selvom du udnytter Active Directory, skal du stadig forstå, hvordan lokale brugere og grupper fungerer. Lokale brugere og grupper spiller en nøglerolle ikke kun for vedligeholdelse, men også for central administration.
i dette afsnit vil du se, hvordan du administrerer lokale brugere og grupper på begge vinduer Server 2008 R2 fuld serverinstallationer og Serverkerneinstallationer. Du lærer også standard lokale brugere / grupper og standardindstillingerne på disse servere, og hvordan disse indstillinger påvirker din infrastruktur.
- 1. Lær Standard lokale brugere og grupper
- tabel 1. Standard lokale grupper
- 2. Administrer lokale brugere og grupper
- Figur 1. Blank MMC
- figur 2. Tilføjelse af snap-ins
- figur 3. Mål maskine
- figur 4. Administration af lokale brugere og grupper
- 2.1. Opret en lokal brugerkonto
- figur 5. Dialogboksen Ny Bruger
- figur 6. Adgangskode kompleksitet fejl
- standard adgangskode krav
- 2.2. Opret en lokal gruppe
- Figur 7. Dialogboksen Ny gruppe
- figur 8. Dialogboksen Vælg brugere
- figur 9. Avanceret valg af brugere
- særlige Identitetsgrupper
- tabel 2. Særlige Identitetsgrupper
- 2.3. Administrer dine lokale brugere og grupper
- Figur 10. Indstilling af adgangskode advarsel
- Figur 11. Bruger egenskaber
- 2.4. Administrer lokale brugere og grupper på Server Core
1. Lær Standard lokale brugere og grupper
uanset om du arbejder med en Server 2008 R2 fuld installation eller med Server Core, giver styring af lokale grupper nogle store ligheder. Startende med standardinstallationerne har begge systemer de samme standardbrugere og grupper installeret.
på din Server 2008 R2-server har du som standard to brugerkonti, der oprettes, Administrator og gæst.
-
Administrator er den indbyggede standardkonto til administration af den lokale maskine. Administratorkontoen er som standard den eneste konto, der er aktiveret.
-
gæst er standard indbygget konto for gæst adgang til systemet; dog er kontoen deaktiveret som standard.
tabel 1 beskriver flere andre grupper, der er installeret som standard, som du har brug for at vide.
gruppe | Definition og anvendelse |
---|---|
administratorer | denne gruppe har ubegrænset adgang til den lokale computer. Denne konto er den vigtigste konto til at udføre enhver opgave på en server. Som standard er administratorkontoen det eneste medlem af denne gruppe. |
Backup operatører | denne gruppe, som navnet antyder, er designet til backup og restaurering af filer på serveren. |
Certificate Service DCOM Access | denne gruppe har tilladelse til at oprette forbindelse til certifikatmyndigheder for tilmelding til din foretrukne offentlige nøgleinfrastruktur. |
kryptografiske operatører | denne gruppe er tilladt og autoriseret til at udføre kryptografioperationer på din server. Disse indstillinger inkluderer kryptoindstillingerne i IPsec-politikken for vinduer Brandvæg, blandt andre indstillinger. |
distribuerede com-brugere | denne gruppe kan aktivere og starte DCOM-objekter på serveren. DCOM-objekter bruges til kommunikation af applikationerne. |
Hændelsesloglæsere | denne gruppe kan arbejde med og læse de lokale hændelseslogfiler på serveren. |
gæster | brugere af denne gruppe har som standard den samme adgang som gruppen brugere, bortset fra gæstekontoen, som er yderligere begrænset. Som standard er den eneste konto i denne gruppe den deaktiverede gæstekonto. |
IIS_IUSRS | dette er standardgruppekontoen til brug med Internetinformationstjenester. |
Netværkskonfigurationsoperatører | brugere i denne gruppe har nogle administrative rettigheder over at administrere konfigurationen af netværksfunktioner på serveren. |
brugere af Ydelseslog | denne gruppe giver brugerne mulighed for at planlægge logning af ydelsestællere, aktivere sporingsudbydere og indsamle begivenhedsspor for den lokale server. Opgaverne kan udføres lokalt eller eksternt. |
brugere af Ydelsesovervågning | denne gruppe kan få adgang til de lokale ydelsestællerdata enten lokalt eller via fjernadministration. |
strømbrugere | denne gruppe har begrænsede administrative muligheder på systemet og er primært inkluderet for bagudkompatibilitet med tidligere operativsystemer. |
Printeroperatører | disse brugere kan arbejde med og administrere printere på det lokale serversystem. |
brugere af Fjernskrivebord | brugere i denne gruppe får ret til at logge på eksternt til serveren. |
Replicator | denne gruppe er designet til filreplikation. |
brugere | har begrænset administrativ adgang til systemet for at forhindre medlemmer i utilsigtet at foretage ændringer, der kan forårsage ændringer i hele systemet; brugere i denne gruppe kan dog køre og få adgang til de fleste applikationer. |
placering af brugerkonti i disse lokale grupper giver disse brugere adgang til de rette tilladelser og ansvar for grupperne. Det grundlæggende koncept bag brug af grupper giver dig mulighed for at tildele tilladelser kun en gang til gruppen og dermed give tilladelser til alle medlemmer i gruppen. Dette giver en nem måde for dig at delegere administration til din server. For eksempel, hvis du vil have en bruger til at udføre en daglig sikkerhedskopi af din server, skal du blot tilføje dem til gruppen Backup Operators, og de får de nødvendige rettigheder til at udføre backup-og gendannelsesoperationer.
2. Administrer lokale brugere og grupper
håndtering af lokale brugergrupper på din server er kun et spørgsmål om at indlæse den korrekte snap-in til Microsoft Management Console (MMC). Du kan administrere enten en Server 2008 R2 fuld serverinstallation eller en Server Core installation. Men hvis du vil administrere de lokale brugere og grupper på din Serverkerneinstallation med MMC, skal du gøre det eksternt. Der er systemkommandoer, der giver dig mulighed for at administrere Serverkernen lokalt, og du vil se disse kommandoer senere i dette afsnit. For at få adgang til de lokale brugergrupper kan du gå til Kontrolpanel for at administrere kontiene, eller du foretrækker måske et mere grundigt kig på brugerne. Du vil se de lokale brugere og gruppestyringsværktøjer til både en komplet server-og Serverkerneinstallation i følgende trin.
-
Vælg Start => Kør, skriv MMC, og tryk på Enter. Dette indlæser en tom MMC, som vist i Figur 1.
Figur 1. Blank MMC
-
for at udføre arbejde i enhver tom MMC skal du indlæse den relevante snap-in. Hvis du vil indlæse snap-ins, skal du vælge File => Tilføj/fjern Snap-in. Dette indlæser dialogboksen Tilføj eller fjern Snap-Ins, som vist i figur 2.
figur 2. Tilføjelse af snap-ins
hvis du vil administrere dine lokale brugere og grupper, skal du vælge snap-in ‘ en Lokale brugere og grupper og klikke på knappen Tilføj. Dette åbner dialogboksen Vælg målmaskine som vist i figur 3.
figur 3. Mål maskine
i dialogboksen Vælg målmaskine kan du enten vælge den lokale computer, der skal administrere brugerne på den maskine, du kører konsollen fra, eller vælge alternativknappen til en anden Computer og indtaste enten IP-adressen eller navnet på den computer, du vil administrere. Denne indstilling giver dig mulighed for at administrere de lokale brugere og grupper på en ekstern server, f.eks. Når du har foretaget dit valg, skal du klikke på Udfør for at vende tilbage til dialogboksen Tilføj eller fjern Snap-Ins.
-
klik på OK i dialogboksen Tilføj eller fjern Snap-in for at indlæse snap-in i din MMC. Figur 4 viser en lokal brugere og gruppe MMC.
figur 4. Administration af lokale brugere og grupper
når du har indlæst dine snap-ins i MMC, kan du gemme din tilpassede MMC til fremtidig brug. For at gøre det skal du vælge File => Gem.
når du har indlæst MMC til at administrere lokale brugere og grupper, kan du nemt arbejde med dine brugere og grupper. Oprettelse af Bruger-id ‘ er og grupper, ændring af adgangskoder eller andre egenskaber kan alle nemt gøres med grænsefladen.
2.1. Opret en lokal brugerkonto
når du opretter en lokal brugerkonto, giver du kontoen adgang til den lokale server, hvilket er en enkel proces:
-
Højreklik på containeren brugere i de lokale brugere og gruppen MMC, du oprettede i den foregående procedure.
-
Vælg Ny Bruger, som vil vise dialogboksen Ny Bruger, Som vist i figur 5.
figur 5. Dialogboksen Ny Bruger
-
Indtast brugernavn, fulde navn og valgfri beskrivelse samt adgangskoden. Adgangskoden skal som standard følge kravene til adgangskodekompleksitet, der er anført i sidepanelet “Standardadgangskodekrav”. Derudover kan du markere kontoen deaktiveret, hvis du ved, at kontoen ikke vil være i brug i en periode. Du har også følgende muligheder med hensyn til indstillingen af den oprindelige adgangskode:
bruger skal ændre adgangskode ved næste Log på dette er standardindstillingen, og du bør overveje at holde dette afkrydsningsfelt aktiveret, når du opretter en ny brugerkonto. Den eneste gang du skal rydde dette afkrydsningsfelt er, når den konto, du opretter, vil være en servicekonto for en applikation. Denne indstilling giver brugeren mulighed for at indstille deres egen personlige adgangskode, når de logger på systemet Første gang. Alt du skal gøre som administrator er indstillet en indledende midlertidig adgangskode til brugeren. Du vil måske vide adgangskoderne til dine brugere, hvis en bruger forlader virksomheden eller er på ferie. I virkeligheden, så længe du kender administratoradgangskoden, har du den administrative ret til at nulstille en adgangskode midlertidigt og få adgang til en konto. Selvom det er godt at have denne evne, skal du udøve den med forsigtighed og kun når situationen berettiger det.
bruger kan ikke ændre adgangskode som standard denne indstilling er nedtonet og bliver kun tilgængelig, når du rydder brugeren skal ændre adgangskode ved næste Log on indstilling, nævnt tidligere. Dette giver dig mulighed for at sikre, at adgangskoden til kontoen ikke ændres. Dette er også godt for servicekonti for applikationer, der er indlæst på din server. Denne indstilling vil også omgå enhver lokal maskine adgangskode konto politik.
adgangskode udløber aldrig som standard denne indstilling er også nedtonet, og ligesom den forrige indstilling bliver den kun tilgængelig, når brugeren skal ændre adgangskode ved næste Log on-indstilling er ryddet. Indstillingen, som navnet antyder, låser adgangskoden. Denne indstilling vil også omgå enhver lokal maskinadgangskodepolitik.
-
når du har udfyldt formularen, skal du klikke på Opret for at oprette kontoen. Hvis din adgangskode ikke opfylder kravene til adgangskodekompleksitet, vil du se skærmen i figur 6.
figur 6. Adgangskode kompleksitet fejl
standard adgangskode krav
standard adgangskode krav er de samme for både de lokale brugerkonti og Active Directory brugerkonti . Standard adgangskode krav til en Vinduer Server 2008 R2 server er som følger:
-
kan ikke indeholde brugerens kontonavn eller dele af brugerens fulde navn, der overstiger to på hinanden følgende tegn
-
være mindst seks tegn i længden
-
indeholder tegn fra tre af følgende fire kategorier:
engelske store bogstaver (A–Å)
engelske små bogstaver (A-Å)
Base 10 cifre (0-9)
Nonalphabetic tegn (for eksempel !, $, #, %)
-
-
hvis du ikke har flere lokale brugerkonti at oprette, skal du klikke på Luk. Ellers skal du gentage trin 3 og 4 for at fortsætte med at oprette lokale konti på din server.
2.2. Opret en lokal gruppe
når du har oprettet dine brugerkonti, vil du sandsynligvis oprette grupper, som dine brugere kan føje til. Grupper, som du måske ved, bruges til at give tilladelser generelt til filer eller printere placeret på R2 Server. Disse lokale grupper kan kun tildeles rettigheder og tilladelser til ressourcer på den lokale server.
-
inden for de lokale brugere og gruppe MMC, du oprettede tidligere, skal du højreklikke på Gruppecontaineren.
-
Vælg Ny gruppe, som vil vise dialogboksen Ny gruppe, som vist i Figur 7.
Figur 7. Dialogboksen Ny gruppe
Indtast navnet på den nye gruppe og en beskrivelse. For straks at tilføje medlemmer til din gruppe skal du klikke på knappen Tilføj nederst på skærmen. Ved at klikke på knappen Tilføj vises dialogboksen Vælg brugere, som vist i figur 8.
figur 8. Dialogboksen Vælg brugere
hvis du vil tilføje brugere, kan du skrive dem i tekstfeltet Navn. For at bekræfte stavningen af de brugernavne, du vil tilføje, kan du klikke på Kontroller navne, som bekræfter brugernavnene for dig. Du kan også klikke på knappen Avanceret, som udvider dialogboksen, så du kan liste alle brugerkonti på systemet. Denne dialogboks har en Find nu mulighed for hurtigt at liste alle brugere på systemet. Hvis du klikker på Find nu, vil du se en skærm svarende til figur 9.
figur 9. Avanceret valg af brugere
-
når du har klikket på Find nu, vil du se en liste over brugere på systemet samt lokale systembruger-og gruppekonti. Vælg den eller de brugere, du vil være i din gruppe. For at vælge flere brugere kan du holde Ctrl-tasten nede på tastaturet, mens du klikker. Du kan også vælge en liste ved hjælp af Shift-tasten. Hvis du klikker på det øverste element på din liste, skal du holde Shift-tasten nede og klikke på det nederste element på din liste, du vælger alle elementerne mellem og inklusive dit øverste og nederste valg.
særlige Identitetsgrupperdu bemærker muligvis, at når du tilføjede brugere til din gruppe, havde du flere flere konti og grupper, som du ikke oprettede. Disse er særlige identitetsgrupper, og du kan ikke kontrollere medlemskabet af disse grupper. Dine brugere bliver medlemmer af disse grupper gennem de handlinger, de udfører på dine servere, eller hvordan de får adgang til servere, og medlemskabet til disse grupper er midlertidigt og ændres normalt i betragtning af, hvordan brugeren vil arbejde med systemet. Systemgrupper kan bruges til at hjælpe med at indstille tilladelser baseret på, hvordan brugerne får adgang til eller interagerer med serveren. Tabel 2 viser et par af de systemgrupper, du kan støde på, mens du arbejder med serveren. de grupper, der ikke er angivet i tabellen, er normalt systemgrupper, der er reserveret til brug af operativsystemet og de tjenester, der kører på din Server 2008 R2-server. Især skal du være særlig opmærksom på en særlig identitetskonto, systemkontoen. Systemkontoen repræsenterer operativsystemet Server 2008 R2. Når du arbejder med filerne på din server og brugerrettighederne, kan du støde på systemkontoen, og du skal lade denne konto være uændret. Hvis du ændrer de tilladelser eller rettigheder, som systemkontoen har på din server, kan du deaktivere din server, hvilket kan resultere i, at du geninstallerer operativsystemet.
|
2.3. Administrer dine lokale brugere og grupper
når du er færdig med at oprette dine brugergrupper, skal du vedligeholde og administrere de lokale konti. For at begynde at administrere lokale grupper skal du bare højreklikke på den bruger eller gruppe, du vil administrere. De deler nogle fælles opgaver. Når du højreklikker på en bruger eller gruppe, kan du slette, omdøbe, åbne hjælp eller få vist objektets unikke egenskaber.
når du højreklikker på brugeren, kan du indstille en ny adgangskode til brugeren. Den eneste gang du skal indstille adgangskoden til en eksisterende konto er, hvis brugeren har glemt eller mistet deres adgangskode. Brugeren mister adgang til oplysninger såsom krypterede filer, lagrede internetadgangskoder (selvom brugeren kan genskabe disse med den nye adgangskode), e-mail, der er krypteret med brugerens offentlige nøgle, og eventuelle lagrede certifikater (igen kan nye certifikater udstedes for stadig at give adgang). Den potentielle risiko her er at miste data i filer, der er krypteret af det krypterede filsystem (EFS). Hvis du har sikkerhedskopieret dine gendannelsesnøgler, vil du være i stand til at hente data; men hvis der ikke er nogen sikkerhedskopi af nøglerne, kan du ikke få adgang til dataene.
når du højreklikker på en brugerkonto, får du valget om at indstille adgangskoden. Når du vælger indstillingen, modtager du advarslen vist i Figur 10.
Figur 10. Indstilling af adgangskode advarsel
når du højreklikker på en gruppe og vælger Føj til gruppe, starter dette den samme proces for at tilføje medlemmer til din gruppe som brugt i den foregående procedure, da du oprettede gruppen. Når du vælger indstillingen Egenskaber, Når du højreklikker på gruppen, fører den dig til de egenskaber, hvor du kan bruge dialogboksen Tilføj medlemmer.
når du vælger indstillingen Egenskaber, Når du højreklikker, åbnes en liste over egenskaber, du kan ændre for brugerkontoen, som vist i Figur 11.
de egenskaber, der er anført her, er del dokumentation og del konto konfiguration. De nævnte faner giver dig mulighed for at konfigurere grundlæggende brugernavn og beskrivelsesoplysninger og gruppemedlemskab. Du kan også indstille egenskaber for eksterne Desktop Services forbindelser oplysninger, brugerprofiler, hjemmekatalogoplysninger, og dial-In adgang.
Figur 11. Bruger egenskaber
2.4. Administrer lokale brugere og grupper på Server Core
du har muligvis ikke adgang til en Microsoft-administrationskonsol, og du skal muligvis foretage ændringer af de lokale brugere og grupper på en R2 Server Core-installation. Du kan tilføje, slette og ændre alle aspekter af de lokale brugere og grupper via kommandoprompten. Specifikt er netkommandoen, hvordan du arbejder med brugere og grupper direkte på Serverkernen. Net kommandoen vil også arbejde på en Vinduer Server 2008 R2 fuld server installation.
netkommandoen har mange funktioner, herunder start og stop af tjenester og konfiguration af IP-adressen på serveren. Du vil se i dette afsnit, hvordan du bruger netkommandoen til at arbejde med dine lokale brugere og grupper.
alle netkommandoer begynder med net; for brugere efterfølges dette af Bruger, og for lokale grupper efterfølges dette af localgroup. Hvis du f. eks. vil se den aktuelle liste over dine lokale brugere eller lokale grupper, skal du skrive en af følgende enkle kommandoer og trykke på Enter:
-
brug netbruger til at se en liste over lokale brugere.
-
brug net localgroup til at se en liste over lokale grupper.
for at tilføje en bruger eller lokal gruppe til systemet følger kommandoerne lignende syntaks. Kommandoerne inkluderer kontakten / Tilføj. Hvis du f. eks. vil tilføje en bruger ved navn Harold med en adgangskode til dit system, skal du bruge følgende kommando:
net user Harold /add
hvis du vil føje en lokal gruppe kaldet forfattere til din server, skal du bruge følgende kommando:
net localgroup Writers /add
for at tilføje Harold til forfattergruppen bruger du følgende kommando:
net localgroup Writers Harold /add
for at se det aktuelle medlemskab for de lokale gruppeforfattere, skal du bruge følgende kommando:
net localgroup Writers