Moduł 2: Zarządzanie kontami użytkowników i komputerów Piotr Pawlik Koło Inżynierów Systemowych PJWSTK

Przegląd zagadnień Tworzenie kont użytkowników Tworzenie kont komputerów Modyfikowanie właściwości kont Tworzenie szablonu konta użytkownika Włączanie, wyłączanie i odblokowywanie kont Resetowanie kont użytkowników i komputerów Wyszukiwanie kont w usłudze Active Directory Zachowywanie kwerend

Tworzenie kont użytkowników Administrator umożliwia użytkownikom dostęp do różnych zasobów sieciowych. Dlatego, w celu utożsamienia i uwierzytelnienia użytkowników, aby mogli oni uzyskać dostęp do sieci, administrator musi tworzyć konta użytkowników.

Co to jest konto użytkownika? Obiekt reprezentujący użytkownika w systemie Zawiera szereg atrybutów opisujących użytkownika, na przykład: hasło; nazwa użytkownika; dane adresowe; przynależność do grup;

Konta tworzone i przechowywane na lokalnym komputerze – serwery członkowskie, komputery kliencie Konta umożliwiają logowanie interakcyjne przy konsoli komputera czy też logowania pomocniczego Konta domenowe – dostęp do zasobów całej sieci

Konta są dostępne przez swoje nazwy, w zależności od działania mogą być wykorzystywane, różne przy stosowaniu w narzędziach, kiedy mogą być stosowane Nazwa logowania użytkownika – podajemy w oknie logowania/ nie do końca prawda – jest to część większej całości UPN Główna nazwa użytkownika = UPN (User Principal Name) - przyrostek domenowy zgodny z nazewnictwem DNS. Przyrostek może odpowiadać nazwie domenowej, ale administrator może to zmienić. UPN musi być unikalne w obrębie całej usługi Active Directory. W Nazwa logowania dla systemów starszych niż win2k – nazwa obcinana do pierwszych 20 znaków (pojawi się dla systemów starszych). Tworzona automatycznie przy podawaniu nazwy logowania użytkownika. (+/\;:, - niedozwolone w nazwie dla systemów starszych) Zmienna systemowa – ładowane do niej jest Domena\Username W systemie 2003 przy tworzeniu użytkownika mamy – nazwa logowania użytkownika + przyrostek domenowy Protokół LDAP – podstawowy protokół do dostępu do usługi katalogowej. Możemy opisać konto użytkownika CN – common name, CN=users – contener użytkownicy. Ta nazwa często używana w skryptach czy też narzędziach administracyjnych Nazwa pełna użytkownika – (imie+nazwisko) przy tworzeniu konta. Przy name w konsoli. Nazwa unikalna w obrębie danego kontenera.

Wskazówki dotyczące konwencji nazewniczej użytkowników Konwencja nazewnicza dla kont użytkowników powinna uwzględniać: Pracowników o takich samych imionach i nazwiskach Różne typy pracowników, na przykład pracowników tymczasowych bądź kontraktowych W małych sieciach można sobie pozwolić na różne ciekawe nazewnictwo, natomiast w dużych sieciach pojawiają się problemy. Dwie osoby Jan Kowalski - jank, janko…

Umiejscowienie konta użytkownika w hierarchii

Opcje dotyczące hasła użytkownika W trakcie tworzenia konta lub później we właściwościach. Wymuszamy zmianę hasła po następnym logowaniu. Blokowanie zmiany hasła, np. konto dla kilku osób Np. dla usług systemowych Brak logowania, dostępu do zasobów

Kiedy żądać lub zabronić zmiany haseł?

W jaki sposób tworzy się konta użytkowników? Tworzenie domenowego konta użytkownika Tworzenie lokalnego konta użytkownika Ad users and computers – wskazać ou i z menu kontekstowego New -> user Dssadd /? Computer management -> Local Users and Groups (nie może zawierać znaków zabronionych, nie może mieć >20 znaków)

Porady dotyczące tworzenia kont użytkowników Wyłączanie konta gościa Prawa logowania lokalnego tylko zaufanym userom Zmiana nazwy konta Administrator Poprzez zasady grupy wymuszamy polityke haseł Konta pracowników, które nie są używane powinny być wyłączane Zmiana haseł przy pierwszym logowaniu Admin nie powinien logować się na konto Administratora. Powinien używać konta usera. Standardowo w2k3 wymaga stosowania

Tworzenie kont komputerów Co to jest konto komputera? W jakim celu tworzy się konto komputera? Gdzie w domenie tworzone są konta komputerów? Opcje konta komputera W jaki sposób tworzy się konto komputera?

Co to jest konto komputera? Identyfikuje komputer w domenie Umożliwia uwierzytelnianie oraz inspekcję dostępu komputera do sieci i zasobów Wymagane jest dla każdego komputera pracującego w systemie: W2k3, XP Pro, W2k, Win NT

W jakim celu tworzy się konta komputerów?

Gdzie w domenie tworzone są konta komputerów? Użytkownik w domenie może dodać max 10 stacji. (Authenticated users)

Opcje konta komputera Account Operators – możliwość zakładania nowych kont, ale brak możliwość zakładania w kontenerze Users. Domain Admin mogą. W <2000 15 znaków dla nazy NetBios. Domain Admins -> brak możliwości dla users Ostatni checkbox -> jeśli mamy kontrolery domeny NT 4.0

W jaki sposób tworzymy konta komputerów? Konsola AD Users and Computers Korzystamy z narzędzia dsadd

Modyfikowanie właściwości kont użytkowników i komputerów Kiedy należy modyfikować? Właściwości kont użytkowników Właściwości kont komputerów W jaki sposób modyfikujemy?

Kiedy należy modyfikować właściwości

Właściwości kont użytkowników Okno dialogowe Properties (Właściwości)

Właściwości kont komputerów Okno dialogowe Properties (Właściwości)

W jaki sposób modyfikuje się właściwości konta użytkownika i koputera? AD Users and Computers (wyszukujemy interesujący nas obiekt w danym kontenerze i uruchamiamy okno właściwości) Dsmod (uruchamiane z opcją User bądź Computer – zobacz help)

Tworzenie szablonów konta użytkownika Co to jest szablon konta użytkownika? Jakie właściwości znajdują się w szablonie? Porady dotyczące tworzenia szablonów konta użytkownika W jaki sposób tworzy się szablon?

Co to jest szablon konta użytkownika? Przy dużej ilości tego samego typu kont np. dla jednego działu, tej samej grupy użytkowników. Wzorzec zawierający spójne ustawienia

Jakie właściwości znajdują się w szablonie?

Porady dotyczące tworzenia szablonów konta użytkownika Dla każdego działu należy utworzyć osobną klasyfikację Dla pracowników sezonowych i tymczasowych należy utworzyć osobną grupę Dla pracowników sezonowych i tymczasowych należy skonfigurować datę wygaśnięcia konta Konto szablonu powinno być wyłączone Konta szablonów powinny być łatwo identyfikowane

W jaki sposób tworzyć szablon konta użytkownika? Tworzymy tak naprawdę konto użytkownika Konto trzeba wyłączyć Następnie kopiujemy szablon tworząc nowe konta

Włączanie, wyłączanie i odblokowywanie kont Dlaczego należy włączać lub wyłączać konta? W jaki sposób włącza się i wyłącza konta? Co to znaczy, że konto użytkownika jest zablokowane? W jaki sposób odblokowuje się konto użytkownika?

Dlaczego należy włączać, wyłączać? Adminowi może zależeć na tym aby konto wyłączyć na jakiś czas. Jeśli konto zostanie wyłączone nie będzie można z niego korzystać, ale pozostaje ono w systemie. Dlaczego? Tworzone konto dla pracownika, którego jeszcze nie ma Pracownik wyjeżdża

W jaki sposób włącza, wyłącza się konta? AD Users and Computer lub dsmod z wiersza polecenia

Co to znaczy, że konto użytkownika jest zablokowane? Konto zablokowane – zupełnie inna sytuacja niż wyłączenie. Konto wyłączane jest świadomie prze Admina. Przez zasady grupy konfigurujemy czas oraz ilość negatywnych prób. Możemy także ustawić opcję że admin będzie musiał odblokować. Może się blokować przy RunAs, przy wygaszaczu chronionym hasłem, logowaniu do stacji, zasobów… Przez zasady grupy możemy ustalić opcje z wygaszaczem. Na zakładce Account widzimy że jest zablokowane.

W jaki sposób odblokować konto? Poprzez właściwości konta - odznaczenie odpowiedniego checkboxa w zakładce Account lub przez menu kontekstowe dla danego usera.

Resetowanie kont użytkowników i komputerów Kiedy należy resetować hasła użytkowników? W jaki sposób zresetować hasło użytkownika? Kiedy należy resetować konta komputerów W jaki sposób zresetować konto komputera

Kiedy należy resetować hasła użytkowników?

W jaki sposób zresetować hasło?

Kiedy należy resetować konta komputerów?

Jak zresetować konto komputera?

Wyszukiwanie kont w usłudze AD Demo Rodzaje wyszukiwania W jaki sposób wyszukuje się obiekty w usłudze Active Directory? W jaki sposób wyszukuje się obiekty za pomocą zwykłych kwerend (common queries) Korzystanie z wyszukiwania niestandardowego

Rodzaje wyszukiwania

W jaki sposób wyszukuje się obiekty w usłudze Active Directory? Narzędzie FIND Common queries Person – tylko userów wyszukuje userAccountControl – konkretne cechy – hasła, etc… (wyszukiwanie kont wyłączonych – więcej msdn)

Zachowywanie kwerend Co to jest zapisana kwerenda? W jaki sposób tworzy się zapisaną kwerendę?

Co to jest zapisana kwerenda? Ad users and computers – Seved queries -> tworzymy, edytujemy, przechowujemy kwerendy. Pisanie skryptów ADSI do wyszukiwania. Zachowywane w postaci łańcuchów protokołu LDAP. Zachowane kwerendy mogą być eksportowane do XML.

W jaki sposób tworzy się kwerendę zapisaną?