¿Cómo entiende "grupos universales, grupos globales, grupos locales de dominio"? Acerca del Directorio Activo.
Active Directory es la implementación de servicios de directorio en redes Windows 2000. El servicio de directorio es un servicio de red que almacena información sobre los recursos de la red y permite a los usuarios y aplicaciones acceder a estos recursos.
Objetos de Active Directory
Incluyen principalmente usuarios, grupos, computadoras e impresoras. Sin embargo, todos los servidores, dominios y sitios de la red también pueden considerarse objetos en Active Directory.
Arquitectura de Active Directory
◆ Contiene la definición de todos los objetos en Active Directory
◆ Utilice clases de objetos y atributos de objetos para describir cada objeto
◆ En una red Windows 2000, sólo hay un esquema para todo el bosque
◆ El esquema se guarda en Active Directory.
La estructura lógica de Active Directory
La estructura lógica de Active Directory se utiliza para organizar los recursos de la red.
Dominio
◆ El dominio es la unidad central de Windows 2000 Active Directory y es una colección de computadoras que comparten el mismo Active Directory
◆ El dominio es un; límite de seguridad. De forma predeterminada, el administrador de un dominio solo puede administrar su propio dominio. Si un administrador de un dominio desea administrar otros dominios, necesita una autorización especial;
◆ Un dominio es una unidad de replicación. Un dominio puede contener varios controladores de dominio. Cuando se modifica la base de datos de Active Directory de un controlador de dominio, la modificación se replicará en todos los demás controladores de dominio.
Unidades organizativas (OU)
◆ OU es un objeto contenedor bajo el dominio, que se utiliza para organizar la administración de objetos de Active Directory y es la unidad de administración más pequeña en Windows 2000 <; /p>
◆ La unidad organizativa se puede utilizar para que coincida con la estructura organizativa real de una empresa. El administrador del dominio puede designar un usuario para administrar una unidad organizativa.
◆ La unidad organizativa también se puede crear como un árbol de dominio; -estructura similar, es decir, puede haber OU debajo de OU;
◆ El uso de OU puede reemplazar la red multidominio de Windows NT4.0, consulte la Figura 1.
Figura 1
Árboles y Bosques
Árboles: compuestos por uno o más dominios. Los árboles en Windows 2000 comparten un espacio de nombres continuo; los árboles tienen confianza transitiva bidireccional, es decir, de forma predeterminada, las relaciones de confianza entre dominios principales y subdominios, y los árboles en Windows 2000 son bidireccionales y transitivos.
Bosques: Los bosques están formados por uno o más árboles. Los árboles del bosque no sólo comparten un espacio de nombres contiguo, sino que también comparten un esquema común y un directorio global.
Catálogo global (Catálogo global)
El catálogo global (GC) es un directorio que contiene información de atributos (no información completa, sino un subconjunto de atributos de uso común) de todos los objetos en Active. Directory. Warehouse, que proporciona a los usuarios las siguientes funciones importantes:
◆ Encuentre información de Active Directory en todo el bosque;
◆ Inicie sesión en la red utilizando información de membresía de grupo universal; >
◆ El primer controlador de dominio en Active Directory se convierte automáticamente en el directorio global. Para equilibrar el tráfico de inicio de sesión y consultas, puede configurar directorios globales adicionales.
Estructura física de Active Directory
La estructura física se utiliza para configurar y administrar el tráfico de la red. La estructura física de Active Directory consta de controladores de dominio y sitios.
Controlador de dominio (Controlador de dominio)
Replicación de Active Directory: el modelo de replicación multimaestro (modelo de replicación multimaestro) y la estructura física de Active Directory determinan cuándo y cómo se produce la replicación. .
Operación de maestro único: operaciones como agregar/eliminar dominios del bosque no son adecuadas para el modo de replicación de maestro único. Se requiere la replicación de maestro único. La computadora que realiza operaciones de maestro único se llama. anfitrión de la operación.
Sitios
◆ Un sitio está compuesto por una o más subredes IP conectadas de alta velocidad
◆ Un sitio es la estructura física de la red. y Los dominios no están necesariamente relacionados, un sitio puede contener múltiples dominios y un dominio puede abarcar múltiples sitios;
◆ La razón principal para crear un sitio es optimizar el tráfico de replicación y permitir que los usuarios se conecten con alta confianza. -líneas rápidas al controlador de dominio.
Zona Integrada de Active Directory
Para implementar una zona integrada de Active Directory, el Servidor DNS debe estar instalado con un DC de Active Directory. Debido a que el archivo de base de datos de la zona DNS pasa a formar parte de Active Directory después de la integración, su replicación se incluye en la replicación de Active Directory, por lo que la Transferencia de Zona DNS (Transferencia de Zona) ya no ocurrirá. Sin embargo, las transferencias de zona aún se pueden realizar a servidores secundarios integrados que no estén integrados en Active Directory, lo que evita que los registros DNS se actualicen si falla el servidor primario.
Instalar y configurar DNS para admitir Active Directory
Si instala DNS al instalar Active Directory, el sistema operativo configurará DNS automáticamente y creará un reenvío de DNS con el mismo nombre que el Dominio de Active Directory. Zona de consulta, configure esta zona de consulta directa para integrarla con Active Directory.
Requisitos de Active Directory para DNS
◆ Admite registros SRV (obligatorios)
◆ Admite protocolo de actualización dinámica (recomendado); ◆ Admite transferencia de zona incremental (recomendado).
Nombre de inicio de sesión del usuario de Active Directory
Nombre de usuario principal (Nombre principal de usuario)
El formato del nombre de usuario principal es el mismo que el de la dirección de correo electrónico, por Por ejemplo, john@cyc.com, john se denomina prefijo de nombre de usuario principal, cyc.com se denomina sufijo de nombre de usuario principal y generalmente es el nombre de dominio del dominio raíz. El nombre de usuario maestro sólo se puede utilizar para iniciar sesión en redes de Windows 2000.
Nombre de inicio de sesión de usuario (Nombre de inicio de sesión de usuario)
Se utiliza en entornos anteriores a Windows 2000 o Windows 2000; se requiere el nombre de usuario y el nombre de dominio para iniciar sesión.
Principio de unicidad del nombre de usuario
◆ El nombre completo es único dentro del contenedor al que pertenece
◆ El nombre de inicio de sesión del usuario es único dentro del dominio al que pertenece; a cuál pertenece;
◆ El nombre de usuario maestro es único en todo el bosque.
Grupos en Active Directory
Grupos Globales;
Grupos Locales de Dominio
Grupos Generales (Grupos Universales): Los grupos universales son generalmente; se utiliza en situaciones de múltiples dominios y la información de los miembros de los grupos universales se almacena en el GC. Intente evitar los grupos universales que contengan directamente miembros de cuentas de usuario y utilice grupos globales como miembros de grupos universales.
Usar políticas de grupo en el dominio
Usar la política A-G-DL-P
Usar la política A-G-G-DL-P
<; p > Utilice la estrategia A-G-U-DL-P.Aquí, A representa la cuenta de usuario, G representa el grupo global, U representa el grupo universal, DL representa el grupo local de dominio y P representa los permisos de recursos. La política A-G-DL-P es agregar la cuenta de usuario al grupo global, agregar el grupo global al grupo local del dominio y luego asignar permisos de recursos al grupo local del dominio. El resto se puede deducir por analogía.
Publicar recursos en Active Directory
Todas las impresoras compartidas de Windows 2000 se publican automáticamente en Active Directory
Al eliminar una impresora, también se eliminarán automáticamente las impresoras en Active Directory;
El servidor de impresión es responsable de publicar las impresoras en Active Directory;
Cuando se modifican las propiedades de la impresora, las propiedades de la impresora en Active Directory se actualizarán automáticamente.
Componentes de seguridad de Active Directory
Principales de seguridad
Una principal de seguridad es un objeto al que se pueden asignar permisos, como usuarios, grupos y computadoras;
Cada entidad de seguridad en un dominio de Windows 2000 tiene un identificador de seguridad único.
Identificador de seguridad (SID)
Un identificador de seguridad es un valor numérico utilizado para identificar un sujeto de seguridad. Se genera cuando se crea el sujeto y nunca se reutilizará. El mecanismo de control de acceso en Windows 2000 se basa en SID, no en nombres.
Descriptores de seguridad
Los descriptores de seguridad son estructuras de datos que contienen información de seguridad relacionada con un objeto de seguridad que se puede configurar, e incluyen principalmente lo siguiente:
Encabezado: versión información del descriptor de seguridad y un conjunto de indicadores de control
Propietario: SID del propietario de este objeto
Grupo primario: el grupo primario al que pertenece el propietario SID;
DACL (Lista de control de acceso discrecional): la lista de control de acceso del usuario para este objeto;
SACL (Lista de control de acceso al sistema): la lista de control de acceso para los usuarios de auditoría.
Si se establecen permisos en un objeto, el descriptor de seguridad del objeto contendrá una DACL. La DACL contiene los SID de usuarios y grupos a los que se les permite o deniega el acceso a este objeto, si también se establece la auditoría para este objeto, su descriptor de seguridad también contiene una SACL.
Permisos de Active Directory
El permiso es una autorización otorgada por el propietario de un objeto. A través de la autorización, los usuarios pueden operar en objetos especiales. Si el objeto es el propietario, puede asignar permisos para algunas o todas las tareas a otros usuarios o grupos, y también puede asignar permisos de propiedad.
◆ Permitir permiso o denegar permiso: el permiso denegado tiene mayor prioridad que cualquier permiso permitido
◆ Denegación indirecta o denegación directa (Denegar implícitamente o Denegar explícitamente): por ejemplo, no explícitamente; los permisos de operación especificados son negaciones indirectas;
◆ Permisos estándar y permisos especiales: los permisos estándar son permisos asignados con frecuencia, mientras que los permisos especiales son controles más detallados sobre los permisos de acceso asignados:
◆ Control total ;
◆ Leer: ver objetos y propiedades de objetos
◆ Escribir: modificar el contenido y las propiedades del objeto
◆ Crear todos los objetos secundarios: agregar objetos a la unidad organizativa; ;
◆ Eliminar todos los objetos secundarios: elimina objetos de la unidad organizativa.
Tecnología experimental
Instalar Active Directory
1. Requisitos previos: la computadora debe tener Windows 2000 Server, Advanced Server, Datacenter Server y un mínimo de 250 M de espacio en disco disponible; debe haber una partición de disco o volumen NTFS para guardar la carpeta SYSVOL, el protocolo TCP/IP y el servicio DNS; en ejecución (disponible en DNS, debe instalarse al instalar Active Directory) y la computadora debe tener una tarjeta de red instalada.
2. Cuando utilice el comando dcpromo en Windows 2000, aparecerá el cuadro de diálogo "Asistente de instalación de AC". Si Active Directory se instala por primera vez en la red, se crea el dominio raíz del bosque. En este momento, seleccione "Controlador de dominio". para el botón de radio "Nuevo dominio".
3. Seleccione los botones de opción "Crear un nuevo árbol de directorios" y "Crear un nuevo árbol de directorios de dominio", ingrese el nombre DNS completo del nuevo dominio, por ejemplo, cyc.com, ingrese el nombre NetBIOS, que generalmente toma la primera parte o la primera parte del nombre de dominio DNS es de 15 bits, aquí está cyc, y luego especifica la base de datos AD y el archivo guardado por SYSVOL, que debe estar ubicado en la partición NTFS.
4. Finalmente, especifique permisos y contraseñas, etc. En este momento, instale AD y cree un dominio de Windows 2000 cyc.com. Después de instalar Active Directory, se generarán tres elementos en "Programas/Administración: Usuarios y computadoras de Active Directory, Dominios de Active Directory y relaciones de confianza, y Sitios y servicios de Active Directory.
5. Si usa el sistema desatendido Para instalar Active Directory, utilice el comando [HTML]. En una red basada en Windows 2000, Active Directory es su núcleo. Active Directory es un servicio de directorio distribuido que se puede distribuir en varios servidores diferentes en la computadora. acceso rápido y tolerancia a fallos, al mismo tiempo, proporciona a los usuarios una vista unificada sin importar dónde accedan o dónde esté la información. Se puede decir que sin Active Directory no existiría Windows 2000. 1. Conceptos básicos de Active Directory<. /p>
(1) Descripción general de Active Directory
1. ¿Qué es Active Directory? Active Directory es un servicio de directorio en una red de Windows 2000. que almacena información sobre los recursos de la red y permite a los usuarios o aplicaciones acceder a estos recursos. Active Directory utiliza el mismo método para nombrar, describir, buscar, acceder, administrar y proteger la información de estos recursos. Las funciones de servicio proporcionadas por Active Directory incluyen un método para organizar, administrar y controlar de manera centralizada el acceso a los recursos de la red que hace que la topología y los protocolos de la red física sean transparentes para que los usuarios de la red puedan acceder a cualquier recurso sin saber dónde está el recurso. dónde está ubicado físicamente Cómo conectarse a la red (2) Administración centralizada: un servidor que ejecuta Windows 2000 almacena la configuración del sistema, el perfil de usuario y la información de la aplicación en Active Directory, y Active Directory permite a los administradores usar la misma interfaz de administración. administra escritorios distribuidos, servicios de red y aplicaciones desde una ubicación central. Active Directory también proporciona control centralizado de los recursos de la red, lo que permite a los usuarios acceder a todos los recursos de Active Directory con un solo inicio de sesión. 2. Objeto de Active Directory Almacenamiento de Active Directory. Los objetos de Active Directory representan recursos de red, como usuarios, grupos, computadoras e impresoras. Además, debido a que Active Directory representa todos los recursos de red, solo se requiere un administrador. 3. Protocolo ligero de acceso a directorios (LDAP). es un protocolo utilizado para acceder a Active Directory. LDAP es un protocolo de servicio de directorio utilizado para consultar y actualizar Active Directory. Indica que un objeto de Active Directory puede representarse mediante una serie de componentes de dominio, unidades organizativas y nombres comunes, que forman una ruta con nombre. Active Directory La ruta con nombre LDAP se utiliza para acceder a los objetos de Active Directory, que incluye las dos categorías siguientes (1) Nombre distinguido: cada objeto en Active Directory tiene un nombre distinguido que determina el dominio donde se encuentra el objeto. la ruta completa donde se puede encontrar el objeto. Por ejemplo, los nombres de identificación típicos incluyen: CN=TOM, OU=Manager, DC=Tech, DC=COM (2) Nombre distinguido relativo: el nombre de identificación relativo de LDAP es parte del nombre de identificación de LDAP, que se utiliza para identificar un objeto en un contenedor cuya composición cambia con el tamaño del contenido de búsqueda en el sitio creado por el cliente. El alcance del contenido de búsqueda puede ser un componente de dominio o un objeto con un nombre común. En la siguiente tabla se proporcionan ejemplos específicos de identificadores, búsquedas creadas por clientes e identificadores relativos. (2) Estructura de Active Directory
1. Estructura lógica de Active Directory (1) Dominio: Dominio (Doamin) es la unidad central de la estructura lógica de Active Directory. Un dominio contiene muchas computadoras que se administran. por los administradores. Un dominio tiene un nombre único y proporciona acceso a cuentas de usuarios y grupos administradas centralmente por el administrador del dominio. Para crear un dominio, los usuarios deben actualizar una o más computadoras que ejecutan Windows 2000 Server a controladores de dominio. Cada dominio debe contener al menos un controlador de dominio.
(2) Unidad organizativa: Unidades organizativas (OU) es una unidad que desempeña una función organizativa. Contenedores de Active Directory en los que se pueden colocar usuarios, grupos, computadoras y otras unidades. Las unidades organizativas no pueden incluir objetos de otros dominios. Una unidad organizativa es el ámbito o unidad más pequeño al que se pueden asignar configuraciones de política de grupo o delegar derechos administrativos. Las unidades organizativas permiten a los usuarios crear contenedores en dominios dentro de la unidad organizativa que representan una jerarquía lógica. Esto permite a los usuarios gestionar la configuración y el uso de cuentas y recursos según el modelo organizativo del usuario. (3) Árbol y bosque de directorios: cada dominio en Active Directory se identifica mediante el nombre de dominio DNS (Servidor de nombres de dominio, Servicio de nombres de dominio) y requiere uno o más controladores de dominio. Los usuarios pueden crear varios dominios si su red requiere más de un dominio. Uno o más dominios que comparten el mismo esquema común y catálogo global se denominan bosque de dominios. Si varios dominios en un bosque tienen nombres de dominio DNS consecutivos, la estructura se denomina árbol de dominios. Como se muestra en la imagen. Si los árboles de dominio relacionados comparten el mismo esquema activo y la misma configuración de directorio e información de replicación, pero no comparten espacios de nombres DNS contiguos, se denomina bosque de dominio. La combinación de árboles de dominio y bosques de dominio proporciona a los usuarios opciones flexibles de nombres de dominio. Se pueden agregar espacios de nombres DNS contiguos y no contiguos al directorio de un usuario. (4) Catálogo global: el catálogo activo de un dominio es similar al catálogo de un libro, por lo que el catálogo global es como el catálogo general de una serie de libros. Contiene un subconjunto de los atributos de un objeto de Active Directory existente en el catálogo global. De forma predeterminada, las propiedades de los objetos almacenadas en el catálogo global son las que se utilizan con frecuencia, en lugar de todas las propiedades. El servidor de catálogo global es un controlador de dominio y el primer controlador de dominio creado por Active Directory se convierte automáticamente en el servidor de catálogo global. El catálogo global se coloca en el servidor del catálogo global. 2. Estructura física de Active Directory (1) Controlador de dominio: El controlador de dominio es donde se almacena Active Directory. Un dominio puede tener uno o varios controladores de dominio. En un dominio, los controladores de dominio replican los cambios de Active Directory entre sí. En un bosque, los controladores de dominio replican automáticamente la información entre sí. (2) Sitio: un sitio es un grupo de computadoras en una o más subredes IP para garantizar el intercambio efectivo de información del directorio. Las computadoras en el sitio deben estar bien conectadas, especialmente las computadoras en la subred. No existe una conexión necesaria entre el sitio y los espacios de nombres del dominio. Los sitios reflejan la estructura física de una red, mientras que los dominios suelen reflejar la estructura lógica de las unidades de usuario. La estructura lógica y la estructura física son independientes entre sí, por lo que no existe una correlación necesaria entre la estructura física de la red y su estructura de dominio. Active Directory permite múltiples dominios en un solo sitio y múltiples sitios en un solo dominio. Si el esquema de configuración no está organizado en sitios, el intercambio de información entre dominios y clientes puede resultar muy confuso. Los sitios pueden mejorar la eficiencia del uso de la red. 2. Instale Active Directory
(1) Puntos clave para instalar Active Directory
El primer y más importante punto es que debe tener derechos de administrador para instalar Active Directory; de lo contrario, no se podrá instalado. Antes de instalar Active Directory, asegúrese de que la computadora cumpla con los requisitos básicos del sistema: (1) La computadora ejecuta la versión Windows 2000 Server y el disco del sistema es una partición NTFS. (2) El espacio mínimo en disco para la base de datos de Active Directory es 200 MB y debe haber 50 MB de espacio para los archivos de registro de la base de datos de Active Directory. (3) Se ha completado la resolución del servidor DNS. DNS (Domain Name Server, Servidor de nombres de dominio) es la base de Active Directory. Sin DNS, no existiría Active Directory. DNS también se denomina servicio de nombres de dominio. Su función es hacer coincidir un nombre de dominio con una dirección IP, convirtiendo así un nombre de dominio que sea fácil de entender para los humanos en una dirección IP que sea fácil de abordar para las computadoras. Y si los recursos en Active Directory corresponden al identificador LDAP, entonces el usuario solo puede usar fácilmente el registro de ubicación de este identificador en el DNS para encontrar el recurso y dirigirlo a la ubicación correspondiente. Para la configuración del servidor DNS, los lectores pueden consultar el artículo "Manual completo de IIS 5.0 para la construcción de sitios web de red" en el apéndice del segundo volumen de "Computer Newspaper 2001". (2) Instalar Active Directory
Ejecute el Asistente de instalación de Active Directory para actualizar Windows 2000 Server a un controlador de dominio para crear un nuevo dominio o agregar otros controladores de dominio a un dominio existente.
1. Instale el primer controlador de dominio en el dominio. Antes de instalar Active Directory, primero asegúrese de que el servicio DNS esté funcionando correctamente. A continuación, instalaremos el primer controlador de dominio con el dominio raíz lanyi.com. (1) Ejecute el archivo dcpromo.exe ubicado en el directorio C:\Winnt\System32 para iniciar el Asistente de instalación de Active Directory. Haga clic en el botón "Siguiente". (2) Dado que el usuario está creando el primer controlador de dominio en el dominio, seleccione la opción "Controlador de dominio para nuevo dominio" en el cuadro de diálogo "Tipo de controlador de dominio" y luego haga clic en el botón "Siguiente". (3) En el cuadro de diálogo "Crear árbol de directorio y subdominio", seleccione "Crear un árbol de directorio de dominio para un nuevo dominio" y haga clic en el botón "Siguiente". (4) En el cuadro de diálogo "Crear o unirse al bosque", seleccione "Crear un nuevo bosque de dominio" y haga clic en el botón "Siguiente". (5) En el cuadro de diálogo "Nuevo nombre de dominio", ingrese el nombre de dominio que se creará en el cuadro "Nombre DNS completo del nuevo dominio", aquí es lanyi.com. Haga clic en el botón "Siguiente". (6) En el cuadro de diálogo "Nombre de dominio NetBIOS", el asistente de instalación establece automáticamente el nombre NetBIOS del controlador de dominio en "LANYI", haga clic en el botón "Siguiente". (7) En el cuadro de diálogo "Ubicación de la base de datos y del archivo de registro", se mostrará la ubicación de almacenamiento de la base de datos y los archivos de registro. Generalmente, no se requiere ninguna modificación. Haga clic en el botón "Siguiente". (8) En "Volumen del sistema compartido", especifique la carpeta compartida como volumen del sistema. La carpeta Sysvol almacena copias del servidor de los archivos públicos del dominio. El contenido de las transmisiones de Sysvol se replica en todos los controladores de dominio del dominio. Generalmente, no es necesario modificar la ubicación de la carpeta. Haga clic en el botón "Siguiente". (9) En el cuadro de diálogo "Configurar DNS", haga clic en el botón "Siguiente" (si no ha configurado un servidor DNS antes de instalar Active Directory, puede dejar que el asistente de instalación configure DNS aquí. Se recomienda este método). (10) Seleccione los permisos predeterminados para usuarios y grupos en el cuadro de diálogo "Permisos". Teniendo en cuenta que la mayoría de las organizaciones aún necesitan usar versiones anteriores de Windows 2000, seleccione la opción "Permisos compatibles con versiones anteriores del servidor de Windows 2000". Botón "Siguiente". (11) Ingrese la contraseña de administrador en el modo de recuperación de directorio en el cuadro de diálogo "Contraseña de administrador para el modo de recuperación del servicio de directorio". Haga clic en el botón "Siguiente". (12)En este punto, el asistente de instalación mostrará la información resumida de la instalación. Haga clic en el botón "Siguiente" para iniciar la instalación. Una vez completada la instalación, reinicie la computadora. 2. Verifique los resultados de la instalación. Una vez completada la instalación, puede utilizar el siguiente método para verificar si la instalación de Active Directory es correcta. Una de las tareas más importantes durante el proceso de instalación es agregar registros de servicio (es decir, registros SRV). la base de datos DNS. (1) Verifique el registro SRV del archivo DNS: use un editor de texto para abrir el archivo Netlogon.dns en %systemroot%\system32\config\ y vea el registro del servicio LDAP, en este caso _ldap._tcp.lanyi.com. 600 IN SRV 0 100 389 n2k_server.lanyi.com (2) Verifique que el registro SRV se esté ejecutando normalmente en la herramienta de comando NSLOOKUP: en el símbolo del sistema, ingrese el comando "nslookup"; ; y luego ingrese _ldap ._tcp.lanyi.com. Si se devuelven el nombre del servidor y la dirección IP en este momento, significa que el registro SRV está funcionando correctamente. Además, cuando se completa la instalación, se proporcionan tres herramientas en las herramientas de administración: Usuarios y computadoras de Active Directory, Dominios y confianzas de Active Directory y Sitios y servicios de Active Directory. Al mismo tiempo, el sistema también proporciona Active DirectorySchema y ADSI, que se utilizan principalmente para herramientas de desarrollo de Active Directory. La herramienta de usuarios y computadoras de Active Directory es la herramienta más utilizada para configurar directorios interactivos. Presentaremos su uso en detalle más adelante. 3. Eliminar Active Directory es lo mismo que instalar Active Directory, simplemente ejecute el archivo dcpromo.exe. 3. Configurar y administrar usuarios y grupos
Abrir cuentas para usuarios en la red no es solo una función básica, sino también una tarea muy importante, porque las cuentas están relacionadas con los permisos.
La cuenta de usuario se guarda en Active Directory y el único objeto de inicio de sesión se inicia para esa cuenta de usuario. El inicio de sesión único significa que los usuarios solo pueden ingresar su nombre y contraseña una vez cuando inician sesión desde una estación de trabajo para obtener acceso a los recursos de la red. Una cuenta de usuario de dominio puede iniciar sesión en el dominio para acceder a los recursos de la red o iniciar sesión en una computadora personal para acceder a los recursos en la máquina local. (1) Nombre de inicio de sesión del usuario
1. Nombre principal del usuario En Active Directory, cada usuario tiene un nombre de inicio de sesión de usuario y un nombre de inicio de sesión de usuario anterior a Windows 2000. La información de la cuenta de usuario se utiliza para autenticar y autenticar a los usuarios en cualquier parte del bosque, lo que da como resultado inicios de sesión únicos. El nombre principal del usuario es el nombre de inicio de sesión que se utiliza únicamente para iniciar sesión en redes de Windows 2000. Este nombre también puede considerarse como el nombre de inicio de sesión del usuario. El nombre principal de un usuario tiene dos partes, separadas por el símbolo @. Como apple@lanyi.com. El nombre de inicio de sesión de un usuario tiene los dos componentes siguientes: Prefijo del nombre principal del usuario: apple@lanyi.com es Apple. Sufijo del nombre principal del usuario: apple@lanyi.com es lanyi.com. De forma predeterminada, el sufijo es el nombre del dominio raíz en la red. Los usuarios pueden utilizar otros dominios en la red para configurar otros sufijos para los usuarios. 2. Cree el sufijo del nombre principal del usuario (1) Haga clic en la opción "Inicio → Programas → Herramientas administrativas → Dominios y confianzas de Active Directory", haga clic derecho en la opción "Dominios y confianzas de Active Directory" y seleccione el comando "Propiedades". (2) En la pestaña "Sufijo UPN" del cuadro de diálogo abierto, ingrese un nombre de sufijo opcional, como lanyi.com, y luego haga clic en el botón "Agregar". (2) Administrar cuentas de usuario
1. Cree una cuenta de usuario (1) Haga clic en la opción "Inicio→Programas→Herramientas administrativas→Usuarios y computadoras de Active Directory" y haga clic derecho en la columna izquierda de En la ventana abierta del contenedor "usuario", seleccione el comando "Nuevo objeto". (2) En el cuadro de diálogo abierto "Nuevo objeto", ingrese el nombre y el nombre de inicio de sesión del usuario. Haga clic en el botón "Siguiente" e ingrese su contraseña de usuario. Entre ellos: El usuario debe cambiar la contraseña la próxima vez que inicie sesión: si se selecciona esta opción, se le pedirá al usuario que vuelva a ingresar una nueva contraseña la próxima vez que inicie sesión. El usuario no puede cambiar la contraseña: esta opción garantiza que la contraseña del usuario no se pueda cambiar. La contraseña nunca caduca: si está marcada, la contraseña nunca caduca. Como no se pueden utilizar contraseñas caducadas, el tiempo de caducidad se establece en la política de seguridad de la cuenta o se modifica en el cuadro de diálogo de propiedades de la cuenta. La cuenta ha sido desactivada: Indica que esta cuenta ha sido detenida. Si desea desbloquear la cuenta, debe ser configurada por el administrador en el cuadro de diálogo de propiedades del usuario. 2. Realizar tareas de administración de la empresa (1) Deshabilitar y habilitar cuentas de usuario: cuando los usuarios no necesitan sus cuentas por un período de tiempo, pero necesitan usarlas después de un período de tiempo, el administrador puede deshabilitar esta cuenta de usuario. En la ventana "Usuarios y computadoras de Active Directory", haga clic derecho en la cuenta de usuario correspondiente y luego haga clic en el comando "Desactivar cuenta" o "Habilitar cuenta" según el estado actual de la cuenta. (2) Restablecer contraseña: cuando la contraseña caduca antes de que el usuario la cambie o el usuario la olvide, el administrador debe restablecer la contraseña. En la ventana "Usuarios y computadoras de Active Directory", haga clic derecho en la cuenta de usuario correspondiente y luego haga clic en el comando "Restablecer contraseña". (3) Mover cuentas de usuario dentro de un dominio: si es necesario, es posible que el administrador deba mover cuentas de usuario entre unidades organizativas en el mismo dominio. Por ejemplo, si un empleado es transferido de un departamento a otro, otro administrador administrará la cuenta de usuario del empleado. En la ventana "Usuarios y computadoras de Active Directory", haga clic derecho en la cuenta de usuario correspondiente y haga clic en el comando "Mover". En el cuadro de diálogo "Mover" que se abre, haga doble clic en el árbol del directorio del dominio, haga clic en la unidad organizativa a la que se moverá el objeto y luego haga clic en el botón "Aceptar". (4) Eliminar cuentas de usuario: hay cuentas inútiles en Active Directory si un usuario autorizado puede iniciar sesión con una cuenta inútil, puede causar riesgos de seguridad de la red, por lo que las cuentas inútiles deben eliminarse. En la ventana "Usuarios y computadoras de Active Directory", haga clic derecho en la cuenta de usuario correspondiente y luego haga clic en el comando "Eliminar". (5) Cambiar el nombre de la cuenta de usuario: si el administrador desea conservar los diversos atributos y permisos especificados por una cuenta anterior para un nuevo usuario, puede cambiar el nombre de la cuenta anterior.
En la ventana "Usuarios y computadoras de Active Directory", haga clic derecho en la cuenta de usuario correspondiente y luego haga clic en el comando "Cambiar nombre". 3. Establecer atributos para cuentas de usuario de dominio (1) Establecer atributos personales: en la ventana "Usuarios y computadoras de Active Directory", haga clic derecho en la cuenta de usuario correspondiente y haga clic en el comando "Propiedades" para abrir el cuadro de diálogo de propiedades correspondiente. En este cuadro de diálogo, cada pestaña corresponde a diferentes configuraciones de usuario y puede completarlas lo más detalladamente posible según la situación específica. La ventaja de esto es que facilitará futuras búsquedas de cuentas. (2) Establecer atributos de cuenta: en la pestaña "Cuenta", el administrador puede especificar el nombre de inicio de sesión del usuario, configurar las opciones de la cuenta y especificar la fecha de vencimiento de la cuenta. Esta pestaña le permite configurar los ajustes que especificó cuando creó la cuenta, como el nombre de inicio de sesión del usuario y las opciones de inicio de sesión. Puede modificar los requisitos de contraseña. Para hacer esto, seleccione la casilla de verificación correspondiente en el grupo de opciones "Opciones de cuenta". Además, también puede establecer la fecha de vencimiento de la cuenta de usuario en esta pestaña. Una vez alcanzada esta fecha, Windows 2000 desactivará automáticamente la cuenta correspondiente. De forma predeterminada, las cuentas de usuario nunca caducan. Para hacer esto, solo necesita hacer clic en la opción "Después" en el grupo de opciones "Caducidad de la cuenta", luego seleccionar una fecha de vencimiento de la lista y hacer clic en el botón "Aceptar". (3) Especificar opciones de inicio de sesión: puede configurar el período de inicio de sesión del usuario para controlar el período durante el cual el usuario puede iniciar sesión en el dominio especificado. También puede configurar la estación de trabajo de inicio de sesión para controlar en qué computadora el usuario puede iniciar sesión en el dominio especificado. . De forma predeterminada, los usuarios pueden conectarse al servidor las 24 horas del día, los siete días de la semana. En una red de alta seguridad, es posible que desee limitar el tiempo durante el cual los usuarios pueden iniciar sesión en la red. Para configurar el período de inicio de sesión, puede seguir los pasos a continuación: Haga clic en el botón "Hora de inicio de sesión" en la pestaña "Cuenta" para abrir el cuadro de diálogo correspondiente. El cuadro azul indica el período de tiempo en el que el usuario puede iniciar sesión, mientras que el cuadro blanco indica el período de tiempo en el que el usuario no puede iniciar sesión. En los cuadros "Días" y "Horas", seleccione el cuadro del período para el cual desea denegar el acceso, haga clic en la hora de inicio, luego arrástrelo hacia la hora de finalización y luego haga clic en la opción "Denegar inicio de sesión" o "Permitir inicio de sesión". . De manera similar, también puede especificar desde qué computadora inicia sesión el usuario. De forma predeterminada, cualquier usuario con una cuenta legítima puede iniciar sesión en la red desde cualquier computadora que ejecute Windows 2000. Haga clic en el botón "Iniciar sesión" en la pestaña "Cuenta" y luego haga clic en la opción "Siguiendo computadoras" en el cuadro de diálogo que se abre para agregar computadoras en las que los usuarios pueden iniciar sesión. Para hacer esto, ingrese el nombre de la computadora en el cuadro "Nombre de la computadora" y haga clic en el botón "Agregar". 4. Perfil de usuario En Windows 2000, el entorno de trabajo del usuario está definido principalmente por el perfil de usuario. Por motivos de seguridad, Windows 2000 requiere un perfil de usuario para cada cuenta de usuario que accede al sistema. Los perfiles de usuario contienen todas las configuraciones necesarias, incluidas las configuraciones regionales, de monitor, de mouse y de sonido, así como conexiones de red e impresora. (1) Tipos de perfiles de usuario: los perfiles de usuario se crean cuando un usuario inicia sesión en la computadora por primera vez. Todas las configuraciones específicas del usuario se guardan automáticamente en la carpeta de ese usuario, es decir, C:\Documentos y configuraciones\nombre de usuario. Perfil de usuario predeterminado: se utiliza como base para todos los perfiles de usuario. Cada perfil de usuario comienza con una copia del perfil de usuario predeterminado. Perfil de usuario local: creado cuando un usuario inicia sesión en la computadora por primera vez y se almacena localmente en la computadora. Puede haber varios perfiles de este tipo en cada computadora. Perfil de usuario itinerante: creado por el administrador del sistema y almacenado en un servidor. Este perfil está disponible en cualquier momento cuando un usuario inicia sesión en cualquier computadora de la red. Si un usuario cambia la configuración de su escritorio, el perfil de usuario se actualiza en el servidor cuando el usuario cierra sesión. Perfiles de usuario obligatorios: creados por administradores para especificar configuraciones específicas para uno o algunos usuarios. Los perfiles de usuario obligatorios pueden ser perfiles de usuario locales o itinerantes. No guarda ninguna modificación en la configuración del escritorio del usuario. Los usuarios pueden modificar la configuración del escritorio de la computadora en la que iniciaron sesión, pero estos cambios no se guardan cuando cierran la sesión. (2)