chiar dacă utilizați Active Directory, trebuie să înțelegeți cum funcționează utilizatorii și grupurile locale. Utilizatorii și grupurile locale oferă un rol cheie nu numai pentru întreținere, ci și pentru administrația centrală.
în această secțiune, veți vedea cum să gestionați utilizatorii și grupurile locale atât pe instalările Windows Server 2008 R2 full server, cât și pe instalările Server Core. De asemenea, veți afla utilizatorii/grupurile locale implicite și setările implicite de pe aceste servere și modul în care aceste setări vă afectează infrastructura.
- 1. Aflați utilizatorii și Grupurile Locale implicite
- Tabelul 1. Grupuri locale implicite
- 2. Administrarea utilizatorilor și grupurilor locale
- Figura 1. MMC gol
- Figura 2. Adăugarea de snap-in-uri
- Figura 3. Mașină țintă
- Figura 4. Gestionarea utilizatorilor și grupurilor locale
- 2.1. Crearea unui cont de utilizator Local
- Figura 5. Casetă de dialog utilizator nou
- Figura 6. Eroare de complexitate a parolei
- cerințe implicite pentru parolă
- 2.2. Crearea unui grup Local
- Figura 7. Casetă de dialog Grup nou
- figura 8. Selectați caseta de dialog utilizatori
- Figura 9. Selectarea avansată a utilizatorilor
- grupuri de identitate speciale
- Tabelul 2. Grupuri de identitate speciale
- 2.3. Gestionarea utilizatorilor și grupurilor locale
- Figura 10. Setarea parolei de avertizare
- Figura 11. Proprietăți utilizator
- 2.4. Gestionare utilizatori și grupuri locale pe server Core
1. Aflați utilizatorii și Grupurile Locale implicite
indiferent dacă lucrați cu o instalare completă Windows Server 2008 R2 sau cu Server Core, gestionarea grupurilor locale oferă unele asemănări deosebite. Începând cu instalările implicite, ambele sisteme au aceiași utilizatori și grupuri implicite instalate.
pe serverul Windows Server 2008 R2, în mod implicit aveți două conturi de utilizator care sunt create, Administrator și invitat.
-
Administrator este contul implicit încorporat pentru administrarea mașinii locale. Contul de Administrator este în mod implicit singurul cont care este activat.
-
Invitat este contul încorporat implicit pentru accesul oaspeților la sistem; cu toate acestea, contul este dezactivat în mod implicit.
Tabelul 1 descrie mai multe alte grupuri instalate în mod implicit pe care trebuie să le cunoașteți.
grup | definiție și utilizare |
---|---|
administratori | acest grup are acces nerestricționat la computerul local. Acest cont este contul principal pentru a realiza orice sarcină pe un server. În mod implicit, contul de Administrator este singurul membru al acestui grup. |
operatori de Backup | acest grup, după cum sugerează și numele, este conceput pentru backup și restaurare a fișierelor de pe server. |
serviciul de certificare DCOM Access | acest grup este permis să se conecteze la autoritățile de certificare pentru înscrierea în infrastructura preferată a cheii publice. |
operatori criptografici | acest grup este permis și autorizat să efectueze operațiuni de criptografie pe serverul dvs. Aceste setări includ setările crypto din Politica IPsec a paravanului de protecție Windows, printre alte setări. |
utilizatori com Distribuiți | acest grup poate activa și lansa obiecte DCOM pe server. Obiectele DCOM sunt utilizate pentru comunicarea aplicațiilor. |
Event Log Readers | acest grup poate lucra cu și citi jurnalele de evenimente locale de pe server. |
oaspeții | utilizatorii acestui grup au în mod implicit același acces ca și grupul de utilizatori, cu excepția contului de oaspeți, care este restricționat în continuare. În mod implicit, singurul cont din acest grup este contul de invitat dezactivat. |
IIS_IUSRS | acesta este contul de grup implicit pentru utilizarea cu Internet Information Services. |
operatorii de configurare a rețelei | utilizatorii din acest grup au unele privilegii administrative asupra gestionării configurației caracteristicilor de rețea de pe server. |
utilizatori jurnal de performanță | acest grup permite utilizatorilor săi să programeze înregistrarea contoarelor de performanță, să activeze furnizorii de urmărire și să colecteze urme de evenimente pentru serverul local. Sarcinile pot fi efectuate local sau de la distanță. |
utilizatorii monitorului de performanță | acest grup poate accesa datele contorului de performanță local fie local, fie prin administrare la distanță. |
Power Users | acest grup are capacități administrative limitate pe sistem și este inclus în principal pentru compatibilitate inversă cu sistemele de operare anterioare. |
operatorii de imprimare | acești utilizatori pot lucra și administra Imprimante pe sistemul server local. |
utilizatorii Desktop la distanță | utilizatorii din acest grup au dreptul să se conecteze de la distanță la server. |
Replicator | acest grup este conceput pentru replicarea fișierelor. |
utilizatorii | au acces administrativ limitat la sistem pentru a împiedica membrii să facă din greșeală modificări care pot provoca modificări la nivel de sistem; cu toate acestea, utilizatorii din acest grup pot rula și accesa majoritatea aplicațiilor. |
plasarea conturilor de utilizator în aceste grupuri locale le va acorda utilizatorilor acces la permisiunile și responsabilitățile corespunzătoare pentru grupuri. Conceptul de bază din spatele utilizării grupurilor vă permite să atribuiți permisiuni o singură dată grupului, acordând astfel permisiuni tuturor membrilor grupului. Aceasta oferă o modalitate ușoară de a delega administrarea pentru serverul dvs. De exemplu, dacă doriți ca un utilizator să efectueze o copie de rezervă zilnică a serverului dvs., va trebui pur și simplu să le adăugați la grupul de operatori de rezervă și li se vor acorda drepturile necesare pentru a efectua operațiuni de backup și restaurare.
2. Administrarea utilizatorilor și grupurilor locale
Gestionarea grupurilor de utilizatori locali pe serverul dvs. este doar o chestiune de încărcare a snap-in-ului corect pentru Microsoft Management Console (MMC). Aveți posibilitatea să gestionați fie o instalare Windows Server 2008 R2 full server sau o instalare Server Core. Cu toate acestea, dacă doriți să gestionați utilizatorii și grupurile locale de pe instalarea server Core cu MMC, va trebui să faceți acest lucru de la distanță. Există comenzi de sistem care vă permit să gestionați serverul Core local și veți vedea aceste comenzi mai târziu în această secțiune. Pentru a accesa grupurile locale de utilizatori, puteți accesa panoul de Control pentru a gestiona conturile sau puteți prefera o privire mai detaliată asupra utilizatorilor. Veți vedea utilizatorii locali și instrumentele de gestionare a grupului atât pentru o instalare completă a serverului, cât și pentru Server Core în pașii următori.
-
selectați Start = > Run, tastați MMC și apăsați Enter. Aceasta Încarcă un MMC gol, așa cum se arată în Figura 1.
Figura 1. MMC gol
-
pentru a efectua lucrări în orice MMC gol, trebuie să încărcați snap-in-ul corespunzător. Pentru a încărca snap-in-uri, selectați File => Add/Remove Snap-in. Aceasta va încărca caseta de dialog Adăugare sau eliminare Snap-in-uri, așa cum se arată în Figura 2.
Figura 2. Adăugarea de snap-in-uri
pentru a gestiona utilizatorii și grupurile locale, selectați snap-in-ul utilizatori și grupuri locale și faceți clic pe butonul Adăugare. Aceasta va deschide caseta de dialog alegeți mașina țintă, așa cum se arată în Figura 3.
Figura 3. Mașină țintă
în caseta de dialog alegeți mașina țintă, puteți fie să selectați computerul local pentru a gestiona utilizatorii de pe mașina de pe care rulați consola, fie să selectați butonul radio alt Computer și să introduceți adresa IP sau numele computerului pe care doriți să îl gestionați. Această opțiune vă va permite să gestionați utilizatorii și grupurile locale pe un server la distanță, cum ar fi Server Core, dacă aveți permisiunile corespunzătoare. După ce faceți selecția, faceți clic pe Terminare pentru a reveni la caseta de dialog Adăugare sau eliminare Snap-in-uri.
-
în caseta de dialog Adăugare sau eliminare Snap-in-uri, Faceți clic pe OK pentru a încărca snap-in-ul în MMC. Figura 4 prezintă un grup de utilizatori locali și MMC.
Figura 4. Gestionarea utilizatorilor și grupurilor locale
după ce ați încărcat snap-in-urile în MMC, puteți salva MMC-ul personalizat pentru utilizare ulterioară. Pentru aceasta, selectați File = > Save.
după ce ați încărcat MMC pentru a gestiona utilizatorii și grupurile locale, puteți lucra cu ușurință cu utilizatorii și grupurile. Crearea ID-urilor și grupurilor de utilizatori, schimbarea parolelor sau alte proprietăți pot fi ușor realizate cu interfața.
2.1. Crearea unui cont de utilizator Local
când creați un cont de utilizator local, acordați accesul contului la serverul local, ceea ce reprezintă un proces simplu:
-
în interiorul utilizatorilor locali și grupului MMC pe care l-ați creat în procedura anterioară, faceți clic dreapta pe containerul utilizatori.
-
selectați Utilizator nou, care va afișa caseta de dialog utilizator nou, așa cum se arată în Figura 5.
Figura 5. Casetă de dialog utilizator nou
-
introduceți numele de utilizator, numele complet și descrierea opțională, precum și parola. Parola în mod implicit trebuie să respecte cerințele de complexitate a parolei enumerate în bara laterală „cerințe implicite pentru parolă”. În plus, puteți marca contul dezactivat, dacă știți că contul nu va fi utilizat pentru o perioadă de timp. De asemenea, aveți următoarele opțiuni cu privire la setarea parolei inițiale:
Utilizatorul trebuie să schimbe parola la următorul jurnal aceasta este setarea implicită și ar trebui să luați în considerare păstrarea acestei casete de selectare Activată atunci când creați un cont de utilizator nou. Singura dată când trebuie să debifați această casetă de selectare este atunci când contul pe care îl creați va fi un cont de serviciu pentru o aplicație. Această setare permite utilizatorului să-și stabilească propria parolă personală atunci când se conectează la sistem prima dată. Tot ce trebuie să faceți ca administrator este să setați o parolă temporară inițială pentru utilizator. Poate doriți să cunoașteți parolele pentru utilizatorii dvs. în cazul în care un utilizator părăsește compania sau este în vacanță. În realitate, atâta timp cât cunoașteți parola de administrator, aveți dreptul administrativ de a reseta temporar o parolă și de a avea acces la un cont. Deși este bine să aveți această abilitate, ar trebui să o exercitați cu prudență și numai atunci când situația o justifică.
Utilizatorul nu poate schimba parola în mod implicit această setare este estompată și devine disponibilă numai atunci când ștergeți Utilizatorul trebuie să schimbe parola la următoarea setare Log On, menționată anterior. Acest lucru vă permite să vă asigurați că parola contului nu se modifică. Acest lucru este bun și pentru conturile de servicii pentru aplicațiile încărcate pe serverul dvs. Această setare va ocoli, de asemenea, orice politică locală a contului de parolă a mașinii.
parola nu expiră în mod implicit această setare este, de asemenea, estompată și, ca și setarea anterioară, devine disponibilă numai atunci când utilizatorul trebuie să schimbe parola la următoarea setare Log On este șters. Setarea, după cum sugerează și numele, blochează parola. Această setare va ocoli, de asemenea, orice politică locală de parolă a mașinii.
-
după ce completați formularul, faceți clic pe Creare pentru a crea contul. Dacă parola dvs. nu îndeplinește cerințele pentru complexitatea parolei, veți vedea ecranul în Figura 6.
Figura 6. Eroare de complexitate a parolei
cerințe implicite pentru parolă
cerințele implicite pentru parolă sunt aceleași atât pentru conturile de utilizator locale, cât și pentru conturile de utilizator Active Directory . Cerințele de parolă implicite pentru un server Windows Server 2008 R2 sunt după cum urmează:
-
nu poate conține numele contului utilizatorului sau părți din numele complet al utilizatorului care depășesc două caractere consecutive
-
să aibă cel puțin șase caractere în lungime
-
conține caractere din trei din următoarele patru categorii:
caractere majuscule în engleză (A–Z)
caractere minuscule în engleză (A–z)
bază 10 cifre (0-9)
caractere Nonalfabetice (de exemplu !, $, #, %)
-
-
dacă nu mai aveți conturi de utilizatori locali de creat, Faceți clic pe Închidere. În caz contrar, repetați pașii 3 și 4 pentru a continua să creați conturi locale pe serverul dvs.
2.2. Crearea unui grup Local
după ce creați conturile de utilizator, cel mai probabil veți dori să creați grupuri la care să adăugați utilizatorii. Grupurile, după cum probabil știți, sunt utilizate pentru a acorda permisiuni în general fișierelor sau imprimantelor situate pe serverul Windows Server 2008 R2. Acestor grupuri locale li se pot acorda drepturi și permisiuni pentru resurse numai pe serverul local.
-
în interiorul utilizatorilor locali și grupului MMC pe care l-ați creat mai devreme, faceți clic dreapta pe containerul grupuri.
-
Selectați Grup nou, care va afișa caseta de dialog Grup nou, așa cum se arată în Figura 7.
Figura 7. Casetă de dialog Grup nou
introduceți numele noului grup și o descriere. Pentru a adăuga imediat membri în grupul dvs., faceți clic pe butonul Adăugare din partea de jos a ecranului. Dacă faceți clic pe butonul Adăugare, se afișează caseta de dialog Selectare utilizatori, așa cum se arată în Figura 8.
figura 8. Selectați caseta de dialog utilizatori
pentru a adăuga utilizatori, le puteți introduce în caseta de text Nume. Pentru a verifica ortografia numelor de utilizator pe care doriți să le adăugați, puteți face clic Verificați Numele, care va verifica numele de utilizator pentru dvs. De asemenea, puteți face clic pe butonul Avansat, care va extinde caseta de dialog pentru a vă permite să listați toate conturile de utilizator din sistem. Această casetă de dialog are o opțiune Găsiți acum pentru a vă permite să listați rapid toți utilizatorii din sistem. Dacă faceți clic pe găsiți acum, veți vedea un ecran similar cu figura 9.
Figura 9. Selectarea avansată a utilizatorilor
-
după ce faceți clic pe găsiți acum, veți vedea o listă de utilizatori din sistem, precum și conturi locale de utilizator și grup de sistem. Selectați utilizatorul sau utilizatorii pe care doriți să-i faceți în grupul dvs. Pentru a selecta mai mulți utilizatori, puteți ține apăsată tasta Ctrl de pe tastatură în timp ce faceți clic. De asemenea, puteți selecta o listă utilizând tasta Shift. Dacă faceți clic pe elementul de sus al listei, țineți apăsată tasta Shift și faceți clic pe elementul de jos din listă, veți selecta toate elementele între și inclusiv selecția de sus și de jos.
grupuri de identitate specialeeste posibil să observați că atunci când adăugați utilizatori la grupul dvs., ați avut mai multe conturi și grupuri pe care nu le-ați creat. Acestea sunt grupuri de identitate speciale și nu puteți controla calitatea de membru al acestor grupuri. Utilizatorii dvs. devin membri ai acestor grupuri prin acțiunile pe care le efectuează pe serverele dvs. sau prin modul în care accesează serverele, iar apartenența la aceste grupuri este temporară și se schimbă în mod normal, având în vedere modul în care utilizatorul va lucra cu sistemul. Grupurile de sistem pot fi utilizate pentru a ajuta la setarea permisiunilor în funcție de modul în care utilizatorii accesează sau interacționează cu serverul. Tabelul 2 enumeră câteva dintre grupurile de sistem pe care le puteți întâlni în timp ce lucrați cu serverul. grupurile care nu sunt listate în tabel sunt în mod normal grupuri de sistem care sunt rezervate pentru utilizarea sistemului de operare și a serviciilor care rulează pe serverul Windows Server 2008 R2. În special, trebuie să acordați o atenție deosebită unui cont de identitate special, contul de sistem. Contul de sistem reprezintă Sistemul de operare Windows Server 2008 R2. Pe măsură ce lucrați cu fișierele de pe serverul dvs. și cu drepturile utilizatorului, este posibil să întâlniți contul de sistem și ar trebui să lăsați acest cont nemodificat. Dacă modificați permisiunile sau drepturile pe care le are contul de sistem pe serverul dvs., puteți dezactiva serverul, ceea ce poate duce la reinstalarea sistemului de operare.
|
2.3. Gestionarea utilizatorilor și grupurilor locale
după ce ați terminat de creat grupurile de utilizatori, va trebui să întrețineți și să gestionați conturile locale. Pentru a începe gestionarea grupurilor locale, Faceți clic dreapta pe utilizatorul sau grupul pe care doriți să îl gestionați. Ei împărtășesc unele sarcini comune. Când faceți clic dreapta pe un utilizator sau grup, puteți șterge, redenumi, deschide ajutor sau vizualiza proprietățile unice pentru obiect.
când faceți clic dreapta pe utilizator, puteți seta o nouă parolă pentru utilizator. Singura dată când trebuie să setați parola pentru un cont existent este dacă utilizatorul și-a uitat sau și-a pierdut parola. Utilizatorul va pierde accesul la informații precum fișiere criptate, parole de Internet stocate (deși utilizatorul le poate recrea cu noua parolă), e-mail care este criptat cu cheia publică a utilizatorului și orice certificate stocate (din nou, pot fi emise noi certificate pentru a acorda în continuare acces). Riscul potențial aici este pierderea datelor din fișierele care au fost criptate de sistemul de fișiere criptate (EFS). Dacă ați făcut o copie de rezervă a cheilor de recuperare, veți putea prelua date; cu toate acestea, dacă nu există o copie de rezervă a cheilor, nu veți putea accesa datele.
când faceți clic dreapta pe un cont de utilizator, vi se oferă opțiunea de a seta parola. Când selectați opțiunea, veți primi avertismentul prezentat în Figura 10.
Figura 10. Setarea parolei de avertizare
când faceți clic dreapta pe un grup și selectați Adăugare la grup, acesta va începe același proces pentru a adăuga membri la grupul dvs. așa cum este utilizat în procedura anterioară când ați creat grupul. În plus, când selectați opțiunea Proprietăți după ce faceți clic dreapta pe grup, acesta vă va duce la proprietățile unde puteți utiliza caseta de dialog Adăugare membri.
când selectați opțiunea Proprietăți după ce faceți clic dreapta, se va deschide o listă de proprietăți pe care le puteți modifica pentru contul de utilizator, așa cum se arată în Figura 11.
proprietățile enumerate aici sunt documentația parțială și configurația contului parțial. Filele enumerate vă vor permite să configurați informațiile de bază despre numele de utilizator și descrierea și apartenența la grup. De asemenea, puteți seta proprietăți pentru informații despre conexiunile serviciilor Desktop la distanță, profiluri de utilizator, informații despre directorul de domiciliu și acces dial-in.
Figura 11. Proprietăți utilizator
2.4. Gestionare utilizatori și grupuri locale pe server Core
este posibil să nu aveți acces la o consolă de administrare Microsoft și poate fi necesar să faceți modificări la utilizatorii și grupurile locale pe o instalare Windows Server 2008 R2 Server Core. Puteți adăuga, șterge și modifica toate aspectele utilizatorilor și grupurilor locale prin promptul de comandă. Mai exact, comanda net este modul în care lucrați cu utilizatorii și grupurile direct pe server Core. Comanda net va funcționa, de asemenea, pe o instalare Windows Server 2008 R2 full server.
comanda net are multe funcții, inclusiv pornirea și oprirea serviciilor și configurarea adresei IP pe server. Veți vedea în această secțiune cum să utilizați comanda net pentru a lucra cu utilizatorii și grupurile locale.
toate comenzile net încep cu net; pentru utilizatori aceasta va fi urmată de utilizator, iar pentru grupurile locale aceasta va fi urmată de localgroup. De exemplu, pentru a vedea lista curentă a utilizatorilor locali sau a grupurilor locale, tastați una dintre următoarele comenzi simple și apăsați Enter:
-
utilizați utilizatorul net pentru a vedea o listă de utilizatori locali.
-
utilizați net localgroup pentru a vedea o listă de grupuri locale.
pentru a adăuga un utilizator sau un grup local la sistem, comenzile urmează o sintaxă similară. Comenzile vor include comutatorul / add. De exemplu, pentru a adăuga un utilizator numit Harold cu o parolă a sistemului dvs., utilizați următoarea comandă:
net user Harold /add
pentru a adăuga un grup local numit Writers la serverul dvs., utilizați următoarea comandă:
net localgroup Writers /add
pentru a adăuga Harold la grupul Writers, utilizați următoarea comandă:
net localgroup Writers Harold /add
pentru a vedea calitatea de membru curentă pentru scriitorii grupului local, utilizați următoarea comandă:
net localgroup Writers