Správa používateľských účtov. Oprava konfiguračných súborov používateľov a skupín. Čas vypršania hesla

V jednom z mojich článkov som už napísal, že môžete pridať a zmeniť vlastnosti používateľských účtov prostredníctvom "Ovládací panel" - "Používateľské účty". Táto metóda je však vhodnejšia pre bežných používateľov. Ale správca systému bude pohodlnejšie spravovať účty prostredníctvom konzoly "Správa počítača" - "Lokálni používatelia a skupiny."

Ak sa chcete dostať do konzoly "Správa počítača", kliknite pravým tlačidlom myši na ikonu "Tento počítač" na pracovnej ploche a vyberte položku "Správa". Ďalej otvorte sekciu Nástroje a vyberte možnosť Miestni používatelia a Skupiny.

Modul snap-in je určený na vytváranie nových používateľov a skupín, správu účtov, nastavenie a obnovenie používateľských hesiel.

Miestny používateľ   Je účet, ktorému možno udeliť určité práva a práva vo vašom počítači. Účet má vždy svoje vlastné meno a heslo (heslo môže byť prázdne). Môžete tiež počuť iné meno pre používateľský účet - akkaunt a namiesto "užívateľského mena" často hovoria prihlásenie .

Modul snap-in "Lokálne používatelia a skupiny" zobrazuje zoznam používateľských účtov: vstavaný účty  (napríklad "administrátor" a "hosť") a tiež vytvorili si účty reálnych používateľov osobného počítača.

Vstavané používateľské účty sa vytvárajú automaticky nainštalujte systém Windows  a nemožno ich vymazať. Pri vytváraní nového používateľa musíte mu dať meno a heslo (najlepšie) a tiež určiť, ktorá skupina bude zahrnutá nového používateľa, Každý používateľ môže byť súčasťou jednej alebo viacerých skupín.

Uzol zobrazuje vstavané aj skupiny vytvorené správcom (tj vy). Vstavané skupiny sa automaticky vytvoria pri inštalácii systému Windows.

Vlastníctvo skupiny poskytuje používateľovi určité práva na vykonávanie rôznych činností v počítači. Členovia skupiny administrátori   mať neobmedzené práva. Odporúčame, aby ste používali iba administratívny prístup na vykonanie nasledujúcich činností:

• inštalovať operačný systém  a jeho komponenty (ovládače zariadení, systémové služby, servisné balíky);
• aktualizovať a obnoviť operačný systém;
• inštalácia programov a aplikácií;
• konfigurácia najdôležitejších parametrov operačného systému (heslá, kontrola prístupu atď.);
• riadenie bezpečnostných a audítorských záznamov;
• archiváciu a obnovu systému atď.

Páči sa vám správca systému, musí mať účet, ktorý je súčasťou skupiny Administrators. Všetci ostatní používatelia počítača musia mať účty, ktoré sú buď v skupine "Používatelia" alebo v skupine "Power Users".

Pridanie používateľov do skupiny prispôsobiťa   je najbezpečnejšia, pretože povolenia udelené tejto skupine neumožňujú používateľom meniť nastavenia operačného systému alebo iné údaje používateľov, inštalovať nejaký softvér, ale tiež neumožňujú vykonávanie starších aplikácií. Aj ja som opakovane narazil na situáciu, keď staré programy DOS nefungovali pod účtom člena skupiny Users.

Skupina Pokročilí používatelia   Podporuje sa hlavne pre kompatibilitu s predchádzajúcimi verziami systému Windows na vykonávanie necertifikovaných a zastaraných aplikácií. "Skúsení používatelia" majú viac povolení ako členovia skupiny "Používatelia" a menej ako "Administrátori". Predvolené povolenia udelené tejto skupine umožňujú členom skupiny meniť určité nastavenia počítača. Ak potrebujete podporu, ktorá nie je certifikovaná Aplikácie Windows, používatelia musia byť členmi skupiny "Power Users".

účet hosť   poskytuje prístup k počítaču každému používateľovi, ktorý nemá účet. Ak chcete zvýšiť bezpečnosť vášho počítača, odporúčame zakázať účty hosťa a nakonfigurovať prístup k zdieľaným zdrojom PC existujúcim používateľom.

Teraz uvidíme, ako sa účet vytvára prostredníctvom konzoly "Správa počítača" - "Miestni používatelia a skupiny".

Vytvorenie účtu

Pri inštalácii originálu verzie systému Windows  XP (toto nie je zostava z Zver  alebo podobne) sa odporúča vytvoriť používateľské účty pre počítače. Musíte vytvoriť aspoň jeden účet, pod ktorým sa môžete prihlásiť do systému po prvom spustení. Ale v skutočnosti je v reálnom živote potrebné vytvoriť niekoľko účtov pre každého používateľa, ktorý pracuje na počítači alebo pre skupinu používateľov spojených spoločnou úlohou a prístupovými oprávneniami.

Ak chcete pridať nový účet, otvorte "Lokálni používatelia a skupiny" snap-in - vyberte adresár "Používatelia" - a potom v pravom okne kliknite na prázdne miesto doprava  myš - vyberte možnosť "Nový používateľ":

V okne, ktoré sa zobrazí, zadajte meno používateľa a popis. Tiež požiadať o heslo používateľa (ako prísť so silným heslom môžete prečítať na účet).
  Potom nakonfigurujte ďalšie parametre - začiarknite alebo zrušte začiarknutie políčok vedľa požadovaných položiek: Môžete zrušte zaškrtnutie políčka "Používateľ musí zmeniť heslo pri ďalšom prihlásení" a dal políčka "Zakázať používateľ musí zmeniť heslo" a "Heslo nikdy vyprší obmedzené." V tomto prípade používateľ nebude môcť zmeniť heslo svojho účtu. To je možné vykonať iba vy, pracujúci pod administrátorským účtom.

Po kliknutí na tlačidlo "Nové" sa v zozname používateľov zobrazí nový účet. Kliknite na neho dvakrát myšou a prejsť do okna, ktoré sa objavia na "Skupina". Tu kliknite na tlačidlo "Pridať" - "Viac" - "Hľadať". Potom vyberte skupinu, do ktorej musí užívateľ zadať (odporúča skupine "Users" alebo "Power Users") a kliknite na "OK" vo všetkých oknách displeja. Za to, že tu v "skupina" zo zoznamu odstrániť všetky skupiny s výnimkou tej, ktorú ste práve vybrali. Kliknite na tlačidlo "OK": Takže ste vytvorili nový účet a zaradili ho do skupiny.

Teraz povedzte používateľovi (v našom prípade Ivanovi) meno jeho účtu ( iva) a heslo, aby sa mohol prihlásiť do systému. Všetky počítače v sieti, ktorého zdroje Ivanov potrebuje prístup, budete musieť vytvoriť rovnaký účet s rovnakými parametrami. Ak sa však na ľubovoľnom počítači v sieti nebude zodpovedať za Ivanov, zatiaľ čo účet "Guest" je zakázané, potom Ivanov nebude môcť zobraziť zdieľané sieťové prostriedky počítača.

Ak používateľský účet už nie je potrebný, môžete ho odstrániť. Aby ste sa vyhli rôznym typom problémov, odporúčame pred odinštaláciou odpojiť používateľské účty. Ak chcete urobiť, kliknite pravým tlačidlom myši na názov účtu - zvoľte "Vlastnosti" - v vlastností účtu, označte políčko "Zakázať účet" a kliknite na "OK". Uistiť sa, že to nemalo spôsobiť problémy (pozor sieť niekoľko dní), môžete bezpečne odstrániť účet: Kliknite pravým tlačidlom myši na názov účtu a kontextové menu vyberte možnosť Odstrániť. Vymazaný používateľský účet a všetky údaje, ktoré sú s ním spojené, sa nedajú obnoviť.

Ovládanie prístupu

Povedzme teda, že niekoľko používateľov pracuje s jedným počítačom a vytvorili ste svoj účet pre všetkých podľa vyššie uvedených pravidiel. Ale zrazu bolo potrebné, aby ste pre tých alebo iných používateľov zaviedli prístup k niektorým priečinkom alebo súborom v počítači. Táto úloha sa rieši priradením určitých prístupových práv k zdrojom počítača.

Ovládanie prístupu   je poskytovať používateľom, skupinám a počítačom špecifické prístupové práva k objektom (súborom, priečinkom, programom atď.) v sieti a na lokálnom počítači.

Kontrola prístupu pre používateľov miestneho počítačaa   sa vykonáva zmenou nastavení na obrazovke " bezpečnosť"V okne" Vlastnosti ":

Konfigurácia zabezpečenia pre priečinok Moje dokumenty

Funkcia " prístup"Rovnaké okno sa používa na ovládanie prístup k sieti   na bežné objekty (súbory, priečinky a tlačiarne) v počítačoch siete.

V tomto článku budeme hovoriť o vymedzení prístupu miestnych používateľov  na objekty miestneho počítača , Táto funkcia je dostupná iba v systéme súborov NTFS. Ak je počítač súborový systém  NTFS, ale karta "Bezpečnosť" sa nezobrazuje, prejdite na "Štart" - "Ovládací panel" - "Možnosti priečinka". Na karte "Zobraziť" v časti "Rozšírené nastavenia" zrušte začiarknutie políčka " Použite jednoduché zdieľaný prístup  do súborov (odporúča sa)"A kliknite na tlačidlo" OK ": Základný koncept spojený s riadením prístupu je dovolenia .

Povolenia určujú typ prístupu používateľa alebo skupiny k objektu alebo jeho vlastnosti. Povolenia sa vzťahujú na súbory, priečinky, tlačiarne, objekty databázy Registry. Ak chcete nastaviť alebo zmeniť oprávnenia pre objekt, kliknite pravým tlačidlom myši na názov objektu a v kontextovej ponuke vyberte položku Vlastnosti. Na karte Zabezpečenie môžete zmeniť povolenia pre súbor alebo priečinok výberom alebo zrušením začiarknutia políčok vedľa požadovaných položiek v zozname oprávnení.

Pre každého používateľa môžete nastaviť svoje vlastné povolenia. Najskôr vyberte používateľa v zozname a zadajte oprávnenia pre daného používateľa. Napríklad, jeden používateľ môže iba čítať obsah niektorého súboru (" čítania"), Iné - vykonať zmeny v súbore (povolenie" pozmeniť") A všetci ostatní používatelia všeobecne odmietajú prístup k tomuto súboru (odstráňte všetky príznaky pod" vyriešiť"Alebo vložte všetky začiarkavacie políčka" zakázať”).

Ak chcete zobraziť všetky skutočná oprávnenia pre súbory a priečinky na lokálnom počítači, zvoľte "Vlastnosti" - "Zabezpečenie" - "Ďalšie" - "Skutočná oprávnenia" - "Vybrať" - "Ďalšie" - "Search", prejdite na meno správnym používateľom  a kliknite na tlačidlo "OK". Položky označené zaškrtávacími políčkami majú povolenia pre tohto používateľa:

V tom istom okne môžete vidieť karty "Oprávnenia", "Audit", "Vlastník". Nebudem sa na nich venovať podrobne v rámci tohto článku, tk. je už príliš objemný.

Ak na karte Zabezpečenie nie je žiadny používateľ, ktorému treba priradiť povolenia, kliknite na nasledujúce tlačidlá na karte Zabezpečenie: pridať” – “dodatočne” – “vyhľadávanie". V zozname vyberte názov používateľského účtu, na ktorý chcete priradiť povolenia, a kliknite na tlačidlo OK. Namiesto jedného používateľa môžete vybrať skupinu - povolenia sa budú vzťahovať na všetkých používateľov v tejto skupine. Pamätajte na tieto tlačidlá dobre. Tento postup budete robiť vo všetkých prípadoch, keď potrebujete pridať nového používateľa do zoznamu povolení, auditu, vlastníctva, prístup k sieti  a podobne.

Kontrola prístupu sa používa nielen pre používateľov miestneho počítača, ale aj pre prístup k zdieľané súbory, priečinkov a tlačiarní v sieti. Informácie o vymedzení prístupových práv pre používateľov siete vo vzťahu k priečinku som už uviedol v článku.

dnes   našej lekcie a diskutovať o správe používateľských účtov.

Označili sme názov, teraz si vyberieme napríklad typ položky "Normálny prístup" a kliknite na tlačidlo "Vytvoriť účet". Teraz vyberte účet, ktorý sme zo zoznamu vytvorili, a prejdite na jeho nastavenia.

V podstate je hlavná vec, ktorú sme už nastavili, názov účtu a jeho typ. Teraz môžeme niečo zmeniť a pridať niečo.

Napríklad prvá položka "Zmena názvu účtu"  dostaneme možnosť zmeniť názov, resp.

Môžeme jednoducho premenovať účet.

Ak to chcete mať vo svojom účte bolo nastavené hesloa môžete ísť do počítača jednoduchým zadaním. Môžete tak obmedziť prístup k svojim osobným dokumentom, ktoré sú uložené presne vo vašom profile. Preto môžete v tejto oblasti vytvoriť heslo. Tu zadajte heslo a znova zadajte rovnaké heslo na potvrdenie a tiež môžete zadať výzvu, ktorá sa vám zobrazí.

Nainštalujeme napríklad nejaké jednoduché heslo, potvrdíme to a zadáme textové výzvy "textové výzvy na heslo". Kliknite na tlačidlo "Vytvoriť".

Ak som teraz, a vedľa tlačidla Vypnutie kliknite na čierny trojuholník a vyberte z rozbaľovacieho zoznamu "Zmeniť používateľa", potom sa dostanem na uvítaciu obrazovku.

Aby som sa dostal do záznamu Olga, musím kliknúť na túto ikonu a mám okno, kde potrebujem vložiť heslo.

Preto, aby sa dostali do tento záznam  Potrebujem zadať heslo. Ak som zabudol heslo alebo ho nesprávne zadal, vidím tu takýto návod, text, ktorý som zadal.

Poďme sa vrátiť k môjmu používateľovi a uvidíme, čo bude ďalej.

Po zadaní hesla máme možnosť odstrániť ho kliknutím na túto položku.

Obraz je to obraz, ktorý sme pridružili k nášmu účtu. Ako už vieme, tento obrázok sa zobrazuje nielen na uvítacej obrazovke, ale aj v ponuke Štart. Preto môžeme tento obrázok vybrať z niektorých štandardných, ktoré sú tu uvedené.

Vyberte si napríklad tu slnečnicu a kliknite na položku Zmeniť obrázok. Tu sa teraz používa pre nás.

Alebo môžeme použiť tlačidlo   «Hľadajte ďalšie výkresy»  a vyberte obrázok v počítači, tento obrázok sa zobrazí ako tento obrázok vášho účtu.

Je tu aj možnosť pre nás "Nastavenie rodičovskej kontroly", Čo je to? Ak je spustený počítač vášho dieťaťa, môžete si preň vytvoriť samostatný účet a nakonfigurovať nastavenia rodičovskú kontrolu, Ak to chcete urobiť, musíme vybrať náš účet.

Rodičovská kontrola je v predvolenom nastavení zakázaná a môžeme ju zapnúť.

Tu môžeme zadať časové limity. To znamená, že tu môžeme špecifikovať časové intervaly, v ktorých bude povolený prístup k počítaču. Jediné, čo musíme urobiť, je jednoducho špecifikovať hodiny, kedy bude zablokovaný prístup k počítaču.

Stačí zablokovať hodiny, ktoré považujeme za potrebné. Alebo môžeme vôbec zablokovať všetko a potom zadajte hodiny, kedy bude povolený prístup k počítaču. Potom musíte kliknúť na tlačidlo OK.

Posledná vec, ktorú tu môžete nakonfigurovať, je povolenie pracovať v niektorých programoch. Tu môžeme vybrať tie programy, tu uvádzame programy, ktoré sú tu, a tu môžeme skontrolovať programy, ku ktorým má používateľ prístup.

A preto môžeme odstrániť kliešť z týchto programov, prístup k nim je nežiadúci. A vaše dieťa preto nebude môcť spustiť žiadny program, ktorý by ste nechceli bežať.

Poďme sa vrátiť všeobecné nastavenia, V prípade potreby môžeme vždy zmeniť typ účtu. To znamená, že tento používateľ bude mať buď správcu, alebo bude mať bežný účet. Toto sa vykonáva v odseku "Zmena typu účtu".

Ale aby ste zmenili typ z normálneho na Administrátora, musíte byť už správcom tohto počítača. To znamená, že sa musíte prihlásiť do počítača pomocou účtu správcu, ktorý už má práva. Ak ste vo svojom účte a váš účet je typu Normálny prístup, nebudete môcť vykonať túto zmenu.

To je v zásade dôležité aj pre "Vymazanie účtu"Ak chcete účet odstrániť, musíte to mať administratívne práva  na tomto počítači.

Ak chcete účet odstrániť, musíte prejsť na položku "Správa účtu" a podľa toho si môžete vybrať potrebný účet a vybrať možnosť "Vymazať účet". Tu budeme okamžite vyzvaní odstrániť okamžite a úplne všetky súbory, to znamená celý profil tohto používateľa alebo "Uložiť súbory" a odstrániť iba v napísať okná, Doteraz som neurobil nič podobné.

  Takže sme sa naučili, ako vytvoriť účty, túto lekciu dokončujem tu.

Natalia Gerasimenko

Táto dokumentácia bola presunutá do archívu a nie je podporovaná.

Správa používateľských účtov

   Office 365

Platí pre:Office 365

Naposledy upravené  rubrika:2017-04-26

Microsoft Office  365: podporuje nasledujúce spôsoby vytvárania používateľov, overovanie ich pravosti a ich spravovanie.

Informácie o nástrojoch, ktoré vám pomôžu vykonávať úlohy správy, nájdete v téme Nástroje na správu účtov Office 365. Informácie o vykonávaní denných úloh správy nájdete v časti Časté úlohy správy v balíku Office 365.

Office 365: má dva systémy, ktoré môžete použiť na poverenie používateľa.

Pracovný alebo školiaci účet (ID cloud), Používatelia dostanú poverenia cloudu pre službu Azure Active Directory na prihlásenie do služby Office 365: a ďalších služieb Microsoft Cloud Services. Tieto poverenia nie sú spojené s inými povereniami (firemnými alebo pre prístup k počítačom) a predstavujú predvolenú identitu. Odporúčame vám ich používať na zjednodušenie nasadenia. Pri heslách pre pracovníkov alebo vzdelávacie účty používajte zásady pre heslo služby Azure Active Directory.

Federatívny účet (federatívny certifikát).  Používatelia v organizáciách s miestnou službou služby Active Directory, ktorí používajú jednotné prihlásenie, sa môžu prihlásiť do služieb balíka Office 365: pomocou svojich poverenia služby Active Directory. Podniková služba služby Active Directory ukladá a spravuje zásady týkajúce sa hesiel. Informácie o jednotnom prihlásení nájdete v časti Stratégia jednotného prihlásenia.

Typ identity ovplyvňuje interakciu s používateľom a nastavenia správy používateľského účtu, ako aj požiadavky na hardvér a softvér  a ďalšie aspekty nasadenia.

Keď sa vytvorí nový používateľ, e-mailová adresa  a prihlasovacie meno je priradené k predvolenej doméne, ako je nastavené v Centre pre správu Office 365:. Ďalšie informácie nájdete v téme Pridanie používateľov a domény do balíka Office 365.

Predvolene sa prihlásite na odber služby Office 365: používa sa doména<názov spoločnosti>.onmicrosoft.comvytvorené pomocou konta. * Nemôžete uložiť doménu onmicrosoft.com, ale pridať Office 365: jednu alebo viac osobných domén a priradiť každú z overených domén, aby sa mohli používatelia prihlásiť. Každá určená používateľská doména je e-mailová adresa, ktorá sa zobrazí pri odosielaní a prijímaní elektronických správ.

Môžete zverejňovať v balíku Office 365: až 900 zaregistrovaných internetových domén, z ktorých každý je reprezentovaný samostatným menom.

V prípade organizácií, ktoré používajú jednotné prihlásenie, musia všetci používatelia v doméne používať rovnaký systém overovania: buď cloud alebo federated identity. Napríklad môže existovať jedna skupina používateľov, ktorí vyžadujú iba identitu cloud, pretože nemajú prístup k lokálnym systémom a iná skupina používateľov, ktorí používajú Office 365: a lokálne systémy. V tomto prípade budete musieť pridať do balíka Office 365: dve domény, napríklad kontraktor.contoso.com a staff.contoso.com a nakonfigurovať jedno prihlásenie len pre jednu z nich. Celú doménu je možné previesť z identity cloudu na federatívnu identitu alebo z federovanej identity na identitu cloud.

Ďalšie informácie o doménach v balíku Office 365 nájdete v popise služby.

* Ak používate službu Office 365: služba poskytovaná spoločnosťami 21Vianet v Číne, predvolená doména vyzerá<название_компании>.onmsChina.cn, Ak používate balík Office 365 Germany, vyzerá to predvolená doména<название_компании>.onmicrosoft.de

S výnimkou internetových stránok pre anonymný prístup vytvorený v službe SharePoint Online, keď pristupujete k službám Office 365: musíte overiť používateľa.

Moderné overovanie  Moderné overovanie poskytuje prístup k klientským aplikáciám balíka Office na rôznych platformách založených na knižnici overovania totožnosti Active Directory (ADAL). To vyvoláva takéto príležitosti k vstupu ako autentizačný multi-factor (MFA), využívanie dodávateľov tretích strán na báze SAML poverenie s klientskymi aplikáciami Office a overovanie pomocou čipovej karty a na základe certifikátov. Okrem toho nemusíte používať štandardný protokol overenia pre program Microsoft Outlook. Ďalšie informácie vrátane informácií o dostupnosti modernej autentifikácie pre rôznych aplikácií  Office, pozrite si princípy práce s modernou autentifikáciou pre klientske aplikácie Office 2013 a Office 2016 a Používanie modernej autentifikácie Office 365 s klientmi Office.

Moderné overenie nie je predvolene povolené pre službu Exchange Online. Môžete si prečítať pokyny, ako ho povoliť v článku Zahrnutie modernej autentifikácie do programu Exchange Onlinen.

Overenie totožnosti v cloude, Overenie používateľov s ID cloud je tradičná autentifikácia so žiadosťou a potvrdením. Webový prehliadač presmeruje na službu Office 365: prihlasovaciu službu, do ktorej zadávate meno a heslo používateľa pre pracovný účet alebo výcvikový účet. Prihlasovacia služba overuje poverenia, vytvára token služby, ktorý webový prehliadač pošle požadovanej službe a prihlási sa na používateľa.

Overenie federatívnej identity.  Používatelia s federatívnymi povereniami sú overení službou Active Directory Federation Services (AD FS) 2.0 alebo inými bezpečnostnými tokenovými službami. Webový prehliadač je presmerovaný na službu Office 365: prihlasovaciu službu, kde zadáte firemný identifikátor vo forme hlavného názvu používateľa (UPN); napríklad, [chránený emailom]  Služba prihlasovania určuje, že ste súčasťou federovanej domény a navrhuje presmerovanie na server federácie pre autentifikáciu. Ak ste prihlásení k počítaču (pripojené k doméne), miniete overovania (protokolom Kerberos alebo NTLMv2), a miestne Security Token Service vygeneruje token, ktorý webový prehliadač odošle k vstupu Office 365 služby :. Pomocou tohto tokenu služba prihlasovania vytvorí token, ktorý webový prehliadač zašle požadovanej službe a potom sa prihlási. Zoznam dostupných bezpečnostných tokenových služieb nájdete v téme Stratégia jednotného prihlásenia.

Office 365 používa overovanie overovanie na základe formulárov na a overovanie komunikáciu prechádzajúcej cez sieť je vždy šifrovaná pomocou protokolu TLS / SSL pomocou portu 443 overovací prevádzku používa malý zlomok šírky pásma pre Office 365 služby :.

Pre plnohodnotných klientov, ako sú klasické aplikácie balíka Microsoft Office, môže byť autentifikácia vykonaná dvoma spôsobmi.

Sprievodca prihlásením na služby online Microsoft  Pomoc na prihlasovanie, ktorý je nainštalovaný Inštalátor aktualizácie Office 365 ploche obsahuje zákaznícky servis, ktorý prijíma služby z Úradu vstupnej značka službu 365 a vráti ho do bohatého klienta.

• Ak máte ID cloud, zobrazí sa výzva na zadanie poverení, ktoré klientska služba odošle do prihlasovacej služby Office 365: na overovanie (pomocou WS-Trust).

  Ak máte federálnej licenciu, zákaznícky servis je najprv upozorniť na AD FS 2.0 servera na overenie poverenia (cez Kerberos alebo NTLMv2) a dostane prihlasovacie token, ktorý je odoslaný do SSO Office 365 (pomocou WS-Federation a WS-Trust).

Primárna / proxy autentifikácia cez SSL Klient programu Outlook  vykoná základné overenie prostredníctvom protokolu SSL v službe Exchange Online. Aplikácia Exchange Online odošle žiadosť o overenie na autentizačnú platformu Office 365 a potom na miestny server Federácie federácie Active Directory (pre jednotné prihlásenie).

Aby bolo zaistené správne detekcie a autentizačné služby: správcovi Office 365 je nutné používať komponenty a aktualizovať každú pracovnú stanicu, ktorá využíva bohatých klientov (napríklad Microsoft Office 2010) a pripojiť k Office 365 :. Inštalačný program na inštaláciu balíka Office 365: pre stolné počítače je automatický nástroj na inštaláciu požadovaných aktualizácií na pracovné stanice. Ďalšie informácie nájdete v téme Používanie nainštalovaných aplikácií Classic Office s balíkom Office 365.

Prihlasovacie rozhranie sa líši v závislosti od typu používanej identity balíka Office 365:.

Spôsob odstránenia účtov závisí od toho, či sa používa synchronizácia adresárov.

Ak nepoužívate synchronizáciu adresárov, môžete odstrániť účty na stránke správy Office 365: alebo pomocou Windows  PowerShell.

Ak používate synchronizáciu adresárov, je potrebné odstrániť používateľov z lokálnej služby Active Directory a nie zo služby Office 365:.

Politiky a postupy pre správu hesiel závisia od systému overovania.

Správa hesiel identity v cloude:

Pri používaní identifikátorov cloud sa heslá automaticky vytvoria po vytvorení účtu.

Informácie o bezpečnostných požiadavkách na heslo pre cloud ID nájdete v článku o pravidlách pre heslá.

Na zlepšenie bezpečnosti musia používatelia zmeniť svoje heslá pri prvom prístupe k službám Office 365:. V dôsledku toho pred prístupom k službám Office 365: používatelia sa musia prihlásiť na portál Office 365: kde sa zobrazí výzva na zmenu hesla.

Existuje niekoľko spôsobov, ako obnoviť heslá pre používateľov s ID cloud:

Obnovenie hesla správcom  Ak používatelia stratia alebo zabudnú svoje heslá, správcovia môžu obnoviť heslá používateľov na portáli Office 365: alebo pomocou Windows PowerShell. Používatelia môžu zmeniť svoje heslá iba v prípade, že poznajú aktuálne heslá.

Resetovanie hesiel pomocou systému Windows PowerShell  Správcovia služieb môžu obnoviť heslá pomocou systému Windows PowerShell.

Správa federatívnych identifikačných hesiel:

Pri používaní federatívnych poverení sa v službe Active Directory vykonáva správa hesiel. Služba miestneho bezpečnostného tokenu sa overí pomocou balíka Office 365: Federation Gateway bez toho, aby preniesla lokálne používateľské heslo Active Directory cez Internet na Office 365:. Používajú sa pravidlá miestneho hesla alebo pre webových klientov sa používa dvojfaktorové overenie. Aplikácia Outlook Web App neobsahuje hypertextový odkaz na zmenu hesla. Používatelia menia heslá pomocou štandardných lokálnych nástrojov alebo pomocou parametrov na prihlásenie do počítača.

Office 365 Licencia: Udeľuje používateľovi prístup k Office 365 Services Suite:. Správca pridelí každému používateľovi licenciu na službu, ku ktorej potrebuje prístup. Môžete napríklad priradiť používateľovi prístup k službe Skype pre službu Business Online, ale nie k službe SharePoint Online.

V balíku Office 365: Enterprise sa používa model RBAC: oprávnenia a funkcie sú definované riadiacimi funkciami. Používateľ, ktorý zaregistruje svoju organizáciu v balíku Office 365:, sa automaticky stane globálnym správcom alebo správcom najvyššej úrovne. Existuje päť administratívnych úloh: Globálny administrátor, Správca fakturácie, Administrátor hesiel, Administrátor služieb a Správca správy používateľov. Ďalšie informácie o administratívnych rolách v balíku Office 365: firemné, vrátane spôsobu ich použitia v službe Exchange Online, SharePoint Online a Skype for Business Online, nájdete v téme Priradenie rolí správcu. Ak používate plán Office 365: ktorý je spustený spoločnosťou 21Vianet v Číne, pozrite si článok. Chcete hovoriť so zástupcom služieb zákazníkom? Prejdite na možnosť Vyberte plán a kliknite na tlačidlo rozprávanie  na červenom banner v hornej časti.

Zamestnanci každej organizácie sú neustále aktualizovaní, niektorí zamestnanci idú do práce, iní sú prepustení. A ako viete, nie vždy človek je spokojný s tým, že opúšťa spoločnosť. Ak takýto nespokojný bývalý zamestnanec má kľúče do kancelárie, hlava určite zmení zámok. Ak má bývalý používateľ účet, musí sa vykonať tak, aby ho nemohol použiť - najmä ak je tento účet spojený s privilégiami, ktoré v zásade dávajú jeho majiteľovi príležitosť spôsobiť škodu. Tento článok bude diskutovať o tom, ako používať softvérové ​​nástroje  Povolenie alebo zakázanie používateľských účtov a nastavenie hesiel účtu. Okrem toho budem hovoriť o programe, ktorý umožňuje používateľom meniť heslá aj keď je z bezpečnostných dôvodov zatvorený prístup do dialógového okna Zabezpečenie systému Windows.

Povolenie alebo zakázanie účtov

Dokonca aj v prípade dočasného neprítomnosti zamestnanca, je lepšie preniesť jeho účet na nečinný režim počas tohto obdobia, aby útočníci tento účet nemohli použiť na útok na systém. Nemusíte však odstraňovať neaktívny účet, pretože v takomto prípade budete musieť obnoviť všetky súvisiace bezpečnostné nastavenia, keď sa používateľ vráti. Každý skúsený správca vie, že účet by mal byť na chvíľu zablokovaný, kým sa nepoužije, a odstrániť ho len vtedy, keď je plne presvedčený, že tento účet už nebude potrebný.

Ak chcete zjednodušiť proces blokovania účtu, keď používateľ nie je prítomný a povoliť účet, po jeho vrátení môžete použiť program z výpis 1  , Skript je jednoduchý: prvýkrát sa pripojíte k vybranému účtu, potom sa zmení parameter AccountDisabled. Môžete tiež zakázať účet úpravou príznaku kontroly spojeného s účtom, ale navrhovaná metóda je po prvé jednoduchšia a po druhé rovnako efektívna pre naše účely. Ak chcete, aby rovnaký program vykonával dvojitú službu (t. J. Vypnutie a zapnutie účtov), ​​musíte urobiť parameter programu AccountDisabled argumentom pre program. Malý pomocný podprogram hovorí používateľovi o tom, ktorú hodnotu zadá, aby získal požadovaný výsledok. Pretože program používa priestor názvov WinNT, bude pracovať s doménami SAM aj doménami služby Active Directory (AD). Aktualizáciou modulu snap-in Používatelia a počítače služby Active Directory v konzole Microsoft Management Console (MMC) na radiči domény (DC) uvidíte, že účet so zadaným názvom je teraz zakázaný alebo povolený v závislosti od pokynov.

Zmeňte heslo účtu

Niekedy nie je vhodné zakázať účet, napríklad nemôžete deaktivovať účet správcu, ktorý používajú viacerí zamestnanci, iba preto, že jedna osoba odíde. V tomto prípade musíte zmeniť heslo účtu.

Služba Active Directory Service Interfaces (ADSI) podporuje dve metódy na zmenu hesiel: ChangePassword a SetPassword. Pri použití ChangePassword je potrebné, aby zamestnanec, ktorý mení heslo, poznal aktuálne heslo. Jednoducho ChangePassword je nástroj pre administrátorov, pretože správcovia nemusia poznať heslá používateľa. ChangePassword je však skutočne užitočný, keď správca zatvorí prístup k dialógovému oknu Zabezpečenie systému Windows pomocou Zásady skupiny alebo iným spôsobom, ale chce používateľom umožniť zmeniť svoje heslá. SetPassword jednoducho nahradí existujúce heslo novým.

Program, ktorý umožňuje registrovanému používateľovi zmeniť heslo, musí urobiť nasledovné:

• rozpoznať meno používateľa;
• požiadajte o aktuálne používateľské heslo;
• pozvite používateľa na zadanie nového hesla.
• pozvite používateľa na potvrdenie nového hesla;
• porovnajte dve heslá a neprijímajte ich, ak sa nezhodujú;
• zmeniť heslo a napísať nové heslo do bezpečnostnej databázy;

Informácie o tom, ako pri vykonávaní týchto opatrení vo forme kódu, diskutovanej v predchádzajúcich článkoch, takže tu som sa zameria svoju pozornosť na to, ako sú tieto časti zostavené do programu výpis 2 .

Najprv musíte identifikovať registrovaného používateľa. Dovoľte mi, aby som vám pripomenul, že WshNetwork objekt vlastnosť UserName vracia meno používateľa. Preto, aby sa dosiahlo užívateľské meno, vytvoriť WshNetwork objektu (WScript.Network), priradiť tento objekt s premennou (Onet) a potom použiť vlastnosť UserName získať používateľské meno, ako je uvedené v označiť vo výpise 2.

Teraz, keď máme meno aktuálneho používateľa, môžete použiť funkciu InputBox a vyzve užívateľa na existujúcich i nových hesiel. Najjednoduchší spôsob, ako vytvoriť malý podprogram na tento účel. CheckPwd podprogram je uložená v globálnej premennej sPword1, sPword2 a sPword3 súčasných a nové heslo. Podprogram vyzve používateľa pre aktuálne heslo (sPword1), nové heslo (sPword2) a opäť nové heslo (sPword3) pre potvrdenie. Ak je nové heslo a potvrdenie hesla nezodpovedajú, rutina informuje užívateľa a znovu vyzve. Porovnávať sPword2 a sPword3 písmená, takže Žaba a žaba - nie je to isté.

Ako už bolo uvedené, funkcia InputBox VBScript jazyk vždy zobrazuje tlačidlá OK a Zrušiť, v závislosti na troch argumentoch:

InputBox (výzva, názov, predvolená hodnota)

kde výzva - to je text v okne správy, názov - titulnej textu a implicitná - predvolená hodnota. Vzhľadom k tomu, tieto argumenty sú oddelené čiarkou, použite čiarky v texte správy boxe a titul nemôže byť. Miesto čiarok môžu byť použité zreťazenie symbol (a), ako je v podprograme CheckPwd.

Funkcia InputBox má jednu nevýhodu: nepodporuje maskovacie znaky zadané. Napríklad, ak používateľ zadá v dialógovom okne slovo mečiara zodpovedajúce heslo, uvidí na obrazovke, mečiare, a nie ako reťazec hviezdičiek (*********). V prípade, že zmena hesla Program beží na Windows 2000 a predchádzajúcich verziách, toto obmedzenie bude musieť akceptovať, ale ak je program spustený v systéme Windows Server 2003 alebo Windows XP, je tu ďalšia možnosť. Táto verzia systému Windows obsahujú scriptpw.dll komponentu, ktorá maskuje znaky zadané užívateľom. Component scriptpw dokonalý - zadáte ak žiadny presný počet stretnutí znakov a nahradí ich s hviezdami, ale je to bezpečnejšie ako otvorené množine do poľa heslo.

Rutina HidePwd obsahuje kód, ktorý používa Scriptpw. Kód HidePwd je podobný kódu CheckPwd okrem toho, že HidePwd vás vyzve, aby ste zadali znaky príkazového riadku, skôr než v dialógovom okne a HidePwd skryje znaky používateľa. Riadok odpovede škrupiny po každej žiadosti o heslo končí novým riadkom, inak bude celý výstup obsiahnutý v jednom riadku.

Aby nebolo potrebné mať dve verzie programu na zmenu hesla, Userpword.vbs určuje operačný systém a až potom vykoná zodpovedajúci podprogram zadávania hesla. Objekt, ktorý predstavuje počítač, má vlastnosť OperatingSystemVersion, ktorú je možné spýtať. Presná zhoda sa nevyžaduje. Je potrebné vedieť, či číslo verzie je menšie ako 5,1, to znamená číslo verzie XP. Program už použil objekt WshNetwork na získanie názvu počítača, takže kód v zozname 2 nižšie označuje verziu operačného systému v lokálnom počítači.

Či už rutinné zadanie hesla alebo použiť program, uloží nové heslo v sPword2 a staré heslo - v sPword1, a potom ich prenáša na kód pod značkou C, čo a zmení heslo. Ak používateľ neposkytne správne staré heslo, program sa skončí veľmi výrečnou chybovou správou: Zadané sieťové heslo nie je správne.

Priraďte heslá k účtom

Ak neexistuje žiadne aktuálne heslo pre účet, trochu iný prístup sa používa na priradenie hesla. Program by mal robiť nasledovné:

• prijať prijaté meno používateľa a doménu;
• nájsť meno používateľa v bezpečnostnej databáze;
• vydať pozvánku na zadanie nového hesla;
• priraďte nové heslo;
• vyžadovať od používateľa, aby zmenil heslo pri ďalšej registrácii (takže správca to nevie);
• upozorňujeme, že heslo bolo zmenené.

Väčšina programu Adminpword.vbs pre priradenie hesla zobrazeného v výpis 3 , pozostáva z kódu už napísaného pre prvé dva programy. Z programu Disableuser.vbs spravuje program Adminpword.vbs kód, ktorý prijíma používateľské meno a názov domény a pripája sa k príslušnému účtu. Z Userpword.vbs Adminpword.vbs preberá podprogramy, ktoré vydávajú pozvánku na zadanie nového hesla. Podprogramy Adminpword.vbs sú mierne zmenené, pretože aktuálne heslo nie je potrebné. Môžete explicitne špecifikovať predvolené heslo v Adminpword.vbs, ale nerobte to. Ak explicitne zapíšete heslo do Adminpword.vbs, bude uložené ako obyčajný text. Jednoducho zostávajúca časť úlohy priraďovania nového hesla je implementovaná vo forme kódu, konkrétne požiadavka na zmenu hesla pri ďalšej registrácii a záznam, že heslo bolo zmenené.

Vzhľadom na to, že nové heslo je priradená metóda ChangePassword nahradený metódou SetPassword a zavádza iba nové heslo, ako je uvedené v popise A v Výpis 3. PasswordExpired vlastnosť určuje, či môže používateľ zmeniť heslo pri ďalšom prihlásení. Ak je hodnota tohto parametra 0, heslo je platné, ak 1 - heslo uplynulo. Preto, aby ste dosiahli zmenu hesla, musíte tomuto parametru priradiť hodnotu 1. Pretože oUser predstavuje používateľské konto, kód na štítku B výpisu 3 vás núti zmeniť heslo.

Deaktivovať účet alebo zmeniť heslo musí skončiť s príslušnou položkou v denníku udalostí. Spomínam si, že v predchádzajúcom článku o úpravách registry uviedol, že na zápis do denníka udalostí, ktoré chcete pripojiť k objektu a použiť metódu WshShell LogEvent s typom udalosti a vysvetľujúcim textom ako argumenty. V našom prípade je typ udalosti upozornenie, takže ide o udalosť typu 4. Dátum a čas sa automaticky zaznamenávajú spolu s udalosťou, takže ich nemôžete pridať do programu. Ak chcete vykonať zmenu hesla, na konci hlavného programu zadajte záznam, zadajte kód uvedený na štítku C výpisu 3.

Funkcia vypnúť nepoužívané účty a zmena hesla sú veľmi dôležité, a zodpovedajúci program by mal byť čo najjednoduchší a efektívny. Ale postup pre zmenu hesla prostredníctvom grafického rozhrania systému Windows 2000, napríklad, sa skladá zo šiestich krokoch. Použitie programu opísané v tomto článku, môžu správcovia ľahko aktivovať a deaktivovať používateľské účty umožňujú používateľom meniť svoje heslá, bez toho, aby mali prístup k dialógové okno Zabezpečenie systému Windows, a nastaviť nové heslá pre dôležité účty.