Spravujte místní uživatele a skupiny. Správa uživatelů a skupin. Lokální konfigurace uživatelských práv

Nástroje Místní uživatelé a skupiny "je důležitým prostředkem zabezpečení, protože umožňuje omezit možné akce uživatelů a skupin přiřazením práv a oprávnění. Jeden uživatelský účet může patřit do několika skupin.

K tomuto modulu snap-in můžete přistupovat zadáním příkazového řádku lusrmgr.msc

V levé části okna, které se otevře, naleznete dvě složky - Uživatelé a Skupiny

Složka Uživatel zobrazuje dvě vložené položky účty Uživatelé - administrátor a host, kteří jsou automaticky vytvořeni během instalace Wundows XP, stejně jako všechny vytvořené uživatelské účty.

Také tentokrát byl příkaz proveden správně, jak je potvrzeno pod připojenou obrazovkou.

Postupně se blížíme k závěru tohoto článku, a proto budeme dočasně zakázat jeden z vašich účtů. Samozřejmě jsme účet zakázali se známým jménem.

Reaktivujte jej pomocí následujícího kódu. Při používání soukromého počítače doma se obvykle nezajímají takové věci, jako jsou místní účty. Pokud však na počítači pracuje více než jedna osoba, je důležité se na toto téma spolehnout. Při spouštění aplikace nebo služby ji můžeme spustit v kontextu uživatele s méně oprávněními. To lze provádět obvyklým způsobem v grafických uživatelských rozhraních - pomocí myši otevřete pravé okno, vyberte příslušné parametry, klepněte na příslušná tlačítka, vyhledejte záložku, zadejte a přijměte.

Účet správce se používá při první instalaci operačním systémem. Tento účet vám umožňuje provést potřebné kroky dříve, než uživatel vytvoří vlastní účet. Účet "Administrator" nelze odstranit, zakázat nebo odstranit místní skupinu Administrátoři, což eliminuje možnost náhodného ztráty přístupu k počítači po zničení všech účtů správce. Tato vlastnost rozlišuje účet správce od zbytku skupiny místních administrátorů. Účty hostů jsou používány těmi, kteří v počítači nemají skutečný účet. Pokud je uživatelský účet zakázán (ale není smazán), může také použít účet Guest. Účet hosta nevyžaduje heslo. Ve výchozím nastavení je zakázáno, ale může být povoleno.

Nastavení prvotní členství ve skupinách pro uživatele a počítače

Pokud to uděláme jednou, žádný problém. Pokud se aktivita opakuje, může být použita alternativní metoda. Tato rozhraní umožňují provádět běžné administrativní úkony, včetně přidávání uživatelů a skupin, stejně jako správu zařízení a přidělování oprávnění různým zdrojům.

Samotný den by měl stačit k připomínkám. Vynechání data zpět do adresářových služeb. To nemění skutečnost, že to hodně dovoluje. A to mimo jiné umožňuje, co je uvedeno v následujících pododdílech. Prvním krokem ke zvládnutí správy uživatelů je vytvoření uživatele. Podívejme se na následující seznam.

Chcete-li přidat nový uživatelský účet, klepněte pravým tlačítkem myši na složku Uživatelé a z rozevírací nabídky vyberte příkaz Nový uživatel ... V okně, které se otevře, zadejte data a vytvořte nový účet. Chcete-li odstranit uživatelský účet, klepněte pravým tlačítkem myši na název účtu v pravém okně programu a v rozevírací nabídce vyberte příkaz Odstranit.

Tento přístup umožňuje budoucnosti, po rozpoznání, že skript je užitečný, jej zavřít ve funkci a znovu ji použít. V uvedeném případě budou parametry uživatelským jménem a heslem uživatele. Sada propojených rozhraní. Skript se samozřejmě může zlepšit. Namísto zadání uživatelského jména a hesla můžete použít hotová řešení a požádat uživatele, aby se nejprve přihlásil.

Přiřaďte uživatele skupinám

To není vše, co lze udělat. Často chceme spustit službu na samostatném systémovém účtu. Heslo by nemělo vypršet a nemělo by se měnit. Kdo změní heslo? Samotná služba se nezmění. Podívejme se na další scénář v této sérii. Ačkoli vytváření uživatelů v grafickém prostředí není příliš zatěžující, mohou být skupiny uživatelů, ke kterým uživatel patří, propojeny kliknutím na několik oken. Rovněž je obtížné ověřit, zda je uživatel přiřazen správným skupinám.

Můžete také přiřadit cestu k profilu a přihlašovacímu skriptu pro konkrétní účet (podrobnosti viz Nápověda).

Složka Skupiny zobrazuje všechny vestavěné skupiny a skupiny vytvořené uživatelem. Vestavěné skupiny se vytvářejí automaticky instalace oken Xp. Pokud patříte do skupiny, poskytuje uživateli práva a schopnosti k provádění různých úkolů v počítači. Následují vlastnosti některých vestavěných skupin:
Administrátoři - Členství v této skupině ve výchozím nastavení poskytuje nejširší soubor oprávnění a možnost změnit vlastní oprávnění. Administrátoři mají úplný, neomezený přístup k počítači nebo doméně. Práce v systému Windows XP jako správce činí systém zranitelným vůči trojským koním a dalším programům ohrožujícím bezpečnost. Právě návštěva webových stránek může systém velmi poškodit. Na neznámé webové stránce může být trojský program, který bude načten do systému a spuštěn. Pokud jste v tomto okamžiku přihlášeni s administrátorskými právy, takový program může přeformátovat pevný disk, vymazat všechny soubory, vytvořit nový uživatelský účet s administrativním přístupem atd.

Vytvoření uživatelských účtů domény

Pokud jste sám - žádný problém. Podívejme se na příklad skript. Scénář může být jednoduchý, ale není praktický. Pokud to provedete podruhé, bude to mít za následek chybu - nemůžete uživatele přidat dvakrát. Chyba může nastat také dříve - nejsme si jisti, že existuje uživatel i skupina. Podívejme se, jak je uživatel ověřen.

Správa účtů a skupin místních počítačů

Podobné podmínky lze ověřit existenci skupin. Pokud uživatel neexistuje, vytvoří se 10 uživatelů a na obrazovce se zobrazí následující zprávy. Pokud uživatelé již existují, obdržíme také příslušnou zprávu.

instalace operačního systému a jeho součástí (například ovladače zařízení, systémové služby atd.);

instalace servisních balíčků;

aktualizace operačního systému;

obnovení operačního systému;

konfigurovat nejdůležitější parametry operačního systému (hesla, řízení přístupu, zásady auditu, konfigurace ovladačů v režimu jádra apod.);

Pokud chceme, aby každý z vytvořených uživatelů patřil do dvou skupin, můžeme postupovat takto. Pokud je skript spuštěn po nakonfigurování 10 uživatelů, zobrazí se následující zpráva. Pokud je vše nakonfigurováno, skript nám řekne. Smazání uživatelů může být také obrovský proces. Představte si, že po provedení testů výkonu, když jsou různé požadavky odesílány od různých uživatelů, chceme systém dát do pořádku. Stávající uživatelé vypadají!

Můžete to například udělat. Pokud uživatele vymažeme, obdržíme zprávu. Jinak se zpráva bude lišit. Ti, kteří testovali všechny skripty při čtení tohoto článku, se s nadějí vypořádají a vymažou všechny nalezené uživatele. Pokud tomu tak není, znamená to, že článek není zcela jasný.

získání vlastnictví souborů, které se staly nepřístupnými;

správa bezpečnostních a auditních protokolů;

archivační a obnovovací systém.

V praxi by se správní účty měly často používat k instalaci a spuštění programů napsaných pro předchozí verze systému Windows.

Power Users - tato skupina je podporována hlavně pro zpětnou kompatibilitu pro spouštění necertifikovaných aplikací. Výchozí oprávnění udělená této skupině umožňují členům skupiny změnit nastavení počítače. Pokud je vyžadována podpora pro necertifikované aplikace, koncoví uživatelé by měli být členy skupiny Power Users.
Členové skupiny Advanced Users mají více oprávnění než členové skupiny Users a méně než členové skupiny Administrators. Zkušení uživatelé mohou provádět libovolné úlohy s operačním systémem kromě úkolů vyhrazených pro skupinu Administrators.

Naše služby budou obsluhovány jiným dodavatelem, ale to bude v naší infrastruktuře. Výše uvedené scénáře mohou být užitečné nejen pro správce, ale i pro programátora. Skripty jsou velmi užitečné při nasazení aplikací. Tento skript je mnohem spolehlivější než uživatelská příručka. Netřeba říkat o jednoduchosti a opakovatelnosti. Když děláte totéž několik, víc nebo vícekrát, je velmi pravděpodobné, že jsou někde špatně.

Jak scénář roste, stejně jako obvyklá metoda, která je znovu použita a testována ve zvoleném programovacím jazyce, může být použita téměř slepě. V této části budeme pracovat na vytváření uživatelů, skupin, počítačů a přidělení oprávnění k nim. Tato část je obzvláště důležitá, protože zde provádíme jednu z nejdůležitějších operací na serveru.

Zkušení uživatelé mohou:

spustit aplikace certifikované pro Windows 2000 a Windows XP Professional, stejně jako starší aplikace;

instalovat programy, které nemění soubory operačního systému a systémové služby;

konfigurujte zdroje na úrovni systému, včetně tiskáren, data a času, možnosti napájení a další zdroje ovládacího panelu

Nejprve vytvoříme organizační jednotku. Nechť je to například "IT profesionálové". Otevře se okno pro správu uživatele a počítače. V tomto okně klikněte pravým tlačítkem na vytvořenou doménu. Vybíráme "Nová" a "Organizační jednotka". V dalším okně zadejte název organizační jednotky.

Do domény jsme přidali nové rozdělení. Stejně děláme pro ostatní dvě skupiny. Výsledkem je organizační jednotka nazvaná "IT profesionálové" se třemi skupinami. V dalším kroku udělíme vytvořeným skupinám práva. Každá skupina přijímá jiné pravomoci. To je trochu související se samotnou myšlenkou vytváření skupin. Vzhledem k tomu, že vytvoření skupiny je totožné s rozdělením. Oddělení je obvykle vytvořeno kvůli touze omezit práva daného zdroje. Na začátku však každá skupina vytvoří základní uživatelská oprávnění.

vytvářet a spravovat místní uživatelské a skupinové účty;

zastavit a spustit systémové služby, které ve výchozím nastavení nejsou spuštěny.

Power Uživatelé se nemohou přidat do skupiny Administrators. Nemají přístup k datům ostatních uživatelů v svazku NTFS, pokud nejsou získána odpovídající oprávnění těchto uživatelů. Vzhledem k tomu, že pokročilí uživatelé mohou instalovat a modifikovat programy, pracují v rámci skupinového účtu "Zkušení uživatelé" při připojení k Internetu, což může způsobit zranění trojských koní a dalších programů ohrožujících bezpečnost.

Chcete-li to provést, klepněte pravým tlačítkem myši na skupinu a přejděte na položku Vlastnosti. V následujícím okně přejdeme na kartu Účastníci, ve kterém určíme, který člen má právo na tuto skupinu. V dalším okně vyberte možnost "Upřesnit" a "Najít". Rychlejší a snadnější způsob je zadat předchozí okno "Uživatelé". Pokud si nejsme jisti, zda tato skupina existuje, můžeme použít tlačítko "Zkontrolovat název", abychom ujistili, že skupina existuje.

Členská správa pro jednotlivce a počítače

Podobně přidáváme oprávnění pro jiné skupiny stejným způsobem. Pokud chceme přidat několik jmen najednou, použijeme mezi nimi středník. V této fázi vytvoříme prvního uživatele a poskytneme mu heslo. Stojí za zmínku, že uživatel vytvoří přímo v doméně a později jej přidá do skupiny.

Uživatelé - členové této skupiny nemohou organizovat sdílený přístup do adresářů nebo vytvořit místních tiskáren. Skupina Uživatelé poskytuje nejbezpečnější prostředí pro spouštění programů. Na svazku systému souborů NTFS jsou výchozí nastavení zabezpečení nově nainstalovaného (neaktualizovaného) systému navrženy tak, aby zabraňovaly ohrožení integrity operačního systému. instalovaných programů členy této skupiny. Uživatelé nemohou měnit nastavení registru na systémové úrovni, soubory operačního systému nebo programy. Uživatelé mohou vypnout pracovní stanice, nikoliv servery. Uživatelé mohou vytvářet místní skupiny, ale mohou spravovat pouze ty, které vytvořili. Uživatelé mají plný přístup k datovým souborům a jejich části registru (HKEY_CURRENT_USER). Oprávnění na úrovni uživatele však často neumožňují uživateli zobrazovat zastaralé aplikace. Členům skupiny uživatelů je zaručeno, že budou spouštět pouze aplikace s certifikátem Windows.

V tomto okně přidáme uživatele. Nejdůležitější věcí v tomto okně je pole Přihlašovací jméno uživatele, protože zde definujeme, které přihlašování uživatel použije. Za předpokladu, že počet uživatelů v této skupině je velký, měli byste používat přihlašovací jméno jako název skupiny a sériové číslo.

Lokální konfigurace uživatelských práv

Po vyplnění dat klikněte na tlačítko "Další". V následujícím okně zadáme heslo uživateli. Zde máme příležitost trvale přiřadit heslo nebo povolit změnu hesla při prvním přihlášení do systému. Můžeme také ověřit, že uživatel nemůže změnit heslo, ale první možnost nemůže být vybrána, protože druhá je vyloučena. Stejně tak heslo nevypršela. Poslední možností je zakázat účet.

Operátoři zálohování - členové této skupiny mohou archivovat a obnovovat soubory v počítači bez ohledu na všechna oprávnění, která chrání tyto soubory. Mohou také přihlásit a vypnout počítač, ale nemohou měnit nastavení zabezpečení. Chcete-li archivovat a obnovovat datové soubory a systémové soubory, jsou vyžadována oprávnění ke čtení a zápisu. Výchozí oprávnění pro operátory archivu, která jim umožňují archivovat a obnovovat soubory, jim umožňují používat skupinová oprávnění pro jiné účely, například pro čtení souborů jiných uživatelů a instalace programů s trojskými viry.

Zadejte libovolné heslo, pamatujeme si, že je "silné", jinak server odmítne vytvořit heslo. Takže jsme vytvořili první uživatele. Nyní jej přidáme do příslušné skupiny. V tomto případě stačí kliknout pravým tlačítkem myši a zvolit "Přidat do skupiny".

Chcete-li zkontrolovat nastavení, prostě přejděte na uživatelské vlastnosti a kartu "Účastníci". V některých situacích můžete přiřadit skupině jinému, který volně převádí uživatelská práva v doméně. To je zvláště výhodné pro více uživatelů. Jednoduše přiřaďte skupině, například "doméně", skupině "Uživatelé domény". Tím vznikne hierarchie oprávnění a dědičnosti. Samozřejmě, tyto a další způsoby sdílení oprávnění mezi uživateli závisí na našich vlastních výsledcích.

Hosté - členové této skupiny mají ve výchozím nastavení stejná práva jako uživatelé, s výjimkou účtu Guest, který je ještě omezen v právech.

Provozovatelé konfigurace sítě - členové této skupiny mohou mít některá práva správce pro řízení konfigurace parametrů sítě.

Uživatelé vzdálené plochy - Členové této skupiny mají právo provádět vzdálené přihlášení.

To není vždy dobré řešení. Ale plán dobře v předstihu. Naštěstí je vše, co jsme udělali ve smyslu zákona, reverzibilní. Nicméně je snadné se ztratit, pokud nejprve není dobře vyloženo. Každá organizační jednotka ve svých zdrojích má určitý počet počítačů. Samozřejmě, počet uživatelů, bez ohledu na počet počítačů. Pokud by tomu tak nebylo, vytvoření skupiny počítačů by nemělo velký smysl. Vytvoření počítačů je stejně důležité jako přidávání uživatelů.

Díky tomu je řízení všech oddělení a jejich správy velmi výhodné. Vzhledem k tomu, že máme 3 skupiny uživatelů a každý z nich pracuje na některých počítačích, vytvoříme novou divizi v mateřské divizi.

Chcete-li do určité skupiny přidat uživatelský účet, klepněte pravým tlačítkem myši na název skupiny a v rozbalovací nabídce vyberte možnost Přidat do skupiny.

Podrobnější nápovědu k těmto a dalším úkolům souvisejícím s uživatelskými účty a skupinami a také k úplnějšímu popisu uživatelských účtů a skupin naleznete v nápovědě modulu snap-in Místní uživatelé a skupiny.

Vytvořte a upravte místní uživatelské účty

To vám umožní udržovat správnou organizaci zařízení uvnitř zařízení. Samozřejmě můžete použít hierarchii počítačů pro každou ze tří skupin samostatně. Ale v tomto případě to znamená, že každá z našich skupin má své vlastní počítače, které nikdy nepoužívají jiné skupiny. Jaká vzácná situace v praxi.

Poté vytvoříme konkrétní počítač. Klepněte pravým tlačítkem myši na "počítače", potom na "Vytvořit" a poté na "Počítač". Pojmenování je také samostatný problém. Tak jsme vytvořili první počítač v naší síti. Ačkoli se tento pojem může zpočátku trochu zastrašit, uvidíte, že je snadné pochopit a používat nástroj, který vám může ušetřit čas a energii, když potřebujete spravovat více uživatelských účtů. Používá se také k správě dostupných souborů a složek, akcí, které máte povoleno dělat, zařízení a zdrojů, které máte právo používat atd.

Uživatelská práva jsou přiřazena prostřednictvím uzlu Místní zásady zásad skupiny (Zásady skupiny). Na základě jména je zřejmé, že místní zásady patří do místního počítače. Můžete také nakonfigurovat tyto místní zásady jako součást existujících zásad skupiny pro web, doménu nebo oddělení. Když tak učiníte, místní zásady se použijí na počítačové účty na webu, doméně nebo oddělení.

Chcete-li spravovat zásady uživatelských práv, postupujte takto:

1.	Otevřete kontejner zásady skupinys nimiž musíte pracovat, a pak otevřete uzel tím, že se dostanete dolů do stromu konzoly. Rozbalte uzly Konfigurace počítače, Konfigurace systému Windows (nastavení systému Windows), Nastavení zabezpečení, pak Místní zásady.
2.	Rozbalte Přiřazení uživatelských právjak je znázorněno na obrázku 8-5. Nyní můžete spravovat uživatelská práva.
3.	Chcete-li přiřadit uživatelská práva, poklepejte nebo klepněte pravým tlačítkem myši na právo uživatele a vyberte Vlastnosti. Otevře se dialogové okno Vlastnosti.
4.	Nyní můžete nakonfigurovat uživatelská práva tak, jak je popsáno v krocích 1-4 "oddílu" nebo v krocích 1-7 v další části "" Obrázek 8-5. Pomocí uzlu Přiřazení uživatelských práv konfigurovat uživatelská práva aktuálního kontejneru Zásady skupiny.

Globální nastavení uživatelských práv

Můžete konfigurovat jednotlivé uživatelské práva pro web, doménu nebo divizi provedením následujících kroků:

1.	Otevřete dialogové okno Vlastnosti pro uživatelská práva, jak je znázorněno na obrázku 8-6. Poznámka: Všechny zásady mohou být definovány nebo neurčeny. To znamená, že jsou buď konfigurovány pro použití, nebo ne. Politika, která není v tomto kontejneru definována, může být zděděna z jiného kontejneru.
2.	Zvolte možnost " Definujte následující nastavení zásad v šabloně (Definujte tato nastavení zásad)"Určit pravidla
3.	Chcete-li uplatnit právo na uživatele nebo skupinu, klepněte na tlačítko Přidat uživatele nebo skupinu (Přidat). Zobrazí se dialogové okno zobrazené na obrázku 8-7. V tomto okně se používají tato pole: Hledat v. Chcete-li přistupovat k účtům z jiných domén, rozbalte seznam Hledat. Zobrazí se seznam, který uvádí: aktuální doménu, důvěryhodné domény a další zdroje, které máte k dispozici. Obrázek 8-6. Určete právo uživatele a přiřaďte jej uživateli nebo skupině. Poznámka: Pouze domény, se kterými je založena důvěra, jsou k dispozici v seznamu Look in. Výčet všech domén ze stromu domén nebo z doménové struktury domén je možný kvůli přítomnosti přechodových vztahů důvěryhodnosti v systému Windows 2000. Vztahy důvěryhodnosti nejsou výslovně stanoveny. Důvěra je spíše založena automaticky na základě struktury lesa a souboru oprávnění. Jméno Tento sloupec uvádí dostupné účty vybrané domény nebo zdroje. Přidání. Chcete-li přidat uživatele do výběrového seznamu, použijte Přidat. Zkontrolujte jména. Potvrďte jména uživatelů a skupin zadaných v okně výběru. To je užitečné, pokud ručně zadáte jména a chcete se ujistit, že jsou k dispozici.
4.	Po výběru účtů, které chcete přidat do skupiny, klepněte na tlačítko OK. V dialogovém okně Název skupiny Vybrané účty se zobrazí. Klepněte znovu na tlačítko OK.
5.	V aktualizovaném dialogovém okně Vlastnosti (Vlastnosti) se zobrazí vybrané uživatele. Pokud uděláte chybu, vyberte název a odstraňte jej klepnutím na tlačítko Odebrat.
6.	Pokud jste dokončili přiřazování práv uživatelům a skupinám, klepněte na tlačítko OK.

Lokální konfigurace uživatelských práv

Přiřadit uživatelská práva k místního počítače, postupujte takto:

1.	Otevřete dialogové okno Vlastnosti pro konfiguraci práv, jak je znázorněno na obrázku 8-8.
2.	Aktuální politika počítače se zobrazuje, ale nemůžete ji změnit. Parametry však můžete změnit místní politicepomocí zvláštních polí. Nezapomeňte, že zásady týkající se webu, domény a organizace jsou nadřazené místním zásadám. Obrázek 8-7. Pomocí dialogu Vybrat uživatele nebo skupiny můžete přiřadit práva uživatelům nebo skupinám.
3.	Počítat Přiřazeno k zobrazuje aktuální uživatele a skupiny, které jim byly přiřazeny správné. Zkontrolujte nebo zrušte zaškrtnutí příslušných polí pod rámečkem. Nastavení místní politikypřidělit nebo zrušit uživatelské právo.

Můžete přiřadit dané právo dalšími uživateli a skupiny kliknutím na tlačítko Přidat. Otevře se dialogové okno. Volba: Uživatelé nebo skupiny (volba: uživatelé nebo skupiny), jak je znázorněno na obrázku 8-7 dříve. Nyní můžete přidat uživatele a skupiny.

Přidat uživatelský účet

Pro každého uživatele, který chcete použít, musíte vytvořit účet. síťových zdrojů. Uživatelské účty domény jsou vytvořeny pomocí modulu snap-in Uživatelé a počítače služby Active Directory. Místní uživatelské účty jsou vytvořeny pomocí modulu snap-in Místní uživatelé a skupiny.

Vytvoření uživatelských účtů domény

Existují dva způsoby vytvoření nových uživatelských účtů v doméně:

Vytvořte zcela nový uživatelský účet. Chcete-li vytvořit zcela nový účet, klepněte pravým tlačítkem myši na kontejner, ve kterém je třeba účet umístit, a poté vyberte Nový objekt Uživatel. Zobrazí se okno průvodce podle obrázku 8-9. Při vytváření nového účtu se používají výchozí parametry systému.

Obrázek 8-8. Definujte uživatelské právo a poté ho přiřaďte uživatelům nebo skupinám.

Vytvořte nový účet založený na existujícím účtu. Klepněte pravým tlačítkem myši na uživatelský účet, který chcete kopírovat v modulu snap-in, a potom vyberte možnost Kopírovat. Otevře se průvodce. Kopírovat objekt - uživatel (kopírovat objekt - uživatel)podobně jako master Nový objekt - uživatel (nový objekt - uživatel). Ačkoli vytváříte kopii účtu, nový účet přijímá většinu nastavení ze stávajícího účtu. Další informace o kopírování účtů naleznete v části " Kopírování účtů domény»(" Kopírování uživatelských účtů domény ") Kapitola 9.

Spuštění jednoho z průvodců, Nový objekt - Uživatel (Nový objekt - uživatel) nebo Kopírovat objekt - Uživatel (Kopírovat objekt - uživatel), můžete vytvořit účet následujícím postupem:

1.	První dialogové okno průvodce se používá pro konfiguraci zobrazovaného názvu uživatele a přihlašovacího jména, jak je znázorněno na obrázku 8-9.
2.	Zadejte uživatelské jméno a příjmení do příslušných polí. Jméno a příjmení se používají k vytvoření úplného jména, což je zobrazované jméno uživatele.
3.	Zadejte do pole Celé jméno nezbytné změny. Například budete možná muset zadat jméno ve formátu "Příjmení nejprve počáteční" nebo ve formátu "Jméno příjmení". Celé jméno musí být v doméně jedinečné a ne delší než 64 znaků.
4.	V poli Přihlašovací jméno uživatele zadejte své uživatelské jméno pro přihlášení. Poté z rozbalovacího seznamu vyberte doménu, ze které bude účet přidružen. Toto jednoznačně identifikuje přihlašovací jméno.
5.	Chcete-li vytvořit přihlašovací jméno kompatibilní se systémem Windows NT 4.0 nebo starším windows verze, použije se prvních 20 znaků přihlašovacích údajů systému Windows 2000. Přihlášení musí být v doméně jedinečné. Pokud je to nutné, změňte přihlašovací jméno na systém Windows NT 4.0 nebo starší. Obrázek 8-9. Konfigurace přihlašovacího a zobrazovaného jména uživatele.
6.	Klepněte na tlačítko Další. Nastavte uživatelské heslo pomocí dialogového okna zobrazeného na obrázku 8-10. Pole tohoto dialogu jsou uvedeny níže: Pokud je zaškrtnuto políčko, heslo pro tento účet není omezeno. Tato volba zneplatňuje zásady účtu domény. Obvykle se nedoporučuje nastavovat hesla bez data exspirace, protože to je v rozporu se samotnou myšlenkou používání hesel.
7.	Klepněte na tlačítko Další a poté na tlačítko Dokončit pro vytvoření účtu. Pokud dojde během procesu vytváření účtu k problémům, uvidíte varování a budete muset použít tlačítko Zpět, abyste znovu zadali informace o uživatelském jménu a hesle do příslušných dialogových oken, je-li to nutné.

Když je účet vytvořen, můžete pro něj nastavit další vlastnosti, které jsou popsány později v této kapitole.

Obrázek 8-10. Nastavení uživatelského hesla.

Vytváření místních uživatelských účtů

Místní uživatelské účty jsou vytvořeny pomocí modulu snap-in Místní uživatelé a skupiny. Chcete-li získat přístup k tomuto nástroji a vytvořit účet, musíte postupovat podle těchto kroků:

1.	nebo jen vybrat Správa počítačů ve složce.
2.	Správa počítačů z kontextové nabídky. Nyní můžete vybrat počítač, jehož uživatelské účty je třeba spravovat. Řadiče domény nemají žádné místní uživatele a skupiny.
3.	Rozbalte uzel kliknutím na znaménko plus (+) vedle něj a vyberte.
4.	Klepněte pravým tlačítkem myši na složku. Uživatelé a zvolte. Otevře se dialogové okno. Nový uživatelznázorněné na obrázku 8-11. Pole tohoto dialogu jsou uvedeny níže: Uživatel (uživatelské jméno). Přihlašovací údaje pro uživatelský účet. Tento název musí splňovat zásady místního jména. Celé jméno (celé jméno). Úplné uživatelské jméno, jako je William R. Stanek Popis (popis). Popis uživatele. Obvykle v tomto poli zadejte název příspěvku uživatele, například "správce webu", nebo název pozice a oddělení. Heslo (heslo). Heslo pro účet. Toto heslo musí splňovat vaše zásady týkající se hesla. Potvrďte heslo. Toto pole má zajistit správné zadání hesla účtu. Zadejte heslo znovu a potvrďte. Obrázek 8-11. Nastavení lokálního uživatelského účtu se liší od nastavení účtu domény. Požadovat změnu hesla při příštím přihlášení (Uživatel musí změnit heslo při příštím přihlášení). Pokud je zaškrtnuto toto políčko, uživatel bude při přihlašování muset změnit heslo. Zabránit změně hesla uživatele (uživatel nemůže změnit heslo). Pokud je zaškrtnuto, uživatel nebude moci heslo změnit. Platnost hesla není omezena (heslo nikdy neplatí). Pokud je zaškrtnuto políčko, heslo pro tento účet není omezeno. Tato volba zneplatňuje zásady účtu domény. Zakázat účet (účet je zakázán). Pokud je zaškrtnuto, účet je zakázán a nelze jej použít. Použijte toto zaškrtávací políčko k dočasnému uzamčení účtu.
5.	Po dokončení nastavení nového účtu klikněte na tlačítko Vytvořit.

Vytvořte účet skupiny

Skupiny se používají ke správě práv více uživatelů. Účty globální skupiny (poznámka překladatele. Skupiny zabezpečení služby Active Directory obsahující účty pouze z vlastní domény) jsou vytvořeny pomocí modulu snap-in Uživatelé a počítače služby Active Directory, místní skupiny jsou vytvořeny pomocí místních uživatelů a Skupiny (místní uživatelé a skupiny).

Při vytváření skupinových účtů si pamatujte, že skupiny jsou vytvořeny pro podobné typy uživatelů. Některé typy skupin, které budete potřebovat vytvořit, jsou uvedeny níže:

	Skupiny pro oddělení organizace. Uživatelé pracující ve stejném oddělení obvykle potřebují přístup ke stejným zdrojům. Proto můžete vytvářet skupiny pro oddělení, jako jsou vývojové oddělení, obchodní oddělení, marketingové oddělení nebo inženýrské oddělení.
	Skupiny pro uživatele speciálních aplikací. Uživatelé často potřebují přístup k aplikaci a zdrojům spojeným s touto aplikací. Pokud vytváříte skupiny pro uživatele určité aplikace, můžete si být jisti, že uživatelé mají přístup k potřebným zdrojům a souborům aplikace.
	Skupiny založené na odpovědnosti uživatele . Skupiny lze také vytvářet na základě rozdělení odpovědností uživatelů. Například správce, pozorovatel a normálním uživatelem potřebují přístup k různým zdrojům. Tím, že vytvoříte skupiny na tomto principu, můžete si být jisti, že práva na přístup k potřebným zdrojům jsou poskytnuty uživatelům, kteří je potřebují.

Vytvoření globální skupiny

Chcete-li vytvořit globální skupinu, postupujte takto:

1.	Spusťte snap Active Directory - uživatelé a počítače (uživatelé a počítače služby Active Directory). Klepněte pravým tlačítkem myši na kontejner, ve kterém je třeba umístit účet skupiny. Potom zvolte Nový (Nový) -\u003e Skupina (Skupina). Otevře se dialogové okno. Nový objekt - skupina (nový objekt - skupina)viz obrázek 8-12.
2.	Zadejte název skupiny. Názvy globálních skupin účtů se musí řídit pravidly pro zobrazení názvů uživatelských účtů. Nejsou citlivé na velká a malá písmena a nesmí být delší než 64 znaků.
3.	Při vytváření názvu skupiny pro kompatibilitu se systémem Windows NT 4.0 nebo staršími verzemi systému Windows se používají prvních 20 znaků názvu. skupiny oken 2000. Název skupiny musí být v doméně jedinečný. V případě potřeby změňte název skupiny Windows NT 4.0 nebo starší. Obrázek 8-12. Dialogové okno Nový objekt - skupina umožňuje přidat do domény nové globální skupiny.
4.	Vyberte oblast skupiny: místní doména, globální nebo univerzální.
5.	Vyberte typ skupiny: skupina zabezpečení nebo distribuční skupina.
6.	Chcete-li vytvořit skupinu, klepněte na tlačítko OK. Nyní můžete do skupiny přidat uživatele a nastavit další vlastnosti, které budou popsány později v této kapitole.

Vytvoření místní skupiny a přidávání členů

Místní skupiny jsou vytvořeny pomocí modulu snap-in Místní uživatelé a skupiny. Můžete ji otevřít podle následujících kroků:

1.	Klepněte na tlačítko Start (Start), Programy (Programy), Nástroje pro správu, Správa počítačů nebo jen vybrat Správa počítačů ve složce Nástroje pro správu.
2.	Klikněte pravým tlačítkem na uzel Správa počítačů ve stromu konzoly a vyberte Připojení k jinému počítači (připojení k jinému počítači) z kontextové nabídky. Nyní můžete vybrat počítač, jehož účty je třeba spravovat. Řadiče domény nemají žádné místní uživatele a skupiny.
3.	Rozbalte uzel Nástroje (systémové nástroje)kliknutím na znaménko plus (+) odpovídající tomuto uzlu a výběrem Místní uživatelé a skupiny.
4.	Klepněte pravým tlačítkem myši na složku Skupiny a vyberte Nová skupina (Nová skupina). Otevře se dialogové okno. Nová skupina (Nová skupina)viz obrázek 8-13.
5.	Po zadání názvu a popisu skupiny klikněte na tlačítko Přidat pro přidání uživatelů do této skupiny. Otevře se dialogové okno. Vyberte: Uživatelé nebo skupiny (vyberte uživatele nebo skupiny)znázorněné na obrázku 8-7. Nyní můžete do skupiny přidat členy. Pole tohoto dialogového okna jsou popsána níže: Vyhledávání v (Look In). Chcete-li získat přístup k účtům jiných počítačů a domén, klikněte na seznam Vyhledat. Zobrazí se seznam se seznamem aktuálního počítače, důvěryhodných domén a dalších zdrojů, ke kterým máte přístup. Jméno Toto pole obsahuje dostupné účty vybrané domény nebo zdroje. Přidat (Přidat). Přidat vybraná jména do seznamu výběru. Zkontrolujte jména (zkontrolujte jména). Potvrďte jména uživatelů a skupin zadaných v okně výběru. To je užitečné, když ručně zadejte názvy a chcete se ujistit, že jsou k dispozici.
6.	Po výběru názvů účtů, které chcete přidat do skupiny, klepněte na tlačítko OK.
7.	Dialogové okno Nová skupina (Nová skupina) aktualizované tak, aby odrážely vaši volbu. Pokud uděláte chybu, vyberte název a odstraňte jej klepnutím na tlačítko Odebrat.
8.	Po dokončení přidávání nebo odebrání členů skupiny klikněte na tlačítko Vytvořit. Obrázek 8-13. Dialog Nové skupiny umožňuje přidat novou místní skupinu.

Globální řízení členství ve skupině

Chcete-li konfigurovat členství ve skupině, použijte uživatele a počítače služby Active Directory. Při práci se skupinami pamatujte na následující body:

Modul snap-in Uživatelé a počítače služby Active Directory nabízí několik způsobů správy členství ve skupině. Můžete:

Členská správa pro jednotlivce a počítače

Můžete přidat nebo odebrat členství ve skupině pro jakýkoli typ účtu následujícím postupem:

1.	Dvakrát klikněte na uživatele, počítač nebo skupinu Active Directory - uživatelé a počítače (uživatelé a počítače služby Active Directory)
2.	Vyberte kartu Člen.
3.	Chcete-li vytvořit účet člena skupiny, klikněte na tlačítko Přidat. Otevře se stejné dialogové okno. Vyberte: Skupiny (Vybrat skupiny)jako dialogové okno Vyberte: Uživatelé nebo skupiny (vyberte uživatele nebo skupiny)popsaných v předchozích příkladech.
4.	Chcete-li účet odebrat ze skupiny, vyberte skupinu a klepněte na tlačítko Odebrat.
5.	Klepněte na tlačítko OK.

Správa více uživatelů nebo počítačů

Políčko Skupina vlastností také umožňuje spravovat členství ve skupině. Chcete-li přidat nebo odebrat účty, postupujte takto:

1.	Dvakrát klikněte na uživatele nebo počítač Active Directory - uživatelé a počítače (uživatelé a počítače služby Active Directory). Otevře se dialogové okno Vlastnosti účtu.
2.	Vyberte kartu Členové.
3.	Klepnutím na tlačítko Přidat přidejte účty do skupiny. Otevře se dialogové okno. Volba: Uživatelé nebo skupiny (vyberte uživatele nebo skupiny). Vyberte uživatele, počítače a skupiny, které chcete být členy této skupiny.
4.	Chcete-li členy ze skupiny odstranit, zvýrazněte účet a klepněte na tlačítko Odebrat.
5.	Klepněte na tlačítko OK.

Nastavení prvotní členství ve skupinách pro uživatele a počítače

Primární skupiny používají uživatelé, kteří pracují se systémem Windows 2000 prostřednictvím služeb kompatibilních s Mac. Když uživatel Mac vytvoří soubory nebo složky v počítači, který je spuštěn běžící okna 2000 je k těmto souborům a složkám přiřazena hlavní skupina.

Všechny uživatelské a počítačové účty musí mít základní skupinu, bez ohledu na to, zda pracují se systémem Windows 2000 prostřednictvím systému Macintosh nebo nikoliv. Tato skupina musí být globální nebo univerzální, jako je globální skupina Domain Users (Domain Users) nebo globální skupina doménových počítačů (Domain Computers).

Chcete-li nastavit hlavní skupinu, postupujte takto:

Všichni uživatelé musí být členy alespoň jedné primární skupiny. Nemůžete zrušit členství uživatele v primární skupině, dokud přiřadíte uživateli jinou primární skupinu. Postupujte takto:

Materiál převzatý z knihy "Windows 2000. Příručka správce". Přidal William R. Stanek. © Microsoft Corporation 1999. Všechna práva vyhrazena.