1

Module 6: Creating and

Managing User

Accounts

Introduction to User Accounts

Domain User Accounts

Umožní uživatelům přihlášení do domény a získat

přístup k síťovým zdrojům

Obsažen v databázi Active Directory

Local User Accounts

Umožní uživatelům přihlášení a přístup ke zdrojům

daného počítače

Obsažen v databázi SAM - součást registrů

Built-in User Accounts

Umožní uživatelům provádět administrativní úkony nebo

dočasný přístup k síťovým zdrojům

Obsažen v SAM (local built-in user accounts)

Obsažen v Active Directory (domain built-in user

accounts)

Administrator

and Guest

2

Naming Conventions

User Logon Names and Full Names Must Be Unique

User Logon Names:

Can contain up to 20 characters

Can include a combination of special alphanumeric characters

Password Guidelines

Assign a Password for the Administrator Account

doporučení – min 15 znaků

Determine Who Has Control over Passwords

Educate Users on How to Use Passwords

nepoužívat jména, příjmení, přezdívky, datumy nar., rodná č.

použít dlouhá hesla (min. 6 znaků)

kombinovat malá a velká písmena

„složité heslo“ např: P@ssW0rd

i. min. 6 znaků

ii. nesmí obsahovat celé - část uživatelského jména

iii. musí obsahovat 3 ze 4 kategorií znaků: (velká / malá písmena, číslovky a speciální znaky (@,&,$,<,>))

3

Account Options

Set Logon Hours to Match Users’ Work Hours

Specify the Computers from Which a User Can Log On

Domain users can log on at any computer in the domain except for domain controllers, by default

Domain users can be restricted to specific computers to increase security

Specify When a User Account Expires

Creating Local User Accounts

Created on Computers Running Windows 2000 Professional

Created on Stand-alone or Member Servers Running Windows 2000 Server or Windows 2000 Advanced Server

Reside in SAM

New User

User name: JYoung

Full name:

Description:

Jonathan Young

Password: **********

Confirm: **********

User must change password at next logon

User cannot change password

Password never expires

Account is disabled

Close Create

Local User Accounts Are:

4

Setup options

Select the action you want the Setup Wizard to perform.

Uninstall the Administrative Tools

Click an option and then click Next.

Install all of the Administrative Tools

Description

Install / Reinstall all components of the Windows 2000

Administration Tools.

Windows 2000 Administration Tools Setup Wizard

< Back

Active Directory Domains and Trusts

Active Directory Sites and Services

Active Directory Users and Computers

Component Services

Component Management

Configure your Sever

Data Sources (ODBC)

DHCP

Distributed File System

DNS

Domain Controller Security Policy

Domain Security Policy

Event Viewer

Internet Services Manager

Licensing

Local Security Policy

Performance

Routing and Remote Access

Server Extensions Administrator

Services Telnet Server Administration

Installing Windows 2000 Administration Tools

The tools appear on the Administrative

Tools menu

After you install Administration Tools, use the

runas command to run the tools

\\server\admin$\SYSTEM32\adminpak.msi

Creating a Domain User Account

Console

Active Directory Users and Computers

Window Help

Action View

Tree Name Type Description

Users 20 objects

Active Directory Users and Comp nwtraders.msft

Builtin Computers Domain Controllers ForeignSecurityPrincipals LostAndFound System

Users

Administrator Cert Publishers DNSAdmins DNSUpdateProxy Domain Admins Domain Computers Domain Controllers Domain Guests

User Security Group - Global Security Group - Domain Local Security Group - Global Security Group - Global Security Group - Global Security Group - Global Security Group - Global

Built-in account Enterprise certi

DNS clients who Designated adm All workstations All domain cont All domain gues

DNS Administra

Find…

New

All Tasks

View New Window from Here

Refresh Export List…

Properties

Help

Computer Contact Group Printer

Shared Folder User

Create in: nwtraders.msft/Users

First name:

Last name:

Full name:

Judy

Lew

Judy A. Lew

Initials: A

User logon name:

judy1 @nwtraders.msft

User logon name (pre-Windows 2000):

NWTRADERS\ judy1

< Back Next > Cancel

Delegate Control…

New Object - User

5

Setting Password Requirements

New Object - User

Create in: nwtraders.msft/Users

Password:

Confirm Password:

< Back Next > Cancel

User must change password at next logon

User cannot change password

Password never expires

Account is disabled

********

********

Managing User Data by Creating Home Folders

Co zvážit před vytvořením domovských složek?

schopnost zálohy a obnovy dat

dostatečný prostor na disku serveru

výkon sítě

Vytvoření domovské složky:

1. vytvořit a nasdílet složku na serveru, která bude obsahovat domovské složky uživatelů

2. nastavit vhodná oprávnění

3. nastavit pro uživatelský účet cestu ke složce \\server\share\%username%

\Home

User1

User2

User3

6

Setting Properties for Domain User Accounts

Setting Personal Properties

Setting Account Properties

Specifying Logon Options

Copying Domain User Accounts

Creating User Account Templates

Setting Personal Properties

Active Directory Add Personal Information About Users

As Stored in Active Directory

Use Personal Properties to Search Active Directory

Student 01 Properties

Remote control

User01

Terminal Services Profile Member Of Dial-in Environment Sessions

General Address Account Profile Telephones Organization

7

Setting Account Properties

User02 User

User03 User

User04 User

User05 User

User06 User

User01 User

Use 01 Properties

Remote control Terminal Services Profile

Member Of Dial-in Environment Sessions

General Address Account Profile Telephones Organization

@nwtraders.msft User01

User logon name:

User logon name (pre-Windows 2000):

NWTRADERS\

Account is locked out

Logon Hours…

Student01

Log On To…

Account options:

User must change password at next logon

User cannot change password

Password never expires

Store password using reversible encryption

Account expires:

Never

End of: Wednesday, November 24, 1999

OK Cancel Apply

Copy…

Add members to a group……

Reset Password…

Disable Account

Move…

Open home page

Send mail

Send mail

Delete

Rename

Refresh

Properties

Help

Specifying Logon Options

Logon Hours for User01

OK

Cancel

12 12 12 2 4 6 8 10 2 4 6 8 10 . . . . . . . . . . . .

Logon Permitted

Logon Denied

All

Sunday

Monday

Tuesday

Wednesday

Thursday

Friday

Saturday

Default

Logon Workstations

This feature requires the NetBIOS protocol. In Computer

name, type the pre-Windows 2000 computer name.

This user can log on to:

All computers

The following computers

Computer name:

Brisbane

Perth

OK Cancel

Add

Edit

Remove

8

Copying Domain User Accounts

Copy an Existing Domain User Account to Simplify the

Process of Creating a New Domain User Account.

Domain

User

Account

(User1)

Domain

User

Account

(User2)

Copy

Domain User2 Domain User1

Creating User Account Templates

Console

Active Directory Users and Computers

Window Help

Action View

Tree Name Type Description Users 28 objects

Active Directory Users and Compu nwtraders.msft

Builtin Casablanca Computers Denver OU Domain Controllers ForeignSecurityPrincipals

Administrator Cert Publishers DHCP Administrators DHCP Users DnsAdmins DnsUpdateProxy Domain Admins Domain Computers

ount f certifi o hav o hav strato who

Users

Portland Seattle StudentOU Tunis

Vancouver OU

Domain Controllers Domain Guests Domain Users Enterprise Admins Group 01

_Sales Template User Copy…

Add members to a group… Enable Account Reset Password… Move… Open home page Send mail

All Tasks

Delete Rename Refresh

Properties

Help Creates a new user, copying information from the selected user.

admi ions ontro uest aser admi

Copy Object - User

Create in: nwtraders.msft/Users

First name:

Last name:

Full name:

sales

user1

sales user1

Initials:

User logon name:

salesuser1 @nwtraders.msft

User logon name (pre-Windows 2000):

NWTRADERS\ salesuser1

< Back Next > Cancel

Set Up a User Account as a Template Account

Create a User Account by Coping the Template Account

9

User Profile Types

Default User Profile

Serves as the bases for all user profiles

Local User Profile

Created the First Time a User Logs on to a Computer

Stored on a Computer's Local Hard Disk

User Profile

Display

Regional Settings

Mouse

Sounds

Modify Save

Roaming User Profile

Created by the System Administrator

Stored on a server

Mandatory User Profile

Created by the System Administrator

Stored on a server

Profile Windows 2000 Client

Windows 2000 Client

Windows 2000 Client

Profile Server

Display

Regional Settings

Mouse

Sounds

Creating Roaming and Mandatory User Profiles

Create a Roaming User Profile

Create a Shared Folder on the Server

Set Up a Configured Roaming User Profile

Specify the Shared Folder in Path Information

Create a Mandatory User Profile

Create a Shared Folder on the Server with a

User Profile Folder Inside

Rename Ntuser.dat to Ntuser.man

Specify the Shared Folder in Path Information

10

Best Practices

Rename the Administrator Account

Create a User Account with Administrative Rights

Create a User Account for Non-Administrative Tasks

Enable the Guest Account Only in Low Security Networks

Create Random Initial Passwords

Require New Users to Change Their Passwords

Set Account Expiration Dates for Temporary Employees

User Informations

net user logon_name

net user logon_name /domain

11

Příklad: tvorba uživatelského účtu

A serveru v AD vytvořte organizační jednotku AGIP:

V OU = AGIP vytvořte:

Uživatelský účet Františku Koudelkovi, logon name: příjmení

Nastavte heslo: Passw0rd

Vytvořte uživateli domovskou složku na :\HOME_AGIP\%username%

Doplňte osobní údaje a popisek

Účet uživateli vyprší 30.6. tohoto roku

Doba přihlašování pouze po - st od 8:00 – 19:00

Nastavte přístup pouze ze stanice s adresou 192.168.10.100

Vytvořte globální skupinu OBSLUHA a přidejte do ní uživatele

Uživatel bude mít povoleno měnit heslo a nutnost jej používat

Nastavte min. délku hesla na 8 znaků

Vynuťte uživateli pravidelnou obměnu hesla (1×měsíčně)

Po 3 neplatných pokusech se účet uzamkne na 25 min

Omezte velikost dat. prostoru na disku na 500 MB / uživatele

12

Module 7: Managing

Access to Resources by

Using Groups

Účel skupin

zajistit přístup k zdrojům

zajistit přístup k datům

organizace uživatelů

management uživatelů

RIGHTS – oprávnění

PERMISSION – přístupová práva

13

How Windows 2000 Groups Work

Permissions

Group

Permissions User

Permissions User

Přístupová práva přidělena

každému uživatelskému účtu

Přístupová práva přidělena

skupině místo toho

Permissions User

Členové skupin mají přístupová práva a oprávnění garantována ze skupiny

Uživatelé mohou být členy více skupin (max. 1022)

Uživatelé, skupiny a počítače mohou být dále členy dalších skupin

Groups in Workgroups and Domains

Domain

Workgroup

Vytvořeny na Doménovém řadiči

Obsaženy v Active Directory

Určeny pro řízení přístup ke zdrojům domény

Vytvořeny na PC, který není Doménovým řadičem

Součástí registrů (SAM)

Určeny pro řízení přístupu ke zdrojům počítače

Domain Controller

Client Computer

Member Server

SAM

SAM

14

Implementace skupin v pracovní skupině

Local Groups

Built-in Local Groups

The Strategy for Using Local Groups in a Workgroup

Creating Local Groups

Lokální skupiny – Místní skupiny počítače

The Guidelines for Local Groups:

Use local groups on computers that do not belong to a domain

Use local groups to control access to resources and who can perform system tasks on the local computer

Membership Rules for Local Groups:

Local groups can only contain local user accounts that are on the local computer

Local groups cannot be a member of any other group

Members of the Administrators Group or Power Users Group on the Local Computer Can Create Local Groups

15

Lokální vestavěné skupiny

vytvořeny při instalaci systému

platí pouze pro jeden PC, kde jsou uloženy

definují oprávnění pro práci pouze s tímto PC

Administrators

Backup Operators

Power Users

Users

Guests

Built-in Local Groups:

Members have rights to perform system tasks

User accounts can be added

Special – System Groups:

Organize users for system use

Have automatic membership that cannot be modified

Vestavěné skupiny mají nastavená

předdefinovaná práva a nelze je smazat

Lokální vestavěné skupiny

16

The Strategy for Using Local Groups in a Workgroup

A

User Accounts

= P =

Permissions

L

Local Group

=

Workgroup

Windows 2000

Professional

Windows 2000

Professional

Windows 2000

Professional

L

P A

Add

L

P A

Add

L

P A

Add

Windows 2000

Server

L

P A

Add

Assign

Assign Assign

Assign

Creating Local Groups

Computer Management

Action View

Tree

Computer Management (Local)

System Tools Event Viewer System Information Performance Logs and Al Shared Folders Device Manager Local Users and Groups

Users

Groups Storage Services and

Creates a new local group

New Group…

Refresh

Help

New Group

Group name:

Description:

Project1

Add… Remove

Create Close

Optional

Required

Add or Remove Members

Members:

Project1 data

17

Implementace skupin v doméně

Group Types and Scopes

Built-in and Predefined Groups in a Domain

The Strategy for Using Groups in a Single Domain

Guidelines for Creating Domain Groups

Creating and Deleting Domain Groups

Adding Members to Domain Groups

Typy a rozsahy skupin domény

TYPY SKUPIN

Bezpečnostní

používány pro přidělování přístupových práv

Distribuční NELZE použít pro přidělování oprávnění

použity pro posílání e-mailů (MS Exchange)

ROZSAHY SKUPIN

Globální

kontejner USERS

Pro organizaci uživatelů s podobnými

požadavky na přístup k síti

Lokální doménové

kontejner BUILTIN

Pro přidělování oprávnění k (SDÍLENÝM)

prostředkům jakéhokoliv počítače domény

Univerzální Pro přidělení oprávnění k prostředkům

ve vícedoménových sítích

Systémové Členství je automatické dle práce uživatele

v systému; nelze jej měnit;

18

Lokální (vestavěné) doménové skupiny

pro přidělení oprávnění ke sdíleným prostředkům jakéhokoli PC v doméně

Administrators

Backup Operators

Print Operators

Server Operators

Account Operators

Users

Guests

Globální (předdefinované) skupiny domény

organizují uživatele s podobnými vlastnostmi

nepřidělují se oprávnění

po připojení počítače do domény se stávají členy lokálních skupin PC nebo doménových skupin – oprávnění se přenesou na celou doménu

Domain Admins

Domain Users

Domain Guests

Domain Computers

19

Systémové skupiny

na všech PC se systémem W2K (XP)

členství je automatické a nedá se měnit

skupiny nejsou viditelné při správě skupin

skupiny se nedají smazat ani ovlivňovat

Everyone

Authenticated Users

Creator Owner

System

Network

Built-in and Predefined Groups in a Domain

Built-in Domain Local Groups Give Users Predefined Rights and Permissions to Perform Tasks:

On domain controllers

In Active Directory

Special Identities (Special Groups)

Organize users for system use

Membership is automatic and cannot be modified

Predefined Global Groups Give Administrators Control of Domain Resources

20

The Strategy for Using Groups in a Single Domain

A G DL P Strategy for

Groups in a Domain

Add

A

G

Domain Local Group

DL

Add

P

Global Group

User Accounts

Assign

PŘÍKLAD – použití skupin

A

Domain Local Group

P

Global Group

User Accounts

G

A

G

P

DL DL DL

Manažeři Obchodníci

Tisk Data-R

Data-FC

21

Guidelines for Creating Domain Groups

Determine Whether You Have Permissions to Create Groups

Determine the Name of the Group

Determine Which Group Scope to Use

Creating and Deleting Domain Groups

You Use Active Directory Users and Computers to Create and Delete Groups

When You Delete a Group Its:

Rights and permissions are removed

Members are not deleted

SID is never used again

New Object - Group

Create in: nwtraders.msft/Users

Group name:

Group name (pre-Windows 2000):

Group scope:

Domain local

Global

Universal

Group type:

Security

Distribution

OK Cancel

Public Group Name

22

Adding Members to Domain Groups

Group 01 Properties

General Members Member Of Managed By

Members:

Name Active Directory Folder

Add... Remove

OK Cancel Apply

Select Users, Contacts, Computers, or Groups

Name In Folder

Look in: nwtraders.msft

Casablanca

Portland

Seattle

Denver

Administrator

Guest

TsInternet User

Add

Casablanca; Portland

Check Names

OK Cancel

nwtraders.msft/Casablanca

nwtraders.msft/Portland

nwtraders.msft/Seattle

nwtraders.msft/Denver OU

nwtraders.msft/Users

nwtraders.msft/Users

nwtraders.msft/Users

Select

Add

Spolupráce skupin

po přidání PC do domény dojde k propojení skupin

globální (předdefinované) skupiny se nainstalují do místních (vestavěných) skupin domény i lokálních (vestavěných) skupin PC

přenesou se oprávnění vyšších skupin na nižší - místní

DOMÉNA

GLOBÁLNÍ SK.

Domain Admins

Domain Users

Domain Guests

LOKÁLNÍ SK. DOMÉNY

Administrators

Users

Guests

LOKÁLNÍ SK. PC

Administrators

Users

Guests

23

Význam propojení doménových a lokálních skupin

A

G

Users

L

Domain

Users

User

Accounts

A

G

Administrators

L

Domain

Admins

Administrator

ZÁKLADNÍ ROZDĚLENÍ VESTAVĚNÝCH SKUPIN

Administrators

Backup Operators

Power Users

Users

Guests

Administrators

Backup Operators

Print Operators

Server Operators

Account Operators

Users

Guests

Domain Admins

Domain Users

Domain Guests

Domain Computers

Everyone

Authenticated Users

Creator Owner

System

Network

lokální

skupiny

lokální

skupiny

globální

skupiny

systémové

skupiny

systémové

skupiny

Everyone

Authenticated Users

Creator Owner

System

Network

DOMAIN

Domain Controler

WORKGROUP

Local Computer

24