A csoportok használatának célja:

• felhasználók és számítógépek megosztott er6forrásokhoz (például az Active Directory objektumaihoz, azok tulajdonságaihoz, hálózati megosztásokhoz, fájlokhoz, címtárakhoz, nyomtatási várólistákhoz stb.) való hozzáférésének kezelése
• csoportházirend-beállítások sznrése, valamint
• elektronikus levelezési címzési listák létrehozása.

A csoportok két fO típusba sorolhatók:

• biztonsági csoportok és
• címzési csoportok.

A biztonsági csoportok felhasználók, számítógépek és más csoportok kezelhet6 egységekbe gynjtésére szolgálnak. Az er6forrásokra (fájlmegosztás, nyomtatók stb.) szóló engedélyeket célszernbb biztonsági csoportokhoz rendelni, mint egyéni felhasználókhoz, így az egész csoporthoz egyszerre rendelhet6 az engedély, és nem szükséges azt minden felhasználóhoz külön hozzárendelni. A csoporthoz rendelt engedélyekkel a csoporthoz hozzáadott összes fiók rendelkezik. Az egyéni felhasználók helyett csoportokra történ6 hivatkozás egyszernsíti a hálózat karbantartását és felügyeletét.

A címzési csoportokat csak elektronikus levelezési terjesztési listaként lehet használni, csoportházirend-beállítások sznrésére nem alkalmazhatók. A címzési csoportoknak nincs biztonsági funkciójuk.

3. Az Active Directory felhasználói és számítógépfiókjai

Az Active Directory felhasználói számítógépfiókjai egy-egy valóságos személyt vagy számítógépet jelölnek. A felhasználói fiókokat és a számítógépfiókokat (valamint a csoportokat) rendszerbiztonsági tagoknak hívják. A rendszerbiztonsági tagok a címtár azon objektumai, amelyekhez a rendszer automatikusan biztonsági azonosítókat rendel. A biztonsági azonosítóval rendelkez6 objektumok bejelentkezhetnek a hálózatra és hozzáférhetnek a tartomány er6forrásaihoz.

A felhasználói és számítógépfiókok az alábbiakra alkalmasak:

• A felhasználó vagy a számítógép azonosságának hitelesítése
• Tartomány er6forrásaihoz való hozzáférés engedélyezése vagy letiltása
• Egyéb rendszerbiztonsági tagok felügyelete
• A felhasználói vagy számítógépfiókok használatával kapcsolatos események naplózása

Felhasználói és számítógépfiókokat az Active Directory – felhasználók és számítógépek segítségével lehet hozzáadni, letiltani, alapállapotba állítani, illetve törölni.

4. Munka a címtár objektumaival

Az ablak baloldali részében a tartományban (iskola.local) található beépített (pl. Built-in, Computers) ill. általunk létrehozott szervezeti egységeket (pl. 9a, Titkarsag) és egyéb fontos beépített tárolókat (Computers, Users) láthatunk, míg a tárolók tartalma a jobb oldali részben jelenik meg. Egy új elem, pl. egy felhasználói fiók felvételéhez a hierarchia általunk kiválasztott pontján (pl. a Titkarsag OU-n) a jobb gombbal kattintva és a New… opciót kijelölve az 1. ábrán láthatóak közül választhatunk.

1. ábra A címtárban létrehozható objektumok típusai

4.1 Felhasználói fiók létrehozásának lépései

Új felhasználói fiók létrehozásakor megjelen6 panelen a következ6 dolgokat lehet beállítani:

A Full Name (Teljes név) mez6 a First Name (Vezetéknév) és a Last Name (Keresztnév) kitöltése után automatikusan megjelenik.

A User logon name a felhasználó tartományi bejelentkezéséhez használt neve, amelyet praktikusan ékezet nélkül adunk meg, rövidítve. Célszern a következ6 karaktereket sem használni: = + \ / < > [ ] * ? : ; , és a szóköz.

A panel alján a nem Windows 2003 tartományba való bejelentkez6 név megadása történhet, ez alapesetben (ha betartjuk az el6z6 bejelentkezési névvel kapcsolatos kritériumokat) megegyezhet az el6z6 bejelentkezési névvel.

A következ6 panelen a fiók jelszavát adhatjuk meg (kötelez6 meger6síteni a második mez6ben), és/vagy választhatunk az alábbi opciókból:

° User must change password next logon: ebben az esetben nem adunk meg jelszót, hanem a felhasználóra bízzuk az els6 tartományba belépése alkalmával.

° User cannot change password: a felhasználó nem jogosult a jelszó megváltoztatására.

° Password never expires: A jelszó soha nem ,,jár le”, azaz nem kell a rendszergazda által el6írt id6közönként megváltoztatni.

° Account is disabled: a fiókot ezzel a kapcsolóval letilthatjuk, pl. ha még nem akarjuk, hogy a felhasználó igénybe vegye, vagy ha ideiglenesen fel kell függeszteni.

Ezzel a felhasználói fiókok felvétele megtörtént, a létrehozás után a fiók nevére kattintva a jobb gombbal ezeket a jellemz6ket akár meg is változtathatjuk, vagy rengeteg más leíró/el6író/korlátozó opciót is szabályozhatunk. Ezek közül kiemelném az Account fület, ahol fontos bejelentkezési id6tartományokra, a fiók automatikus lejáratára és egyéb belépéssel és jelszóbiztonsággal kapcsolatos beállításokat találhatunk.

A Profile fülön a – felhasználói környezet beállításainak összességét jelent6 – felhasználói profil állományainak az

elérési útját, a bejelentkezéskor végrehajtódó parancsokat tartalmazó szkript (Logon script) nevét ill. a felhasználó

számára a szerveren biztosított tárterület (Home folder) a helyét, illetve, mivel a felhasználó el6tt ez a mappa egy

meghajtóként jelenik meg, e meghajtó betnjelét állíthatjuk be. A Member of fülön a felhasználó csoporttagságát szabá

lyozhatjuk.

4.2 A beépített felhasználói fiókok és csoportok

Visszatekintve az 1. ábrára, a jobb oldali ablakban látható a Users tároló rengeteg beépített csoportja és felhasználója, amelyek a telepítéskor jönnek létre. Amennyiben frissítünk NT4-r6l, akkor ebben a tárolóban találjuk az összes eddigi felhasználónkat és csoportunkat, amelyeket aztán az általunk megtervezett hierarchia alapján átmozgathatunk az új szervezet egységekbe. A fontosabb beépített felhasználók a következ6k: Administrator (Rendszergazda, a hálózat/tartomány üzemeltet6je, épp ezért minden ezzel kapcsolatos jog birtokosa.

Természetesen több rendszergazda jogosultságú felhasználót is felvehetünk (csoportjuk az Administrators, Domain Admins, Enterprise Admins) s6t célszern beépített Administrator-t átnevezni és/vagy jogait lefokozni. A Guest (Vendég): alapértelmezés szerint tiltott fiók, a tartomány minimális jogkörn elérése céljából jön létre, használata biztonsági szempontból nem is javasolt, csak kizárólag speciális esetekben. IUSR_szervernév: a webszerverünk ,,Vendége”, szintén minimális jogokkal rendelkezik, ennek a fióknak a nevében tekintheti meg az összes az Internetr6l ,,érkez6” érdekl6d6 a weboldalainkat, természetesen megfelel6 hitelesítés után (pl. ha üzemeltet6i jogkörrel rendelkezünk a webszerver felett) a jogosultságaink a tartományon kívülr6l is nagyobbak lehetnek.

Automatikusan létrejön még jó pár csoport (pl. a Built-in tárolóban) a rendszergazdai feladatok el-ill. kiosztása céljából, pl. Account, Print, Server, Backup Operators, azon fiókok tulajdonosai, akik ezekbe a csoportokba kerülnek általában csak egy-egy objektum, er6forrás vagy felhasználócsoport felett rendelkeznek teljes jogkörrel.