Права помощника администратора

Таблица 4.1. Распределение групп в политиках безопасности

Если ваш помощник должен выполнять задачи по администрированию только второго сервера, не являющегося контроллером домена, то для него можно создать еще несколько сценариев, используя заготовки, приведенные ниже.

При необходимости создания учетной записи пользователя на втором сервере, чтобы поручить кому-либо выполнение операций по настройке сервера, она может быть создана временно, а затем удалена. Аналогично, можно создавать и удалять группы, от пользователей можно требовать изменить пароль при следующем входе в систему. Все эти действия допускается совершать удаленно с вашего рабочего места с помощью сценариев. В примерах сценариев, которые уже были рассмотрены, приводилось много дополнительных функций, таких, например, как сохранение информации в файле, интерактивный режим работы со сценарием. В следующих примерах (листинги 4.1—4.6) этих дополнительных функций нет, приведены только фрагменты, хотя и полнофункциональные. Но вы можете позаимствовать недостающие функции из сценариев, которые были приведены в главе 3. Если нет желания изменять текст сценария, то, заменив имя компьютера, пользователя и группы на необходимые, поместите приведенные фрагменты в текстовые файлы и измените их расширение на vbs. Получатся рабочие скрипты.

Листинг 4.1. Добавление новой учетной записи пользователя

strComputer = "Server2"

Set colAccounts = GetObject("WinNT://" & strComputer & "")

Set objUser = colAccounts.Create("user", "TestUser") objUser.SetPassword "test" objUser.SetInfo

Листинг 4.2. Удаление учетной записи пользователя

strComputer = "Server2"

strOser = "TestUser"

Set colAccounts = GetObject("WinNT://" & strComputer & "")

obi Computer.Delete "user", strUser

Пример 21-3/(42)

'Создание новой группы

strComputer = "Server2"

Set colAccounts = GetObject("WinNT://" & strComputer & "")

Set objUser = colAccounts.Create("group", "Новая группа")

objUser.Setlnfo

Листинг 4.3. Добавление пользователя в группу

strComputer = "Server2"

Set objGroup = GetObject("WinNT://" & strComputer & "/Новая

группа,group")

Set. objUser = GetObject("WinNT://" & strComputer & "/TestUser,user")

objGroup.Add(objUser.ADsPath)

Листинг 4.4. Добавление группы в группу

strComputer = "Server2"

Set objGroup = GetObject("WinNT://" & strComputer &

"/Пользователи, group")

Set objUser = GetObject("WinNT://" & strComputer & "/Новая группа,group")

objGroup.Add(objUser.ADsPath)

С помощью этого сценария можно включать новую группу в любую уже существующую. При этом пользователи, входящие в новую группу, получают соответствующие права.

Листинг 4.5. Удаление группы

strComputer = "Server2"

Set objComputer = GetObject("WinNT://" & strComputer & "")

objComputer.Delete "group", "Новая группа"

Пример 21-7/(46)

'Список групп с вложенными группами и пользователями

strComputer = "Server2"

Set colGroups = GetObjectC'WinNT://" & strComputer & "")

colGroups.Filter = Array("group")

For Each objGroup In colGroups

Wscript.Echo objGroup.Name

For Each objUser in objGroup.Members Wscript.Echo vbTab & objUser.Name

Next Next

Листинг 4.6. Требование изменить пароль при следующем входе в систему

strComputer = "Server2"

Set objUser = GetObjectC'WinNT:// " & strComputer & "/TestUser ")

objUser.Put "PasswordExpired", 1

objUser.SetInfo

Итак, помощник администратора, не имея прав на локальный вход в систему на сервере, при помощи сценариев сможет управлять учетными записями пользователей: создавать их, изменять, удалять, а также просматривать списки и свойства записей.

Внимательно изучив возможности, предоставляемые политиками безопасности, можно очень гибко настроить права различных групп и отдельных пользователей.

Диапазон прав и запретов, которые могут быть назначены пользователям, очень широк. Администраторы (есть несколько встроенных учетных записей с разными правами) обладают практически неограниченными возможностями, гости — наоборот, имеют очень мало прав. Но есть пользователи, которые по умолчанию имеют очень специфические права, специальная настройка которых не требуется. К таким особенным учетным записям могут относиться пользователи почтового сервера.