Создание пользователей в domain

Создание учетных записей пользователя и группы

Учетные записи пользователей используются для проверки подлинности, авторизации или запрета доступа к ресурсам для индивидуальных пользователей сети и для аудита их активности. Учетная запись группы является совокупностью учетных записей пользователей, которую можно использовать для назначения набора разрешений и прав нескольким пользователям одновременно. Группа также может содержать контакты, компьютеры и другие группы. Можно создать учетные записи пользователей и учетные записи групп в Active Directory, чтобы управлять пользователями домена. Также можно создать учетные записи пользователей и групп на локальном компьютере, чтобы управлять конкретными пользователями этого компьютера.

Некоторыми наиболее распространенными задачами являются Чтобы создать учетную запись пользователя в Active Directory, Чтобы создать учетную запись группы в Active Directory, Чтобы создать учетную запись пользователя на локальном компьютере и Чтобы создать группу на локальном компьютере. Также можно использовать командную строку для создания учетных записей пользователя и группы в Управление Active Directory из командной строки или на Управление локальными группами из командной строки. Дополнительные сведения о других задачах для управления учетными записями пользователя и группами Active Directory см. в разделе Управление пользователями, группами и компьютерами. Дополнительные сведения о других задачах для управления учетными записями пользователя и группами на локальном компьютере см. в разделе Инструкции по использованию локальных пользователей и групп.

Чтобы создать учетную запись пользователя в Active Directory

Откройте оснастку «Active Directory — пользователи и компьютеры».

В дереве консоли щелкните правой кнопкой мыши папку, в которую добавляется учетная запись пользователя.

Active Directory — пользователи и компьютеры/узел_домена/папка

Выделите команду Создать, а затем выберите пункт Пользователь.

В поле Имя введите имя пользователя.

В поле Инициалы введите инициалы пользователя.

В поле Фамилия введите фамилию пользователя.

Измените поле Полное имя, чтобы добавить инициалы или поменять местами имя и фамилию.

В поле Имя входа пользователя введите имя входа пользователя, в раскрывающемся списке выберите суффикс UPN, а затем нажмите кнопку Далее.

Если пользователь хочет использовать другое имя для входа на компьютеры под управлением Windows NT, Windows 98 или Windows 95, то имя в+хода пользователя, отображаемое в поле Имя входа пользователя (пред-Windows 2000), можно изменить на другое имя.

В полях Пароль и Подтверждение введите пароль пользователя, а затем выберите соответствующие параметры пароля.

Примечания

Для выполнения этой процедуры необходимо быть членом группы "Операторы учета", "Администраторы домена" или "Администраторы предприятия" в Active Directory либо получить соответствующие полномочия путем делегирования. По соображениям безопасности для выполнения этой процедуры рекомендуется использовать команду "Запуск от имени". Для получения дополнительных сведений см. разделы Локальные группы, используемые по умолчанию, Группы по умолчанию и Использование команды "Запуск от имени".

Чтобы открыть оснастку "Active Directory — пользователи и компьютеры", нажмите кнопку Пуск, выберите Панель управления, дважды щелкните Администрирование, а затем Active Directory — пользователи и компьютеры.

Для добавления пользователя можно также воспользоваться кнопкой

на панели инструментов.

Для добавления пользователя также можно скопировать ранее созданную учетную запись пользователя.

Новая учетная запись пользователя с тем же именем, что и ранее удаленная учетная запись, не наследует из нее автоматически разрешения и принадлежность к группам, так как код безопасности (SID) для каждой учетной записи уникален. Для копирования удаленной учетной записи пользователя все разрешения и принадлежности к группам должны быть восстановлены вручную.

Если учетная запись пользователя создана с помощью мастера нового пользователя из панели сведений, можно быстро изменять свойства пользователя посредством закрытия мастера, выбора новой учетной записи и нажатия клавиши ENTER. Чтобы открыть мастер нового пользователя из панели сведений, щелкните правой кнопкой мыши на панели сведений, выделите команду Создать и выберите пункт Пользователь.

Для обеспечения взаимодействия с другими службами каталогов можно создать объект-пользователь InetOrgPerson. Для создания нового объекта InetOrgPerson на шаге 3 выберите команду InetOrgPerson вместо команды Пользователь.

При создании нового пользователя по умолчанию создается атрибут полного имени в формате имя_фамилия. Атрибут полного имени также управляет форматом отображения имени, который отображается в списке глобальных адресов. Формат отображения имени можно изменить, используя средство редактирования ADSI. При этом также будет изменяться формат полного имени. Дополнительные сведения (на английском языке) см.в базе знаний корпорации Майкрософт в статье Q250455 о том, как изменить отображаемые имена пользователей Active Directory .

Чтобы создать учетную запись группы в Active Directory

Откройте оснастку «Active Directory — пользователи и компьютеры».

В дереве консоли щелкните правой кнопкой мыши папку, в которую добавляется новая группа.

Active Directory — пользователи и компьютеры/узел_домена/папка

Выделите команду Создать, а затем выберите пункт Группа.

Введите имя новой группы.

По умолчанию это имя также вводится как пред-Windows 2000 имя новой группы.

В поле Область действия группы выберите один из параметров.

В поле Тип группы выберите один из параметров.

Примечания

Для выполнения этой процедуры необходимо быть членом группы "Операторы учета", "Администраторы домена" или "Администраторы предприятия" в Active Directory либо получить соответствующие полномочия путем делегирования. По соображениям безопасности для выполнения этой процедуры рекомендуется использовать команду "Запуск от имени". Для получения дополнительных сведений см. разделы Локальные группы, используемые по умолчанию, Группы по умолчанию и Использование команды "Запуск от имени".

Чтобы открыть оснастку "Active Directory — пользователи и компьютеры", нажмите кнопку Пуск, выберите Панель управления, дважды щелкните Администрирование, а затем Active Directory — пользователи и компьютеры.

Для добавления группы также можно выбрать папку, в которую требуется добавить группу, и нажать кнопку

на панели инструментов.

Если домен, в котором создается группа, установлен в смешанном режиме Windows 2000, то можно выбрать только группы безопасности с областями действия Локальная в домене или Глобальная. Дополнительные сведения см. в разделе Область действия группы.

Если учетная запись группы создана с помощью мастера новой группы из панели сведений, можно быстро изменять свойства учетной записи группы посредством закрытия мастера, выбора новой учетной записи и нажатия клавиши ENTER. Чтобы открыть мастер новой группы из панели сведений, щелкните правой кнопкой мыши на панели сведений, выделите команду Создать и выберите пункт Группа.

Чтобы создать учетную запись пользователя на локальном компьютере

Откройте окно «Управление компьютером».

В дереве консоли щелкните папку Пользователи.

Управление компьютером/Служебные программы/Локальные пользователи и группы/Пользователи

В меню Действие выберите команду Новый пользователь.

Введите соответствующие сведения в диалоговом окне.

Установите или снимите перечисленные ниже флажки.

Потребовать смену пароля при следующем входе в систему

Запретить смену пароля пользователем

Срок действия пароля не ограничен

Отключить учетную запись

Нажмите кнопку Создать, а затем — кнопку Закрыть.

Примечания

Для выполнения данной процедуры необходимо быть членом группы "Администраторы" на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы "Администраторы домена". По соображениям безопасности для выполнения этой процедуры рекомендуется использовать команду "Запуск от имени".

Чтобы открыть управление компьютером, нажмите кнопку Пуск, выберите Панель управления, дважды щелкните Администрирование, а затем Управление компьютером.

Имя пользователя не должно совпадать с другим именем пользователя или группы на данном компьютере. Оно может содержать до 20 символов в верхнем и нижнем регистрах, за исключением следующих:

" / \ [ ] : ; | = , + * ? < >

Имя пользователя не может состоять только из точек (.) и пробелов.

В полях Пароль и Подтверждение может быть введен пароль, содержащий до 127 символов. Однако если сеть состоит из компьютеров, работающих под управлением операционной системы Windows 95 или Windows 98, рекомендуется использовать пароли длиной не более 14 символов. Если длина пароля больше, войти в сеть с этих компьютеров не удастся.

Если новый локальный пользователь будет выполнять не только административные задачи, его не следует добавлять в локальную группу «Администраторы». Дополнительные сведения см. в разделе Почему не следует работать на компьютере, используя учетную запись администратора.

Чтобы создать группу на локальном компьютере

Откройте окно «Управление компьютером».

В дереве консоли щелкните узел Группы.

Управление компьютером/ Служебные программы/ Локальные пользователи и группы/ Группы

В меню Действие выберите команду Новая группа.

Введите имя новой группы в поле Имя группы.

Введите описание новой группы в поле Описание.

Чтобы добавить одного или нескольких пользователей в новую группу, нажмите кнопку Добавить.

В диалоговом окне Выбор: Пользователи, Компьютеры или Группы выполните следующие действия.

Чтобы добавить учетную запись пользователя или группы в данную группу, в поле Введите имена выбираемых объектов введите имя добавляемой учетной записи пользователя или группы и нажмите кнопку ОК.

Чтобы добавить учетную запись компьютера в эту группу, нажмите кнопку Типы объектов, установите флажок Компьютеры и нажмите кнопку ОК. В поле Введите имена выбираемых объектов введите имя учетной записи добавляемого компьютера и нажмите кнопку ОК.

В диалоговом окне Новая группа нажмите кнопку Создать, а затем кнопку Закрыть.

Примечания

Для выполнения данной процедуры необходимо быть членом группы "Администраторы" на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы "Администраторы домена". По соображениям безопасности для выполнения этой процедуры рекомендуется использовать команду "Запуск от имени".

Чтобы открыть управление компьютером, нажмите кнопку Пуск, выберите Панель управления, дважды щелкните Администрирование, а затем Управление компьютером.

Имя локальной группы не должно совпадать с другим именем пользователя или группы на данном локальном компьютере. Оно может содержать до 256 символов в верхнем и нижнем регистрах, за исключением следующих:

" / \ [ ] : ; | = , + * ? < >

Имя группы не может состоять только из точек (.) или пробелов.

Настройка прав доступа.

Права доступа — набор правил, разграничивающий доступ различных пользователей/групп пользователей (ролей) к данным и элементам интерфейса любого программного продукта, разработанного на платформе TMAPlatform (далее платформа). Обычно эти правила зависят от должности и вида деятельности разных сотрудников, работающих с программным продуктом.

Для объединения пользователей в группы используется механизм ролей, поддерживаемый практически всеми реляционными Системами Управления Базами Данных (далее СУБД).

Стоит отдельно отметить, что все права в системе делятся на два вида — «На уровне клиента» и «На уровне СУБД». Права, которые даются на уровне СУБД (например, права на действия с таблицами, полями таблиц, права на выполнение хранимых процедур и т. д.), контролируют действия пользователя во всех случаях, независимо от способа подключения пользователя к Базе Данных (далее БД). Права на уровне клиента (например, права на просмотр форм, выполнение модулей программного продукта), как видно из названия, контролируются только на уровне приложения, т. е. только тогда, когда пользователь работает в определенном программном продукте. Очевидно, что эти виды прав взаимосвязаны — не имеет смысла давать пользователю право на просмотр справочника, если нет прав на просмотр таблицы БД, связанной с этим справочником, в этом случае платформа не даст установить такие права.

Пример настройки прав доступа

Рассмотрим пример настройки прав доступа пользователя Иванов к модулю Амортизация. Откроем пункт меню Файл->Настройка прав доступа. И увидим форму настройки следующего вида

Рис.1 Форма настройки прав доступа при первом открытии

В этой форме мы видим все программные модули редактора. Для добавления пользователя необходимо сделать следующие шаги: если у вас нет таблицы пользователей в редакторе, то необходимо ее создать: создадим таблицу sysWorkers (название произвольное), в которой должны быть следующие поля: Логин, ФИО, Роль, Пароль. И укажем эти поля в св-вах программы

Рис.2 Указываем таблицу пользователей в св-вах программы

Для настройки прав доступа ролей необходимо создать роли в соответствующем разделе дерева редактора и выбрать роль в настройках прав доступа. Далее при нажатии кнопки Добавить пользователя/роль в настройках прав доступа выбираем пользователя/роль, права которых мы будем настраивать. После добавления пользователя Иванов (для примера):

Рис.3 Форма настройки прав доступа после добавления в нее пользователя

Нам остается только пройтись по метаданным редактора и отметить нужные нам позиции, к которым пользователь будет иметь доступ.

Внимание: Перед настройкой прав доступа, надо проверить процедуру OnCreate модуля Global, которая запускается автоматически при запуске программы, и учесть используемые в ней объекты метаданных, которые надо разрешить пользователю для запуска программы. Например, в нашем случае в процедуре OnCreate модуля Global идет проверка на актуальность загруженных курсов валют, следовательно, надо дать право пользователю на таблицу курсов валют, чтобы он смог зайти в программу. Также для запуска программы пользователю необходимы права на чтение таблицы пользователей (в нашем случае вышеуказанная таблица sysWorkers)

Следует также отметить важный факт — от настройки прав доступа на уровне клиента (формы и справочники) будет зависеть вид главного меню, т. е. видимость соответствующих пунктов будет аналогична правам пользователя на объекты, которые вызываются через главное меню программы.

Настроим таблицы, программные модули и элементы интерфейса на примере модуля Амортизация:

Рис.4 Пример настройки прав на таблицу БД

Все таблицы БД настраиваются в отдельном окне, которое вызывается при двойном щелчке на поле в колонке настраиваемого пользователя напротив необходимой таблицы, данная форма показана на рисунке 4. На таблицы БД настраиваются стандартные права — Отображение (Select), Вставка (Insert), Изменение (Update) и Удаление (Delete) как всех записей таблицы, так и отдельных её полей. Для настройки определенных прав на все записи надо кликнуть на соответствующем заголовке таблицы (например, Отображать — при этом выделятся все поля данной колонки). На рисунке 4 видно, что пользователю Иванов мы дали все права на всю таблицу docDpr. Аналогично настраиваются остальные таблицы модуля в соответствии с правами пользователя. Другие объекты редактора (такие, как программные модули и хранимые процедуры с функциями) просто отмечаются в соответствующих полях настраиваемого пользователя. При этом дается право на запуск соответствующего модуля. Замечание: платформа никак не проверяет, какие объекты БД и Клиентской программы используются в указанном модуле. Фиксация изменений и запись в БД происходят по нажатию на кнопку «Установить права доступа» в главном меню формы настройки. После фиксации выводится окно, в котором видно, какие права и на что зафиксированы. Следует отдельно отметить то, что платформа при необходимости автоматически раздает права на определенные объекты. Рассмотрим данные случаи.

Автоматически раздаваемые права — в случае наличия в таблице полей подстановки (далее lookup-полей), на которые даются права, система автоматически даст права на чтение первичного ключа подстановочной таблицы (по умолчанию в платформе это поле называется id) и поля описания этой таблицы (по умолчанию — Name). О чем выведутся соответствующие предупреждения. Например: Мы хотим дать пользователю Иванову право на чтение таблицы Справочник валют (dirCurr):

Рис.5 Пример автоматически раздаваемых прав на уровне СУБД

Как видно из рисунка 5, пользователю Иванов даны права на чтение всех полей таблицы dirCurr. Однако при отображении данной таблицы элементами интерфейса платформы, поле IsoCode, являющееся lookup-полем, заменяется значение поля Name из таблицы rctCurr (классификатор валют), что видно в редакторе (тип поля IsoCode — *rctCurr):

Рис.6 Редактор платформы (показана связь, по которой платформа автоматически дает права)

Соответственно для корректной работы интерфейса программного продукта, разработанного на платформе, необходимо, чтобы пользователю было разрешено чтение полей Id и Name таблицы rctCurr, что за нас автоматически сделает платформа и выведет предупреждение вида:

Автоматически разрешены для пользователя 1 (Иванов) поля rctCurr. Id, rctCurr. Name

Аналогичным образом платформа предупредит, если права доступа не стыкуются с правилами, описанными во внешних ключах БД. Например, если мы даем право на удаление записей из таблицы, которая связана ключом с другой таблицей, и в правилах внешнего ключа выбраны каскадные действия удаления или изменения, то платформа предупредит, что на связанную по внешнему ключу таблицу тоже неплохо бы дать соответствующие права, чтобы не пугать пользователя ошибками.

Ограничение прав на уровне записей

Для всех таблиц БД, права доступа к которым мы настраиваем, можно ограничить определенного пользователя/роль набором фильтров, которые доступны нам в окне настройки прав в разделе Фильтровать записи (см. рис.4 и рис.5). Мы можем интерактивно выбрать значения фильтров для lookup-полей, а также задать абсолютно любое условие фильтрации записей на внутреннем языке запросов в разделе SQL фильтр записей. Например, мы хотим давать пользователю право на просмотр документов амортизации только определенного способа начисления:

Рис.7 Пример настройки фильтров для разграничения прав на уровне записей

В случае применения показанного на рисунке фильтра, пользователь Иванов будет видеть только документы амортизации, в которых выбран линейный способ начисления. Аналогично можно разграничить права в документах между пользователями по контрагентам и т.п. Опция исключить — пользователь будет видеть все документы, в которых способ амортизации не равен выбранному. Если нам нужны более сложные условия фильтрации для разграничения прав на уровне записей, следует использовать SQL фильтр, который описывается на внутреннем языке запросов. Например, если нам надо показывать пользователю только записи, которые он сам создал, то в sql фильтре следует написать:

user_id = user(), где user_id — это имя поля, которое заполняется функцией user() при создании записи, а user() — функция встроенного языка, которая возвращает идентификатор пользователя из таблицы пользователей программы, про которую упоминалось выше.