Иллюстрированный самоучитель по администрированию Windows 2000/2003

Установка параметров и ограничений учетной записи

Принудительное завершение сеанса работы пользователя

Выполните следующие шаги, если необходимо принудительно отсоединять пользователей, когда их время работы истекло:

  1. Перейдите в контейнер групповой политики, с которым хотите работать, как было описано в Разделе "Управление политиками сайта, домена и подразделения".
  2. С помощью дерева консоли перейдите к узлу Параметры безопасности (Security Options), как показано на Рисунке 9-6. Раскройте узел Конфигурация компьютера (Computer Configuration), Конфигурация Windows (Windows Settings) и затем Параметры безопасности (Security Settings). В Параметрах безопасности (Security Settings) откройте Локальные политики (Local Policies) и выберите Параметры безопасности (Security Options).
  3. Щелкните дважды по Принудительный выход из сеанса по истечении допустимых часов работы (Automatically Log Off Users When Logon Time Expires), что приведет к открытию диалогового окна политики Свойства (Properties).
  4. Поставьте флажок Определить следующий параметр политики (Define This Policy Setting) и нажмите Включен (Enabled). Тем самым будет применена политика и установлено принудительное завершение сеанса работы пользователя по истечении его разрешенного времени работы. Нажмите OK.

    Иллюстрированный самоучитель по администрированию Windows 2000/2003 › Управление существующими учетными записями пользователей и групп › Установка параметров и ограничений учетной записи
    Рисунок 9-6: Переход к узлу Параметры безопасности (Security Options) в Групповой политике.

Установка разрешения для входа на рабочую станцию

В ОС Windows 2000 включена формальная политика, позволяющая пользователям локально входить в систему. Эта политика определяет, имеет ли пользователь право входить в систему и работать с компьютером. По умолчанию входить на рабочую станцию под управлением ОС Windows 2000 и использовать ее локально могут все пользователи, имеющие действующие учетные записи, включая гостевую запись.

Как Вы можете себе представить, подобное разрешение входа на любую рабочую станцию представляет собой большую угрозу безопасности. Если Вы не ограничите возможность использования рабочей станции, то любой, кто получит имя пользователя и пароль, сможет использовать их для входа на любую рабочую станцию в домене. Определяя список разрешенных рабочих станций, Вы тем самым закрываете "дыру" в Вашем домене и повышаете уровень безопасности. Теперь хакерам понадобится получить не только имя пользователя и пароль для входа в систему, но и найти соответствующую рабочую станцию.

Примечание
Рассмотренные возможности ограничения на вход в систему действуют только в домене для рабочих станций под управлением ОС Microsoft Windows 2000 и Windows NT. Если в домене используются компьютеры под управлением ОС Microsoft Windows 95 или Windows 98, ограничения на них невозможны. Это означает, что для того, чтобы войти в систему на этих рабочих станциях необходимо знать только имя пользователя и пароль
.

Следующие шаги позволяют определить список рабочих станций, на которых пользователям домена будет разрешено выполнять вход:

  1. Откройте диалоговое окно Свойства (Properties) пользователя в оснастке Active Directory – пользователи и компьютеры (Active Directory Users And Computers) и выберите вкладку Учетная запись (Account).
  2. Нажмите кнопку Вход на (Log On To), открыв диалоговое окно Рабочие станции для входа в систему (Logon Workstations).
  3. Поставьте переключатель в положение Только на указанные компьютеры (The Following Computers), как показано на Рисунке 9-7.

    Иллюстрированный самоучитель по администрированию Windows 2000/2003 › Управление существующими учетными записями пользователей и групп › Установка параметров и ограничений учетной записи
    Рисунок 9-7: Для ограничения доступа к рабочим станциям определите список рабочих станций, на которых разрешено выполнять вход.

  4. Введите название разрешенной рабочей станции и нажмите Добавить (Add). Повторите это действие, если необходимо указать несколько рабочих станций.
  5. Если при вводе названия Вы допустили ошибку, выберите ошибочную запись и нажмите Изменить (Edit) или Удалить (Remove) на Ваше усмотрение.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.