Опубликован: 15.10.2008 | Доступ: свободный | Студентов: 3511 / 739 | Оценка: 4.48 / 4.23 | Длительность: 45:21:00
Лекция 12:

Управление пользователями и данными входа

Диск обновления пароля

Для учетной записи локального компьютера (для пользователя, который выполняет вход на локальный компьютер, а не в домен) Windows Server 2003 содержит средство, которое называется диском обновления пароля (password reset disk). Вы можете использовать такой диск для обновления забытого пароля.

Вы можете создать диск обновления пароля для любой существующей учетной записи локального компьютера, используя следующие шаги.

  1. Поместите пустую дискету в дисковод.
  2. Нажмите CTRL-ALT-DEL и щелкните на Change Password (Сменить пароль).
  3. Введите пользовательское имя учетной записи, для которой вы хотите создать диск обновления пароля.
  4. В раскрывающемся списке Log on to выберите этот локальный компьютер.
  5. Не изменяйте пароль.
  6. Щелкните на кнопке Backup (Резервное копирование), чтобы запустить мастер забытых паролей Forgotten Password Wizard.
  7. Введите текущий пароль для этого пользователя.
  8. Когда диск обновления будет готов, щелкните на кнопке Next и затем на кнопке Finish.
  9. Сделайте соответствующую надпись на этой дискете и поместите ее в надежное место.

На этой дискете будет создан один файл с именем userkeypsw. Вам не обязательно создавать новый диск обновления, когда пароль этого пользователя изменится.

Если пользователь забыл свой пароль, то диск обновления пароля может обновить пароль, чтобы пользователь мог выполнить вход на данный компьютер. Выполните следующие шаги, чтобы использовать диск обновления.

  1. В диалоговом окне Welcome to Windows нажмите CTRL-ALT-DELETE, чтобы открыть диалоговое окно Log On to Windows (Начало сеанса работы с Windows).
  2. Введите пользовательское имя и выберите этот локальный компьютер в раскрывающемся списке Log on to.
  3. Щелкните на кнопке OK без ввода пароля (или введите какой-нибудь пароль, чтобы сделать последнюю попытку).
  4. Появится диалоговое окно Logon Failed (Неверный вход), которое содержит предложение использовать диск обновления пароля, если он существует.
  5. Щелкните на кнопке Reset (Обновить) и установите в дисковод диск обновления пароля.
  6. Следуйте указаниям мастера обновления пароля Password Reset Wizard, чтобы создать новый пароль (а также заполнить подсказку для пароля, которая поможет вам вспомнить его).
  7. Выполните вход на компьютер с помощью нового пароля.

Храните диск обновления пароля в надежном месте на тот случай, если вам снова потребуется обновить свой пароль.

Профили пользователей

Профиль пользователя - это группа настроек, которые определяют рабочее окружение пользователя. Windows Server 2003 использует профиль для создания рабочего окружения пользователя при входе. Типичные настройки профиля пользователя включают конфигурацию рабочего стола, содержимое меню, настройки панели управления (Control Panel), соединения с сетевым принтером и т.д.

Имеются несколько типов профилей, и вы можете использовать любое сочетание профилей на всем предприятии, отвечающее потребностям ваших пользователей. В этом разделе дается обзор следующих типов профилей:

  • локальные (Local);
  • перемещаемые, или "блуждающие" (Roaming);
  • обязательные (Mandatory).

Как действуют диски обновления паролей

Мастер Forgotten Password Wizard создает пару ключей безопасности: открытый ключ и личный ключ. Личный ключ записывается на диск обновления пароля. Открытый ключ шифрует пароль локального пользователя на данном компьютере. Если пользователь должен использовать этот диск (из-за того, что он забыл свой пароль для учетной записи локального компьютера), то личный ключ, записанный на дискету, используется для дешифрования текущего пароля. Пользователю предлагается создание нового пароля, который шифруется с помощью открытого ключа. Не теряется никаких пользовательских данных, поскольку пользователь фактически изменяет только свой пароль.

Локальные профили

Windows Server 2003 создает локальный профиль при первом входе каждого пользователя на компьютер. Каждый пользовательский профиль хранится в папке \Documents and Settings\User, где User - это имя входа этого пользователя (см. рис. 12.9). Часть файла реестра в пользовательском профиле - это кэшированная копия части реестра HKEY CURRENT USER, хранящаяся под именем Ntuser.dat. Остальную часть профиля образует структура папок конкретного пользователя. Ntuser.dat определяет оборудование данного компьютера, установленное ПО и настройки рабочей среды. Структура папок и находящиеся в них значки (ссылки) определяют рабочий стол пользователя и окружения для приложений.

Структура папок пользователя содержит элементы профиля

Рис. 12.9. Структура папок пользователя содержит элементы профиля

В табл. 12.1 описывается конкретное содержимое структуры папок, включаемой в профиль пользователя.

Таблица 12.1.
Папка Содержимое
Application Data (Данные приложений) Данные, сохраняемые приложениями.
Cookies Информация и предпочтения пользовате-
лей с интернет-сайтов.
Desktop (Рабочий стол) Объекты рабочего стола.
Favorites (Избранное) Ссылки на избранные места в интернете.
Local Settings (Локальные настройки) Данные приложений, журналы и времен-
ные файлы.
My Documents (Мои документы) Документы пользователя.
My Recent Documents Ссылки на недавно использовавшиеся до-
(Недавние документы) кументы.
NetHood Ссылки на объекты сетевого окружения
(My Network Places).
PrintHood Ссылки на объекты папки принтеров.
SendTo Ссылки на цели "Send To" (Отправить).
Start Menu (Меню Пуск) Ссылки на списки программ.
Templates (Шаблоны) Шаблоны пользователя.

Конфигурирование профиля пользователя по умолчанию

В первый раз, когда пользователь выполняет вход на компьютер Windows Server 2003, система создает иерархию папок для этого пользователя. Чтобы заполнить эти папки и создать профиль, Windows копирует содержимое папки Default User (Пользователь по умолчанию) в папки профиля пользователя, где происходит административное управление начальным профилем пользователя.

Вы можете вносить изменения в профиль пользователя по умолчанию, чтобы создать профиль, предоставляемый каждому пользователю, выполняющему вход на данный компьютер. Выполните вход на этот компьютер (не используйте учетную запись Administrator) и установите ПО, создайте значки (ярлыки) рабочего стола, установите принтер, сконфигурируйте цель Send To и т.д. Включая эти компоненты в профиль Default User, вы можете помещать любые или все эти компоненты профиля в профили пользователей, которые в конце концов выполнят вход на этот компьютер. Используйте для этого следующие шаги.

  1. Выполните вход как Administrator.
  2. Щелкните правой кнопкой на My Computer и выберите в контекстном меню пункт Properties, чтобы открыть диалоговое окно System Properties.
  3. Перейдите во вкладку Advanced.
  4. В секции User Profiles (Профили пользователей) этого диалогового окна щелкните на кнопке Settings.
  5. Выберите пользователя, который установил ПО и выполнил другие описанные здесь задачи.
  6. Щелкните на кнопке Copy to и введите \Documents and Settings\Default User как целевую папку (или щелкните на кнопке Browse и выберите эту папку).
  7. В секции Permitted to use (Разрешено использовать) щелкните на кнопке Change.
  8. Введите Everyone в поле Enter the object name.
  9. Щелкните на кнопке OK, чтобы увидеть сводку вашего выбора.
  10. Щелкните на кнопке OK и подтвердите процедуру копирования.
Примечание. Кнопка Copy to недоступна для профиля текущего выполнившего вход пользователя, и поэтому вам приходится создавать профиль под учетной записью одного пользователя и копировать его как другой пользователь.

Перемещаемые профили

Перемещаемый (блуждающий) профиль хранится на сервере. Этот профиль загружается на локальный компьютер с сервера, когда пользователь входит в сеть, - независимо от компьютера, с которого выполняет вход этот пользователь. Любые изменения, которые вносит этот пользователь в настройки конфигурации, сохраняются в данном профиле на сервере.

Чтобы иметь перемещаемые профили, нужно создать разделяемый ресурс для этих профилей на сервере, используя следующие указания.

  • Вы не обязаны использовать контроллер домена; подойдет любой сервер, доступный для пользователей. Я задаю для своей папки имя Profiles (Профили) и использую для разделяемого ресурса тоже имя Profiles (при активизации перемещаемых профилей для пользователей вы используете имя разделяемого ресурса, а не имя соответствующей папки).
  • Задайте полномочия Full Control для группы Everyone по этому разделяемому ресурсу.
  • Разделяемая папка не может быть сконфигурирована для EFS.
  • Том с разделяемой папкой не следует конфигурировать для дисковых квот, но если это уже сделано, то убедитесь, что это большой том и все пользователи имеют большие квоты.

Чтобы сообщить системе, что пользователь, выполняющий вход в домен, имеет перемещаемый профиль, нужно сконфигурировать учетную запись этого пользователя в оснастке Active Directory Users and Computers. Для этого используются следующие шаги.

  1. Дважды щелкните на записи этого пользователя, чтобы открыть диалоговое окно Properties.
  2. Перейдите во вкладку Profile (Профиль).
  3. Введите UNC-путь к папке Profiles, используя имя разделяемого ресурса, а не имя папки, и указав в конце пользовательское имя. Вы не обязаны создавать подпапку с этим именем; она создается автоматически, когда происходит создание перемещаемого профиля на сервере.

Способ создания профиля перемещающегося пользователя на сервере зависит от обстоятельств, при которых этот пользователь выполняет вход в домен. Когда этот пользователь выполняет вход, Windows проверяет учетную запись пользователя, чтобы прочитать путь к профилям пользователей. Если этот путь существует (поскольку вы ввели его во вкладке Profile, как это описано в предыдущем разделе), то система ищет подпапку с профилем этого пользователя в указанной папке профилей.

  • Если эта подпапка не существует и компьютер, с которого пользователь выполняет вход, содержит его локальный профиль, то подпапка профиля создается на сервере и локальный профиль становится профилем, записанным на сервере.
  • Если эта подпапка не существует и компьютер, с которого пользователь выполняет вход, не содержит его локального профиля, то подпапка профиля создается на сервере и пользовательский профиль по умолчанию на локальном компьютере становится профилем, записанным на сервере.
  • Если эта подпапка существует, то возможен один из двух сценариев: это уже не первый вход после того, как вы активизировали перемещаемые профили для этого пользователя, или вы уже предварительно заполнили подпапку профиля этого пользователя (см. следующий раздел).

Ранее в этой лекции уже говорилось, что вы можете копировать какой-либо локальный профиль в используемый по умолчанию локальный профиль пользователя, чтобы профиль пользователя по умолчанию соответствовал нужным вам опциям конфигурирования. Вы можете также скопировать локальный профиль в папку Profiles на сервере, которая содержит профили пользователей.

  • Если перемещающийся пользователь имеет локальный профиль на какой-либо рабочей станции, скопируйте этот профиль на сервер. Затем, когда вы активизируете перемещаемые профили для этого пользователя и он выполняет вход с любого другого компьютера, его профиль становится перемещаемым профилем. (Вам не обязательно выполнять эту задачу, если вы знаете, что после того, как вы активизируете перемещаемые профили для этого пользователя, он выполнит вход с того компьютера, где содержится его локальный профиль; в этом случае профиль копируется автоматически).
  • Если перемещающийся пользователь не имеет локального профиля на рабочей станции, скопируйте на сервер другой профиль, подходящий для этого перемещающегося пользователя.

Выполните эти задачи до активизации перемещаемых профилей для пользователя. Иначе, если этот пользователь выполнит вход в домен раньше, чем вы разместите профиль на сервере, локальный компьютер автоматически создаст профиль на сервере, как это описано выше.

Внимание. "Подходящий" профиль означает, что ПО и утилиты, представленные в различных меню, имеются на всех компьютерах, с которых перемещающийся пользователь может выполнять вход в домен.

Чтобы выполнить одну из этих задач, используйте следующие шаги.

  1. Выполните вход как Administrator.
  2. Щелкните правой кнопкой на My Computer и выберите пункт Properties, чтобы открыть диалоговое окно System Properties.
  3. Перейдите во вкладку Advanced.
  4. В секции User Profiles этого диалогового окна щелкните на кнопке Settings.
  5. Выберите пользовательский профиль, который хотите использовать для перемещающегося пользователя (используйте локальный профиль этого перемещающегося пользователя, если он существует, или выберите другой профиль).
  6. Щелкните на кнопке Copy to, введите UNC-путь к папке Profiles на сервере и включите имя входа данного пользователя как последнюю подпапку в этом пути.
  7. В секции Permitted to use этого диалогового окна щелкните на кнопке Change.
  8. Введите имя входа этого пользователя в поле Enter the object name.
  9. Щелкните на кнопке OK, чтобы увидеть сводку вашего выбора.
  10. Щелкните на кнопке OK.

Активизируя перемещаемые профили для этого пользователя на контроллере домена, обязательно используйте тот же путь, чтобы подпапка с именем пользователя соответствовала целевой подпапке вашего копирования.

В Windows Server 2003 добавлены новые политики для перемещаемых профилей в редакторе Group Policy Editor. Кроме того, групповые политики для профилей теперь находятся в их собственных контейнерах (в Windows 2000 групповые политики для профилей находились в контейнере Logon):

  • Computer Configuration\Administrative Templates\System\User Profiles;
  • User Configuration\Administrative Templates\System\User Profiles.

Эти политики, которые понятны без пояснений, повышают возможности управления при администрировании перемещаемых профилей.

Все, что говорилось выше, относится к серверам и рабочим станциям, которые работают под управлением Windows 2000 и более поздних версий Windows. Вы можете также задавать перемещаемые профили для пользователей, которые входят в домен с компьютеров Windows 9x, но конфигурирование и выполнение происходят иначе.

Создайте на сервере отдельную папку для перемещаемых профилей клиентов Windows 9x и используйте этот UNC-путь при конфигурировании пользователей для перемещаемых профилей в Active Directory.

На клиентских компьютерах откройте апплет Passwords (Пароли) в панели управления (Control Panel) и перейдите во вкладку User Profiles. Выберите вариант Users can customize their preferences and desktop settings (Каждый пользователь выбирает личные настройки). Затем установите один или оба флажка для перемещаемых профилей.

  • Include desktop icons and Network Neighborhood (Включить в профиль значки с рабочего стола и сетевое окружение).
  • Include Start menu and Program groups (Включить в профиль структуру меню "Пуск" и программные группы).

Помните, что вы должны перезагрузить компьютер Windows 9x после этих изменений (на самом деле вы должны перезагружать компьютеры Windows 9x после внесения почти любых изменений, поэтому нам так нравится работать с Windows XP).