Консоль ММС как средство администрирования ОС WindowsServer2003

14.07.2013

КонсольММС (MicrosoftManagementConsole) является средством, может содержать один или несколько приложений, которые применяют для конфигурирования составляющих ОС. ММС непосредственно не выполняет административных задач, однако в ней можно разместить инструменты (оснащение), которые позволят выполнить эти задачи. Загрузка консоли проще осуществить с помощью команды ТТС, которую нужно ввести в пункте Выполнить (Run) главного меню. Окно
консоли имеет два фрейма (подокна): левый, в котором размещается оснащение, и прав, который содержит изменения выбранного оснащения.

Существует два режима использования консоли ММС: пользовательский и авторский. В первом режиме пользователь использует готовые консоли ММС, а во втором - создает собственные консоли, используя оборудование. Примером пользовательского режима является известная консоль Управление компьютером (ComputerManagement).

Для создания консолей в авторском режиме нужно в пустую консоль добавлять нужные оснащение (Консоль-Добавить или удалить оснащение (Консоль - AddorremoveSnapIn)). Заметим, что практически все оснащение позволяют выполнять задачи администрирования как на локальном компьютере, так и на удаленном. Например, при добавлении оснастки «Локальные пользователи и группы», администратор может выбрать учетные записи компьютера, которого продвигаться это оснащение. После внесения изменений в консоль ее можно сохранить как файл.

Управление учетными записями пользователей и групп пользователей

Для управления работой пользователей в ОС WindowsServer2003 реализован механизм учетных записей и групп. Первые позволяют входить в сеть и доступ к сетевым ресурсам отдельным пользователям.

Вторые применяют для управления ресурсами нескольких пользователей группы. Правила работы для отдельных пользователей и групп определяют действия, которые могут выполнять соответствующие пользователи, а также компьютерные системы и ресурсы, к которым у них есть доступ.

Процесс подтверждения соответствия идентификационных данных, введенных пользователем, его учетной записи, который зарегистрирован в ОС, называют
аутентификацией. Обычно, в процессе аутентификации пользователь предоставляет системе сведения, идентифицирующие его - имя учетной записи
(Л о г и н) и определенное кодовое слово (пароль). Кроме логина и пароля аутентификация может осуществляться с помощью сертификатов, голоса, отпечатков пальцев лица и т.п..

Аутентификация в WindowsServer2003 осуществляется в два этапа:

интерактивный вход в систему и сетевая аутентификация.
WindowsServer2003 поддерживает несколько протоколов аутентификации.
- NTLANManager (NTLM) - основной протокол в ОС WindowsNT,
используется для аутентификации в домене WindowsNT.
- Kerberos-стандартный Интернет-протокол аутентификации
пользователей и систем (основной механизм аутентификации в доменах
ActiveDirectory).
- SSL / TLS (SecureSocketLayer / TransportLayerSecurity) - основной
механизм аутентификации на защищенных Web-серверах;
- NETPassportAuthentication - механизм аутентификации в интернет-
сервисах Microsoft (InternetInformationServices (IIS)), что позволяет
использовать сведения домена ActiveDirectory для аутентификации
пользователей из сети Интернет, внутренних и внешних сетей.
Работа с ОС или сетью требует не только осуществления аутентификации
пользователей, но и предоставление им доступа к определенным ресурсам. Такой процесс называют авторизацией.

В WindowsServer2003 определены учетные записи двух типов.
1. Локальные учетные записи - где зарегистрированы записи в базе данных локального компьютера (ОС). После аутентификации пользователь получает
доступ только к ресурсам этого компьютера. Для доступа к другим сетевым ресурсам пользователь должен вновь проходить процедуру аутентификации.

2. Доменные учетные записи - зарегистрированные записи в базе данных домена (в WindowsServer2003 - это ActiveDirectory). После однократной
аутентификации пользователи с такими учетными записями могут обращаться к ресурсам всего домена.

Как уже отмечалось, в WindowsServer2003 есть возможность использовать учетные записи не только отдельных пользователей, но и учетные записи групп, она позволяет автоматически предоставлять права доступа к ресурсам подобным типам пользователей и упростить администрирование записей. Каждый пользователь - член группы (который включен в соответствующую группу) может обращаться к ресурсам, право доступа к которым предоставлено группе.

Основными локальными группами ОС WindowsServer2003 являются:
- администраторы, имеют неограниченные полномочия для управления
ОС;
- опытные пользователи, имеющие большинство полномочий адми-
нистраторив;
- пользователи, которые не имеют полномочий для изменения параметров ОС;
- гости, имеющие полномочия, аналогичные группы «пользователи»,
однако часто не имеют полномочий для хранения пользовательских профилей;
- пользователи удаленного рабочего стола - группа для удаленного входа
в ОС с помощью службы терминалов;
- debuggerusers-пользователи, которые могут влиять на процессы ОС;
- операторы архива, которые имеют полномочия для резервного копирования
и восстановление ОС.

Локальные учетные записи пользователей

Для создания учетной записи пользователя нужно из меню выполнить команду Действия - Новый пользователь (Action-NewUser).
Параметрами создаваемого записи являются:
- логин (имя учетной записи)
- полное имя пользователя (можно вводить фамилию, имя и отчество);
- описание учетной записи
- пароль;
- требование смены пароля пользователем при следующем входе;
- запрет смены пароля пользователем
- неограниченный срок действия пароля;
- отключения аккаунта.

С помощью контекстного меню учетной записи администратор может изменить его пароль. Окно свойств учетной записи позволяет добавить или удалить его из определенной группы.