Praca z domenami Windows

Rozdzia³ 33 Domeny i Grupy robocze 920 Przy³¹czanie do domeny 927 Logowanie siê do domeny 935 Odnajdywanie plików, drukarek i u ytkowników 937 Praca z domenami Windows Czêœæ VII: Sieæ Rozdzia³ 33: Praca z domenami Windows Komputery w sieci mog¹ byæ czêœci¹ grupy roboczej albo domeny. W grupie roboczej baza danych zabezpieczeñ (zawieraj¹ca najbardziej istotn¹ listê kont u ytkowników i przyznanych im uprawnieñ dla ka dego komputera) znajduje siê na tym komputerze. Kiedy logujesz siê na komputerze w grupie roboczej, system Microsoft Windows sprawdza swoj¹ lokaln¹ bazê danych zabezpieczeñ, aby zobaczyæ, czy poda³eœ nazwê u ytkownika i has³o, które odpowiadaj¹ tym przechowywanym w bazie danych. Podobnie, kiedy u ytkownicy sieci próbuj¹ po³¹czyæ siê z twoim komputerem, system Windows ponownie konsultuje siê z lokaln¹ baz¹ danych zabezpieczeñ. Grupa robocza czasami nazywana jest sieci¹ równorzêdn¹ (peer-to-peer). Dla odmiany domena sk³ada siê z komputerów, które wspó³dziel¹ bazê danych zabezpieczeñ przechowywan¹ na jednym lub kilku kontrolerach domeny z uruchomionym systemem z rodziny Microsoft Windows.Net Server, Windows 2000 Server albo Windows NT Server. Kiedy logujesz siê, u ywaj¹c konta domeny, Windows uwierzytelnia twoje poœwiadczenia, porównuj¹c je z baz¹ danych zabezpieczeñ na kontrolerze domeny. Je eli masz wiêcej ni kilka komputerów w sieci, du o ³atwiej bêdzie nimi zarz¹dzaæ, jeœli zostan¹ skonfigurowane jako domena. Na przyk³ad zamiast odtwarzaæ bazê danych kont u ytkowników na ka dym komputerze, tworzysz ka de konto tylko jeden raz. Œrodowisko domeny oferuje równie du o wiêksze mo liwoœci i elastycznoœæ. Mo esz ³atwo skonfigurowaæ profile u ytkowników zdalnych, które pozwalaj¹ u ytkownikom logowaæ siê

920 Czêœæ VII: Sieæ na dowolnym komputerze w sieci i widzieæ ten sam spersonalizowany pulpit, menu, aplikacje oraz dokumenty. Domena u ywaj¹ca us³ugi Active Directory, funkcji systemów Windows 2000 Server oraz Windows.NET Server (ale nie Windows NT Server) równie oferuje w pe³ni przeszukiwaln¹ us³ugê katalogow¹, która pozwala u ytkownikom sieci na ³atwe odnajdowanie udostêpnionych zasobów, kontaktów, u ytkowników albo innych obiektów katalogowych. Ponadto, te rodziny serwerów oferuj¹ kolekcjê technologii IntelliMirror, które oferuj¹ scentralizowane: Zarz¹dzanie danymi u ytkownika Instalacjê i konserwacjê oprogramowania Zarz¹dzanie ustawieniami u ytkownika W tym rozdziale nie zamierzamy wyjaœniaæ, w jaki sposób skonfigurowaæ domenê czy te wykorzystywaæ jej mo liwoœci zarz¹dzania. S¹ to funkcje serwera dzia³aj¹cego jako kontroler domeny i s¹ one dobrze udokumentowane w wielu ksi¹ kach dotycz¹cych serwerowej wersji systemu Windows. Nasz¹ intencj¹ jest raczej wyjaœnienie, w jaki sposób u ywaæ komputera dzia³aj¹cego w systemie Windows XP w œrodowisku domeny, z poœwiêceniem szczególnej uwagi ró nicom w stosunku do u ywania systemu Windows XP w grupie roboczej. UWAGA Komputery dzia³aj¹ce z systemem Windows XP Home Edition nie mog¹ zostaæ przy³¹czone do domeny. Jednak je eli u ywasz wersji Home Edition, mo esz mieæ dostêp do udostêpnionych zasobów domeny, takich jak foldery czy drukarki. Szczegó³owe informacje na ten temat znajdziesz w podrozdziale Uzyskiwanie dostêpu do zasobów domeny z komputera dzia³aj¹cego w systemie Windows XP Home Edition na stronie 934. Domeny i Grupy robocze Oprócz po³o enia i u ycia bardzo wa nej bazy danych zabezpieczeñ, zauwa ysz jeszcze kilka ró nic niektóre trywialne, a niektóre takie, które mog¹ mieæ znacz¹cy wp³yw na sposób, w jaki bêdziesz u ywa³ systemu Windows, kiedy twój komputer bêdzie przy³¹czony do domeny. Wiele z tych zmian jest zaprojektowanych tak, aby Windows XP pracowa³ w œrodowisku domeny w taki sam sposób, jak Windows 2000 Professional, co zmniejsza obci¹ enie administratorów szkoleniami i udzielaniem porad technicznych. Komputery bazuj¹ce na domenach dzia³aj¹ce z systemem Windows XP Professional ró ni¹ siê od komputerów bazuj¹cych na grupach roboczych nastêpuj¹cymi elementami: Ekran logowania. Ekran powitalny jest niedostêpny w œrodowisku domeny. Zamiast tego, u ywasz klasycznego logowania, które prosi ciê o wciœniêcie klawiszy [Ctrl+Alt+Delete], a nastêpnie podanie twojej nazwy u ytkownika (je eli nie pozosta³a wyœwietlona po twojej ostatniej sesji) oraz has³a. Szczegó³owe informacje na ten temat znajdziesz w podrozdziale Logowanie siê do domeny na stronie 935. Logowanie automatyczne. W œrodowisku grupy roboczej mo esz ³atwo skonfigurowaæ komputer do automatycznego logowania siê, tak e nie musisz wpisywaæ swojego has³a. (Jak na ironiê, aby to osi¹gn¹æ, mo esz wykorzystaæ domenow¹ wersjê Kont u ytkowników. Szczegó³owe informacje znajdziesz w podrozdziale Pomijanie ekranu logowania na stronie 93). W œrodowisku domeny musisz po-

Rozdzia³ 33: Praca z domenami Windows 921 grzebaæ w rejestrze, aby skonfigurowaæ logowanie automatyczne. Szczegó³owe informacje na ten temat znajduj¹ siê w podrozdziale Automatyczne logowanie siê na stronie 935. Skrypty logowania. W œrodowisku domeny administrator domeny mo e utworzyæ skrypty, które bêd¹ siê uruchamia³y automatycznie za ka dym razem, kiedy bêdziesz siê logowa³ do swojego komputera. Skrypty te, które typowo s¹ przechowywane i administrowane na kontrolerze domeny, mog¹ byæ u yte do zapewnienia uaktualnieñ oprogramowania, nowych definicji wirusów oraz innych informacji dla twojego komputera, konfigurowania po³¹czeñ sieciowych, uruchamiania programów i przeprowadzania innych zadañ. Komputer, który nie jest przy³¹czony do domeny, nie mo e uruchamiaæ skryptów logowania domeny. Chocia mo esz utworzyæ skrypty logowania dla komputerów grupy roboczej, maj¹ one zazwyczaj znacznie mniejsze mo liwoœci oraz, naturalnie, nie s¹ centralnie zarz¹dzane dla wszystkich komputerów w sieci. Zapomniane has³a. Przy klasycznym logowaniu, które wykorzystywane jest w œrodowisku domeny, podpowiedzi do hase³ nie s¹ dostêpne. Nie mo esz równie utworzyæ Dysku resetowania has³a, który pozwala na ustawienie nowego has³a, je eli nie pamiêtasz swojego aktualnego has³a. W domenie administrator mo e zmieniæ has³o dla twojego konta domeny. Ka dy u ytkownik, który jest cz³onkiem lokalnej grupy Administratorzy, mo e zmieniæ has³o dla dowolnego konta lokalnego. Aby uzyskaæ szczegó³owe informacje dotycz¹ce u ywania tych funkcji w grupie roboczej, patrz Przywracanie zapomnianego has³a na stronie 112. Szybkie prze³¹czanie u ytkowników. Szybkie prze³¹czanie u ytkowników, funkcja, która pozwala u ytkownikom na zalogowanie siê bez potrzeby wylogowania najpierw bie ¹cego u ytkownika, nie jest dostêpna na komputerach bazuj¹cych na domenie. Nie mo e byæ ona u yta ze wzglêdu na kompatybilnoœæ aplikacji i inne czynniki techniczne. Szczegó³owe informacje na ten temat znajdziesz w podrozdziale Konfigurowanie funkcji Szybkie prze³¹czanie u ytkowników na stronie 95. Blokada stacji roboczej. Na komputerze, który jest przy³¹czony do domeny, wciœniêcie klawisza z logo Windows oraz klawisza L blokuje stacjê robocz¹, tak e tylko aktualnie zalogowany u ytkownik albo administrator mo e j¹ odblokowaæ. (W grupie roboczej wciœniêcie klawisza z logo Windows i klawisza L wywo³uje Szybkie prze³¹czanie u ytkowników). Szczegó³owe informacje dotycz¹ce blokowania znajdziesz w podrozdziale Wylogowywanie siê lub blokowanie komputera na stronie 96. Ekrany wylogowania i wy³¹czenia. Zamiast du ych, kolorowych przycisków, które pojawiaj¹ siê, kiedy wybierzesz Wyloguj albo Zamknij system na komputerze grupy roboczej, komputer przy³¹czony do domeny wyœwietli okna dialogowe podobne do tych znanych z systemu Windows 2000, tak jak pokazano na rysunkach 33-1 i 33-2 na nastêpnej stronie. Oferuj¹ one te same funkcje i nie s¹ ani trudniejsze, ani ³atwiejsze w u yciu; s¹ one po prostu pomyœlane tak, aby u³atwiæ u ytkownikom korporacyjnym przejœcie na system Windows XP.

922 Czêœæ VII: Sieæ Rysunek 33-1. U ytkownicy domeny zobacz¹ funkcjonalne okno dialogowe Wylogowywanie z systemu Windows. Rysunek 33-2. Aby wy³¹czyæ komputer bazuj¹cy na domenie, wybierz z listy odpowiedni¹ opcjê i kliknij OK. System Windows wyœwietli twoje poprzednie zaznaczenie jako opcjê domyœln¹. Udostêpnianie plików i zabezpieczenia Proste udostêpnianie plików. Chocia opcja w³¹czaj¹ca Proste udostêpnianie plików pozostaje w oknie dialogowym Opcje folderów (a nawet jest domyœlnie zaznaczona), Proste udostêpnianie plików nie jest dostêpne w œrodowisku domeny. Bez Prostego udostêpniania plików, karta Zabezpieczenia pojawia siê w oknie dialogowym w³aœciwoœci dla wszystkich drukarek i wszystkich folderów i plików na dyskach NTFS. Je eli jesteœ zalogowany jako cz³onek lokalnej grupy Administratorzy albo U ytkownicy zaawansowani, karta Udostêpnianie, na której ustawiasz sieciowe uprawnienia dostêpu, pojawia siê w oknie dialogowym w³aœciwoœci dla wszystkich folderów. Najwa niejsze jest to, e gdy opcja Proste udostêpnianie plików jest wy³¹czona, u ytkownicy s¹ uwierzytelniani jako oni sami. Aby uzyskaæ dostêp do zasobów lokalnych, ich konto musi mieæ przyznane odpowiednie uprawnienia, bezpoœrednio albo poprzez cz³onkostwo w grupie. Szczegó³owe informacje na ten temat znajdziesz w podrozdziale Proste udostêpnianie plików i zaawansowany system uprawnieñ na stronie 417. W celu uzyskania informacji, jak opcje udostêpniania wp³ywaj¹ na udostêpnianie w sieci, patrz rozdzia³ 31 Zarz¹dzanie udostêpnionymi folderami i drukarkami. Dokumenty udostêpnione. Na komputerach dzia³aj¹cych w grupie roboczej lokalny folder Dokumenty udostêpnione, %AllUsersProfile%\Dokumenty, zajmuje szczególne miejsce w folderze Mój komputer. Zw³aszcza wtedy, gdy opcja Proste udostêpnianie plików jest w³¹czona, jest to domyœlne i najwygodniejsze miejsce do przechowywania folderów i plików, które chcesz udostêpniæ innym u ytkownikom na twoim komputerze albo w twojej sieci. Jednak jeœli twój komputer jest przy³¹czony do domeny, prawdopodobnie zapomnisz o istnieniu folderu Dokumenty udostêpnione. Folder Mój komputer nie bêdzie zwiera³ grupy Pliki przechowywane na tym komputerze.

Rozdzia³ 33: Praca z domenami Windows 923 Je eli twój komputer znajdowa³ siê w grupie roboczej i uruchomi³eœ Kreator konfiguracji sieci, zanim przy³¹czy³eœ siê do domeny, folder dalej bêdzie udostêpniony jako Dokumenty udostêpnione. Natomiast jeœli nie uruchamia³eœ Kreatora konfiguracji sieci, domyœlnie folder ten nie jest konfigurowany jako udzia³ sieciowy. W obu przypadkach, domyœlnie tylko lokalni u ytkownicy i grupy posiadaj¹ uprawnienia dostêpu do folderów i plików zawartych w Dokumentach udostêpnionych. Je eli chcesz przyznaæ uprawnienia u ytkownikowi domeny, powinieneœ dodaæ odpowiednie grupy domeny do listy kontrolnej ACL tego folderu. Szczegó³owe informacje na temat listy ACL znajdziesz w podrozdziale Kontrolowanie dostêpu za pomoc¹ uprawnieñ dla systemu plików NTFS, na stronie 425. Sieæ Kreator konfiguracji sieci. Kreator konfiguracji sieci, który zosta³ zaprojektowany, aby pomóc ci w konfigurowaniu sieci w domu lub ma³ej firmie, nie dzia³a na komputerach przy³¹czonych do domeny. Szczegó³owe informacje dotycz¹ce tego kreatora znajdziesz w podrozdziale U ywanie Kreatora konfiguracji sieci na stronie 811. Zadania sieciowe. Kiedy otworzysz Moje miejsca sieciowe, odnoœniki, które pojawiaj¹ siê w sekcji Zadania sieciowe, bêd¹ ró ne w zale noœci od tego, czy twój komputer jest czêœci¹ grupy roboczej, domeny Windows NT, czy te domeny z us³ug¹ Active Directory, tak jak pokazano na rysunku 33-3. W dodatku opcje przegl¹dania i przeszukiwania sieci równie siê ró ni¹. Aby uzyskaæ wiêcej szczegó³ów, patrz Odnajdywanie plików, drukarek i u ytkowników na stronie 937. Grupa robocza Domena bez us³ugi Active Directory Domena z us³ug¹ Active Directory Rysunek 33-3. Zwróæ uwagê, e Dokumenty udostêpnione pojawiaj¹ siê w sekcji Inne miejsca tylko w przypadku grupy roboczej. Mo esz przegl¹daæ komputery w domenie, klikaj¹c odnoœnik Ca³a sieæ. Zarz¹dzanie komputerem i u ytkownikami Konta u ytkowników. Kiedy otworzysz w Panelu sterowania aplet Konta u ytkowników, otrzymasz ró ne wersje, w zale noœci od tego, czy twój komputer jest przy³¹czony do domeny, czy nie. Te dwie wersje posiadaj¹ podobne

924 Czêœæ VII: Sieæ mo liwoœci; ró nica jest wiêksza w formie ni w treœci. Wersja grupy roboczej jest zgodna z nowym stylem systemu Windows XP, pe³na grafiki i odnoœników do okien dialogowych podobnych do kreatora. W celu uzyskania informacji dotycz¹cych Kont u ytkowników w wersji grupy roboczej, patrz Konta u ytkowników na stronie 83. Wersja w domenie u ywa tradycyjnego okna dialogowego, które jest prawie identyczne jak jego poprzednik z systemu Windows 2000. Wiêcej informacji o tej wersji znajdziesz w podrozdziale Zaawansowane opcje konfiguracyjne kont na stronie 100. Zasady grupy. Komputer w grupie roboczej albo w domenie bez us³ugi Active Directory mo e u ywaæ lokalnego obiektu zasad grupy aby wykonaæ znaczn¹ iloœæ ustawieñ i na³o yæ wiele ograniczeñ ale ustawienia te stosuj¹ siê do wszystkich u ytkowników tego komputera. W przypadku domeny z us³ug¹ Active Directory dostêpnych jest znacznie wiêcej ustawieñ Zasad grupy. Jednak wa niejsze jest to, e s¹ one centralnie zarz¹dzane i mog¹ byæ selektywnie stosowane do komputerów, u ytkowników, grup, domen i innych podzia³ów. Jest to olbrzymi temat, który dok³adnie opisano w zestawach Resource Kit dla rodzin systemów Windows 2000 Server oraz Windows.NET Serwer. Informacje o lokalnych Zasadach grupy, jak równie pewne mo liwoœci dostêpne w zasadach bazuj¹cych na domenach, mo esz uzyskaæ przegl¹daj¹c Kontrolowanie mo liwoœci u ytkowników za pomoc¹ Zasad grupy na stronie 958. Ró ne elementy interfejsu u ytkownika [Ctrl+Alt+Delete]. W œrodowisku domeny wciœniêcie klawiszy [Ctrl]+[Alt]+[Delete] wyœwietla okno dialogowe Zabezpieczenia systemu Windows, pokazane na rysunku 33-4, oszczêdzaj¹c¹ czas drogê prowadz¹c¹ do opcji blokowania, wylogowywania, zamykania systemu i innych zadañ. W grupie roboczej skonfigurowanej do u ywania Ekranu powitalnego przy logowaniu wciœniêcie klawiszy [Ctrl+Alt+Delete] otwiera Mened era zadañ Windows. (W rzeczywistoœci zachowanie to ma zwi¹zek z Ekranem powitalnym, a nie samym cz³onkostwem w domenie). Rysunek 33-4. Wielu u ytkowników systemów Windows NT oraz Windows 2000 jest przyzwyczajonych do naciskania klawiszy [Ctrl+Alt+Delete], a nastêpnie wciskania klawisza Enter w celu zablokowania stacji roboczej. Synchronizacja czasu. Wygl¹d karty Czas z Internetu w oknie dialogowym Data i godzina w Panelu sterowania zale y od cz³onkostwa w domenie. W œro-

Rozdzia³ 33: Praca z domenami Windows 925 dowisku grupy roboczej (albo w domenie bazuj¹cej na systemie Windows NT) u ywasz tej karty do synchronizowania zegara twojego komputera z internetowym serwerem czasu. Funkcja ta jest niedostêpna na komputerach przy³¹czonych do domeny wykorzystuj¹cej system Windows 2000 Server albo Windows.NET Server. W rzeczywistoœci nie jest to jedynie zmiana interfejsu u ytkownika ani te funkcja, która zosta³a usuniêta z komputerów bazuj¹cych na domenie. Tak naprawdê jest ona powi¹zana z metod¹ uwierzytelniania u ywan¹ przez kontrolery domen. Systemy Windows 2000 Server i Windows.NET Server u ywaj¹ uwierzytelniania Kerberos V5. Jeden z elementów uwierzytelniania Kerberos V5 opiera siê na bliskiej synchronizacji czasu stacji roboczej i serwera. Je eli przesy³ane miêdzy nimi dane oznaczone s¹ czasem, który nie jest prawie identyczny, uwa ane s¹ one za nieprawid³owe. Z tego powodu komputer przy³¹czony do domeny wykorzystuj¹cej system Windows 2000 Server albo Windows.NET Server jako jej kontroler zawsze synchronizuje swój wewnêtrzny zegar z kontrolerem domeny, a nie zewnêtrznym Ÿród³em czasu. Kontroler domeny powinien byæ skonfigurowany do pobierania swojego czasu z dok³adnego Ÿród³a. Tak jak w przypadku logowania lokalnego i logowania grupy roboczej, system Windows NT Server u ywa protoko³u uwierzytelniania NTLM zamiast uwierzytelniania Kerberos V5. Klienty w domenie Windows NT mog¹ byæ skonfigurowane do uzyskiwania czasu z kontrolera domeny albo innego serwera czasu poprzez protokó³ NetBIOS (synchronizacja czasu wszystkich komputerów w domenie wci¹ jest dobrym pomys³em, ale nie jest konieczna) albo mog¹ byæ skonfigurowane do niezale nego ³¹czenia siê z internetowym serwerem czasu. Nowa funkcja! WSKAZÓWKA Ustawianie zegara twojego komputera Je eli twój komputer znajduje siê w domenie Windows NT, mo esz synchronizowaæ swój zegarek z kontrolerem domeny, wpisuj¹c poni sz¹ liniê w programie wsadowym, który bêdzie uruchamiany podczas ³adowania systemu (albo jako skrypt logowania, albo poprzez umieszczenie w grupie Autostart w menu Start): net time /domain /set /y Je eli twój komputer nie jest czêœci¹ domeny, mo esz synchronizowaæ swój zegar, u ywaj¹c W³aœciwoœci: Data i godzina. W Panelu sterowania otwórz okno Data i godzina (albo po prostu kliknij dwukrotnie zegar na Pasku zadañ). Kliknij kartê Czas z Internetu, zaznacz pole wyboru i kliknij przycisk Aktualizuj teraz. (Je- eli wolisz narzêdzie wiersza polecenia, u yj W32tm /Resync. Polecenie Net Time nie dzia³a z protoko³em czasu internetowego SNTP). (Je eli twój komputer znajduje siê w domenie z us³ug¹ Active Directory, nie powinieneœ ustawiaæ zegara bezpoœrednio; pozwól systemowi Windows na automatyczn¹ synchronizacjê z kontrolerem domeny). Aby uzyskaæ dodatkowe informacje dotycz¹ce synchronizacji z internetowym serwerem czasu, kliknij odnoœnik synchronizacji czasu znajduj¹cy siê na karcie Czas z Internetu okna dialogowego W³aœciwoœci: Data i godzina. Menu Start. Drobna zmiana w Menu Start polega na tym, e na komputerze przy³¹czonym do domeny u góry menu obok pe³nej nazwy u ytkownika nie pojawia siê rysunek, a polecenie opuszczenia systemu pojawia siê jako Wy³¹cz komputer w przypadku komputera nale ¹cego do grupy roboczej, natomiast

926 Czêœæ VII: Sieæ w domenie jest to polecenie Zamknij system. Dlaczego? Po prostu po to, aby bardziej upodobniæ siê do interfejsu Windows 2000, z którym obeznana jest wiêkszoœæ u ytkowników domen. DLA EKSPERTÓW Mo esz u ywaæ funkcji, które s¹ dostêpne jedynie w grupie roboczej. (Szybkie prze³¹czanie u ytkowników jest funkcj¹, za któr¹ wiêkszoœæ u ytkowników domen têskni najbardziej). W zale noœci od tego, jak skonfigurowana jest twoja domena, których zale nych od domeny funkcji chcesz u ywaæ oraz od tego, czy chcesz udostêpniaæ zasoby swojego w³asnego komputera innym u ytkownikom domeny, mo esz zdecydowaæ, e lepiej post¹pisz nie przy³¹czaj¹c siê do domeny. Nadal mo esz mieæ dostêp do udostêpnionych plików i drukarek; oto, jak tego dokonaæ: 1. Je eli twój komputer jest ju przy³¹czony do domeny, przy³¹cz siê do grupy roboczej (co usunie twoje cz³onkostwo w domenie), jak zosta³o wyjaœnione w czêœci Opuszczanie domeny na stronie 934. 2. Zaloguj siê, u ywaj¹c swojego lokalnego konta. 3. Okreœl nazwê twojej grupy roboczej, tak aby by³a taka sama jak nazwa domeny. (Nie jest to konieczne, ale sprawia, e przegl¹danie sieci jest ³atwiejsze). 4. W Panelu sterowania otwórz aplet Konta u ytkowników, kliknij swoj¹ nazwê konta, a nastêpnie kliknij Zarz¹dzaj moimi has³ami sieciowymi w sekcji Zadania pokrewne. 5. W oknie dialogowym Przechowywane nazwy u ytkowników i has³a kliknij przycisk Dodaj. 6. W oknie dialogowym W³aœciwoœci informacji o logowaniu wpisz w polu Serwer nazwa_domeny\* (gdzie nazwa_domeny jest nazw¹ twojej domeny). W polach Nazwa u ytkownika i Has³o podaj poœwiadczenia dla konta domeny, a nie twojego konta lokalnego. Podaj nazwê u ytkownika i has³o twojego konta domeny Dodawanie poœwiadczeñ w ten sposób (zamiast podawania nazwy u ytkownika i has³a za ka dym razem, kiedy chcesz przegl¹daæ zasoby na innym komputerze w domenie) daje ci natychmiastowy dostêp do wszystkich plików czy drukarek w domenie, do których twoje konto domeny posiada uprawnienia. Masz w ten sposób efektywnie po³¹czone twoje konto w domenie i twoje konto lokalne. Miej œwiadomoœæ, e twój skrypt logowania domeny nie bêdzie dzia³a³, podobnie jak kilka innych funkcji dostêpnych tylko w domenie (takich jak Zasady grupy). Administrator domeny mo e uniemo liwiæ ci logowanie siê w ten sposób. W dodatku niektóre uprawnienia (na przyk³ad mo liwoœæ u ywania serwera proxy domeny) mog¹ byæ ograniczone do cz³onków grupy U ytkownicy domeny lub innej grupy globalnej. Twoje konto lokalne nie mo e byæ umieszczone w grupie globalnej.

Rozdzia³ 33: Praca z domenami Windows 927 Podawanie poœwiadczeñ domeny Kiedy wpisujesz nazwê u ytkownika, Windows musi wiedzieæ, do której bazy danych zabezpieczeñ ma zajrzeæ, aby odnaleÿæ nazwê. W niektórych oknach dialogowych (takich jak okno dialogowe Logowanie do systemu Windows) wpisujesz swoj¹ nazwê u ytkownika w jednym polu i wybierasz nazwê domeny albo komputera w drugim. Jednak inne okna dialogowe zawieraj¹ jedynie pole Nazwa u ytkownika. System Windows zak³ada, e podajesz nazwê konta zasobu, do którego próbujesz uzyskaæ dostêp, wiêc w wiêkszoœci przypadków nie musisz podawaæ nazwy komputera albo domeny. Jednak w niektórych przypadkach musisz podaæ nazwê komputera lub domeny, tak samo jak twoj¹ nazwê u ytkownika; obie informacje wprowadzasz w polu Nazwa u ytkownika. Je eli baza danych zabezpieczeñ znajduje siê na komputerze z systemem Windows NT, u yj formy nazwa_domeny\nazwa_u ytkownika (na przyk³ad dokumentacja\mareks albo, dla lokalnego konta na komputerze o nazwie Equinoxe, equinoxe\mareks). Je eli baza danych zabezpieczeñ znajduje siê na komputerze z systemem Windows 2000, Windows XP albo Windows.NET Server, mo esz u yæ tamtej formy albo te nowszej nazwa_u ytkownika@nazwa_domeny (na przyk³ad mareks@dokumentacja.rm.com.pl albo mareks@equinoxe). Przy³¹czanie do domeny Aby przy³¹czyæ siê do domeny, twój komputer musi mieæ skonfigurowane konto na kontrolerze domeny. Mo esz to zrobiæ przed, w trakcie albo po zainstalowaniu systemu Windows XP Professional na swoim komputerze: Zanim zainstalujesz system Windows XP, administrator mo e utworzyæ konto komputera na kontrolerze domeny. W systemie Windows 2000 Server albo Windows.NET Server u yj konsoli U ytkownicy i komputery us³ugi Active Directory, aby dodaæ konto komputera; w systemie Windows NT u yjesz funkcji Server Manager. Podczas instalacji program instalacyjny zapyta, czy chcesz przy³¹czyæ siê do domeny, czy do grupy roboczej. Je eli wybierzesz domenê, mo esz stworzyæ konto komputera (je eli nie utworzy³eœ ju jakiegoœ), pod warunkiem, e podasz nazwê i has³o konta administratora domeny, które posiada prawo do dodawania kont komputerów (zazwyczaj konto, które jest cz³onkiem grupy Administratorzy domeny). Informacje te mo esz podaæ niezale nie od tego, czy program instalacyjny uruchomisz w trybie interakcyjnym, czy te bezobs³ugowym. Po wykonaniu instalacji mo esz przy³¹czyæ siê do domeny na karcie Nazwa komputera w oknie dialogowym W³aœciwoœci systemu. Szczegó³y dotycz¹ce tej metody zosta³y podane dalej w tym rozdziale. Ponownie, je eli nie skonfigurowa³eœ jeszcze konta komputera na kontrolerze domeny, mo esz skonfigurowaæ je z tego miejsca pod warunkiem, e podasz nazwê i has³o konta administratora domeny.

928 Czêœæ VII: Sieæ Aby przy³¹czyæ siê do domeny po zainstalowaniu systemu Windows, wykonaj nastêpuj¹ce czynnoœci: 1. Zaloguj siê jako cz³onek lokalnej grupy Administratorzy. 2. W Panelu sterowania otwórz System (w kategorii Wydajnoœæ i konserwacja). Alternatywnie, kliknij prawym przyciskiem myszy Mój komputer i wybierz W³aœciwoœci. 3. W oknie dialogowym W³aœciwoœci systemu kliknij kartê Nazwa komputera. WSKAZÓWKA Pomiñ Kreatora identyfikacji sieciowej Karta Nazwa komputera posiada dwa przyciski, które w zasadzie wykonuj¹ to samo zadanie. Klikaj¹c Identyfikator sieciowy, uruchomisz Kreatora identyfikacji sieciowej, który u ywaj¹c kilku stron, pomo e ci przy³¹czyæ siê do domeny. Przycisk Zmieñ zrobi to tylko w jednym oknie dialogowym, tak jak zosta³o to opisane w tej czêœci. Kreator identyfikacji sieciowej daje jedn¹ korzyœæ: pomaga ci dodaæ pojedyncze konto u ytkownika domeny do lokalnej grupy u ytkowników. Szczegó³owe informacje na ten temat znajdziesz w podrozdziale Dodawanie kont domeny do twojej lokalnej bazy danych kont, na stronie 930. 4. Kliknij przycisk Zmieñ, aby otworzyæ okno dialogowe Zmiany nazwy komputera, pokazane na nastêpnej stronie.

Rozdzia³ 33: Praca z domenami Windows 929 5. Zaznacz Domena, wpisz nazwê twojej domeny i kliknij OK. Pojawi siê kolejne okno dialogowe, Zmiany nazwy komputera. 6. Wpisz nazwê u ytkownika i has³o konta, które posiada uprawnienie, aby przy³¹czyæ twój komputer do domeny. Domyœlnie uprawnienia takie posiadaj¹ cz³onkowie globalnej grupy Administratorzy domeny. 7. Kiedy zostaniesz o to poproszony, uruchom ponownie komputer. WSKAZÓWKA U ywanie zasobów z innej domeny Twój komputer mo e byæ cz³onkiem tylko jednej domeny. Ale jeœli czêsto korzystasz z zasobów z innej domeny, mo esz dodaæ poœwiadczenia dla innych domen. Poœwiadczenia te pozwalaj¹ na dostêp do zasobów tych domen. W Panelu sterowania otwórz Konta u ytkowników. Kliknij kartê Zaawansowane, a nastêpnie kliknij przycisk Zarz¹dzaj has³ami. Kliknij Dodaj, a nastêpnie okreœl nazwê komputera innej domeny, który posiada udostêpnione zasoby (w formie nazwa_domeny\nazwa_komputera), wraz z twoj¹ nazw¹ u ytkownika i has³em dla innej domeny.

930 Czêœæ VII: Sieæ Czy twój komputer jest przy³¹czony do domeny? Dopóki nie zaznajomisz siê z pewnymi subtelnymi ró nicami w wygl¹dzie i dzia³aniu opisanymi wczeœniej w tym rozdziale, fakt cz³onkostwa twojego komputera w domenie mo e nie byæ od razu taki oczywisty. Najlepszym sposobem stwierdzenia tego na pierwszy rzut oka jest otworzenie W³aœciwoœci systemu i klikniêcie karty Nazwa komputera. Pod napisem Pe³na nazwa komputera pojawi siê albo Grupa robocza, albo Domena wraz z nazw¹ grupy roboczej lub domeny. W tym miejscu pojawia siê albo Domena, albo Grupa robocza W tym miejscu pojawia siê nazwa domeny albo grupy roboczej Mo esz zgromadziæ inne interesuj¹ce informacje dotycz¹ce stanu domeny, u ywaj¹c narzêdzia wiersza polecenia Whoami, które znajdziesz na p³ycie instalacyjnej Windows XP w pliku \Support\Tools\Support.cab. (Wszystkie narzêdzia mo esz zainstalowaæ, uruchamiaj¹c \Support\Tools\Setup.exe). Otwórz okno wiersza polecenia i wpisz whoami, aby poznaæ nazwê u ytkownika, który jest aktualnie zalogowany; nazwa u ytkownika poprzedzona jest nazw¹ domeny, je eli jesteœ zalogowany przy u yciu konta domeny, albo nazw¹ komputera, jeœli u ywasz konta lokalnego. Wpisz whoami /groups, aby zobaczyæ listê wszystkich lokalnych oraz globalnych grup, do których nale y twoje konto. Dodawanie kont domeny do twojej lokalnej bazy danych kont Kiedy przy³¹czysz siê do domeny, u ywaj¹c procedury opisanej wczeœniej w tym rozdziale, system Windows doda dwie globalne grupy zabezpieczeñ do twojej lokalnej bazy danych zabezpieczeñ. Grupa domeny Administratorzy domeny zostanie dodana do twojej lokalnej grupy Administratorzy.

Rozdzia³ 33: Praca z domenami Windows 931 Grupa domeny U ytkownicy domeny zostanie dodana do lokalnej grupy U ytkownicy. Mo esz potwierdziæ obecnoœæ tych dodatkowych grup, otwieraj¹c przystawkê U ytkownicy i grupy lokalne (wpisz lusrmgr.msc w oknie wiersza polecenia) i sprawdzaj¹c w³aœciwoœci grup: Administratorzy oraz U ytkownicy, jak pokazano na rysunku 33-5. Grupa Administratorzy domeny w domenie DOKUMENTACJA jest cz³onkiem lokalnej grupy Administratorzy Rysunek 33-5. Dodanie kont domeny daje u ytkownikom domeny dostêp do zasobów lokalnych. Umieszczenie tych grup w twojej lokalnej bazie danych kont daje ich cz³onkom te same prawa na twoim komputerze, co lokalnym cz³onkom grupy. Na przyk³ad ka dy cz³onek grupy Administratorzy domeny mo e zalogowaæ siê na twoim komputerze lokalnie, posiada tak e wszystkie prawa i uprawnienia zgodne z lokalnymi kontami administracyjnymi. UWAGA Nie martw siê cz³onkostwo w grupie lokalnej nie zezwala automatycznie na dostêp do twoich plików poprzez po³¹czenie sieciowe. Tylko foldery, które wybra³eœ do udostêpnienia, s¹ dostêpne w sieci. Równie uprawnienia, jakie zastosowa³eœ do udostêpnionego folderu decyduj¹ o tym, kto mo e mieæ dostêp do folderu i co mo e zrobiæ z jego zawartoœci¹. Szczegó³owe informacje dotycz¹ce udostêpniania w sieci znajdziesz w rozdziale 31 Zarz¹dzanie udostêpnionymi folderami i drukarkami. Domyœlnie twoje konto domeny jest cz³onkiem grupy U ytkownicy domeny. Dlatego te, kiedy logujesz siê na komputerze, u ywaj¹c swojego konta domeny, bêdziesz mia³ wszystkie uprawnienia cz³onka lokalnej grupy U ytkownicy. (Innymi s³owy, nie bêdziesz mia³ bardzo wielu uprawnieñ; bêdziesz u ytkownikiem ograniczonym). Dlatego te mo esz dodaæ swoje konto domeny do grupy daj¹cej wiêksze mo liwoœci. Mo esz to zrobiæ na dwa sposoby: Na kontrolerze domeny dodaj swoje konto do globalnej grupy, posiadaj¹cej uprawnienia, których potrzebujesz. Na przyk³ad dodanie twojego konta do grupy Admi-

932 Czêœæ VII: Sieæ nistratorzy domeny daje ci natychmiastowe cz³onkostwo w lokalnej grupie Administratorzy nie tylko na twoim komputerze, ale na wszystkich komputerach w domenie. W zale noœci od rozmiaru twojej domeny oraz roli, jak¹ odgrywasz w organizacji, mo e to byæ oczywiœcie ca³kowicie niestosowne. Ale administrator domeny mo e zdecydowaæ o przydzieleniu twojego konta do innej grupy, która posiada uprawnienia plasuj¹ce siê gdzieœ pomiêdzy tymi, którymi dysponuj¹ U ytkownicy domeny, a tymi, które s¹ zarezerwowane dla Administratorów domeny. Na swoim komputerze mo esz dodaæ w³asne konto domeny (albo inn¹ grupê globaln¹, której jesteœ cz³onkiem) do swojej lokalnej bazy danych kont. Aby skorzystaæ z drugiej opcji dodawania konta domeny do swojej lokalnej bazy danych kont mo esz u yæ zarówno Kont u ytkowników, jak i U ytkowników i grup lokalnych. Konta u ytkowników s¹ lepszym narzêdziem przy dodawaniu indywidualnych kont u ytkowników; U ytkownicy i grupy lokalne pozwalaj¹ ³atwiej dodawaæ grupy. Aby dodaæ konto u ytkownika, wykonaj nastêpuj¹ce czynnoœci: 1. W Panelu sterowania otwórz Konta u ytkowników. 2. Na karcie U ytkownicy kliknij przycisk Dodaj. 3. W oknie dialogowym Dodawanie nowego u ytkownika wpisz nazwê u ytkownika oraz domeny dla konta, które chcesz dodaæ (albo kliknij przycisk Przegl¹daj, Zaawansowane, ZnajdŸ teraz, aby dokonaæ wyboru z listy kont u ytkowników domeny), a nastêpnie kliknij Dalej. 4. W nastêpnym oknie dialogowym zaznacz grupê lokaln¹, której chcesz u yæ, aby dodaæ konto, a nastêpnie kliknij przycisk Zakoñcz.

Rozdzia³ 33: Praca z domenami Windows 933 Aby dodaæ globalne konto u ytkownika albo grupê globaln¹ do twojej lokalnej bazy danych kont, wykonaj nastêpuj¹ce czynnoœci: 1. W oknie wiersza polecenia wpisz lusrmgr.msc, aby otworzyæ przystawkê U ytkownicy i grupy lokalne. 2. Otwórz folder Grupy, a nastêpnie kliknij dwukrotnie nazwê grupy, do której chcesz dodaæ u ytkownika lub grupê. 3. Kliknij przycisk Dodaj, a nastêpnie Zaawansowane. Pojawi siê okno dialogowe Wybieranie: U ytkownicy. 4. Upewnij siê, e nazwa domeny pojawi siê w polu Z tej lokalizacji. Je eli tak siê nie stanie, kliknij przycisk Lokalizacje i wybierz nazwê domeny. 5. Kliknij przycisk ZnajdŸ teraz, aby wyœwietliæ listê u ytkowników i grup.

934 Czêœæ VII: Sieæ 6. Zaznacz u ytkowników albo grupy, które chcesz dodaæ (klikaj¹c, przytrzymaj wciœniêty klawisz [Ctrl], aby zaznaczyæ kilka nazw), a nastêpnie kliknij OK. Dodatkowe informacje dotycz¹ce U ytkowników i grup lokalnych znajdziesz w podrozdziale U ywanie przystawki U ytkownicy i grupy lokalne na stronie 102. Opuszczanie domeny Procedura opuszczania domeny oraz wstêpowania do grupy roboczej jest podobna do procedury przy³¹czania siê do domeny, opisanej wczeœniej w tym rozdziale. Aby przy³¹czyæ siê do grupy roboczej, wykonaj nastêpuj¹ce czynnoœci: 1. Zaloguj siê jako cz³onek lokalnej grupy administratorów. 2. Otwórz W³aœciwoœci systemu i kliknij kartê Nazwa komputera, a nastêpnie przycisk Zmieñ. 3. Zaznacz pole Grupa robocza i wpisz nazwê grupy roboczej. Nazwa grupy roboczej mo e sk³adaæ siê maksymalnie z 15 znaków. Nie mo e ona byæ taka sama, jak nazwa któregokolwiek komputera w grupie roboczej, oraz nie mo e zawieraæ nastêpuj¹cych znaków: ; : " < > * + = \?, 4. Je eli opuszczasz domenê z us³ug¹ Active Directory, w oknie dialogowym, które siê pojawi, wpisz nazwê u ytkownika i has³o dla konta domeny posiadaj¹cego uprawnienia do usuniêcia komputera z domeny. Uzyskiwanie dostêpu do zasobów domeny z komputera dzia³aj¹cego w systemie Windows XP Home Edition Komputer dzia³aj¹cy w systemie Windows XP Home Edition nie mo e byæ przy³¹czony do domeny. Co wiêcej, u ywaj¹c wersji Home Edition, nie mo esz rêcznie dodawaæ wpisów do listy w oknie dialogowym Przechowywane nazwy u ytkowników i has³a. Jednak u ytkownicy systemu Windows XP Home Edition, którzy posiadaj¹ konto u ytkownika domeny, mog¹ korzystaæ z udostêpnionych folderów i drukarek w domenie. Je eli twój komputer z wersj¹ Home Edition jest pod³¹czony do domeny poprzez po³¹czenie sieci lokalnej lub po³¹czenie wirtualnej sieci prywatnej (VPN), mo esz u yæ jednej z nastêpuj¹cych technik, aby uzyskaæ dostêp do zasobów domeny: W pasku Adres Eksploratora Windows wpisz œcie kê sieciow¹ do zasobu, którego chcesz u yæ, w formie \\nazwa_serwera\nazwa_udzia³u. Na przyk³ad aby otworzyæ udzia³ Dokument na serwerze o nazwie Everglades, wpisz \\everglades\dokument. Po krótkiej chwili okno dialogowe poprosi ciê o podanie nazwy u ytkownika i has³a. Podaj poœwiadczenia dla twojego konta domeny, ale nie lokalnego konta, którego u ywasz do zalogowania siê na swoim w³asnym komputerze. Nastêpnie w Eksploratorze Windows pojawi¹ siê foldery z tego udzia³u. Otwórz Moje miejsca sieciowe i kliknij Wyœwietl komputery grupy roboczej. Je eli nazwa twojej grupy roboczej jest taka sama, jak nazwa domeny, inne komputery stan¹ siê widoczne. (Je eli nazwa twojej grupy roboczej nie jest taka sama jak nazwa domeny, kliknij Microsoft Windows Network w sekcji Inne miejsca. Nastêpnie dwukrotnie kliknij nazwê domeny, aby zobaczyæ jej komputery). Kliknij dwu-

Rozdzia³ 33: Praca z domenami Windows 935 krotnie ikonê komputera. Pojawi siê ¹danie podania nazwy u ytkownika i has³a. Podaj twoje poœwiadczenia dla domeny pojawi¹ siê udostêpnione zasoby tego komputera. Poœwiadczenia, które wpiszesz, u ywaj¹c tej metody, utrzymuj¹ siê podczas twojej sesji, ale s¹ odrzucane, kiedy siê wylogujesz. Dlatego te wpisywanie adresu albo przegl¹danie zasobów sieciowych sprawdza siê jedynie w przypadku doraÿnych po³¹czeñ. Natomiast jeœli regularnie ³¹czysz siê z tymi samymi zasobami, istnieje lepszy sposób, który pozwoli ci unikn¹æ (czasami d³ugiego) oczekiwania na okno dialogowe ¹dania has³a oraz potrzeby powtarzaj¹cego siê wpisywania twoich poœwiadczeñ sieciowych: skonfiguruj program wsadowy, który nawi¹ e twoje po³¹czenia sieciowe, i uruchamiaj go za ka dym razem, kiedy siê logujesz (albo kiedy ³¹czysz siê z sieci¹). Aby napisaæ program wsadowy, wykonaj nastêpuj¹ce czynnoœci: 1. Uruchom program Notatnik. 2. Dla ka dego zasobu sieciowego, z którym chcesz siê po³¹czyæ, wpisz w oddzielnej linii polecenie Net Use. U yj formy \\nazwa_serwera\nazwa_udzia³u has³o /user:nazwa_u ytkownika, gdzie nazwa_serwera jest nazw¹ komputera, nazwa_udzia³u jest nazw¹ udostêpnionego folderu, has³o jest has³em dla twojego konta domeny, a nazwa_u ytkownika jest nazw¹ u ytkownika dla twojego konta domeny. Na przyk³ad aby po³¹czyæ siê z udzia³em Dokument na komputerze nazwanym Equinoxe za poœrednictwem konta domeny Marek, powinieneœ wpisaæ: net use \\equinoxe\dokument R4HdtY /user:marek OSTRZE ENIE Twoje has³o sieciowe przechowywane jest w tym pliku jako zwyk³y tekst. Je eli nie chcesz go w ten sposób nara aæ, zast¹p je gwiazdkami (*). Wtedy Windows poprosi ciê o wpisanie has³a, kiedy uruchomisz program wsadowy. 3. Zapisz ten plik, nadaj¹c mu rozszerzenie.cmd albo.bat. Mo esz umieœciæ go na pulpicie albo w folderze Autostart. Logowanie siê do domeny Jeœli twój komputer przy³¹czony jest do domeny, zwykle bêdziesz siê logowaæ, u ywaj¹c swojego konta domeny. Dziêki temu wczytywane s¹ elementy twojego profilu przechowywane na serwerach sieciowych, stosowane s¹ bazuj¹ce na domenie obiekty Zasad grupy, a tak e zyskujesz mo liwoœæ u ywania dowolnych zasobów z ca³ej domeny, dla których posiadasz wymagane uprawnienia. Mo esz siê zalogowaæ w alternatywny sposób, u ywaj¹c konta lokalnego. Je eli masz komputer, który jest stale przy³¹czony do sieci, nie ma prawie adnego powodu, aby tak robiæ. Nawet najbardziej lokalne zadania administracyjne tak samo ³atwo przeprowadziæ niezale nie od tego, czy lokalnie, czy zdalnie z konta domeny, które jest cz³onkiem lokalnej grupy Administratorzy. Je eli posiadasz komputer przenoœny, mo esz chcieæ u ywaæ konta lokalnego, kiedy twój komputer nie jest przy³¹czony do sieci. Nie jest to jednak potrzebne, poniewa Windows u ywa lokalnej, przechowywanej wersji twojego profilu, je eli kontroler domeny jest niedostêpny. U ywanie oddzielnych kont dla logowania lokalnego i sieciowego mo e sprawiæ, e zarz¹dzanie

936 Czêœæ VII: Sieæ uprawnieniami twoich lokalnie przechowywanych dokumentów bêdzie bardziej skomplikowane. W tej sytuacji byæ mo e zrobisz lepiej, nie przy³¹czaj¹c siê do domeny i zamiast tego zawsze u ywaj¹c konta lokalnego. Aby siê zalogowaæ, poczekaj, a pojawi siê okno dialogowe System Windows Zapraszamy!, a nastêpnie wciœnij klawisze [Ctrl+Alt+Delete]. Spowoduje to wyœwietlenie okna dialogowego Logowanie do systemu Windows, pokazanego na rysunku 33-6. Wpisz swoj¹ nazwê u ytkownika i has³o dla konta domeny i upewnij siê, e w polu Zaloguj do wybrana jest twoja domena. (Aby zalogowaæ siê, u ywaj¹c konta lokalnego, wpisz jego nazwê u ytkownika i has³o oraz wybierz nazwê komputera w polu Zaloguj do). Rysunek 33-6. Je eli pole Zaloguj do nie pojawi³o siê, kliknij przycisk Opcje. Automatyczne logowanie siê Je eli twój komputer znajduje siê w bezpiecznym miejscu, gdzie tylko ty (i inni zaufani u ytkownicy) masz do niego fizyczny dostêp, mo esz skonfigurowaæ logowanie, tak abyœ nie musia³ wciskaæ klawiszy [Ctrl+Alt+Delete] i póÿniej wpisywaæ nazwy u ytkownika i has³a za ka dym razem, kiedy uruchamiasz komputer. Wykonuj¹c kilka zmian w rejestrze, mo esz skonfigurowaæ swój komputer, tak aby automatycznie siê logowa³. OSTRZE ENIE Przy logowaniu automatycznym ka dy, kto posiada fizyczny dostêp do twojego komputera, mo e go uruchomiæ i zalogowaæ siê, u ywaj¹c twoich poœwiadczeñ. Osoba taka zyskuje w ten sposób pe³ny dostêp do twoich plików (w³¹czaj¹c w to pliki zaszyfrowane), zasobów sieciowych, a nawet witryn sieciowych, dla których zachowa³eœ swoje has³o. Jest jeszcze jedno niebezpieczeñstwo zwi¹zane z tym schematem: twoje has³o jest przechowywane jako zwyk³y tekst w rejestrze. Uwierzytelnieni u ytkownicy w twojej sieci, którzy posiadaj¹ zdalny dostêp do twojego rejestru, mog¹ podejrzeæ twoje has³o. Maj¹c na uwadze te niebezpieczeñstwa, wykonaj nastêpuj¹ce czynnoœci, aby skonfigurowaæ automatyczne logowanie, je eli jesteœ pewien, e nie stanowi ono dla ciebie ryzyka: 1. Zaloguj siê jako cz³onek grupy Administratorzy. 2. W wierszu polecenia wpisz regedit, aby otworzyæ Edytor rejestru. 3. Otwórz klucz HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Rozdzia³ 33: Praca z domenami Windows 937 4. Zmieñ ustawienie wartoœci AutoAdminLogon na 1. 5. Otwórz wartoœæ DefaultDomainName i wpisz nazwê twojej domeny. 6. Otwórz wartoœæ DefaultUserName i wpisz nazwê u ytkownika dla konta, które chcesz, aby logowa³o siê automatycznie. 7. Je eli wartoœæ DefaultPassword nie istnieje, utwórz now¹ wartoœæ ci¹gu o takiej nazwie. 8. Otwórz wartoœæ DefaultPassword i wpisz has³o dla konta u ytkownika, które okreœli³eœ w kroku 6. Po wykonaniu tych kroków konto, które wskaza³eœ, bêdzie logowane automatycznie za ka dym razem, kiedy w³¹czysz komputer. Je eli zdecydujesz, e nie chcesz ju logowaæ siê automatycznie, mo esz skorzystaæ z ³atwej metody, która nie wymaga ponownego udawania siê do rejestru. Wykonaj poni sze czynnoœci: 1. W Panelu sterowania otwórz Konta u ytkowników. 2. Na karcie U ytkownicy zaznacz pole Aby u ywaæ tego komputera, u ytkownik musi wprowadziæ nazwê u ytkownika i has³o. Zaznaczenie tego pola wyboru wprowadza dwie zasadnicze zmiany w rejestrze: zmienia ustawienie wartoœci AutoAdminLogon z powrotem na 0 oraz usuwa wartoœæ DefaultPassword. (Pozosta³e zmiany, jakie wprowadzi³eœ w rejestrze, aby w³¹czyæ automatyczne logowanie, s¹ nieszkodliwe i mo esz je bezpiecznie pozostawiæ na miejscu). Dodatkowe informacje dotycz¹ce klasycznego logowania znajdziesz w podrozdziale Wybór sposobu logowania u ytkowników na stronie 88. Odnajdywanie plików, drukarek i u ytkowników Ogólnie rzecz bior¹c, mo esz przegl¹daæ domenê w poszukiwaniu jej udostêpnionych zasobów w du ym stopniu tak samo, jak przegl¹da³eœ grupê robocz¹. Zacznij od otworzenia Moich miejsc sieciowych. W œrodowisku grupy roboczej odnoœnik Wyœwietl komputery grupy roboczej znajduj¹cy siê w sekcji Zadania sieciowe wyœwietla wszystkie komputery w grupie roboczej. W œrodowisku domeny znajduje siê odnoœnik bêd¹cy jego odpowiednikiem. Aby przegl¹daæ komputery w domenie, kliknij Ca³a sieæ (w sekcji Inne miejsca), a nastêpnie dwukrotnie kliknij Microsoft Windows Network. Wyœwietli to ikonê dla ka dej domeny i grupy roboczej w twojej sieci; dwukrotnie kliknij nazwê domeny, aby zobaczyæ nale ¹ce do niej komputery. Rysunek 33-7 ukazuje ma³¹ sieæ. (Trzy domeny w sieci o takiej wielkoœci s¹ czymœ niezwyk³ym, jednak zastosowaliœmy takie podejœcie, aby oddzieliæ systemy testowe od sieci, w której pracujemy). Je eli twój kontroler domeny u ywa us³ugi Active Directory, zawartej w systemach Windows 2000 Server i Windows.NET Server, istnieje lepszy sposób. Zamiast przegl¹daæ sieæ w poszukiwaniu obiektów sieciowych (takich jak aplikacje, pliki, drukarki czy u ytkownicy), mo esz przeszukaæ us³ugê Active Directory. Predefiniowane wyszukiwanie pomo e ci zlokalizowaæ u ytkowników, kontakty i grupy, komputery, drukarki, udostêpnione foldery, jednostki organizacyjne. Aby rozpocz¹æ wyszuki-

938 Czêœæ VII: Sieæ wanie, kliknij odnoœnik Wyszukaj w us³udze Active Directory w sekcji Zadania sieciowe w Moich miejscach sieciowych. Zaznacz typ obiektu, którego szukasz, a nastêpnie podaj swoje kryteria. Okno aplikacji wyszukiwania, pokazane na rysunku 33-8, jest dobrze zorganizowane i ³atwe w obs³udze. Rysunek 33-7. Okienko Foldery Eksploratora Windows pokazuje hierarchiê sieci. Rysunek 33-8. W wypadku du ej organizacji mo esz u yæ tej strony wyszukiwania w us³udze Active Directory do zlokalizowania drukarki, która posiada pewne funkcje, których potrzebujesz. Wpisz swoje kryteria i kliknij przycisk ZnajdŸ teraz. Wtedy okno powiêkszy siê, a rezultaty twojego wyszukiwania pojawi¹ siê na liœcie w dolnej czêœci okna.