Zarządzanie kontami użytkowników i komputerów

Podobne dokumenty
Zadanie 5. Automatyzacja tworzenia kont użytkowników

Laboratorium A: Podstawy administrowania serwerem

Laboratorium A: Zarządzanie ustawieniami zabezpieczeń/klucz do odpowiedzi

Z pojedynczym obiekcie zasady grupy znajdziemy dwa główne typy ustawień:

Zadanie 3. Tworzenie i odnajdowanie obiektów w Active Directory

Konta uŝytkowników. Konta uŝytkowników dzielą się na trzy grupy: lokalne konta uŝytkowników, domenowe konta uŝytkowników, konta wbudowane

Tomasz Greszata - Koszalin

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

Windows Server 2012 Active Directory

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Pracownia internetowa w szkole ZASTOSOWANIA

Korzystanie z edytora zasad grupy do zarządzania zasadami komputera lokalnego w systemie Windows XP

Laboratorium A: Korzystanie z raportów zasad grupy/klucz do odpowiedzi

Zadanie 2. Tworzenie i zarządzanie niestandardową konsolą MMC

Rozdział 5. Administracja kontami użytkowników

Instalacja i konfiguracja serwera IIS z FTP

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Systemy operacyjne. Zasady lokalne i konfiguracja środowiska Windows 2000

Administrowanie Sieciowymi Systemami Operacyjnymi

Laboratorium 16: Udostępnianie folderów

Systemy operacyjne. Tworzenie i zarządzanie kontami użytkowników

Tworzenie oraz zarządzanie użytkownikami w AD -Win Serwer 2008

Laboratorium Systemów Operacyjnych

5. Administracja kontami uŝytkowników

Systemy operacyjne i sieci komputerowe Szymon Wilk Konsola MMC 1

6. Cel: Sprawdzenie drogi protokołu TCP/IP

Ćwiczenie 1 Praca w grupie roboczej

Instalacja systemów operacyjnych i tworzenie domeny

Wymagania do zdalnej instalacji agentów firmy StorageCraft

Konfiguracja oprogramowania w systemach MS Windows dla kont z ograniczonymi uprawnieniami

Użycie pakietów instalacyjnych.msi w oprogramowaniu WYWIAD Plus

Instalacja Webroot SecureAnywhere przy użyciu GPO w Active Directory

Pracownia internetowa w każdej szkole (edycja jesień 2005)

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Ustawienia personalne

11. Autoryzacja użytkowników

Instytut Sterowania i Systemów Informatycznych Uniwersytet Zielonogórski. Systemy operacyjne. Laboratorium

Rozwiązanie Zadania egzaminacyjnego egzamin praktyczny z kwalifikacji e13 styczeń 2015

Konfiguracja oprogramowania w systemach MS Windows dla kont z ograniczonymi uprawnieniami

pasja-informatyki.pl

Zarządzanie lokalnymi kontami użytkowników

Laboratorium - Udostępnianie folderu, tworzenie grupy domowej i mapowanie dysku sieciowego w Windows 7

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 1

Materiały dla studentów Sieci Komputerowe. Aby zainstalować usługę Active Directory dla nowej domeny, należy wykonać następujące kroki:

Laboratorium A: Zarządzanie drukowaniem/klucz do odpowiedzi

Laboratorium - Udostępnianie folderu i mapowanie dysku sieciowego w systemie Windows XP

Problemy techniczne SQL Server

Ustalanie dostępu do plików - Windows XP Home/Professional

Laboratorium - Zabezpieczanie kont, danych i komputera w systemie Windows XP

Windows Server Active Directory

Tworzenie i wdrażanie zasad bezpieczeństwa

Laboratorium - Poznawanie FTP

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Procedury techniczne modułu Forte Kontroling. Ustawienia IIS

Zasady grupy (GPO) Windows Server 2008 R2. Przykładowa grupy.

Ćwiczenie 2. Instalacja i konfiguracja serwera Windows Serwer 2008 cz. 1

Zalecana instalacja i konfiguracja Microsoft SQL Server 2016 Express Edition dla oprogramowania Wonderware

Budowa i administracja systemów operacyjnych Laboratorium 15 Administrowanie kontami użytkowników

Pracownia internetowa w każdej szkole (edycja jesień 2005)

Praca w sieci z serwerem

pasja-informatyki.pl

Rozdział 8. Sieci lokalne

Laboratorium - Zabezpieczanie kont, danych i komputera w systemie Windows 7

Laboratorium - Zabezpieczanie kont, danych i komputera w systemie Windows Vista

INFORMATOR TECHNICZNY WONDERWARE

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP

Wraz z wersją R2 dla systemu Windows 2008 Server nazewnictwo usług terminalowych uległa zmianie. Poniższa tabela przedstawia nową nomenklaturą:

Laboratorium - Udostępnianie folderu i mapowanie dysku sieciowego w systemie Windows Vista

INFORMATOR TECHNICZNY WONDERWARE

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Państwowa Wyższa Szkoła Zawodowa w Gorzowie Wlkp. Laboratorium architektury komputerów

Administrowanie systemami sieciowymi Laboratorium 3

Praca w sieci równorzędnej

Laboratorium - Harmonogramowanie zadania przy użyciu GUI i polecenia AT w systemie Windows Vista

INFORMATOR TECHNICZNY WONDERWARE

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Temat: Administracja kontami użytkowników

8. Sieci lokalne. Konfiguracja połączenia lokalnego

Podłączenie urządzenia

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Kadry Optivum, Płace Optivum. Jak przenieść dane na nowy komputer?

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Tworzenie i zarządzanie kontami użytkowników

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Kadry Optivum, Płace Optivum. Jak przenieść dane na nowy komputer?

William R. Stanek. Vademecum Administratora 2012 R2. Windows Server. Podstawy i konfiguracja. Przekład: Leszek Biolik

Tomasz Greszata - Koszalin

Instrukcje dotyczące systemu Windows w przypadku drukarki podłączonej lokalnie

Płace Optivum. 1. Zainstalować serwer SQL (Microsoft SQL Server 2008 R2) oraz program Płace Optivum.

Pracownia internetowa w szkole podstawowej (edycja jesień 2005)

Tomasz Greszata - Koszalin

Instalacja Active Directory w Windows Server 2003

Jarosław Kuchta. Instrukcja do laboratorium. Administrowanie Systemami Komputerowymi. Usługi DNS i DHCP

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Instrukcja. Rejestracji i aktywacji konta w systemie so-open.pl DOTACJE NA INNOWACJE; SOFTWARE OPERATIONS SP. Z O. O.

INSTRUKCJA OBSŁUGI USTAWIEŃ DYNAMICZNIE PRZEDZIELANYCH ADRESÓW IP W URZĄDZENIACH SYSTEMU IP-PRO ORAZ REJESTRATORACH MY-DVR

Instrukcja instalacji i konfiguracji bazy danych SQL SERVER 2008 EXPRESS R2. Instrukcja tworzenia bazy danych dla programu AUTOSAT 3. wersja 0.0.

Instalacja Roli Remote Desktop Services dla systemów Windows Server 2012/2012 R2

Ćwiczenie 2 Badanie praw dostępu do zasobów w systemie Windows 2000.

Transkrypt:

Radosław Frąckowiak Moduł 5 Wersja 1 Zarządzanie mi użytkowników i komputerów Spis treści... 1 Informacje o module... 2 Przygotowanie teoretyczne... 3 Przykładowy problem... 3 Podstawy teoretyczne... 3 Porady praktyczne... 8 Uwagi dla studenta... 9 Dodatkowe źródła informacji... 9 Laboratorium podstawowe... 10 Problem 1 (czas realizacji 40 min)... 10 Problem 2 (czas realizacji 20 min)... 14 Laboratorium rozszerzone... 15

Informacje o module Opis modułu W tym module znajdziesz informacje dotyczące zarządzania mi użytkowników i komputerów. Dowiesz się, do czego służą lokalne i domenowe oraz nauczysz się je tworzyć przy pomocy różnych narzędzi. Poznasz opcje związane z kontem użytkownika. Nauczysz się korzystać z szablonów kont. Dowiesz się, co to są wbudowane i do czego służą. Cel modułu Celem modułu jest zapoznanie z zagadnieniami związanymi z mi lokalnymi i domenowymi użytkowników oraz z mi komputerów, w szczególności z ich tworzeniem i modyfikowaniem ich właściwości. Uzyskane kompetencje Po zrealizowaniu modułu będziesz: wiedział, jaka jest różnica pomiędzy kontem użytkownika lokalnym a domenowym potrafił tworzyć użytkowników i komputerów oraz modyfikować ich właściwości rozumiał, w jaki sposób są wykorzystywane w usłudze Active Directory Wymagania wstępne Przed przystąpieniem do pracy z tym modułem powinieneś: znać budowę usługi Active Directory rozumieć, do czego służy usługa Active Directory Mapa zależności modułu Zgodnie z mapą zależności przedstawioną na Rys. 1, przed przystąpieniem do realizacji tego modułu należy zapoznać się z materiałem zawartym w module 4. Rys. 1 Mapa zależności modułu Strona 2/15

Przygotowanie teoretyczne Przykładowy problem Rozszerzono tobie zakres obowiązków. Będziesz teraz odpowiedzialny za zarządzanie mi użytkowników i komputerów. Musisz stworzyć użytkowników pracujących w różnych działach. Firma zakupiła nowe komputery, które będą przyłączane do domeny. Będzie to robił jeden z pracowników i chcesz by nadawał nazwy komputerów według listy, którą mu przekażesz. Zanim to nastąpi Ty stworzysz według niej komputerów w domenie. Chcesz w przyszłości zaoszczędzić sobie pracy, dlatego stworzysz szablony kont użytkowników dla każdego działu. Na jednym z komputerów będzie zainstalowana nowa aplikacja do rejestracji czasu pracy pracowników. Do jej działania potrzebne jest konto, ponieważ jeden z serwisów potrzebuje do go uruchomienia się. Dlatego na tym komputerze stworzysz konto lokalne Podstawy teoretyczne Konto użytkownika Konta użytkowników w Active Directory reprezentują fizyczne osoby, które korzystają z zasobów sieciowych. Można je również wykorzystywać, jako dedykowane usług do uruchamiania niektórych aplikacji. Konta użytkowników są oznaczane również, jako podmioty zabezpieczeń obiekty katalogu, które mają automatycznie przypisane identyfikatory zabezpieczeń (SID), używane do dostępu do zasobów sieciowych. Jedne z głównych zastosowań kont użytkowników to : Autentykacja tożsamości użytkownika konto użytkownika umożliwia użytkownikowi logowanie się do komputera lub domeny z tożsamością, którą może potwierdzić domena. Każdy użytkownik powinien mieć swoje własne konto i hasło. Autoryzacja dostępu do zasobów sieciowych Po procesie autentykacji, na podstawie nadanych uprawnień do zasobu, użytkownik ma do niego dostęp lub też jest on mu zabroniony. W kontenerze Users, w przystawce Active Directory Users and Computers, znajdują się trzy wbudowane, które są tworzone automatycznie w czasie tworzenia domeny. Każde z tych kont posiada inne kombinacje praw i uprawnień. Największe posiada konto administratora, a najbardziej ograniczone konto gościa(tabela 1). Tabela 1 Opis kont wbudowanych na kontrolerze domeny z system Microsoft Windows Server 2008 Konto domyślne Opis Administrator Konto Administratora ma pełną kontrolę w domenie. Może przypisywać prawa użytkownikom i kontrolować uprawnienia dostępu do zasobów. Wskazane jest by używać tego tylko do zadań wymagających administracyjnego uwierzytelnienia. Powinno mieć nadane bardzo silne hasło Konto Administratora jest domyślnie członkiem wbudowanych grup w AD: Administrators, Domain Admins, Enterprise Admins, Group Policy Creator Owners, i Schema Admins. Nie może być nigdy skasowane i usunięte z grupy Administrators, ale może zostać wyłączone lub mieć zmienioną nazwę. Jest pierwszym kontem tworzonym w czasie instalacji nowej domeny przy pomocy kreatora Active Directory Domain Services Installation Wizard Strona 3/15

Guest HelpAssistant (instalowane z sesją Remote Assistence) Konto gościa jest używane przez osoby, które nie posiadają aktualnie swojego w domenie, lub ich konto jest wyłączone (nie skasowane). Konto to nie wymaga hasła. Można nadawać prawa i uprawnienia jak każdemu innemu kontu. Domyślnie konto Guest jest członkiem grupy wbudowanej Guests i grupy domenowej globalnej Domain Guests, która umożliwia użytkownikom logowanie do domeny. Domyślnie konto gość jest wyłączone i zalecane jest by takim pozostało. Główne konto do zestawienia sesji Remote Assistance, tworzone automatycznie w momencie, gdy zażądamy takiej sesji. Ma ograniczony dostęp do komputera. Konto HelpAssistance jest zarządzane przez usługę Remote Desktop Help session Manager. Jest kasowane automatycznie jeśli nie ma oczekujących żądań Remote Assistance Jeśli prawa i uprawnienia kont wbudowanych nie są zmodyfikowane lub wyłączone przez administratora sieci, mogą być użyte przez złośliwego użytkownika (lub usługę), do nielegalnego zalogowania się do domeny na konto administratora lub gościa. Dobrą praktyka zabezpieczenia tych kont jest ich wyłączenie lub zmiana ich nazwy. Ponieważ jest zachowywany ich SID, nadal zachowują wszystkie swoje właściwości takie jak opis, hasło, przynależność do grup, profil i wszystkie przypisane prawa i uprawnienia. Aby uzyskać korzyści zabezpieczeń autentykacji i autoryzacji użytkownika, należy stworzyć indywidualne dla wszystkich użytkowników korzystających z sieci. Można potem dodawać każde konto do grup w celu kontroli praw i uprawnień przypisanych do nich. Dla zabezpieczenia domeny przed atakami należy wymagać mocnych haseł i zaimplementować zasady blokowania kont. Odpowiednio skomplikowane hasło redukuje możliwość jego odgadnięcia lub pomyślnego ataku słownikowego. Zasady blokowania hasła ograniczają atakującemu możliwość powtarzanie kolejnych nieudanych prób logowania, określając, ile nieprawidłowych prób może wystąpić zanim konto zostanie zablokowane. Każde konto użytkownika w Active Directory posiada kilka opcji określających jak przebiegnie logowanie i autentykacja w sieci. W tabeli (Tabela 2) znajdują się ustawienia związane z konfiguracją hasła i specyficznymi informacjami związanymi z bezpieczeństwem kont użytkowników. Tabela 2 Niektóre z opcji związanych z domenowym kontem użytkownika Opcja Opis User must change password at next logon User cannot change password Wymusza na użytkowniku zmianę hasła przy następnym logowaniu. Należy włączyć tę opcję by mieć pewność, że użytkownik jest jedyna osoba znającą swoje hasło Zabrania użytkownikowi zmiany hasła. Opcja używana, kiedy administrator zarządza jakimś kontem np. kontem gościa lub tymczasowym Password never expires Zabezpiecza hasło przed wygaśnięciem. Ustawienie rekomendowane dla kont używanych przez usługi posiadających mocne hasło Store password using Umożliwia zalogowanie się do sieci Windows użytkownikom komputerów Apple. W innych przypadkach Strona 4/15

reversible encryption Account is disabled niepolecane jest włączanie tej opcji Nie zezwala na zalogowanie się przy użyciu tego. Używane dla kont będących szablonami lub dla użytkowników, którzy nie będą dłuższy czas korzystać z niego Przed tworzeniem kont użytkowników należy przyjąć dla nich konwencję nazewniczą. Ustala ona sposób identyfikacji kont w domenie. Powinna ona uwzględniać użytkowników o takich samych nazwiskach oraz tymczasowe. Konta mogą być tworzone w dowolnym kontenerze w domenie. W małych organizacjach można wykorzystać do tego jednostkę organizacyjną Users, a w większych zalecane jest umiejscowienie ich w strukturze usługi Active Directory ze względu na sposób, w jaki mają być zarządzane. Tworzenie lokalnego Konta lokalne są tworzone na lokalnym komputerze i przechowywane w bazie SAM (Security Accounts Manager). Mogą być wykorzystywane tylko do logowania na komputerze, na którym zostały stworzone i wykorzystane do nadania praw w systemie i uprawnień do zasobów lokalnych. Konto lokalne tworzymy przy wykorzystaniu przystawki Local Users and Groups, która jest również częścią konsoli Computer Management. Wybierając w kontenerze Users polecenie New User wypełniamy formularza podając nazwę, opis, hasło oraz wypełniając związane z nim opcje. Nazwa użytkownika nie może być identyczna z nazwą innego użytkownika lub grupy istniejącego na tym komputerze> może zawierać do 20 znaków za wyjątkiem: / \ [ ] ; : =, + *? < >. Tworzenie domenowego Konto użytkownika domenowego możemy stworzyć przy pomocy przystawki Active Directory Users and Computers lub przy użyciu narzędzi wiersza poleceń. Active Directory Users and Computers w konsoli należy wybrać jednostkę organizacyjną, w której ma zostać utworzone konto i z menu kontekstowego uruchomić polecenie New->User. W oknie New Object User podajemy imię i nazwisko użytkownika, oraz podać nawę logowania. Nazwy logowania UPN użytkowników dla kont domenowych muszą być unikalne w usłudze Active Directory. Pełne nazwy domenowych kont użytkowników muszą być unikalne w kontenerze, w którym są tworzone. Dsadd narzędzie wiersza poleceń. dsadd user <UserDN> [-samid<samname>] -pwd {<Password> *} gdzie: <UserDN> - nazwa wyróżniająca LDAP dodawanego obiektu typu użytkownik -samid ustawia wartość SAMName <SAMName> - unikalna nazwa Security Accounts Manager (SAM) dla użytkownika. Jeśli wartość ta nie zostanie wyspecyfikowana, dsadd spróbuje stworzyć tę wartość na używając pierwszych 20 znaków z nazwy zwykłej (CN) wartości UserDN -pwd - ustawia wartość hasła <Password> - wyspecyfikowane hasło przypisane do użytkownika. Jeśli ten parametr zostanie ustawiony jako *, to przy uruchomieniu tej komendy będzie trzeba je podać Modyfikowanie domenowego Z mi użytkowników jest związanych wiele atrybutów. Odpowiednio pogrupowane są dostępne na różnych zakładkach okna właściwości użytkownika (Rys. 2). Mogą być używane przez Strona 5/15

użytkowników jako źródło informacji o innych użytkownikach (dane teleadresowe) oraz przez administratorów do definiowania zasad i środowiska pracy osób logujących się na te. Rys. 2 Okno właściwości obiektu użytkownika Najczęściej używane opcje we właściwościach użytkownika: General - nazwa, opis, biuro, telefony oraz adresy e-mail i strony domowej użytkownika Address ulica, skrytka pocztowa, miasto, województwo, kod pocztowy oraz kraj Account Nazwy logowania, godziny, w których użytkownik może się logować i komputery, z których to może zrobić, opcje dotyczące i data jego wygaśnięcia Profile ścieżką wskazująca miejsce przechowywania profilu, skrypt logowania, ścieżka do folderu domowego, mapowanie dysku sieciowego Telephone numery telefonu domowego, pagera, komórkowego, faksu oraz telefonu IP Organization stanowisko pracy, dział, firma, menedżer oraz podwładni Member Of grupy,do których należy użytkownik Dial-in uprawnienia usługi dostęp zdalny, w tym opcje oddzwaniania, adres IP i routing Environment Opcje startowe połączenia terminalowego takie jak uruchamiany program, mapowanie dysków, drukarek Session konfiguracja zachowania sesji terminalowych w przypadku bezczynności i rozłączonych połączeń Remote Control konfiguracja zarządzania zdalną sesją użytkownika Terminal Services Profile definiowanie profilu użytkownika korzystającego z sesji terminalowej Szablony użytkownika W celu uproszczenia tworzenia nowych kont użytkowników można skorzystać z tzw. szablonów kont. Są to specjalne, posiadające skonfigurowane atrybuty, których wartości często Strona 6/15

powtarzają się w innych ch. Aby stworzyć nowe konto na podstawie szablonu należy kliknąć na nim prawym przyciskiem myszy i menu kontekstowego wybrać polecenie Copy. W oknie Copy Object User należy wypełnić unikalne atrybuty związane z kontem. Część atrybutów z szablonu zostanie przekopiowanych do nowego. Są to: dla karty Address wszystkie wartości atrybutów z wyjątkiem Street dla karty Account - wszystkie wartości atrybutów z wyjątkiem User logon name dla karty Profile - wszystkie wartości atrybutów (dla Profile path i Home folder zostaną zmodyfikowane tak by odpowiadały nazwie logowania użytkownika) dla karty Organization - wszystkie wartości atrybutów z wyjątkiem Title dla karty Member Of - wszystkie wartości atrybutów Szablony kont często są tworzone dla poszczególnych działów w firmie, ponieważ osoby w nich pracujące często mają podobne potrzeby korzystania z zasobów sieci, a co za tym idzie są członkami tych samych grup zabezpieczeń. Należy pamiętać, by nazwa szablonu odróżniała to konto od pozostałych i aby było ono wyłączone ( nieużywane do logowania zawsze powinny być wyłączone) Odblokowywanie Konto użytkownika może zostać zablokowane, jeśli wystąpi zbyt dużo nieudanych prób logowania w określonym czasie. Próg blokady ustawia się w konfiguracji zabezpieczeń usługi Active Directory. Blokada zabezpiecza przed próbą włamania polegającą na odgadywaniu kolejnych haseł. Różnież sam użytkownik może sobie konto zablokować nie pamiętając hasła, lub kiedy pozostając zalogowanym na jednym komputerze zmieni sobie hasło na innym. Przy zablokowanym koncie użytkownik zostanie o tym fakcie poinformowany w momencie próby logowania. Nie będzie mógł się zalogować dopóki administrator nie odblokuje, lub nie upłynie czas, po którym konto zostanie odblokowane automatycznie. Konto komputera Podobnie jak użytkownik również każdy komputer z systemem Windows NT, Windows 2000, Windows XP lub Windows Vista lub serwer z systemem Windows Server 2003 lub 2008 należący do domeny posiada swoje konto w usłudze Active Directory. Jest ono wykorzystywane do uwierzytelniania komputera, inspekcji jego dostępu do sieci i zasobów domeny a także do zarządzania środowiskiem pracy użytkownika, automatycznej instalacji oprogramowania przy pomocy AD i inwentaryzacji. Konto komputera może być stworzone na dwa sposoby: uprawniony użytkownik przyłącza komputer do domeny, w której nie ma stworzonego obiektu odpowiadającego kontu komputera. W takim wypadku konto zostanie automatycznie stworzone przez system w wbudowanej jednostce organizacyjnej Computers. Oczywiście administrator może później przenieść konto komputera do dowolnej innej jednostki organizacyjnej Administrator tworzy obiekt komputera przy pomocy odpowiednich narzędzi w wybranej przez siebie jednostce organizacyjnej i informuje użytkownika o nazwie obiektu. Użytkownik nazywa komputer według wskazówek administratora i przyłącza go do domeny. Tworzenie komputera Podobnie jak konto użytkownika konto komputera możemy stworzyć przy pomocy przystawki Active Directory Users and Computers lub przy użyciu narzędzi wiersza poleceń. Active Directory Users and Computers w konsoli należy wybrać jednostkę organizacyjną, w której ma zostać utworzone konto i z menu kontekstowego uruchomić polecenie New-> Computer. W oknie New Object Computer (Rys. 3) należy podać nazwę komputera (nazwa używana przez systemy starsze niż Windows 2000 zostanie uzupełniona automatycznie). Strona 7/15

Dsadd - narzędzie wiersza poleceń. dsadd computer <ComputerDN> gdzie <ComputerDN> - nazwa wyróżniająca LDAP dodawanego obiektu typu komputer Podsumowanie Rys. 3 Okno tworzenia komputera W tym rozdziale przedstawione zostały zagadnienia związane z mi tworzonymi w usłudze Active Directory. Omówiono użytkowników i komputerów. Przedstawiono sposób tworzenia i modyfikowania kont. Wyjaśniono różnice miedzy mi domenowymi i lokalnymi. Omówiono wbudowane domenowe. Porady praktyczne W celu zapewnienia bezpieczeństwa nie zezwalaj by kilku użytkowników korzystało z jednego Jeśli konto Administratora jest wyłączone, może być nadal używane w celu dosania się do kontrolera domeny w trybie bezpiecznego uruchamiania (ang. Safe Mode) Aby zmodyfikować godziny logowania wielu użytkownikom jednocześnie przytrzymaj klawisz Ctrl i klikaj na kolejnych użytkowników. Kliknij prawym przyciskiem myszy na zaznaczone i z menu kontekstowego wybierz Properties. Potem na zakładce Account kliknij Logon Hours i ustaw dostępne lub zabronione godziny Lokalnych kont użytkowników nie można tworzyć na kontrolerach domeny Nowy użytkownik o takiej samej nazwie jak poprzednio skasowany nie otrzymuje automatycznie uprawnień i przynależności do grup jakie posiadało skasowane konto ponieważ identyfikator zabezpieczeń (SID) dla każdego jest unikalny. Jeśli chcesz zduplikować skasowane konto musisz odtworzyć wszystkie uprawnienia i członkostwo w grupach ręcznie. Jeśli nowo dodawany komputer do domeny ma zainstalowany system starszy niż Windows 2000, podczas tworzenia zaznacz opcję Assign this computer account as a pre- Windows 2000 computer. Spowoduje to utworzenie hasła komputera bazującego na jego nazwie. Komputery z systemami Windows 95 i Windows 98 nie posiadają zaawansowanych funkcji zabezpieczeń, dlatego nie można stworzyć dla nich kont komputerów Strona 8/15

. Jeśli poziom funkcjonalności domeny jest ustawiony na Windows Server 2008, atrybut lastlogontimestamp jest wykorzystywany do śledzenia ostatniego logowania użytkownika lub komputera. Atrybut ten jest replikowany w obrębie domeny i może być przydatny do odtworzenia historii użytkownika lub komputera Uwagi dla studenta Jesteś przygotowany do realizacji laboratorium jeśli: rozumiesz do czego służą lokalne i domenowe użytkowników umiesz tworzyć i je modyfikować potrafisz korzystać z narzędzi do zarządzania mi użytkowników i komputerów wiesz do czego służą szablony kont Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów. Dodatkowe źródła informacji 1. Wiliam R.Stanek, Microsoft Windows Server 2008. Vedemecum administratora, Microsoft Press, 2008 Książka wielokrotnie nagradzanego autora wielu podręczników serii Vedemecum administratora. Wiliam R. Stanek ma za sobą ponad 20 lat owocnych wdrożeń i jest posiadaczem tytułu Microsoft Most Valuable Professional. Informacje dotyczące tego modułu znajdują się w rozdziale drugim. Strona 9/15

Radosław Frąckowiak Moduł 5 Zarządzanie mi użytkowników i komputerów Laboratorium podstawowe Problem 1 (czas realizacji 40 min) Jesteś administratorem w przedsiębiorstwie. Zakupiłeś komputer przenośny dla przedstawiciela handlowego. Nie będzie on pracował w domenie, dlatego musisz stworzyć dla niego konto lokalne. Dostałeś informację z działu kadr o zatrudnieniu kilku nowych osób i musisz pozakładać dla nich w domenie. Poinformowano Cię również, że w niedalekiej przyszłości będzie zatrudnionych kilkadziesiąt nowych osób, dlatego postanawiasz pozakładać używając różnych narzędzi, by przetestować je i móc w przyszłości skorzystać z najbardziej wygodnego i najmniej pracochłonnego. Zadanie 1. Uruchom maszynę wirtualną 2. Zaloguj się na konto zwykłego użytkownika 3. Stworzenie użytkownika lokalnego 4. Przetestowanie Tok postępowania Uruchom maszynę wirtualną 2008 Templ. Naciśnij na klawiaturze Prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraUser. W polu Password wpisz P@ssw0rd i naciśnij Enter. Wybierz menu Start -> Administrative Tools i naciśnij prawym przyciskiem myszy Server Manager. Z menu kontekstowego wybierz Run as Administrator. W oknie User Account Control w polu User name wpisz NazwakomputeraAdmin, w polu Password wpisz P@ssw0rd i naciśnij OK. W drzewie konsoli rozwiń Server Manager (Nazwakomputera) -> Configuration -> Local Users and Groups. Kliknij prawym przyciskiem myszy Users. Z menu kontekstowego wybierz New User. W oknie New User uzupełnij pola: User name: Pierwsze trzy litery Twojego imienia oraz pierwsze trzy litery Twojego nazwiska (Przykład: TomKow) Full name: Twoje Imię i Nazwisko (Przykład: Tomasz Kowalski) Password: P@ssw0rd i powtórz je w polu Confirm Password. Naciśnij przycisk Create. Naciśnij przycisk Close. Wyloguj się. Naciśnij na klawiaturze Prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz Nazwacomputera\Pierwsze trzy litery Twojego imienia oraz pierwsze trzy litery Twojego nazwiska (Przykład: Vancouver\TomKow). W polu Password wpisz P@ssw0rd i naciśnij Enter. Pojawi się informacja o konieczności zmiany hasła. Wybierz OK. W polu New password wpisz P@ssw0rd123 i powtórz je w polu Confirm Strona 10/15

Radosław Frąckowiak Moduł 5 Zarządzanie mi użytkowników i komputerów 5. Stworzenie przy pomocy Active Directory Users and Computers 6. Przetestowanie 7. Stworzenie użytkownika przy pomocy polecenia dsadd Password. Naciśnij Enter. Pojawi się informacja, że hasło zostało zmienione. Wybierz OK. Wybierz menu Start -> Administrative Tools i naciśnij prawym przyciskiem myszy Active Directory Users and Computers. Z menu kontekstowego wybierz Run as Administrator. W oknie User Account Control, w polu User name wpisz NazwakomputeraAdmin, w polu Password wpisz P@ssw0rd i naciśnij OK. W oknie narzędzia Active Directory Users and Computers znajdź obiekt ou=nazwakomputera,ou=locations,dc=nwtraders,dc=msft. Naciśnij na nim prawy przycisk myszy i z menu kontekstowego wybierz New -> User. W oknie New Object User uzupełnij pola: First Name: Twoje Imię (Przykład: Tomasz) Last Name: Twoje Nazwisko (Przykład: Kowalski) User Logon name: Pierwsze trzy litery Twojegoo imienia oraz pierwsze trzy litery Twojego nazwiska (Przykład: TomKow) Pole User logon name (pre-windows 2000) zostanie uzupełnione automatycznie. Wybierz Next. W następnym oknie w polu Password wpisz P@ @ssw0rd i powtórz je w polu Confirm Password. Wyczyść pole User must change password at next logon i wybierz Next. Naciśnij przycisk Finish. Wyloguj się z systemu. Naciśnij na klawiaturze Prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz nazwę, które stworzyłeś w poprzednim ćwiczeniu (Pierwsze trzy litery Twojego imienia oraz pierwsze trzy litery Twojego nazwiska). W polu Password wpisz P@ssw0rd i naciśnij Enter Wybierz Start i w polu Start Search wpisz: runas /user:nazwakomputeraadmin@nwtraders.msft cmd W oknie C:\Windows\System32\runas.exe wpisz hasło P@ssw0rd. W oknie wiersza poleceń wpisz: dsadd user cn=userpierwszetrzyliterytwojegonazwiska, ou=it test,dc=nwtraders,dc=msft -samid UserPierwszeTrzyLiteryTwojegoNazwiska -pwd P@ @ssw0rd Dla użytkownika Kowalski nazwa to UserKow. Wybierz Start -> Administrative Tools -> Active Directory Users and Computers. Sprawdź, czy konto użytkownika zostało utworzone. Zamknij okno wiersza poleceń. Strona 11/15

Radosław Frąckowiak Moduł 5 Zarządzanie mi użytkowników i komputerów 8. Stworzenie użytkownika przy pomocy narzędzia Csvde 9. Stworzenie użytkownika przy pomocy narzędzia Ldifde 10. Stworzenie użytkownika przy pomocy Windows Script Host Otwórz notatnik i wpisz poniższy przykład: DN,objectClass,sAMAccountName,userPrincipalName,displayName,userAc countcontrol "cn=nazwakomputeratestuser,ou=nazwakomputera,ou=locations,dc=nwtra ders,dc=msft",user,nazwakomputeratestuser,nazwakomputeratestuser @nwtraders.msft,nazwakomputera TestUser,514 Wartość atrybutu useraccountcontrol 514 oznacza, że konto będzie wyłączone, a wartość 512 włącza konto. Zapisz plik w lokalizacji E:\Tools jako import.txt. Wybierz Start i w polu Start Search wpisz cmd. W oknie wiersza poleceń wpisz: csvde -i -f E:\Tools\import.txt -b NazwakomputeraAdmin nwtraders.msft P@ssw0rd W oknie narzędzia Active Directory Users and Computers odśwież widok i sprawdź czy konto użytkownika zostało utworzone. Otwórz notatnik i wpisz poniższy przykład: # Tworzenie Jan Nazwakomputera dn: cn=jan Nazwakomputera,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft Changetype: Add objectclass: user samaccountname: JanNazwakomputera userprincipalname: JanNazwakomputera@cnwtraders.msft displayname: Jan Nazwakomputera Zapisz plik w lokalizacji E:\Tools jako adduser.ldf. Wybierz Start i w polu Start Search wpisz cmd. W oknie wiersza poleceń wpisz: ldifde -i k -f E:\Tools\adduser.ldf -b NazwakomputeraAdmin nwtraders.msft P@ssw0rd W oknie narzędzia Active Directory Users and Computers odśwież widok i sprawdź czy konto użytkownika zostało utworzone. Otwórz notatnik i wpisz poniższy przykład: Set objou = GetObject("LDAP://OU=Nazwakomputera,OU=Locations,dc=nwtraders,dc=m sft") Set objuser = objou.create("user", "cn=nazwakomputerapraktykant") objuser.put "samaccountname", "NazwakomputeraPraktykant" objuser.setinfo objuser.accountdisabled = FALSE objuser.changepassword "", "P@ssw0rd" objuser.put "userprincipalname", "NazwakomputeraPraktykant@nwtraders.msft" objuser.setinfo Zapisz plik w lokalizacji E:\Tools jako newuser.vbs. Wybierz Start i w polu Start Search wpisz: runas /user:nazwakomputeraadmin@nwtraders.msft cmd W oknie C:\Windows\System32\runas.exe wpisz hasło P@ssw0rd. W oknie wiersza poleceń wpisz: Strona 12/15

11. Stworzenie komputera przy pomocy Active Directory Users and Computers 12. Stworzenie komputera przy pomocy polecenia dsadd wscript E:\Tools\newuser.vbs W oknie narzędzia Active Directory Users and Computers odśwież widok i sprawdź, czy konto użytkownika zostało stworzone. Pozamykaj wszystkie okna. Wybierz menu Start -> Administrative Tools i naciśnij prawym przyciskiem myszy Active Directory Users and Computers. Z menu kontekstowego wybierz Run as Administrator. W oknie User Account Control, w polu User name wpisz NazwakomputeraAdmin, w polu Password wpisz P@ssw0rd i naciśnij OK. W oknie narzędzia Active Directory Users and Computers znajdź obiekt ou=nazwakomputera,ou=locations, dc=nwtraders,dc=msft. Naciśnij na nim prawy przycisk myszy i z menu kontekstowego wybierz New -> Computer. W oknie New Object Computer w polu Computer name wpisz Nazwakomputera-001 i naciśnij OK. Odśwież widok i sprawdź, czy konto komputera zostało stworzone. Wybierz Start i w polu Start Search wpisz: Runas /user:nazwakomputeraadmin@nwtraders.msft cmd W oknie C:\Windows\System32\runas.exe wpisz hasło P@ssw0rd. W oknie wiersza poleceń wpisz: dsadd computer cn=nazwakomputera- 002,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft W oknie narzędzia Active Directory Users and Computers odśwież widok i sprawdź czy konto komputera zostało utworzone. Wyloguj się. Strona 13/15

Problem 2 (czas realizacji 20 min) Dostałeś polecenie by uzupełnić dane teleadresowe powiązane z użytkownikami. Będą one wykorzystywane przez innych do wyszukiwania osób pracujących w firmie. Zbliża się inwentaryzacja sprzętu i chcesz uzupełnić atrybuty opisujące lokalizację komputerów. Ułatwi to pracę osobom wykonującym spis w sprawnym odnalezieniu komputerów. Zadanie 1. Uruchom maszynę wirtualną 2. Zaloguj się na konto zwykłego użytkownika 3. Modyfikacja użytkownika przy pomocy Active Directory Users and Computers 4. Modyfikacja użytkownika przy pomocy polecenia dsmod Tok postępowania Uruchom maszynę wirtualną 2008 Templ. Naciśnij na klawiaturze Prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraUser. W polu Password wpisz P@ssw0rd i naciśnij Enter. Wybierz menu Start -> Administrative Tools i naciśnij prawym przyciskiem myszy Active Directory Users and Computers. Z menu kontekstowego wybierz Run as Administrator. W oknie User Account Control, w polu User name wpisz NazwakomputeraAdmin, w polu Password wpisz P@ssw0rd i naciśnij OK. W oknie narzędzia Active Directory Users and Computers znajdź obiekt cn=nazwakomputerapraktykant,ou=nazwakomputera,ou=locations, dc=nwtraders,dc=msft. Naciśnij na nim prawy przycisk myszy i z menu kontekstowego wybierz Properties. W oknie NazwakomputeraPraktykant uzupełnij pola: Zakładka General First name: Nazwakomputera Last name: Praktykant Display name: Nazwakomputera Praktykant Description: konto studenta praktykanta Office: Biuro projektowe Telephone number: 7332356 Zakładka Address Street: Pogodna City: Nazwakomputera Wybierz OK. Wybierz Start i w polu Start Search wpisz: Runas /user:nazwakomputeraadmin@nwtraders.msft cmd W oknie C:\Windows\System32\runas.exe wpisz hasło P@ssw0rd. Chcesz zmienić następujące atrybuty dla Jan Nazwakomputera: First name: Jan Last Name: Nazwakomputera Display name: Jan Nazwakomputera User logon name: NazwakomputeraJan@nwtraders.msft Strona 14/15

Password: P@ssw0rd123 Description: Konto do testu polecenia Dsmod Office: Data Center Telephone number: 213-0101 E-mail: JanNazwakomputera@nwtraders.msft Job Title: Konto testowe Department: Data Center Company: NWTraders Telephone numbers -> Home: 213-0101 W oknie wiersza poleceń wpisz: dsmod user "cn=jan Nazwakomputera,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft " -fn Jan -ln Nazwakomputera display Jan Nazwakomputera -upn NazwakomputeraJan@nwtraders.msft pwd P@ssw0rd123 desc Konto do testu polecenia Dsmod -office Data Center -tel 213-0101 email JanNazwakomputera@nwtraders.msft -title Konto testowe dept Data Center -company NWTraders -hometel 213-0101 W oknie narzędzia Active Directory Users and Computers odśwież widok i sprawdź czy konto użytkownika zostało zmodyfikowane. 5. Modyfikacja komputera przy pomocy polecenia dsmod Chcesz zmienić dla Nazwakomputera-001 atrybut lokalizacji na Nazwakomputera. W oknie wiersza poleceń wpisz: dsmod computer "cn=nazwakomputera- 001,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft" -loc Nazwakomputera W oknie narzędzia Active Directory Users and Computers odśwież widok i sprawdź czy konto komputera zostało zmodyfikowane. Laboratorium rozszerzone Strona 15/15

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres