Управление профилями пользователей в Windows 2000 можно осуществлять различными способами:
Как администратор, Вы можете контролировать профили пользователей или позволить им это делать самостоятельно. К примеру, можно контролировать профили, чтобы обеспечить единую конфигурацию сети для всех пользователей. Это снизит количество проблем, связанных с пользовательской средой.
Профили, контролируемые администраторами, называются обязательными профилями. Пользователи, имеющие обязательный профиль, могут вносить лишь временные изменения в свою среду. Иными словами, все модификации пользовательской среды сохраняются лишь на протяжении сеанса, а при следующем входе в систему вновь загружается обязательный профиль. Смысл использования обязательных профилей заключается в том, что если пользователям не позволено модифицировать среду, они не сумеют внести изменения, которые могут привести к проблемам в работе. Основным недостатком такого подхода является то, что пользователи могут войти в систему только в случае, когда им доступен обязательный профиль. Если по какой-либо причине нет доступа к серверу, хранящему обязательные профили, а кэшированный профиль тоже недоступен, пользователь не сможет войти в систему. Если сервер недоступен, но есть возможность загрузить локальный кэшированный профиль, пользователь сможет войти в Windows 2000 с кэшированным профилем после соответствующего предупреждения операционной системы.
Если расположение по умолчанию не менять, у пользователя будет локальный профиль.
Создание перемещаемых профилей Перемещаемые профили хранятся на сервере под управлением операционной системы Windows 2000 Server или Windows 2003 Server. Если Вы хотите назначить пользователю перемещаемый профиль, нужно сконфигурировать серверное расположение каталога профиля. Этого можно достичь следующими действиями:
Создание обязательных профилей Обязательные профили хранятся на сервере под управлением операционной системы Windows 2000 Server или Windows 2003 Server. Если вы хотите назначить пользователю обязательный профиль, выполните следующие действия:
Для управления локальными профилями Вам нужно войти в систему на компьютере пользователя. Затем запустите компонент Система (System) панели управления и перейдите на вкладку Профили пользователей (User Profiles). Как показано на Рисунке 9-9 ниже, вкладка Профили пользователей отображает в виде таблицы различную информацию о профилях локальной системы. Эта информация поможет Вам в управлении профилями. Значения полей таблицы раскрываются ниже:
Создание профиля вручную В некоторых случаях Вам может понадобиться создать профиль вручную. Для этого нужно войти в систему с учетными данными пользователя, настроить среду, и выйти из системы. Несложно догадаться, что создание профилей таким способом отнимает немало времени. Лучше задействовать базовый профиль для создания новых пользовательских профилей. Иными словами, Вы создаете базовую учетную запись, настраиваете пользовательскую среду, а затем используете полученный профиль, как основу для создания других учетных записей.
Копирование существующего профиля в новую учетную запись Если у Вас есть базовый профиль или иная учетная запись, которую Вы хотите взять за основу, можно скопировать существующий профиль в новую учетную запись. Для этого можно задействовать компонент панели управления Система (System), проделав следующие операции:
Совет. Если Вы хотите использовать определенное имя пользователя или группы, введите его непосредственно в поле Имя. Это сэкономит Вам время.
Копирование или восстановление профиля При обслуживании рабочих групп, где каждый компьютер управляется отдельно, Вам часто придется копировать локальный профиль пользователя с одного компьютера на другой. Копирование профиля позволяет пользователям работать с привычными настройками на различных компьютерах. Безусловно, в домене Windows 2000 Вы можете использовать перемещаемый профиль в виде единого профиля, который доступен в пределах всего домена. Впрочем, иногда Вам может понадобиться скопировать существующий локальный профиль поверх перемещаемого профиля пользователя (в случаях, когда последний поврежден) или может возникнуть необходимость в копировании существующего локального профиля в перемещаемый профиль другого домена.
Вы можете скопировать существующий профиль в новое расположение следующим образом:
Удаление локального профиля и назначение нового
Профили задействуются при входе пользователя в систему. Windows 2000 использует локальные профили для всех пользователей, не имеющих перемещаемых профилей. Вообще, локальный профиль также используется еще и в случае, когда дата его последнего изменения новее, чем у перемещаемого профиля. Поэтому в некоторых случаях может возникнуть необходимость в удалении локального профиля пользователя. Например, если локальный профиль поврежден, Вы можете удалить его и назначить новый. Учтите, что персональные настройки пользователя будут утеряны при удалении локального профиля, который более нигде в домене не сохранен.
Выполните следующие шаги для удаления профиля пользователя:
Примечание. Если в настоящий момент профиль используется, его нельзя удалить. Если пользователь вошел в систему локального компьютера, то для того, чтобы Вы могли удалить его профиль, он должен завершить сеанс. Иногда Windows 2000 определяет, что профиль используется в настоящий момент, даже если это не так. Обычно это является результатом некорректно применившихся настроек пользовательской среды. Для исправления такой проблемы может потребоваться перезагрузка компьютера.
Теперь при следующем входе пользователя в систему произойдет следующее. Операционная система предоставит пользователю либо локальный профиль по умолчанию, либо перемещаемый профиль, хранящийся на сервере. Чтобы избежать использования любого из этих профилей, Вам нужно назначить пользователю новый профиль.
Это можно осуществить:
Изменение типа профиля Тип перемещаемого профиля можно изменить из панели управления локального компьютера при помощи компонента Система (System). Для этого выберите профиль и нажмите кнопку Сменить тип (Change Type). Диалоговое окно предоставляет Вам следующие возможности:
Примечание. Если профиль пользователя изначально был определен как локальный, эти настройки будут недоступны.
Переименование учетных записей пользователей и групп
Выполните следующие действия, чтобы переименовать учетную запись:
Идентификаторы безопасности (SIDs) Переименовывая учетную запись, Вы всего лишь даете ей новое имя. Как рассказывалось в Главе 7, имена пользователей облегчают Вам управление учетными записями и работу с ними. Операционная система Windows 2000 использует в своей работе идентификаторы безопасности (SIDs) для распознавания, отслеживания и обработки учетных записей вне зависимости от их имен. Идентификаторы безопасности являются уникальными и генерируются одновременно с созданием учетной записи.
Поскольку существует внутренняя связь между именем учетной записи пользователя и ее идентификатором безопасности, Вам не нужно изменять привилегии и разрешения переименованной учетной записи. Windows 2000 просто сопоставляет идентификатор безопасности новому имени учетной записи, когда в этом возникает необходимость.
Распространенной причиной переименования учетных записей служит смена фамилии работника после свадьбы. Например, если Jane Williams (JANEW) вышла замуж и взяла фамилию супруга, она может захотеть сменить имя своей учетной записи соответственно новой фамилии - Jane Marshall (JANEM).Когда вы переименовываете учетную запись с JANEW на JANEM, смена имени отразится на всех связанных с ней привилегиях и разрешениях.Например, у JANEM будут все разрешения для файлов, которые ранее имелись у JANEW (причем JANEW уже не будет присутствовать в списках).
Изменение прочей информации Когда Вы изменяете имя учетной записи с JANEW на JANEM, свойства пользователя и имена файлов, связанных с этой учетной записью, остаются прежними. Это означает, что Вам следует обновить данные учетной записи. Возможно, Вам понадобится обновить следующую информацию:
Примечание. Если пользователь находится в системе, изменение информации о файлах и папках может привести к накладкам. Следовательно, лучше производить обновление информации в нерабочие часы или попросить пользователя выйти из системы на несколько минут. Копирование доменных учетных записей
Создание доменных учетных записей «с нуля» может быть весьма утомительным процессом. Вместо того, чтобы каждый раз создавать новую учетную запись, Вы можете использовать существующую учетную запись в виде отправной точки. Это можно проделать следующим образом:
Как можно ожидать, при создании копии существующей учетной записи в оснастке Active Directory - пользователи и компьютеры не происходит полного переноса информации в новую учетную запись. Сохраняются лишь данные, которые Вам могут понадобиться, а подлежащая обновлению персональная информация пользователя не копируется. В число сохраняемых настроек входят:
Примечание. Если Вы использовали переменные среды в настройках профиля базовой учетной записи, эти же переменные будут задействованы в созданной копии учетной записи. Например, если в исходной учетной записи использовалась переменная %UserName%, она будет присутствовать и в настройках новой учетной записи.
Удаление учетной записи ведет к ее полному уничтожению. Если вы удалите учетную запись, а затем создадите новую с точно таким же именем, у последней уже не будет разрешений удаленной учетной записи. Это происходит потому, что идентификаторы безопасности новой и старой учетных записей не совпадают друг с другом.
Операционная система Windows 2000 не позволяет производить удаление встроенных учетных записей, поскольку это может привести к негативным последствиям в домене. Удаление прочих учетных записей можно осуществить, выделив учетную запись и нажав клавишу Delete на клавиатуре или выбрав команду Удалить (Delete) из контекстного меню. Затем останется лишь последовательно нажать кнопки OK и Да (Yes) в диалоговом окне подтверждения удаления учетной записи.
В оснастке Active Directory - пользователи и компьютеры (Active Directory Users And Computers) можно выбрать сразу несколько учетных записей следующим образом:
Примечание. Когда Вы удаляете учетную запись, Windows 2000 не удаляет пользовательский профиль, личные файлы и домашнюю папку. Если Вам нужно их удалить, это придется сделать вручную.
Задание и смена паролей
Как администратору, Вам часто приходится задавать или менять пароли пользователей. Как правило, это приходится делать в случаях, когда пользователь не может вспомнить пароль или срок действия пароля истек. Выполните следующие действия, чтобы задать или сменить пароль:
Учетные записи могут оказаться отключенными по ряду причин:
Учетная запись отключена Если учетная запись отключена, выполните следующие действия для ее включения:
Учетная запись заблокирована Если учетная запись заблокирована, выполните следующие действия для ее разблокирования:
Примечание. Если учетные записи пользователей часто оказываются заблокированными, возможно, стоит задуматься об изменении доменной политики учетных записей. Вы можете увеличить пороговое значение неудачных попыток входа в систему и уменьшить время, требуемое для сброса значения соответствующего счетчика на ноль.
Более подробно аспекты настройки политик учетных записей рассматриваются в разделе Настройка политик учетных записей Главы 8.
Истечение срока действия учетной записи Срок действия есть только у доменных учетных записей. Локальные учетные записи срока действия не имеют.
Если срок действия доменной учетной записи истек, выполните следующие шаги:
В предыдущем разделе описывались ситуации, которые могли привести к отключению учетных записей. Помимо рассмотренных выше распространенных причин отключения учетных записей, к проблемам со входом в систему может привести неверная конфигурация некоторых системных параметров. В частности, могут возникнуть следующие проблемы в работе:
Материал взят из книги «Windows 2000. Руководство администратора». Автор Уильям Р. Станек (William R. Stanek). © Корпорация Microsoft, 1999. Все права защищены.
• | Указывать пути к профилям в оснастке Active Directory - пользователи и компьютеры (Active Directory Users and Computers). |
• | Использовать компонент Система (System) панели управления для изменения, копирования или удаления локального профиля. |
• | При помощи групповых политик контролировать пользовательскую среду, а также возможность ее изменения пользователями. |
Локальные, перемещаемые и обязательные профили
В операционной системе Windows 2000 у каждого пользователя есть свой профиль. В профиле содержатся параметры загрузки пользовательской среды, доступные программы и приложения, настройки рабочего стола и т.д. Профиль есть на каждом компьютере, на котором работает пользователь. Поскольку профиль хранится на локальном жестком диске, у пользователей, работающих на нескольких компьютерах, будут профили нак каждом из них. С другого компьютера сети локально сохраненный профиль недоступен (он так и называется: локальный профиль). Как Вы понимаете, в этом есть свои недостатки. Например, у пользователя, входящего на различные компьютеры сети, профили могут отличаться друг от друга. В результате, пользователь может запутаться в доступных ему сетевых ресурсах. Чтобы решить проблему многочисленных профилей и упростить ситуацию, можно создать особый профиль, который будет доступен различным компьютерам сети. Такой профиль называется перемещаемым. Перемещаемый профиль доступен пользователю на любом компьютере, входящем в домен. Такой профиль может храниться только на сервере под управлением операционной системы Windows 2000 Server или Windows 2003 Server. При входе пользователя в систему происходит загрузка профиля с сервера, что в свою очередь создает локальную копию на компьютере пользователя. При выходе пользователя из системы, произведенные в течение сеанса изменения сохраняются как в локальной, так и серверной копии профиля.Как администратор, Вы можете контролировать профили пользователей или позволить им это делать самостоятельно. К примеру, можно контролировать профили, чтобы обеспечить единую конфигурацию сети для всех пользователей. Это снизит количество проблем, связанных с пользовательской средой.
Профили, контролируемые администраторами, называются обязательными профилями. Пользователи, имеющие обязательный профиль, могут вносить лишь временные изменения в свою среду. Иными словами, все модификации пользовательской среды сохраняются лишь на протяжении сеанса, а при следующем входе в систему вновь загружается обязательный профиль. Смысл использования обязательных профилей заключается в том, что если пользователям не позволено модифицировать среду, они не сумеют внести изменения, которые могут привести к проблемам в работе. Основным недостатком такого подхода является то, что пользователи могут войти в систему только в случае, когда им доступен обязательный профиль. Если по какой-либо причине нет доступа к серверу, хранящему обязательные профили, а кэшированный профиль тоже недоступен, пользователь не сможет войти в систему. Если сервер недоступен, но есть возможность загрузить локальный кэшированный профиль, пользователь сможет войти в Windows 2000 с кэшированным профилем после соответствующего предупреждения операционной системы.
Создание локальных профилей
В Windows 2000 профили пользователей располагаются в каталоге по умолчанию, либо в расположении, указанном в поле Путь к профилю (Profile Path)диалогового окнаСвойства (Properties) пользователя.Расположение каталога по умолчанию зависит от конфигурации локального компьютера следующим образом:• | Обновление более ранней ОС до Windows 2000. Профиль пользователя располагается в файле %SystemRoot%\Profiles\%UserName%\NTUSER.DAT, где %SystemRoot% является корневым каталогом операционной системы (например, C:\WINNT), а %UserName% - это имя учетной записи пользователя (например, wrstanek). |
• | «Чистая» установка Windows 2000 (нет предыдущей ОС). Профиль пользователя располагается в файле %SystemDrive%\Documents and Settings\%UserName%.%UserDomain%\NTUSER.DAT (например, F:\Documents and Settings\WRSTANEK.WEBATWORK\NTUSER.DAT). Если пользователь осуществляет вход в систему контроллера домена, профиль может находиться в каталоге %SystemDrive%\Documents and Settings\ %UserName%. (например, F:\Documents and Settings\WRSTANEK.ZETA\). |
Создание перемещаемых профилей Перемещаемые профили хранятся на сервере под управлением операционной системы Windows 2000 Server или Windows 2003 Server. Если Вы хотите назначить пользователю перемещаемый профиль, нужно сконфигурировать серверное расположение каталога профиля. Этого можно достичь следующими действиями:
1. | Создайте общий каталог на сервере и убедитесь, что у группы Все (Everyone) есть доступ к нему. |
2. | Откройте оснастку групповой политики Active Directory - пользователи и компьютеры (Active Directory Users and Computers) и в Свойствах (Properties) пользователя перейдите на вкладку Профиль (Profile). В поле Путь к профилю (Profile Path) введите путь к общему каталогу. Путь должен иметь вид \\server name\profile folder name\user name. Например, \\ZETA\USER_ PROFILES\GEORGEJ, где ZETA - имя сервера, USER_PROFILES – название общего каталога, а GEORGEJ является именем учетной записи. |
3. | Впоследствии профиль будет храниться в файле NTUSER.DAT в указанном каталоге (например, \\ZETA\USER_PROFILES\GEORGEJ\NTUSER.DAT) Примечание. Как правило, нет необходимости в создании папки для пользователя. Она будет создана автоматически при входе пользователя в систему. |
4. | Можно создать профиль для пользователя или скопировать существующий профиль в указанный каталог, однако этот шаг не является обязательным. Если Вы не создадите профиль для пользователя заранее, при следующем входе в систему он получит локальный профиль по умолчанию. Все изменения, произведенные пользователем в профиле, сохранятся по завершении сеанса. Таким образом, при следующем входе в систему у пользователя будет уже персональный профиль. |
Создание обязательных профилей Обязательные профили хранятся на сервере под управлением операционной системы Windows 2000 Server или Windows 2003 Server. Если вы хотите назначить пользователю обязательный профиль, выполните следующие действия:
1. | Следуйте пунктам 1-3 раздела Создание перемещаемых профилей. |
2. | Создайте обязательный профиль, переименовав файла NTUSER.DAT в %USERNAME%\NTUSER.MAN. Теперь при следующем входе в систему у пользователя будет обязательный профиль. Примечание. В файле NTUSER.DAT содержатся пользовательские настройки профиля. Изменяя расширение файла на NTUSER.MAN, Вы указываете Windows 2000 создать обязательный профиль. |
Использование компонента панели управления Система (System) для управления локальными профилями
Для управления локальными профилями Вам нужно войти в систему на компьютере пользователя. Затем запустите компонент Система (System) панели управления и перейдите на вкладку Профили пользователей (User Profiles). Как показано на Рисунке 9-9 ниже, вкладка Профили пользователей отображает в виде таблицы различную информацию о профилях локальной системы. Эта информация поможет Вам в управлении профилями. Значения полей таблицы раскрываются ниже:Создание профиля вручную В некоторых случаях Вам может понадобиться создать профиль вручную. Для этого нужно войти в систему с учетными данными пользователя, настроить среду, и выйти из системы. Несложно догадаться, что создание профилей таким способом отнимает немало времени. Лучше задействовать базовый профиль для создания новых пользовательских профилей. Иными словами, Вы создаете базовую учетную запись, настраиваете пользовательскую среду, а затем используете полученный профиль, как основу для создания других учетных записей.
Копирование существующего профиля в новую учетную запись Если у Вас есть базовый профиль или иная учетная запись, которую Вы хотите взять за основу, можно скопировать существующий профиль в новую учетную запись. Для этого можно задействовать компонент панели управления Система (System), проделав следующие операции:
1. | Запустите компонент Система и перейдите на вкладку Профили пользователей (User Profiles). | |
2. | Из списка Профили, хранящиеся на этом компьютере (Profiles Stored On This Computer) выберите существующий профиль, который Вы желаете скопировать. | |
3. | Скопируйте профиль в новую учетную запись, нажав кнопку Копировать (Copy To). Затем введите путь к папке профиля нового пользователя в поле Копировать профиль на (Copy Profile To), как показано на Рисунке 9-10. Например, создавая профиль для нашего пользователя GEORGEJ, Вы бы ввели такой путь: \\ZETA\USER_PROFILES\GEORGEJ.\\ZETA Рисунок 9-10. Используйте диалоговое окно Копировать (Copy To), чтобы указать расположение каталога профиля и выдать пользователю разрешения на доступ. | |
4. | Теперь нужно выдать пользователю разрешения на доступ к профилю. Нажмите кнопку Изменить (Change) в области Разрешить использование (Permitted To Use), а затем используйте диалоговое окно Выбор: Пользователь или Группа (Select User Or Object), чтобы выдать новой учетной записи необходимые разрешения. | |
5. | Нажмите кнопку OK, чтобы закрыть диалоговое окно Копировать и тем самым дать операционной системе команду на копирование профиля в указанное расположение. |
Совет. Если Вы хотите использовать определенное имя пользователя или группы, введите его непосредственно в поле Имя. Это сэкономит Вам время.
Копирование или восстановление профиля При обслуживании рабочих групп, где каждый компьютер управляется отдельно, Вам часто придется копировать локальный профиль пользователя с одного компьютера на другой. Копирование профиля позволяет пользователям работать с привычными настройками на различных компьютерах. Безусловно, в домене Windows 2000 Вы можете использовать перемещаемый профиль в виде единого профиля, который доступен в пределах всего домена. Впрочем, иногда Вам может понадобиться скопировать существующий локальный профиль поверх перемещаемого профиля пользователя (в случаях, когда последний поврежден) или может возникнуть необходимость в копировании существующего локального профиля в перемещаемый профиль другого домена.
Вы можете скопировать существующий профиль в новое расположение следующим образом:
1. | Войдите в систему на компьютере пользователя, из панели управления запустите компонент Система (System) и перейдите на вкладку Профили пользователей (User Profiles). |
2. | Из списка Профили, хранящиеся на этом компьютере (Profiles Stored On This Computer) выберите существующий профиль, который вы желаете скопировать. |
3. | Скопируйте профиль в новую учетную запись, нажав кнопку Копировать (Copy To). Затем введите путь к папке профиля нового пользователя в поле Копировать профиль на (Copy Profile To). Например, создавая профиль для пользователя JANEW, Вы бы ввели такой путь: \\GAMMA\USERPROFILES\JANEW. |
4. | Теперь нужно выдать пользователю разрешения на доступ к профилю. Нажмите кнопку Изменить (Change) в области Разрешить использование (Permitted To Use), а затем используйте диалоговое окно Выбор: Пользователь или Группа (Select User Or Object), чтобы выдать новой учетной записи необходимые разрешения. |
5. | Нажмите кнопку OK, чтобы закрыть диалоговое окно Копировать и дать Windows 2000 команду на копирование профиля в указанное расположение. |
Профили задействуются при входе пользователя в систему. Windows 2000 использует локальные профили для всех пользователей, не имеющих перемещаемых профилей. Вообще, локальный профиль также используется еще и в случае, когда дата его последнего изменения новее, чем у перемещаемого профиля. Поэтому в некоторых случаях может возникнуть необходимость в удалении локального профиля пользователя. Например, если локальный профиль поврежден, Вы можете удалить его и назначить новый. Учтите, что персональные настройки пользователя будут утеряны при удалении локального профиля, который более нигде в домене не сохранен.
Выполните следующие шаги для удаления профиля пользователя:
1. | Войдите в систему на компьютере пользователя. |
2. | Из панели управления запустите компонент Система (System) и перейдите на вкладку Профили пользователей (User Profiles). |
3. | Выберите профиль, подлежащий удалению, и нажмите кнопку Удалить (Delete). Затем нажмите Да (Yes) в диалоговом окне, запрашивающем подтверждение на удаление профиля. |
Теперь при следующем входе пользователя в систему произойдет следующее. Операционная система предоставит пользователю либо локальный профиль по умолчанию, либо перемещаемый профиль, хранящийся на сервере. Чтобы избежать использования любого из этих профилей, Вам нужно назначить пользователю новый профиль.
Это можно осуществить:
• | Копированием существующего профиля в папку профиля пользователя. О копировании профиля подробнее рассказывается в предыдущем разделе. |
• | Обновлением настроек профиля пользователя в оснастке Active Directory - пользователи и компьютеры (Active Directory Users And Computers). Настройка пути к профилю описывается в разделе Конфигурация пользовательской среды данной главы. |
Изменение типа профиля Тип перемещаемого профиля можно изменить из панели управления локального компьютера при помощи компонента Система (System). Для этого выберите профиль и нажмите кнопку Сменить тип (Change Type). Диалоговое окно предоставляет Вам следующие возможности:
• | Перейти от использования перемещаемого профиля к использованию локального. Если Вы хотите, чтобы пользователь всегда входил в систему данного компьютера с локальным профилем, используйте параметр Локальный профиль (Local Profile). Все изменения в пользовательских настройках затронут лишь локальный профиль и не коснутся перемещаемого. |
• | Перейти от использования локального профиля (который ранее был перемещаемым) к использованию перемещаемого. Если выбрать параметр Перемещаемый профиль (Roaming Profile), при следующем входе в систему пользователю будет предоставлен перемещаемый профиль. Впоследствии Windows 2000 будет рассматривать такой профиль, как любой другой перемещаемый профиль. Это означает, что все изменения, произведенные в локальном профиле, будут скопированы в перемещаемый профиль. |
Изменение учетных записей пользователей и групп
При помощи оснастки Active Directory - пользователи и компьютеры (Active Directory Users And Computers) можно обновлять и изменять данные доменных учетных записей пользователей и групп. Если Вам нужно внести изменения в учетные записи на локальном компьютере, задействуйте оснастку Локальные пользователи и группы (Local Users And Groups).Переименование учетных записей пользователей и групп
Выполните следующие действия, чтобы переименовать учетную запись:
1. | Откройте оснастку Active Directory - пользователи и компьютеры или Локальные пользователи и группы, в зависимости от того, какой тип учетной записи Вам нужно переименовать. |
2. | Вызовите контекстное меню правым щелком мыши на имени учетной записи и выберите команду Переименовать (Rename). Затем введите новое имя учетной записи. |
Идентификаторы безопасности (SIDs) Переименовывая учетную запись, Вы всего лишь даете ей новое имя. Как рассказывалось в Главе 7, имена пользователей облегчают Вам управление учетными записями и работу с ними. Операционная система Windows 2000 использует в своей работе идентификаторы безопасности (SIDs) для распознавания, отслеживания и обработки учетных записей вне зависимости от их имен. Идентификаторы безопасности являются уникальными и генерируются одновременно с созданием учетной записи.
Поскольку существует внутренняя связь между именем учетной записи пользователя и ее идентификатором безопасности, Вам не нужно изменять привилегии и разрешения переименованной учетной записи. Windows 2000 просто сопоставляет идентификатор безопасности новому имени учетной записи, когда в этом возникает необходимость.
Распространенной причиной переименования учетных записей служит смена фамилии работника после свадьбы. Например, если Jane Williams (JANEW) вышла замуж и взяла фамилию супруга, она может захотеть сменить имя своей учетной записи соответственно новой фамилии - Jane Marshall (JANEM).Когда вы переименовываете учетную запись с JANEW на JANEM, смена имени отразится на всех связанных с ней привилегиях и разрешениях.Например, у JANEM будут все разрешения для файлов, которые ранее имелись у JANEW (причем JANEW уже не будет присутствовать в списках).
Изменение прочей информации Когда Вы изменяете имя учетной записи с JANEW на JANEM, свойства пользователя и имена файлов, связанных с этой учетной записью, остаются прежними. Это означает, что Вам следует обновить данные учетной записи. Возможно, Вам понадобится обновить следующую информацию:
• | Выводимое имя. Измените Выводимое имя (Display Name) учетной записи в оснастке Active Directory - пользователи и компьютеры. |
• | Путь к профилю пользователя. Поменяйте Путь к профилю (Profile Path) в оснастке Active Directory - пользователи и компьютеры, а затем переименуйте соответствующую папку на диске. |
• | Сценарий входа в систему. Если Вы применяете индивидуальные сценарии входа в систему для каждого пользователя, измените Сценарий входа (Logon Script Name) в оснастке Active Directory - пользователи и компьютеры, и затем переименуйте файл сценария. |
• | Домашняя папка. Измените путь к домашней папке в оснастке Active Directory - пользователи и компьютеры (Active Directory Users And Computers), и затем переименуйте соответствующую папку на диске. |
Создание доменных учетных записей «с нуля» может быть весьма утомительным процессом. Вместо того, чтобы каждый раз создавать новую учетную запись, Вы можете использовать существующую учетную запись в виде отправной точки. Это можно проделать следующим образом:
1. | В оснастке Active Directory - пользователи и компьютеры (Active Directory Users And Computers) щелкните правой кнопкой мыши на имени учетной записи, которую вы хотите скопировать, и выберите команду Копировать (Copy) из контекстного меню.Откроется диалоговое окно Копировать объект – Пользователь (Copy Object – User). |
2. | Создайте учетную запись точно таким же образом, как Вы действуете при создании любой другой доменной учетной записи. Затем обновите свойства учетной записи нужным образом. |
• | На вкладке Адрес (Address): улица, область/край, почтовый индекс, страна/регион. |
• | На вкладке Организация (Organization): отдел и организация. |
• | На вкладке Учетная запись (Account): настройки учетной записи. |
• | Рабочие станции для входа в систему и разрешенные часы входа. |
• | Срок действия учетной записи. |
• | Членство в группах безопасности. |
• | Настройки профиля. |
• | Разрешения на удаленный доступ. |
Удаление учетных записей пользователей и групп
Удаление учетной записи ведет к ее полному уничтожению. Если вы удалите учетную запись, а затем создадите новую с точно таким же именем, у последней уже не будет разрешений удаленной учетной записи. Это происходит потому, что идентификаторы безопасности новой и старой учетных записей не совпадают друг с другом. Операционная система Windows 2000 не позволяет производить удаление встроенных учетных записей, поскольку это может привести к негативным последствиям в домене. Удаление прочих учетных записей можно осуществить, выделив учетную запись и нажав клавишу Delete на клавиатуре или выбрав команду Удалить (Delete) из контекстного меню. Затем останется лишь последовательно нажать кнопки OK и Да (Yes) в диалоговом окне подтверждения удаления учетной записи.
В оснастке Active Directory - пользователи и компьютеры (Active Directory Users And Computers) можно выбрать сразу несколько учетных записей следующим образом:
• | Для выбора нескольких учетных записей можно щелкать левой кнопкой мыши на желаемые имена, удерживая при этом нажатой клавишу Ctrl. |
• | Для выбора нескольких идущих подряд учетных записей, можно последовательно щелкнуть левой кнопкой мыши на первое и последнее имя в желаемом диапазоне, удерживая при этом нажатой клавишу Shift. |
Задание и смена паролей
Как администратору, Вам часто приходится задавать или менять пароли пользователей. Как правило, это приходится делать в случаях, когда пользователь не может вспомнить пароль или срок действия пароля истек. Выполните следующие действия, чтобы задать или сменить пароль:
1. | Откройте оснастку Active Directory - пользователи и компьютеры (Active Directory Users And Computers) или Локальные пользователи и группы (Local Users And Groups), в зависимости от типа учетной записи для которой Вы меняете или задаете пароль. |
2. | Правым щелчком мыши на имени учетной записи вызовите контекстное меню и выберите команду Смена пароля (Reset Password) или Задать пароль (Set Password), в зависимости от поставленной задачи. |
3. | Введите новый пароль и подтвердите его. Пароль должен соответствовать требованиям сложности, определяемых политикой домена или локального компьютера. |
4. | Двойным щелчком на имени учетной записи откройте ее свойства и снимите флажок Отключить учетную запись (Account Is Disabled) или Заблокировать учетную запись (Account Is Locked Out), если это применимо к Вашей ситуации или необходимо для выполнения поставленной задачи.В оснастке Active Directory - пользователи и компьютеры эти флажки находятся на вкладке Учетная запись (Account). |
Включение учетных записей
Учетные записи могут оказаться отключенными по ряду причин:- Если пользователь забыл пароль и пытается его угадать, он может превысить допустимое число неудачных входов в систему, установленное политикой блокировки учетных записей.
- Другой администратор мог отключить учетную запись, пока пользователь находился в отпуске.
- Истек срок действия учетной записи.
Учетная запись отключена Если учетная запись отключена, выполните следующие действия для ее включения:
1. | Откройте оснастку Active Directory - пользователи и компьютеры (Active Directory Users And Computers) или Локальные пользователи и группы (Local Users And Groups), в зависимости от типа учетной записи, которую Вы хотите включить. |
2. | Правым щелчком мыши на имени учетной записи вызовите контекстное меню и выберите команду Включить учетную запись (Enable Account). |
Учетная запись заблокирована Если учетная запись заблокирована, выполните следующие действия для ее разблокирования:
1. | Откройте оснастку Active Directory - пользователи и компьютеры или Локальные пользователи и группы, в зависимости от типа учетной записи, которую Вы хотите разблокировать. |
2. | Двойным щелчком на имени учетной записи откройте ее свойства и снимите флажок Заблокировать учетную запись (Account Is Locked Out). В оснастке Active Directory - пользователи и компьютеры этот флажок находится на вкладке Учетная запись (Account). |
Более подробно аспекты настройки политик учетных записей рассматриваются в разделе Настройка политик учетных записей Главы 8.
Истечение срока действия учетной записи Срок действия есть только у доменных учетных записей. Локальные учетные записи срока действия не имеют.
Если срок действия доменной учетной записи истек, выполните следующие шаги:
1. | Откройте оснастку Active Directory - пользователи и компьютеры (Active Directory Users And Computers). |
2. | Двойным щелчком на имени учетной записи откройте ее свойства и перейдите на вкладку Учетная запись (Account). |
3. | В области Срок действия учетной записи (Account Expires) выберите Истекает (End of) и щелкните на стрелку в соседнем поле. Вам откроется календарь, в котором можно установить новую дату истечения действия учетной записи. |
Устранение неполадок, связанных со входом в систему
В предыдущем разделе описывались ситуации, которые могли привести к отключению учетных записей. Помимо рассмотренных выше распространенных причин отключения учетных записей, к проблемам со входом в систему может привести неверная конфигурация некоторых системных параметров. В частности, могут возникнуть следующие проблемы в работе:• | Пользователю выдается сообщение о невозможности интерактивного входа в систему. У пользователя нет прав для локального входа в систему и он также не входит в группу, которая обладает данными правами. Возможно, пользователь пытается войти в системусервера или контроллера домена. Если это действительно так, учтите, что право на локальный вход распространяется сразу на все контроллеры домена. В противном случае, право распространяется лишь на вход на определенную рабочую станцию. Если пользователь должен иметь доступ в локальную систему, сконфигурируйте ему право на Локальный вход в систему (Local logon), как описано в Главе 8 Конфигурация политик прав пользователей. |
• | Пользователю выдается сообщение о невозможности входа в систему. Если вы уже убедились в правильности пароля и имени учетной записи, проверьте ее тип. Пользователь может пытаться выполнить вход в домен с локальной учетной записью. Если дело не в этом, проблема может заключаться в недоступности сервера глобального каталога. В таком случае, только пользователи с привилегиями администратора могут выполнить вход в домен. |
• | У пользователя обязательный профиль, хранящийся на недоступном в данный момент компьютере. Если пользователю назначен обязательный профиль, то компьютер, на котором он хранится, должен быть доступен во время входа в систему. Если компьютер выключен или недоступен по иной причине, пользователи с обязательными профилями не смогут выполнить вход в систему. |
• | Пользователю выдается сообщение об отсутствии правa на вход в систему на этой рабочей станции. Пользователь пытался выполнить вход на компьютер, который отсутствует в перечне разрешенных рабочих станций. Если пользователь должен иметь доступ к этому компьютеру, внесите его в список как описано в разделе Настройка разрешенных для входа рабочих станций этой главы. |
Ссылки по теме: |
Профили пользователей в Active Directory (AD) |
Материал взят из книги «Windows 2000. Руководство администратора». Автор Уильям Р. Станек (William R. Stanek). © Корпорация Microsoft, 1999. Все права защищены.