Добавляем доменных пользователей в локальную группу безопасности

В некоторых случаях возникает необходимость вывести компьютеры локальной сети из рабочих групп и подключить их к локальному домену. Это дает возможность устанавливать групповые политики, управлять доступом пользователей, распределять между ними ресурсы, пользоваться своей учетной записью с любого компьютера в сети и другие полезные для системного администратора преимущества.

Что такое домен в локальной сети

Под доменом локальной сети принято понимать такую сеть, которая объединяет компьютеры под одной общей политикой безопасности и управляется централизовано. Таким образом при объединении компьютеров сети в рабочие группы взаимодействие машин основывается на принципе «клиент-клиент», а в домене это уже «клиент-сервер». В качестве сервера выступает отдельная машина, на которой хранятся все учетные записи пользователей сети. Так же можно хранить и профиль каждого пользователя.

Целесообразность организации такого доступа обусловлена несколькими факторами:

  • локальная сеть постоянно развивается и количество пользователей растет;
  • видоизменяется топология и география сети;
  • необходимо разграничить доступ к ресурсам для каждого пользователя или группы;
  • контроль за использованием ресурсов глобальной сети интернет.
Что такое домен в локальной сети

При организации доступа на основе рабочих групп, такой контроль организовать просто невозможно. Однако, когда сеть состоит из всего нескольких компьютеров, то совершенно не имеет никакого смысла ставить отдельный сервер домена, это просто экономически нецелесообразно.

Если ЛВС организована на основе Microsoft Windows Server, то служба, которая отвечает за контролер домена называется AD (Active Directory), если под управлением *nix (Unix, Linux, FreeBSD) служба управляющая пользователями имеет название LDAP (Lightweght Directory Access Protocol).

Управление пользователями

Какие возможности по управлению учётными записями локальных пользователей нам доступны в Как и в других системных настройках Windows, сами обладая правами администратора, можем пользователей удалять, переименовывать, менять им пароль, менять тип «учётки» со стандартного пользователя на администратора и наоборот. Для использования этих возможностей жмём контекстное меню на нужном пользователе и выбираем что нам надо.

Управление пользователями

Оснастка позволяет удалять самого пользователя, но она не производит удаление файлов его пользовательского профиля на диске С. Эти файлы продолжают храниться в его профильной папке по пути «C:\Users». Если удалённому пользователю ничего не нужно из содержимого его профильной папки, можем зайти по этому пути и удалить эту папку, дабы она не занимала место на диске С.

Управление пользователями

Есть в и такие функции, которые нам недоступны при использовании иных системных настроек Windows. В свойствах пользователя, в первой вкладке «Общие» у нас будут такие возможности как: установка требования смены пароля при новом заходе пользователя в систему, установка запрета смены пароля (для локальных «учёток»), задействование срока ограничения пароля, отключение и разблокировка «учётки».

Управление пользователями

С первыми двумя возможностями всё и так ясно, а что значат три последние? Если не будет активна опция неограниченного срока действия пароля, пользователь вынужден будет его менять через каждые 42 дня. При необходимости эти 42 дня можно сменить на любой иной срок, но делается это уже в локальных групповых политиках, в их редакторе .

Управление пользователями

Отключение «учётки» — это её временное удаление с экрана блокировки, из меню «Пуск», из видимости прочего системного функционала и сторонних программ. Но отключённый пользователь на удаляется навсегда: его профильная папка хранится на диске С, а учётная запись может быть включена в любой нужный момент.

Управление пользователями

Разблокировка «учётки» — это снятие её блокировки в результате достижения граничного числа попыток ввода пароля за определённый промежуток времени при входе пользователя в систему. По умолчанию это 3 попытки в течение 30 минут. Если за это время будет произведено больше попыток ввода неверного пароля, система заблокирует возможность новых попыток входа на какое-то время, по умолчанию это 30 минут. И вот чтобы заблокированный пользователь мог совершить очередную попытку входа в систему раньше времени, в его свойствах в оснастке любой другой пользователь-администратор может убрать галочку «Заблокировать учётную запись». При необходимости настройки блокировки учётных записей можно изменить, и это делается, опять же, в редакторе .

Управление пользователями

Особенности при работе с учётными записями Microsoft

Возможности по управлению учётными записями применимы как к локальным, так и к тем, что в Windows 8.1 и 10 подключаются к интернет-аккаунту Microsoft. Последние в любом случае являют собой первично локальную «учётку», а аккаунт Microsoft – это уже как дополнительные возможности. Не сможем выполнить лишь те операции, которые по условию возможны только в веб-интерфейсе личного аккаунта Microsoft пользователя.

Читайте также:  Как отключить обновления в Google Chrome?

Заключение

В данной статье мы продолжили изучение политик безопасности, а именно, узнали о политиках назначения прав пользователей. При помощи политик назначения прав пользователя вы можете сами определить, для каких пользователей или групп пользователей будут предоставлены различные права и привилегии. Подробно описаны 18 из 44 политик безопасности. На приведенном в статье примере вы также узнали о том, как можно применить данные политики в организации. В следующей статье вы узнаете политиках, управляющих журналами событий.

При создании в планировщике windows задания и попытке его запустить выскакивает ошибка Данное задание требует, чтобы указанная учетная запись пользователя имела права вход в качестве пакетного задания. Дело в том что учетной записи от имени которой пытаюсь запустить не хватает прав.

Заключение

Эта настройка безопасности позволяет пользователю входить в систему с помощью средства обработки пакетных заданий.

Например, если пользователь инициирует задание с помощью планировщика заданий, планировщик обеспечивает ему вход в систему как пакетному пользователю, а не как интерактивному.

Примечание

  • В операционных системах Windows 2000 Server, Windows 2000 Professional, Windows XP Professional. и семейства Windows Server 2003 планировщик заданий автоматически предоставляет это право как обязательное.
Заключение

Решить данную проблему можно либо в локальной либо в групповой политике прописать нужный параметр и дать нужному пользователю права по пути Учетной записи, от имени которой должно выполнятся задание, в «Локальной политике безопасности\Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя» должно быть выделено право «Вход в качестве пакетного задания» (В аноязычном интерфейсе будет в «Local policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\» выделятся «Log on as a batch job»).

по умолчанию права в этой группе имеют Администраторы и Операторы архива, их не забудьте сюда добавить в групповой политике, а то затрете их права.

Читайте также:  Microsoft Print to PDF не работает в Windows 10

Создание новой группы.

Создать новую локальную группу безопасности можно несколькими способами:

Создание новой группы.
Создание новой группы.
Создание новой группы.
Создание новой группы.
Создание новой группы.

Открывается окно создания новой группы, в котором необходимо обязательно заполнить «Имя группы:» и желательно «Описание:» Имя локальной группы не должно совпадать с любым другим именем группы или пользователя на данном компьютере. Оно может содержать до 256 символов верхнего и нижнего регистров, за исключением следующих: » / \ : ; | = , + * ? < > @ Имя группы не может состоять только из точек (.) или пробелов.

Создание новой группы.
Создание новой группы.
Создание новой группы.
Создание новой группы.
Создание новой группы.

Добавить членов группы можно прямо сейчас, а можно и отложить на потом.

Создание новой группы.
Создание новой группы.
Создание новой группы.
Создание новой группы.
Создание новой группы.

Для завершения создания группы нажимаем кнопку «Создать» . При этом окно остается, но поля очищаются. Это сделано для множественного добавления групп. Просто закрываем это окно, если не будем добавлять другие группы.

Создание новой группы.
Создание новой группы.
Создание новой группы.
Создание новой группы.
Создание новой группы.

Вновь созданную группу можно увидеть в списке групп

Создание новой группы.
Создание новой группы.
Создание новой группы.
Создание новой группы.
Создание новой группы.

Инструменты управления групповыми политиками и их настройки

В ОС Windows для решения задачи, о которой идет речь, можно использовать соответствующую консоль. Как ее запустить? Нужно нажать на «Пуск», затем перейти в меню «Все программы», выбрать «Администрирование», после — «Управление групповыми политиками».

Настройка Active Directory осуществляется посредством редактирования параметров групповой политики, которые непосредственным образом связаны с ее объектами. Они, в свою очередь, могут управляться непосредственно с помощью консоли, о которой идет речь. Рассмотрим наиболее значимые с точки зрения практики работы с групповыми политиками интерфейсы данного программного компонента.

Инструменты управления групповыми политиками и их настройки

Объекты Active Directory можно увидеть в главном окне консоли. Примеры таковых: Accounting Security (отвечает за безопасность), а также отмеченные выше ключевые объекты политики, касающиеся домена и его контроллера. Можно заметить, что Default Domain Policy задается по умолчанию и включает в себя параметры, актуальные для всех ПК и пользователей в рамках конкретного домена. В свою очередь, политика Default Domain Controller Policy имеет непосредственное отношение только к контроллерам.

Читайте также:  34 совета по оптимизации и настройке Windows