Module 6: Creating and Managing User Accounts

Module 6: Creating and Managing Accounts Introduction to Accounts Local Accounts Umožní uživatelům přihlášení a přístup ke zdrojům daného počítače Obsažen v databázi SAM - součást registrů Domain Accounts Umožní uživatelům přihlášení do domény a získat přístup k síťovým zdrojům Obsažen v databázi Active Directory Administrator and Guest Built-in Accounts Umožní uživatelům provádět administrativní úkony nebo dočasný přístup k síťovým zdrojům Obsažen v SAM (local built-in user accounts) Obsažen v Active Directory (domain built-in user accounts) 1

Naming Conventions Logon Names and Full Names Must Be Unique Logon Names: Can contain up to 20 characters Can include a combination of special alphanumeric characters Password Guidelines Assign a Password for the Administrator Account doporučení min 15 znaků Determine Who Has Control over Passwords Educate s on How to Use Passwords nepoužívat jména, příjmení, přezdívky, datumy nar., rodná č. použít dlouhá hesla (min. 6 znaků) kombinovat malá a velká písmena složité heslo např: P@ssW0rd i. min. 6 znaků ii. iii. nesmí obsahovat celé - část uživatelského jména musí obsahovat 3 ze 4 kategorií znaků: (velká / malá písmena, číslovky a speciální znaky (@,&,$,<,>)) 2

Account Options Set Logon Hours to Match s Work Hours Specify the Computers from Which a Can Log On Domain users can log on at any computer in the domain except for domain controllers, by default Domain users can be restricted to specific computers to increase security Specify When a Account Expires Creating Local Accounts Local Accounts Are: Created on Computers Running Windows 2000 Professional Created on Standalone or Member Servers Running Windows 2000 Server or Windows 2000 Advanced Server Reside in SAM New name: Full name: Description: JYoung Jonathan Young Password: ********** Confirm: ********** must change password at next logon cannot change password Password never expires Account is disabled Create Close 3

Installing Windows 2000 Administration Tools Windows 2000 Administration Tools Setup Wizard Setup options Select the action you want the Setup Wizard to perform. Click an option and then click Next. Uninstall the Administrative Tools Install all of the Administrative Tools Description Install / Reinstall all components of the Windows 2000 Administration Tools. The tools appear on the Administrative Tools menu After you install Administration Tools, < Back use the runas command to run the tools \\server\admin$\system32\adminpak.msi Active Directory Domains and Trusts Active Directory Sites and Services Active Directory s and Computers Component Services Component Management Configure your Sever Data Sources (ODBC) DHCP Distributed File System DNS Domain Controller Security Policy Domain Security Policy Event Viewer Internet Services Manager Licensing Local Security Policy Performance Routing and Remote Access Server Extensions Administrator Services Telnet Server Administration Creating a Domain Account Active Directory s and Computers Console Window Help Action Tree View Active Directory s and Comp nwtraders.msft Builtin Computers Domain Controllers ForeignSecurityPrincipals LostAndFound System s Find Delegate Control New All Tasks View New Window from Here Refresh Export List Properties Help s 20 objects Name Type Description Administrator Cert Publishers DNSAdmins DNSUpdateProxy Domain Admins Domain Computers Domain Controllers Domain Guests Computer Contact Group Printer Shared Folder Built-in account Security Group - Global Enterprise certi Security Group - Domain Local DNS Administra Security Group - Global DNS clients who Security Group - Global Designated adm Security New Group Object - Global - All workstations Security Group - Global All domain cont Security Group - Global All domain gues Create in: nwtraders.msft/s First name: Last name: Full name: logon name: judy1 Judy Lew Judy A. Lew logon name (pre-windows 2000): NWTRADERS\ judy1 Initials: A @nwtraders.msft < Back Next > Cancel 4

Setting Password Requirements New Object - Create in: nwtraders.msft/s Password: Confirm Password: ******** ******** must change password at next logon cannot change password Password never expires Account is disabled < Back Next > Cancel Managing Data by Creating Home Folders \Home 1 2 3 Co zvážit před vytvořením domovských složek? schopnost zálohy a obnovy dat dostatečný prostor na disku serveru výkon sítě Vytvoření domovské složky: 1. vytvořit a nasdílet složku na serveru, která bude obsahovat domovské složky uživatelů 2. nastavit vhodná oprávnění 3. nastavit pro uživatelský účet cestu ke složce \\server\share\%username% 5

Setting Properties for Domain Accounts Setting Personal Properties Setting Account Properties Specifying Logon Options Copying Domain Accounts Creating Account Templates Setting Personal Properties Add Personal Information About s As Stored in Active Directory Use Personal Properties to Search Active Directory Active Directory Student 01 Properties Remote control Terminal Services Profile Member Of Dial-in Environment Sessions General Address Account Profile Telephones Organization 01 6

Setting Account Properties Use 01 Properties 01 02 03 04 05 Copy 06 Add members to a group Disable Account Reset Password Move Open home page Send mail Send mail Delete Rename Refresh Properties Help Remote control Terminal Services Profile Member Of Dial-in Environment Sessions General Address Account Profile Telephones Organization logon name: 01 logon name (pre-windows 2000): NWTRADERS\ Logon Hours Account is locked out Account options: Log On To @nwtraders.msft Student01 must change password at next logon cannot change password Password never expires Store password using reversible encryption Account expires: Never End of: Wednesday, November 24, 1999 OK Cancel Apply Specifying Logon Options Logon Hours for 01 All Sunday Monday Tuesday Wednesday Thursday Friday Saturday............ 12 2 4 6 8 10 12 2 4 6 8 10 12 OK Cancel Logon Permitted Logon Denied Logon Workstations This feature requires the NetBIOS protocol. In Computer name, type the pre-windows 2000 computer name. This user can log on to: All computers The following computers Computer name: Brisbane Default Add Perth Edit Remove OK Cancel 7

Copying Domain Accounts Copy an Existing Domain Account to Simplify the Process of Creating a New Domain Account. Domain Copy Account (1) Domain Account (2) Domain 1 Domain 2 Creating Account Templates Active Directory s and Computers Console Window Help Action Tree View Active Directory s and Compu nwtraders.msft Builtin Casablanca Computers Denver OU Domain Controllers ForeignSecurityPrincipals Portland Seattle StudentOU Tunis s Vancouver OU s 28 objects Name Type Description _Sales Template Administrator Cert Publishers DHCP Administrators DHCP s DnsAdmins DnsUpdateProxy Domain Admins Domain Computers Domain Controllers Domain Guests Domain s Enterprise Admins Group 01 Creates a new user, copying information from the selected user. Set Up a Account as a Template Account Create a Account by Coping the Template Account Copy Add members to a group ount f Enable Account certifi Reset Password o hav o hav Copy Move Object - Open home page strato admi Send mail ions who ontro All Tasks Create in: nwtraders.msft/s uest aser Delete admi Rename First name: sales Refresh Last name: user1 Properties Help Full name: sales user1 logon name: salesuser1 Initials: @nwtraders.msft logon name (pre-windows 2000): NWTRADERS\ salesuser1 < Back Next > Cancel 8

Profile Types Default Profile Display Serves as the bases for all user profiles Modify Regional Settings Save Profile Local Profile Created the First Time a Logs on to a Computer Mouse Stored on a Computer's Local Hard Disk Roaming Profile Created by the System Administrator Stored on a server Mandatory Profile Sounds Profile Display Regional Settings Windows 2000 Client Windows 2000 Client Created by the System Administrator Stored on a server Profile Server Mouse Sounds Windows 2000 Client Creating Roaming and Mandatory Profiles Create a Roaming Profile Create a Shared Folder on the Server Specify the Shared Folder in Path Information Create a Mandatory Profile Create a Shared Folder on the Server with a Profile Folder Inside Set Up a Configured Roaming Profile Specify the Shared Folder in Path Information Rename Ntuser.dat to Ntuser.man 9

Best Practices Rename the Administrator Account Create a Account with Administrative Rights Create a Account for Non-Administrative Tasks Enable the Guest Account Only in Low Security Networks Create Random Initial Passwords Require New s to Change Their Passwords Set Account Expiration Dates for Temporary Employees Informations net user logon_name net user logon_name /domain 10

Příklad: tvorba uživatelského účtu A serveru v AD vytvořte organizační jednotku AGIP: V OU = AGIP vytvořte: Uživatelský účet Františku Koudelkovi, logon name: příjmení Nastavte heslo: Passw0rd Vytvořte uživateli domovskou složku na :\HOME_AGIP\%username% Doplňte osobní údaje a popisek Účet uživateli vyprší 30.6. tohoto roku Doba přihlašování pouze po - st od 8:00 19:00 Nastavte přístup pouze ze stanice s adresou 192.168.10.100 Vytvořte globální skupinu OBSLUHA a přidejte do ní uživatele Uživatel bude mít povoleno měnit heslo a nutnost jej používat Nastavte min. délku hesla na 8 znaků Vynuťte uživateli pravidelnou obměnu hesla (1 měsíčně) Po 3 neplatných pokusech se účet uzamkne na 25 min Omezte velikost dat. prostoru na disku na 500 MB / uživatele 11

Module 7: Managing Access to Resources by Using Groups Účel skupin zajistit přístup k zdrojům zajistit přístup k datům organizace uživatelů management uživatelů RIGHTS oprávnění PERMISSION přístupová práva 12

How Windows 2000 Groups Work Přístupová práva přidělena skupině místo toho Přístupová práva přidělena každému uživatelskému účtu Group Permissions Permissions Permissions Permissions Členové skupin mají přístupová práva a oprávnění garantována ze skupiny Uživatelé mohou být členy více skupin (max. 1022) Uživatelé, skupiny a počítače mohou být dále členy dalších skupin Groups in Workgroups and Domains Workgroup SAM Client Computer SAM Member Server Vytvořeny na PC, který není Doménovým řadičem Součástí registrů (SAM) Určeny pro řízení přístupu ke zdrojům počítače Domain Domain Controller Vytvořeny na Doménovém řadiči Obsaženy v Active Directory Určeny pro řízení přístup ke zdrojům domény 13

Implementace skupin v pracovní skupině Local Groups Built-in Local Groups The Strategy for Using Local Groups in a Workgroup Creating Local Groups Lokální skupiny Místní skupiny počítače The Guidelines for Local Groups: Use local groups on computers that do not belong to a domain Use local groups to control access to resources and who can perform system tasks on the local computer Membership Rules for Local Groups: Local groups can only contain local user accounts that are on the local computer Local groups cannot be a member of any other group Members of the Administrators Group or Power s Group on the Local Computer Can Create Local Groups 14

Lokální vestavěné skupiny vytvořeny při instalaci systému platí pouze pro jeden PC, kde jsou uloženy definují oprávnění pro práci pouze s tímto PC Administrators Backup Operators Power s s Guests Lokální vestavěné skupiny Vestavěné skupiny mají nastavená předdefinovaná práva a nelze je smazat Built-in Local Groups: Members have rights to perform system tasks accounts can be added Special System Groups: Organize users for system use Have automatic membership that cannot be modified 15

The Strategy for Using Local Groups in a Workgroup Add A Windows 2000 Professional L Assign P Add A Workgroup Add A L L Assign P Windows 2000 Professional Assign P Windows 2000 Professional Add A L Assign P Windows 2000 Server A = L = P = Accounts Local Group Permissions Creating Local Groups Computer Management New Group Action View Tree Computer Management (Local) System Tools Event Viewer System Information Performance Logs and Al Shared Folders Device Manager Local s and Groups s Groups Storage New Group Services and Refresh Group name: Description: Members: Project1 Project1 data Required Optional Help Add Remove Add or Remove Members Creates a new local group Create Close 16

Implementace skupin v doméně Group Types and Scopes Built-in and Predefined Groups in a Domain The Strategy for Using Groups in a Single Domain Guidelines for Creating Domain Groups Creating and Deleting Domain Groups Adding Members to Domain Groups Typy a rozsahy skupin domény TYPY SKUPIN Bezpečnostní Distribuční používány pro přidělování přístupových práv NELZE použít pro přidělování oprávnění použity pro posílání e-mailů (MS Exchange) ROZSAHY SKUPIN Globální kontejner USERS Lokální doménové kontejner BUILTIN Univerzální Systémové Pro organizaci uživatelů s podobnými požadavky na přístup k síti Pro přidělování oprávnění k (SDÍLENÝM) prostředkům jakéhokoliv počítače domény Pro přidělení oprávnění k prostředkům ve vícedoménových sítích Členství je automatické dle práce uživatele v systému; nelze jej měnit; 17

Lokální (vestavěné) doménové skupiny pro přidělení oprávnění ke sdíleným prostředkům jakéhokoli PC v doméně Administrators Backup Operators Print Operators Server Operators Account Operators s Guests Globální (předdefinované) skupiny domény organizují uživatele s podobnými vlastnostmi nepřidělují se oprávnění po připojení počítače do domény se stávají členy lokálních skupin PC nebo doménových skupin oprávnění se přenesou na celou doménu Domain Admins Domain s Domain Guests Domain Computers 18

Systémové skupiny na všech PC se systémem W2K (XP) členství je automatické a nedá se měnit skupiny nejsou viditelné při správě skupin skupiny se nedají smazat ani ovlivňovat Everyone Authenticated s Creator Owner System Network Built-in and Predefined Groups in a Domain Built-in Domain Local Groups Give s Predefined Rights and Permissions to Perform Tasks: On domain controllers In Active Directory Special Identities (Special Groups) Organize users for system use Membership is automatic and cannot be modified Predefined Global Groups Give Administrators Control of Domain Resources 19

The Strategy for Using Groups in a Single Domain A G DL P Strategy for Groups in a Domain A Accounts G Add P Add Global Group DL Assign Domain Local Group PŘÍKLAD použití skupin A A Accounts Manažeři G Obchodníci G Global Group Data-R DL Tisk DL Data-FC DL Domain Local Group P P 20

Guidelines for Creating Domain Groups Determine Which Group Scope to Use Determine Whether You Have Permissions to Create Groups Determine the Name of the Group Creating and Deleting Domain Groups You Use Active Directory s and Computers to Create and Delete Groups When You Delete a Group Its: Rights and permissions are removed Members are not deleted SID is never used again New Object - Group Create in: Group name: Public nwtraders.msft/s Group name (pre-windows 2000): Group scope: Domain local Global Universal Group type: Security Distribution Group Name OK Cancel 21

Adding Members to Domain Groups Group 01 Properties General Members Member Of Managed By Members: Name Select s, Contacts, Computers, or Groups Active Directory Folder Look in: nwtraders.msft Select Name Casablanca Portland Seattle Denver Administrator Guest TsInternet In Folder nwtraders.msft/casablanca nwtraders.msft/portland nwtraders.msft/seattle nwtraders.msft/denver OU nwtraders.msft/s nwtraders.msft/s nwtraders.msft/s Add Check Names Casablanca; Portland Add Add... Remove OK Cancel Apply OK Cancel Spolupráce skupin po přidání PC do domény dojde k propojení skupin globální (předdefinované) skupiny se nainstalují do místních (vestavěných) skupin domény i lokálních (vestavěných) skupin PC přenesou se oprávnění vyšších skupin na nižší - místní LOKÁLNÍ SK. DOMÉNY Administrators s Guests GLOBÁLNÍ SK. Domain Admins Domain s Domain Guests DOMÉNA LOKÁLNÍ SK. PC Administrators s Guests 22

Význam propojení doménových a lokálních skupin A Accounts G A Administrator G Domain s L Domain Admins s L Administrators ZÁKLADNÍ ROZDĚLENÍ VESTAVĚNÝCH SKUPIN WORKGROUP Local Computer DOMAIN Domain Controler lokální skupiny Administrators Backup Operators Power s s Guests systémové skupiny Everyone Authenticated s Creator Owner System Network lokální skupiny Administrators Backup Operators Print Operators Server Operators Account Operators s Guests globální skupiny Domain Admins Domain s Domain Guests Domain Computers systémové skupiny Everyone Authenticated s Creator Owner System Network 23

24