Применение учетных записей пользователей позволяет упростить работу нескольких человек на одном компьютере. Каждый пользователь может иметь отдельную учетную запись с собственными параметрами, такими как фон рабочего стола и экранная заставка. Учетные записи определяют, к каким файлам и папкам имеют доступ пользователи, и какие изменения они могут выполнять на компьютере. Для большинства пользователей используются обычные учетные записи.

Домены, рабочие группы и домашние группы представляют разные методы организации компьютеров в сети. Основное их различие состоит в том, как осуществляется управление компьютерами и другими ресурсами.

Компьютеры под управлением Windows в сети должны быть частью рабочей группы или домена. Компьютеры под управлением Windows в домашней сети также могут быть частью домашней группы, но это не обязательно.

Компьютеры в домашних сетях обычно входят в состав рабочих групп и, возможно, домашней группы, а компьютеры в сетях на рабочих местах - в состав доменов. Действия, которые потребуется выполнить, различаются в зависимости от того, входит ли компьютер в домен или рабочую группу.

В рабочей группе:

· Все компьютеры являются одноранговыми узлами сети; ни один компьютер не может контролировать другой.

· На каждом компьютере находится несколько учетных записей пользователя. Чтобы войти в систему любого компьютера, принадлежащего к рабочей группе, необходимо иметь на этом компьютере учетную запись.

· В составе рабочей группы обычно насчитывается не больше двадцати компьютеров.

· Рабочая группа не защищена паролем.

· Все компьютеры должны находиться в одной локальной сети или подсети.

В домашней группе:

· Компьютеры в домашней сети должны принадлежать рабочей группе, но они также могут состоять в домашней группе. С помощью домашней группы предоставлять доступ к рисункам, музыке, видео, документам и принтерам другим пользователям намного проще.

· Домашняя группа защищена паролем, но он вводится только один раз при добавлении компьютера в домашнюю группу.

В домене:

· Один или несколько компьютеров являются серверами. Администраторы сети используют серверы для контроля безопасности и разрешений для всех компьютеров домена. Это позволяет легко изменять настройки, так как изменения автоматически производятся для всех компьютеров. Пользователи домена должны указывать пароль или другие учетные данные при каждом доступе к домену.

· Если пользователь имеет учетную запись в домене, он может войти в систему на любом компьютере. Для этого не требуется иметь учетную запись на самом компьютере.

· Права изменения параметров компьютера могут быть ограничены, так как администраторы сети хотят быть уверены в единообразии настроек компьютеров.

· В домене могут быть тысячи компьютеров.

· Компьютеры могут принадлежать к различным локальным сетям.

В этом разделе рассматриваются методы ведения учетных записей пользователей и возможности, предоставляемые для
этого Exchange.

Создание учетных записей пользователей, подключенных к почтовым ящикам, и пользователей, подключенных к почте

Для каждого пользователя, который хочет работать с сетевыми ресурсами, необходимо создать учетную запись. Рассмот рим, как настроить доменные учетные записи, подключенные к почтовым ящикам, и доменные учетные записи, подключенные к почте. Если пользователю требуется отправлять и принимать электронную почту, то необходимо создать учетную "запись, подключенную к почтовому ящику. В противном случае достаточно учетной записи, подключенной к почте.

Понятия имен входа и паролей

Прежде чем создавать доменную учетную запись, следует по думать о новом имени входа и пароле. Все доменные
учетные записи распознаются по имени входа. Оно может совпадать (хотя это не обязательно) с адресом электронной
почты пользователя. В доменах Windows имя входа состоит из двух частей:

• User name (Имя пользователя) - текстовая метка учетной записи;
• User domain (Домен пользователя) - домен, в котором находится учетная запись пользователя.

Полное имя входа Windows для пользователя williams в домене adatum.com [email protected]. С учетными записями
пользователей могут быть связаны пароли и открытые сертификаты (public certificates). Пароль - это символьная строка для подтверждения прав доступа учетной записи. Открытый сертификат представляет собой комби-Нацию двух ключей (открытого и секретного) для идентификации пользователя. Вход с применением пароля осуществляется в диалоговом режиме, вход с рименением открытого сертификата - с помощью смарт-карты и устройства считывания смарт-карт.

Хотя при описании прав и разрешений Windows выводит на экран имена пользователей, ключевыми идентификаторами учетных записей являются идентификаторы безопасности (security identifiers, SID). SID - это уникальный идентификатор, который генерируется при создании учетной записи. Он состоит из доменного префикса идентификатора безопасности и уникального связанного идентификатора. Эти идентификаторы используются Windows для отслеживания учетных записей независимо от имен пользователей. SID выполняют множество функций; две наиболее важные из которых - возможность легко изменять имена пользователей, а также удалять учетные записи без опасения, что некто посторонний получит несанкционированный доступ к ресурсам просто путем воссоздания учетной записи.

При изменении имени пользователя вы даете указание Windows сопоставить конкретный SID новому имени. При удалении записи вы указываете Windows, что конкретный SID впредь недействителен. Если после этого будет даже создана учетная запись с тем же именем пользователя, новая учетная запись не получит те же права и разрешения, что предыдущая, так как новая учетная запись будет иметь новый SID.

Создание доменных учетных записей с почтовыми ящиками и без них

Вообще говоря, существует два способа создания новых доменных учетных записей.

• Создание новой учетной записи. Щелкните правой кнопкой контейнер, в который вы хотите поместить учетную запись пользователя, укажите New (Создать) и выберите User (Пользователь). Запустится мастер New Object - User (Новый объект - Пользователь), показанный на рис. 5-5. При создании новой учетной записи применяются системные параметры настройки по умолчанию.
• Создание новой учетной записи на базе существующей учетной записи. Откройте Active Directory Users and Computers, щелкните правой кнопкой учетную запись пользователя, которую вы хотите копировать, и выберите Сору (Копировать). Запустится мастер Copy Object - User

Рис. 5-5. Настройка отображаемого имени и регистрационного
имени пользователя с помощью диалогового окна New Object -
User

(Копировать объект - Пользователь), окно которого очень похоже на диалоговое окно New User (Новый пользователь). Однако при создании копии учетной записи большинство значений параметров окружения новой учетной записи берутся из существующей учетной записи. К сохраняемым параметрам относятся: участие в группах учетных записей, значения параметров профиля, права соединения
через телефонную линию, срок окончания действия учетной записи, разрешенное время входа в систему и разрешенные рабочие станции для входа в систему.

Вот как создать новую учетную запись пользователя посредством мастера New Object - User или Copy Object - User.
1. На первой странице задается выводимое имя и имя входа пользователя (рис. 5-5). Ведите имя и фамилию пользователя в соответствующие поля. Они необходимы для формирования параметра Full Name (Полное имя), которое выводится на экране как имя пользователя.
2. При необходимости внесите изменения в поле Full Name (Полное имя). Например, можно ввести имя в формате <фамилия><имя><второй инициал> или в формате <имя> <второй инициал><фамшия>. Длина записи в Full Name (Полное имя) - не более 64 символов.
3. В поле User Logon Name (Имя входа пользователя) введи те имя входа пользователя. В раскрывающемся списке выберите домен, с которым должна быть связана учетная запись. В результате генерируется полное имя входа.
4. Первые 20 символов имени входа образуют имя входа для операционных систем более ранних, чем Windows 2000. Оно
должно быть уникальным в пределах своего домена. В случае необходимости измените имя входа для операционных
систем более ранних, чем Windows 2000.
5. Щелкните Next (Далее). Настройте параметры пароля пользователя (рис. 5-6). Для этого диалогового окна возможны следующие варианты выбора.

Рис. 5-6. Настройка пароля пользователя

• Password (Пароль). Пароль для данной учетной записи. Он должен отвечать условиям вашей парольной политики.
• Confirm Password (Подтверждение). Поле для проверки того, что вы правильно назначили пароль учетной записи. Для подтверждения пароля просто наберите егоеще раз.
• User must change password at next logon (Требовать смену пароля при следующем входе в систему). Если помечен этот флажок, пользователь должен изменить пароль при входе в систему. Этот флажок установлен по умолчанию для всех новых пользователей.
• User cannot change password (Запретить смену пароля пользователем). Если установлен этот флажок, пользователь не может изменить пароль.
• Password never expires (Срок действия пароля неограничен). Если помечен этот флажок, то пароль учетной записи имеет неограниченный срок действия. Это значение параметра имеет приоритет над доменной политикой учетных записей. Вообще говоря, задавать неограниченный срок действия пароля - это не очень хорошая идея, так как при этом снижается безопасность, которая является важным фактором.
• Account is disabled (Отключить учетную запись). Если установлен этот флажок, то учетная запись заблокирована и ее не удастся использовать. Этот флажок применяется для временного запрета использования учетной записи.

6. Щелкните Next (Далее). Если вы надлежащим образом на строили на этом компьютере расширения Exchange, то по лучите возможность предоставить учетной записи почтовый ящик. Если вы не хоитите предоставлять пользователю почтового ящика, сбросьте флажок Create an Exchange mailbox (Создать почтовый ящик Exchange) и пропустите пункты 7 и 8.
7. Имени входа присваивается псевдоним Exchange по умолчанию (рис. 5-7), чтобы изменить его, введите новое значение вручную. Псевдоним Exchange необходим для задания адреса электронной почты пользователя.
ПримечаниеНа практике значение по умолчанию псевдонима Exchange присваивается имени входа для операционных систем более ранних, чем Windows 2000; как правило, оно совпадает с именем входа пользователя. Однако если вы измените имя входа для операционных систем более ранних, чем Windows 2000, то значение по умолчанию псевдонима Exchange будет присвоено веденному вами значению.

Рис. 5-7. Настройка почтового ящика Exchange пользователя

8. Если Information Store (Хранилище данных) настроено на работу с несколькими серверами Exchange, в раскрывающемся списке серверов необходимо указать сервер, на котором должен храниться почтовый ящик. Кроме того, если имеется несколько хранилищ почтовых ящиков, то следу ет задать хранилище для почтового ящика - в раскрывающемся списке Mailbox Store (Хранилище очтовых ящиков).
9. Щелкните Next (Далее) и Finish (Готово), чтобы завершить создание учетной записи. Если вы создали учетную запись, подключенную к почтовому ящику, то автоматически настраиваются следующие адреса электронной почты: SMTP, X.400 и связанные с коннектором. Эти адреса вы сможете впоследствии добавлять, изменять и удалять. Кроме того, вы сможете задавать дополнительные адреса, имеющие эти же типы. Например, у Синди Джонсон - администратора отдела кадров компании - два адреса SMTP: [email protected] и
[email protected].
ПримечаниеЕсли вы настроили коннекторы Exchange, то адреса по умолчанию создаются и для этих них. В состав коннекторов для Exchange 2000 входят коннектор для Lotus Notes и коннектор для Novell GroupWise.
10. Создание учетной записи пользователя не является финальной операцией. На данном этапе вы можете:

• добавить подробную контактную информацию о пользователе, например номер рабочего телефона и должность;
• внести пользователя в группу безопасности и в группу рассылки;
• связать учетную запись с дополнительными адресами электронной почты;
• включить или отключить функции Exchange для учетной записи;
• изменить для пользователя параметры настройки, заданные по умолчанию, в отношении вариантов доставки, предельного объема памяти и ограничений, налагаемых на учетную запись.

Настройка контактной информации для учетной записи пользователя

Вот как задается контактная информация для учетной записи пользователя.
1. В Active Directory Users and Computers дважды щелкните имя пользователя. Откроется диалоговое окно Properties (Свойства) учетной записи.
2. Щелкните вкладку General (Общие). Общая контактная информация задается с помощью следующих полей:

• First Name, Initials, Last Name (Имя, Инициалы, Фамилия) задают полное имя пользователя;
• Display Name (Выводимое имя) задает выводимое имя пользователя, которое отображается в сеансах входа в систему и в Active Directory;
• Description (Описание) задает описание пользователя;
• Office (Комната) задает местонахождение пользователя в офисе;
• Telephone Number (Номер телефона) задает основной номер рабочего телефона пользователя. Если пользователь имеет другие номера рабочих телефонов, которые вы хотите внести в запись, щелкните Other (Другой), а затем с помощью диалогового окна Phone Number (Others) [Номер телефона (прочие)] введите дополнительные номера телефонов;
• E-Mail (Эл. почта) задает служебный адрес электронной почты пользователя;
• Web Page (Веб-страница) задает URL начальной Веб страницы пользователя - в Интернете или в локальной корпоративной сети. Если у пользователя есть другие Веб-страницы, которые вы хотите внести в запись, щелкните Other (Другой), а затем посредством диалогового окна Web Page Address (Others) [Адрес страницы в Интернете (прочие)] введите дополнительные адреса Веб-страниц.

Совет Обязательно заполните поля E-Mail (Эл. почта) и Web Page (Веб-страница), если намереваетесь использовать команды Send Mail (Отправить почту) и Open Home Page (Открыть домашнюю страницу) консоли Active Directory Users and Computers.
3. Щелкните вкладку Address (Адрес) (рис. 5-8). В полях на этой вкладке задайте служебный или домашний почтовый адрес пользователя. Обычно указывают служебный адрес пользователя. Это позволит вам иметь данные о местонахождении и почтовых адресах пользователей, находящихся в различных офисах.
ПримечаниеПрежде чем вводить информацию частного характера, например домашний адрес и домашний телефон пользователя, необходимо обсудить этот вопрос с отделом кадров и юридическим отделом. Возможно, на это следует получить согласие пользователя.

4. Щелкните вкладку Telephones (Телефоны) и наберите, если требуется, основные контактные телефоны пользователя:

• Home Telephone (Домашний);
• Pager (Пейджер);
• Mobile (Мобильный);
• FAX (Факс);
• IP Phone (IP-телефон).

5. Для каждого типа телефона вы вправе задать и другие номера. Щелкните соответствующую кнопку Other (Другой), а затем в диалоговом окне введите дополнительные номера телефонов.

Рис. 5-8. На вкладке Address (Адрес) задайте рабочий или
домашний адрес пользователя

6. Щелкните вкладку Organization (Организация). Введите, если требуется, должность пользователя, отдел и название
компании.
7. Чтобы указать руководителя данного пользователя, щелкните Change (Изменить). Если вы сделали это, то в учетной записи руководителя пользователь выведен в качестве непосредственного подчиненного.
8. Щелкните Apply (Применить) или ОК, чтобы принять внесенные изменения. Изменение псевдонима Exchange и выводимого имени
пользователя Каждая учетная запись пользователя, подключенного к почтовому ящику, имеет связанные с ней псевдоним Exchange, имя, фамилию и выводимое имя. Псевдоним Exchange определяет адреса электронной почты SMTP и Х.400. Имя входа представляет собой псевдоним SMTP по умолчанию. Выводимое имя определяет адрес Х,400.
В случае изменения информации об имени можно создать новые адреса электронной почты и задать их в качестве адресов по умолчанию для SMTP, X.400 и коннекторов Exchange.
При этом старые адреса электронной почты для учетной записи не удаляются, а остаются в качестве альтернативных. Процедура изменения или удаления этих дополнительных адресов электронной почты рассмотрены в этой главе, в разделе «Добавление, изменение и удаление адресов электронной почты».
Вот как изменить псевдоним Exchange и выводимое имя учетной записи пользователя.
1. В Active Directory Users and Computers, дважды щелкните имя пользователя. Откроется диалоговое окно Properties (Свойства) учетной записи.
2. Щелкните вкладку General (Общие). Для изменения имени воспользуйтесь следующими полями:
в First Name, Initials, Last Name (Имя, Инициалы, Фамилия) задают полное имя пользователя;
в Display Name (Выводимое имя) указывают имя пользователя, которое отображается в сеансах входа в систему и в Active Directory.
3. Щелкните вкладку Exchange General, а затем введите новый псевдоним Exchange в поле Alias (Псевдоним).
4. Щелкните ОК.

Добавление, изменение и удаление адресов электронной почты

Когда вы создаете учетную запись пользователя, подключенного к почтовому ящику, то создаются адреса электронной почты по умолчанию для SMTP, X.400 и настроенных коннекторов. Каждый раз, когда вы обновляете выводимое имя пользователя или псевдоним Exchange, можно создать новые адреса электронной почты по умолчанию. При этом старые адреса электронной почты не удаляются, а остаются в качестве альтернативных адресов учетной записи.

Вот как добавить, изменить или удалить адрес электронной почты.

1. Откройте диалоговое окно Properties (Свойства) учетной записи, дважды щелкнув имя пользователя в Active Directory Users and Computers. Затем щелкните вкладку E-Mail Addresses (Адреса электронной почты).
2. Чтобы добавить новый адрес электронной почты, щелкните New (Новый). В диалоговом окне New E-Mail Address (Новый адрес электронной почты) выберите тип адреса электронной почты и щелкните ОК. Заполните поля диалогового окна Properties (Свойства) и снова щелкните ОК.
Совет Для стандартных адресов электронной почты Интернета используйте тип адреса SMTP. Другие типы адресов электронной почты подробно рассмотрены в главе 13.
3. Чтобы изменить существующий адрес электронной почты, дважды щелкните запись адреса и измените параметры в диалоговом окне Properties (Свойства). Щелкните ОК.
4. Чтобы удалить адрес электронной почты, выберите его и щелкните Remove (Удалить). В ответ на предложение подтвердить операцию удаления щелкните Yes (Да).
ПримечаниеНельзя удалить адрес SMTP по умолчанию. Exchange Server использует адрес SMTP для передачи и приема сообщений.

Настройка адреса Reply-To (адреса отправителя) по умолчанию

Для каждого типа адреса электронной почты существует один адрес отправителя по умолчанию. Вот как изменить адрес отправителя по умолчанию.
1. Откройте диалоговое окно Properties (Свойства) учетной записи, дважды щелкнув имя пользователя в Active Directory Users and Computers. Затем щелкните вкладку E-Mail Addresses (Адреса электронной почты).
2. Текущие адреса электронной почты по умолчанию выделены жирным шрифтом. Адреса электронной почты, которые не выделены, применяются только в качестве альтернативных адресов для доставки сообщений в текущий почтовый ящик.
3. Чтобы изменить текущие значения по умолчанию, выберите желаемый не выделенный адрес электронной почты и щелкните Set As Primary (Задать в качестве основного).

Блокировка и разблокировка подключения к почте Exchange Server

Пользователи и контакты, подключенные к почте, в Exchange Server определяются как специальные получатели. Они имеют псевдоним Exchange и внешний адрес электронной почты.

Вот как подключить пользователя или контакт к почте.

1. В Active Directory Users and Computers щелкните правой кнопкой соответствующую запись, затем выберите Exchange Tasks (Задачи Exchange), чтобы запустить мастер Exchange Task Wizard.
2. Если открывается страница Welcome, щелкните Next (Далее). Чтобы впоследствии пропускать эту страницу, стоит выбрать Do Not Show This Welcome Page Again.
3. В Available Tasks (Доступные задачи) укажите Establish E-Mail Addresses (Установить адреса электронной почты) и снова щелкните Next (Далее).
4. Введите псевдоним Exchange для пользователя или контакта и щелкните Modify (Изменить).
5. Откроется диалоговое окно New E-Mail Address (Новый адрес электронной почты). Наберите тип адреса электронной почты и щелкните ОК.
6. Заполните поля диалогового окна Properties (Свойства) адреса электронной почты и снова щелкните ОК.
7. На странице мастера Exchange Task щелкните Next (Далее), а затем - Finish (Готово).

Если вы впоследствии захотите удалить псевдоним Exchange и адреса электронной почты, связанные с пользователем или
контактом, то вот как это сделать.
1. В Active Directory Users and Computers дважды щелкните нужную запись, затем выберите Exchange Tasks (Задачи Exchange), чтобы запустить мастер Exchange Task Wizard.
2. Если открывается страница Welcome (Приветствие), щел кните Next (Далее). Чтобы в последующем пропускать эту страницу, можно выбрать Do Not Show This Welcome Page Again.
3. В Available Tasks (Доступные задачи) выберите Delete E-Mail Addresses (Удалить адреса электронной почты) и щелкните Next (Далее).
4. Щелкните Next (Далее), а затем - Finish (Готово).

Создание учетной записи пользователя для приема и переадресации почты

Специальные получатели, такие, как пользователи и контакты, подключенные к почте, обычно не получают сообщений от пользователей за пределами организации, так как специальный получатель не имеет адреса электронной почты, который соответствует конкретному почтовому ящику в вашей организации. Однако иногда возникает потребность в том, чтобы внешние пользователи, приложения или почтовые системы имели возможность отправить сообщение на адрес внутри вашей организации, а затем Exchange переадресовал это сообщение на внешний почтовый ящик.
Совет В своей организации я создал почтовые ящики переадресации для пейджерных предупреждений. Это простое решение позволяет менеджерам, а также системам мониторинга в организации легко и быстро передавать страницы текста специалистам ИТ. Для этого я создал контакт, подключенный к почте, для каждого адреса электронной почты пейджера, например [email protected], а затем создал почтовый ящик, который переадресует сообщения специаль ному получателю. В общем случае выводимое имя контакта, подключенного к почте, имеет вид «Alert User Name», (Предупреждение Имя пользователя), например Alert William Stanek. Выводимое имя и адрес электронной почты почтового ящика имеют вид Z LastName и [email protected], например Z Stanek и [email protected] соответственно. Затем я спрятал почтовый ящик, чтобы он не отображался в списке глобальных адресов или в других списках адресов и чтобы пользователи видели только почтовый ящик Alert William Stanek.

Вот как создать учетную запись пользователя для приема и переадресации почты.

1. В Active Directory Users and Computers создайте контакт для пользователя. Присвойте контакту имя X - Имя_Пользователя, например X - William Stanek. Убедитесь в том, что для контакта существует внешний адрес электронной почты, относящийся к адресу пользователя в Интернете.
2. Создайте учетную запись пользователя в домене. Присвойте учетной записи подходящее выводимое имя, например William Stanek, Создайте почтовый ящик Exchange для учетной записи, но не присваивайте никаких специальных прав. Вы можете ограничить права учетной записи так, что бы пользователь не имел возможности зарегистрироваться ни на одном из серверов в домене.
3. Откройте диалоговое окно Properties (Свойства) учетной записи, дважды щелкнув имя пользователя в Active Directory Users and Computers. Щелкните вкладку Exchange General (Общие).
4. Щелкните Delivery Options (Варианты доставки).
5. В диалоговом окне Delivery Options щелкните Forward To (Переадресовать), а затем щелкните Modify (Изменить).
6. В диалоговом окне Select Recipient (Выбрать получателя) выберите контакт, подключенный к почте, созданный ранее, и щелкните ОК. Теперь вы можете применять учетную запись пользователя для переадресации сообщений на внешний почтовый ящик.

Изменение параметров сервисов беспроводной связи и протоколов пользователя

Когда вы создаете учетные записи пользователей с почтовыми ящиками, доступные сервисы беспроводной связи и протоколы определяются глобальными параметрами настройки. Эти параметры в любое время разрешается изменять для отдельных пользователей.

1. В Active Directory Users and Cdmputers дважды щелкните нужную запись, затем выберите вкладку Exchange Features.
Настройте для пользователя сервисы беспроводной связи и протоколы (рис. 5-9):
Outlook Mobile Access предоставляет пользователю возможность просматривать почтовый ящик с помощью беспроводного устройства;
User Initiated Synchronization позволяет синхронизировать почтовый ящик с беспроводными устройствами;

Рис. 5-9. С помощью мастера Exchange Task Wizard можно
изменить параметры сервисов беспроводной связи и протоколов
пользователя

Up-To-Date Notifications обеспечивает постоянное обновление данных на беспроводном устройстве. Этот вариант доступен только при условии, что выбран вариант User Initiated Synchronization;
Outlook Web Access предоставляет возможность доступа к почтовому ящику с помощью Web-браузера;
РОРЗ открывает доступ к почтовому ящику посредством почтового клиента РОРЗ;
IMAP4 предоставляет пользователю возможность доступа к почтовому ящику с помощью почтового клиента IMAP4.

2. Выберите параметр, затем щелкните Enable (Включить) или Disable (Отключить) в зависимости от обстоятельств.
Если требуется изменить параметры протокола, выберите протокол и щелкните Properties (Свойства).
3. Щелкните ОК.

Переименование учетных записей пользователей

Вот как переименовать учетную запись пользователя в Active Directory Users and Computers.
1. Щелкните правой кнопкой имя учетной записи и выберите Rename (Переименовать). В ответ на приглашение введите новое имя учетной записи.
2. При переименовании учетной записи вы создаете новую метку учетной записи. Переименование не влияет на идентификатор защиты (SID), который необходим для идентификации, отслеживания и обработки учетных записей не зависимо от имен пользователей.

Примечание Распространенной причиной изменения имени учетной записи является замужество. Например, если Джуди Лью (JUDYL) выходит замуж, она может изменить свое имя пользователя на Джуди Кэтлер (JUDYK). После изменения имени пользователя JUDYL на JUDYK все связанные с ним права и разрешения будут назначены новому имени.

Например, при просмотре разрешений к файлу, к которому раньше имела доступ JUDYL, теперь будет иметь доступ JUDYK (причем имени JUDYL в списке не окажется).

Удаление учетных записей пользователей и контактов

При удалении учетная запись устраняется навсегда. После удаления учетной записи вам не удастся создать учетную запись с тем же именем и теми же разрешениями, какие имела исходная запись, так как идентификатор защиты (SID) новой записи не будет совпадать с идентификатором защиты старой записи. Это не означает, что после удаления записи вы не можете создать учетную запись с тем же именем. Например, человек уволился из компании, а через некоторое время вернулся. Вы вправе создать учетную запись с тем же именем, что и раньше, но вам придется заново определить для нее разрешения.
Поскольку удаление встроенных учетных записей может иметь далеко идущие последствия для домена, Windows не допускает их удаления. Вы вправе удалить другие типы учетных записей, выбрав их и нажав клавишу Del или щелкнув правой кнопкой и выбрав Delete (Удалить). Появится приглашение, показанное на рис. 5-10. Если вы хотите удалить адрес электронной почты пользователя, когда флажок для удаления почтового ящика установлен, щелкните Yes (Да). Если вы щелкните No (Нет), то Windows не удалит учетную запись.

Рис. 5-10. При удалении учетной записи пользователя
удаляется также и адрес электронной почты пользователя;
устанавливается также флажок удаления связанного с адресом
почтового ящика. Подтвердите операцию, щелкнув Yes (Да)

Примечание Защита Exchange основана на доменной аутентификации, поэтому вы не можете иметь почтовый ящик без учетной записи. Если вам все же необходим по чтовый ящик для учетной записи, которую вы хотите удалить, то следует не удалять ее, а отключить. В результате отключения учетной записи пользователю не удастся зарегистрироваться в системе, однако вы при необходимости получите доступ к почтовому ящику. Чтобы отключить учетную запись, щелкните правой кнопкой эту учетную запись
в Active Directory Users and Computers и выберите Disable Account (Отключить учетную запись).

Windows network technology enables you to create network domains . A domain is a group of connected Windows computers that share user account information and a security policy. A domain controller manages the user account information for all domain members.

The domain controller facilitates network administration. By managing one account list for all domain members, the domain controller relieves the network administrator of the requirement to synchronize the account lists on each of the domain computers. In other words, the network administrator who creates or changes a user account must update only the account list on the domain controller rather than the account lists on each of the computers in the domain.

To log-in to a Windows database server, a user on another Windows computer must belong to either the same domain or a trusted domain . A trusted domain is one that has established a trust relationship with another domain. In a trust relationship, user accounts are located only in the trusted domain, but users can log on to the trusted domain.

A user who attempts to log-in to a Windows computer that is a member of a domain can do so either by using a local login and profile or a domain login and profile. However, if the user is listed as a trusted user or the computer from which the user attempts to log-in is listed as a trusted host, the user can be granted login access without a profile.

If you specify a user identifier but no domain name for a connection to a machine that expects both a domain name and a user name (domain\user), IBM Informix checks only the local machine and the primary domain for the user account. If you explicitly specify a domain name, that domain is used to search for the user account. The attempted connection fails with error -951 if no matching domain\user account is found on the local machine.

Use the CHECKALLDOMAINSFORUSER configuration parameter to configure how Informix searches for user names in a networked Windows environment. The following table lists the locations Informix searches for user names specified either alone or with a domain name with CHECKALLDOMAINSFORUSER set to 0 or 1.

Omitting CHECKALLDOMAINSFORUSER from the onconfig file is the same as setting CHECKALLDOMAINSFORUSER to 0. See the IBM Informix Administrator"s Reference for more information about setting CHECKALLDOMAINSFORUSER.

For more information about domains, consult your Windows operating system manuals.

Important: The IBM Informix trusted client mechanism is unrelated to the trust relationship that you can establish between Windows domains. Therefore, even if a client connects from a trusted Windows domain, the user must have an account in the domain on which the database server is running. For more information about how the database server authenticates clients, see

При входе на компьютер с доменной учетной записью пользователь вводит свои учетные данные, которые передаются на ближайший контроллер домена для проверки подлинности. Если в сетевом окружении отсутствуют доступные контроллеры домена, то учетные данные проверить некому и в систему пользователь войти не сможет.

Чтобы избежать подобной ситуации, после успешного входа в систему учетные данные пользователя сохраняются в кэш на локальном компьютере. Это позволяет войти в систему с доменными учетными данными и получить доступ к ресурсам локального компьютера даже при отсутствии подключения к домену.

Примечание. Если быть точным, то кэшируются не сами учетные данные (логин и пароль), а результат их проверки. Еще точнее система хранит хэш пароля, модифицированный при помощи соли (salt), которая в свою очередь, генерируется на основе имени пользователя. Кэшированные данные хранятся в разделе реестра HKLM\SECURITY\Cache, доступ к которому имеет только система.

За возможность кэширования отвечает параметр реестра CashedLogonsCount , находящийся в разделе HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Этот параметр определяет количество уникальных пользователей, чьи учетные данные сохраняются локально. По умолчанию значение параметра равно 10, что означает следующее: учетные данные сохраняются для последних 10 пользователей, заходивших в систему, а при входе на компьютер одиннадцатого пользователя учетные данные первого пользователя будут перезаписаны.

Управлять значением CashedLogonsCount можно централизованно, с помощью групповых политик. Для этого необходимо создать новый GPO (или открыть существующий), перейти в раздел Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options и найти параметр Interactive logon: Number of previous logons to cache (in case domain controller is not available) .

По умолчанию данный параметр не определен (Not Defined), соответственно на всех компьютерах используется дефолтное значение. Для его изменения надо включить параметр и указать необходимое значение в пределах от 0 до 50. Значение, равное 0, означает запрет на кэширование учетных данных, соответственно при этом значении вход в систему при недоступности контроллера домена невозможен.

Поскольку теоретически при наличии физического доступа к компьютеру у злоумышленника есть возможность воспользоваться сохраненными учетными данными, то для повышения безопасности рекомендуется отключать локальное кэширование. Исключение могут составить пользователи мобильных устройств (ноутбуков, планшетов и т.п.), которые пользуются устройствами как на работе, так и вне ее. Для таких пользователей количество кэшированных входов можно задать в пределах 1-2. Этого вполне достаточно для работы.

И в завершение пара важных моментов:

Для того, чтобы учетные данные были закешированы необходимо, чтобы пользователь хотя-бы раз зашел на компьютер под своей доменной учетной записью при доступном контроллере домена.
Довольно часто параметр CashedLogonsCount трактуют как количество входов в систему при отсутствии доступа к домену. Это не так, и если учетные данные пользователя закешированы локально, то он сможет заходить в систему неограниченное количество раз.