Windows Server 2008 R2 : Lokale gebruikers en groepen begrijpen (deel 1) – Lokale gebruikers en groepen beheren

zelfs als u Active Directory gebruikt, moet u nog steeds begrijpen hoe lokale gebruikers en groepen werken. Lokale gebruikers en groepen spelen een sleutelrol, niet alleen voor het onderhoud, maar ook voor de centrale administratie.

in deze sectie ziet u hoe u lokale gebruikers en groepen kunt beheren op zowel Windows Server 2008 R2 volledige server-installaties als Server Core-installaties. U leert ook de standaard lokale gebruikers/groepen en de standaardinstellingen op deze servers en hoe deze instellingen uw infrastructuur beïnvloeden.

1. Standaard lokale gebruikers en groepen

of u nu werkt met een Windows Server 2008 R2 volledige installatie of met Server Core, het beheren van lokale groepen biedt een aantal grote overeenkomsten. Beginnend met de standaard installaties, hebben beide systemen dezelfde standaard gebruikers en groepen geïnstalleerd.

op uw Windows Server 2008 R2 server zijn standaard twee gebruikersaccounts aangemaakt, Administrator en Guest.

  • Administrator is het standaard ingebouwde account voor het beheren van de lokale machine. Het Administrator-account is standaard het enige account dat is ingeschakeld.

  • gast is het standaard ingebouwde account voor gast toegang tot het systeem; echter, het account is standaard uitgeschakeld.

Tabel 1 beschrijft een aantal andere standaard geïnstalleerde groepen die u moet weten.

Tabel 1. Standaard lokale groepen
Groep definitie en gebruik
Administrators deze groep heeft onbeperkte toegang tot de lokale computer. Dit account is het belangrijkste account om elke taak op een server uit te voeren. Standaard is het Administrator-account het enige lid van deze groep.
Back-upoperators deze groep is, zoals de naam al doet vermoeden, ontworpen voor het back-uppen en herstellen van bestanden op de server.
Certificaatservice DCOM-toegang deze groep mag verbinding maken met certificaatautoriteiten voor inschrijving in de openbare-sleutelinfrastructuur van uw voorkeur.
cryptografische Operators deze groep is toegestaan en gemachtigd om cryptografische bewerkingen uit te voeren op uw server. Deze instellingen omvatten onder andere de crypto-instellingen in het IPsec-beleid van de Windows Firewall.
gedistribueerde COM-gebruikers deze groep kan DCOM-objecten op de server activeren en starten. DCOM-objecten worden gebruikt voor de communicatie van de toepassingen.
Gebeurtenislogboeklezers deze groep kan met de lokale gebeurtenislogboeken op de server werken en lezen.
gasten gebruikers van deze groep hebben standaard dezelfde toegang als de gebruikersgroep, behalve het gastaccount, dat verder beperkt is. Standaard is het enige account in deze groep het uitgeschakelde gastaccount.
IIS_IUSRS dit is de standaard groepsaccount voor gebruik met Internetinformatiediensten.
Netwerkconfiguratie-Operators gebruikers in deze groep hebben enkele beheerdersrechten over het beheren van de configuratie van Netwerkfuncties op de server.
Prestatielogboekgebruikers deze groep stelt gebruikers in staat om de logboekregistratie van prestatieloggers te plannen, trace-providers in te schakelen en gebeurtenissporen voor de lokale server te verzamelen. De taken kunnen lokaal of op afstand worden uitgevoerd.
gebruikers van Prestatiemeter deze groep heeft toegang tot de gegevens van de lokale prestatieteller, lokaal of via Extern beheer.
Power Users deze groep heeft beperkte administratieve mogelijkheden op het systeem en is voornamelijk opgenomen voor achterwaartse compatibiliteit met eerdere besturingssystemen.
Printeroperators deze gebruikers kunnen met printers werken en printers beheren op het lokale serversysteem.
Extern bureaublad-gebruikers gebruikers in deze groep krijgen het recht om zich op afstand aan te melden bij de server.
Replicator deze groep is ontworpen voor bestandsreplicatie.
gebruikers hebben beperkte administratieve toegang tot het systeem om te voorkomen dat leden onbedoeld wijzigingen aanbrengen die systeembrede wijzigingen kunnen veroorzaken; gebruikers in deze groep kunnen echter de meeste toepassingen uitvoeren en openen.

het plaatsen van gebruikersaccounts in deze lokale groepen geeft deze gebruikers toegang tot de juiste machtigingen en verantwoordelijkheden voor de groepen. Het basisconcept achter het gebruik van groepen stelt u in staat om slechts één keer machtigingen toe te wijzen aan de groep, waardoor machtigingen worden verleend aan alle leden in de groep. Dit biedt een eenvoudige manier voor u om beheer te delegeren voor uw server. Als u bijvoorbeeld een gebruiker dagelijks een back-up van uw server wilt laten maken, hoeft u deze alleen maar toe te voegen aan de groep Back-upoperators en krijgt u de nodige rechten om back-up-en herstelbewerkingen uit te voeren.

2. Lokale gebruikers en groepen beheren

lokale gebruikersgroepen beheren op uw server is slechts een kwestie van het laden van de juiste module voor de MMC (Microsoft Management Console). U kunt een Windows Server 2008 R2 volledige server-installatie of een Server Core-installatie beheren. Echter, als u de lokale gebruikers en groepen op uw Server Core installatie wilt beheren met de MMC moet u dat op afstand doen. Er zijn systeem commando ’s waarmee je Server Core lokaal kunt beheren, en je zult deze commando’ s later in deze sectie zien. Om toegang te krijgen tot de lokale gebruikersgroepen, kunt u naar het Configuratiescherm gaan om de accounts te beheren, of u kunt de voorkeur geven aan een grondiger blik op de gebruikers. In de volgende stappen ziet u de lokale gebruikers-en groepsmanagementtools voor zowel een volledige server-als een Server-kerninstallatie.

  1. Selecteer Start = > Uitvoeren, typ MMC in en druk op Enter. Dit laadt een lege MMC, zoals weergegeven in Figuur 1.

    figuur 1. Blanco MMC

  2. als u werkzaamheden in een lege MMC wilt uitvoeren, moet u de juiste module laden. Als u modules wilt laden, selecteert u Bestand => Module toevoegen/verwijderen. Hiermee wordt het dialoogvenster Modules toevoegen of verwijderen geladen, zoals afgebeeld in Figuur 2.

    Figuur 2. Modules toevoegen

    als u uw lokale gebruikers en groepen wilt beheren, selecteert u de module Lokale gebruikers en groepen en klikt u op de knop Toevoegen. Hiermee wordt het dialoogvenster doelmachine kiezen geopend, zoals afgebeeld in Figuur 3.

    Figuur 3. Doel machine

    in het dialoogvenster doelmachine kiezen kunt u de lokale computer selecteren om de gebruikers te beheren op de machine waarvan u de console uitvoert, of het keuzerondje een andere Computer selecteren en het IP-adres of de naam van de computer die u wilt beheren invoeren. Met deze optie kunt u de lokale gebruikers en groepen op een externe server, zoals Server Core, beheren als u over de juiste machtigingen beschikt. Nadat u de selectie hebt gemaakt, klikt u op Voltooien om terug te keren naar het dialoogvenster Modules toevoegen of verwijderen.

  3. klik in het dialoogvenster Modules toevoegen of verwijderen op OK om de module in uw MMC te laden. Figuur 4 toont een lokale gebruikers en groep MMC.

    Figuur 4. Lokale gebruikers en groepen beheren

    nadat u de modules in de MMC hebt geladen, kunt u de aangepaste MMC opslaan voor toekomstig gebruik. Om dit te doen, selecteert u File => Save.

nadat u de MMC hebt geladen om lokale gebruikers en groepen te beheren, kunt u eenvoudig met uw gebruikers en groepen werken. Het maken van gebruikers-ID ‘ s en groepen, het veranderen van wachtwoorden, of andere eigenschappen kunnen allemaal eenvoudig worden gedaan met de interface.

2.1. Maak een lokaal gebruikersaccount

wanneer u een lokaal gebruikersaccount maakt, verleent u het account toegang tot de lokale server, wat een eenvoudig proces is:

  1. klik met de rechtermuisknop op de container gebruikers in de MMC voor lokale gebruikers en groepen die u in de vorige procedure hebt gemaakt.

  2. Selecteer Nieuwe gebruiker, waarin het dialoogvenster Nieuwe gebruiker wordt weergegeven, zoals weergegeven in Figuur 5.

    Figuur 5. Dialoogvenster Nieuwe gebruiker

  3. Typ de gebruikersnaam, de volledige naam en de optionele beschrijving in, evenals het wachtwoord. Het wachtwoord moet standaard de wachtwoordcomplexiteitsvereisten volgen die worden vermeld in de zijbalk” Standaardwachtwoordvereisten”. Bovendien kunt u het account uitgeschakeld markeren, als u weet dat het account gedurende een bepaalde periode niet in gebruik zal zijn. U hebt ook de volgende opties met betrekking tot de instelling van het initiële wachtwoord:

    de gebruiker moet het wachtwoord wijzigen bij de volgende aanmelding. dit is de standaardinstelling en u moet overwegen dit selectievakje ingeschakeld te houden wanneer u een nieuw gebruikersaccount maakt. De enige keer dat u dit selectievakje moet uitschakelen, is wanneer het account dat u maakt een serviceaccount voor een toepassing is. Met deze instelling kan de gebruiker zijn eigen persoonlijke wachtwoord instellen wanneer hij zich de eerste keer op het systeem aanmeldt. Het enige wat u hoeft te doen als de beheerder is het instellen van een eerste tijdelijke wachtwoord voor de gebruiker. U wilt misschien de wachtwoorden voor uw gebruikers weten in het geval een gebruiker het bedrijf verlaat of op vakantie is. In werkelijkheid hebt u, zolang u het beheerderswachtwoord kent, het beheerdersrecht om een wachtwoord tijdelijk opnieuw in te stellen en toegang te krijgen tot een account. Hoewel het goed is om dit vermogen te hebben, moet u het voorzichtig uitoefenen en alleen wanneer de situatie het rechtvaardigt.

    gebruiker kan het wachtwoord standaard niet wijzigen deze instelling is grijs en wordt alleen beschikbaar wanneer u de gebruiker moet het wachtwoord wijzigen bij de volgende Aanmeldingsinstelling, zoals eerder vermeld, uitschakelt. Hiermee kunt u ervoor zorgen dat het wachtwoord voor het account niet verandert. Dit is ook goed voor service accounts voor toepassingen geladen op uw server. Deze instelling omzeilt ook het beleid van een lokaal machinewachtwoordaccount.

    wachtwoord verloopt nooit standaard deze instelling is ook grijs, en net als de vorige instelling, wordt deze alleen beschikbaar wanneer de gebruiker het wachtwoord moet wijzigen bij de volgende Aanmeldingsinstelling wordt gewist. De instelling, zoals de naam al aangeeft, vergrendelt het wachtwoord. Deze instelling zal ook elke lokale machine wachtwoord beleid omzeilen.

  4. nadat u het formulier hebt ingevuld, klikt u op maken om het account aan te maken. Als uw wachtwoord niet voldoet aan de vereisten voor wachtwoordcomplexiteit, ziet u het scherm in Figuur 6.

    Figuur 6. Wachtwoord complexiteit fout

    standaard wachtwoordvereisten

    de standaard wachtwoordvereisten zijn hetzelfde voor zowel de lokale gebruikersaccounts als de Active Directory-gebruikersaccounts . De standaard wachtwoordvereisten voor een Windows Server 2008 R2-server zijn als volgt:

    • kan de accountnaam van de gebruiker of delen van de volledige naam van de gebruiker niet bevatten die twee opeenvolgende tekens overschrijden

    • ten minste zes tekens lang zijn

    • bevat tekens uit drie van de volgende vier categorieën:

      Engelse hoofdletters (A–Z)

      Engelse kleine letters (A-z)

      basis 10 cijfers (0-9)

      niet-alfabetisch tekens (bijvoorbeeld !, $, #, %)

  5. als u geen lokale gebruikersaccounts meer wilt maken, klikt u op Sluiten. Herhaal anders de stappen 3 en 4 Om door te gaan met het maken van lokale accounts op uw server.

2.2. Maak een lokale groep

nadat u uw gebruikersaccounts hebt aangemaakt, zult u hoogstwaarschijnlijk groepen willen aanmaken om uw gebruikers aan toe te voegen. Zoals u wellicht weet, worden groepen gebruikt om over het algemeen machtigingen toe te kennen aan bestanden of printers die zich op de Windows Server 2008 R2-server bevinden. Aan deze lokale groepen kunnen alleen rechten en machtigingen worden verleend voor bronnen op de lokale server.

  1. klik in de lokale gebruikers en groep MMC die u eerder hebt gemaakt met de rechtermuisknop op de container groepen.

  2. Selecteer Nieuwe groep, waarin het dialoogvenster Nieuwe groep wordt weergegeven, zoals weergegeven in Figuur 7.

    Figuur 7. Dialoogvenster Nieuwe groep

    Typ de naam van de nieuwe groep en een beschrijving in. Als u onmiddellijk leden aan uw groep wilt toevoegen, klikt u op de knop Toevoegen onderaan het scherm. Als u op de knop Toevoegen klikt, wordt het dialoogvenster Gebruikers selecteren weergegeven, zoals weergegeven in Figuur 8.

    Figuur 8. Dialoogvenster Gebruikers selecteren

    als u gebruikers wilt toevoegen, kunt u ze typen in het tekstvak Naam. Als u de spelling wilt controleren van de gebruikersnamen die u wilt toevoegen, klikt u op Namen controleren, waarmee de Gebruikersnamen voor u worden geverifieerd. U kunt ook op de knop Geavanceerd klikken, waarmee het dialoogvenster wordt uitgebreid zodat u alle gebruikersaccounts op het systeem kunt weergeven. Dit dialoogvenster heeft een zoek Nu optie waarmee u snel een lijst van alle gebruikers op het systeem. Als u op Nu zoeken klikt, ziet u een scherm dat lijkt op Figuur 9.

    figuur 9. Geavanceerd selecteren van gebruikers

  3. nadat u op Nu zoeken hebt geklikt, ziet u een lijst met gebruikers op het systeem, evenals lokale gebruikers-en groepsaccounts van het systeem. Selecteer de gebruiker (s) die u in uw groep wilt plaatsen. Als u meerdere gebruikers wilt selecteren, kunt u de Ctrl-toets op uw toetsenbord ingedrukt houden terwijl u klikt. U kunt ook een lijst selecteren met de Shift-toets. Als u op het bovenste item van uw lijst klikt, houdt u de verschuiving toets ingedrukt en klikt u op het onderste item in uw lijst, selecteert u alle items tussen en inclusief uw boven-en onderselectie.

speciale Identiteitsgroepen

u kunt merken dat wanneer u gebruikers aan uw groep toevoegt, u meerdere accounts en groepen had die u niet hebt aangemaakt. Dit zijn speciale identiteitsgroepen, en je kunt het lidmaatschap van deze groepen niet controleren. Uw gebruikers worden lid van deze groepen door de loop van de acties die ze uitvoeren op uw servers of hoe ze toegang tot servers, en het lidmaatschap van deze groepen is tijdelijk en verandert normaal gezien hoe de gebruiker zal werken met het systeem. Systeemgroepen kunnen worden gebruikt om machtigingen in te stellen op basis van de manier waarop gebruikers de server benaderen of ermee omgaan. Tabel 2 toont een aantal systeemgroepen die je tegenkomt als je met de server werkt.

de groepen die niet in de tabel staan, zijn normaal gesproken systeemgroepen die gereserveerd zijn voor het gebruik van het besturingssysteem en de services die op uw Windows Server 2008 R2-server worden uitgevoerd. In het bijzonder moet u bijzondere aandacht besteden aan een speciale identiteitsaccount, het systeemaccount. Het systeemaccount vertegenwoordigt het besturingssysteem Windows Server 2008 R2. Als u met de bestanden op uw server en de gebruikersrechten werkt, kunt u het systeemaccount tegenkomen en MOET u dit account ongewijzigd laten. Als u een wijziging aanbrengt in de machtigingen of rechten die het systeemaccount op uw server heeft, kunt u uw server uitschakelen, wat kan resulteren in het opnieuw installeren van het besturingssysteem.

Tabel 2. Speciale Identiteitsgroepen
Groep beschrijving
Anonieme aanmelding dit geeft aan wanneer gebruikers geen referenties van welke aard dan ook gebruiken om toegang te krijgen tot het systeem.
Geverifieerde gebruikers gebruikers worden automatisch in deze groep geplaatst wanneer ze zich lokaal aanmelden bij het systeem. Gebruik maken van deze groep is een geweldige manier om ervoor te zorgen dat alleen geldige, geverifieerde gebruikers toegang tot bronnen kunnen krijgen.
Creator-eigenaar wanneer een gebruiker een object maakt, zoals een bestand of map op de server, worden deze in de Creator-eigenaar-Groep voor dat object geplaatst. Over het algemeen heeft de gebruiker van de maker eigenaar de volledige controle over het gemaakte object.
inbel wanneer een gebruiker verbinding maakt met de server via een inbelverbinding, zoals een externe VPN-verbinding, worden deze aan deze groep toegevoegd.
iedereen iedereen is lid van deze groep, ongeacht hoe ze de server benaderen.
interactief wanneer een gebruiker zich lokaal aanmeldt bij de server (met andere woorden, ze hebben fysieke toegang tot de server en fysiek aanmelden bij de server), worden gebruikers in deze groep geplaatst.
netwerk wanneer een gebruiker de server op afstand opent via een netwerkverbinding, zoals wanneer hij verbinding maakt met een bestandsdeling, wordt hij in deze groep geplaatst.
interactief aanmelden op afstand wanneer een gebruiker de server op afstand opent met een lokale gebruikers-ID en zich actief aanmeldt bij het systeem om externe taken uit te voeren, zoals wanneer een beheerder zich vanaf een extern werkstation aanmeldt bij de server, worden ze in deze groep geplaatst.
System dit is de accountgroep-ID die wordt gebruikt door het Windows Server 2008 R2-besturingssysteem.
terminalserver gebruiker wanneer gebruikers toegang krijgen tot de server met Extern bureaublad-Services, worden ze automatisch in deze groep geplaatst.

2.3. Beheer uw lokale gebruikers en groepen

nadat u klaar bent met het aanmaken van uw gebruikersgroepen, moet u de lokale accounts onderhouden en beheren. Als u lokale groepen wilt beheren, klikt u met de rechtermuisknop op de gebruiker of groep die u wilt beheren. Ze delen een aantal gemeenschappelijke taken. Wanneer u met de rechtermuisknop op een gebruiker of groep klikt, kunt u de unieke eigenschappen voor het object verwijderen, hernoemen, help openen of weergeven.

wanneer u met de rechtermuisknop op de gebruiker klikt, kunt u een nieuw wachtwoord instellen voor de gebruiker. De enige keer dat u het wachtwoord voor een bestaand account moet instellen is als de gebruiker zijn wachtwoord is vergeten of kwijt is. De gebruiker verliest de toegang tot informatie zoals versleutelde bestanden, opgeslagen internetwachtwoorden (hoewel de gebruiker deze opnieuw kan maken met het nieuwe wachtwoord), e-mail die is versleuteld met de publieke sleutel van de gebruiker, en alle opgeslagen certificaten (opnieuw, nieuwe certificaten kunnen worden uitgegeven om nog steeds toegang te verlenen). Het potentiële risico hier is het verliezen van gegevens in bestanden die zijn versleuteld door het versleutelde bestandssysteem (EFS). Als u een back-up van uw herstelsleutels hebt gemaakt, kunt u gegevens ophalen; als er echter geen back-up van de sleutels is, hebt u geen toegang tot de gegevens.

wanneer u met de rechtermuisknop op een gebruikersaccount klikt, krijgt u de keuze om het wachtwoord in te stellen. Wanneer u de optie selecteert, ontvangt u de waarschuwing in Figuur 10.

Figuur 10. Wachtwoord waarschuwing instellen

wanneer u met de rechtermuisknop op een groep klikt en aan groep toevoegen selecteert, start u hetzelfde proces om leden aan uw groep toe te voegen als in de vorige procedure toen u de groep hebt gemaakt. Wanneer u bovendien de optie Eigenschappen selecteert nadat u met de rechtermuisknop op de groep klikt, wordt u naar de eigenschappen gebracht waar u het dialoogvenster Leden toevoegen kunt gebruiken.

wanneer u de optie Eigenschappen selecteert nadat u met de rechtermuisknop klikt, opent u een lijst met eigenschappen die u kunt wijzigen voor het gebruikersaccount, zoals weergegeven in Figuur 11.

de hier weergegeven eigenschappen zijn deeldocumentatie en deelaccountconfiguratie. De tabbladen in de lijst kunt u basis gebruikersnaam en beschrijving informatie en groepslidmaatschap configureren. U kunt ook eigenschappen instellen voor verbindingen met Extern bureaublad-Services, gebruikersprofielen, informatie over thuismap en inbeltoegang.

Figuur 11. Eigenschappen van gebruiker

2.4. Beheer lokale gebruikers en groepen op Server Core

mogelijk hebt u geen toegang tot een Microsoft Management Console en MOET u mogelijk wijzigingen aanbrengen aan de lokale gebruikers en groepen op een Windows Server 2008 R2 Server Core installatie. U kunt alle aspecten van de lokale gebruikers en groepen toevoegen, verwijderen en wijzigen via de opdrachtprompt. Specifiek, het net commando is hoe je werkt met gebruikers en groepen direct op Server Core. De opdracht net werkt ook op een Windows Server 2008 R2 volledige server-installatie.

het net-commando heeft vele functies, waaronder het starten en stoppen van services en het configureren van het IP-adres op de server. U zult in deze sectie zien hoe u het net commando gebruikt om met uw lokale gebruikers en groepen te werken.

alle net-opdrachten beginnen met net; voor gebruikers wordt dit gevolgd door user, en voor lokale groepen wordt dit gevolgd door localgroup. Als u bijvoorbeeld de huidige lijst van uw lokale gebruikers of lokale groepen wilt zien, typt u een van de volgende eenvoudige commando ‘ s en klikt u op Enter:

  • gebruik net user om een lijst met lokale gebruikers te zien.

  • gebruik net localgroup om een lijst met lokale groepen te zien.

om een gebruiker of lokale groep aan het systeem toe te voegen, volgen de opdrachten een vergelijkbare syntaxis. De commando ‘ s zullen de /add switch bevatten. Bijvoorbeeld, om een gebruiker genaamd Harold toe te voegen met een wachtwoord van uw systeem, zou u het volgende commando gebruiken:

net user Harold /add

om een lokale groep met de naam Writers aan uw server toe te voegen, gebruikt u het volgende commando:

net localgroup Writers /add

om Harold aan de schrijversgroep toe te voegen, gebruik je het volgende commando:

net localgroup Writers Harold /add

om het huidige lidmaatschap van de lokale groepsschrijvers te zien, gebruikt u het volgende commando:

net localgroup Writers

Write a Comment

Het e-mailadres wordt niet gepubliceerd.