Меню Рубрики

Иерархия учетных записей windows 2012

Иерархия учетных записей windows 2012

Для управления пользователями, также как и группами, в домене под управлением Windows Server, необходимо сначала создать этого пользователя. Для этого используется соответствующий механизм в виде оснастки «Управление компьютером«. Процедура заведения пользователя в домене простая.

Заведение пользователя в домене.

Выполняется в несколько шагов:

1. Открываем оснастку «Управление компьютером«. Проще всего это сделать нажав правой клавишей мышки на меню «Пуск«, далее выбираем «Администрирование«, затем «Пользователи и компьютеры Active Directory«. Второй вариант — комбинация клавиш Win+R, в открывшемся окне пишем compmgmt.msc, затем просто «Enter«.

2. В следующем окне «Active Directory — пользователи и компьютеры» нажимаем правой мышки на необходимом контейнере (например «Users«), в появившемся меню выбираем «Создать«, затем «Пользователь«.

3. Далее мы заполняем для нового пользователя:

  • Имя — имя пользователя;
  • Инициалы — инициалы пользователя (необязательно);
  • Фамилия — фамилия пользователя;
  • Полное имя — заполниться автоматически, после заполнения предыдущих пунктов;
  • Имя входа пользователя — логин;
  • Имя входа пользвателя (пред-Windows 2000) — заполнится автоматически, после заполнения имени входа пользователя.

Нажимаем кнопку «Далее» и попадаем в следующее меню.

4. В следующем окне достаточно указать пароль пользователя и подтверждение пароля, и нажать «Далее«. При этом когда пользователь домена зайдет на компьютер под своим логином и паролем, то система предложит ему сменить пароль. Зайти в систему будет возможно только при смене и подтверждении нового пароля.

5. Последнее окно служит для окончательной проверки правильности создания нового пользователя. Проверяем и нажимаем «Готово«. Новый пользователь будет создат в нужном контейнере и может работать в домене под своим логином и паролем.

Если что не понятно, можно посмотреть видео здесь:

Источник

Group Managed Service Accounts в Windows Server 2012

Технология управляемых служебных записей (Managed Service Accounts – MSA) впервые была представлена в Windows Server 2008 R2 и предназначена для автоматического управления (смены) паролей служебных (сервисных) учетных записей. Благодаря использованию механизма Managed Service Accounts можно существенно снизить риск компрометации системных учетных записей, из-под которых запущены системные службы(не секрет, что существует большое количество утилит, позволяющих извлечь пароли локальных пользователей из LSASS).

Для учетных записей MSA генерируется пароль длиной 240 символов, из которых половина – английские буквы, другая половина – служебные символы. Пароль такой учетной записи меняется автоматически (по-умолчанию каждые 30 дней) и не хранится на локальной системе

Основным недостатком MSA является возможность использования подобной служебной записи только на одном компьютере. Это означает, что служебные учетные записи MSA не могут работать с кластерными и NLB службами (веб-фермы), которые работают одновременно на нескольких серверах и используют одну учетную запись и пароль.

Для преодоления указанного недостатка Microsoft в Windows Server 2012 добавила функционал групповых управляемых учетных записей служб (gMSA — Group Managed Service Accounts). Такие учетные записи можно одновременно использовать на нескольких серверах, чтобы все экземпляры службы использовали одну и ту же учетную запись, например в службе балансировки нагрузки (NLB), кластерных службах и т.п.

Требования gMSA :

Чтобы воспользоваться возможностями gMSA, нужно, чтобы инфраструктура соответствовала следующим требованиям:

  • Уровень схемы AD — Windows Server 2012 (как ее обновить описано здесь).
  • Контроллер домена Windows Server 2012 (и выше) со службой Microsoft Key Distribution Service (служба распространения ключей) – именно это служба отвечает за генерацию паролей
  • PowerShell модуль для управления Active Directory
  • В качестве клиентов могут использоваться Windows Server 2012/2012 R2 и Windows 8/8.1
  • Служба, использующая gMSA должна быть совместима с этим типом аккаунтов (должно быть указано в документации). На данный момент gMSA поддерживают: SQL Server 2008 R2 SP1, 2012;IIS; AD LDS; Exchange 2010/2013

Создаем KDS ключ

Прежде, чем приступить к созданию учетной записи gMSA, необходимо выполнить разовую операцию по созданию корневого ключа KDS (KDS root key). Для этого на контроллере домена с правами администратора выполните команду (служба Microsoft Key Distribution Services должна быть установлена и включена):

В этом случае ключ будет создан и доступен через 10 часов, после окончания репликации.

Проверим, что корневой ключ KDS создался успешно:

Создаем учетную запись gMSA

Создадим новую учетную запись gMSA командой:

Где, gmsa1 – имя создаваемой учетной записи gMSA

dc1.winitpro.ru – имя DNS сервера

gmsa1Group – группа Active Directory, в которую включены все системы, которые будут использовать эту групповую учетную запись (группа должна быть создана предварительно)

После выполнения команды нужно открыть консоль ADUC (Active Directory Users and Computers) и проверить, что в контейнере (OU) Managed Service Accounts появилась советующая учетная запись (по умолчанию этот контейнер не отображается, чтобы его увидеть, нужно в меню View оснастки включить опцию Advanced Features)

Установка gMSA на сервере

Подключим модуль Powershell для поддержки среды Active Directory:

Далее нам нужно установить управляемую учетную запись на сервера, на которых она будет использоваться (из-под этой учетки в дальнейшем будет запущен некий сервис). В первую очередь нужно проверить, что этому серверу разрешено получать пароль учетной записи gMSA из Active Directory. Для этого его учетная запись должна состоять в указанной при создании доменной группе (в нашем случае gmsa1Group). Установим запись gmsa1 на данном сервере:

Проверить, что учетная групповая сервисная запись установлена корректно можно так (для Windows PowerShell 4.0):

Если команда вернет True – все настроено правильно.

Далее в свойствах службы укажем, что она будет запускаться их под учетной записи gMSA. Для этого на вкладке Log on нужно выбрать This account и указать имя сервисной учетной записи. В конце имени обязательно указывается символ $, пароль указывать не нужно. После сохранения изменений службу нужно перезапустить.

Сервисной учетной записи автоматически будут предоставлены права «Log On As a Service».

«Тонкая» настройка gMSA

Периодичность смены пароля можно изменить (по умолчанию 30 дней):

Учетную запись gMSA можно использовать и в задачах планировщика. Тонкий нюанс в том, что задание можно настроить только через PowerShell.

Аргумент «-LogonType Password» означает, что пароль для этой gMSA учетной записи будет получен с контроллера домена.

Источник

Управление учетными записями пользователей в Windows

Хотите создать новую учетную запись на вашем ПК с Windows 10? Управлять всем об учетной записи? Настройте PIN-код вместо длинного пароля? Добро пожаловать в наш Windows 101 User Account Guide 101 ! В этой статье я изучаю все возможные варианты вокруг учетной записи пользователя и способы ее управления. Это будет полезно для тех, кто является новым или даже если вы эксперт, вы можете найти то, что поможет вам настроить другую учетную запись на вашем ПК и управлять ею во всех аспектах.

Управление учетными записями пользователей в Windows 10

Параметры Windows 10 предоставляют центральное место в настройках учетных записей для управления всеми учетными записями пользователей, где вы можете настроить все, кроме нескольких параметров, которые мы расскажем вам, когда мы идем дальше.

Использовать учетную запись Microsoft или локальную учетную запись?

При установке Windows 10 в процессе установки запрашивается учетная запись Microsoft или вы можете создать локальную учетную запись администратора . Если вы не помните, что вы делали во время установки, то пришло время узнать все о вашей учетной записи — особенно если вы все еще используете локальную учетную запись.

Откройте « Настройки»> «Учетные записи». Здесь вы можете просмотреть сведения об учетной записи, включая учетную запись Microsoft Account, администратор или локальную учетную запись, изображение профиля и т. Д. Здесь у вас будет 6 разделов:

  • Ваша информация
  • Учетные записи электронной почты и приложений
  • Параметры входа
  • Доступ к работе или школе
  • Семья и другие люди
  • Синхронизируйте свои настройки.

Если ваша учетная запись является учетной записью Microsoft (проверьте, есть ли Outlook или Hotmail или Live ID), тогда многие вещи уже отсортированы, но если это локальная учетная запись, вы должны связать ее с учетной записью Microsoft. Вы можете создать его на лету, если у вас его нет. Есть много причин, по которым вам следует, и мы узнаем об этом по мере продвижения вперед.

Связать локальную учетную запись Windows 10 с учетной записью Microsoft

Поэтому, если он читает «Локальная учетная запись» под вашим именем пользователя, найдите ссылку, в которой говорится, что вместо входа вы вводите учетную запись Microsoft. Укажите, что вы можете ввести свой идентификатор электронной почты и пароль для связи этого ПК и учетной записи с MSA. Возможно, Microsoft проверит вашу учетную запись, новую или старую, с вашим номером телефона, чтобы включить такие функции, как Sync и File Settings на всех устройствах.

Связывание локальной учетной записи Windows 10 с учетной записью Microsoft (MSA) имеет много преимуществ . Одним из основных преимуществ является то, что он свяжет ваш лицензионный ключ Windows 10 с вашей учетной записью. Поэтому в следующий раз, когда вы установите Windows 10 и войдите в свою учетную запись с учетной записью MSA, она не попросит вас активировать Windows. Кроме того, вам нужна учетная запись MSA для загрузки приложений из магазина.

В некоторых ваших приложениях используется другая учетная запись электронной почты?

Возможно, вы использовали другую учетную запись электронной почты для некоторых приложений или даже для Microsoft Store. Хотя просто использовать одну и ту же учетную запись для всего, но если у вас есть выбор для другой учетной записи для Магазина и других приложений, вы можете добавить ее, не создавая вторую учетную запись.

В разделе «Настройки»> «Учетные записи электронной почты и приложений» вы можете добавить эту учетную запись в учетные записи, используемые другими приложениями . Это позволит убедиться, что он не связан с Outlook, календарем и контактами. Вам придется проверять свою учетную запись обычным способом, включая проверку номера телефона. После этого, если ваше приложение спросит, какую учетную запись выбрать, вы можете выбрать эту.

Несколько способов входа на ПК под управлением Windows 10

Хотя самый безопасный способ входа на ПК с Windows 10 — это использовать сложный пароль, связанный с вашей учетной записью Microsoft, это тоже утомительно, особенно когда вы блокируете и разблокируете свой компьютер несколько раз.

На странице параметров входа в Windows 10 вы можете использовать Windows Hello , PIN или Picture password и даже Dynamic Lock. Последний вариант — мой любимый. Я настроил его с помощью Fitbit Ionic, и каждый раз, когда я ухожу от своего компьютера, он автоматически блокирует его. Вы также можете подключиться к наушникам Bluetooth или даже к громкоговорителю.

  • PIN представляет собой 4 — значный пароль , который только для устройства , на котором установлен. У вас может быть другой PIN-код для каждого устройства Windows 10.
  • Picture Password позволяет выбрать изображение и нарисовать три вида жестов на изображении. Эти жесты становятся вашим паролем, но будьте осторожны, чтобы вы помнили, где вы рисуете жесты.
  • Windows Hello нужны специальные веб-камеры.

В этом разделе также вы можете изменить свой пароль, но помните, что он изменяет пароль учетной записи Microsoft. Это означает, что если вы используете его в любом месте с помощью служб Microsoft, вам придется использовать новый пароль, если вы измените его.

Требовать вход и конфиденциальность

Теперь, когда ваш пароль настроен, его время немного подтянуть защиту. Параметры входа в Windows 10 предлагают вам вариант, когда вам нужно будет ввести пароль или вывести его снова, если ваш компьютер спит. Это позволит убедиться, что ваш компьютер не доступен напрямую, когда он просыпается.

Перейдите в «Настройки»> «Параметры входа»> «Выберите, когда ПК просыпается из сна».

В разделе «Конфиденциальность» вы можете скрыть свой адрес электронной почты на экране входа и позволить Windows 10 запомнить ваш пароль для непрерывного обновления . Позднее это очень полезная функция, если вам нужно настроить обновление своего компьютера за одну ночь. Таким образом вы сэкономите много времени, когда его время будет работать утром.

Использовать рабочую или школьную учетную запись на персональном ПК

Много раз вы хотели бы подключиться к своей работе или школе с выделенной учетной записью, которая была назначена вам. В Windows 10 имеется специальная настройка для «Work Access», которая позволяет вам подключаться к ресурсам организации прямо из дома. Вам нужно будет поговорить с вашим сетевым администратором, чтобы использовать приложение School PC.

Управление учетной записью для семьи и гостей

У нас есть подробное сообщение о том, как вы можете управлять своими учетными записями в семье на ПК, есть несколько вещей, которые вы должны знать, когда вы настраиваете второй ПК с Windows 10.

Возможность добавления гостевой учетной записи была удалена в Windows 10. Windows 10, v1607 ввели режим общего или гостевого ПК . Это создает Windows 10 Pro, Pro Education, Education и Enterprise для ограниченного использования в определенных сценариях.

Добавление члена, не относящегося к семейству

Если вы хотите, чтобы кто-то обращался к вашему ПК, всегда полезно использовать гостевую учетную запись Windows 10 , но в случае, если человеку нужен доступ в течение более длительного периода времени, лучше всего добавить свой идентификатор электронной почты на свой компьютер. Таким образом, он получает стандартную учетную запись с ограничениями.g:

  • Открыть настройки> Учетные записи> Семья и другие люди> Добавить кого-то еще на этот компьютер.
  • Попросите человека войти в свою учетную запись MSA, и он будет настроен.
  • Вы также можете создать новую учетную запись MSA, если она понадобится с того же экрана.

Удаление и отключение учетной записи

В разделе «Семья и другие люди» вы можете выбрать учетную запись, которую хотите удалить, и нажать кнопку «Удалить». Если вы хотите удалить члена семьи, у вас будет возможность заблокировать человека из входа. В этом сообщении показано, как включить или отключить учетную запись пользователя.

Синхронизация настроек

Если вы хотите иметь одинаковые темы, языковые предпочтения и другие вещи на всех устройствах Windows 10, включите параметры синхронизации.

Если вы прочтете до сих пор и все сообщения, которые мы здесь связали, теперь вы знаете все о управлении учетными записями пользователей Windows 10. Если у вас все еще есть вопрос, сообщите нам об этом в комментариях.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • Иерархия папок в windows
  • Иерархический блокнот для windows
  • Идут ли на windows 10 все программы
  • Идет подготовка windows 10 очень долго
  • Идет ли симс 3 на windows 10