Управлявайте местни потребители и групи. Администриране на потребители и групи. Локална конфигурация на потребителските права

Групировката "Местни потребители и групи" е важна характеристика за защита, тъй като ви позволява да ограничите възможните действия на потребители и групи, като им предоставите права и разрешения. Един потребителски акаунт може да бъде в повече от една група.

Можете да получите достъп до този модул, като напишете командата lusrmgr.msc на командния ред

В лявата част на прозореца, който се отваря, можете да видите две папки - Потребители и Групи

Папката "Потребители" показва два вградени потребителски акаунта - администратор и гост, които се създават автоматично, когато инсталирате Wundows XP, както и всички създадени потребителски акаунти.

Също така този път командата бе изпълнена правилно, както се потвърждава под прикачения екран.

Постепенно се приближаваме към края на тази статия, така че временно ще деактивираме един от вашите профили. Разбира се, деактивирахме профил с известно име.

Реактивирайте го, като използвате следния код. Използвайки личен компютър у дома, обикновено не се занимаваме с такива неща като местни сметки. Ако обаче на компютъра работят повече от един човек, важно е да разчитате на тази тема. Когато стартираме приложение или услуга, можем да го стартираме в потребителски контекст с по-малко привилегии. Това може да се направи по обичайния начин в графичните потребителски интерфейси - с мишката, отворете десния прозорец, изберете подходящите опции, щракнете върху съответните бутони, намерете маркера, въведете и приемете.

Профилът на администратора се използва при първото инсталиране на операционната система. Този профил ви позволява да извършите необходимите действия, преди потребителят да създаде свой собствен профил. Профилът "Администратор" не може да бъде изтрит, деактивиран или изтеглен от местната група "Администратори", като по този начин елиминира възможността за случайна загуба на достъп до компютъра след унищожаването на всички администраторски профили. Тази собственост различава профила на администратора от останалите членове на групата на местните администратори. Профилът за гости се използва от тези, които нямат реален акаунт на компютъра. Ако профилът на потребителя е деактивиран (но не е изтрит), той може да използва и Guest account. Профилът за гости не изисква парола. По подразбиране е деактивиран, но можете да го включите.

Задаване на членство в основната група за потребители и компютри

Ако го направим веднъж - няма проблем. Ако дейността се повтаря, може да се използва алтернативен метод. Тези интерфейси ви позволяват да извършвате общи административни задачи, включително добавянето на потребители и групи, както и управлението на хардуера и задаването на разрешения за различни ресурси.

Самата дата трябва да е достатъчна за коментар. Избягвайки датата, връщаме се в директорията. Това не променя факта, че позволява много. И това позволява, наред с други неща, това, което е показано в следващите подраздели. Първата стъпка за овладяване на управлението на потребителите е да създадете потребител. Нека разгледаме следния списък.

За да добавите нов потребителски акаунт, щракнете с десния бутон върху папката "Потребители" и изберете "Нов потребител" от падащото меню ... В отворения прозорец въведете информацията за създаване на нов акаунт. За да изтриете потребителски акаунт, щракнете с десния бутон на мишката върху името на акаунта в десния прозорец на програмата и изберете Изтрий от падащото меню.

Този подход позволява в бъдеще, след като разпознаем, че сценарият е полезен, го затвори във функция и повторно използване. В показания случай параметрите са потребителското име и паролата. Комплект взаимосвързани интерфейси. Сценарият очевидно може да се подобри. Вместо да посочите данните си за вход и парола, можете да използвате готови решения и първо да помолите потребителя да влезе.

Присвояване на потребители в групи

Това не е всичко, което може да бъде направено. Често искаме да стартираме услугата на отделна системна сметка. Паролата не трябва да изтича и не трябва да се променя. Кой ще промени паролата? Самата услуга няма да се промени. Нека разгледаме още един сценарий от тази серия. Въпреки че създаването на потребители не е много обременително в графична среда, управлението на групите, към които принадлежи потребителят, може да се свърже с кликване върху няколко прозореца. Също така е неприятно да се провери дали потребителят е назначен в правилните групи.

Също така за конкретен профил можете да зададете път към профила и скрипта за вход (за подробности вж. Помощ).

Папката Групи показва всички вградени групи и групи, създадени от потребителя. Вградените групи се създават автоматично, когато инсталирате Windows XP. Принадлежността към групата дава на потребителя правата и възможностите да изпълнява различни задачи на компютъра. Следните са свойствата на някои вградени групи:
Администратори - членството в тази група по подразбиране предоставя най-широк набор от разрешения и възможност за промяна на собствени разрешения. Администраторите имат пълни, без неограничени права за достъп до компютъра или домейна. Работата в Windows XP като администратор прави системата уязвима за троянски коне и други програми, които застрашават сигурността. Едно просто посещение на уеб сайта може сериозно да навреди на системата. Непознатият уеб сайт може да съдържа троянец, който ще бъде изтеглен в системата и изпълнен. Ако в момента сте влезли като администратор, тази програма може да преформатира твърдия диск, да изтрива всички файлове, да създава нов потребителски акаунт с администраторски достъп и т.н.

Създаване на потребителски акаунти за домейни

Ако сте сами - не е проблем. Нека да разгледаме примерния скрипт. Сценарият може и е прост, но не практичен. Ако направите това втори път, това ще доведе до грешка - не можете да го добавите два пъти. Грешка може да възникне по-рано - не сме сигурни дали има потребител или група. Нека видим как се тества потребителят.

Управление на локални компютърни профили и групи

Подобни условия могат да се използват за проверка на съществуването на групи. Ако потребителят не съществува, ще бъдат създадени 10 потребители и ще се покажат следните съобщения. Ако потребителите вече съществуват, ще получим и подходящо съобщение.

инсталиране на операционната система и нейните компоненти (например драйвери на устройства, системни услуги и т.н.);

инсталиране на сервизни пакети;

актуализиране на операционната система;

възстановяване на операционната система;

конфигурирайте най-важните настройки на операционната система (правила за пароли, контрол на достъпа, одитна политика, конфигуриране на драйвери в режим на ядрото и т.н.);

Ако искаме всеки от създадените потребители да принадлежи към две групи, можем да направим следното. Ако скриптът се стартира след като са конфигурирани 10 потребители, ще се покаже следното съобщение. Ако всичко е настроено, скриптът ще ни каже. Изтриването на потребителите също може да бъде масов процес. Представете си, че след тестовете за ефективността, когато се изпращат различни искания от различни потребители, искаме да поправим системата. Съществуващите потребители падат!

Можете да направите това например. Ако изтрием потребителя, ще получим съобщение. В противен случай съобщението ще бъде различно. Тези, които са изпробвали всички скриптове при четене на тази статия, сега, надявам се, ще се чистят и ще изтрият всички потребители, намерени по пътя. Ако не, това ще означава, че статията не е напълно ясна.

собствеността върху файлове, които са станали недостъпни;

управление на архивите за сигурност и одит;

архивиране и възстановяване на системата.

На практика администраторските профили често трябва да се използват за инсталиране и стартиране на програми, написани за предишни версии на Windows.

Опитни потребители - тази група се поддържа главно за съвместимост с предишни версии за извършване на не-сертифицирани приложения. Разрешените по подразбиране разрешения за тази група позволяват на членовете на групата да променят настройките на компютъра. Ако се нуждаете от поддръжка за непривестни приложения, крайните потребители трябва да са членове на групата Power Users.
Членовете на групата "Разширени потребители" имат повече права, отколкото членове на групата Потребители и по-малко от членове на групата "Администратори". Разширените потребители могат да изпълняват всякакви задачи с операционната система, с изключение на задачите, запазени за групата "Администратори".

Нашата услуга ще бъде обслужвана от друг доставчик, но това ще бъде направено в нашата инфраструктура. Горните сценарии могат да бъдат полезни не само за администратора, но и за програмиста. Скриптовете са много полезни при разгръщането на приложения. Този скрипт е много по-надежден от ръководството за потребителя. Излишно е да се каже, простота и повторяемост. Когато правите едно и също нещо, десетина или повече пъти, много е вероятно те да са някъде погрешно.

Тъй като сценарият расте, като нормален метод, който се използва отново и се тества на избрания програмен език, той може да се използва почти сляпо. В този раздел ще работим за създаването на потребители, групи, компютри и задаване на разрешения за тях. Тази част е особено важна, защото тук изпълняваме една от най-важните операции на сървъра.

Разширените потребители могат:

които са сертифицирани за Windows 2000 и Windows XP Professional, както и за стари приложения;

инсталирайте програми, които не променят файловете на операционната система и системните услуги;

конфигуриране на ресурси на системно ниво, включително принтери, дата и час, настройки на захранването и други ресурси на контролния панел;

Първо, ще създадем организационна единица. Нека да бъде например "ИТ специалисти". Отваря се прозорецът за управление на потребител и компютър. В този прозорец щракнете с десния бутон върху създадения от вас домейн. Избираме "Ново" и "Организационно звено". В следващия прозорец въведете името на организационната единица.

Добавихме ново подразделение към домейна. Правим същото и за другите две групи. В резултат на това ще получим организационна единица, наречена "ИТ специалисти", с 3 групи в него. В следващата стъпка прехвърляме права на създадените групи. Всяка група приема други органи. Това е малко свързано със самата идея за създаване на групи. Тъй като създаването на групата е идентично с разделението. Отделът обикновено се създава поради желанието да се ограничат правата на този ресурс. Въпреки това, в началото всяка група ще създаде основните потребителски разрешения.

да създавате и управлявате местни потребителски и групови профили;

спиране и стартиране на системни услуги, които не са стартирани по подразбиране.

Разширените потребители не могат да се добавят към групата "Администратори". Те нямат достъп до данни от други потребители в NTFS том, ако не бъдат получени съответните разрешения на тези потребители. Тъй като опитни потребители могат да инсталират и променят програми, работещи под групата "Опитен потребител", когато се свързват с интернет, може да направи системата уязвима за троянски коне и други програми, които застрашават сигурността.

За да направите това, щракнете с десния бутон върху групата и отидете на "Properties". В следващия прозорец отидете в раздела "Участници", в който ще определим кой член има право на тази група. В следващия прозорец изберете "Разширени" и "Намери". По-бърз и лесен начин е да влезете в предишния прозорец "Потребители". Ако не сме сигурни дали тази група съществува, можем да използваме бутона "Потвърди име", за да сме сигурни, че групата съществува.

Управление на членството на отделни потребители и компютри

Също така, добавяме разрешения към други групи по същия начин. Ако искаме да добавим няколко имена наведнъж, ние използваме точка и запетая между тях. На този етап ще създадем първия потребител и ще му дадем парола. Струва си да се отбележи, че потребителят създава директно в домейна и по-късно го добавя в групата.

Потребителите, които са членове на тази група, не могат да споделят папки или да създават местни принтери. Групата Потребители осигурява най-сигурната среда за изпълнение на програми. При силата на звука с файловата система NTFS, настройките по подразбиране за сигурност на новоинсталираната (не модернизирана) система са предназначени да предотвратят нарушаването на целостта на операционната система и инсталираните програми от членове на тази група. Потребителите не могат да променят настройките на системния регистър на системно ниво, операционна система или програмни файлове. Потребителите могат да изключат работни станции, но не и сървъри. Потребителите могат да създават местни групи, но само тези, които са създали, могат да управляват. Потребителите имат пълен достъп до своите файлове с данни и част от регистъра (HKEY_CURRENT_USER). Разрешенията на ниво потребител обаче често не позволяват на потребителя да изпълнява остарели приложения. Членовете на групата "Потребители" са гарантирани, че могат да изпълняват само сертифицирани приложения за Windows.

В този прозорец ще добавим потребителя. Най-важното в този прозорец е полето "Потребителско име за влизане", защото тук определяме кои потребителски данни ще използва потребителят. Ако приемем, че броят на потребителите в тази група е голям, трябва да използвате данните за вход като име на групата и сериен номер.

Локална конфигурация на потребителските права

След попълването на данните кликнете върху "Напред". В следващия прозорец даваме паролата на потребителя. Тук имаме възможността да зададем за постоянно парола или да активираме промяна на паролата при първото влизане. Можем също така да проверим дали потребителят не може да промени паролата, но първата опция не може да бъде избрана, защото втората е изключена. По същия начин паролата не е изтекла. Последната опция е да деактивирате профила.

Архивиращите оператори - членове на тази група могат да архивират и възстановяват файлове на компютъра, независимо от всички права, които тези файлове са защитени. Те също така могат да влизат и да изключват компютъра, но не могат да променят настройките за сигурност. За архивиране и възстановяване на файлове с данни и системни файлове трябва да имате права за четене и писане. Разрешените по подразбиране разрешения за архивните оператори, които им позволяват да архивират и възстановяват файлове, им дава възможност да използват групови разрешения за други цели, например да четат файлове на други потребители и да инсталират програми с троянски вируси.

Въвеждаме всяка парола, като си спомняме, че е "силна", в противен случай сървърът ще откаже да създаде парола. Така че създадохме първия потребител. Сега ще го добавим към съответната група. В този случай просто кликнете с десен бутон на мишката и изберете "Добавяне към група".

За да проверите настройките, просто се придвижете до собственостите на потребителите и раздела "Участници". В някои ситуации можете да зададете група на друга, за да прехвърляте свободно потребителски права в домейна. Това е особено удобно за по-голям брой потребители. Трябва само да зададете група, например "домейн", на групата "Потребители на домейни". Това създава йерархия на разрешения и наследство. Разбира се, тези и други начини за споделяне на разрешения между потребителите зависят от нашите собствени резултати.

Гостите, които членуват в тази група, имат същите права като потребителите, по подразбиране, с изключение на Guest account, който е още по-ограничен в правата.

Операторите за мрежова конфигурация - членове на тази група могат да имат някои административни права за управление на конфигурацията на мрежовите настройки.

Потребители на отдалечен работен плот - Потребителите от тази група имат право да влизат отдалечено.

Това не винаги е добро решение. Но е добре да планираме напред. За щастие, всичко, което сме направили по отношение на закона, е обратимо. Въпреки това, лесно е да се изгубите, ако на пръв поглед не е добре изложено. Всяко организационно звено разполага с определен брой компютри в своите ресурси. Разбира се, броят на потребителите, независимо от броя на компютрите. Ако не беше така, създаването на група от компютри нямаше да има смисъл. Създаването на компютри е също толкова важно, колкото и добавянето на потребители.

Това прави управлението на всички звена и тяхната администрация много удобно. Тъй като имаме 3 групи потребители и всеки от тях работи върху някакво компютърно оборудване, ще създадем ново звено в родителската единица.

За да добавите потребителски акаунт към определена група, щракнете с десния бутон на мишката върху името на групата и изберете Add to group от падащото меню.

За повече информация относно изпълнението на тези и други задачи, свързани с потребителски и групови профили, както и по-пълно описание на потребителските профили и групи, вижте модула "Местни потребители и групи".

Създаване и промяна на местни потребителски акаунти

Това ще ви позволи да поддържате правилната организация на оборудването вътре в устройството. Разбира се, можете да използвате йерархията на компютъра за всяка от трите групи отделно. Но в този случай това ще означава, че всяка от нашите групи има свои собствени компютри, които никога не се използват от други групи. Каква рядка ситуация на практика.

След това създаваме конкретен компютър. Кликнете с десния бутон върху "Компютри", след това "Ново" и след това "Компютър". Наименованието също е отделен въпрос. По този начин създадохме първия компютър в нашата мрежа. Въпреки че тази концепция може да изглежда малко страшно отначало, ще видите, че е лесен за разбиране и използване на инструмент, който може да ви спести време и енергия, когато трябва да управлявате няколко потребителски акаунта. Той се използва и за управление на наличните файлове и папки, действията, които ви позволяват да правите, устройства и ресурси, които имате право да използвате и т.н.

Потребителските права се задават чрез възела на местните политики от груповите правила. Въз основа на името е ясно, че местните политики принадлежат на локалния компютър. Можете също така да конфигурирате тези местни правила като част от съществуваща групова политика за сайт, домейн или организационна единица. Когато го направите, местните правила се отнасят за компютърни профили в сайта, домейна или организационната единица.

За да управлявате правилата за потребителски права, изпълнете следните стъпки:

1.	Отворете контейнера за групови правила, с който трябва да работите, след което отворете възела, като слезете в дървото на конзолата. Разширете възлите Компютърна конфигурация, Настройки на Windows, Настройки за сигурност, след това Местни политики.
2.	разширят Присвояване на потребителски права (присвояване на потребителски права), както е показано на Фигура 8-5. Сега можете да управлявате потребителските права.
3.	За да зададете потребителски права, щракнете двукратно или щракнете с десния бутон на мишката върху потребителското право и изберете Properties. Отваря се диалоговият прозорец Свойства.
4.	Сега можете да конфигурирате правата на потребителя, както е описано в стъпки 1-4 на секцията или стъпки 1-7 на следващия раздел "" Фигура 8-5. Използвайте възела за присвояване на потребителски права, за да конфигурирате потребителските права на настоящия контейнер за групови правила.

Настройки за глобални потребителски права

Можете да конфигурирате отделни потребителски права за сайт, домейн или организационна единица, като изпълните следните стъпки:

1.	Отворете диалоговия прозорец Свойства за потребителското право, както е показано на Фигура 8-6. Забележка. Всички правила могат да бъдат дефинирани или не. Това означава, че те или са конфигурирани да използват или не. Правилата, които не са дефинирани в този контейнер, могат да бъдат наследени от друг контейнер.
2.	Изберете " Дефинирайте следните настройки на правилата в шаблона (Дефиниране на тези настройки на правилата)»За да определите политика
3.	За да приложите правото на потребител или група, кликнете върху бутона Добавяне на потребител или група (Добавяне), Показва се диалоговият прозорец, показан на Фигура 8-7. В този прозорец се използват следните полета: Търсене в. За достъп до профили от други домейни разширете списъка Търсене в. Ще видите списък, който изброява: текущия домейн, доверените домейни и другите ресурси, с които разполагате. Фигура 8-6. Определете правото на потребителя и го задайте на потребителя или групата. Забележка. Само домейни, с които се установяват отношения на доверие, са достъпни в списъка Look in. Изброяването на всички домейни от домейн дърво или гора е възможно поради наличието на транзитивни отношения на доверие в Windows 2000. Тръстните връзки не са установени изрично. По-скоро отношенията на доверие се установяват автоматично въз основа на структурата на гората и набор от разрешения в нея. Първо име. В тази графа са изброени наличните профили за избрания домейн или ресурс. Добавяне. За да добавите потребители към списъка за избор, използвайте Добавяне. Проверете имената. Потвърдете имената на потребителите и групите, въведени в полето за избор. Това е полезно, ако въвеждате имена ръчно и искате да сте сигурни, че те са налични.
4.	След като сте избрали профилите, които да добавите към групата, щракнете върху OK. В диалоговия прозорец Име на групата избраните профили ще бъдат показани. Кликнете върху OK отново.
5.	Актуализираният диалогов прозорец Свойства показва избраните потребители. Ако направите грешка, изберете името и я изтрийте, като кликнете върху бутона Премахване.
6.	Ако сте завършили задаването на разрешения за потребители и групи, щракнете върху OK.

Локална конфигурация на потребителските права

За да зададете потребителски права на локалния компютър, изпълнете следните стъпки:

1.	Отворете диалоговия прозорец Свойства за конфигуриране на правата, показани на Фигура 8-8.
2.	Текущата политика за компютъра се показва, но не можете да го промените. Можете обаче да промените настройките на местната политика, като използвате специални полета. Не забравяйте, че правилата на сайта, домейна и организацията имат превъзходство над местните политики. Фигура 8-7. Използвайте диалоговия прозорец Избор: Потребители или Групи, за да зададете права на потребители или групи.
3.	колона Присвоени към показва текущите потребители и групи, на които е определено правото. Поставете отметка или премахнете отметката от съответните полета под полето Настройка на местната политиказа да зададете или отмените правото на потребителя.

Можете да присвоите това право на допълнителни потребители и групи, като кликнете върху бутона Добавяне. Отваря се диалогов прозорец. Избор: Потребители или групи (Избор: Потребители или групи), показан на Фигура 8-7 по-рано. Сега можете да добавяте потребители и групи.

Добавяне на потребителски акаунт

Трябва да създадете профил за всеки потребител, който трябва да използва мрежови ресурси. Потребителските акаунти за домейни се създават, като се използва функцията за потребители и компютри на Active Directory. Местните профили се създават чрез модула за локални потребители и групи.

Създаване на потребителски акаунти за домейни

Има два начина за създаване на нови потребителски акаунти в домейна:

Създайте изцяло нов потребителски акаунт. За да създадете изцяло нов профил, щракнете с десния бутон върху контейнера, в който искате да поставите профила, изберете Нов, Потребител (User), Ще се отвори прозорецът на помощника, показан на фиг. 8-9. Когато създавате нов профил, се използват настройките по подразбиране на системата.

Фигура 8-8. Определете правото на потребителя, след което го задайте на потребители или групи.

Създайте нов профил въз основа на съществуващ профил. Щракнете с десния бутон върху потребителския акаунт, който искате да копирате в модула, след което щракнете върху Copy (Копирай). Съветникът се отваря. Копиране на обект - Потребител (Копиране на обект - Потребител), подобно на капитана Нов обект - Потребител (нов обект - потребител), Въпреки че създавате копие на профила, новият профил ще получи повечето от настройките от съществуващия профил. За повече информация относно копирането на профили вижте " Копиране на профили на домейни"(" Копиране на потребителски акаунти на домейни ") Глави 9.

Чрез стартирането на някой от помощниците, New Object - User или Copy Object - User, можете да създадете акаунт, като изпълните следните стъпки:

1.	Първият диалогов прозорец на съветника се използва за конфигуриране на показваното потребителско име и име за вход, както е показано на Фигура 8-9.
2.	Въведете името и фамилията на потребителя в полетата, предвидени за това. Името и фамилията се използват за създаване на пълно име, което е показваното име на потребителя.
3.	Въведете в полето Пълно име необходимите промени. Например, може да се наложи да въведете име във формата "Име на фамилия" или във формата "Име Фамилия". Пълното име трябва да е уникално в домейна и не повече от 64 знака.
4.	В полето Име на потребител за влизане въведете вашето потребителско име, за да влезете. След това изберете домейна, от който искате да свържете профила от падащия списък. Това уникално идентифицира името за вход.
5.	За да създадете име за вход, съвместимо с Windows NT 4.0 или по-стари версии на Windows, се използват първите 20 знака на името на входа на Windows 2000. Името за вход трябва да е уникално в домейна. Променете името за влизане в Windows NT 4.0 или по-рано, ако е необходимо. Фигура 8-9. Конфигурирайте потребителското име и потребителското име.
6.	Кликнете върху бутона Напред. Конфигурирайте паролата на потребителя, като използвате диалоговия прозорец, показан на Фигура 8-10. Полетата в този диалогов прозорец са изброени по-долу: Ако е поставена отметка, паролата за този профил не е ограничена. Тази настройка заменя правилата на домейна. Обикновено не се препоръчва да въвеждате пароли без дата на изтичане, тъй като това противоречи на самата идея за използване на пароли.
7.	Кликнете върху "Напред" и след това върху "Завършване", за да създадете профила. Ако срещнете проблеми при създаването на профила, ще видите предупреждение и ще трябва да използвате бутона "Назад", за да въведете отново информацията за потребителското име и паролата в съответните диалогови прозорци, ако е необходимо.

Когато профилът е създаден, можете да зададете допълнителни свойства за него, които са описани по-долу в тази глава.

Фигура 8-10. Задаване на паролата на потребителя.

Създайте местни потребителски акаунти

Локалните потребителски акаунти се създават чрез модула за локални потребители и групи. За да получите достъп до тази програма и да създадете профил, трябва да изпълните следните стъпки:

1.	, или просто изберете Управление на компютъра в папката.
2.	Управление на компютъра от контекстното меню. Сега можете да изберете компютъра, чиито потребителски акаунти трябва да управлявате. Домейн контролерите нямат местни потребители и групи.
3.	Разгънете възела, като кликнете върху знака плюс (+) до него и изберете.
4.	Щракнете с десния бутон върху папката Потребители (потребители) и изберете. Отваря се диалогов прозорец. Нов потребител, показан на Фигура 8-11. Полетата в този диалогов прозорец са изброени по-долу: Потребител (име). Името за вход за потребителския акаунт. Това име трябва да съответства на правилата на вашето местно име политика. Пълно име. Пълно потребителско име, като Уилям Р. Станек Описание (Описание). Описание на потребителя. Обикновено в това поле се записва името на публикацията на потребителя, като "Уеб администратор" или заглавието на публикацията и отдела. Password (Парола). Паролата за профила. Тази парола трябва да съответства на правилата на Вашата политика за пароли. Потвърдете паролата, Полето е предназначено да се увери, че паролата на профила е въведена правилно. Повторно въведете паролата, за да я потвърдите. Фигура 8-11. Настройването на локален потребителски акаунт е различно от настройването на акаунт за домейн. Изисквайте промяна на паролата следващия път, когато влезете в профила си (Потребителят трябва да смени паролата при следващото влизане). Ако е избрано това квадратче, потребителят ще трябва да смени паролата, когато влезете. Отказ от промяна на потребителската парола (Потребителят не може да променя паролата), Ако е поставена отметка, потребителят не може да промени паролата. Паролата не изтече (паролата никога не изтича). Ако е поставена отметка, паролата за този профил не е ограничена. Тази настройка заменя правилата на домейна. Деактивиране на профила (профилът е деактивиран). Ако е избрано това поле за отметка, профилът е деактивиран и не може да бъде използван. Използвайте това квадратче за временно заключване на профила.
5.	Кликнете върху бутона Създаване, когато приключите с настройването на нов профил.

Създайте групов профил

Групите се използват за управление на правата на няколко потребители. Профилите на глобалната група (Забележка Преводач: Групите за защита на Active Directory, които съдържат само акаунти от вашия собствен домейн) се създават чрез използване на модулите Active Directory Users and Computers, локални групови профили, като се използват Local Users и група (местни потребители и групи).

Когато създавате групови профили, не забравяйте, че групите са създадени за подобни типове потребители. Някои типове групи, които може да се наложи да създадете, са изброени по-долу:

	Групи за отделите на организацията. Обикновено потребителите, които работят в един и същ отдел, имат нужда от достъп до същите ресурси. Следователно можете да създавате групи за отдели, като отдела за развитие, отдел продажби, маркетингов отдел или инженерингов отдел.
	Групи за потребители на специални приложения. Често потребителите имат нужда от достъп до приложението и ресурсите, свързани с това приложение. Ако създавате групи за потребители на конкретно приложение, можете да сте сигурни, че потребителите имат достъп до необходимите ресурси и файлове с приложения.
	Групи въз основа на отговорностите на потребителите , Групите могат да бъдат създадени и на принципа за споделяне на задълженията на потребителите. Например, мениджър, наблюдател и обикновен потребител трябва да имат достъп до различни ресурси. Създавайки групи по този принцип, можете да сте сигурни, че правата за достъп до необходимите ресурси се предоставят на потребителите, които се нуждаят от тях.

Създайте глобална група

За да създадете глобална група, трябва да изпълните следните стъпки:

1.	Стартирайте модула Active Directory - потребители и компютри (потребители и компютри на Active Directory), Кликнете с десния бутон върху контейнера, в който искате да поставите груповия профил. След това изберете Нов -\u003e Група. Отваря се диалогов прозорец. Нов обект - Група (Нов обект - Група), показан на Фигура 8-12.
2.	Въведете име за групата. Имената на глобалните групови профили трябва да отговарят на правилата за показване на имена на потребителски акаунти. Те не са чувствителни към буквите и не могат да бъдат по-дълги от 64 символа.
3.	Когато създавате име на група за съвместимост с Windows NT 4.0 или по-стари версии на Windows, се използват първите 20 знака на името на групата Windows 2000. Името на групата трябва да е уникално в домейна. Ако е необходимо, променете името на групата Windows NT 4.0 или по-ранна. Фигура 8-12. Диалоговият прозорец Нов обект - група ви позволява да добавяте нови глобални групи към домейна.
4.	Изберете обхвата на групата: локален домейн, глобален или универсален.
5.	Изберете типа на групата: група за сигурност или група за разпространение.
6.	Кликнете върху OK, за да създадете групата. Сега можете да добавите потребители към групата и да зададете допълнителни свойства, които са описани по-долу в тази глава.

Създайте местна група и добавете членове

Местните групи се създават с помощта на модула за локални потребители и групи. Можете да го отворите, като изпълните следните стъпки:

1.	Щракнете върху Старт, Програми, Административни инструменти, Управление на компютъра или просто изберете Управление на компютъра в папката Административни инструменти.
2.	Щракнете с десния бутон върху възела Управление на компютъра В дървото на конзолата изберете Свържете се с друг компютър (свържете към друг компютър) от контекстното меню. Сега можете да изберете компютъра, чиито профили трябва да управлявате. Домейн контролерите нямат местни потребители и групи.
3.	Отворете възела Системни инструментикато кликнете върху знака плюс (+), съответстващ на този възел, и изберете Местни потребители и групи.
4.	Кликнете с десния бутон върху папката Групи и изберете Нова група, Отваря се диалогов прозорец. Нова група, показан на Фигура 8-13.
5.	След като въведете името и описанието на групата, кликнете върху бутона Добавяне, за да добавите потребители към тази група. Отваря се диалогов прозорец. Изберете: Потребители или групи (Изберете потребители или групи), показан на Фигура 8-7. Сега можете да добавите членове към групата. Полетата в този диалогов прозорец са описани по-долу: Търсете в (Look In). За достъп до профилите на други компютри и домейни щракнете върху списъка Look in. Ще видите списък, който изброява текущия компютър, доверените домейни и други ресурси, до които имате достъп. Име (Name). Тази графика показва наличните профили на избрания домейн или ресурс. Добавяне (добавяне). Добавете избраните имена в списъка за избор. Проверете имената (проверка на имената). Потвърдете имената на потребителите и групите, въведени в полето за избор. Това е полезно, когато въвеждате имена ръчно и искате да сте сигурни, че са налични.
6.	След като изберете имената на профилите, които да добавите към групата, щракнете върху OK.
7.	Диалогов прозорец Нова група актуализирано, за да отразите избора си. Ако направите грешка, изберете името и я изтрийте, като кликнете върху бутона Премахване.
8.	Когато приключите с добавянето или премахването на членове от групата, кликнете върху бутона Създаване. Фигура 8-13. Диалоговият прозорец Нова група ви позволява да добавите нова местна група.

Управлявайте членството в глобалната група

За да конфигурирате членство в група, използвайте модула Active Directory Users and Computers. Работете със групи, помнете следните неща:

Групировката "Потребители и компютри на Active Directory" предоставя няколко начина за управление на членството в групата. Можете да:

Управление на членството на отделни потребители и компютри

Можете да добавяте или премахвате членство в групи за всеки тип профил, като изпълните следните стъпки:

1.	Кликнете два пъти върху потребителя, компютъра или групата в модула Active Directory - потребители и компютри (потребители и компютри на Active Directory)
2.	Изберете раздела "Членове".
3.	За да направите профил член на група, кликнете върху бутона Добавяне. Появява се същия диалогов прозорец Изберете: Групи (Избор на групи), като диалогов прозорец Изберете: Потребители или групи (Изберете потребители или групи), описан в предишните примери.
4.	За да изтриете профил от групата, изберете групата и след това кликнете върху Премахване.
5.	Кликнете върху OK.

Управление на членството на няколко потребители или компютри

Диалоговият прозорец Свойства също ви позволява да управлявате членството в групата. За да добавите или премахнете профили, изпълнете следните стъпки:

1.	Щракнете двукратно върху потребителя или компютъра в модула Active Directory - потребители и компютри (потребители и компютри на Active Directory), Появява се диалоговият прозорец Свойства на профила
2.	Изберете раздела "Членове".
3.	Кликнете върху Добавяне, за да добавите профилите в групата. Отваря се диалогов прозорец. Изберете: потребители или групи (Изберете потребители или групи), Изберете потребителите, компютрите и групите, които трябва да бъдат членове на тази група.
4.	За да премахнете членове от група, изберете профила, след което кликнете върху Премахване.
5.	Кликнете върху OK.

Задаване на членство в основната група за потребители и компютри

Основните групи се използват от потребители, които работят с Windows 2000 чрез услуги, съвместими с Macintosh. Когато потребител на Mac създава файлове или папки на компютър, работещ под Windows 2000, основната група е присвоена на тези файлове и папки.

Всички потребителски и компютърни профили трябва да имат основна група, независимо дали работят с Windows 2000 през Macintosh или не. Тази група трябва да бъде глобална или универсална, като например глобалната група Потребители на домейни или глобалната група Domains Computers.

За да настроите основната група, изпълнете следните стъпки:

Всички потребители трябва да са членове на поне една основна група. Не можете да отмените членството на потребителя в основната група, освен ако не присвоите на потребителя друга основна група. За целта изпълнете следните стъпки:

Материалът е взет от книгата "Windows 2000. Ръководство на администратора". Автор Уилям Р. Станек (Уилям Р. Станк). © Microsoft Corporation, 1999. Всички права запазени.