Где хранятся учетные записи пользователей и компьютеров домена
Перейти к содержимому

Где хранятся учетные записи пользователей и компьютеров домена

  • автор:

Где в реестре хранятся профили пользователей Windows 10

Система создает профиль пользователя при первом входе пользователя в систему. При последующих входах в систему система загружает профиль пользователя, а затем другие системные компоненты настраивают среду пользователя в соответствии с информацией в профиле.

Типы профилей пользователей

    . Локальный профиль пользователя создается при первом входе пользователя в систему. Профиль хранится на локальном жестком диске компьютера. Изменения, внесенные в локальный профиль пользователя, зависят от пользователя и компьютера, на котором вносятся изменения. . Перемещаемый профиль пользователя — это копия локального профиля, которая копируется и хранится на общем ресурсе сервера. Этот профиль загружается на любой компьютер, на который пользователь входит в сети. Изменения, внесенные в перемещаемый профиль пользователя, синхронизируются с серверной копией профиля, когда пользователь выходит из системы. Преимущество перемещаемых профилей пользователей заключается в том, что пользователям не нужно создавать профиль на каждом компьютере, который они используют в сети. . Обязательный профиль пользователя — это тип профиля, который администраторы могут использовать для указания параметров пользователей. Только системные администраторы могут вносить изменения в обязательные профили пользователей. Изменения, внесенные пользователями в настройки рабочего стола, теряются, когда пользователь выходит из системы. . Временный профиль создается каждый раз, когда ошибка препятствует загрузке профиля пользователя. Временные профили удаляются в конце каждого сеанса, а изменения, внесенные пользователем в настройки рабочего стола и файлы, теряются при выходе пользователя из системы. Временные профили доступны только на компьютерах под управлением Windows 2000 и более поздних версий.

Профиль пользователя состоит из следующих элементов:

  • Куст реестра. Куст реестра — это файл NTuser.dat. Куст загружается системой при входе пользователя в систему и сопоставляется с разделом реестра HKEY_CURRENT_USER. Куст реестра пользователя поддерживает настройки и конфигурацию на основе реестра пользователя.
  • Набор папок профилей, хранящихся в файловой системе. Файлы профиля пользователя хранятся в каталоге Profiles по отдельности для каждого пользователя. Папка профиля пользователя — это контейнер для приложений и других системных компонентов, в который можно заполнять подпапки и данные для каждого пользователя, такие как документы и файлы конфигурации. Проводник Windows широко использует папки профиля пользователя для таких элементов, как рабочий стол пользователя, меню «Пуск» и папка «Документы».

Профили пользователей предоставляют следующие преимущества:

  • Когда пользователь входит в систему, система использует те же настройки, которые использовались при последнем выходе пользователя из системы.
  • При совместном использовании компьютера с другими пользователями каждый пользователь получает свой настроенный рабочий стол после входа в систему.
  • Настройки в профиле пользователя уникальны для каждого пользователя. Другие пользователи не могут получить доступ к настройкам. Изменения, внесенные в профиль одного пользователя, не влияют на других пользователей или профили других пользователей.

Плитки профиля пользователя в Windows 7 и более поздних версиях

В Windows 7 или более поздних версиях у каждого профиля пользователя есть связанное изображение, представленное в виде пользовательской плитки. Эти плитки отображаются для пользователей на панели управления учетными записями пользователей и на ее подстранице «Управление учетными записями». Файлы изображений для учетных записей гостя и пользователя по умолчанию также отображаются здесь, если у вас есть права доступа администратора.

Примечание. Доступ к подстранице «Управление учетными записями» осуществляется по ссылке «Управление другой учетной записью» в элементе «Панель управления учетными записями пользователей».

  • %ProgramData%\Microsoft\User Account Pictures\Guest.bmp
  • %ProgramData%\Microsoft\Изображения учетной записи пользователя\User.bmp

Изображение плитки пользователя хранится в папке %SystemDrive%\Users\\AppData\Local\Temp в формате .bmp. Любые символы косой черты (\) преобразуются в символы плюса (+). Например, ДОМЕН\пользователь преобразуется в ДОМЕН+пользователь.

Файл изображения появится в папке Temp пользователя:

  • После того, как пользователь завершит первоначальную настройку системы (OOBE).
  • Когда пользователь впервые запускает элемент панели управления учетными записями пользователей.
  • Когда пользователь переходит на подстраницу «Управление учетными записями» элемента «Панель управления учетными записями пользователей». Кроме того, отображаются плитки для всех других пользователей компьютера.

Эти экземпляры — единственные случаи создания или обновления изображений. Поэтому есть несколько предостережений, о которых следует помнить при программном использовании папки Temp:

Присутствие плитки пользователя не гарантируется. Если пользователь удалит файл .bmp, например, вручную или с помощью утилиты, удаляющей временные файлы, эта пользовательская плитка не будет воссоздана автоматически до тех пор, пока пользователь не запустит элемент панели управления учетными записями пользователей или подстраницу «Управление учетными записями».

Плитки пользователей для других пользователей на компьютере могут отсутствовать в папке Temp текущего пользователя, вошедшего в систему.Например, если пользователь А создает пользователя Б с ​​помощью элемента панели управления учетными записями пользователей, плитка пользователя Б создается в папке Temp пользователя А, когда Windows отправляет пользователя А на подстраницу «Управление учетными записями». Поскольку структура каталогов не создается для пользователя Б до тех пор, пока он не войдет в систему, временная папка пользователя А является единственным местом, где хранится плитка пользователя Б. Когда пользователь Б входит в систему, в папке Temp пользователя Б хранится только его собственное изображение.

  1. Чтобы получить все пользовательские плитки для пользователей в системе, приложениям может потребоваться выполнить поиск во временном каталоге каждого пользователя.
  2. Поскольку список управления доступом (ACL) этих временных каталогов разрешает доступ к SYSTEM, администратору и текущему пользователю, приложениям необходимо повысить уровень доступа для других пользователей.

Обновление плиток других пользователей в их временных папках не гарантируется. Если пользователь Б обновит свою пользовательскую плитку, пользователь А не увидит изменения, пока пользователь А не получит доступ к подстранице «Управление учетными записями». Поэтому, если приложения используют временную папку пользователя А для получения плитки пользователя Б, эти приложения могут получить устаревший файл изображения.

Он хранится в папке профиля пользователя C:Users и содержит настройки учетной записи для фона рабочего стола, экранных заставок, настроек указателя, настроек звука и других функций. Профили пользователей обеспечивают использование ваших личных настроек при каждом входе в Windows.

Какой раздел реестра содержит профили пользователей?

Этот ключ иногда обозначается как HKCU. Содержит все активно загруженные профили пользователей на компьютере. HKEY_CURRENT_USER является подразделом HKEY_USERS.

Где в реестре хранятся учетные записи пользователей?

Учетные записи пользователей хранятся в реестре в разделе HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList .

Как удалить профиль в реестре Windows 10?

Как: как удалить профиль пользователя в Windows 10

  1. Шаг 1. Нажмите горячие клавиши Win + R на клавиатуре. …
  2. Шаг 2. Нажмите кнопку «Настройки». …
  3. Шаг 3. Выберите профиль учетной записи пользователя и нажмите кнопку «Удалить». …
  4. Шаг 4. Подтвердите запрос. …
  5. Шаг 5. Удалите профиль пользователя в Windows 10 вручную. …
  6. Шаг 6. Откройте редактор реестра.

Как найти профили в Windows 10?

Откройте панель управления в Windows 10 и выберите «Учетные записи пользователей» > «Учетные записи пользователей» > «Управление другими учетными записями». Затем отсюда вы можете увидеть все учетные записи пользователей, которые существуют в вашей Windows 10, кроме отключенных и скрытых.

Как найти профиль пользователя?

Папка вашего профиля пользователя находится в папке Users на системном диске Windows (на большинстве компьютеров это C:). В папке «Пользователи» имя папки вашего профиля совпадает с вашим именем пользователя. Если ваше имя пользователя — надежда, папка вашего профиля пользователя находится по адресу C:Usershope.

Как узнать свой идентификатор пользователя regedit?

  1. Откройте редактор реестра Windows.
  2. Разверните HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList.
  3. Выберите каждую папку по отдельности и просмотрите ключ ProfileImagePath, чтобы определить профиль пользователя, связанный с выбранной папкой:

Где хранится мой перемещаемый профиль?

Перемещаемый профиль хранится на центральном сервере, доступ к которому возможен со всех компьютеров домена. Это позволяет вам иметь одни и те же параметры среды на каждой машине, на которой вы входите в систему. Ваш перемещаемый профиль копируется на компьютер при входе в систему и синхронизируется обратно с сервером при выходе из системы.

Какая учетная запись является самой мощной из возможных?

Что такое учетная запись администратора? Это самая мощная локальная учетная запись пользователя. Эта учетная запись имеет неограниченный доступ и неограниченные привилегии ко всем аспектам Windows.

Как найти SID профиля пользователя?

Получить SID для текущего пользователя домена, вошедшего в систему

Выполните команду whoami /user из командной строки, чтобы получить SID вошедшего в систему пользователя.

Как войти в систему в качестве администратора в Windows 10?

Способ 1 – с помощью команды

  1. Выберите «Пуск» и введите «CMD».
  2. Нажмите правой кнопкой мыши «Командная строка», затем выберите «Запуск от имени администратора».
  3. При появлении запроса введите имя пользователя и пароль, дающие права администратора на компьютере.
  4. Тип: net useradmin /active:yes.
  5. Нажмите «Ввод».

Как сменить администратора в Windows 10?

Выполните следующие действия, чтобы изменить учетную запись пользователя.

  1. Нажмите клавишу Windows + X, чтобы открыть меню «Опытный пользователь» и выбрать «Панель управления».
  2. Нажмите «Изменить тип аккаунта».
  3. Нажмите на учетную запись пользователя, которую хотите изменить.
  4. Нажмите «Изменить тип учетной записи».
  5. Выберите «Стандартный» или «Администратор».

Как удалить учетную запись локального администратора в Windows 10?

Как удалить учетную запись администратора в настройках

  1. Нажмите кнопку «Пуск» в Windows. Эта кнопка находится в левом нижнем углу экрана. …
  2. Нажмите «Настройки». …
  3. Затем выберите «Аккаунты».
  4. Выберите Семья и другие пользователи. …
  5. Выберите учетную запись администратора, которую хотите удалить.
  6. Нажмите «Удалить». …
  7. Наконец выберите Удалить учетную запись и данные.

Как заставить Windows 10 показывать всех пользователей на экране входа в систему?

Как сделать так, чтобы в Windows 10 все учетные записи пользователей всегда отображались на экране входа в систему при включении или перезагрузке компьютера?

  1. Нажмите клавишу Windows + X на клавиатуре.
  2. Выберите из списка параметр «Управление компьютером».
  3. Выберите параметр «Локальные пользователи и группы» на левой панели.
  4. Затем дважды щелкните папку «Пользователи» на левой панели.

Где хранятся профили пользователей Citrix?

Локальные профили пользователей хранятся на локальном сервере, на котором пользователь вошел в систему. Менеджер паролей сохраняет информацию реестра в кусте диспетчера паролей HKCUSoftwareCitrixMetaFrame реестра пользователей, расположенном по адресу: %SystemDrive%Documents and Settings%username%NTUSER. дата.

Мы покажем вам, как использовать Windows 10 для удаления профиля пользователя, чтобы сбросить учетную запись без удаления или помочь в полном удалении.

При добавлении новой учетной записи в Windows 10 создается профиль пользователя, набор настроек и папок, которые гарантируют, что каждый человек на ПК будет иметь уникальный, индивидуальный опыт. Здесь также содержатся все их документы, сохраненные игры, видео и многое другое. Это может занять некоторое место, но, к счастью, Windows позволяет удалить профиль пользователя, если он вам больше не нужен или он поврежден.

В чем разница между профилем пользователя и учетной записью пользователя?

Стоит отметить, что профиль пользователя Windows 10 и учетная запись пользователя — это два отдельных, но в некоторой степени связанных понятия. Хотя профиль пользователя создается при добавлении учетной записи на ПК, он не всегда удаляется при удалении учетной записи пользователя в Windows 10. Точно так же вы можете удалить профиль пользователя, не удаляя учетную запись из Windows 10 и экрана входа в систему. Для этого вы можете ознакомиться с нашим руководством здесь.

Удаление профиля пользователя в Windows 10 может быть надежным способом восстановить настройки учетной записи по умолчанию без необходимости удалять и снова добавлять ее. Это может быть особенно полезно, если вы подозреваете, что какие-то настройки неверны, но не знаете, где именно, или просто хотите полностью очистить все документы и загрузки.

В Windows 10 существует два способа удаления профиля пользователя: реестр и дополнительные свойства системы. Сегодня мы покажем вам, как сделать и то, и другое, начав с наиболее удобного для пользователя варианта — системных свойств.

Как удалить профиль пользователя через свойства системы Windows 10

Перед началом этого процесса убедитесь, что учетная запись пользователя, которую вы хотите удалить, вышла из системы.

Нажмите «Windows + R», чтобы открыть диалоговое окно «Выполнить», введите «systempropertiesadvanced.exe» и нажмите «ОК».

На вкладке «Дополнительно» найдите заголовок «Профили пользователей» и нажмите «Настройки…».

Windows 10 теперь будет возвращать список профилей пользователей, связанных с определенными учетными записями. Вы сможете увидеть имя учетной записи после идентификатора ПК. Нажмите на аккаунт, затем нажмите «Удалить».

Майкрософт затем убедится, что вы действительно хотите удалить профиль пользователя. Вы должны убедиться, что в этой учетной записи нет файлов или настроек, прежде чем продолжить. Когда будете готовы, нажмите «Да».

После нажатия кнопки «Да» вы должны заметить, что профиль пользователя исчез из списка «Профили, хранящиеся на этом компьютере:». Нажмите «ОК», чтобы закрыть его.

Вы можете создать новый профиль пользователя для этой учетной записи в любое время, просто войдя в нее еще раз. Когда вы это сделаете, Windows 10 покажет сообщение «Это может занять несколько минут».

Как удалить профиль пользователя из реестра в Windows 10

Если описанный выше метод не работает, вы можете удалить профиль пользователя из реестра и через проводник Windows 10. Однако сначала выйдите из системы и прочитайте, как безопасно редактировать реестр.

    Удалите профиль пользователя Windows 10 через проводник

Перейдите в папку C:\Users и найдите профиль пользователя, который хотите удалить. Нажмите на нее, затем нажмите «Удалить».

Нажмите кнопку «Пуск» и введите «regedit», затем нажмите «Запуск от имени администратора».

В строке поиска или боковом меню перейдите к списку профилей в редакторе реестра, который находится по адресу:

В разделе реестра списка профилей будет несколько ключей SID для каждого пользователя. Чтобы найти тот, который вы ищете, нажмите на каждый и проверьте поле «Данные» рядом с записью «ProfileImagePath».

В меню слева щелкните правой кнопкой мыши правильный SID пользователя и нажмите «Удалить».

Убедитесь, что вы удаляете ключ для правильного пользователя, прежде чем нажимать «Да».

В этой статье описывается реестр Windows и содержится информация о том, как его редактировать и создавать резервные копии.

Относится к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 256986

Описание реестра

В пятом издании Microsoft Computer Dictionary реестр определяется как:

Центральная иерархическая база данных, используемая в Windows 98, Windows CE, Windows NT и Windows 2000 для хранения информации, необходимой для настройки системы для одного или нескольких пользователей, приложений и аппаратных устройств.

Реестр содержит информацию, на которую Windows постоянно ссылается во время работы, например, профили для каждого пользователя, приложения, установленные на компьютере, и типы документов, которые каждый из них может создавать, настройки листа свойств для папок и значков приложений, какое аппаратное обеспечение установлено на компьютере. система и используемые порты.

Реестр заменяет большинство текстовых файлов .ini, которые используются в Windows 3.x и файлах конфигурации MS-DOS, таких как Autoexec.bat и Config.sys. Хотя реестр является общим для нескольких операционных систем Windows, между ними есть некоторые различия. Куст реестра — это группа ключей, подразделов и значений в реестре, которая имеет набор вспомогательных файлов, содержащих резервные копии своих данных. Вспомогательные файлы для всех кустов, кроме HKEY_CURRENT_USER, находятся в папке % SystemRoot%\System32\Config в Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 и Windows Vista. Вспомогательные файлы для HKEY_CURRENT_USER находятся в папке %SystemRoot%\Profiles\Username. Расширения имен файлов в этих папках указывают тип содержащихся в них данных. Кроме того, отсутствие расширения может иногда указывать на тип данных, которые они содержат.

куст реестра Поддерживаемые файлы
HKEY_LOCAL_MACHINE\SAM Sam, Sam.log, Sam.sav
HKEY_LOCAL_MACHINE\Security Security, Security.log, Security.sav
HKEY_LOCAL_MACHINE\Software Software, Software.log, Software.sav
HKEY_LOCAL_MACHINE\System System, System.alt, System.log, System.sav
HKEY_CURRENT_CONFIG System, System.alt, System.log, System. sav, Ntuser.dat, Ntuser.dat.log
HKEY_USERS\DEFAULT Default, Default.log, Default.sav

В Windows 98 файлы реестра называются User.dat и System.dat. В Windows Millennium Edition файлы реестра называются Classes.dat, User.dat и System.dat.

Функции безопасности в Windows позволяют администратору контролировать доступ к разделам реестра.

В следующей таблице перечислены предопределенные клавиши, используемые системой. Максимальный размер имени ключа — 255 символов.

Реестр в 64-разрядных версиях Windows XP, Windows Server 2003 и Windows Vista разделен на 32-разрядные и 64-разрядные ключи. Многие из 32-битных ключей имеют те же имена, что и их 64-битные аналоги, и наоборот. 64-разрядная версия редактора реестра по умолчанию, входящая в состав 64-разрядных версий Windows XP, Windows Server 2003 и Windows Vista, отображает 32-разрядные ключи в узле HKEY_LOCAL_MACHINE\Software\WOW6432Node. Дополнительные сведения о том, как просматривать реестр в 64-разрядных версиях Windows, см. в разделе Как просмотреть системный реестр в 64-разрядных версиях Windows.

В следующей таблице перечислены типы данных, которые в настоящее время определены и используются Windows. Максимальный размер имени значения следующий:

  • Windows Server 2003, Windows XP и Windows Vista: 16 383 символа.
  • Windows 2000: 260 символов ANSI или 16 383 символа Unicode.
  • Windows Millennium Edition/Windows 98/Windows 95: 255 символов.

Длинные значения (более 2048 байт) должны храниться в виде файлов с именами файлов, сохраненными в реестре. Это помогает реестру работать эффективно. Максимальный размер значения следующий:

  • Windows NT 4.0/Windows 2000/Windows XP/Windows Server 2003/Windows Vista: Доступная память
  • Windows Millennium Edition/Windows 98/Windows 95: 16 300 байт.

Существует ограничение в 64 КБ на общий размер всех значений ключа.

Создать резервную копию реестра

Перед редактированием реестра экспортируйте разделы реестра, которые вы планируете редактировать, или создайте резервную копию всего реестра.В случае возникновения проблемы вы можете выполнить действия, описанные в разделе «Восстановление реестра», чтобы восстановить реестр в его предыдущее состояние. Для резервного копирования всего реестра используйте утилиту резервного копирования для резервного копирования состояния системы. Состояние системы включает реестр, регистрационную базу данных классов COM+ и загрузочные файлы. Дополнительные сведения об использовании утилиты резервного копирования для резервного копирования состояния системы см. в следующих статьях:

Редактировать реестр

Чтобы изменить данные реестра, программа должна использовать функции реестра, определенные в функциях реестра.

Администраторы могут изменять реестр с помощью редактора реестра (Regedit.exe или Regedt32.exe), групповой политики, системной политики, файлов реестра (.reg) или запуская сценарии, такие как файлы сценариев VisualBasic.

Использовать пользовательский интерфейс Windows

Мы рекомендуем использовать пользовательский интерфейс Windows для изменения настроек системы, а не редактировать реестр вручную. Однако иногда редактирование реестра может быть лучшим способом решения проблемы с продуктом. Если проблема задокументирована в базе знаний Майкрософт, будет доступна статья с пошаговыми инструкциями по редактированию реестра для этой проблемы. Мы рекомендуем точно следовать этим инструкциям.

Использовать редактор реестра

При неправильном изменении реестра с помощью редактора реестра или другого метода могут возникнуть серьезные проблемы. Эти проблемы могут потребовать переустановки операционной системы. Майкрософт не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на свой страх и риск.

Вы можете использовать редактор реестра для выполнения следующих действий:

  • Найти поддерево, ключ, подраздел или значение
  • Добавить подраздел или значение
  • Изменить значение
  • Удалить подраздел или значение
  • Переименовать подраздел или значение

В области навигации редактора реестра отображаются папки. Каждая папка представляет собой предопределенный ключ на локальном компьютере. При доступе к реестру удаленного компьютера отображаются только два предопределенных ключа: HKEY_USERS и HKEY_LOCAL_MACHINE.

Использовать групповую политику

Консоль управления Microsoft (MMC) содержит инструменты администрирования, которые можно использовать для администрирования сетей, компьютеров, служб и других системных компонентов. Оснастка MMC групповой политики позволяет администраторам определять параметры политики, которые применяются к компьютерам или пользователям. Вы можете реализовать групповую политику на локальных компьютерах с помощью оснастки локальной групповой политики MMC, Gpedit.msc. Вы можете реализовать групповую политику в Active Directory с помощью оснастки MMC «Пользователи и компьютеры Active Directory». Дополнительные сведения об использовании групповой политики см. в разделах справки соответствующей оснастки MMC групповой политики.

Использовать файл регистрационных записей (.reg)

Создайте файл регистрационных записей (.reg), содержащий изменения реестра, а затем запустите файл .reg на компьютере, на котором вы хотите внести изменения. Вы можете запустить файл .reg вручную или с помощью сценария входа в систему. Дополнительные сведения см. в разделе Добавление, изменение или удаление подразделов и значений реестра с помощью файла регистрационных записей (.reg).

Использовать хост сценариев Windows

Узел сценариев Windows позволяет запускать сценарии VBScript и JScript непосредственно в операционной системе. Вы можете создавать файлы VBScript и JScript, которые используют методы Windows Script Host для удаления, чтения и записи ключей и значений реестра. Дополнительные сведения об этих методах см. на следующих веб-сайтах Microsoft:

Использовать инструментарий управления Windows

Инструментарий управления Windows (WMI) является компонентом операционной системы Microsoft Windows и реализацией Microsoft управления предприятием через Интернет (WBEM). WBEM — это отраслевая инициатива по разработке стандартной технологии доступа к управленческой информации в корпоративной среде. Вы можете использовать WMI для автоматизации административных задач (таких как редактирование реестра) в корпоративной среде. Вы можете использовать WMI в языках сценариев, которые имеют механизм в Windows и обрабатывают объекты Microsoft ActiveX. Вы также можете использовать утилиту командной строки WMI (Wmic.exe) для изменения реестра Windows.

Использовать консольный инструмент реестра для Windows

Для редактирования реестра можно использовать утилиту Console Registry Tool для Windows (Reg.exe). Чтобы получить справку по инструменту Reg.exe, введите reg /? в командной строке и нажмите кнопку ОК.

Восстановить реестр

Чтобы восстановить реестр, используйте соответствующий метод.

Способ 1. Восстановите ключи реестра

Чтобы восстановить экспортированные подразделы реестра, дважды щелкните файл Registration Entries (.reg), который вы сохранили в разделе Экспорт подразделов реестра. Или вы можете восстановить весь реестр из резервной копии. Дополнительные сведения о том, как восстановить весь реестр, см. в разделе Способ 2. Восстановление всего реестра далее в этой статье.

Способ 2: восстановить весь реестр

Чтобы восстановить весь реестр, восстановите состояние системы из резервной копии. Дополнительные сведения о том, как восстановить состояние системы из резервной копии, см. в разделе Как использовать резервное копирование для защиты данных и восстановления файлов и папок на компьютере в Windows XP и Windows Vista.

При резервном копировании состояния системы также создаются обновленные копии файлов реестра в папке %SystemRoot%\Repair.

Ссылки

Для получения дополнительной информации посетите следующие веб-сайты:

Каталог протестированных продуктов Windows Server — это справочник по продуктам, которые были протестированы на совместимость с Windows Server.

Диспетчер защиты данных (DPM) — это ключевой член семейства продуктов управления Microsoft System Center, который помогает ИТ-специалистам управлять своей средой Windows. DPM — это новый стандарт резервного копирования и восстановления Windows, который обеспечивает непрерывную защиту данных для приложений и файловых серверов Microsoft, использующих интегрированные диски и ленточные носители. Дополнительные сведения о резервном копировании и восстановлении реестра см. в разделе Резервное копирование и восстановление реестра в Windows XP и Windows Vista.

Читайте также:

  • Указанная сетевая папка подключена с использованием другого имени пользователя и пароля Windows 10
  • Центр обновления Windows мог откатить версию драйвера в процессе установки
  • Проверка наличия мультимедиа при загрузке windows 10 как удалить
  • Правильно установите приложения microsoft windows shellexperiencehost и microsoft windows cortana
  • Разрядность 8 бит монитора как изменить windows 10

Где хранятся пароли и настройки учетных записей пользователей домена windows

Windows Операционные системы сервера устанавливаются с локальными учетными записями по умолчанию. Кроме того, можно создавать учетные записи пользователей, чтобы соответствовать требованиям организации. Эта справочная тема для ИТ-специалистов описывает локальные учетные записи по умолчанию Windows Server, которые хранятся локально на контроллере домена и используются в Active Directory.

В этой справочной статье не описываются локальные учетные записи пользователей по умолчанию для одного из членов или автономных серверов или Windows клиента. Дополнительные сведения см. в местных учетных записях.

Об этом разделе

В этом разделе описывается следующее:

Локальные учетные записи по умолчанию в Active Directory

Локальные учетные записи по умолчанию — это встроенные учетные записи, которые создаются автоматически при установке контроллера Windows Server и создания домена. Эти локальные учетные записи по умолчанию имеют аналоги в Active Directory. Эти учетные записи также имеют доступ к домену и полностью отделены от локальных учетных записей пользователей по умолчанию для отдельного или отдельного сервера.

Вы можете назначить права и разрешения для локальных учетных записей по умолчанию на определенном контроллере домена и только на этом контроллере домена. Эти учетные записи являются локальными для домена. После установки локальных учетных записей по умолчанию они хранятся в контейнере Пользователи в active Directory Users and Computers. Лучше всего хранить локальные учетные записи по умолчанию в контейнере Пользователя и не пытаться переместить эти учетные записи, например, в другое организационное подразделение (OU).

Локальные учетные записи в контейнере Пользователей по умолчанию включают: Администратор, Гость и KRBTGT. Учетная запись HelpAssistant устанавливается при установке сеанса удаленной помощи. В следующих разделах описываются локальные учетные записи по умолчанию и их использование в Active Directory.

В основном локальные учетные записи по умолчанию делают следующее:

Позвольте домену представлять, идентифицировать и проверить подлинность удостоверения пользователя, назначенного учетной записи с помощью уникальных учетных данных (имя пользователя и пароль). Для обеспечения максимальной безопасности лучше назначить каждого пользователя одной учетной записи. Нескольким пользователям не разрешается делиться одной учетной записью. Учетная запись пользователя позволяет пользователю войти в компьютеры, сети и домены с уникальным идентификатором, который может быть аутентификацией компьютера, сети или домена.

Авторизуйте (предоставляете или отказывайте) доступ к ресурсам. После проверки подлинности учетных данных пользователя пользователь получает право на доступ к сетевым и доменным ресурсам на основе явно за присвоенных пользователем прав на ресурс.

Аудит действий, которые осуществляются в учетной записи пользователя.

В Active Directory локальные учетные записи по умолчанию используются администраторами для управления доменными и серверами-членами непосредственно и с выделенных административных рабочих станций. Учетные записи Active Directory предоставляют доступ к сетевым ресурсам. Учетные записи пользователей Active Directory и Computer могут представлять физическое лицо, например компьютер или лицо, или выступать в качестве специальных учетных записей служб для некоторых приложений.

Каждая локализованная учетная запись по умолчанию автоматически присваивается группе безопасности, которая предварительно назначена с соответствующими правами и разрешениями для выполнения определенных задач. Группы безопасности Active Directory собирают учетные записи пользователей, учетные записи компьютеров и другие группы в управляемые подразделения. Дополнительные сведения см. в группе безопасности Active Directory.

В контроллере домена Active Directory каждая локализованная учетная запись по умолчанию называется основной службой безопасности. Принцип безопасности — это объект каталога, который используется для обеспечения безопасности и управления службами Active Directory, которые предоставляют доступ к ресурсам контроллера домена. Принцип безопасности включает такие объекты, как учетные записи пользователей, учетные записи компьютеров, группы безопасности или потоки или процессы, которые работают в контексте безопасности учетной записи пользователя или компьютера. Дополнительные сведения см. в дополнительных сведениях.

Директор по безопасности представлен уникальным идентификатором безопасности (SID). В разделах ниже описаны СИД, связанные с каждой из локальных учетных записей по умолчанию в Active Directory.

Некоторые локальные учетные записи по умолчанию защищены фоновой процедурой, которая периодически проверяет и применяет определенный дескриптор безопасности. Дескриптор безопасности — это структура данных, которая содержит сведения о безопасности, связанные с защищенным объектом. Этот процесс гарантирует, что любая успешная несанкционированная попытка изменить дескриптор безопасности в одной из локальных учетных записей или групп по умолчанию перезаписывается с защищенными настройками.

Этот дескриптор безопасности присутствует на объекте AdminSDHolder. Если требуется изменить разрешения в одной из групп администраторов службы или в любой из учетных записей ее членов, необходимо изменить дескриптор безопасности объекта AdminSDHolder, чтобы обеспечить его последовательное использование. Будьте осторожны при внесении этих изменений, так как вы также изменяете параметры по умолчанию, которые применяются к всем защищенным учетным записям.

Учетная запись администратора

Учетная запись администратора — это учетная запись по умолчанию, используемая во всех версиях Windows на каждом компьютере и устройстве. Учетная запись администратора используется системным администратором для задач, которые требуют административных учетных данных. Эта учетная запись не может быть удалена или заблокирована, но ее можно переименовать или отключить.

Учетная запись администратора предоставляет пользователю полный доступ к файлам, каталогам, службам и другим ресурсам, которые находятся на локальном сервере. Учетная запись администратора может использоваться для создания локальных пользователей и назначения прав пользователей и разрешений на управление доступом. Администратор также может использовать для управления локальными ресурсами в любое время, просто изменив права и разрешения пользователей. Несмотря на то, что файлы и каталоги могут быть временно защищены от учетной записи администратора, учетная запись администратора может в любое время контролировать эти ресурсы, изменяя разрешения на доступ.

Членство в группе учетных записей

Учетная запись Администратора имеет членство в группах безопасности по умолчанию, как описано в таблице атрибутов учетной записи администратора, позднее в этом разделе.

Группы безопасности гарантируют, что вы можете управлять правами администратора, не меняя каждую учетную запись администратора. В большинстве случаев не нужно менять основные параметры этой учетной записи. Однако может потребоваться изменить его расширенные параметры, например членство в определенных группах.

После установки операционной системы сервера первой задачей является безопасное настройка свойств учетной записи администратора. Это включает настройку особо длинного и прочного пароля и обеспечение безопасности параметров профилей удаленного управления и служб удаленного рабочего стола.

Учетная запись администратора также может быть отключена, если она не требуется. Переименование или отключение учетной записи администратора затрудняет попытку злоумышленников получить доступ к учетной записи. Однако даже если учетная запись администратора отключена, ее можно использовать для получения доступа к контроллеру домена с помощью безопасного режима.

На контроллере домена учетная запись администратора становится учетной записью администратора домена. Учетная запись администратора домена используется для входов в контроллер домена, и для этой учетной записи требуется надежный пароль. Учетная запись администратора домена предоставляет доступ к ресурсам домена.

Примечание.
При начальной установке контроллера домена можно войти и использовать Диспетчер сервера для установки учетной записи локального администратора с правами и разрешениями, которые необходимо назначить. Например, при первой установке можно использовать учетную запись локального администратора для управления операционной системой. С помощью этого подхода можно настроить операционную систему без блокировки. Как правило, вам не нужно использовать учетную запись после установки. Создать локальные учетные записи пользователей на контроллере домена можно только до установки служб домена Active Directory, а не после этого.

При установке Active Directory на первом контроллере домена в домене создается учетная запись администратора для Active Directory. Учетная запись администратора — это самая мощная учетная запись в домене. Ему дается доступ на всем домене и административные права для администрирования компьютера и домена, и он обладает самыми обширными правами и разрешениями над доменом. Человек, устанавливавший службы домена Active Directory на компьютере, создает пароль для этой учетной записи во время установки.

Всё о PowerShell в Windows и на Linux. Системное администрирование Windows

Чтобы обеспечить высокий уровень безопасности учётных записей пользователей в домене Active Directory, администратор должен настроить и реализовать политику паролей домена. Политика паролей должна обеспечивать достаточную сложность, длину пароля и частоту смены паролей учётных записей пользователей и служб. Таким образом, вы можете затруднить злоумышленнику возможность перебора или перехвата паролей пользователей при их отправке по сети.

Суть политики паролей домена заключается в том, что устанавливаются правила на минимальную длину пароля, на обязательное наличие в нём определённого количества букв разного регистра, цифр, специальных символов. Данные правила распространяются как на администратора домена, так и на всех пользователей домена.

Если компьютер подключён к домену, то политика паролей также распространяется и на локальных пользователей, но только при смене пароля. То есть если локальный пользователь не имел пароля до подключения к домену, либо имел пароль, неудовлетворяющий правилам политики, то такой пользователь не обязан устанавливать или менять пароль.

Политика паролей в политике домена по умолчанию (Default Domain Policy)

По умолчанию для установки общих требований к паролям пользователей в домене AD используются параметры групповой политики (GPO). Политика паролей учётных записей пользователей домена настраивается в Default Domain Policy (политике домена по умолчанию). Эта политика связана с корнем домена и должна применяться к контроллеру домена с ролью эмулятора PDC.

1. Чтобы настроить политику паролей учётной записи AD, откройте консоль Управления групповой политикой (gpmc.msc);

2. Разверните свой домен и найдите объект групповой политики с именем Default Domain Policy. Щёлкните его правой кнопкой мыши и выберите «Изменить»;

3. Политики паролей находятся в следующем разделе GPO: Computer configuration→ Policies→ Windows Settings → Security Settings → Account Policies → Password Policy (в русскоязычной версии это соответственно Конфигурация компьютера → Политики → Конфигурация Windows → Параметры безопасности → Политики учетных записей → Политика паролей);

4. Дважды щёлкните параметр политики, чтобы изменить его. Чтобы включить определённый параметр политики, установите флажок Define this policy settings («Определить следующий параметр политики») и укажите необходимое значение (на скриншоте ниже я установил минимальную длину пароля 8 символов). Сохраните изменения;

Новые параметры политики паролей будут применены ко всем компьютерам домена в фоновом режиме через некоторое время (90 минут), во время загрузки компьютера, или вы можете применить политику немедленно, запустив команду

Вы можете изменить параметры политики паролей из консоли управления GPO или с помощью командлета PowerShell Set-ADDefaultDomainPasswordPolicy:

Основные параметры политики паролей в Windows

Рассмотрим все доступные настройки паролей Windows. В GPO есть шесть настроек пароля:

  • Enforce password history (Вести журнал паролей) — определяет количество запоминаемых паролей, хранимых с целью недопущения их повторного использования.
    Однако администратор домена или пользователь, которому были делегированы разрешения на сброс пароля в AD, могут вручную установить старый пароль для учётной записи;
  • Maximum password age (Максимальный срок действия пароля) — устанавливает срок действия пароля в днях. По истечении срока действия пароля Windows попросит пользователя сменить пароль. Эта настройка обеспечивает регулярность смены пароля пользователями. Не зависимо от данной политики, в Параметрах учётной записи пользователя можно включить опцию «Срок действия пароля не ограничен», эта опция будет иметь приоритет;

Вы можете узнать, когда истекает срок действия пароля конкретного пользователя, с помощью PowerShell:

Либо вывести информацию о дате истечения паролей сразу для всех пользователей:

Если поле является пустым, значит срок действия пароля пользователя не ограничен.

Кроме того, в разделе GPO Account Lockout Password («Политика блокировки учётной записи») должны быть настроены следующие параметры пароля:

  • Account Lockout Threshold (Пороговое значение блокировки) – количество неудачных попыток входа в систему (с неправильным паролем), которое может быть выполнено пользователем до блокировки его учётной записи;
  • Account Lockout Duration (Продолжительность блокировки учётной записи) — как долго будет заблокирована учётная запись, если пользователь несколько раз ввёл неверный пароль;
  • Reset account lockout counter after (Время до сброса счётчика блокировки) — количество минут, по истечении которых счётчик порога блокировки учётной записи будет сброшен.

Если конкретная учётная запись домена блокируется слишком часто, вы можете определить источник блокировки учётной записи с помощью этого метода.

Параметры политик паролей по умолчанию в домене AD перечислены в таблице ниже:

Политика Значение по умолчанию
Обеспечить сохранение истории паролей 24 пароля
Максимальный возраст пароля 42 дня
Минимальный срок действия пароля 1 день
Минимальная длина пароля 7
Пароль должен соответствовать требованиям сложности Включено
Хранить пароли с использованием обратимого шифрования Отключено
Продолжительность блокировки учётной записи Не задана
Порог блокировки учётной записи 0
Сбросить счётчик блокировки учётной записи после Не установлено

В Security Compliance Toolkit (наборе средств обеспечения соответствия требованиям безопасности) Microsoft рекомендует использовать следующие параметры политики паролей:

  • Использовать историю паролей: 24
  • Максимальный срок действия пароля: не установлен
  • Минимальный возраст пароля: не установлен
  • Минимальная длина пароля: 14
  • Пароль должен соответствовать сложности: Включено
  • Хранить пароли с использованием обратимого шифрования: Отключено

В недавней рекомендации Security Baseline 1903 Microsoft указывает, что нет необходимости включать политику истечения срока действия пароля для пользователей. Истечение срока действия пароля не увеличивает безопасность, а только создаёт ненужные проблемы (ссылка).

Как проверить текущую политику паролей в домене AD

Вы можете увидеть текущие параметры политики паролей в Default Domain Policy в консоли gpmc.msc (на вкладке Settings «Параметры»).

Вы также можете отобразить информацию о политике паролей с помощью PowerShell (на компьютере должен быть установлен Модуль Active Directory для PowerShell):

Кроме того, вы можете проверить текущие параметры политики паролей AD на любом компьютере домена с помощью команды GPResult.

Несколько политик паролей в домене Active Directory

Контроллер домена, владелец FSMO роли эмулятора PDC, отвечает за управление политикой паролей домена. Для редактирования настроек Default Domain Policy требуются права администратора домена.

Изначально в домене могла быть только одна политика паролей, которая применяется к корню домена и затрагивает всех без исключения пользователей (есть нюансы, но о них мы поговорим позже). Даже если вы создадите новый объект групповой политики с другими настройками пароля и примените его к конкретному подразделению с параметрами принудительного и блочного наследования, он не будет применяться к пользователям.

Политика паролей домена влияет только на объекты AD типа User (пользователь). Пароли объектов Computer, обеспечивающие доверительные отношения домена, имеют собственные параметры GPO.

До Active Directory в Windows Server 2008 можно было настроить только одну политику паролей для каждого домена. В более новых версиях AD вы можете создать несколько политик паролей для разных пользователей или групп с помощью Fine-Grained Password Policies (FGPP) (детальных политик паролей). Детализированные политики паролей позволяют создавать и применять различные объекты параметров пароля (PSO). Например, вы можете создать PSO с увеличенной длиной или сложностью пароля для учётных записей администратора домена или сделать пароли некоторых учётных записей более простыми или даже полностью отключить их.

В этой статье мы рассмотрим способ управления паролями локальных администраторов на компьютерах домена с помощью официальной утилиты Microsoft – LAPS (Local admin password solution).

Вопрос управления встроенными учетными записям на компьютерах домена является одним из важнейших аспектов безопасности, требующих внимание системного администратора. Безусловно, не стоит допускать использования одинаковых паролей локальных администраторов на всех компьютерах. Есть множество подходов к организации управления учетными записями локальных администраторов в домене: начиная от полного их отключения (не очень удобно), до управления ими через logon скрипты групповых политик и создания собственных систем управления встроенными учётками и их паролями.

Ранее для изменения паролей локальный администраторов на компьютерах домена часто использовались расширения групповых политик (GPP – Group Policy Preferences), однако в них была найдена серьезная уязвимость, позволяющая любому пользователю расшифровать пароль, хранящийся в текстовом файле в каталоге Sysvol на контроллерах домена (об это мы подробно говорили в статье Почему не стоит задавать пароли через Group Policy Preferences ). В мае 2014 года Microsoft выпустила обновление безопасности (MS14-025 – KB 2962486), полностью отключающее возможность задать пароль локального пользователя через GPP.Содержание:

  • Утилита LAPS — Local Administrator Password Solution
  • Подготовка схемы Active Directory для внедрения LAPS
  • Настройка прав в AD на атрибуты LAPS
  • Предоставление прав на просмотр пароля LAPS
  • Настройка групповой политики LAPS
  • Установка LAPS на клиентские компьютеры через GPO
  • Использование утилиты LAPS для просмотра пароля администратора

Утилита LAPS — Local Administrator Password Solution

Важно . Ранее утилита LAPS называлась AdmPwd , но в 2015 года Microsoft анонсировала LAPS, переведя ее из раздела сторонних скриптов в официально поддерживаемое решение.

Утилита LAPS (Local Administrator Password Solution) позволяет централизованной управлять паролями администраторов на всех компьютерах домена и хранить информацию о пароле и дате его смены непосредственно в объектах типа Computer в Active Directory.

Функционал LAPS основан на использовании специального функционала GPO, который основан на Group Policy Client Side Extension (CSE) и представлеяет собой небольшой модуль, который устанавливается на рабочие станции. Данное расширение GPO используется для генерации уникального пароля локального администратора (SID — 500) на каждом компьютере домена. Пароль администратора автоматически меняется с указанной периодичностью (по-умолчанию, каждые 30 дней). Значение текущего пароля хранится в конфиденциальном атрибуте учетной записи компьютера в Active Directory, доступ на просмотр содержимого атрибута регулируется группами безопасности AD.

Дистрибутив LAPS доступен в виде двух версий установочных msi файлов: для 32 ( LAPS.x86.msi ) и 64 ( LAPS.x64.msi ) битных систем.

Архитектура LAPS состоит из 2 частей. Модуль управления устанавливается на машине администратора, а клиентская часть устанавливается на серверах и ПК, на которых нужно регулярно менять пароль локального администратора. Совет . Перед развертыванием LAPS в продуктивном домене рекомендуем попробовать его в тестовой среде, т.к. как минимум потребуется расширение схемы AD (необратимое).

  • AdmPwd GPO Extension –исполняемая часть LAPS, которая устанавливается на компьютеры клиентов и осуществляет генерацию, сохранение пароля в домене согласно настроенной политики;
  • И компоненты управления LAPS (Management Tools):
  • Fat client UI – утилита для просмотра пароля администратора;
  • PowerShell module – модуль PowerShell для управления LAPS;
  • GPO Editor templates – административные шаблоны для редактора групповой политики.

Установка LAPS максимально простая и не должна вызывать каких-либо проблем.

Подготовка схемы Active Directory для внедрения LAPS

Перед развертыванием LAPS необходимо расширить схему Active Directory, в которую будут добавлены два новых атрибута для объектов типа компьютер.

  • ms—MCS—AdmPwd – атрибут содержит пароль локального администратора в открытом виде;
  • ms—MCS—AdmPwdExpirationTime — хранит дату истечения срока действия пароля на компьютере.

Для расширения схемы, нужно открыть консоль PowerShell, импортировать модуль Admpwd.ps:

Расширьте схему Active Directory (нужны права Schema Admin):

В результате в класс «Computer» будут добавлены два новых атрибута.

Настройка прав в AD на атрибуты LAPS

LAPS хранит пароль локального администратора в атрибуте Active Directory ms-MCS-AdmPwd в открытом виде, доступ к атрибуту ограничивается благодаря механизму конфиденциальных атрибутов AD (поддерживается с Windows 2003). Атрибут ms-MCS-AdmPwd, в котором хранится пароль, может быть прочитан любым обладателем разрешения “ All Extended Rights ”. Пользователи и группы с этим разрешением могут читать любые конфиденциальные атрибуты AD, в том числе ms-MCS-AdmPwd. Т.к. мы не хотим, чтобы кто-то кроме администраторов домена (или служб HelpDesk) имел право на просмотр паролей для компьютеров, нам нужно ограничить список групп с правами на чтение этих атрибутов.

С помощью командлета Find-AdmPwdExtendedRights можно получить список учетных записей и групп, обладающих этим правом на конкретную OU. Проверьте, кто обладает подобными разрешениями на OU с именем Desktops:

Find-AdmPwdExtendedRights -Identity Desktops | Format-Table ExtendedRightHolders

Как вы видите, право на чтение конфиденциальных атрибутов есть только у группы Domain Admins .

Ели вам нужно запретить определенным группам или пользователям доступ на чтение таких атрибутов, нужно выполнить следующее:

  • Откройте ADSIEdit и подключитесь к Default naming context;
  • Разверните дерево AD, найдите нужный OU (в нашем примере Desktops), щелкните по нему ПКМ и выберите Properties ;
  • Перейдите на вкладку Security , нажмите на кнопку Advanced -> Add . В разделе Select Principal укажите имя группы/пользователя, для которого нужно ограничить права (например, domain\Support Team);
  • Снимите галку у права “All extended rights” и сохраните изменения.

Аналогичным образом нужно поступить со всеми группам, которым нужно запретить право на просмотр пароля. Совет . Ограничить права на чтение придется на все OU, паролями компьютеров в которых будет управлять LAPS.

Далее нужно предоставить права учетным записям компьютеров на модификацию собственных атрибутов (SELF), т.к. изменение значений атрибутов ms-MCS-AdmPwd и ms-MCS-AdmPwdExpirationTime выполняется из-под учетной записи самого компьютера. Воспользуемся еще одним командлетом Set-AdmPwdComputerSelfPermission .

Чтобы дать права компьютерам в OU Desktops на обновление расширенных атрибутов, выполните команду:

Set-AdmPwdComputerSelfPermission -OrgUnit Desktops

Новые атрибуты LAPS компьютеров по умолчанию не реплицируются на контроллеры домена RODC .

Предоставление прав на просмотр пароля LAPS

Следующий этап – предоставление прав пользователям и группам на чтение хранящихся в Active Directory паролей локальных администраторов на компьютерах домена. К примеру, вы хотите дать членам группы AdmPwd права на чтение паролей компьютеров в OU:

Set-AdmPwdReadPasswordPermission -OrgUnit Desktops -AllowedPrincipals AdmPwd

Кроме того, можно предоставить отдельной группе пользователей право на сброс пароля компьютера (в нашем примере мы предоставляем это право той же группе AdmPwd).

Set-AdmPwdResetPasswordPermission -OrgUnit Desktops -AllowedPrincipals AdmPwd

Настройка групповой политики LAPS

Создайте политику с именем Password_Administrador_Local следующей командой:

Register-AdmPwdWithGPO -GpoIdentity: Password_Administrador_Local

В консоли управления доменными политиками (gpmc.msc) откройте эту политику на редактирование и перейдите в раздел GPO: : Computer Configuration -> Administrative Templates -> LAPS .

Как вы видите, имеются 4 настраиваемых параметра политики. Настройте их следующим образом:

  • Enable local admin password management : Enabled (включить политику управления паролями LAPS);
  • Password Settings : Enabled – в политике задается сложности пароля, его длина и частота изменения (по аналогии с доменными политиками для паролей пользователей );
  • Complexity: Large letters, small letters, numbers, specials
  • Length: 12 characters
  • Age: 30 days
  • Name of administrator account to manage : Not Configured (Здесь указывается имя учетной записи администратора, пароль которой будет меняться. по умолчанию меняется пароль встроенного administrator с SID-500);
  • Do not allow password expiration time longer than required by policy : Enabled

Назначьте политику Password_Administrador_Local на OU с компьютерами (Desktops).

Установка LAPS на клиентские компьютеры через GPO

После настройки GPO нужно установить клиентскую часть LAPS на компьютеры в домене. Установить клиент LAPS можно различными способами: вручную, через задание SCCM, логон скрипт и т.п. В нашем примере мы установим msi файл с помощью возможности установки msi пакетов через групповые политики (GPSI).

  • Создайте общую папку в сетевом каталоге (или в папке SYSVOL на контроллере домена), в которую нужно скопировать msi файлы дистрибутива LAPS;
  • Создайте новую GPO и в разделе Computer Configuration ->Policies ->Software Settings -> Software Installation создайте задание на установку MSI пакета LAPS.

Обратите внимание, что имеются x86 и x64 версия LAPS для Windows соответствующих разрядностей. Для этого вы можете сделать 2 отдельные политики LAPS с WMI фильтрами GPO для x86 и x64 редакций Windows.

Осталось назначить политику на нужную OU, и после перезагрузки, на всех компьютерах в целевом OU должен установиться клиент LAPS.

Проверьте, что списке установленных программ в Панели Управления (Programs and Features) появилась запись “Local admin password management solution”.

Когда утилита LAPS меняет пароль локального администратора, запись об этом фиксируется в журнале Application (Event ID:12, Source: AdmPwd).

Событие сохранения пароля в атрибуте AD также фиксируется (Event ID:13, Source: AdmPwd).

Вот так выглядят новые атрибуты у компьютера в AD.

Совет . Время истечения срока действия пароля хранится в формате «Win32 FILETIME», сконвертировать его в нормальный вид можно, к примеру так .

Использование утилиты LAPS для просмотра пароля администратора

Графическую утилиту AdmPwd UI для просмотра паролей LAPS нужно установить на компьютерах администраторов.

Запустите утилиту, введите имя компьютера (в поле computername), и вы должны увидеть текущий пароль локального администратора компьютера и срок действия.

Дату истечения пароля срока действия пароля можно задать вручную, либо оставить поле с датой пустым и нажав кнопку Set (это означает, срок действия пароля уже истек).

Пароль также можно получить с помощью PowerShell:

Import-Module AdmPwd.PS
Get-AdmPwdPassword -ComputerName

Если вы считаете, что пароли локальных администраторов на всех компьютерах в некотором OU скомпрометированы, вы можете одной командой сгенерировать новые пароля для всех компьютеров в OU. Для этого нам понадобится командлет Get-ADComputer :

Get-ADComputer -Filter * -SearchBase “OU=Computers,DC=MSK,DC=winitpro,DC=ru” | Reset-AdmPwdPassword -ComputerName

Аналогичным образом можно вывести список текущих паролей для всех компьютеров в OU:

Get-ADComputer -Filter * -SearchBase “OU=Computers,DC=MSK,DC=winitpro,DC=ru” | Get-AdmPwdPassword -ComputerName

LAPS можно рекомендовать как удобное решение для организации безопасной системы управления паролями на компьютерах домена с возможностью гранулированного управления доступом к паролям компьютерам из разных OU. Пароли хранятся в атрибутах Active Directory в открытом виде, но встроенные средства AD позволяют надежно ограничить к ним доступ.

Ввод пароля при входе на компьютер, является неотъемлемой составляющей безопасности в домене. Контроль за политикой паролей пользователей (сложность пароля, минимальная длина и т.д.) является одной из важных задач для администраторов. В этой статье я подробно опишу изменение политики паролей с помощью GPO для всех пользователей домена, а так же опишу способ как сделать исключения политик паролей для некоторых пользователей или группы пользователей.

Политика паролей домена конфигурируется объектом GPO- Default Domain Policy, которая применяется для всех компьютеров домена. Для того что бы посмотреть или внести изменения в политику паролей, необходимо запустить оснастку «Управление групповой политикой», найти Default Domain Policy, нажать на ней правой кнопкой мыши и выбрать «Изменить».

Зайти «Конфигурация компьютера»- «Политики»- «Конфигурация Windows»- «Параметры безопасности»- «Политики учетных записей»- «Политика паролей», в правом окне вы увидите параметры пароля, которые применяются в вашем домене.

Параметр определяет должен ли пароль отвечать сложности:

-не содержать имени учетной записи

— длина не менее 6 знаков

— содержать заглавные буквы (F, G,R)

— содержать строчные буквы (f,y,x)

Для того что бы изменить параметр достаточно нажать на нем и указать значение. Напомню указанные параметры будут применяться на все компьютеры домена.

Трудности возникают, если у вас в домене должны быть исключение, т.е. пользователь или группа пользователей для которых необходимы иные условия политики пароля. Для этих целей необходимо использовать гранулированную политику пароля. Эти политики представляют отдельный класс объектов AD, который поддерживает параметры гранулированной политики паролей: объект параметров политики PSO (Password Settings Object). Гранулированные политики пароля не реализованы как часть групповой политики и не применяются объектами GPO их можно применить отдельно к пользователю или глобальной группе.

Для того, что бы настроить PSO необходимо запустить adsiedit.msc, для этого нажимаете кнопку «Пуск», в окне «Выполнить», введите «adsiedit.msc» и нажмите кнопку «Enter».

В оснастке «Редактор ADSI» щелкните правой кнопкой мыши Редактор ADSI и выберите команду Подключение к.

Нажмите на кнопку «OK», чтобы выбрать настройки по умолчанию в диалоговом окне «Параметры подключения» или в поле Имя введите полное доменное имя для того домена, в котором требуется создать объект параметров паролей, а затем нажмите кнопку «ОК».

Далее зайдите по пути «DC=»- «CN=System»- «CN=Password Setings Container».

Щелкните правой кнопкой пункт «CN=Password Setings Container», выберите команду «Создать», а затем пункт «Объект».

В диалоговом окне Создание объекта в разделе Выберите класс щелкните атрибут msDS-PasswordSettings (выбора как такого у вас не будет, поскольку атрибут будет один), затем нажмите кнопку «Далее».

После этого мастер поможет создать объект настроек для пароля Password Settings Object. Необходимо будет указать значение для каждого из следующих 10 атрибутов. Ниже представлена таблица с кратким описанием и возможными значениями атрибутов.

    От значения атрибута msDS-MinimumPasswordAge до (Никогда)

(Например 90:00:00:00 — 90 дней)

(Например 0:00:30:00 -30 минут)

После того как создана PSO, необходимо добавить в него пользователя или группу пользователей, к которым будет применяться указанные настройки пароля. Для этого нажимаем правой кнопкой мыши на PSO и выбираем «Свойства».

В редакторе атрибутов находим и выбираем атрибут msDS-PSOAppliesTo и нажимаем кнопку «Изменить».

В открывшемся окне «Редактор многозначных различаемых имен субъектов безопасности» добавляем пользователей или глобальную группу безопасности, к которым должен применяться объект параметров паролей и нажимаем «Ок».

Теперь можно проверить действительно ли примерилась политика паролей PSO, для этого запустите Active Directory Пользователи и компьютеры, если у вас не включены дополнительные компоненты — включите их (нажмите «Вид» и поставьте галочку напротив Дополнительные компоненты), откройте свойства интересующего вас пользователя или группы, выберите вкладку «Редактор атрибутов», нажмите кнопку «Фильтр» в области Показать атрибуты, доступные только для чтения поставьте галочку Построенные. После этого найдите атрибут msDS-ResultantPSO в нем должен быть указан созданная вами или результирующая политика паролей Password Settings Object.

Если все указано верно настройку политик паролей PSO можно считать успешно завершенной.

Читайте также:

  • Как включить aero в windows 11
  • Как создать скринмейты на рабочий стол windows 1
  • Windows 11se что это
  • Установка и настройка x11vnc ubuntu 18
  • Linux mint восстановление графической оболочки

Учетные записи Active Directory

Операционные системы Windows Server устанавливаются с локальными учетными записями по умолчанию. Кроме того, вы можете создавать учетные записи пользователей в соответствии с требованиями вашей организации.

В этой справочной статье описываются локальные учетные записи Windows Server по умолчанию, хранящиеся локально на контроллере домена и используемые в Active Directory. Он не описывает учетные записи локальных пользователей по умолчанию для члена, автономного сервера или клиента Windows. Дополнительные сведения см. в разделе «Локальные учетные записи».

Локальные учетные записи по умолчанию в Active Directory

Локальные учетные записи по умолчанию — это встроенные учетные записи, которые создаются автоматически при установке контроллера домена Windows Server и создании домена. Эти локальные учетные записи по умолчанию имеют аналоги в Active Directory. Они также имеют доступ на уровне домена и полностью отделены от учетных записей локальных пользователей по умолчанию для члена или автономного сервера.

Вы можете назначить права и разрешения локальным учетным записям по умолчанию на определенном контроллере домена и только на этом контроллере домена. Эти учетные записи являются локальными для домена. После установки локальных учетных записей по умолчанию они хранятся в контейнере «Пользователи» в Пользователи и компьютеры Active Directory. Рекомендуется сохранить локальные учетные записи по умолчанию в контейнере пользователей, а не пытаться переместить эти учетные записи в другой подразделений.

Локальные учетные записи по умолчанию в контейнере Users включают: Администратор istrator, Guest и KRBTGT. Учетная запись HelpAssistant устанавливается при установке сеанса удаленной помощи. В следующих разделах описаны локальные учетные записи по умолчанию и их использование в Active Directory.

Локальные учетные записи по умолчанию выполняют следующие действия:

  • Позвольте домену представлять, определять и проверять подлинность удостоверения пользователя, которому назначена учетная запись, с помощью уникальных учетных данных (имя пользователя и пароль). Рекомендуется назначить каждого пользователя одной учетной записи, чтобы обеспечить максимальную безопасность. Несколько пользователей не могут совместно использовать одну учетную запись. Учетная запись пользователя позволяет пользователю входить на компьютеры, сети и домены с уникальным идентификатором, который может проходить проверку подлинности компьютера, сети или домена.
  • Авторизация (предоставление или запрет) доступа к ресурсам. После проверки подлинности учетных данных пользователя пользователь может получить доступ к сети и ресурсам домена на основе явных прав пользователя в ресурсе.
  • Аудит действий, выполняемых в учетных записях пользователей.

В Active Directory администраторы используют локальные учетные записи по умолчанию для управления доменами и серверами-членами непосредственно и с выделенных административных рабочих станций. Учетные записи Active Directory предоставляют доступ к сетевым ресурсам. Учетные записи пользователей Active Directory и учетные записи компьютеров могут представлять физическую сущность, например компьютер или лицо, или выступать в качестве выделенных учетных записей служб для некоторых приложений.

Каждая локальная учетная запись по умолчанию автоматически назначается группе безопасности, предварительно настроенной с соответствующими правами и разрешениями для выполнения определенных задач. Группы безопасности Active Directory собирают учетные записи пользователей, учетные записи компьютеров и другие группы в управляемые единицы. Дополнительные сведения см. в группах безопасности Active Directory.

На контроллере домена Active Directory каждая локальная учетная запись по умолчанию называется субъектом безопасности. Субъект безопасности — это объект каталога, который используется для защиты служб Active Directory и управления ими, которые предоставляют доступ к ресурсам контроллера домена. Субъект безопасности включает такие объекты, как учетные записи пользователей, учетные записи компьютера, группы безопасности или потоки или процессы, выполняемые в контексте безопасности учетной записи пользователя или компьютера. Дополнительные сведения см. в разделе «Субъекты безопасности».

Субъект безопасности представлен уникальным идентификатором безопасности (SID). Идентификаторы SID, связанные с каждой из локальных учетных записей по умолчанию в Active Directory, описаны в следующих разделах.

Некоторые локальные учетные записи по умолчанию защищены фоновым процессом, который периодически проверка и применяет определенный дескриптор безопасности. Дескриптор безопасности — это структура данных, содержащая сведения о безопасности, связанные с защищенным объектом. Этот процесс гарантирует, что любая успешная несанкционированная попытка изменить дескриптор безопасности на одной из локальных учетных записей или групп по умолчанию перезаписывается с защищенными параметрами.

Этот дескриптор безопасности присутствует в объекте Администратор SDHolder. Если вы хотите изменить разрешения для одной из групп администратора службы или любой из ее учетных записей-участников, необходимо изменить дескриптор безопасности в объекте Администратор SDHolder, чтобы обеспечить согласованное применение. Будьте осторожны при внесении этих изменений, так как вы также изменяете параметры по умолчанию, применяемые ко всем защищенным учетным записям.

Учетная запись администратора

Учетная запись Администратор istrator — это учетная запись по умолчанию, используемая во всех версиях операционной системы Windows на каждом компьютере и устройстве. Учетная запись Администратор istrator используется системным администратором для задач, требующих административных учетных данных. Эту учетную запись нельзя удалить или заблокировать, но ее можно переименовать или отключить.

Учетная запись Администратор istrator предоставляет пользователю полный доступ к файлам, каталогам, службам и другим ресурсам, которые находятся на этом локальном сервере. Учетная запись Администратор istrator может использоваться для создания локальных пользователей и назначения прав пользователей и разрешений управления доступом. Учетная запись также может использоваться для контроля над локальными ресурсами в любое время, просто изменив права пользователя и разрешения. Хотя файлы и каталоги можно защитить от учетной записи Администратор istrator временно, учетная запись может контролировать эти ресурсы в любое время, изменив разрешения на доступ.

Членство в группе учетных записей

Учетная запись Администратор istrator имеет членство в группах безопасности по умолчанию, как описано в таблице атрибутов учетной записи Администратор istrator далее в этой статье.

Группы безопасности гарантируют, что вы можете управлять правами администратора, не изменяя каждую учетную запись Администратор istrator. В большинстве случаев вам не нужно изменять основные параметры для этой учетной записи. Однако может потребоваться изменить дополнительные параметры, например членство в определенных группах.

Вопросы безопасности

После установки операционной системы сервера ваша первая задача — безопасно настроить свойства учетной записи Администратор istrator. Это включает настройку особенно длинного, надежного пароля и защиты параметров профиля служб удаленного управления и служб удаленных рабочих столов.

Учетная запись Администратор istrator также может быть отключена, если она не требуется. Переименование или отключение учетной записи Администратор istrator затрудняет попытку злоумышленников получить доступ к учетной записи. Однако даже если учетная запись Администратор istrator отключена, ее можно использовать для получения доступа к контроллеру домена с помощью безопасного режима.

На контроллере домена учетная запись Администратор istrator становится учетной записью Администратор домена. Учетная запись домена Администратор используется для входа в контроллер домена, и для этой учетной записи требуется надежный пароль. Учетная запись Администратор домена предоставляет доступ к ресурсам домена.

Когда контроллер домена изначально установлен, вы можете войти и использовать диспетчер сервера для настройки локальной учетной записи Администратор istrator с правами и разрешениями, которые необходимо назначить. Например, вы можете использовать локальную учетную запись Администратор istrator для управления операционной системой при первой установке. С помощью этого подхода можно настроить операционную систему без блокировки. Как правило, после установки не требуется использовать учетную запись. Учетные записи локальных пользователей можно создать только перед установкой служб домен Active Directory, а не после этого.

При установке Active Directory на первом контроллере домена в домене создается учетная запись Администратор istrator для Active Directory. Учетная запись Администратор istrator является самой мощной учетной записью в домене. Он предоставляет доступ на уровне домена и права администратора для администрирования компьютера и домена, а также имеет самые обширные права и разрешения по домену. Пользователь, который устанавливает службы домен Active Directory на компьютере, создает пароль для этой учетной записи во время установки.

атрибуты учетной записи Администратор istrator

Атрибут Значение
Известный SID/RID S-1-5-500
Тип User
Контейнер по умолчанию CN=Пользователи, DC= , DC=
элементы по умолчанию; Н/П
Является членом по умолчанию. Администратор istrator, доменные Администратор, корпоративные Администратор istrators, доменные пользователи (идентификатор основной группы всех учетных записей пользователей — пользователи домена)

Гостевая учетная запись

Гостевая учетная запись — это локальная учетная запись по умолчанию, которая имеет ограниченный доступ к компьютеру и отключена по умолчанию. По умолчанию пароль гостевой учетной записи остается пустым. Пустой пароль позволяет получить доступ к гостевой учетной записи без необходимости ввода пароля пользователем.

Гостевая учетная запись позволяет случайным или однократным пользователям, у которых нет отдельной учетной записи на компьютере, войти на локальный сервер или домен с ограниченными правами и разрешениями. Гостевая учетная запись может быть включена, а пароль можно настроить при необходимости, но только участником группы Администратор istrator в домене.

Членство в группе гостевых учетных записей

Гостевая учетная запись имеет членство в группах безопасности по умолчанию, описанных в следующей таблице атрибутов гостевой учетной записи. По умолчанию гостевая учетная запись является единственным членом группы гостей по умолчанию, которая позволяет пользователю входить на сервер и глобальную группу «Гости домена», которая позволяет пользователю войти в домен.

Участник группы Администратор istrators или группы доменных Администратор s может настроить пользователя с гостевой учетной записью на одном или нескольких компьютерах.

Вопросы безопасности гостевой учетной записи

Так как гостевая учетная запись может предоставлять анонимный доступ, это риск безопасности. Он также имеет известный идентификатор БЕЗОПАСНОСТИ. По этой причине рекомендуется оставить гостевую учетную запись отключенной, если ее использование не требуется, а затем только с ограниченными правами и разрешениями в течение очень ограниченного периода времени.

Если требуется гостевая учетная запись, для включения гостевой учетной записи требуется Администратор istrator на контроллере домена. Гостевая учетная запись может быть включена без необходимости пароля или ее можно включить с помощью надежного пароля. Администратор istrator также предоставляет ограниченные права и разрешения для гостевой учетной записи. Чтобы предотвратить несанкционированный доступ, выполните следующие действия.

  • Не предоставьте гостевой учетной записи право на завершение работы системного пользователя. Если компьютер завершает работу или запускается, возможно, что гостевой пользователь или любой пользователь с локальным доступом, например злоумышленник, может получить несанкционированный доступ к компьютеру.
  • Не предоставляйте гостевую учетную запись с возможностью просмотра журналов событий. После включения гостевой учетной записи рекомендуется часто отслеживать эту учетную запись, чтобы другие пользователи не могли использовать службы и другие ресурсы, например ресурсы, которые были непреднамеренно оставлены предыдущим пользователем.
  • Не используйте гостевую учетную запись, если у сервера есть внешний сетевой доступ или доступ к другим компьютерам.

Если вы решите включить гостевую учетную запись, не забудьте ограничить его использование и регулярно изменять пароль. Как и в случае с учетной записью Администратор istrator, может потребоваться переименовать учетную запись в качестве добавленной меры предосторожности.

Кроме того, администратор отвечает за управление гостевой учетной записью. Администратор отслеживает гостевую учетную запись, отключает гостевую учетную запись, если она больше не используется, а также изменяет или удаляет пароль по мере необходимости.

Дополнительные сведения об атрибутах гостевой учетной записи см. в следующей таблице:

Атрибуты гостевой учетной записи

Атрибут Значение
Известный SID/RID S-1-5- -501
Тип User
Контейнер по умолчанию CN=Пользователи, DC= , DC=
элементы по умолчанию; нет
Является членом по умолчанию. Гости, гости домена
Защита через ADMINSDHOLDER? No
Безопасно ли выходить за пределы контейнера по умолчанию? Может быть перемещен, но мы не рекомендуем его.
Сейф делегировать управление этой группой администраторам, не являющихся службами? No

Учетная запись HelpAssistant (установленная с сеансом удаленной помощи)

Учетная запись HelpAssistant — это локальная учетная запись по умолчанию, которая включена при запуске сеанса удаленной помощи. Эта учетная запись автоматически отключается, если запросы удаленной помощи не ожидаются.

HelpAssistant — это основная учетная запись, используемая для создания сеанса удаленной помощи. Сеанс удаленной помощи используется для подключения к другому компьютеру под управлением операционной системы Windows и инициируется приглашением. Для получения удаленной помощи пользователь отправляет приглашение с своего компьютера, по электронной почте или в качестве файла человеку, который может предоставить помощь. После принятия приглашения пользователя на сеанс удаленной помощи автоматически создается учетная запись helpAssistant по умолчанию, чтобы предоставить пользователю, который предоставляет помощь ограниченному доступу к компьютеру. Учетная запись HelpAssistant управляется службой диспетчера сеанса справки для удаленного рабочего стола.

Рекомендации по безопасности HelpAssistant

Идентификаторы SID, относящиеся к учетной записи helpAssistant по умолчанию, включают:

  • SID: S-1-5-13 , отображаемое имя пользователя сервера терминала. Эта группа включает всех пользователей, которые входят на сервер с включенными службами удаленных рабочих столов. В Windows Server 2008 службы удаленных рабочих столов называются службами терминалов.
  • SID: S-1-5- -14, отображаемое имя удаленного интерактивного входа. Эта группа включает всех пользователей, подключающихся к компьютеру с помощью подключения к удаленному рабочему столу. Эта группа представляет собой подмножество интерактивной группы. Маркеры доступа, содержащие идентификатор безопасности удаленного интерактивного входа, также содержат интерактивный идентификатор БЕЗОПАСНОСТИ.

Для операционной системы Windows Server удаленный помощник является необязательным компонентом, который по умолчанию не установлен. Прежде чем использовать его, необходимо установить удаленную помощь.

Дополнительные сведения об атрибутах учетной записи HelpAssistant см. в следующей таблице:

Атрибуты учетной записи HelpAssistant
Атрибут Значение
Известный SID/RID S-1-5 —13 (пользователь сервера терминала), S-1-5- -14 (удаленный интерактивный вход)
Тип User
Контейнер по умолчанию CN=Пользователи, DC= , DC=
элементы по умолчанию; нет
Является членом по умолчанию. Гости домена
Гости
Защита через ADMINSDHOLDER? No
Безопасно ли выходить за пределы контейнера по умолчанию? Может быть перемещен, но мы не рекомендуем его.
Сейф делегировать управление этой группой администраторам, не являющихся службами? No

Учетная запись KRBTGT

Учетная запись KRBTGT — это локальная учетная запись по умолчанию, которая выступает в качестве учетной записи службы «Центр распространения ключей» (KDC). Эту учетную запись нельзя удалить, и имя учетной записи невозможно изменить. Учетная запись KRBTGT не может быть включена в Active Directory.

KRBTGT также является именем субъекта безопасности, используемого KDC для домена Windows Server, как указано RFC 4120. Учетная запись KRBTGT — это сущность субъекта безопасности KRBTGT, которая создается автоматически при создании нового домена.

Проверка подлинности Windows Server Kerberos достигается с помощью специального билета Kerberos для предоставления билета (TGT), зашифрованного симметричным ключом. Этот ключ является производным от пароля сервера или службы, к которому запрашивается доступ. Пароль TGT учетной записи KRBTGT известен только службой Kerberos. Чтобы запросить билет на сеанс, TGT должен быть представлен В KDC. TGT выдается клиенту Kerberos из KDC.

Рекомендации по обслуживанию учетной записи KRBTGT

Надежный пароль назначается учетным записям KRBTGT и учетным записям доверия автоматически. Как и любые учетные записи привилегированных служб, организации должны изменять эти пароли в обычном расписании. Пароль для учетной записи KDC используется для получения секретного ключа для шифрования и расшифровки выданных запросов TGT. Пароль для учетной записи доверия домена используется для получения ключа между областью для шифрования запросов на рефералы.

Для сброса пароля необходимо либо быть членом группы доменных Администратор, либо делегировать соответствующий орган. Кроме того, необходимо быть членом локальной группы Администратор istrators или делегировать соответствующий орган.

После сброса пароля KRBTGT убедитесь, что идентификатор события 9 в источнике событий Key-Distribution-Center (Kerberos) записывается в журнал событий Системы.

Вопросы безопасности учетной записи KRBTGT

Кроме того, рекомендуется сбросить пароль учетной записи KRBTGT, чтобы убедиться, что вновь восстановленный контроллер домена не реплика te с скомпрометированный контроллер домена. В этом случае в большом восстановлении леса, которое распространяется по нескольким расположениям, вы не можете гарантировать, что все контроллеры домена завершаются и, если они завершаются, их невозможно перезагрузить еще раз до выполнения всех соответствующих действий восстановления. После сброса учетной записи KRBTGT другой контроллер домена не может реплика te этот пароль учетной записи с помощью старого пароля.

Организация, подозревающая компрометация домена учетной записи KRBTGT, должна рассмотреть возможность использования профессиональных служб реагирования на инциденты. Влияние на восстановление владения учетной записью является доменным, трудоемким и должно выполняться в рамках более крупных усилий по восстановлению.

Пароль KRBTGT является ключом, от которого все доверие в цепочках Kerberos до. Сброс пароля KRBTGT аналогичен продлению корневого сертификата ЦС с новым ключом и немедленно не доверяет старому ключу, что приведет к почти всем последующим операциям Kerberos.

Для всех типов учетных записей (пользователей, компьютеров и служб)

  • Все уже выданные и распределенные TGT будут недействительными, так как контроллеры домена отклонят их. Эти билеты шифруются с помощью KRBTGT, чтобы любой контроллер домена смог проверить их. При изменении пароля билеты становятся недействительными.
  • Все прошедшие проверку подлинности сеансы, прошедшие вход пользователей (на основе их билетов на обслуживание) к ресурсу (например, файловый ресурс, сайт SharePoint или сервер Exchange Server), хороши, пока запрос на обслуживание не потребуется для повторной проверки подлинности.
  • Подключения, прошедшие проверку подлинности NTLM, не затрагиваются.

Так как невозможно предсказать конкретные ошибки, которые будут возникать для любого конкретного пользователя в рабочей операционной среде, необходимо предположить, что все компьютеры и пользователи будут затронуты.

Перезагрузка компьютера — единственный надежный способ восстановления функциональных возможностей, так как это приведет к повторному входу как учетной записи компьютера, так и учетным записям пользователей. Вход снова запросит новые TGT, допустимые с новым KRBTGT, что исправит любые операционные проблемы, связанные с KRBTGT на этом компьютере.

Контроллеры домена только для чтения и учетная запись KRBTGT

Windows Server 2008 представила контроллер домена только для чтения (RODC). RODC объявляется в качестве центра распространения ключей (KDC) для филиала. RODC использует другую учетную запись и пароль KRBTGT, чем KDC на контроллере домена, доступного для записи, при подписи или шифровании запросов на предоставление билетов (TGT). После успешной проверки подлинности учетной записи RODC определяет, могут ли учетные данные пользователя или учетные данные компьютера быть реплика от записываемого контроллера домена в RODC с помощью политики репликации паролей.

После кэширования учетных данных в RODC РОДC можно принять запросы на вход пользователя до изменения учетных данных. Когда TGT подписан с учетной записью KRBTGT rodC, РОДC распознает, что он имеет кэшированную копию учетных данных. Если другой контроллер домена подписывает TGT, rodC перенаправит запросы на контроллер домена, доступный для записи.

Атрибуты учетной записи KRBTGT

Дополнительные сведения об атрибутах учетной записи KRBTGT см. в следующей таблице:

Атрибут Значение
Известный SID/RID S-1-5-502
Тип User
Контейнер по умолчанию CN=Пользователи, DC= , DC=
элементы по умолчанию; нет
Является членом по умолчанию. Группа «Пользователи домена» (идентификатор основной группы всех учетных записей пользователей — «Пользователи домена»)
Защита через ADMINSDHOLDER? Да
Безопасно ли выходить за пределы контейнера по умолчанию? Может быть перемещен, но мы не рекомендуем его.
Сейф делегировать управление этой группой администраторам, не являющихся службами? No

Параметры для локальных учетных записей по умолчанию в Active Directory

Каждая локальная учетная запись по умолчанию в Active Directory имеет несколько параметров учетной записи, которые можно использовать для настройки параметров пароля и сведений о безопасности, как описано в следующей таблице:

Параметры учетной записи Description
Требовать смену пароля при следующем входе в систему Принудительно изменяет пароль при следующем входе пользователя в сеть. Используйте этот параметр, если вы хотите убедиться, что пользователь является единственным человеком, который знает свой пароль.
Пользователь не может изменить пароль Запрещает пользователю изменять пароль. Используйте этот параметр, если вы хотите сохранить контроль над учетной записью пользователя, например для гостевой или временной учетной записи.
Password never expires Предотвращает истечение срока действия учетной записи пользователя. Рекомендуется включить этот параметр с учетными записями служб и использовать надежные пароли.
Хранить пароли, используя обратимое шифрование Предоставляет поддержку приложений, использующих протоколы, требующие знания о форме обычного текста пароля пользователя для проверки подлинности.

Примечание. DES не включен по умолчанию в операционных системах Windows Server (начиная с Windows Server 2008 R2) или в клиентских операционных системах Windows (начиная с Windows 7). Для этих операционных систем компьютеры по умолчанию не будут использовать наборы шифров DES-CBC-MD5 или DES-CBC-CRC. Если для вашей среды требуется DES, этот параметр может повлиять на совместимость с клиентскими компьютерами или службами и приложениями в вашей среде.

Управление локальными учетными записями по умолчанию в Active Directory

После установки локальных учетных записей по умолчанию эти учетные записи находятся в контейнере «Пользователи» в Пользователи и компьютеры Active Directory. Вы можете создавать, отключать, сбрасывать и удалять локальные учетные записи по умолчанию с помощью Пользователи и компьютеры Active Directory консоли управления Майкрософт (MMC) и с помощью средств командной строки. Вы можете использовать Пользователи и компьютеры Active Directory для назначения прав и разрешений для указанного локального контроллера домена и только этого контроллера домена, чтобы ограничить возможность локальных пользователей и групп выполнять определенные действия. Право дает возможность пользователю выполнять на компьютере определенные действия, такие как архивирование файлов и папок или завершение работы компьютера. В отличие от этого, разрешение на доступ — это правило, связанное с объектом, обычно файлом, папкой или принтером, которое регулирует доступ пользователей к объекту и каким образом. Дополнительные сведения о создании локальных учетных записей пользователей и управлении ими в Active Directory см. в статье «Управление локальными пользователями». Вы также можете использовать Пользователи и компьютеры Active Directory на контроллере домена для целевых удаленных компьютеров, которые не являются контроллерами домена в сети. Вы можете получить рекомендации от Корпорации Майкрософт для конфигураций контроллера домена, которые можно распространять с помощью средства диспетчера соответствия требованиям безопасности (SCM). Дополнительные сведения см. в разделе Microsoft Security Compliance Manager. Некоторые учетные записи локальных пользователей по умолчанию защищены фоновым процессом, который периодически проверка и применяет определенный дескриптор безопасности, который представляет собой структуру данных, содержащую сведения о безопасности, связанные с защищенным объектом. Этот дескриптор безопасности присутствует в объекте Администратор SDHolder. Это означает, что, если требуется изменить разрешения для группы администратора службы или любой из ее учетных записей-участников, вам также необходимо изменить дескриптор безопасности в объекте Администратор SDHolder. Этот подход гарантирует, что разрешения применяются последовательно. Будьте осторожны при внесении этих изменений, так как это действие также может повлиять на параметры по умолчанию, которые применяются ко всем защищенным учетным записям администратора.

Ограничение и защита учетных записей конфиденциального домена

  • Строго ограничивает членство в группах Администратор istrator, доменных Администратор и корпоративных групп Администратор.
  • Строго контролировать, где и как используются учетные записи домена.

Учетные записи участников в группах Администратор istrator, доменных Администратор и корпоративных Администратор групп в домене или лесу являются высокоценными целями для вредоносных пользователей. Чтобы ограничить любое воздействие, рекомендуется строго ограничить членство в этих группах администраторов наименьшим числом учетных записей. Ограничение членства в этих группах снижает вероятность того, что администратор может непреднамеренно использовать эти учетные данные и создать уязвимость, которую злоумышленники могут использовать.

Кроме того, рекомендуется строго контролировать, где и как используются учетные записи конфиденциального домена. Ограничить использование учетных записей доменных Администратор и других учетных записей Администратор istrator, чтобы предотвратить их использование для входа в системы управления и рабочие станции, защищенные на том же уровне, что и управляемые системы. Если учетные записи Администратор istrator не ограничены таким образом, каждая рабочая станция, из которой администратор домена входит в систему, предоставляет другое расположение, которое злоумышленники могут использовать.

Реализация этих рекомендаций разделена на следующие задачи:

  • Отдельные учетные записи Администратор istrator от учетных записей пользователей
  • Ограничение доступа администратора к серверам и рабочим станциям
  • Отключение делегирования учетной записи для конфиденциальных учетных записей Администратор istrator

Чтобы предоставить экземпляры, в которых ожидаются проблемы интеграции с доменной средой, каждая задача описывается в соответствии с требованиями к минимальной, лучшей и идеальной реализации. Как и во всех существенных изменениях в рабочей среде, убедитесь, что перед реализацией и развертыванием этих изменений необходимо тщательно протестировать эти изменения. Затем выполните развертывание таким образом, чтобы обеспечить откат изменений, если возникают технические проблемы.

Отдельные учетные записи Администратор istrator от учетных записей пользователей

Ограничение учетных записей Администратор домена и других конфиденциальных учетных записей, чтобы предотвратить их использование для входа на более низкие серверы доверия и рабочие станции. Ограничить и защитить учетные записи Администратор istrator путем разделения учетных записей Администратор istrator от стандартных учетных записей пользователей, разделяя административные обязанности от других задач и ограничивая использование этих учетных записей. Создайте выделенные учетные записи для администраторов, которым требуются учетные данные администратора для выполнения определенных административных задач, а затем создайте отдельные учетные записи для других стандартных задач пользователей в соответствии со следующими рекомендациями:

  • Привилегированная учетная запись: выделите учетные записи Администратор istrator только для выполнения следующих административных обязанностей:
    • Минимум: создание отдельных учетных записей для администраторов домена, корпоративных администраторов или эквивалентных соответствующих прав администратора в домене или лесу. Используйте учетные записи, которые были предоставлены конфиденциальным правами администратора только для администрирования данных домена и контроллеров домена.
    • Лучше: создание отдельных учетных записей для администраторов, которые сократили права администратора администратора, например учетные записи для администраторов рабочих станций, а также учетные записи с правами пользователей на назначенные подразделения Active Directory (OUS).
    • Идеально. Создание нескольких отдельных учетных записей для администратора, у которого есть несколько обязанностей, требующих разных уровней доверия. Настройте каждую учетную запись Администратор istrator с разными правами пользователя, например для администрирования рабочих станций, администрирования сервера и домена, чтобы администратор входить в указанные рабочие станции, серверы и контроллеры домена строго на основе своих обязанностей.

    Убедитесь, что конфиденциальные учетные записи Администратор istrator не могут получать доступ к электронной почте или просматривать Интернет, как описано в следующем разделе.

    Дополнительные сведения о привилегированном доступе см. в разделе «Устройства с привилегированным доступом».

    Ограничение доступа администратора к серверам и рабочим станциям

    Рекомендуется ограничить администраторов использованием конфиденциальных учетных записей Администратор istrator для входа на серверы с низким уровнем доверия и рабочие станции. Это ограничение запрещает администраторам непреднамеренно увеличивать риск кражи учетных данных путем входа на компьютер с низким уровнем доверия.

    Убедитесь, что у вас есть локальный доступ к контроллеру домена или вы создали по крайней мере одну выделенную административную рабочую станцию.

    Ограничить доступ к серверам и рабочим станциям с низким уровнем доверия для входа с помощью следующих рекомендаций:

    • Минимальное значение. Ограничение доступа администраторов домена к серверам и рабочим станциям. Перед началом этой процедуры определите все подразделения в домене, содержащие рабочие станции и серверы. Все компьютеры в подразделениях, которые не определены, не ограничивают администраторов конфиденциальными учетными записями от входа в них.
    • Лучше: ограничить администраторов домена с серверов и рабочих станций, не являющихся контроллерами домена.
    • Идеальное значение. Ограничение входа администраторов серверов на рабочие станции в дополнение к администраторам домена.

    Для этой процедуры не свяжите учетные записи с подразделением, содержащим рабочие станции для администраторов, выполняющих только обязанности администрирования, и не предоставляйте доступ к Интернету или электронной почте.

    Ограничение администраторов домена на рабочих станциях (минимум)
    1. В качестве администратора домена откройте консоль управления групповыми политиками (GPMC).
    2. Откройте групповую политику управления, разверните \Домены\ .
    3. Щелкните правой кнопкой мыши Объекты групповой политики, а затем выберите Создать. Screenshot of the Group Policy Management console window, showing the
    4. В окне «Создать объект групповой политики» назовите объект групповой политики, ограничивающий вход администраторов на рабочие станции, а затем нажмите кнопку «ОК«. Screenshot of the
    5. Щелкните правой кнопкой мыши новый объект групповой политики и выберите пункт «Изменить«.
    6. Настройте права пользователя, чтобы запретить вход локально для администраторов домена.
    7. Выберите политики>конфигурации>компьютера Windows Параметры> Local Policies, выберите «Назначение прав пользователя» и выполните следующие действия: a. Дважды щелкните «Запретить вход в систему локально«, а затем выберите » Определить эти параметры политики». b. Выберите «Добавить пользователя или группу«, выберите «Обзор«, введите Администратор Enterprise и нажмите кнопку «ОК«. Выберите «Добавить пользователя или группу«, выберите «Обзор«, введите Администратор домена и нажмите кнопку «ОК«. Screenshot of the

    Совет При необходимости можно добавить любые группы, содержащие администраторов серверов, которым требуется ограничить вход на рабочие станции.

    Примечание. Выполнение этого шага может привести к проблемам с задачами администратора, которые выполняются в качестве запланированных задач или служб с учетными записями в группе доменных Администратор. Практика использования учетных записей Администратор istrator для выполнения служб и задач на рабочих станциях создает значительный риск кражи учетных данных, поэтому их следует заменить альтернативными средствами для выполнения запланированных задач или служб.

    d. Нажмите кнопку ОК, чтобы завершить настройку.

  • Свяжите объект групповой политики с первым подразделением рабочих станций. Перейдите в \Домены\ \OU путь, а затем выполните следующие действия: a. Щелкните правой кнопкой мыши подразделение рабочей станции и выберите «Связать существующий объект групповой политики«. Screenshot of the Group Policy Management console window, where you right-click a Workstations item and select b. Выберите только что созданный объект групповой политики и нажмите кнопку «ОК«. Screenshot of the
  • Проверьте функциональные возможности корпоративных приложений на рабочих станциях в первом подразделении и устраните все проблемы, вызванные новой политикой.
  • Свяжите все остальные подразделения, содержащие рабочие станции. Однако не создавайте ссылку на подразделение Администратор istrative workstation, если оно создано для административных рабочих станций, предназначенных только для обязанностей администрирования и не имеющих доступа к Интернету или электронной почте.

    Внимание Если позже вы расширяете это решение, не запрещайте права входа в группу «Пользователи домена». Группа «Пользователи домена» включает все учетные записи пользователей в домене, включая пользователей, доменных Администратор istratorов и корпоративных Администратор istratorов.

    Отключение делегирования учетной записи для конфиденциальных учетных записей Администратор istrator

    Хотя учетные записи пользователей по умолчанию не помечены для делегирования, учетные записи в домене Active Directory могут быть доверенными для делегирования. Это означает, что служба или компьютер, доверенный для делегирования, могут олицетворить учетную запись, которая проходит проверку подлинности для доступа к другим ресурсам в сети.

    Для конфиденциальных учетных записей, таких как принадлежащие членам Администратор istrators, доменных Администратор или корпоративных групп Администратор в Active Directory, делегирование может представлять значительный риск эскалации прав. Например, если учетная запись в группе доменных Администратор s используется для входа на скомпрометированный сервер-член, доверенный для делегирования, этот сервер может запрашивать доступ к ресурсам в контексте учетной записи доменных Администратор s, а также скомпрометировать этот сервер-член до компрометации домена.

    Рекомендуется настроить объекты пользователей для всех конфиденциальных учетных записей в Active Directory, выбрав учетную запись конфиденциальной и не удается делегировать проверка box в разделе «Параметры учетной записи», чтобы предотвратить делегирование учетных записей. Дополнительные сведения см. в разделе Параметры локальных учетных записей по умолчанию в Active Directory.

    Как и при любом изменении конфигурации, проверьте этот параметр полностью, чтобы убедиться, что он работает правильно перед реализацией.

    Screenshot of the Active Directory account properties window. The

    Защита контроллеров домена и управление ими

    Рекомендуется строго применять ограничения на контроллеры домена в вашей среде. Это гарантирует, что контроллеры домена:

    • Запустите только необходимое программное обеспечение.
    • Требовать регулярного обновления программного обеспечения.
    • Настраиваются с соответствующими параметрами безопасности.

    Одним из аспектов защиты контроллеров домена и управления ими является обеспечение полной защиты учетных записей локальных пользователей по умолчанию. Важно ограничить и защитить все учетные записи конфиденциального домена, как описано в предыдущих разделах.

    Так как контроллеры домена хранят хэши паролей учетных данных всех учетных записей в домене, они являются высокоценными целевыми объектами для вредоносных пользователей. Если контроллеры домена не являются хорошо управляемыми и защищенными с помощью ограничений, которые строго применяются, они могут быть скомпрометированы вредоносными пользователями. Например, злоумышленник может украсть учетные данные администратора конфиденциального домена из одного контроллера домена, а затем использовать эти учетные данные для атаки на домен и лес.

    Кроме того, установленные приложения и агенты управления на контроллерах домена могут предоставить путь к эскалации прав, которые злоумышленники могут использовать для компрометации службы управления или администраторов этой службы. Средства управления и службы, которые ваша организация использует для управления контроллерами домена и их администраторами, также важны для безопасности контроллеров домена и учетных записей Администратор istrator домена. Убедитесь, что эти службы и администраторы полностью защищены с равными усилиями.

    См. также

    • Субъекты безопасности
    • Обзор управления доступом

    Где хранятся учетные записи пользователей и компьютеров домена

    Учетные записи компьютеров представляют собой устройства, подключенные к AD. Они хранятся в базе данных AD после того, как их подключат к домену. Это необходимо для применения к ним различных GPO и отслеживания их обновлений, если у вас установлен WSUS. И что еще более важно, это нужно для установки безопасной аутентификации для пользователей, входящих в Windows.

    Чтобы управлять компьютерами, вам нужны права администратора домена, оператора учетной записи (Account Operators) или делегированные права на OU в котором хранятся компьютеры. Управлять можно с рабочей станции с установленными инструментами RSAT или на контроллере домена.

    Как создать учетную запись компьютера в AD

    Давайте создадим учетную запись компьютера, используя несколько методов. Эта учетная запись может быть использована для присоединения к ней устройства.

    Создание учетной записи компьютера с помощью ADUC

    Запустите ADUC (dsa.msc).

    Перейдите к OU, в которой вы хотите хранить такие объекты, щелкните правой кнопкой мыши на этой OU -> New-> Computer:

    Или вы можете сделать это, нажав на Action -> New -> Computer.

    В окне New Object – Computer введите имя компьютера и имя pre Windows 2000 в соответствии с вашей политикой именования. Выберите, какая группа может ввести эту машину в домен и нажмите OK.

    Поздравляю учетная запись компьютера создана!

    Создание учетной записи компьютера с помощью ADAC

    Запустите ADAC(dsac.exe), щелкните правой кнопкой мыши на имени домена, выберите New->Computer. Появится окно Create Computer, где вам нужно ввести имя компьютера, имя NetBIOS, в соответствии с вашей политикой именования. Укажите OU, где вы хотите хранить компьютер, нажав на Change. Вы также можете указать, какая группа может ввести этот компьютер в домен и защитить его от удаления. В конце нажмите OK.

    Создание учетной записи компьютера с помощью Cmd.exe

    Для этой задачи нам необходимо использовать dsadd.exe. Используйте следующую команду для создания объекта компьютера в Active Directory:

    dsadd.exe computer «CN=WKS033,CN=Computers,DC=office,DC=local»

    Создание учетной записи компьютера с помощью PowerShell

    Используйте следующие строки кода PowerShell для создания учетной записи компьютера с именем «WKS033» в домене office.local.

    Import-Module ActiveDirectory
    New-ADComputer -Name «WKS033″ -sAMAccountName » WKS033″ -Path «CN=Computers,DC=office,DC=local»

    Как удалить учетную запись компьютера в AD

    Важно периодически удалять старые компьютеры из домена, чтобы избежать беспорядка в отчетах WSUS и применения политик GPO. Существует несколько способов добиться этого.

    Удаление учетной записи компьютера из AD с помощью ADUC

    Запустите ADUC (dsa.msc).

    Перейдите в OU, содержащую нужные компьютеры, в меню Action выберите Find. Введите имя компьютера в поле Name и нажмите Find now. В результате поиска, щелкните правой кнопкой мыши на компьютере, который вы хотите удалить и выберете опцию Delete.

    Нажмите Yes в окне подтверждения. Если после этого вы получите следующую ошибку:

    Снова щелкните на компьютер правой кнопкой мыши, перейдите в Properties -> Object снимите флажок «“Protect object from accidental deletion» и выполните операцию удаления снова.

    Удаление учетной записи компьютера из AD с помощью ADAC

    Запустите ADAC (dsac.exe). Переключите левую панель в Tree view и выделите нужную OU. Введите имя компьютера в панели Filter и нажмите Enter. Выберите компьютер для удаления в результатах поиска, щелкните его правой кнопкой мыши и выберите Delete. Нажмите Yes для подтверждения.

    Щелкните правой кнопкой мыши на учетную запись компьютера ->Properties и снимите флажок » Protect from accidental deletion».

    После этого повторите процесс удаления.

    Удаление учетной записи компьютера из AD с помощью cmd.exe

    Для этой задачи нам понадобится dsrm.exe. Используйте его со следующими параметрами для удаления учетной записи компьютера, в нашем случае это WKS033.

    Удаление учетной записи компьютера из AD с помощью Windows PowerShell

    Эту задачу также можно легко выполнить с помощью Powershell, вот код для удаления учетной записи компьютера. В нашем примере имя компьютера WKS033

    Import-Module ActiveDirectory
    Remove-ADComputer -Identity «CN=WKS033,CN=Computers,DC=office,DC=local»

    Windows Операционные системы сервера устанавливаются с локальными учетными записями по умолчанию. Кроме того, можно создавать учетные записи пользователей, чтобы соответствовать требованиям организации. Эта справочная тема для ИТ-специалистов описывает локальные учетные записи по умолчанию Windows Server, которые хранятся локально на контроллере домена и используются в Active Directory.

    В этой справочной статье не описываются локальные учетные записи пользователей по умолчанию для одного из членов или автономных серверов или Windows клиента. Дополнительные сведения см. в местных учетных записях.

    Об этом разделе

    В этом разделе описывается следующее:

    Локальные учетные записи по умолчанию в Active Directory

    Локальные учетные записи по умолчанию — это встроенные учетные записи, которые создаются автоматически при установке контроллера Windows Server и создания домена. Эти локальные учетные записи по умолчанию имеют аналоги в Active Directory. Эти учетные записи также имеют доступ к домену и полностью отделены от локальных учетных записей пользователей по умолчанию для отдельного или отдельного сервера.

    Вы можете назначить права и разрешения для локальных учетных записей по умолчанию на определенном контроллере домена и только на этом контроллере домена. Эти учетные записи являются локальными для домена. После установки локальных учетных записей по умолчанию они хранятся в контейнере Пользователи в active Directory Users and Computers. Лучше всего хранить локальные учетные записи по умолчанию в контейнере Пользователя и не пытаться переместить эти учетные записи, например, в другое организационное подразделение (OU).

    Локальные учетные записи в контейнере Пользователей по умолчанию включают: Администратор, Гость и KRBTGT. Учетная запись HelpAssistant устанавливается при установке сеанса удаленной помощи. В следующих разделах описываются локальные учетные записи по умолчанию и их использование в Active Directory.

    В основном локальные учетные записи по умолчанию делают следующее:

    Позвольте домену представлять, идентифицировать и проверить подлинность удостоверения пользователя, назначенного учетной записи с помощью уникальных учетных данных (имя пользователя и пароль). Для обеспечения максимальной безопасности лучше назначить каждого пользователя одной учетной записи. Нескольким пользователям не разрешается делиться одной учетной записью. Учетная запись пользователя позволяет пользователю войти в компьютеры, сети и домены с уникальным идентификатором, который может быть аутентификацией компьютера, сети или домена.

    Авторизуйте (предоставляете или отказывайте) доступ к ресурсам. После проверки подлинности учетных данных пользователя пользователь получает право на доступ к сетевым и доменным ресурсам на основе явно за присвоенных пользователем прав на ресурс.

    Аудит действий, которые осуществляются в учетной записи пользователя.

    В Active Directory локальные учетные записи по умолчанию используются администраторами для управления доменными и серверами-членами непосредственно и с выделенных административных рабочих станций. Учетные записи Active Directory предоставляют доступ к сетевым ресурсам. Учетные записи пользователей Active Directory и Computer могут представлять физическое лицо, например компьютер или лицо, или выступать в качестве специальных учетных записей служб для некоторых приложений.

    Каждая локализованная учетная запись по умолчанию автоматически присваивается группе безопасности, которая предварительно назначена с соответствующими правами и разрешениями для выполнения определенных задач. Группы безопасности Active Directory собирают учетные записи пользователей, учетные записи компьютеров и другие группы в управляемые подразделения. Дополнительные сведения см. в группе безопасности Active Directory.

    В контроллере домена Active Directory каждая локализованная учетная запись по умолчанию называется основной службой безопасности. Принцип безопасности — это объект каталога, который используется для обеспечения безопасности и управления службами Active Directory, которые предоставляют доступ к ресурсам контроллера домена. Принцип безопасности включает такие объекты, как учетные записи пользователей, учетные записи компьютеров, группы безопасности или потоки или процессы, которые работают в контексте безопасности учетной записи пользователя или компьютера. Дополнительные сведения см. в дополнительных сведениях.

    Директор по безопасности представлен уникальным идентификатором безопасности (SID). В разделах ниже описаны СИД, связанные с каждой из локальных учетных записей по умолчанию в Active Directory.

    Некоторые локальные учетные записи по умолчанию защищены фоновой процедурой, которая периодически проверяет и применяет определенный дескриптор безопасности. Дескриптор безопасности — это структура данных, которая содержит сведения о безопасности, связанные с защищенным объектом. Этот процесс гарантирует, что любая успешная несанкционированная попытка изменить дескриптор безопасности в одной из локальных учетных записей или групп по умолчанию перезаписывается с защищенными настройками.

    Этот дескриптор безопасности присутствует на объекте AdminSDHolder. Если требуется изменить разрешения в одной из групп администраторов службы или в любой из учетных записей ее членов, необходимо изменить дескриптор безопасности объекта AdminSDHolder, чтобы обеспечить его последовательное использование. Будьте осторожны при внесении этих изменений, так как вы также изменяете параметры по умолчанию, которые применяются к всем защищенным учетным записям.

    Учетная запись администратора

    Учетная запись администратора — это учетная запись по умолчанию, используемая во всех версиях Windows на каждом компьютере и устройстве. Учетная запись администратора используется системным администратором для задач, которые требуют административных учетных данных. Эта учетная запись не может быть удалена или заблокирована, но ее можно переименовать или отключить.

    Учетная запись администратора предоставляет пользователю полный доступ к файлам, каталогам, службам и другим ресурсам, которые находятся на локальном сервере. Учетная запись администратора может использоваться для создания локальных пользователей и назначения прав пользователей и разрешений на управление доступом. Администратор также может использовать для управления локальными ресурсами в любое время, просто изменив права и разрешения пользователей. Несмотря на то, что файлы и каталоги могут быть временно защищены от учетной записи администратора, учетная запись администратора может в любое время контролировать эти ресурсы, изменяя разрешения на доступ.

    Членство в группе учетных записей

    Учетная запись Администратора имеет членство в группах безопасности по умолчанию, как описано в таблице атрибутов учетной записи администратора, позднее в этом разделе.

    Группы безопасности гарантируют, что вы можете управлять правами администратора, не меняя каждую учетную запись администратора. В большинстве случаев не нужно менять основные параметры этой учетной записи. Однако может потребоваться изменить его расширенные параметры, например членство в определенных группах.

    После установки операционной системы сервера первой задачей является безопасное настройка свойств учетной записи администратора. Это включает настройку особо длинного и прочного пароля и обеспечение безопасности параметров профилей удаленного управления и служб удаленного рабочего стола.

    Учетная запись администратора также может быть отключена, если она не требуется. Переименование или отключение учетной записи администратора затрудняет попытку злоумышленников получить доступ к учетной записи. Однако даже если учетная запись администратора отключена, ее можно использовать для получения доступа к контроллеру домена с помощью безопасного режима.

    На контроллере домена учетная запись администратора становится учетной записью администратора домена. Учетная запись администратора домена используется для входов в контроллер домена, и для этой учетной записи требуется надежный пароль. Учетная запись администратора домена предоставляет доступ к ресурсам домена.

    Примечание.
    При начальной установке контроллера домена можно войти и использовать Диспетчер сервера для установки учетной записи локального администратора с правами и разрешениями, которые необходимо назначить. Например, при первой установке можно использовать учетную запись локального администратора для управления операционной системой. С помощью этого подхода можно настроить операционную систему без блокировки. Как правило, вам не нужно использовать учетную запись после установки. Создать локальные учетные записи пользователей на контроллере домена можно только до установки служб домена Active Directory, а не после этого.

    При установке Active Directory на первом контроллере домена в домене создается учетная запись администратора для Active Directory. Учетная запись администратора — это самая мощная учетная запись в домене. Ему дается доступ на всем домене и административные права для администрирования компьютера и домена, и он обладает самыми обширными правами и разрешениями над доменом. Человек, устанавливавший службы домена Active Directory на компьютере, создает пароль для этой учетной записи во время установки.

    Одна из важнейших задач администратора – управление локальными и доменными учетными записями: аудит, квотирование и разграничение прав пользователей в зависимости от их потребностей и политики компании. Что может предложить в этом плане Active Directory?

    В продолжение цикла статей об Active Directory сегодня мы поговорим о центральном звене в процессе администрирования – управлении пользовательскими учетными данными в рамках домена. Нами будет рассмотрено:

    • создание учетных записей и управление ими;
    • типы профилей пользователей и их применение;
    • группы безопасности в доменах AD и их сочетания.

    В конечном итоге вы сможете применить эти материалы для построения рабочей инфраструктуры либо доработки существующей, которая будет отвечать вашим требованиям.

    Забегая вперед, скажу, что тема тесно связана с применением групповых политик для административных целей. Но вследствие обширности материала, посвященного им, она будет раскрыта в рамках следующей статьи.

    Знакомство с Active Directory – Users and Computers

    После того как вы установили свой первый контроллер в домене (тем самым вы собственно и организовали домен), в разделе «Администрирование» появляется пять новых элементов (см. рис. 1).

    Рисунок 1. Новые элементы для администрирования домена

    Для управления объектами AD используется Active Directory – Пользователи и компьютеры (ADUC – AD Users and Computers, см. рис. 2), которая также может быть вызвана через меню «Выполнить» посредством DSA.MSC.

    Рисунок 2. Active Directory — Users and Computers

    С помощью ADUC можно создавать и удалять пользователей, назначать сценарии входа для учетной записи, управлять членством в группах и групповыми политиками.

    Существует также возможность для управления объектами AD без обращения к серверу напрямую. Ее обеспечивает пакет ADMINPAK.MSI, расположенный в директории «%SYSTEM_DRIVE%\Windows\system32». Развернув его на своей машине и наделив себя правами администратора домена (если таковых не было), вы сможете администрировать домен.

    При открытии ADUC мы увидим ветку нашего домена, содержащую пять контейнеров и организационных единиц.

    • Builtin. Здесь содержатся встроенные локальные группы, которые есть на любой серверной машине, включая и контроллеры домена.
    • Users и Computers. Это контейнеры, в которые по умолчанию размещаются пользователи, группы и учетные записи компьютеров при установке системы поверх Windows NT. Но для создания и хранения новых учетных записей нет необходимости пользоваться только этими контейнерами, пользователя можно создать даже в контейнере домена. При включении компьютера в домен он появляется именно в контейнере Computers.
    • Domain Controllers. Это организационная единица (OU, Organizational Unit), содержащая по умолчанию контроллеры домена. При создании нового контроллера он появляется здесь.
    • ForeignSecurityPrincipals. Это контейнер по умолчанию для объектов из внешних доверяемых доменов.

    Важно помнить, что объекты групповых политик привязываются исключительно к домену, OU или сайту. Это нужно учитывать при создании административной иерархии вашего домена.

    Вводим компьютер в домен

    Процедура выполняется непосредственно на локальной машине, которую мы хотим подключить.

    Выбираем «Мой компьютер -> Свойства -> Имя компьютера», нажимаем кнопку «Изменить» и в меню «Является членом» выбираем «домена». Вводим имя домена, в который мы хотим добавить наш компьютер, и далее доказываем, что у нас есть права на добавление рабочих станций к домену, введя аутентификационные данные администратора домена.

    Создаем пользователя домена

    Для создания пользователя нужно выбрать любой контейнер, в котором он будет располагаться, нажать на нем правой кнопкой мыши и выбрать «Создать -> Пользователь». Откроется мастер создания пользователя. Здесь вы сможете указать множество его атрибутов, начиная с имени пользователя и временными рамками входа в домен и заканчивая настройками для терминальных служб и удаленного доступа. По завершении работы мастера вы получите нового пользователя домена.

    Нужно заметить, что в процессе создания пользователя система может «ругаться» на недостаточную сложность пароля или его краткость. Смягчить требования можно, открыв «Политику безопасности домена» (Default Domain Security Settings) и далее «Параметры безопасности -> Политики учетных записей -> Политика паролей».

    Пусть мы создали пользователя Иван Иванов в контейнере Users (User Logon Name: ivanov@HQ.local). Если в системах NT 4 это имя играло лишь роль украшения, то в AD оно является частью имени в формате LDAP, которое целиком выглядит так:

    cn=»Иван Иванов», cn=»Users», dc=»hq», dc=»local»

    Здесь cn – container name, dc – domain component. Описания объектов в формате LDAP используются для выполнения сценариев WSH (Windows Script Hosts) либо для программ, использующих протокол LDAP для связи с Active Directory.

    Для входа в домен Иван Иванов должен будет использовать имя в формате UPN (Universal Principal Name): ivanov@hq.local. Также в доменах AD будет понятно написание имени в старом формате NT 4 (пред Win2000), в нашем случае HQ\Ivanov.

    При создании учетной записи пользователя ей автоматически присваивается идентификатор защиты (SID, Security Identifier) – уникальный номер, по которому система и определяет пользователей. Это очень важно понимать, так как при удалении учетной записи удаляется и ее SID и никогда не используется повторно. А каждая новая учетная запись будет иметь свой новый SID, именно поэтому она не сможет получить права и привилегии старой.

    Учетную запись можно переместить в другой контейнер или OU, отключить или, наоборот, включить, копировать или поменять пароль. Копирование часто применяется для создания нескольких пользователей с одинаковыми параметрами.

    Рабочая среда пользователя

    Учетные данные, хранящиеся централизованно на сервере, позволяют пользователям однозначно идентифицировать себя в домене и получать соответствующие права и доступ к рабочей среде. Все операционные системы семейства Windows NT используют для создания рабочего окружения на клиентской машине профиль пользователя.

    Рассмотрим основные составляющие профиля пользователя:

    • Раздел реестра, соответствующий определенному пользователю («улей» или «hive»). Фактически данные этой ветки реестра хранятся в файле NTUSER.DAT. Он располагается в папке %SYSTEMDRIVE%\Documents and Settings\User_name, которая содержит профиль пользователя. Таким образом, при входе конкретного пользователя в систему в раздел реестра HKEY_CURRENT_USER загружается «улей» NTUSER.DAT из папки, содержащей его профиль. И все изменения настроек пользовательской среды за сеанс будут сохраняться именно в этот «улей». Файл NTUSER.DAT.LOG – это журнал транзакций, который существует для защиты файла NTUSER.DAT. Однако для пользователя Default User вы вряд ли его найдете, поскольку он является шаблоном. Об этом далее. Администратор имеет возможность редактировать «улей» определенного пользователя прямо из своей рабочей среды. Для этого с помощью редактора реестра REGEDIT32 он должен загрузить «улей» в раздел HKEY_USERS, а затем после внесения изменений выгрузить его.
    • Папки файловой системы, содержащие файлы пользовательских настроек. Они располагаются в специальном каталоге %SYSTEMDRIVE%\Documents and Settings\User_name, где User_name – имя пользователя, вошедшего в систему. Здесь хранятся элементы рабочего стола, элементы автозагрузки, документы и др.

    Если пользователь впервые входит в систему, происходит следующее:

    1. Система проверяет, существует ли локальный профиль этого пользователя.
    2. Не найдя его, система обращается к контроллеру домена в поиске доменного профиля по умолчанию, который должен располагаться в папке Default User на общем ресурсе NETLOGON; если система обнаружила этот профиль, он копируется локально на машину в папку %SYSTEMDRIVE%\Documents and Settings с именем пользователя, в противном случае он копируется из локальной папки %SYSTEMDRIVE%\Documents and Settings\Default User.
    3. В раздел реестра HKEY_CURRENT_USER загружается пользовательский «улей».
    4. При выходе из системы все изменения сохраняются локально.

    В конечном итоге рабочее окружение пользователя – это объединение его рабочего профиля и профиля All Users, в котором находятся общие для всех пользователей данной машины настройки.

    Теперь несколько слов о создании профиля по умолчанию для домена. Создайте фиктивный профиль на своей машине, настройте его в соответствии с вашими нуждами либо с требованиями корпоративной политики. Затем выйдите из системы и снова зайдите как администратор домена. На общем ресурсе NETLOGON-сервера создайте папку Default User. Далее при помощи вкладки User Profiles в апплете System (см. рис. 3) скопируйте ваш профиль в эту папку и предоставьте права на ее использование группе Domain Users или какой-либо другой подходящей группе безопасности. Все, профиль по умолчанию для вашего домена создан.

    Рисунок 3. Вкладка «User Profiles» апплета System

    Active Directory как гибкая и масштабируемая технология позволяет работать в среде вашего предприятия с перемещаемыми профилями, которые мы рассмотрим далее.

    Одновременно с этим будет уместным рассказать о перенаправлении папок как одной из возможностей технологии IntelliMirror для обеспечения отказоустойчивости и централизованного хранения пользовательских данных.

    Перемещаемые профили хранятся на сервере. Путь к ним указывается в настройках пользователя домена (см. рис. 4).

    Рисунок 4. Здесь указывается путь к перемещаемому профилю

    При желании можно указать перемещаемые профили для нескольких пользователей одновременно, выделив нескольких пользователей, и в свойствах во вкладке «Профиль» указать %USERNAME% вместо папки с именем пользователя (см. рис. 5).

    Рисунок 5. Путь к перемещаемым профилям нескольких пользователей

    Процесс первого входа в систему пользователя, обладающего перемещаемым профилем, сродни описанному выше для локального, за некоторым исключением.

    Во-первых, раз путь к профилю в объекте пользователя указан, система проверяет наличие кэшированной локальной копии профиля на машине, далее все, как было описано.

    Во-вторых, по завершении работы все изменения копируются на сервер, и если групповыми политиками не указано удалять локальную копию, сохраняются на данной машине. Если же пользователь уже имел локальную копию профиля, то серверная и локальная копии профиля сравниваются, и происходит их объединение.

    Технология IntelliMirror в системах Windows последних версий позволяет осуществлять перенаправление определенных папок пользователей, таких как «Мои документы», «Мои рисунки» и др., на сетевой ресурс.

    Таким образом, для пользователя все проведенные изменения будут абсолютно прозрачны. Сохраняя документы в папку «Мои документы», которая заведомо будет перенаправлена на сетевой ресурс, он даже и не будет подозревать о том, что все сохраняется на сервер.

    Настроить перенаправление можно как вручную для каждого пользователя, так и при помощи групповых политик.

    В первом случае нужно кликнуть на иконке «Мои документы» на рабочем столе либо в меню «Пуск» правой кнопкой мыши и выбрать свойства. Дальше все предельно просто.

    Во-втором случае нужно открыть групповую политику OU или домена, для которых мы хотим применить перенаправление, и раскрыть иерархию «Конфигурация пользователя ‑> Конфигурация Windows» (см. рис. 6). Далее перенаправление настраивается либо для всех пользователей, либо для определенных групп безопасности OU или домена, к которым эта групповая политика будет применяться.

    Рисунок 6. Настройка перенаправления папок при помощи групповых политик

    Используя перенаправление папок к работе с перемещаемыми профилями пользователей, можно добиться, например, уменьшения времени загрузки профиля. Это при условии того, что перемещаемый профиль загружается всегда с сервера без использования локальной копии.

    Рассказ о технологии перенаправления папок был бы неполон без упоминания об автономных файлах. Они позволяют пользователям работать с документами даже при отсутствии подключения к сети. Синхронизация с серверными копиями документов происходит при следующем подключении компьютера к сети. Такая схема организации будет полезна, например, пользователям ноутбуков, работающих как в рамках локальной сети, так и дома.

    К недостаткам перемещаемых профилей можно отнести следующее:

    • может возникнуть ситуация, когда, например, на рабочем столе пользователя будут существовать ярлыки некоторых программ, а на другой машине, где захочет поработать обладатель перемещаемого профиля таких программ не установлено, соответственно часть ярлыков не будет работать;
    • многие пользователи имеют привычку хранить документы, а также фотографии и даже видео на рабочем столе, в результате при загрузке перемещаемого профиля с сервера каждый раз создается дополнительный трафик в сети, а сам профиль загружается очень долго; для решения проблемы используйте разрешения NTFS, чтобы ограничить сохранение «мусора» на рабочем столе;
    • каждый раз, когда пользователь входит в систему, для него создается локальный профиль (точнее, профиль с сервера копируется локально), и если меняет рабочие машины, то на каждой из них остается такой «мусор»; этого можно избежать, настроив определенным образом групповые политики («Конфигурация компьютера -> Административные шаблоны -> System -> User Profiles», политика «Delete cached copies of roaming profiles»).

    Введение уже существующего пользователя в домен

    Зачастую при внедрении службы каталогов в уже существующей сети на базе рабочих групп возникает вопрос о введении пользователя в домен без потери настроек его рабочей среды. Этого можно добиться, используя перемещаемые профили.

    Создайте на общем сетевом ресурсе (например, Profiles) на сервере папку с именем пользователя и задайте для нее разрешения на запись для группы Everyone. Пусть она называется HQUser, а полный путь к ней выглядит так: \\Server\Profiles\HQUser.

    Создайте пользователя домена, который будет соответствовать пользователю вашей локальной сети, и в качестве пути к профилю укажите \\Server\Profiles\HQUser.

    На компьютере, содержащем локальный профиль нашего пользователя, нужно войти под учетной записью администратора и при помощи вкладки User Profiles апплета System скопировать его в папку \\Server\Profiles\HQUser.

    Нетрудно понять, что при следующем входе в систему под новой доменной учетной записью наш пользователь загрузит свой рабочий профиль с сервера, и администратору останется лишь решить, оставить этот профиль перемещаемым либо сделать локальным.

    Очень часто пользователи загружают ненужной информацией сетевые диски. Чтобы избежать постоянных просьб почистить свои личные папки от ненужного мусора (почему-то он всегда оказывается нужным), можно использовать механизм квотирования. Начиная с Windows 2000 это можно делать стандартными средствами на томах NTFS.

    Для включения механизма квотирования и его настройки нужно зайти в свойства локального тома и открыть вкладку «Квота» (Quota) (см. рис. 7).

    Рисунок 7. Включение дисковых квот

    Далее помечаем «Включить управление квотами» и настраиваем дисковые квоты по умолчанию для всех пользователей, записывающих информацию на этот том.

    Также можно посмотреть данные о занимаемом пространстве на диске и настроить квоты отдельно для каждого пользователя (см. рис. 8). Система подсчитывает занимаемое место на диске, основываясь на данных о владельце объектов, суммируя объем принадлежащих ему файлов и папок.

    Рисунок 8. Управление дисковыми квотами для отдельных пользователей домена

    Группы пользователей в AD

    Управление пользователями в рамках домена – задача несложная. Но когда нужно настроить доступ к определенным ресурсам для нескольких десятков (а то и сотен) пользователей, на раздачу прав доступа может уйти уйма времени.

    А если возникает необходимость тонко разграничить права участникам нескольких доменов в рамках дерева или леса, перед администратором встает задача сродни задачам из теории множеств. На помощь здесь приходит использование групп.

    Основная характеристика групп, встречающихся в рамках домена, была дана в прошлой статье [1], посвященной архитектуре службы каталогов.

    Напомню, что локальные группы домена могут включать пользователей своего домена и других доменов в лесу, но область ее действия ограничивается доменом, которому она принадлежит.

    Глобальные группы могут включать в себя только пользователей своего домена, но есть возможность их использования для предоставления доступа к ресурсам как в рамках своего, так и другого домена в лесу.

    Универсальные группы, соответствуя своему названию, могут содержать пользователей из любого домена и использоваться также для предоставления доступа в рамках всего леса. Не важно, в рамках какого домена универсальная группа будет создана, единственное, стоит учитывать, что при ее перемещении права доступа будут теряться и их необходимо будет переназначить заново.

    Чтобы понять описанное выше и основные принципы вложенности групп, рассмотрим пример. Пусть у нас есть лес, содержащий два домена HQ.local и SD.local (какой из них корневой в данном случае, не важно). Каждый из доменов содержит ресурсы, к которым нужно предоставить доступ, и пользователей (см. рис. 9).

    Рисунок 9. Предоставление доступа на основе групп

    Из рис. 9 видно, что к ресурсам Docs и Distrib должны иметь доступ все пользователи в лесу (зеленые и красные линии), поэтому мы можем создать универсальную группу, содержащую пользователей из обоих доменов, и использовать ее при указании разрешений на доступ к обоим ресурсам. Либо мы можем создать две глобальные группы в каждом домене, которые будут содержать пользователей только своего домена, и включить их в универсальную группу. Любую из этих глобальных групп также можно использовать для назначения прав.

    Доступ к каталогу Base должны иметь пользователи только из домена HQ.local (синие линии), поэтому мы включим их в локальную доменную группу, и этой группе предоставим доступ.

    Каталогом Distrib будут иметь право пользоваться как члены домена HQ.local, так и члены домена SD.local (оранжевые линии на рис. 9). Поэтому пользователей Manager и Salary мы можем добавить в глобальную группу домена HQ.local, а затем эту группу добавить в локальную группу домена SD.local вместе с пользователем IT. Затем этой локальной группе и предоставить доступ к ресурсу Distrib.

    Сейчас мы рассмотрим вложенность этих групп подробнее и рассмотрим еще один тип групп – встроенные локальные доменные группы.

    В таблице показано, какие группы в какие могут быть вложены. Здесь по горизонтали расположены группы, в которые вкладываются группы, расположенные по вертикали. Плюс означает, что один вид групп может быть вложен в другой, минус – нет.

    На каком-то ресурсе в Интернете, посвященном сертификационным экзаменам Microsoft, я увидел упоминание о такой формуле – AGUDLP, что значит: учетные записи (Account) помещаются в глобальные группы (Global), которые помещаются в универсальные (Universal), которые помещаются в локальные доменные группы (Domain Local), к которым и применяются разрешения (Permissions). Эта формула в полной мере описывает возможность вложенности. Следует добавить, что все эти виды могут быть вложены в локальные группы отдельно взятой машины (локальные доменные исключительно в рамках своего домена).

    Учетные записи ( accounts ) пользователей, компьютеров и групп — один из главных элементов управления доступом к сетевым ресурсам, а значит, и всей системы безопасности сети в целом.

    В среде Windows 2003 Active Directory существует 3 главных типа пользовательских учетных записей:

    • Локальные учетные записи пользователей. Эти учетные записи существуют в локальной базе данных SAM ( Security Accounts Manager ) на каждой системе, работающей под управлением Windows 2003. Эти учетные записи создаются с использованием инструмента Local Users and Groups ( Локальные пользователи и группы ) консоли Computer Management ( Управление компьютером ). Заметим, что для входа в систему по локальной учетной записи, эта учетная запись обязательно должна присутствовать в базе данных SAM на системе, в которую вы пытаетесь войти. Это делает локальные учетные записи непрактичными для больших сетей, вследствие больших накладных расходов по их администрированию.
    • Учетные записи пользователей домена. Эти учетные записи хранятся в Active Directory и могут использоваться для входа в систему и доступа к ресурсам по всему лесу AD. Учетные записи этого типа создаются централизованно при помощи консоли » Active Directory Users and Computers » (» Active Directory – пользователи и компьютеры «).
    • Встроенные учетные записи. Эти учетные записи создаются самой системой и не могут быть удалены. По умолчанию любая система, будь то изолированная (отдельно стоящая) или входящая в домен, создает две учетные записи – Administrator ( Администратор ) и Guest ( Гость ). По умолчанию учетная запись Гость отключена.

    Сосредоточим свое внимание на учетных записях пользователей домена. Эти учетные записи хранятся на контроллерах домена, хранящих копию базы данных Active Directory.

    Существуют различные форматы, в которых могут быть представлены имена для входа пользователей в систему, потому что они могут отличаться для целей совместимости с клиентами, работающими под управлением более ранних версий Windows (такими как 95, 98, NT). Два основных вида имен входа — это с использованием суффикса User Principal Name ( основного имени пользователя ) и имя входа пользователя в системах пред-Windows 2000.

    Основное имя пользователя ( UPN, User Principle Name ) имеет такой же формат, как и электронный адрес. Он включает в себя имя входа пользователя, затем значок » @ » и имя домена. По умолчанию доменное имя корневого домена выделено в выпадающем окне меню, независимо от того, в каком домене учетная запись была создана (выпадающий список будет также содержать имя домена, в котором вы создали эту учетную запись).

    Также можно создавать дополнительные доменные суффиксы (та часть имени, которая стоит после знака @ ), которые будут появляться в выпадающем списке и могут быть использованы при образовании UPN, если вы их выберете (это делается при помощи консоли » Active Directory – домены и доверие » (» Active Directory Domain and Trusts «).

    Существует только одно обязательное условие при этом — все UPN в лесу должны быть уникальными (т.е. не повторяться). Если учетная запись входа пользователя использует UPN для входа в систему Windows 2003, вам необходимо только указать UPN и пароль — более нет нужды помнить и указывать доменное имя. Другое преимущество данной системы именования состоит в том, что UPN часто соответствует электронному адресу пользователя, что опять уменьшает количество информации о пользователе, которую необходимо запоминать.

    Локальные учетные записи

    Каждый компьютер с операционными системами Windows NT/2000/XP/2003 (если это не сервер, являющийся контроллером домена) имеет локальную базу данных учетных записей, называемую базой данных SAM. Эти БД обсуждались при описании модели безопасности «Рабочая группа». Локальные пользователи и особенно группы используются при назначении прав доступа к ресурсам конкретного компьютера даже в доменной модели безопасности. Общие правила использования локальных и доменных групп для управления доступом будут описаны ниже.

    Управление доменными учетными записями пользователей

    Доменные учетные записи пользователей (а также компьютеров и групп) хранятся в специальных контейнерах AD. Это могут быть либо стандартные контейнеры Users для пользователей и Computers для компьютеров, либо созданное администратором Организационное подразделение (ОП). Исключение составляют учетные записи контроллеров домена, они всегда хранятся в ОП с названием Domain Controllers.

    Рассмотрим на примерах процесс создания учетных записей пользователей в БД Active Directory и разберем основные свойства доменных учетных записей. Учетные записи для компьютеров создаются в процессе включения компьютера в домен.

    Создание доменной учетной записи
    1. Откроем административную консоль » Active Directory – пользователи и компьютеры «.
    2. Щелкнем правой кнопкой мыши на контейнере, в котором будем создавать учетную запись, выберем в меню команду » Создать » и далее — » Пользователь «.
    3. Заполним поля » Имя «, » Фамилия «, например, » Иван » и » Иванов » (в английской версии — First Name, Last Name ), поле » Полное имя » ( Full Name ) заполнится само.
    4. Введем » Имя входа пользователя » ( User logon name ), например, User1. К этому имени автоматически приписывается часть вида » @ «, в нашем примере — » @world.ru » (полученное имя должно быть уникальным в масштабах леса).
    5. В процессе формирования имени входа автоматически заполняется » Имя входа пользователя (пред-Windows 2000) » ( User logon name (pre- Windows 2000) ), создаваемое для совместимости с прежними версиями Windows (данное имя должно быть уникально в масштабе домена). В каждой организации должны быть разработаны схемы именования пользователей (по имени, фамилии, инициалам, должности, подразделению и т.д.) В нашем примере получится имя » WORLD\User1 «. Нажмем кнопку » Далее » (рис. 6.43):
    • Требовать смену пароля при следующем входе в систему (полезно в случае, когда администратор назначает пользователю начальный пароль, а затем пользователь сам выбирает пароль, известный только ему);
    • Запретить смену пароля пользователем (полезно и даже необходимо для учетных записей различных системных служб);
    • Срок действия пароля не ограничен (тоже используется для паролей учетных записей служб, чтобы политики домена не повлияли на функционирование этих служб, данный параметр имеет более высокий приоритет по сравнению с политиками безопасности);
    • Отключить учетную запись.

    Нажмем кнопку » Далее » (рис. 6.44):

    Внимание! В упражнениях лабораторных работ дается задание настроить политики, которые сильно понижают уровень требований к паролям и полномочиям пользователей:

    • отключается требование сложности паролей,
    • устанавливается минимальная длина пароля, равная 0 (т.е. пароль может быть пустым),
    • устанавливается минимальный срок действия паролей 0 дней (т.е. пользователь может в любой момент сменить пароль),
    • устанавливается история хранения паролей, равная 0 (т.е. при смене пароля система не проверяет историю ранее используемых паролей),
    • группе «Пользователи» дается право локального входа на контроллеры домена.

    Данные политики устанавливаются исключительно для удобства выполнения упражнений, которые необходимо выполнять с правами простых пользователей на серверах-контроллерах домена. В реальной практике администрирования такие слабые параметры безопасности ни в коем случае устанавливать нельзя, требования к паролям и правам пользователей должны быть очень жесткими (политики безопасности обсуждаются далее в этом разделе).

    Правила выбора символов для создания пароля:

    И еще одно правило безопасности — регулярная смена пароля (частота смены зависит от требований безопасности в каждой конкретной компании или организации). В доменах Windows существует политика, определяющая срок действия паролей пользователей.

    Обзор свойств учетных записей пользователей

    Свойства учетной записи пользователя содержат большой набор различных параметров, размещенных на нескольких закладках при просмотре в консоли » Active Directory – пользователи и компьютеры «, причем при установке различных программных продуктов набор свойств может расширяться.

    Рассмотрим наиболее важные с точки зрения администрирования свойства.

    Откроем консоль » Active Directory – пользователи и компьютеры » и посмотрим свойства только что созданного нами пользователя.

    Закладка » Общие «. На данной закладке содержатся в основном справочные данные, которые могут быть очень полезны при поиске пользователей в лесу AD. Наиболее интересные из них:

    • » Имя «
    • » Фамилия «
    • » Выводимое имя «
    • » Описание «
    • » Номер телефона «
    • » Электронная почта «

    Закладка » Адрес » — справочная информация для поиска в AD.

    Закладка » Учетная запись » — очень важный набор параметров (параметры » Имя входа пользователя » и » Имя входа пользователя (пред-Windows 2000) » обсуждались выше при создании пользователя):

    Закладки » Телефоны «, » Организация » — справочная информация о пользователе для поиска в AD.

    Закладка » Профиль «

    Профиль ( profile ) — это настройки рабочей среды пользователя. Профиль содержит: настройки рабочего стола (цвет, разрешение экрана, фоновый рисунок), настройки просмотра папок компьютера, настройки обозревателя Интернета и других программ (например, размещение папок для программ семейства Microsoft Office). Профиль автоматически создается для каждого пользователя при первом входе на компьютер. Различают следующие виды профилей:

    • локальные — хранятся в папке » Documents and Settings » на том разделе диска, где установлена операционная система;
    • перемещаемые (сетевые, или roaming ) — хранятся на сервере в папке общего доступа, загружаются в сеанс пользователя на любом компьютере, с которого пользователь вошел (зарегистрировался) в домен, давая возможность пользователю иметь одинаковую рабочую среду на любом компьютере (путь к папке с профилем указывается на данной закладке в виде адреса \\server\share\%username% , где server — имя сервера, share — имя папки общего доступа, %username% — имя папки с профилем; использование переменной среды системы Windows с названием %username% позволяет задавать имя папки с профилем, совпадающее с именем пользователя);
    • обязательные ( mandatory ) — настройки данного типа профиля пользователь может изменить только в текущем сеансе работы в Windows, при выходе из системы изменения не сохраняются.

    Закладка » Член групп » — позволяет управлять списком групп, в которые входит данный пользователь.

    Управление доступом пользователя в корпоративную систему через средства удаленного доступа системы Windows Server (например, через модем или VPN-соединение). В смешанном режиме домена Windows доступны только варианты » Разрешить доступ » и » Запретить доступ «, а также параметры обратного дозвона (» Ответный вызов сервера «). В режимах » Windows 2000 основной » и » Windows 2003 » доступом можно управлять с помощью политик сервера удаленного доступа (не надо путать с групповыми политиками). Подробнее данный вопрос обсуждается в разделе, посвященном средствам удаленного доступа.

    Закладки » Профиль служб терминалов «, » Среда «, » Сеансы «, » Удаленное управление » — данные закладки управляют параметрами работы пользователя на сервере терминалов:

    Читайте также:

    • Offset explorer что это
    • Как выделить несколько сообщений в телеграм на компьютере
    • Days gone ps4 сколько фпс
    • Как сделать вилку в 3д макс
    • Freq на моноблоке что это

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *