Права помощника администратора
Оглавление
Права помощника администратора
Страница 2
Страница 2 из 2
Таблица 4.1. Распределение групп в политиках безопасности
Уровень политики |
Политика |
Группа NotLocal |
Группа Операторы учета |
Локальные |
Локальный вход в систему |
Отсутствует |
Отсутствует |
|
Отклонить локальный вход |
Присутствует |
Отсутствует |
Домена |
Локальный вход в систему |
Не определена |
Не определена |
|
Отклонить локальный вход |
Не определена |
Не определена |
Контроллера домена |
Локальный вход в систему |
Отсутствует |
Отсутствует |
|
Отклонить локальный вход |
Не определена |
Не определена |
Если ваш помощник должен выполнять задачи по администрированию только второго
сервера, не являющегося контроллером домена, то для него можно создать еще
несколько сценариев, используя заготовки, приведенные ниже.
При необходимости создания учетной записи пользователя на втором сервере,
чтобы поручить кому-либо выполнение операций по настройке сервера, она может
быть создана временно, а затем удалена. Аналогично, можно создавать и удалять
группы, от пользователей можно требовать изменить пароль при следующем входе в
систему. Все эти действия допускается совершать удаленно с вашего рабочего места
с помощью сценариев. В примерах сценариев, которые уже были рассмотрены,
приводилось много дополнительных функций, таких, например, как сохранение
информации в файле, интерактивный режим работы со сценарием. В следующих
примерах (листинги 4.1—4.6) этих дополнительных функций нет, приведены только
фрагменты, хотя и полнофункциональные. Но вы можете позаимствовать недостающие
функции из сценариев, которые были приведены в главе 3. Если нет желания
изменять текст сценария, то, заменив имя компьютера, пользователя и группы на
необходимые, поместите приведенные фрагменты в текстовые файлы и измените их
расширение на vbs. Получатся рабочие скрипты.
Листинг 4.1. Добавление новой учетной записи пользователя
strComputer = "Server2"
Set colAccounts = GetObject("WinNT://" & strComputer & "")
Set objUser = colAccounts.Create("user", "TestUser") objUser.SetPassword
"test" objUser.SetInfo
Листинг 4.2. Удаление учетной записи пользователя
strComputer = "Server2"
strOser = "TestUser"
Set colAccounts = GetObject("WinNT://" & strComputer & "")
obi Computer.Delete "user", strUser
Пример 21-3/(42)
'Создание новой группы
strComputer = "Server2"
Set colAccounts = GetObject("WinNT://" & strComputer & "")
Set objUser = colAccounts.Create("group", "Новая группа")
objUser.Setlnfo
Листинг 4.3. Добавление пользователя в группу
strComputer = "Server2"
Set objGroup = GetObject("WinNT://" & strComputer & "/Новая
группа,group")
Set. objUser = GetObject("WinNT://" & strComputer &
"/TestUser,user")
objGroup.Add(objUser.ADsPath)
Листинг 4.4. Добавление группы в группу
strComputer = "Server2"
Set objGroup = GetObject("WinNT://" & strComputer &
"/Пользователи, group")
Set objUser = GetObject("WinNT://" & strComputer & "/Новая
группа,group")
objGroup.Add(objUser.ADsPath)
С помощью этого сценария можно включать новую группу в любую уже
существующую. При этом пользователи, входящие в новую группу, получают
соответствующие права.
Листинг 4.5. Удаление группы
strComputer = "Server2"
Set objComputer = GetObject("WinNT://" & strComputer & "")
objComputer.Delete "group", "Новая группа"
Пример 21-7/(46)
'Список групп с вложенными группами и пользователями
strComputer = "Server2"
Set colGroups = GetObjectC'WinNT://" & strComputer & "")
colGroups.Filter = Array("group")
For Each objGroup In colGroups
Wscript.Echo objGroup.Name
For Each objUser in objGroup.Members Wscript.Echo vbTab &
objUser.Name
Next Next
Листинг 4.6. Требование изменить пароль при следующем входе в систему
strComputer = "Server2"
Set objUser = GetObjectC'WinNT:// " & strComputer & "/TestUser ")
objUser.Put "PasswordExpired", 1
objUser.SetInfo
Итак, помощник администратора, не имея прав на локальный вход в систему на
сервере, при помощи сценариев сможет управлять учетными записями пользователей:
создавать их, изменять, удалять, а также просматривать списки и свойства
записей.
Внимательно изучив возможности, предоставляемые политиками безопасности,
можно очень гибко настроить права различных групп и отдельных пользователей.
Диапазон прав и запретов, которые могут быть назначены пользователям, очень
широк. Администраторы (есть несколько встроенных учетных записей с разными
правами) обладают практически неограниченными возможностями, гости — наоборот,
имеют очень мало прав. Но есть пользователи, которые по умолчанию имеют очень
специфические права, специальная настройка которых не требуется. К таким
особенным учетным записям могут относиться пользователи почтового сервера.
« Пред. - След.