vaikka Hyödyntäisit Active Directorya, sinun on silti ymmärrettävä, miten paikalliset käyttäjät ja ryhmät toimivat. Paikalliset käyttäjät ja ryhmät ovat avainasemassa paitsi kunnossapidossa myös keskushallinnossa.
tässä osiossa näet, miten paikallisia käyttäjiä ja ryhmiä hallitaan sekä Windows Server 2008 R2: n täyspalvelinasennuksissa että palvelimen Ydinasennuksissa. Opit myös paikallisten käyttäjien/ryhmien oletusasetukset ja näiden palvelimien oletusasetukset sekä sen, miten nämä asetukset vaikuttavat infrastruktuuriisi.
- 1. Opi paikallisten käyttäjien ja ryhmien oletusarvot
- Taulukko 1. Paikalliset Oletusryhmät
- 2. Hallitse paikallisia käyttäjiä ja ryhmiä
- Kuva 1. Tyhjä MMC
- kuva 2. Laajennusten lisääminen
- kuva 3. Kohdekone
- Kuva 4. Paikallisten käyttäjien ja ryhmien hallinta
- 2.1. Luo paikallinen käyttäjätili
- kuva 5. Uusi käyttäjä – valintaikkuna
- kuva 6. Salasanan monimutkaisuuden virhe
- Oletussalasanavaatimukset
- 2.2. Luo paikallinen ryhmä
- Kuva 7. Uusi ryhmä-valintaikkuna
- Kuva 8. Valitse käyttäjät – valintaikkuna
- Kuva 9. Käyttäjien lisävalinta
- erityiset Identiteettiryhmät
- Taulukko 2. Erityiset Identiteettiryhmät
- 2.3. Hallitse paikallisia käyttäjiä ja ryhmiä
- Kuva 10. Salasanavaroituksen asettaminen
- Kuva 11. Käyttäjän ominaisuudet
- 2.4. Hallitse paikallisia käyttäjiä ja ryhmiä Palvelinytimessä
1. Opi paikallisten käyttäjien ja ryhmien oletusarvot
olitpa sitten Windows Server 2008 R2: n täysasennuksessa tai Palvelinytimessä, paikallisten ryhmien hallinta tarjoaa joitakin suuria yhtäläisyyksiä. Oletusasennuksista alkaen molemmissa järjestelmissä on asennettuna samat oletuskäyttäjät ja-ryhmät.
Windows Server 2008 R2-palvelimella on oletusarvoisesti kaksi käyttäjätiliä, Järjestelmänvalvoja ja vieras.
-
järjestelmänvalvoja on oletusasetuksena paikallisen koneen hallinnointiin. Järjestelmänvalvojan tili on oletusarvoisesti ainoa käytössä oleva tili.
-
Guest on oletusarvoisesti sisäänrakennettu tili, jolla vieras pääsee järjestelmään; tili on kuitenkin oletusarvoisesti pois käytöstä.
taulukossa 1 kuvataan useita muita oletusarvoisesti asennettuja ryhmiä, jotka sinun on tiedettävä.
ryhmä | määritelmä ja käyttö |
---|---|
järjestelmänvalvojat | tällä ryhmällä on rajoittamaton pääsy paikalliseen tietokoneeseen. Tämä tili on tärkein tili, jolla voit suorittaa minkä tahansa tehtävän palvelimella. Oletusarvoisesti järjestelmänvalvoja-tili on tämän ryhmän ainoa jäsen. |
Varmuuskopiointioperaattorit | tämä ryhmä on nimensä mukaisesti suunniteltu tiedostojen varmuuskopiointiin ja restaurointiin palvelimella. |
Varmennepalvelu Dcom Access | tämä ryhmä saa muodostaa yhteyden varmenneviranomaisiin, jotta se voi rekisteröityä haluamaasi julkisen avaimen infrastruktuuriin. |
salauksen operaattorit | tämä ryhmä on sallittu ja valtuutettu suorittamaan salaustoimintoja palvelimellasi. Näitä asetuksia ovat muun muassa Windowsin palomuurin IPSec-käytäntöön sisältyvät salausasetukset. |
hajautetut COM-käyttäjät | tämä ryhmä voi aktivoida ja käynnistää DCOM-objekteja palvelimella. DCOM-objekteja käytetään sovellusten viestintään. |
Tapahtumalokien lukijat | tämä ryhmä voi työskennellä paikallisten tapahtumalokien kanssa ja lukea niitä palvelimella. |
vieraat | Tämän ryhmän käyttäjillä on oletusarvoisesti sama käyttöoikeus kuin käyttäjäryhmällä, lukuun ottamatta Vierastiliä, jota rajoitetaan edelleen. Oletusarvoisesti tämän ryhmän ainoa tili on käytöstä poistettu Vierastili. |
IIS_IUSRS | tämä on Internetin tietopalveluissa käytettävä oletustili. |
verkkokokoonpanon operaattoreilla | tämän ryhmän käyttäjillä on joitakin hallinnollisia oikeuksia palvelimen verkko-ominaisuuksien määrityksen hallintaan. |
Suorituskykylokin käyttäjät | tämän ryhmän avulla käyttäjät voivat ajoittaa suorituslaskureiden kirjaamisen, ottaa jäljityspalvelimet käyttöön ja kerätä tapahtumajälkiä paikalliselle palvelimelle. Tehtävät voidaan hoitaa paikallisesti tai etänä. |
suorituskyvyn seurannan käyttäjät | tämä ryhmä voi käyttää paikallista suorituskykylaskuritietoa joko paikallisesti tai etähallinnan kautta. |
Virrankäyttäjät | tällä ryhmällä on rajoitetut hallinnolliset valmiudet järjestelmässä ja se sisältyy ensisijaisesti taaksepäin yhteensopivuuteen aiempien käyttöjärjestelmien kanssa. |
Tulostusoperaattorit | nämä käyttäjät voivat työskennellä paikallisen palvelinjärjestelmän tulostimien kanssa ja hallinnoida niitä. |
Etätyöpöytäkäyttäjille | Tämän ryhmän käyttäjille annetaan oikeus kirjautua etänä palvelimelle. |
Replikaattori | tämä ryhmä on suunniteltu tiedostojen replikointiin. |
käyttäjillä | on rajoitettu hallinnollinen pääsy järjestelmään, jotta jäsenet eivät tahattomasti tekisi muutoksia, jotka voivat aiheuttaa koko järjestelmän laajuisia muutoksia; tämän ryhmän käyttäjät voivat kuitenkin suorittaa ja käyttää useimpia sovelluksia. |
käyttäjätilien sijoittaminen näihin paikallisiin ryhmiin antaa näille käyttäjille pääsyn ryhmien oikeisiin käyttöoikeuksiin ja velvollisuuksiin. Ryhmien käytön perusajatuksena voit antaa käyttöoikeuksia vain kerran ryhmälle, mikä antaa oikeudet kaikille ryhmän jäsenille. Tämä tarjoaa helpon tavan siirtää hallintoa palvelimellesi. Jos esimerkiksi haluat, että käyttäjä suorittaa päivittäisen varmuuskopioinnin palvelimestasi, sinun tarvitsee vain lisätä ne Varmuuskopiointioperaattoriryhmään, ja heille myönnetään tarvittavat oikeudet varmuuskopiointi-ja palautustoimintojen suorittamiseen.
2. Hallitse paikallisia käyttäjiä ja ryhmiä
paikallisten käyttäjäryhmien hallinta palvelimellasi on vain Microsoftin hallintakonsolin (MMC) oikean laajennuksen lataamista. Voit hallita joko Windows Server 2008 R2 – kokopalvelinasennusta tai palvelimen Ydinasennusta. Jos kuitenkin haluat hallita paikallisia käyttäjiä ja ryhmiä Palvelinydinasennuksessasi MMC: llä, sinun on tehtävä se etänä. On olemassa järjestelmäkomentoja, joiden avulla voit hallita palvelimen ydintä paikallisesti, ja näet nämä komennot myöhemmin tässä osiossa. Jos haluat käyttää paikallisia käyttäjäryhmiä, voit siirtyä ohjauspaneeliin hallitsemaan tilejä, tai haluat ehkä tarkastella käyttäjiä perusteellisemmin. Näet paikalliset käyttäjät ja ryhmänhallintatyökalut sekä koko palvelimen että Palvelinydinasennukseen seuraavissa vaiheissa.
-
Valitse Start = > Suorita, kirjoita MMC ja paina Enter. Tämä kuormittaa tyhjän MMC: n kuvan 1 mukaisesti.
Kuva 1. Tyhjä MMC
-
voit suorittaa työn missä tahansa tyhjässä MMC: ssä, sinun on ladattava asianmukainen laajennus. Voit ladata laajennuksia valitsemalla File = > Add / Remove-laajennuksen. Tämä lataa Lisää tai poista laajennukset-valintaikkunan Kuvan 2 mukaisesti.
kuva 2. Laajennusten lisääminen
voit hallita paikallisia käyttäjiä ja ryhmiä valitsemalla Paikalliset käyttäjät ja ryhmät-laajennuksen ja napsauttamalla Lisää-painiketta. Tämä avaa Valitse Kohdekone-valintaikkunan, kuten kuvassa 3.
kuva 3. Kohdekone
valitse Kohdekone-valintaikkunassa voit joko valita paikallisen tietokoneen hallitsemaan sen koneen käyttäjiä, jolta käytät konsolia, tai valita toisen tietokoneen radiopainikkeen ja syöttää joko IP-osoitteen tai sen tietokoneen nimen, jota haluat hallita. Tämän asetuksen avulla voit hallita paikallisia käyttäjiä ja ryhmiä etäpalvelimella, kuten Server Core, jos sinulla on asianmukaiset oikeudet. Kun olet tehnyt valintasi, palaa Lisää tai poista laajennukset – valintaikkunaan valitsemalla Valmis.
-
napsauta Lisää tai poista laajennukset-valintaikkunassa OK ladataksesi laajennuksen MMC-järjestelmääsi. Kuvassa 4 esitetään paikalliset käyttäjät ja ryhmä MMC.
Kuva 4. Paikallisten käyttäjien ja ryhmien hallinta
kun olet ladannut laajennukset MMC: hen, voit tallentaa räätälöidyn MMC: n tulevaa käyttöä varten. Voit tehdä niin valitsemalla File = > Save.
kun olet ladannut MMC: n paikallisten käyttäjien ja ryhmien hallitsemiseksi, voit helposti työskennellä käyttäjien ja ryhmien kanssa. Käyttäjätunnusten ja ryhmien luominen, salasanojen vaihtaminen tai muut ominaisuudet voidaan kaikki helposti tehdä käyttöliittymän avulla.
2.1. Luo paikallinen käyttäjätili
kun luot paikallisen käyttäjätilin, annat tilille pääsyn paikalliseen palvelimeen, mikä on yksinkertainen prosessi:
-
Napsauta edellisessä menettelyssä luomasi paikallisten käyttäjien ja ryhmän MMC sisällä käyttäjät-säiliötä hiiren kakkospainikkeella.
-
valitse uusi käyttäjä, joka näyttää uusi käyttäjä-valintaikkunan Kuvan 5 mukaisesti.
kuva 5. Uusi käyttäjä – valintaikkuna
-
Kirjoita käyttäjätunnus, koko nimi ja valinnainen kuvaus sekä salasana. Salasanan on oletusarvoisesti noudatettava salasanan monimutkaisuutta koskevia vaatimuksia, jotka on lueteltu ”Oletussalasanavaatimukset” – sivupalkissa. Lisäksi voit merkitä tilin pois käytöstä, jos tiedät, että tili ei ole käytössä jonkin aikaa. Sinulla on myös seuraavat vaihtoehdot koskien alkuperäisen salasanan asettamista:
käyttäjän on vaihdettava salasana seuraavan kirjautumisen yhteydessä. tämä on oletusasetus, ja sinun tulisi harkita tämän valintaruudun pitämistä käytössä, kun luot uuden käyttäjätilin. Ainoa kerta, kun tämä valintaruutu tyhjennetään, on se, kun luomasi tili on sovelluksen palvelutili. Tämän asetuksen avulla käyttäjä voi asettaa oman henkilökohtaisen salasanansa kirjautuessaan järjestelmään ensimmäistä kertaa. Kaikki mitä sinun tarvitsee tehdä, koska järjestelmänvalvoja on asetettu alustava väliaikainen salasana käyttäjälle. Käyttäjä voi haluta tietää käyttäjiensä salasanat siltä varalta, että käyttäjä lähtee yhtiöstä tai on lomalla. Todellisuudessa, niin kauan kuin tiedät järjestelmänvalvojan salasanan, sinulla on oikeus nollata salasana väliaikaisesti ja päästä tilille. Vaikka tämä kyky on hyvä olla, sitä kannattaa käyttää varoen ja vain silloin, kun tilanne sitä vaatii.
käyttäjä ei voi muuttaa salasanaa oletusarvoisesti tämä asetus harmaantuu ja tulee käyttöön vasta, kun käyttäjä poistaa salasanan käyttäjän on vaihdettava salasana seuraavassa Kirjautumisasetuksessa, joka on mainittu aiemmin. Näin voit varmistaa, että tilin salasana ei muutu. Tämä on hyvä myös palvelimelle ladattujen sovellusten huoltotileille. Tämä asetus ohittaa myös kaikki paikalliset koneen salasanatilikäytännöt.
salasana ei vanhene oletusarvoisesti myös tämä asetus harmaantuu, ja kuten edellinen asetus, se tulee saataville vasta, kun Käyttäjän on vaihdettava salasanaa seuraavan kirjautumisen yhteydessä. Asetus, kuten nimikin kertoo, lukitsee salasanan. Tämä asetus ohittaa myös paikallisen koneen salasanakäytännön.
-
kun olet täyttänyt lomakkeen, Luo tili napsauttamalla Luo. Jos salasanasi ei täytä salasanan monimutkaisuutta koskevia vaatimuksia, näet ruudun kuvassa 6.
kuva 6. Salasanan monimutkaisuuden virhe
oletussalasanavaatimukset ovat samat sekä paikallisille käyttäjätileille että Active Directory-käyttäjätileille . Windows Server 2008 R2-palvelimen oletussalasanavaatimukset ovat seuraavat:
-
ei voi sisältää käyttäjän tilin nimeä tai osia käyttäjän koko nimestä, jotka ylittävät kaksi peräkkäistä merkkiä
-
oltava vähintään kuuden merkin pituinen
-
sisältää merkkejä kolmesta seuraavista neljästä luokasta:
Englannin suuraakkoset (A-Z)
Englannin pienaakkoset (A–z)
10 numeroa (0-9)
Ei-Alphabetiset merkit (esim., $, #, %)
-
-
jos sinulla ei ole enää luotavia paikallisia käyttäjätilejä, valitse Sulje. Muussa tapauksessa toista vaiheet 3 ja 4 jatkaaksesi paikallisten tilien luomista palvelimellasi.
2.2. Luo paikallinen ryhmä
kun olet luonut käyttäjätilisi, haluat todennäköisesti luoda ryhmiä, joihin voit lisätä käyttäjiäsi. Ryhmiä, kuten ehkä tiedätte, käytetään käyttöoikeuksien myöntämiseen yleensä Windows Server 2008 R2-palvelimella sijaitseville tiedostoille tai tulostimille. Näille paikallisille ryhmille voidaan myöntää oikeuksia ja käyttöoikeuksia resursseihin vain paikallisella palvelimella.
-
Napsauta aiemmin luomasi paikallisten käyttäjien ja ryhmän MMC sisällä ryhmät-säiliötä hiiren kakkospainikkeella.
-
Valitse Uusi ryhmä, joka näyttää uuden ryhmän valintaikkunan Kuvan 7 mukaisesti.
Kuva 7. Uusi ryhmä-valintaikkuna
Kirjoita uuden ryhmän nimi ja kuvaus. Jos haluat lisätä välittömästi jäseniä ryhmääsi, napsauta näytön alareunassa olevaa Lisää-painiketta. Napsauta Lisää-painiketta ja näyttää Valitse käyttäjät-valintaikkunan Kuvan 8 mukaisesti.
Kuva 8. Valitse käyttäjät – valintaikkuna
voit lisätä käyttäjiä kirjoittamalla ne Nimi – tekstiruutuun. Voit tarkistaa lisättävien käyttäjänimien oikeinkirjoituksen valitsemalla Tarkista nimet, mikä vahvistaa käyttäjätunnukset puolestasi. Voit myös napsauttaa Lisäasetukset-painiketta, joka laajentaa valintaikkunaa, jotta voit luetella kaikki järjestelmän käyttäjätilit. Tässä valintaikkunassa on etsi nyt-vaihtoehto, jonka avulla voit nopeasti luetella kaikki järjestelmän käyttäjät. Jos napsautat Etsi nyt, näet kuvan 9 kaltaisen näytön.
Kuva 9. Käyttäjien lisävalinta
-
kun napsautat Etsi nyt-painiketta, näet luettelon järjestelmän käyttäjistä sekä paikallisen järjestelmän käyttäjä-ja ryhmätileistä. Valitse käyttäjä tai käyttäjät, jotka haluat ryhmääsi. Jos haluat valita useita käyttäjiä, voit pitää Ctrl-näppäintä näppäimistöllä, kun napsautat. Voit myös valita listan käyttämällä Shift-näppäintä. Jos napsautat listan ylintä kohdetta, pidät Shift-näppäintä pohjassa ja napsautat luettelon alinta kohdetta, valitset kaikki ylä-ja alavalintasi välillä olevat kohteet ja sisällytät ne.
erityiset Identiteettiryhmätsaatat huomata, että kun olit lisäämässä käyttäjiä ryhmääsi, sinulla oli useita muita tilejä ja ryhmiä, joita et luonut. Nämä ovat erityisiä identiteettiryhmiä, joiden jäsenyyteen ei voi vaikuttaa. Käyttäjistä tulee näiden ryhmien jäseniä niiden toimien kautta, joita he suorittavat palvelimillasi tai miten he käyttävät palvelimia, ja näiden ryhmien jäsenyys on väliaikaista ja yleensä muuttuu, kun otetaan huomioon, miten käyttäjä toimii järjestelmän kanssa. Järjestelmäryhmiä voidaan käyttää auttamaan käyttöoikeuksien määrittämisessä sen perusteella, miten käyttäjät käyttävät palvelinta tai ovat vuorovaikutuksessa sen kanssa. Taulukossa 2 luetellaan muutamia järjestelmäryhmiä, joihin saatat törmätä työskennellessäsi palvelimen kanssa. ryhmät, joita ei ole lueteltu taulukossa, ovat yleensä järjestelmäryhmiä, jotka on varattu käyttöjärjestelmän käyttöön ja Windows Server 2008 R2-palvelimella toimiviin palveluihin. Erityisesti sinun on kiinnitettävä erityistä huomiota yhteen erityiseen henkilöllisyystiliin, JÄRJESTELMÄTILIIN. Järjestelmätili edustaa Windows Server 2008 R2-käyttöjärjestelmää. Kun käsittelet palvelimellasi olevia tiedostoja ja käyttöoikeuksia, saatat kohdata JÄRJESTELMÄTILIN, ja sinun pitäisi jättää tämä tili muuttamatta. Jos teet muutoksia JÄRJESTELMÄTILIN käyttöoikeuksiin tai oikeuksiin palvelimellasi, voit poistaa palvelimesi käytöstä, mikä voi johtaa käyttöjärjestelmän asentamiseen uudelleen.
|
2.3. Hallitse paikallisia käyttäjiä ja ryhmiä
kun olet luonut käyttäjäryhmäsi, sinun on ylläpidettävä ja hallittava paikallisia tilejä. Aloittaaksesi paikallisten ryhmien hallinnan, napsauta hiiren kakkospainikkeella käyttäjää tai ryhmää, jota haluat hallita. Heillä on yhteisiä tehtäviä. Kun napsautat käyttäjää tai ryhmää hiiren kakkospainikkeella, voit poistaa, nimetä uudelleen, avata ohjeen tai tarkastella kohteen ainutlaatuisia ominaisuuksia.
kun napsautat käyttäjää hiiren kakkospainikkeella, voit asettaa käyttäjälle uuden salasanan. Olemassa olevan tilin salasana kannattaa asettaa vain, jos käyttäjä on unohtanut tai kadottanut salasanansa. Käyttäjä menettää pääsyn tietoihin, kuten salattuihin tiedostoihin, tallennettuihin Internet-salasanoihin (vaikka käyttäjä voi luoda ne uudelleen uudella salasanalla), sähköpostiin, joka on salattu käyttäjän julkisella avaimella, ja tallennettuihin varmenteisiin (jälleen uusia varmenteita voidaan myöntää edelleen käyttöoikeuksien myöntämiseksi). Mahdollinen riski tässä on tietojen häviäminen tiedostoista, jotka on salattu salattu EFS (encrypted file system). Jos olet varmuuskopioinut palautusavaimet, voit hakea tietoja; kuitenkin, jos ei ole varmuuskopiota avaimet, et voi käyttää tietoja.
kun napsautat käyttäjätiliä hiiren kakkospainikkeella, sinulle esitetään valinta salasanan asettamiseksi. Kun valitset vaihtoehdon, saat varoituksen kuvassa 10.
kun napsautat ryhmää hiiren kakkospainikkeella ja valitset Lisää ryhmään, tämä käynnistää ryhmän jäsenten lisäämisprosessin, jota käytettiin edellisessä ryhmässä. Lisäksi, kun valitset Ominaisuudet-vaihtoehdon sen jälkeen, kun olet napsauttanut ryhmää hiiren kakkospainikkeella, se vie sinut ominaisuuksiin, joissa voit käyttää Lisää jäseniä-valintaikkunaa.
kun valitset Ominaisuudet-vaihtoehdon hiiren kakkospainikkeella, avaa luettelon ominaisuuksista, joita voit muokata käyttäjätilille, kuten kuvassa 11 esitetään.
tässä luetellut ominaisuudet ovat osa dokumentaatiota ja osa tilin asetuksia. Listattujen välilehtien avulla voit määrittää käyttäjätunnuksen ja kuvauksen perustiedot sekä ryhmän jäsenyyden. Voit myös asettaa ominaisuuksia Etätyöpöytäpalvelujen yhteystiedoille, käyttäjäprofiileille, kotihakemiston tiedoille ja dial-in-käyttöoikeuksille.
Kuva 11. Käyttäjän ominaisuudet
2.4. Hallitse paikallisia käyttäjiä ja ryhmiä Palvelinytimessä
sinulla ei ehkä ole pääsyä Microsoftin hallintakonsoliin, ja saatat joutua tekemään muutoksia paikallisiin käyttäjiin ja ryhmiin Windows Server 2008 R2-Palvelinydinasennuksessa. Voit lisätä, poistaa ja muokata kaikkia paikallisten käyttäjien ja ryhmien näkökohtia komentokehotteen kautta. Erityisesti, net komento on, miten voit työskennellä käyttäjien ja ryhmien suoraan palvelimen ydin. Net-komento toimii myös Windows Server 2008 R2: n täyden palvelimen asennuksessa.
net-komennossa on monia toimintoja, kuten palveluiden käynnistäminen ja pysäyttäminen sekä palvelimen IP-osoitteen määrittäminen. Tässä osiossa näet, miten net-komentoa käytetään paikallisten käyttäjien ja ryhmien kanssa työskentelyyn.
kaikki net-komennot alkavat netillä; käyttäjille tätä seuraa käyttäjä ja paikallisille ryhmille tätä seuraa localgroup. Jos haluat esimerkiksi nähdä nykyisen luettelon paikallisista käyttäjistäsi tai paikallisista ryhmistäsi, kirjoita yksi seuraavista yksinkertaisista komennoista ja paina Enter:
-
käytä net user nähdäksesi listan paikallisista käyttäjistä.
-
käytä net localgroup nähdäksesi luettelon paikallisista ryhmistä.
voit lisätä käyttäjän tai paikallisen ryhmän järjestelmään, komennot noudattavat samanlaista syntaksia. Komennot sisältävät / add-valitsimen. Esimerkiksi, Jos haluat lisätä käyttäjän nimeltä Harold salasanalla järjestelmään, käytät seuraavaa komentoa:
net user Harold /add
jos haluat lisätä paikallisen ryhmän nimeltä Writers palvelimeesi, käytät seuraavaa komentoa:
net localgroup Writers /add
lisätäksesi Haroldin Writers Groupiin, käyttäisit seuraavaa komentoa:
net localgroup Writers Harold /add
nähdäksesi paikallisen ryhmän Kirjailijajäsenyyden, käyttäisit seuraavaa komentoa:
net localgroup Writers