Користувачі у робочих групах, Windows IT Pro

Для обслуговування одноранговій мережі необхідні інструментальні засоби та знання, відмінні від тих, які потрібні для роботи з доменом. Ці відмінності дуже наочно проявляються у сфері управління користувачами. Адміністратор однорангової мережі позбавлений можливості задіяти Active Directory (AD) для організації списків користувачів та налаштувань безпеки, а це означає, що кожен комп'ютер доводиться налаштовувати індивідуально - виконання всіх завдань за одним комп'ютером виключається.

групах
Для обслуговування одноранговій мережі необхідні інструментальні засоби та знання, відмінні від тих, які потрібні для роботи з доменом. Ці відмінності дуже наочно проявляються у сфері управління користувачами. Адміністратор однорангової мережі позбавлений можливості задіяти Active Directory (AD) для організації списків користувачів та налаштувань безпеки, а це означає, що кожен комп'ютер доводиться налаштовувати індивідуально - виконання всіх завдань за одним комп'ютером виключається. Однак, оскільки більшість однорангових мереж не відрізняється великими розмірами, це завдання не забирає багато часу. Якщо в одноранговій мережі вашого клієнта або компанії комп'ютерів стало так багато, що керувати ними вже складно, мабуть, настав час розглянути можливість організації домену.

У цій статті я розглядаю деякі з завдань, які вирішуються в процесі управління обліковими записами користувачів в одноранговій мережі, включаючи методи управління окремими завданнями користувача, що дозволяють адміністратору вирішувати багато питань не відходячи від свого комп'ютера. Я хочу зупинитися на проблемах, якими адміністратори та консультанти часто цікавляться під час семінарів. У статті я використовую терміни «одноранговий» (опис методуорганізації мереж) та «робоча група» (у термінології Windows це група користувачів мережі, побудованої за одноранговою топологією), оскільки, за моїми спостереженнями, обидва ці терміни широко застосовуються ІТ-професіоналами.

Треба відзначити, що деякі з функцій, що мною розглядаються, не реалізовані ні у версіях Windows Vista Home, ні в системі Windows XP Home Edition, у той час як ці системи використовуються підприємствами малого бізнесу. Додаткові відомості про ці обмеження можна отримати у довідкових файлах згаданих операційних систем або на веб-сайтах Microsoft, присвячених версіям Windows.

Дублювання облікових записів користувачів на кількох комп'ютерах

Життя адміністратора робочої групи буде простіше, якщо він подбає про те, щоб кожен користувач, що звертається до ресурсів, що розділяються на іншому комп'ютері, мав на цій віддаленій системі локальний обліковий запис. Якщо віддалений користувач не має локального облікового запису, Windows виводить діалогове вікно, показане на екрані 1, в якому користувач повинен вводити ім'я та пароль для облікового запису, який існує на цьому віддаленому комп'ютері.

групах

Деякі адміністратори воліють організовувати роботу так, щоб користувачі реєструвалися на віддаленій системі, оскільки з точки зору забезпечення безпеки цей метод є більш ефективним, ніж організація автоматичного доступу до віддалених систем. Але на практиці згаданий метод майже завжди виявляється менш безпечним. У багатьох невеликих компаніях, які прийняли цю парадигму, прийнято прикріплювати до моніторів невеликі аркуші паперу з іменами користувачів та паролями, необхідними для доступу до віддалених комп'ютерів. Невеликі компанії, що експлуатують однорангові мережі, як правило, непов'язані особливо тісними відносинами з іншими фірмами, тому небезпека того, що хтось сторонній увійде в офіс, сяде за комп'ютер і зареєструється на віддаленій системі, де зберігаються дані компанії, невелика. Якщо надати користувачам можливість вибрати комп'ютер із папки Network та автоматично отримати з'єднання, це не буде створювати такої загрози, як на великих підприємствах, що займають цілі будівлі або мають кілька офісів, де знайти відвідувачів не так просто.

Під час створення облікового запису користувача на віддаленому комп'ютері слід використовувати те саме ім'я та пароль, що й для реєстрації на локальній системі. Windows досліджує реєстраційні облікові дані користувача, який намагається звернутися до комп'ютера, та перевіряє цільову систему на наявність у ній відповідного реєстраційного імені та пароля. Якщо перевірка дає позитивний результат, Windows надає користувачеві доступ до комп'ютера. В іншому випадку або в ситуації, коли імена користувачів збігаються, а паролі не збігаються, відкривається діалогове вікно, показане на екрані 1.

У невеликих фірмах, де використовують робочі групи, дані часто зберігаються лише одному комп'ютері. Навіть у тому випадку, коли цей комп'ютер не функціонує під керуванням системи Windows Server (а саме в цьому полягає очевидна перевага робочих груп з фінансової точки зору), комп'ютер фактично виступає у ролі файлового сервера. Вміст комп'ютера слід резервувати щодобово. При використанні файлового сервера даних, до якого звертаються всі користувачі, потрібно створити дублікати облікових записів користувачів на цьому комп'ютері. Якщо ж дані зберігаються на декількох комп'ютерах, необхідно створювати облікові записи користувача длякожного віддаленого користувача на кожному з цих комп'ютерів.

Для обмеження доступу до фінансових даних компанії в бухгалтерських додатках реалізовано метод, який дозволяє надавати та обмежувати доступ користувачів до даних певних типів та записів транзакцій. Всім користувачам, що застосовують ці додатки, потрібні дозволи рівня Full Control для роботи з файлами даних засобами бухгалтерських програм; щоб виконувати свою повсякденну роботу, вони повинні мати можливість створювати та змінювати об'єкти. Потім можна за допомогою реалізованої цих програмах функції надання дозволів користувачам обмежити ті чи інші дії останніх.

Створення облікових записів користувачів на віддалених комп'ютерах

Щоб створювати облікові записи користувача для віддалених користувачів і встановлювати їх налаштування, можна скористатися оснасткою в панелі керування (йдеться про оснащення User Accounts and Family Safety в системі Vista або про оснащення Users and Passwords в Windows 2000 і новіших версіях). Однак такий метод навряд чи можна вважати зручним, адже адміністратору доведеться працювати з локального комп'ютера та мати справу з кожною системою окремо. Крім того, набір налаштувань конфігурації, доступний в оснастці користувача, обмежений. Але і це ще не все: після того, як ви скористаєтеся цим інструментом, доведеться ще звернутися до консолі керування комп'ютером для здійснення тонкого підстроювання параметрів (таких як правила застосування паролів і членство в групах).

У розділі Local Users and Groups консолі керування комп'ютерами можна легко створювати облікові записи користувачів. Щоб створити обліковий запис нового користувача, клацніть правою клавішею миші на піктограмі My Computer,який розташований на робочому столі, в меню, що розкрилося, виберіть пункт Manage, двічі клацніть на елементі Local Users and Groups і в меню Action виберіть пункт New User. Ці налаштування облікових записів користувачів є більш детальними, ніж налаштування оснастки користувача.

групах

Найважливіша перевага роботи з консоллю управління комп'ютерами полягає в тому, що можна звертатися до цієї консолі з віддалених систем та створювати облікові записи користувачів на будь-якому комп'ютері мережі, не залишаючи свого робочого місця. У консолі керування комп'ютерами правою клавішею миші потрібно клацнути на значку Computer Management (Local) і у меню вибрати пункт Connect to another computer. Введіть ім'я віддаленої системи (або знайдіть комп'ютер, натиснувши кнопку Browse), після чого натисніть кнопку ОК.

Ще одна перевага консолі керування комп'ютерами полягає в тому, що за її допомогою можна також задавати дозволи на звернення до спільно використовуваних ресурсів для віддалених комп'ютерів, як показано на екрані 3. У міру того як адміністратор додає та налаштовує облікові записи користувачів, він може, використовуючи розділ консолі Shared FoldersShares, надавати користувачам необхідні дозволи для роботи на віддалених комп'ютерах. Правою клавішею миші слід клацнути на списку спільно використовуваних ресурсів, у меню вибрати пункт Properties і перейти на вкладку Share Permissions, щоб налаштувати дозволи.

групах

Для звернення до консолі керування комп'ютерами на віддалених системах необхідно мати на цих комп'ютерах обліковий запис із правами адміністратора. Оскільки більшість адміністраторів та консультантів користуються вбудованим обліковим записом та паролем адміністратора для налаштування кожного комп'ютера, введіть цей обліковий записзапис при реєстрації на своєму комп'ютері, щоб мати доступ до всіх віддалених консолей. Якщо використовувати інше обліковне ім'я з адміністративними правами, Windows запропонує ввести ім'я та пароль користувача, який має адміністративні повноваження на віддаленому комп'ютері.

Управління та діагностика процесу реєстрації

Однорангові мережі мають безліч засобів управління процесом реєстрації, які реалізовані і в доменах. Однак адміністратор не може "одним махом" налаштувати всю однорангову мережу, тому що не матиме перед собою глобального представлення мережі, яке забезпечує служба AD. Комп'ютери доводиться налаштовувати по одному. У наступних розділах я розповім про деякі типові завдання, з якими адміністратору доведеться зіткнутися при налаштуванні процедури реєстрації користувача в системі.

Операційну систему Vista можна налаштувати так, щоб вона пропонувала користувачеві натиснути комбінацію клавіш Ctrl+Alt+Del. Але після того як користувач це зробить, на екрані знову-таки з'явиться список користувачів і зображення, що супроводжують його, і процедура реєстрації піде так само, як до зміни налаштувань, що призвело до появи запрошення натиснути комбінацію клавіш Ctrl + Alt + Del. Форсувати появу на екрані класичного діалогового вікна реєстрації та скасувати появу екрана привітання, на якому відображаються всі імена користувачів, неможливо. Але як би там не було, використання комбінації клавіш Ctrl+Alt+Del захищає комп'ютер від вторгнення зловмисників із Internet. Щоб додати цей рівень безпеки, потрібно відкрити вікно командного рядка та ввести

Переустановка паролів. Всі користувачі можуть змінювати свої паролі у вікні оснастки користувача. При зміні пароля всі іншікомпоненти конфігурації користувача залишаються незмінними. Переустановка пароля відрізняється від зміни пароля, оскільки при переустановці пароля користувач втрачає доступ до зашифрованих файлів, зашифрованих повідомлень електронної пошти та паролів, які зберігаються на мережевих ресурсах та на вузлах Web. Усі ці служби мають бути знову налаштовані за допомогою нового пароля.

Переустановка пароля необхідна у випадках, коли користувач забуває пароль і не може зареєструватися на комп'ютері. Просто дивуєшся, як часто таке трапляється, причому цієї ситуації не можна уникнути, змусивши користувачів створювати резервні диски для встановлення паролів. Цій темі я планую присвятити одну з майбутніх статей цієї серії. Щоб перевстановити пароль користувача, потрібно зареєструватися з адміністративним обліковим записом і відкрити власне оснащення.

У Windows 2000 слід вибрати обліковий запис користувача і клацнути на кнопці Set Password. Введіть новий пароль двічі (з підтвердженням) та натисніть OK. Ще раз натисніть OK, після чого діалогове вікно Users and Passwords буде закрито.

У системі XP виберіть обліковий запис користувача та натисніть Change the Password. Введіть новий пароль двічі (для підтвердження) і за бажанням введіть підказку для користувача, який забув пароль. Але пам'ятайте, що цю підказку може бачити будь-який користувач, який сидить за комп'ютером. Завершіть операцію натисканням кнопки Change Password.

У системі Vista слід вибрати Manage Another Account, щоб побачити всі облікові записи, наявні на цьому комп'ютері. Виберіть обліковий запис потрібного користувача та натисніть кнопку Change the Password. Введіть новий пароль двічі (для підтвердження) і за бажанням введіть підказку длякористувача, який забув пароль (пам'ятаєте, інші користувачі також можуть бачити цю підказку). Завершіть операцію натисканням кнопки Change Password.

Погляд у майбутнє

Поділіться матеріалом з колегами та друзями