Что такое доменный аккаунт
ИТ База знаний
Полезно
— Онлайн генератор устойчивых паролей
— Онлайн калькулятор подсетей
— Руководство администратора FreePBX на русском языке
— Руководство администратора Cisco UCM/CME на русском языке
— Руководство администратора по Linux/Unix
Навигация
Серверные решения
Телефония
FreePBX и Asterisk
Настройка программных телефонов
Корпоративные сети
Протоколы и стандарты
Создание доменного пользователя и ввод компьютера в домен
В прошлой статье мы создали и настроили контроллер домена (DC), настало время наполнить наш домен пользователями и рабочими станциями.
Онлайн курс по Linux
Мы собрали концентрат самых востребованных знаний, которые позволят тебе начать карьеру администратора Linux, расширить текущие знания и сделать уверенный шаг к DevOps
Конфигурация
Открываем Server Manager и выбираем опцию Roles.
Отметим также, что вы можете создать свою группу и добавлять пользователей туда.
Перед нами откроется окно добавления нового пользователя. Заполняем учетные данные нового пользователя. Как правило, в корпоративных доменах, принято создавать именные учетные записи для того, чтобы в дальнейшем можно было отслеживать действия конкретного пользователя в целях безопасности и однозначно его идентифицировать.
Далее, нас просят ввести пароль для новой учетной записи и выбрать дополнительные опции:
После того, как все данные будут заполнены, нас попросят подтвердить создание нового объекта.
Отлично, новый пользователь домена создан. Теперь нам нужно зайти на компьютер пользователя и ввести его в домен. Для этого логинимся на компьютер пользователя с локальными учетными данными и открываем Свойства компьютера. Как видите, наш компьютер пока еще не стал частью домена, он ещё является частью рабочей группы WORKGROUP/. Убедитесь, что компьютер пользователя имеет версию Windows не ниже Professional. Чтобы ввести его в домен выбираем Change Settings
Важно! Поддержка доменной инфраструктуры начинается только с версии Windows Professional. На версиях Starter, Home Basic, Home Premium подключиться к домену не получится!
Далее напротив опции «To rename this computer or change its domain or workgroup, click Change» нажимаем собственно Change
Важно! Для того, чтобы наш компьютер узнал о существующем контроллере домена нам нужно указать ему на DNS сервер, который имеет такую информацию. В нашем случае – контроллер домена является по совместительству DNS сервером для пользовательских машин. Поэтому мы указываем контроллер домена в качестве DNS сервера для настраиваемого компьютера.
Далее в открывшемся окне в опции «Member of» вместо Workgroup выбираем Domain и вводим имя нашего домена (в нашем случае – merionet.loc)
Далее нас попросят ввести учетные данные для учетной записи, которая уже создана и имеет право присоединиться к домену. Вводим учетные данные ранее созданного пользователя.
После чего, нас попросят перезагрузить компьютер для применения изменений.
После перезагрузки, мы можем логиниться уже с учетными данными доменного пользователя.
Теперь, если мы откроем свойства компьютера, то увидим, что наш компьютер принадлежит домену (в нашем случае – merionet.loc)
Служба каталогов Active Directory
6.3 Управление пользователями и группами. Управление организационными подразделениями, делегирование полномочий. Групповые политики
Управление пользователями и группами
Учетные записи ( accounts ) пользователей, компьютеров и групп — один из главных элементов управления доступом к сетевым ресурсам, а значит, и всей системы безопасности сети в целом.
В среде Windows 2003 Active Directory существует 3 главных типа пользовательских учетных записей:
Сосредоточим свое внимание на учетных записях пользователей домена. Эти учетные записи хранятся на контроллерах домена, хранящих копию базы данных Active Directory.
Существуют различные форматы, в которых могут быть представлены имена для входа пользователей в систему, потому что они могут отличаться для целей совместимости с клиентами, работающими под управлением более ранних версий Windows (такими как 95, 98, NT). Два основных вида имен входа — это с использованием суффикса User Principal Name ( основного имени пользователя ) и имя входа пользователя в системах пред-Windows 2000.
Основное имя пользователя ( UPN, User Principle Name ) имеет такой же формат, как и электронный адрес. Он включает в себя имя входа пользователя, затем значок » @ » и имя домена. По умолчанию доменное имя корневого домена выделено в выпадающем окне меню, независимо от того, в каком домене учетная запись была создана (выпадающий список будет также содержать имя домена, в котором вы создали эту учетную запись).
Также можно создавать дополнительные доменные суффиксы (та часть имени, которая стоит после знака @ ), которые будут появляться в выпадающем списке и могут быть использованы при образовании UPN, если вы их выберете (это делается при помощи консоли » Active Directory – домены и доверие » (» Active Directory Domain and Trusts «).
Существует только одно обязательное условие при этом — все UPN в лесу должны быть уникальными (т.е. не повторяться). Если учетная запись входа пользователя использует UPN для входа в систему Windows 2003, вам необходимо только указать UPN и пароль — более нет нужды помнить и указывать доменное имя. Другое преимущество данной системы именования состоит в том, что UPN часто соответствует электронному адресу пользователя, что опять уменьшает количество информации о пользователе, которую необходимо запоминать.
Локальные учетные записи
Каждый компьютер с операционными системами Windows NT/2000/XP/2003 (если это не сервер, являющийся контроллером домена) имеет локальную базу данных учетных записей, называемую базой данных SAM. Эти БД обсуждались при описании модели безопасности «Рабочая группа». Локальные пользователи и особенно группы используются при назначении прав доступа к ресурсам конкретного компьютера даже в доменной модели безопасности. Общие правила использования локальных и доменных групп для управления доступом будут описаны ниже.
Управление доменными учетными записями пользователей
Доменные учетные записи пользователей (а также компьютеров и групп) хранятся в специальных контейнерах AD. Это могут быть либо стандартные контейнеры Users для пользователей и Computers для компьютеров, либо созданное администратором Организационное подразделение (ОП). Исключение составляют учетные записи контроллеров домена, они всегда хранятся в ОП с названием Domain Controllers.
Рассмотрим на примерах процесс создания учетных записей пользователей в БД Active Directory и разберем основные свойства доменных учетных записей. Учетные записи для компьютеров создаются в процессе включения компьютера в домен.
Создание доменной учетной записи
Внимание! В упражнениях лабораторных работ дается задание настроить политики, которые сильно понижают уровень требований к паролям и полномочиям пользователей:
Данные политики устанавливаются исключительно для удобства выполнения упражнений, которые необходимо выполнять с правами простых пользователей на серверах-контроллерах домена. В реальной практике администрирования такие слабые параметры безопасности ни в коем случае устанавливать нельзя, требования к паролям и правам пользователей должны быть очень жесткими (политики безопасности обсуждаются далее в этом разделе).
Правила выбора символов для создания пароля:
И еще одно правило безопасности — регулярная смена пароля (частота смены зависит от требований безопасности в каждой конкретной компании или организации). В доменах Windows существует политика, определяющая срок действия паролей пользователей.
Обзор свойств учетных записей пользователей
Свойства учетной записи пользователя содержат большой набор различных параметров, размещенных на нескольких закладках при просмотре в консоли » Active Directory – пользователи и компьютеры «, причем при установке различных программных продуктов набор свойств может расширяться.
Рассмотрим наиболее важные с точки зрения администрирования свойства.
Откроем консоль » Active Directory – пользователи и компьютеры » и посмотрим свойства только что созданного нами пользователя.
Закладка » Общие «. На данной закладке содержатся в основном справочные данные, которые могут быть очень полезны при поиске пользователей в лесу AD. Наиболее интересные из них:
Закладка » Адрес » — справочная информация для поиска в AD.
Закладка » Учетная запись » — очень важный набор параметров (параметры » Имя входа пользователя » и » Имя входа пользователя (пред-Windows 2000) » обсуждались выше при создании пользователя):
Закладки » Телефоны «, » Организация » — справочная информация о пользователе для поиска в AD.
Профиль ( profile ) — это настройки рабочей среды пользователя. Профиль содержит: настройки рабочего стола (цвет, разрешение экрана, фоновый рисунок), настройки просмотра папок компьютера, настройки обозревателя Интернета и других программ (например, размещение папок для программ семейства Microsoft Office). Профиль автоматически создается для каждого пользователя при первом входе на компьютер. Различают следующие виды профилей:
Закладка » Член групп » — позволяет управлять списком групп, в которые входит данный пользователь.
Закладка » Входящие звонки «.
Управление доступом пользователя в корпоративную систему через средства удаленного доступа системы Windows Server (например, через модем или VPN-соединение). В смешанном режиме домена Windows доступны только варианты » Разрешить доступ » и » Запретить доступ «, а также параметры обратного дозвона (» Ответный вызов сервера «). В режимах » Windows 2000 основной » и » Windows 2003 » доступом можно управлять с помощью политик сервера удаленного доступа (не надо путать с групповыми политиками). Подробнее данный вопрос обсуждается в разделе, посвященном средствам удаленного доступа.
Закладки » Профиль служб терминалов «, » Среда «, » Сеансы «, » Удаленное управление » — данные закладки управляют параметрами работы пользователя на сервере терминалов:
Что такое домен и зачем он нужен: определение доменного имени простыми словами
Большинство юзеров из числа тех, кто не разбирается в устройстве компьютеров и процессов в них происходящих, не имеют об этом ни малейшего представления. В действительности, каждый из нас, кто хотя бы однажды открывал окно браузера и переходил на какой-либо сайт, сталкивался с этим понятием. Постараемся разобраться, что же это за явление в современных информационных технологиях. Домен сайта в интернете и доменное имя: что это такое и зачем нужно, определение простыми словами — тема нашей сегодняшней статьи. Далее поговорим подробнее об основных вспектах, связанных с данным понятием.
Что такое домен
Это название сайта. Чтобы было понятнее, представьте себе какое-нибудь здание (объект), куда вам необходимо попасть. Например, в салон сотовой связи определенного оператора, в котором вы еще ни разу не были. Чтобы добраться туда, нужно знать адрес, по которому этот пункт располагается. То есть, потребуются точные координаты: улица, номер дома, корпуса, а возможно и офиса. В противном случае вы не достигнете цели. Невозможно отправиться наобум в любом направлении и прийти в место назначения.
То же самое происходит в отношении сайтов. Каждый из них наделен собственным местом — сетевым IP-адресом. Это обеспечивает полноценное функционирование и дает возможность ресурсам не конфликтовать в рабочем режиме.
Домен способен содержать от 2 до 63 символов. Чаще всего владельцы веб-сайтов предпочитают прописывать его самостоятельно и впоследствии арендовывать. Названия продают на созданных специально для этого площадках. На них же всем желающим доступна функция проверки на предмет совпадения с уже имеющимися.
Создавая название, надлежит соблюдать определенные условия:
В некоторых случаях имеют место дополнительные ограничения, устанавливаемые администрацией ресурса, на котором осуществляется продажа и регистрация доменов.
Из чего состоит
В основе их устройства лежит иерархия в виде подразделения на части. Так, имена третьей ступени базируются на названиях второй, наименования второй, в свою очередь, на основании первой. Подразделяются они на следующие виды.
Домен и хостинг: в чём разница
Мы уже выяснили, что доменом называется имя веб-сайта, содержащее минимум два уровня. Хостинг же представляет собой определенные услуги, благодаря которым сайт находится на сервере и отображается в сети. Соответственно, компании, которые их оказывают — это хостинг-провайдеры.
Хостинг — весьма непростой и продолжительный процесс. Ведь для каждой папки с файлами (а их на одном сайте может быть огромное количество) нужно подобрать собственное место на сервере, чтобы обеспечить бесперебойное функционирование.
Что такое уровень домена
На схематичном примере это выглядит так:
Таким образом, без труда прослеживается расположение по значимости. В первую очередь прописывается домен (это, как правило, территориальное обозначение). Если название веб-сайта заканчивается на KZ — перед вами страница из Казахстана. Следом наблюдается взятое в аренду имя, придуманное самим пользователем (владельцем ресурса). Последняя же категория предназначена для создания сайтов, находящихся внутри других сайтов. Чтобы понять, что к чему, представьте себе крупный интернет-магазин, в котором функционирует целая сеть маленьких магазинчиков.
Отдельно стоит отметить, что оплата имени второго уровня производится один раз в год. По истечении времени его необходимо снова зарегистрировать (продлить). Если этого не сделать, название могут перекупить другие пользователи.
Зоны доменных имен
В каких случаях выбирать территориальную
Зоны принято прописывать согласно географическому расположению стран. У каждого государства своя собственная. Так, в Казахстане — это KZ, в России — RU, в Беларуси — BY, в Японии — JP и т.д. Выкупить такую зону не представляется возможным, но ее можно выбрать из имеющихся.
Пользователями в нашей стране проще воспринимать и запоминать имена в зоне ru. Поэтому все компании, осуществляющие свою деятельность в сетевом пространстве Российской Федерации, стараются осуществить регистрацию названия именно в ней. Нередки случаи, когда определенный домен занят, тогда организации прибегают к решению проблем другими путями.
В каких случаях выбирать тематическую
Когда можно использовать территориальную зону в качестве тематической
Существуют имена, которые перекликаются с сокращенными определениями в различных сферах. Именно поэтому их зачастую задействуют при прописывании тематических.
В качестве примеров подобной переклички стоит продемонстрировать несколько.
Подходящие зоны обычно подбирают на специальных сервисах. Проверка названия на предмет занятости производится всего в несколько кликов. Достаточно просто вбить его в поисковую систему и дождаться результатов.
Что такое домен компьютера
Отыскать необходимый ПК по имеющемуся индивидуальному адресу, представленному в виде буквенно-цифрового сочетания в разы проще, чем запомнить для его обнаружения 2 – 3 десятка цифр.
Регистрацию и обслуживание компьютерных доменов осуществляет специализированная служба DNS — Доменная система названий. В ее компетенцию входит обеспечение связи ПК с мировой сетью, безопасность, своевременное обновление и организация бесперебойной работы машин.
Домены в DNS
Домены в быту
Каждый юзер без исключения мечтает получить звучное имя для своего веб-сайта. Но его форма нисколько не влияет на отношение к нему доменной системы названий. Она имеет значение разве что для попадающих на сайт пользователей. Если имя выразительное и звучное, хорошо запоминается и отображает в себе основную тематику ресурса, велика вероятность, что оно понравится посетителям. Ведь домен — это совокупность запоминающегося имени и заданной тематики.
Регистрация
История доменного имени оказывает огромное влияние на успешное продвижение сайта. Если когда-то по данному адресу располагалась низкокачественная площадка (что весьма распространенное явление в сети), хороших результатов добиться не удастся, как ни старайся. Происходит это потому, что поисковые системы хранят данные довольно продолжительное время в своих базах. Так, если вы обзаведетесь доменом, где раньше находился посредственный ресурс, на котором публиковались ссылки на запрещенные сайты, назойливые рассылки — ждите неприятностей. Чтобы избежать подобного развития событий, следует проверять адрес еще до оформления.
Как проверить домен перед регистрацией
Выяснить подробности истории можно посредством специального проекта archiv.org, существующего в сети. Он хранит информацию практически обо всех веб-сайтах в мире, которые не закрываются от его робота.
Нужно всего лишь вбить заинтересовавший вас адрес и кликнуть ввод. Вас перебросит на календарь хранящихся копий, где останется только посмотреть, как выглядел сайт раньше.
В данном примере мы имеем дело с чистым адресом, ненадлежащих негативных элементов в нем нет. Анализируя данные, можно прийти к выводу, что дальше взятия домена дело не продвинулось. Арендный период названия или хостинга завершился, веб-сайт за это время так и не наполнили контентом. Как вариант, стоящее привлекательное имя могли зарегистрировать с целью последующей перепродажи. Есть в сети пользователи, промышляющие таким видом заработка. Но в целом приобрести на определенный срок и задействовать по своему разумению данный адрес — хорошая идея.
Можно посмотреть пример страницы из архива поисковой системы Яндекс за 2005 год.
Примечательно, что все ссылки на активны, если произвести проверку в сервисе.
Проверять надлежит не только доменный адрес, но и IP. Сделать это можно при помощи специализированного сервиса www.dnsbl.info. Так удастся без труда определить нелегальную рассылку, присутствие в черных списках. Если по каким-то причинам, не зависящим от вас (до приобретения), адрес попал в блек-лист, есть возможность его очистить. Для этого предстоит обратиться к провайдеру и в точности соблюдать все данные им инструкции.
Почему важно выбрать хорошее доменное имя
Домен влияет на продвижение вашего сайта
Не только доменное название способствует успешному функционированию ресурса, немаловажную роль также играет правильный подбор зоны. Так, например, наименование определенной марки продукции и ключевые слова в нем непосредственно ведут к повышению позиций в поисковой выдаче.
Поменять домен в будущем будет проблемой
Все время, пока вы активно используете адрес, он формирует свою репутацию в поисковых системах. Именно она имеет большое значение в росте или снижении позиций. Поэтому к вопросам что такое domain и как правильно его подобрать, надлежит отнестись со всей тщательностью.
Как создать подходящее доменное имя
Помните о целевом назначении названия. Оно должно не только привлекать своим удобством и звучностью, но и способствовать эффективному функционированию ресурса. Оптимальнее всего задействовать наименование торговой марки, аббревиатуру, сокращения и, конечно, ключи. Так удастся сделать бренд и саму организацию узнаваемыми, благодаря высоким позициям в поисковой выдаче.
Что такое доменный аккаунт
Учетные записи группы и права
Понятие учетной записи
Если вы имели опыт работы администрирования и работы с операционными системами Windows 9x, то одной из главных отличительных особенностей профессиональных версий Windows воспринимается повышенное внимание к тому, кто и что делает на компьютере.
Программа, которая исполняется на компьютере с установленной операционной системой Windows NT/200x/XP/Vista, всегда запущена от имени какого-либо пользователя и обладает данными ему правами. Если вы начали работу на компьютере, введя свое имя и пароль, то любая задача: графический редактор или почтовый клиент, дефрагментация диска или установка новой игры — будет выполняться от этого имени. Если запущенная программа вызывает в свою очередь новую задачу, то она также будет выполняться в контексте вашего имени. Даже программы, являющиеся частью операционной системы, например служба, обеспечивающая печать на принтер, или сама программа, которая запрашивает имя и пароль у пользователя, желающего начать работу на компьютере, выполняются от имени определенной учетной записи (Система). И так же, как программы, запускаемые обычным пользователем, эти службы имеют права и ограничения, которые накладываются используемой учетной записью.
Операционная система «различает» пользователей не по их имени (полному или сокращенному), а по специальному уникальному номеру (идентификатору безопасности— SID), который формируется в момент создания новой учетной записи. Поэтому учетные записи можно легко переименовывать, менять любые иные их параметры. Для операционной системы после этих манипуляций ничего не изменится, поскольку такие операции не затрагивают идентификатор пользователя.
При создании новой учетной записи обычно определяются только имя пользователя и его пароль. Но учетным записям пользователей — особенно при работе в компьютерных сетях — можно сопоставить большое количество различных дополнительных параметров: сокращенное и полное имя, номера служебного и домашнего телефонов, адрес электронной почты и право удаленного подключения к системе и т. п. Такие параметры являются дополнительными, их определение и использование на практике зависит от особенностей построения конкретной компьютерной сети. Эти параметры могут быть использованы программным обеспечением, например, для поиска определенных групп пользователей (см., например, группы по запросу)
Если при изменении имени входа пользователя в систему ничего «существенного» для системы не происходит— пользователь для нее не изменился, то операцию удаления учетной записи и последующего создания пользователя точно с таким же именем входа операционная система будет оценивать как появление нового пользователя. Алгоритм формирования идентификатора безопасности пользователя таков, что практически исключается создание двух учетных записей с одинаковым номером. В результате новый пользователь не сможет, например, получить доступ к почтовому ящику, которым пользовался удаленный сотрудник с таким же именем, не прочтет зашифрованные им файлы и т. п.
Локальные и доменные учетные записи
При работе в компьютерной сети существуют два типа учетных записей. Локальные учетные записи создаются на данном компьютере. Информация о них хранится локально (в локальной базе безопасности компьютера) и локально же выполняется аутентификация такой учетной записи (пользователя).
Доменные учетные записи создаются на контроллерах домена. И именно контроллеры домена проверяют параметры входа такого пользователя в систему.
Чтобы пользователи домена могли иметь доступ к ресурсам локальной системы, при включении компьютера в состав домена Windows производится добавление группы пользователей домена в группу локальных пользователей, а группы администраторов домена— в группу локальных администраторов компьютера. Таким образом, пользователь, аутентифицированный контроллером домена, приобретает права пользователя локального компьютера. А администратор домена получает права локального администратора.
Необходимо четко понимать, что одноименные учетные записи различных компьютеров — это совершенно различные пользователи. Например, учетная запись, созданная на локальном компьютере с именем входа Иванов, и доменная учетная запись Иванов— это два пользователя. И если установить, что файл доступен для чтения «локальному Иванову», то «доменный Иванов» не сможет получить к нему доступ. Точнее, доменный Иванов сможет прочесть файл, если его пароль совпадает с паролем локального Иванова. Поэтому если на компьютерах одноранговой сети завести одноименных пользователей с одинаковыми паролями, то они смогут получить доступ к совместно используемым ресурсам автономных систем. Но после изменения одного из паролей такой доступ прекратится.
Обратите внимание, что в локальные группы можно включать не только локальные ресурсы (учетные записи пользователей и локальных групп), но и доменные учетные записи.
После установки пакета Account Lockout and Management Tools в свойствах учетной записи отображается вкладка, на которой администратор может увидеть в том числе и количество неудачных попыток входа в систему.
Данную информацию можно получить и выполнив непосредственный запрос к службе каталогов. В качестве фильтра можно указать следующую строку:
При необходимости вы можете создать такой запрос, сохранить его в оснастке управления AD и получать сведения о результатах подключения к домену без установки упомянутого пакета.