i když využíváte službu Active Directory, stále musíte pochopit, jak fungují Místní uživatelé a skupiny. Místní uživatelé a skupiny hrají klíčovou roli nejen pro údržbu, ale také pro centrální správu.
v této části uvidíte, jak spravovat místní uživatele a skupiny na instalacích celého serveru Windows Server 2008 R2 i na instalacích jádra serveru. Dozvíte se také výchozí místní uživatele / skupiny a výchozí nastavení na těchto serverech a jak tato nastavení ovlivňují vaši infrastrukturu.
- 1. Naučte se výchozí místní uživatele a skupiny
- Tabulka 1. Výchozí místní skupiny
- 2. Správa místních uživatelů a skupin
- Obrázek 1. Prázdný MMC
- Obrázek 2. Přidání snap-inů
- obrázek 3. Cílový stroj
- obrázek 4. Správa místních uživatelů a skupin
- 2.1. Vytvoření místního uživatelského účtu
- obrázek 5. Dialogové okno Nový uživatel
- obrázek 6. Chyba složitosti hesla
- výchozí požadavky na heslo
- 2.2. Vytvořte místní skupinu
- Obrázek 7. Dialogové okno Nová skupina
- Obrázek 8. Dialogové okno Vybrat uživatele
- obrázek 9. Pokročilý výběr uživatelů
- zvláštní skupiny identit
- Tabulka 2. Zvláštní skupiny identit
- 2.3. Správa místních uživatelů a skupin
- obrázek 10. Nastavení upozornění na heslo
- obrázek 11. Uživatelské vlastnosti
- 2.4. Správa místních uživatelů a skupin v jádře serveru
1. Naučte se výchozí místní uživatele a skupiny
ať už pracujete s úplnou instalací systému Windows Server 2008 R2 nebo s jádrem serveru, Správa místních skupin nabízí některé velké podobnosti. Počínaje výchozími instalacemi mají oba systémy nainstalované stejné výchozí uživatele a skupiny.
na serveru Windows Server 2008 R2 máte ve výchozím nastavení dva vytvořené uživatelské účty, správce a host.
-
správce je výchozí vestavěný účet pro správu místního počítače. Účet správce je ve výchozím nastavení jediným povoleným účtem.
-
host je výchozí vestavěný účet pro přístup hosta do systému; účet je však ve výchozím nastavení zakázán.
Tabulka 1 popisuje několik dalších skupin nainstalovaných ve výchozím nastavení, které potřebujete znát.
skupina | definice a použití |
---|---|
Administrátoři | tato skupina má neomezený přístup k místnímu počítači. Tento účet je hlavním účtem pro splnění jakéhokoli úkolu na serveru. Ve výchozím nastavení je účet správce jediným členem této skupiny. |
operátoři zálohování | tato skupina, jak název napovídá, je určena pro zálohování a obnovu souborů na serveru. |
certifikační služba DCOM Access | tato skupina se může připojit k certifikačním autoritám pro zápis do vaší preferované infrastruktury veřejného klíče. |
kryptografické operátory | tato skupina je oprávněna a oprávněna provádět kryptografické operace na vašem serveru. Tato nastavení zahrnují nastavení crypto v zásadách IPsec brány Firewall systému Windows, mimo jiné nastavení. |
distribuovaní uživatelé COM | tato skupina může aktivovat a spouštět objekty DCOM na serveru. Objekty DCOM se používají pro komunikaci aplikací. |
Čtečky protokolů událostí | tato skupina může pracovat a číst místní protokoly událostí na serveru. |
hosté | uživatelé této skupiny mají ve výchozím nastavení stejný přístup jako skupina uživatelů, s výjimkou účtu hosta, který je dále omezen. Ve výchozím nastavení je jediným účtem v této skupině deaktivovaný účet hosta. |
IIS_IUSRS | toto je výchozí účet skupiny pro použití s internetovými informačními službami. |
operátoři konfigurace sítě | uživatelé v této skupině mají určitá oprávnění správce nad správou konfigurace síťových funkcí na serveru. |
Uživatelé protokolu výkonu | tato skupina umožňuje svým uživatelům naplánovat protokolování čítačů výkonu, povolit poskytovatele trasování a shromažďovat stopy událostí pro místní server. Úkoly lze provádět lokálně nebo vzdáleně. |
uživatelé monitoru výkonu | tato skupina má přístup k místním údajům čítače výkonu buď lokálně, nebo prostřednictvím Vzdálené správy. |
výkonní Uživatelé | tato skupina má omezené možnosti správy v systému a je primárně zahrnuta pro zpětnou kompatibilitu s předchozími operačními systémy. |
operátoři tisku | tito uživatelé mohou pracovat s tiskárnami a spravovat je v místním serverovém systému. |
Uživatelé vzdálené plochy | uživatelé v této skupině mají právo vzdáleně se přihlásit k serveru. |
Replicator | tato skupina je určena pro replikaci souborů. |
Uživatelé | mají omezený administrativní přístup k systému, aby zabránili členům neúmyslně provádět změny, které mohou způsobit změny v celém systému; uživatelé v této skupině však mohou spouštět a přistupovat k většině aplikací. |
umístění uživatelských účtů do těchto místních skupin umožní těmto uživatelům přístup ke správným oprávněním a odpovědnostem pro skupiny. Základní koncept používání skupin umožňuje přiřadit oprávnění pouze jednou skupině, čímž uděluje oprávnění všem členům skupiny. To nabízí snadný způsob, jak delegovat správu pro váš server. Pokud například chcete, aby uživatel prováděl každodenní zálohování vašeho serveru, stačí je přidat do skupiny operátorů zálohování a budou jim udělena nezbytná práva k provádění operací zálohování a obnovy.
2. Správa místních uživatelů a skupin
Správa místních skupin uživatelů na vašem serveru je jen otázkou načtení správného modulu snap-in pro Microsoft Management Console (MMC). Můžete spravovat buď úplnou instalaci serveru Windows Server 2008 R2, nebo instalaci jádra serveru. Pokud však chcete spravovat místní uživatele a skupiny v instalaci jádra serveru pomocí MMC, budete to muset provést vzdáleně. Existují systémové příkazy, které vám umožňují lokálně spravovat jádro serveru, a tyto příkazy uvidíte později v této části. Chcete-li získat přístup k místním skupinám uživatelů, můžete přejít na Ovládací panely a spravovat účty, nebo můžete upřednostňovat důkladnější pohled na uživatele. V následujících krocích uvidíte místní uživatele a nástroje pro správu skupin pro úplnou instalaci serveru i jádra serveru.
-
vyberte Start => Spustit, zadejte MMC a stiskněte klávesu Enter. Tím se načte prázdný MMC, jak je znázorněno na obrázku 1.
Obrázek 1. Prázdný MMC
-
Chcete-li provádět práci v libovolném prázdném MMC, musíte načíst příslušný modul snap-in. Chcete-li načíst modul snap-in, Vyberte soubor => přidat/odebrat modul Snap-In. Tím se načte dialogové okno Přidat nebo odebrat moduly Snap-in, jak je znázorněno na obrázku 2.
Obrázek 2. Přidání snap-inů
Chcete-li spravovat místní uživatele a skupiny, vyberte modul snap-in Místní uživatelé a skupiny a klikněte na tlačítko Přidat. Otevře se dialogové okno Vybrat cílový stroj, jak je znázorněno na obrázku 3.
obrázek 3. Cílový stroj
v dialogovém okně vybrat cílový stroj můžete buď vybrat místní počítač pro správu uživatelů v počítači, ze kterého používáte konzolu, nebo vybrat přepínač jiný počítač a zadat IP adresu nebo název počítače, který chcete spravovat. Tato možnost vám umožní spravovat místní uživatele a skupiny na vzdáleném serveru, jako je Server Core, pokud máte příslušná oprávnění. Po provedení výběru klepněte na tlačítko Dokončit a vraťte se do dialogového okna Přidat nebo odebrat moduly Snap-in.
-
v dialogovém okně Přidat nebo odebrat moduly Snap-in, klepněte na tlačítko OK načíst modul snap-in do MMC. Figura 4 ukazuje místní uživatele a skupinu MMC.
obrázek 4. Správa místních uživatelů a skupin
po načtení modulů snap-in do MMC můžete svůj přizpůsobený MMC uložit pro budoucí použití. Chcete-li to provést, vyberte soubor => Uložit.
po načtení MMC pro správu místních uživatelů a skupin můžete snadno pracovat se svými uživateli a skupinami. Vytváření uživatelských ID a skupin, změna hesel nebo jiné vlastnosti lze snadno provést pomocí rozhraní.
2.1. Vytvoření místního uživatelského účtu
když vytvoříte místní uživatelský účet, udělujete účtu přístup k místnímu serveru, což je jednoduchý proces:
-
uvnitř místních uživatelů a skupiny MMC, kterou jste vytvořili v předchozím postupu, klepněte pravým tlačítkem myši na kontejner Uživatelé.
-
vyberte Nový uživatel, který zobrazí dialogové okno Nový uživatel, jak je znázorněno na obrázku 5.
obrázek 5. Dialogové okno Nový uživatel
-
zadejte uživatelské jméno, celé jméno a volitelný popis a heslo. Heslo ve výchozím nastavení musí splňovat požadavky na složitost hesla uvedené v postranním panelu „výchozí požadavky na heslo“. Navíc můžete označit účet zakázaný, pokud víte, že účet nebude po určitou dobu používán. Máte také následující možnosti týkající se nastavení počátečního hesla:
uživatel musí změnit heslo při příštím přihlášení Toto je výchozí nastavení a při vytváření nového uživatelského účtu byste měli zvážit zaškrtnutí políčka. Toto zaškrtávací políčko byste měli zrušit pouze tehdy, když účet, který vytváříte, bude účet služby pro aplikaci. Toto nastavení umožňuje uživateli nastavit vlastní osobní heslo při prvním přihlášení do systému. Vše, co musíte udělat jako správce, je nastavit počáteční dočasné heslo pro uživatele. Možná budete chtít znát hesla pro své uživatele v případě, že uživatel opustí společnost nebo je na dovolené. Ve skutečnosti, pokud znáte heslo správce, máte Správní právo dočasně obnovit heslo a získat přístup k účtu. I když je dobré mít tuto schopnost, měli byste ji cvičit opatrně a pouze tehdy, když to situace vyžaduje.
uživatel nemůže ve výchozím nastavení změnit heslo toto nastavení je šedé a je k dispozici pouze tehdy, když vymažete, že uživatel musí změnit heslo při dalším přihlášení, které bylo uvedeno výše. To vám umožní zajistit, aby se heslo účtu nezměnilo. To je také dobré pro servisní účty pro aplikace načtené na vašem serveru. Toto nastavení také obejde všechny zásady účtu hesla místního počítače.
heslo nikdy nevyprší ve výchozím nastavení toto nastavení je také šedé a stejně jako předchozí nastavení je k dispozici pouze v případě, že uživatel musí změnit heslo při příštím přihlášení nastavení je vymazáno. Nastavení, jak název napovídá, uzamkne heslo. Toto nastavení také obejde všechny Zásady hesla místního počítače.
-
po vyplnění formuláře klikněte na Vytvořit a vytvořte účet. Pokud vaše heslo nesplňuje požadavky na složitost hesla, zobrazí se obrazovka na obrázku 6.
obrázek 6. Chyba složitosti hesla
výchozí požadavky na heslo
výchozí požadavky na heslo jsou stejné jak pro místní uživatelské účty, tak pro uživatelské účty služby Active Directory . Výchozí požadavky na heslo pro server Windows Server 2008 R2 jsou následující:
-
nesmí obsahovat název účtu uživatele nebo části jeho celého jména, které přesahují dva po sobě jdoucí znaky
-
mít alespoň šest znaků na délku
-
obsahují znaky ze tří z následujících čtyř kategorií:
angličtina velká písmena (A-Z)
angličtina malá písmena (a–z)
základna 10 číslic (0-9)
Nonalphabetic znaky (například !, $, #, %)
-
-
pokud nemáte žádné další účty místních uživatelů k vytvoření, klikněte na Zavřít. V opačném případě opakujte kroky 3 a 4 a pokračujte ve vytváření místních účtů na serveru.
2.2. Vytvořte místní skupinu
po vytvoření uživatelských účtů budete pravděpodobně chtít vytvořit skupiny, do kterých přidáte své uživatele. Skupiny, jak možná víte, se používají k udělení oprávnění obecně souborům nebo tiskárnám umístěným na serveru Windows Server 2008 R2. Těmto místním skupinám lze udělit práva a oprávnění ke zdrojům pouze na místním serveru.
-
uvnitř místních uživatelů a skupiny MMC, které jste vytvořili dříve, klepněte pravým tlačítkem myši na kontejner skupiny.
-
vyberte Nová skupina, která zobrazí dialogové okno Nová skupina, jak je znázorněno na obrázku 7.
Obrázek 7. Dialogové okno Nová skupina
zadejte název nové skupiny a popis. Chcete-li okamžitě přidat členy do skupiny, klikněte na tlačítko Přidat v dolní části obrazovky. Kliknutím na tlačítko Přidat se zobrazí dialogové okno Vybrat uživatele, jak je znázorněno na obrázku 8.
Obrázek 8. Dialogové okno Vybrat uživatele
Chcete-li přidat uživatele, můžete je zadat do textového pole Název. Chcete-li ověřit pravopis uživatelských jmen, která chcete přidat, můžete kliknout na Zkontrolovat jména, která pro vás ověří uživatelská jména. Můžete také kliknout na tlačítko Upřesnit, které rozbalí dialogové okno a umožní vám zobrazit seznam všech uživatelských účtů v systému. Toto dialogové okno obsahuje možnost najít Nyní, která vám umožní rychle zobrazit seznam všech uživatelů v systému. Pokud klepnete na tlačítko Najít nyní, zobrazí se obrazovka podobná obrázku 9.
obrázek 9. Pokročilý výběr uživatelů
-
po klepnutí na tlačítko Najít nyní se zobrazí seznam uživatelů v systému, jakož i místní uživatelské a skupinové účty systému. Vyberte uživatele nebo uživatele, které chcete být ve vaší skupině. Chcete-li vybrat více uživatelů, můžete po kliknutí podržet klávesu Ctrl na klávesnici. Seznam můžete také vybrat pomocí klávesy Shift. Pokud kliknete na horní položku seznamu, podržte klávesu Shift a klikněte na spodní položku v seznamu, vyberete všechny položky mezi horním a dolním výběrem.
zvláštní skupiny identitmůžete si všimnout, že když jste přidávali uživatele do své skupiny, měli jste několik dalších účtů a skupin, které jste nevytvořili. Jedná se o speciální skupiny identit a nemůžete kontrolovat členství v těchto skupinách. Vaši uživatelé se stávají členy těchto skupin v průběhu akcí, které provádějí na vašich serverech nebo jak přistupují k serverům, a členství v těchto skupinách je dočasné a obvykle se mění vzhledem k tomu, jak bude uživatel pracovat se systémem. Systémové skupiny mohou být použity k nastavení oprávnění na základě toho, jak uživatelé přistupují nebo komunikují se serverem. Tabulka 2 uvádí několik systémových skupin, se kterými se můžete při práci se serverem setkat. skupiny, které nejsou uvedeny v tabulce, jsou obvykle systémové skupiny, které jsou vyhrazeny pro použití operačního systému a služeb spuštěných na vašem serveru Windows Server 2008 R2. Zejména je třeba věnovat zvláštní pozornost jednomu zvláštnímu účtu identity, systémovému účtu. Systémový účet představuje operační systém Windows Server 2008 R2. Při práci se soubory na serveru a uživatelskými právy se můžete setkat se systémovým účtem a tento účet byste měli nechat nezměněný. Pokud provedete změnu oprávnění nebo práv, která má systémový účet na vašem serveru, můžete Server deaktivovat, což může vést k přeinstalaci operačního systému.
|
2.3. Správa místních uživatelů a skupin
po dokončení vytváření skupin uživatelů budete muset udržovat a spravovat místní účty. Chcete-li začít spravovat místní skupiny, stačí kliknout pravým tlačítkem myši na uživatele nebo skupinu, kterou chcete spravovat. Sdílejí některé společné úkoly. Když klepnete pravým tlačítkem myši na uživatele nebo skupinu, můžete odstranit, přejmenovat, otevřít nápovědu nebo zobrazit jedinečné vlastnosti objektu.
po klepnutí pravým tlačítkem myši na uživatele můžete nastavit nové heslo pro uživatele. Heslo pro existující účet byste měli nastavit pouze tehdy, pokud uživatel heslo zapomněl nebo ztratil. Uživatel ztratí přístup k informacím, jako jsou šifrované soubory, uložená internetová hesla (i když je uživatel může znovu vytvořit pomocí nového hesla), e-mail, který je šifrován veřejným klíčem uživatele, a všechny uložené certifikáty (opět mohou být vydány nové certifikáty, které stále udělují přístup). Potenciálním rizikem je ztráta dat v souborech, které byly šifrovány šifrovaným souborovým systémem (EFS). Pokud jste zálohovali klíče pro obnovení, budete moci načíst data; Pokud však klíče nejsou zálohovány, nebudete mít přístup k datům.
když kliknete pravým tlačítkem myši na uživatelský účet, zobrazí se vám možnost nastavit heslo. Když vyberete tuto možnost, obdržíte varování zobrazené na obrázku 10.
obrázek 10. Nastavení upozornění na heslo
když klepnete pravým tlačítkem myši na skupinu a vyberete možnost Přidat do skupiny, spustí se stejný proces pro přidání členů do skupiny, Jaký byl použit v předchozím postupu při vytváření skupiny. Navíc, když vyberete možnost Vlastnosti po klepnutí pravým tlačítkem myši na skupinu, dostanete se k vlastnostem, kde můžete použít dialogové okno Přidat členy.
když vyberete možnost Vlastnosti po klepnutí pravým tlačítkem myši, otevře se seznam vlastností, které můžete upravit pro uživatelský účet, jak je znázorněno na obrázku 11.
zde uvedené vlastnosti jsou dokumentace části a konfigurace účtu části. Uvedené karty vám umožní nakonfigurovat základní informace o uživatelském jménu a popisu a členství ve skupině. Můžete také nastavit vlastnosti pro informace o připojení služeb vzdálené plochy, uživatelské profily, informace o domovském adresáři a přístup k telefonickému připojení.
obrázek 11. Uživatelské vlastnosti
2.4. Správa místních uživatelů a skupin v jádře serveru
možná nebudete mít přístup ke konzole Microsoft Management Console a možná budete muset provést úpravy místních uživatelů a skupin v instalaci jádra serveru Windows Server 2008 R2. Pomocí příkazového řádku můžete přidávat, mazat a upravovat všechny aspekty místních uživatelů a skupin. Konkrétně příkaz net je způsob, jakým pracujete s uživateli a skupinami přímo na jádru serveru. Příkaz net bude také fungovat na úplné instalaci serveru Windows Server 2008 R2.
příkaz net má mnoho funkcí, včetně spouštění a zastavování služeb a konfigurace adresy IP na serveru. V této části uvidíte, jak používat příkaz net pro práci s místními uživateli a skupinami.
všechny příkazy sítě začínají sítí; pro uživatele bude následovat uživatel a pro místní skupiny bude následovat localgroup. Chcete-li například zobrazit aktuální seznam místních uživatelů nebo místních skupin, zadejte jeden z následujících jednoduchých příkazů a stiskněte klávesu Enter:
-
pomocí net user zobrazíte seznam místních uživatelů.
-
pomocí net localgroup zobrazíte seznam místních skupin.
Chcete-li do systému přidat uživatele nebo místní skupinu, příkazy sledují podobnou syntaxi. Příkazy budou obsahovat přepínač / add. Například, přidat uživatele jménem Harold s heslem do vašeho systému, použili byste následující příkaz:
net user Harold /add
Chcete-li na server přidat místní skupinu nazvanou spisovatelé, použijte následující příkaz:
net localgroup Writers /add
Chcete-li přidat Harolda do skupiny spisovatelů, použijte následující příkaz:
net localgroup Writers Harold /add
Chcete-li zobrazit aktuální členství pro autory místní skupiny, použijte následující příkaz:
net localgroup Writers