Windows Server 2008 R2: zrozumieć lokalnych użytkowników i grup (Część 1) – administrować lokalnymi użytkownikami i grupami

nawet jeśli korzystasz z usługi Active Directory, nadal musisz zrozumieć, jak działają lokalni użytkownicy i grupy. Użytkownicy i grupy lokalne odgrywają kluczową rolę nie tylko w utrzymaniu, ale także w administracji centralnej.

w tej sekcji zobaczysz, jak zarządzać lokalnymi użytkownikami i grupami zarówno w pełnych instalacjach serwera Windows Server 2008 R2, jak i instalacjach Server Core. Poznasz także domyślnych lokalnych użytkowników / grup i domyślne ustawienia na tych serwerach oraz wpływ tych ustawień na infrastrukturę.

1. Ucz się domyślnych lokalnych użytkowników i grup

niezależnie od tego, czy pracujesz z pełną instalacją systemu Windows Server 2008 R2, czy z rdzeniem serwera, zarządzanie lokalnymi grupami oferuje wiele podobieństw. Począwszy od instalacji domyślnych, oba systemy mają zainstalowanych tych samych domyślnych użytkowników i grup.

na serwerze Windows Server 2008 R2 domyślnie utworzone są dwa konta użytkowników: Administrator i gość.

  • Administrator jest domyślnym wbudowanym kontem do administrowania maszyną lokalną. Konto administratora jest domyślnie jedynym włączonym kontem.

  • gość jest domyślnym wbudowanym kontem dostępu gościa do systemu, jednak konto jest domyślnie wyłączone.

Tabela 1 opisuje kilka innych grup zainstalowanych domyślnie, które musisz znać.

Tabela 1. Domyślne grupy lokalne
Grupa Definicja i zastosowanie
Administratorzy ta grupa ma nieograniczony dostęp do komputera lokalnego. To konto jest głównym kontem do wykonania dowolnego zadania na serwerze. Domyślnie konto administratora jest jedynym członkiem tej grupy.
Operatorzy kopii zapasowych ta grupa, jak sama nazwa wskazuje, jest przeznaczona do tworzenia kopii zapasowych i przywracania plików na serwerze.
usługa certyfikatu DCOM Access ta grupa może łączyć się z urzędami certyfikacji w celu rejestracji w preferowanej infrastrukturze klucza publicznego.
operatorzy kryptograficzni ta grupa jest dozwolona i upoważniona do wykonywania operacji kryptograficznych na serwerze. Ustawienia te obejmują między innymi ustawienia kryptograficzne w Polityce IPsec Zapory systemu Windows.
rozproszeni użytkownicy COM ta grupa może aktywować i uruchamiać obiekty DCOM na serwerze. Obiekty DCOM są używane do komunikacji aplikacji.
czytniki dziennika zdarzeń ta grupa może pracować i odczytywać lokalne dzienniki zdarzeń na serwerze.
Goście użytkownicy tej grupy mają domyślnie taki sam dostęp jak grupa użytkowników, z wyjątkiem konta gościa, które jest dodatkowo ograniczone. Domyślnie jedynym kontem w tej grupie jest wyłączone konto gościa.
IIS_IUSRS jest to domyślne konto grupy do użytku z internetowymi usługami informacyjnymi.
Operatorzy konfiguracji sieci użytkownicy z tej grupy mają pewne uprawnienia administracyjne w zakresie zarządzania konfiguracją funkcji sieciowych na serwerze.
użytkownicy dziennika wydajności ta grupa pozwala swoim użytkownikom zaplanować rejestrowanie liczników wydajności, włączyć dostawców śledzenia i zbierać ślady zdarzeń dla serwera lokalnego. Zadania mogą być wykonywane lokalnie lub zdalnie.
użytkownicy Monitora wydajności ta grupa może uzyskać dostęp do lokalnych danych licznika wydajności lokalnie lub zdalnie.
zaawansowani użytkownicy ta grupa ma ograniczone możliwości administracyjne w systemie i jest przede wszystkim uwzględniona ze względu na zgodność wsteczną z poprzednimi systemami operacyjnymi.
Operatorzy drukowania ci użytkownicy mogą pracować z drukarkami i administrować nimi w lokalnym systemie serwerowym.
Użytkownicy pulpitu zdalnego użytkownicy z tej grupy mają prawo do zdalnego logowania na serwer.
Replikator ta grupa jest przeznaczona do replikacji plików.
użytkownicy mają ograniczony dostęp administracyjny do systemu, aby uniemożliwić członkom nieumyślne wprowadzanie zmian, które mogą spowodować zmiany w całym systemie; jednak użytkownicy z tej grupy mogą uruchamiać i uzyskiwać dostęp do większości aplikacji.

umieszczenie kont użytkowników w tych grupach lokalnych zapewni tym użytkownikom dostęp do odpowiednich uprawnień i obowiązków dla grup. Podstawowa koncepcja korzystania z grup pozwala przypisać uprawnienia tylko raz do grupy, przyznając uprawnienia wszystkim członkom grupy. Oferuje to łatwy sposób delegowania administracji dla serwera. Na przykład, jeśli chcesz, aby użytkownik wykonywał codzienną kopię zapasową serwera, po prostu musisz dodać go do grupy Operatorzy kopii zapasowych i uzyskać uprawnienia niezbędne do wykonywania operacji tworzenia kopii zapasowych i przywracania.

2. Administrowanie lokalnymi użytkownikami i grupami

zarządzanie lokalnymi grupami użytkowników na serwerze to tylko kwestia załadowania odpowiedniego przystawki dla konsoli Microsoft Management Console (MMC). Możesz zarządzać pełną instalacją serwera Windows Server 2008 R2 lub instalacją rdzenia serwera. Jeśli jednak chcesz zarządzać lokalnymi użytkownikami i grupami w instalacji rdzenia serwera za pomocą MMC, musisz to zrobić zdalnie. Istnieją Polecenia systemowe umożliwiające lokalne zarządzanie rdzeniem serwera, które zobaczysz w dalszej części tej sekcji. Aby uzyskać dostęp do lokalnych grup użytkowników, możesz przejść do Panelu sterowania, aby zarządzać kontami, lub wolisz bardziej dokładne spojrzenie na użytkowników. W następujących krokach zobaczysz narzędzia do zarządzania użytkownikami lokalnymi i grupami dla pełnej instalacji serwera i rdzenia serwera.

  1. Wybierz Start => Uruchom, wpisz MMC i naciśnij Enter. Wczytuje się puste MMC, jak pokazano na rysunku 1.

    Rysunek 1. Puste MMC

  2. aby wykonać pracę w dowolnym pustym MMC, należy załadować odpowiedni przystawkę. Aby załadować przystawki, wybierz pozycję File = > Add/Remove przystawki. Spowoduje to wczytanie okna dialogowego Dodawanie lub usuwanie przystawek, jak pokazano na rysunku 2.

    Rysunek 2. Dodawanie przystawek

    aby zarządzać lokalnymi użytkownikami i grupami, wybierz przystawkę Użytkownicy i grupy lokalne i kliknij przycisk Dodaj. Spowoduje to otwarcie okna dialogowego wybierz maszynę docelową, jak pokazano na rysunku 3.

    Rysunek 3. Maszyna docelowa

    w oknie dialogowym wybierz maszynę docelową możesz wybrać komputer lokalny do zarządzania użytkownikami na komputerze, z którego korzystasz z konsoli, lub wybrać przycisk radiowy innego komputera i wprowadzić adres IP lub nazwę komputera, którym chcesz zarządzać. Ta opcja pozwoli Ci zarządzać lokalnymi użytkownikami i grupami na zdalnym serwerze, takim jak Server Core, jeśli masz odpowiednie uprawnienia. Po dokonaniu wyboru kliknij przycisk Zakończ, aby powrócić do okna dialogowego Dodawanie lub usuwanie przystawek.

  3. w oknie dialogowym Dodaj lub Usuń przystawki kliknij OK, aby załadować przystawkę do swojego MMC. Rysunek 4 przedstawia użytkowników lokalnych i grupę MMC.

    Rysunek 4. Zarządzanie lokalnymi użytkownikami i grupami

    po załadowaniu przystawek do MMC możesz zapisać niestandardowe MMC do wykorzystania w przyszłości. Aby to zrobić, wybierz File => Save.

po załadowaniu MMC do zarządzania lokalnymi użytkownikami i grupami można łatwo pracować z użytkownikami i grupami. Tworzenie identyfikatorów użytkowników i grup, zmiana haseł lub inne właściwości można łatwo wykonać za pomocą interfejsu.

2.1. Utwórz lokalne konto użytkownika

tworząc lokalne konto użytkownika, przyznajesz mu dostęp do lokalnego serwera, co jest prostym procesem:

  1. wewnątrz kontenera użytkownicy lokalni i grupa MMC utworzona w poprzedniej procedurze kliknij prawym przyciskiem myszy kontener użytkownicy.

  2. wybierz nowy użytkownik, który wyświetli okno dialogowe Nowy użytkownik, jak pokazano na rysunku 5.

    Rysunek 5. Okno dialogowe nowego Użytkownika

  3. wpisz nazwę użytkownika, pełną nazwę i opcjonalny opis, a także hasło. Hasło domyślnie musi spełniać wymagania dotyczące złożoności hasła wymienione na pasku bocznym” domyślne wymagania dotyczące hasła”. Dodatkowo możesz oznaczyć konto wyłączone, jeśli wiesz, że konto nie będzie używane przez pewien czas. Dostępne są również następujące opcje dotyczące ustawienia początkowego hasła:

    użytkownik musi zmienić hasło przy następnym logowaniu jest to ustawienie domyślne i powinieneś rozważyć włączenie tego pola wyboru podczas tworzenia nowego konta użytkownika. Należy wyczyścić to pole wyboru tylko wtedy, gdy konto, które tworzysz, będzie kontem usługi dla aplikacji. To ustawienie pozwala użytkownikowi ustawić własne osobiste hasło, gdy loguje się do systemu po raz pierwszy. Wszystko, co musisz zrobić jako administrator, to ustawić początkowe tymczasowe hasło dla użytkownika. Możesz chcieć znać hasła dla swoich użytkowników w przypadku, gdy użytkownik opuszcza firmę lub jest na wakacjach. W rzeczywistości, o ile znasz hasło administratora, masz prawo administracyjne do tymczasowego zresetowania hasła i uzyskania dostępu do konta. Chociaż dobrze jest mieć tę umiejętność, należy ją ćwiczyć ostrożnie i tylko wtedy, gdy sytuacja na to pozwala.

    Użytkownik nie może zmienić hasła Domyślnie to ustawienie jest wyszarzone i staje się dostępne tylko po wyczyszczeniu użytkownik musi zmienić hasło przy następnym ustawieniu logowania, wspomnianym wcześniej. Pozwala to upewnić się, że hasło do konta nie ulegnie zmianie. Jest to również dobre dla kont usług dla aplikacji załadowanych na serwerze. To ustawienie ominie również wszelkie zasady konta hasła lokalnego komputera.

    hasło nigdy nie wygasa Domyślnie to ustawienie jest również wyszarzone i tak jak poprzednie ustawienie, staje się dostępne tylko wtedy, gdy użytkownik musi zmienić hasło przy następnym logowaniu ustawienie jest wyczyszczone. Ustawienie, jak sama nazwa wskazuje, blokuje hasło. To ustawienie ominie również wszelkie lokalne zasady dotyczące haseł maszyn.

  4. Po wypełnieniu formularza kliknij przycisk Utwórz, aby utworzyć konto. Jeśli Twoje hasło nie spełnia wymagań dotyczących złożoności hasła, zobaczysz ekran na rysunku 6.

    Rysunek 6. Błąd złożoności hasła

    domyślne wymagania dotyczące hasła

    domyślne wymagania dotyczące hasła są takie same zarówno dla kont użytkowników lokalnych, jak i kont użytkowników usługi Active Directory . Domyślne wymagania dotyczące hasła dla serwera Windows Server 2008 R2 są następujące:

    • nie może zawierać nazwy konta użytkownika ani części jego pełnej nazwy, które przekraczają dwa kolejne znaki

    • musi mieć co najmniej sześć znaków

    • zawiera znaki z trzech z następujących czterech kategorii:

      angielskie wielkie litery (A–Z)

      angielskie małe litery (A–z)

      podstawa 10 cyfr (0-9)

      znaki Nonalfabetyczne (na przykład !, $, #, %)

  5. jeśli nie masz już kont użytkowników lokalnych do utworzenia, kliknij Zamknij. W przeciwnym razie powtórz kroki 3 i 4, Aby kontynuować tworzenie kont lokalnych na serwerze.

2.2. Utwórz grupę lokalną

po utworzeniu kont użytkowników najprawdopodobniej będziesz chciał utworzyć grupy, do których dodasz użytkowników. Grupy, jak być może wiesz, są używane do przyznawania uprawnień na ogół do plików lub drukarek znajdujących się na serwerze Windows Server 2008 R2. Te grupy lokalne mogą być nadawane prawa i uprawnienia do zasobów tylko na serwerze lokalnym.

  1. wewnątrz utworzonego wcześniej modułu użytkownicy lokalni i grupa MMC kliknij prawym przyciskiem myszy kontener grupy.

  2. wybierz nową grupę, która wyświetli okno dialogowe Nowa grupa, jak pokazano na rysunku 7.

    Rysunek 7. Okno dialogowe Nowa grupa

    wpisz nazwę nowej grupy i opis. Aby natychmiast dodać członków do grupy, kliknij przycisk Dodaj na dole ekranu. Kliknięcie przycisku Dodaj spowoduje wyświetlenie okna dialogowego Wybierz użytkowników, jak pokazano na rysunku 8.

    Rysunek 8. Okno dialogowe Wybierz użytkowników

    aby dodać użytkowników, możesz wpisać ich w polu tekstowym Nazwa. Aby zweryfikować pisownię nazw użytkowników, które chcesz dodać, możesz kliknąć Sprawdź nazwy, co zweryfikuje nazwy użytkowników. Możesz także kliknąć przycisk Zaawansowane, który rozwinie okno dialogowe, aby umożliwić wyświetlenie wszystkich kont użytkowników w systemie. To okno dialogowe zawiera opcję Znajdź teraz, która pozwala szybko wyświetlić listę wszystkich użytkowników w systemie. Jeśli klikniesz Znajdź teraz, zobaczysz ekran podobny do rysunku 9.

    Rysunek 9. Zaawansowane Wybieranie użytkowników

  3. po kliknięciu Znajdź teraz zobaczysz listę użytkowników w systemie, a także lokalne konta użytkowników i grup systemowych. Wybierz użytkownika lub użytkowników, którzy mają być w Twojej grupie. Aby wybrać wielu użytkowników, możesz przytrzymać klawisz Ctrl na klawiaturze podczas klikania. Można również wybrać listę za pomocą klawisza Shift. Jeśli klikniesz górny element listy, przytrzymasz klawisz Shift i klikniesz dolny element na liście, wybierzesz wszystkie elementy między górnym i dolnym wyborem.

specjalne grupy tożsamości

możesz zauważyć, że gdy dodawałeś użytkowników do swojej grupy, miałeś jeszcze kilka kont i grup, których nie utworzyłeś. Są to specjalne grupy tożsamości i nie można kontrolować przynależności do tych grup. Twoi użytkownicy stają się członkami tych grup poprzez przebieg działań, które wykonują na Twoich serwerach lub w jaki sposób uzyskują dostęp do serwerów, a członkostwo w tych grupach jest tymczasowe i zwykle zmienia się, biorąc pod uwagę sposób, w jaki użytkownik będzie pracować z systemem. Grupy systemowe mogą być używane do ustawiania uprawnień w oparciu o sposób, w jaki użytkownicy uzyskują dostęp do serwera lub wchodzą w interakcję z serwerem. Tabela 2 zawiera listę kilku grup systemowych, które możesz napotkać podczas pracy z serwerem.

grupy, które nie są wymienione w tabeli, są zwykle grupami systemowymi zarezerwowanymi do korzystania z systemu operacyjnego i usług działających na serwerze Windows Server 2008 R2. W szczególności należy zwrócić szczególną uwagę na jedno specjalne konto tożsamości, konto systemowe. Konto systemowe reprezentuje system operacyjny Windows Server 2008 R2. Podczas pracy z plikami na serwerze i prawami użytkownika może pojawić się konto systemowe i należy pozostawić to konto niezmodyfikowane. Jeśli zmienisz uprawnienia lub uprawnienia konta systemowego na serwerze, możesz wyłączyć serwer, co może spowodować ponowną instalację systemu operacyjnego.

Tabela 2. Specjalne grupy tożsamości
Grupa opis
anonimowe Logowanie oznacza to, że użytkownicy nie używają żadnych poświadczeń, aby uzyskać dostęp do systemu.
uwierzytelnieni użytkownicy są automatycznie umieszczani w tej grupie, gdy logują się lokalnie do systemu. Wykorzystanie tej grupy to świetny sposób, aby upewnić się, że tylko poprawni, uwierzytelnieni użytkownicy mogą uzyskać dostęp do zasobów.
Creator Owner gdy użytkownik tworzy obiekt, taki jak plik lub folder na serwerze, są one umieszczane w grupie Creator Owner dla tego obiektu. Ogólnie rzecz biorąc, użytkownik właściciela twórcy ma pełną kontrolę nad utworzonym obiektem.
Dialup gdy użytkownik łączy się z serwerem za pośrednictwem połączenia dial-up, takiego jak zdalne połączenie VPN, są one dodawane do tej grupy.
każdy każdy jest członkiem tej grupy niezależnie od tego, w jaki sposób uzyskuje dostęp do serwera.
Interactive gdy użytkownik loguje się lokalnie na serwer (innymi słowy, ma fizyczny dostęp do serwera i loguje się fizycznie na serwer), użytkownicy są umieszczani w tej grupie.
sieć gdy użytkownik uzyskuje zdalny dostęp do serwera za pośrednictwem połączenia sieciowego, na przykład gdy łączy się z udziałem plików, są one umieszczane w tej grupie.
Remote Interactive Logon gdy użytkownik uzyskuje zdalny dostęp do serwera za pomocą lokalnego identyfikatora użytkownika i aktywnie loguje się do systemu w celu wykonywania zdalnych zadań, na przykład gdy administrator loguje się na serwer ze zdalnej stacji roboczej, są one umieszczane w tej grupie.
System jest to identyfikator grupy konta używany przez system operacyjny Windows Server 2008 R2.
użytkownik serwera terminali gdy użytkownicy uzyskują dostęp do serwera za pomocą usług pulpitu zdalnego, są automatycznie umieszczani w tej grupie.

2.3. Zarządzanie lokalnymi użytkownikami i grupami

po zakończeniu tworzenia grup użytkowników konieczne będzie utrzymanie kont lokalnych i zarządzanie nimi. Aby rozpocząć zarządzanie grupami lokalnymi, kliknij prawym przyciskiem myszy użytkownika lub grupę, którą chcesz zarządzać. Mają wspólne zadania. Po kliknięciu prawym przyciskiem myszy użytkownika lub grupy można usunąć, zmienić nazwę, otworzyć pomoc lub wyświetlić unikalne właściwości obiektu.

po kliknięciu prawym przyciskiem myszy użytkownika można ustawić nowe hasło dla użytkownika. Hasło do istniejącego konta należy ustawić tylko wtedy, gdy użytkownik zapomniał lub zgubił hasło. Użytkownik utraci dostęp do informacji, takich jak zaszyfrowane pliki, przechowywane hasła internetowe (chociaż użytkownik może je ponownie utworzyć za pomocą nowego hasła), e-mail zaszyfrowany kluczem publicznym użytkownika oraz wszelkie przechowywane certyfikaty (ponownie można wystawić nowe certyfikaty, aby nadal przyznawać dostęp). Potencjalnym ryzykiem jest utrata danych w plikach, które zostały zaszyfrowane przez zaszyfrowany system plików (EFS). Jeśli wykonałeś kopię zapasową kluczy odzyskiwania, będziesz mógł odzyskać dane; Jednak jeśli nie ma kopii zapasowej kluczy, nie będziesz w stanie uzyskać dostępu do danych.

po kliknięciu prawym przyciskiem myszy konta użytkownika pojawia się możliwość ustawienia hasła. Po wybraniu tej opcji otrzymasz ostrzeżenie pokazane na rysunku 10.

Rysunek 10. Ustawianie Ostrzeżenia hasła

po kliknięciu grupy prawym przyciskiem myszy i wybraniu opcji Dodaj do grupy rozpocznie się ten sam proces dodawania członków do grupy, który został użyty w poprzedniej procedurze podczas tworzenia grupy. Dodatkowo, po wybraniu opcji Właściwości po kliknięciu grupy prawym przyciskiem myszy, przeniesie Cię do właściwości, w których możesz użyć okna dialogowego Dodaj członków.

po wybraniu opcji Właściwości po kliknięciu prawym przyciskiem myszy otworzy się lista właściwości, które można zmodyfikować dla konta użytkownika, jak pokazano na rysunku 11.

wymienione tutaj właściwości to dokumentacja części i konfiguracja konta części. Wymienione zakładki pozwolą Ci skonfigurować podstawowe informacje o nazwie użytkownika i opisie oraz członkostwo w grupie. Można również ustawić właściwości dla informacji o połączeniach usług pulpitu zdalnego, profili użytkowników, informacji o katalogu domowym i dostępu dial-in.

Rysunek 11. Właściwości użytkownika

2.4. Zarządzaj lokalnymi użytkownikami i grupami W Server Core

możesz nie mieć dostępu do konsoli Microsoft Management Console i być może będziesz musiał wprowadzić modyfikacje dla lokalnych użytkowników i grup w instalacji Server Core systemu Windows Server 2008 R2. Możesz dodawać, usuwać i modyfikować wszystkie aspekty lokalnych użytkowników i grup za pomocą wiersza polecenia. W szczególności polecenie net to sposób pracy z użytkownikami i grupami bezpośrednio na rdzeniu serwera. Polecenie net będzie również działać na pełnej instalacji serwera Windows Server 2008 R2.

polecenie net ma wiele funkcji, w tym uruchamianie i zatrzymywanie usług oraz konfigurowanie adresu IP na serwerze. W tej sekcji zobaczysz, jak używać polecenia net do pracy z lokalnymi użytkownikami i grupami.

wszystkie polecenia net rozpoczynają się od net; dla użytkowników będzie to po user, a dla grup lokalnych będzie to po localgroup. Na przykład, aby zobaczyć aktualną listę użytkowników lokalnych lub grup lokalnych, wpisz jedno z poniższych prostych poleceń i naciśnij Enter:

  • użyj net user, aby zobaczyć listę użytkowników lokalnych.

  • użyj net localgroup, aby zobaczyć listę grup lokalnych.

aby dodać użytkownika lub grupę lokalną do systemu, polecenia mają podobną składnię. Polecenia będą zawierać przełącznik / add. Na przykład, aby dodać użytkownika o imieniu Harold z hasłem do systemu, należy użyć następującego polecenia:

net user Harold /add

aby dodać do serwera lokalną grupę o nazwie Writers, należy użyć następującego polecenia:

net localgroup Writers /add

aby dodać Harolda do grupy pisarzy, należy użyć następującego polecenia:

net localgroup Writers Harold /add

aby zobaczyć bieżące członkostwo w lokalnych pisarzach grup, użyj następującego polecenia:

net localgroup Writers

Write a Comment

Twój adres e-mail nie zostanie opublikowany.