Управление учетными записями пользователей и групп

Создавать домашнюю папку специально не надо — ее автоматически создает консоль Active Directory — пользователи и компьютеры (Active Directory Users and Computers). Но если это сделать не удастся, консоль предложит создать папку вручную.

Чтобы указать локальную домашнюю папку, выполните сле­дующие действия.

1.  В консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers) откройте окно свойств пользователя и выберите вкладку Профиль (Profile).

2.  Щелкните переключатель Локальный путь (Local Path) и вве­дите путь к домашней папке, например C:\Home\%UserName%.

Сетевая домашняя папка задается так.

1.  В консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers) откройте окно свойств пользователя и выберите вкладку Профиль (Profile).

2.  Щелкните переключатель Подключить (Connect) в области Домашняя папка (Home Folder) и укажите диск для домаш­ней папки. Логично, если на одном диске вы разместите до­машние папки для всех пользователей. Убедитесь, что она не
будет конфликтовать с текущими локальными или сетевы­ми дисками.

3.  Введите полный UNC-путь к домашней папке, например \\Gamma\USER_DIRS\%UserName%. Чтобы обеспечить пользователю доступ к папке с любого компьютера сети, включите в путь имя сервера.

Примечание! Если домашняя папка не указана, Windows Server 2003 будет использовать локальную домашнюю папку, заданную по умолчанию. Если ОС установлена в режиме обновления, эта папка —\\Users\Default, в противном случае — корневой каталог.

Параметры учетных записей

Windows Server 2003 предоставляет несколько способов управ­ления записями пользователей и доступом пользователей в сеть. Можно назначить время входа в систему; компьютеры, с кото­рых пользователи могут входить в систему; привилегии коммутируемого доступа и т. д.

Управление временем входа в систему

Windows Server 2003 позволяет настраивать и отслеживать вре­мя входа пользователей в систему. Время входа ограничивают для предохранения системы от взлома или иных злоумышленных действий по окончании рабочего дня. В период действия времени входа в систему пользователи могут работать, как обычно:

входить в сеть, обращаться к сетевым ресурсам. Если пользователи находятся в сети и их время входа истекло, выполняется действие, указанное вами в свойствах учетной записи:

• принудительное отключение от всех сетевых ресурсов;

• запрет на новые сетевые соединения без прекращения существующих соединений.

Настройка времени входа в систему

Время входа в систему настраивается так.

1. В консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers) откройте диалоговое окно свойств пользователя и перейдите на вкладку Учетная запись (Account).

2. Щелкните кнопку Время входа (Logon Hours). В одноимен­ном окне задайте разрешенное и запрещенное время входа в систему (рис. 10-5). В этом диалоговом окне каждый час дня и ночи представлен в виде поля, который можно включить (синий цвет) или выключить (белый цвет).

3. Выделите мышью нужный интервал и установите переключатель в положение Вход разрешен (Logon Permitted) или Вход запрещен (Logon Denied).

Совет! Не слишком усердствуйте в ограничении времени работы пользователей. Помимо стандартного рабочего време­ни (9-18) добавьте по паре часов до и после рабочего дня. Тогда «жаворонки» смогут раньше входить в систему, а «совы» — продолжать работу после рабочего дня.

Рис. 10-5. В этом окне конфигурируется время входа в систему

Действие по истечении разрешенного времени входа в систему

Пользователей, время пребывания в системе которых закончи­лось, можно отключить.

1.  Откройте групповую политику для контейнера, с которым хотите работать.

2.  В дереве консоли раскройте узел Конфигурация компьютера \Параметры Windows\Пapaмeтры безопасности (Computer Configuration\Windows Settings\Security Settings). Далее рас­кройте узел Локальные политики (Local Policies) и выберите
Параметры безопасности (Security Options).

3.  Дважды щелкните политику Сетевая безопасность: Прину­дительный вывод из сеанса по истечении допустимых часов работы (Network Security: Force Logoff When Logon Hours
Expire) — откроется окно ее свойств.

4.  Щелкните Включен (Enabled), чтобы активизировать поли­тику, а затем — ОК.

Настройка компьютеров, с которых пользователи входят в систему

Вы вправе разрешать или запрещать пользователям работать на определенных компьютерах и входить с них в сеть. На рабочих станциях с Windows Server 2003 пользователям по умолчанию разрешается входить в домен с любого компьютера, по любой действующей учетной записи, включая гостевые.

Разрешая пользователям работать на любой рабочей станции, вы резко снижаете безопасность. Определив список разрешенных рабочих станций, вы закроете потенциальную брешь в защите домена. Теперь хакерам придется отыскивать не только пароль и имя пользователя, но и рабочую станцию, на которой этому пользователю разрешено работать.

Примечание! Внутри домена ограничение рабочих станций для входа в систему действует лишь при наличии Windows 2000, Windows NT и Windows ХР. На компьютеры с Windows 95 или Windows 98 это ограничение не распространяется: для входа в систему требуется только пароль и имя пользователя.

Рабочие станции для входа в систему задаются так.

1. Раскройте окно свойств пользователя в консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers) и перейдите на вкладку Учетная запись (Account).

2. Щелкните кнопку Вход на (Log On To), чтобы открыть диалоговое окно Рабочие станции для входа в систему (Logon Workstations).

3. Установите переключатель Только на указанные компьютеры (The following computers), как показано на рис. 10-6.

4.  Введите имя рабочей станции и щелкните Добавить (Add). Чтобы указать несколько рабочих станций, повторите эту операцию.

5.  Если вы ошиблись при заполнении, выделите ошибочную запись и щелкните Изменить (Edit) или Удалить (Remove).

Рис. 10-6. Чтобы ограничить доступ к сети, определите рабочие станции для входа в нее

Настройка привилегий доступа по телефону и через VPN

На вкладке Входящие звонки (Dial-In) окна свойств пользова­теля можно настроить параметры удаленного доступа к сети, которые управляют подключением к ней по телефону и посред­ством виртуальной частной сети (virtual private network, VPN). По умолчанию привилегии удаленного доступа управляются через Политику удаленного доступа (Remote Access Policy). Можно разрешить или запретить пользователю удаленный и в окне свойств его учетной записи, установив переключатель Раз­решить доступ (Allow Access) или Запретить доступ (Deny Access), как показано на рис. 10-7. В любом случае, прежде чем пользователь сможет получить удаленный доступ к сети, необ­ходимо выполнить следующие действия.

1.  Установите Службу удаленного доступа (Remote Access Ser­vices) с помощью Мастера настройки сервера (Configure Your Server).

2.  В окне редактора групповой политики для нужного сайта, домена или подразделения раскройте узлы Конфигурация пользователя\Административные шаблоны\Сеть (User Configuration\Administrative Templates\Network) и выделите узел Сетевые подключения (Network Connections). Настрой­ те групповую политику.

3.  В консоли Управление компьютером (Computer Management) раскройте Службы и приложения (Services and Applications) и выберите Маршрутизация и удаленный доступ (Routing and Remote Access). Включите удаленный доступ, настроив службу Маршрутизация и удаленный доступ (Routing and Remote Access).

Когда пользователь получит разрешение на удаленный доступ к сети, на вкладке Входящие звонки (Dial-In) окна свойств учет­ной записи нужно настроить дополнительные параметры входя­щих звонков (рис. 10-7).

Рис. 10-7. Параметры вызова по телефону регулируют удаленный доступ к сети

1. Если пользователь должен дозваниваться с определенного номера, выберите проверять код звонящего (Verify Caller-ID), а затем введите номер телефона, с которого пользователь будет входить в систему. При этом ваша телефонная система должна поддерживать функции АОН (автоматического опре­деления номера).

2. Задайте параметры ответного вызова:

•  Ответный вызов не выполняется (No Callback) — пользователь дозванивается, подключается и при необходимости сам оплачивает телефонное соединение;

•  Устанавливается вызывающим (Set by Caller) - сервер уз­нает номер телефона дозвонившегося пользователя, отклю­чает его и звонит ему сам, при этом телефонное соедине­ние оплачивает компания;

•  Всегда по этому номеру (Always Callback to) - позволяет заранее указать номер ответного вызова с целью повыше­ния безопасности; сервер перезванивает дозвонившемуся пользователю по этому номеру, компания оплачивает те­лефонное соединение.

Примечание! Назначать ответный вызов пользователям, которые дозваниваются через коммутатор, нежелательно. Комму­татор может помешать пользователю правильно подключить­ся к сети. Также нельзя использовать предварительно назначенные номера ответного вызова на многоканальных линиях. Такие линии не всегда работают надлежащим образом.

3. При необходимости укажите статические IP-адреса и стати­ческие маршруты телефонных соединений в полях. Статиче­ский IP-адрес пользователя (Assign a Static IP Address) и ис­пользовать статическую маршрутизацию (Apply Static Routes).

Настройка параметров безопасности учетной записи

Вкладка Учетная запись (Account) окна свойств пользователя содержит массу параметров, которые применяются для обеспе­чения безопасности сети и для управления использованием учет­ных записей:

·  Требовать смену пароля при следующем входе в систему (User must change password at next logon) заставляет пользователя сменить свой пароль при следующем входе;

·  Запретить смену пароля пользователем (User cannot change password) не позволяет пользователю изменять пароль;

·  Срок действия пароля не ограничен (Password never expires) гарантирует, что срок действия пароля никогда не истечет, т. е. отменяет нормальный срок действия пароля;

Внимание! Выбор этого параметра создает дополнительный риск для безопасности сети. Обычно его назначают для учетной за­писи администратора, но не для записей пользователей.

·  Хранить пароль, используя обратимое шифрование (Store pass­word using reversible encryption) сохраняет пароль в виде текс­та, который можно расшифровать;

·  Отключить учетную запись (Account is disabled) отключает за­пись, не позволяя пользователю входить в систему и сеть;

·  Для интерактивного входа в сеть нужна смарт-карта (Smart card is required for interactive logon) требует смарт-карту для входа в систему; пользователю не удастся войти в систему, просто набрав имя и пароль;

·  Учетная запись доверена для делегирования (Account is trusted for delegation) определяет, требуются ли пользователю при­вилегии управления объектами в Active Directory, а также до­верено ли ему выполнять какие-либо действия над объекта­ми, для работы с которыми ему делегированы соответствующие полномочия;

Примечание! Не следует доверять делегирование большинству пользователей. Разрешайте это только тем, кому необходимо управлять Active Directory, или пользователям с особыми при­вилегиями.

·  Учетная запись важна и не может быть делегирована (Account is sensitive and cannot be delegated) определяет, что пользова­тельская учетная запись важна и должна управляться с осо­бым тщанием. Пользователю можно ограничить разрешения доступа или запретить ему выполнение определенных дейст­вий. Этот параметр предотвращает управление компонента­ ми Active Directory и обычно применяется ко всем учетным записям рядовых пользователей в отличие от полномочных администраторов;

·  Применять DES-шифрование для этой учетной записи (Use DES encryption types for this account) определяет, будет ли запись пользователя применять стандарт шифрования DES;

Без предварительной проверки подлинности Kerberos (Do not require Kerberos preauthentication) — учетная запись пользова­теля перед получением доступа к сетевым ресурсам не нуж­дается в предварительной проверке подлинности Kerberos; вход в систему без такой проверки включается, чтобы иден­тифицировать пользователей предыдущей или нестандартной версии Kerberos.

Управление профилями пользователей

В профиле пользователя содержатся параметры сетевого окру­жения, например конфигурация рабочего стола и параметры меню. Проблемы, связанные с профилем, могут помешать поль­зователю войти в систему. Например, если размер экрана, задан­ный в профиле, не поддерживается системой, на которой он при­меняется, пользователю не удастся корректно войти в систему. Решить проблемы с профилем не всегда просто — иногда требуется изменить сам профиль.

Windows Server 2003 предоставляет несколько способов уп­равления профилями:

·  назначить путь к профилю в консоли Active Directory — поль­зователи и компьютеры (Active Directory Users and Computers);

копировать и удалять локальный профиль, а также изменять его тип из панели управления с помощью значка Система (System);

·  задать системные правила, которые не позволят пользовате­лям управлять некоторыми аспектами своего окружения.

Локальный, перемещаемый и обязательный профили

В Windows Server 2003 каждый пользователь обладает профилем. Профили управляют параметрами запуска сеанса пользователя, типами доступных программ и приложений, параметрами рабоче­го стола и т. д. Каждый компьютер, на который входит пользова­тель, оснащен своей копией профиля пользователя. Профиль хра­нится на жестком диске; поэтому пользователь, работающий на не­скольких рабочих станциях, должен обладать профилем на каждом из них. Другой компьютер сети не может обращаться к профилю, сохраненному локально, или локальному профилю (local profile); очевидно, что в этом есть свои недостатки. Например, если пользова­тель работает на трех рабочих станциях, то на каждой системе у не­го могут быть разные профили. В результате пользователь может запутаться в том, какие сетевые ресурсы доступны ему на каждой из систем.

Чтобы уменьшить путаницу, можно создать профиль, доступ­ный другим компьютерам, — перемещаемый профиль (roaming profile). К такому профилю пользователь вправе обращаться с любого компьютера домена. Перемещаемые профили хранятся только на сервере Windows Server 2003. При входе пользователя с перемещаемым профилем в систему создается локальная копия профиля на компьютере пользователя. Когда пользователь выходит из системы, измененный профиль обновляется как на сер­вере, так и локально.

Примечание! Перемещаемые профили совершенно необходимы в организациях, где для защиты данных применяется шифрованная файловая система EFS. Сертификат шифро­вания, без которого пользователь не получит доступа к файлам, которые он зашифровал, хранится в профиле поль­зователя. Перемещаемый профиль позволит пользователю работать со своими зашифрованными файлами на других компьютерах.

Администратор может управлять профилями пользователей или позволить им самим распоряжаться своими профилями. Управлять профилями пользователей администратору стоит лишь по одной причине: чтобы убедиться, что у всех пользова­телей одинаковые параметры сети. Это может уменьшить число проблем, связанных с сетевой средой.

Профили, управляемые администраторами, называются обязательными (mandatory). Пользователям с обязательными профилями разрешено производить лишь временные изменения своего окружения, которые не будут сохранены: при следующем входе в систему реализуется первоначальный профиль. Благо­даря этому пользователи не смогут произвести необратимых из­менений сетевой среды. Главный недостаток обязательных про­филей в том, что, если сервер, на котором хранится профиль, недоступен, у пользователя возникнут проблемы со входом в си­стему. Точнее, если недоступен только сервер, пользователь получит предупреждение, но сможет войти в локальную систе­му при помощи кэшированного системного профиля. Если недоступен и кэшированный профиль, вход в систему окажется Невозможным.

Создание локальных профилей

Windows 2000 и более поздних версиях профили пользовате­лей хранятся в папке по умолчанию или в папке, заданной в поле Путь к профилю (Profile Path) окна свойств пользователя. Стандартное расположение папки профилей зависит от конфи­гурации рабочей станции.

ОС Windows установлена в режиме обновления — профиль пользователя расположен по адресу %SystemRoot%\Profiles\%UserName%\NTUSER. DAT, где %SystemRoot% - корневой каталог ОС (например, C:\Winnt), a %UserName% — имя пользователя. ОС Windows установлена в режиме новой установки — профиль пользователя расположен по адресу %SystemDrive%\Documents and Settings\% UserName%.%UserDomain%, например F:\Documents and Settings\ wrstanek. adatum\ntuser. dat. На контроллере домена профиль расположен по адресу %SystemDrive%\Documents and Settings\%UserName%, например F:\Documents and Settings\wrstanek.

Если не изменить каталог по умолчанию, пользователю придется работать с локальным профилем.

Создание перемещаемых профилей

Перемещаемые профили хранятся на серверах Windows Server 2003. Чтобы пользователь имел перемещаемый профиль, его папка должна располагаться на сервере.

1. Создайте общую папку на сервере Windows Server 2003 и убедитесь, что группа Все (Everyone) имеет к ней доступ.

2 В консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers) в окне свойств пользователя перейдите на вкладку Профиль (Profile). Введите путь к общей папке в поле Путь к профилю (Profile Path) в ви­де \\имя_сервера\имя_папки_профиля\имя_пользователя (например, \Zeta\user_profiles\georgej), где Zeta — имя сервера, user_profiles — общая папка, a georgej — имя пользователя. Перемещаемый профиль будет храниться в файле NTUSER. DAT указанной папки.

Примечание! Обычно создавать папку профиля не требуется. Она создается автоматически при входе пользователя в систему.

3. При необходимости создайте профиль пользователя или ско­пируйте в папку существующий профиль. Если вы этого не сделаете, в следующий раз пользователь войдет в систему по стандартному локальному профилю. Любые изменения это­го профиля будут сохранены, когда пользователь выйдет из системы. Таким образом, при очередном входе пользователь получит личный профиль.

Создание обязательных профилей

Обязательные профили хранятся на серверах Windows Server 2003. Чтобы назначить пользователю обязательный профиль, сделайте так.

1.  Выполните пункты 1-2 предыдущего раздела.

2.  Переименуйте файл NTUSER. DAT в %UserName%\NTUSER. MAN. Теперь при следующем входе в систему пользо­ватель будет обладать обязательным профилем.

Примечание! Файл NTUSER.DAT содержит пользовательские параметры системного реестра. Замена расширения файла на NTUSER.MAN заставляет Windows Server 2003 создавать обязательный профиль.

Управление локальными профилями из окна свойств системы

Для управления системными профилями нужно войти на ком­пьютер пользователя и дважды щелкнуть значок Система (Sys­tem) в Панели управления (Control Panel). Чтобы просмотреть текущий профиль, перейдите на вкладку Дополнительно (Ad­vanced) и щелкните кнопку Параметры (Settings) в области Профили пользователей (User Profiles).

В окне Профили пользователей (User Profiles) отражена ин­формация обо всех профилях на локальной системе (рис. 10-8).

Рис. 10-8. В окне Профили пользователей (User Profiles) можно управлять локальными профилями

Поля имеют следующие значения.

• Имя (Name) — имя локального профиля, обычно содержащее имя домена или компьютера и имя записи пользователя. Например, имя webatwork\wrstanek означает, что первона­чальный профиль получен от домена webatwork, а запись пользователя — wrstanek.

Примечание! Если удалить учетную запись, не удаляя соответствующий профиль, можно увидеть строку Запись уда­лена (Account Deleted) или Неизвестная запись (Account Unknown). He беспокойтесь, профиль все еще доступен для копирования.

• Размер (Size) — размер профиля. Обычно чем больше файл профиля, тем больше параметров окружения настроил поль­зователь.

• Тип (Туре) — тип профиля: локальный или перемещаемый.

• Состояние (Status) — текущее состояние профиля.

• Изменен (Modified) — дата последнего изменения профиля.

Создание профиля вручную

Чтобы создать профиль вручную, надо войти в систему по учет­ной записи пользователя, полностью настроить среду и выйти. Так как это занимает много времени, лучше создать базовую за­пись пользователя, настроить ее среду, а затем применять ее как основу для других записей.

Копирование профиля в новую учетную запись пользователя

Чтобы скопировать существующий профиль в новую учетную запись, воспользуйтесь окном свойств системы.

1.  Щелкните дважды значок Система (System) в панели управ­ления и перейдите на вкладку Дополнительно (Advanced). Затем щелкните кнопку Параметры (Settings) в области Про­фили пользователей (User Profiles).

2.  В списке Профили, хранящиеся на этом компьютере (Profiles stored on this computer) выделите профиль, который нужно скопировать.

3.  Щелкните кнопку Копировать (Сору То) и введите путь к но­вой папке профиля в поле Копировать профиль на (Сору Profile To), как показано на рис. 10-9. Например, если вы создали профиль для пользователя georgej, введите \\Zeta\user_profiles\geoigej.

Рис. 10-9. Диалоговое окно Копирование профиля (Сору То) позволяет ввести адрес папки профиля и разрешить ее использование определенному пользователю

4.  Теперь нужно открыть пользователю доступ к профилю. Щелкните кнопку Изменить (Change) в области Разрешить использование (Permitted to use) и в диалоговом окне Выбор: Пользователь или группа (Select User Or Group) укажите учетную запись пользователя.

5.  Щелкните ОК, и Windows Server 2003 скопирует профиль в новый каталог.

Замена одного профиля другим

При работе с рабочими группами, в которых каждый компьютер управляется независимо, приходится часто копировать профиль пользователя с одного компьютера на другой. Копирование про­филей позволяет пользователям работать с едиными параметра­ми среды на разных компьютерах. Естественно, в домене Windows Server 2003 для реализации этой возможности предназначены перемещаемые профили. Но даже и в этом случае иногда может понадобиться скопировать существующий локальный профиль Поверх перемещаемого профиля пользователя (когда перемещае­мый профиль поврежден) или в перемещаемый профиль другого домена.

Копирование профиля поверх существующего производится точно так же, как описано в предыдущем разделе. Разница лишь в том, что в пункте 3 вы вводите путь не к новой, а к уже суще­ствующей папке профиля. Когда вы щелкнете ОК в диалоговом окне Копирование профиля (Сору То), на экране появится пре­дупреждение о том, что текущее содержимое папки будет удале­нно. Щелкните Да (Yes).

Удаление локального профиля и назначение нового

В Windows Server 2003 пользователи, не имеющие перемещаемых Профилей, работают с локальными профилями. Кроме того, ло­кальный профиль применяется, если у него более поздняя дата изменения, чем у перемещаемого. В некоторых обстоятельствах локальный профиль приходится удалять, например, если он поврежден. Делается это так.

1.  Войдите на компьютер пользователя.

2.  Щелкните дважды значок Система (System) в панели управления и перейдите на вкладку Дополнительно (Advanced). Затем щелкните кнопку Параметры (Settings) в области Профили пользователей (User Profiles).

3.  Выделите удаляемый профиль и щелкните Удалить ( Delete). Затем щелкните Да (Yes).

Примечание! Нельзя удалить применяемый профиль. Если пользователь работает на локальной системе (компьютер, с кото­рого вы удаляете профиль), то ему следует выйти из системы. Иногда Windows Server 2003 помечает профили как занятые, хотя на самом деле это не так. Обычно это происходит в результате некорректного изменения среды пользователя. Чтобы исправить эту ошибку, перезагрузите компьютер.

При следующем входе пользователя в систему Windows Server 2003 произведет одну из двух операций: предоставит пользователю локальный профиль системы по умолчанию или найдет перемещаемый профиль пользователя на другом компьютере. Если ни тот, ни другой варианты вас не устраивают, сделайте следующее:

• скопируйте существующий профиль в папку профиля пользователя (подробнее об этом — в следующем разделе);

• обновите параметры профиля пользователя в консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers).

Изменение типа профиля

В окне свойств системы можно изменить тип перемещаемого профиля. Чтобы сделать это, выделите профиль и щелкните кнопку Сменить тип (Change Type). Параметры диалогового окна позволяют:

• сделать перемещаемый профиль локальным, чтобы пользова­тель всегда работал на этом компьютере с локальным профи­лем (исходный перемещаемый профиль остается неизмен­ным);

• сделать локальный профиль перемещаемым. Это возможно толь­ко в случае, если профиль пользователя изначально был пе­ремещаемым, а затем его преобразовали в локальный.

Примечание Недоступность этих параметров означает, что профиль пользователя изначально определен как локальный.

Обновление учетных записей пользователей и групп

Консоль Active Directory — пользователи и компьютеры (Active Directory Users and Computers) позволяет обновить доменную учетную запись пользователя или группы. Для обновления ло­кальной учетной записи пользователя или группы предназначе­на оснастка Локальные пользователи и группы (Local Users and Groups).

Когда вы работаете с Active Directory, вам иногда требуется полный список учетных записей, например, чтобы найти в нем тех пользователей, которые перестали работать в компании, и от­ключить их учетные записи. Это можно сделать так,

1. В консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers) правой кнопкой мыши щелкните имя домена и выберите Найти (Find).

2.  В списке Найти (Find) выберите вариант Пользовательский поиск (Custom Search). В диалоговом окне Поиск (Find) по­явится вкладка Пользовательский поиск (Custom Search).

3.  B списке В (In) задайте область поиска. Для поиска по все­му каталогу выберите Целиком Active Directory (Entire Di­rectory).

4.  Щелкните кнопку Поле (Field), раскройте подменю Пользо­ватель (User) и выберите Имя входа (пред-Windows 2000) [Logon Name (Pre-Windows 2000)].

Примечание! Убедитесь, что выбираете именно вариант Имя входа (пред-Windows 2000) Logon Name (Pre-Windows 2000)] — у учетной записи пользователя может не оказаться имени для входа в Windows Server 2003, но имя входа для предыдущих версий Windows есть всегда.

5.  В списке Условие (Condition) выберите вариант Присутствует (Present) и щелкните Добавить (Add). При необходимости щелкните Да (Yes).

6.  Щелкните Найти (Find Now). В нижней части окна появит­ся список всех пользователей из консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers).

7.  Выделите одну или несколько учетных записей, при необходимости воспользовавшись клавишами Ctrl и Shift.

8.  Правой кнопкой мыши щелкните выделенные записи и выберите в контекстном меню нужное действие, например Отключить учетную запись (Disable Account).

Примечание! С несколькими учетными записями вы можете выполнить следующие действия: добавить их в группу, включить, отключить, удалить и переместить.

Точно таким же образом можно получить список компьютеров, групп или других ресурсов Active Directory.

В следующих разделах рассматриваются другие способы редактирования (переименования, копирования, удаления и включения) учетных записей. Вы также узнаете, как изменить и переустановить пароли и устранять проблемы со входом в систему.

Переименование учетных записей пользователей и групп

1. Раскройте консоль Active Directory — пользователи и ком­пьютеры (Active Directory Users and Computers) или Локаль­ные пользователи и группы (Local Users and Groups) и найдите нужную учетную запись.

2. Щелкните ее правой кнопкой, выберите Переименовать (Re­name) и введите новое имя.

Идентификаторы SID

При переименовании учетной записи пользователя ей назнача­ется новое имя. Имена пользователей облегчают управление учет­ными записями, но реально для идентификации, контроля и об­работки учетных записей Windows Server 2003 применяет дес­криптор безопасности SID, не зависящий от имени пользовате­ля. SID — уникальный идентификатор, генерируемый при созда­нии учетной записи.

Поскольку для идентификации записи необходимо не ее имя, a SID, при переименовании записи вам не придется заново зада­вать ее разрешения и привилегии. Windows Server 2003 просто связывает старый SID с новым именем.

Частая причина переименования учетной записи — измене­ние фамилии пользователя. Например, если Линда Мартин (lindam) вышла замуж, став Линдой Роберте, и захотела изме­нить свое пользовательское имя на lindar, вы просто переимено­вываете пользователя lindam в lindar. Все связанные с именем lindam привилегии и разрешения сохранятся и за именем lindar. Если раньше lindam имела доступ к файлу, то теперь доступ открыт для lindar, а имя lindam будет исключено из списка до­ступа.

Изменение другой информации

Одним только переименованием изменение свойств учетной за­писи может не ограничиться. Вы вправе изменить следующие параметры:

•  Выводимое имя (Display Name);

•  Путь к профилю (User Profile Path);

•  Сценарий входа (Logon Script Name);

•  Домашняя папка (Home Directory).

Примечание! Если пользователь работает в системе, изменение информации, связанной с папками и файлами, может по­родить определенные проблемы. Поэтому обновление инфор­мации лучше производить в нерабочее время или попросить пользователя выйти из системы на некоторое время, а затем вновь войти.