свойства для нее. А потом просто скопировать профиль этой записи в профиль нужных пользователей. Это справедливо для локальных и перемещаемых профилей. В ряде случаев необходимо сделать так, чтобы пользователи не могли изменять свойства профиля. Существуют два варианта решения этой задачи:

1. использование групповых политик для настройки свойств системы (пользователи не смогут вносить никаких изменений, даже временных);

2. использование обязательного профиля (во время текущей сессии пользователи могут изменять настройки профиля, например, создать ярлык на рабочем столе, но при перезагрузке компьютера все произведенные изменения пользователем будут удалены).

Чтобы сделать профиль пользователя обязательным, необходимо в корневом каталоге профиля найти файл Ntuser.dat. и сменить расширение этого файла на.man.

При управлении объектами пользователей необходимо выполнять ряд требований безопасности, в частности, настраивать политику паролей, политику блокировки учетных записей и политику аудита. Политики применяются на уровне домена в целом и на уровне локального компьютера. Локальные политики приоритетнее доменных. Редактировать указанные выше политики на уровне домена можно в консоли Active Directory – пользователи и компьютеры. На локальном компьютере политики редактируются в консоли Управление компьютером. С помощью политики паролей можно настроить следующие свойства: Требовать неповторяемость паролей (сохраняется список ранее использованных паролей и пользователю не разрешается менять пароль на пароль из этого списка, максимально может храниться 24 старых пароля), Максимальный срок действия пароля (определяет временной интервал, по истечении которого пользователь должен сменить пароль, значение по умолчанию 42 дня), Минимальный срок действия пароля (задает временной промежуток, который должен пройти между сменами паролей), Минимальная длина пароля (по умолчанию 7 символов), Пароль должен отвечать требованиям сложности (при включении этого параметра пароль должен содержать не менее 6 символов, при чем символы должны быть четырех разных типов – заглавные и строчные буквы, цифры и специальные символы).

Блокировка учетной записи позволяет временно заблокировать учетную запись при некотором количестве неудачных входов в систему с реквизитами этой учетной записи. Одноименная политика безопасности содержит 3 параметра: Пороговое значение блокировки (количество неудачных попыток входов в систему, после которых учетная запись блокируется. Значение от 0 до 999, если значение равно 0, учетные записи никогда не блокируются); Блокировка учетной записи на (задает период времени, по истечении которого учетная запись будет разблокирована автоматически. Значения измеряются в минутах и берутся из диапазона от 0 до 99999. Если выбран 0, то учетную запись может разблокировать только администратор); сброс счетчика блокировки через (задает количество минут, которое должно пройти после последней неудачной попытки входа в систему, чтобы счетчик блокировки был сброшен до 0. Значения берутся из диапазона от 1 до 55555, причем значение должно быть меньше Порогового значения блокировки).

В сети необходимо отслеживать события, связанные с учетными записями, для этого необходимо сконфигурировать политики аудита. Политик аудита также содержат три параметра, связанных с учетными записями: Аудит событий входа в систему (регистрирует все события, связанные с аутентификацией на контроллере домена); Аудит управления учетными записями (включает запись событий, связанных с созданием, удалением и изменением групп, учетных записей пользователей и компьютеров и событий смены пароля); Аудит входа в систему (генерируется на локальных компьютерах для локальных учетных записей).

Вход в систему под учетной записью отличается от общего входа. При входе пользователя на рабочую станцию с реквизитами доменной учетной записи эта станция регистрирует событие входа, а контроллер домена – событие входа учетной записи. Когда пользователь подключается к общей папке на сетевом сервере, тот регистрирует событие схода, а контроллер домена – событие входа учетной записи. Просматривать данные аудита можно в журналах безопасности с помощью утилиты Просмотр событий. События входа в систему учетных записей необходимо проверять на всех контроллерах домена, а событие входа в систему необходимо проверять на всех компьютерах.