Для регистрации пользователя в домене или в локальной системе и доступа к ресурсам создается учетная запись пользо- вателя (user accounts) — набор уникальных реквизитов, иденти- фицирующих его для Windows Server. Учетная запись включает имя пользователя и, если требуется, пароль для регистрации в системе, указывает его принадлежность к группам и определяет его привилегии и разрешения на использование компьютера и сети и на доступ к ресурсам.
Учетные записи пользователей Windows Server
Windows поддерживает два типа учетной записи пользова- теля: локальную и доменную.
Локальные учетные записи разрешают пользователям вхо- дить в систему и получать доступ к ресурсам только на том ком- пьютере, на котором создана локальная учетная запись. Эти учет- ные записи существуют в локальной базе данных SAM (SecurityAccounts Manager) на каждой системе, работающей под управле- нием Windows 2003. Они создаются с использованием инстру- мента LocalUsersandGroups(Локальныепользователиигруппы) консоли ComputerManagement(Управлениекомпьютером).
Для входа в систему по локальной учетной записи эта учет- ная запись обязательно должна присутствовать в базе данных SAM на системе, в которую Вы пытаетесь войти. Это делает локальные учетные записи непрактичными для больших сетей вследствие больших накладных расходов по их администрированию.
Windows не реплицирует информацию о локальной учет- ной записи на контроллеры домена. После создания локальной учетной записи компьютер использует свою локальную БД без- опасности для аутентификации локальной учетной записи, что позволяет пользователю войти в систему данного компьютера.
Учетные записи пользователей домена хранятся в Active Directory и могут использоваться для входа в систему и доступа к ресурсам по всему лесу Active Directory. Учетные записи этого типа создаются централизованно при помощи консоли ActiveDirectory Users and Computers (Active Directory – пользователи икомпьютеры). Они позволяют войти в домен и получить доступ
к ресурсам сети. Эта информация позволяет Windows Server аутентифицировать его и создать маркер доступа, содержащий сведения о пользователе и параметрах безопасности. Маркер до- ступа идентифицирует пользователя для компьютеров с Win- dows, к ресурсам которых он пытается получить доступ. Win- dows предоставляет маркер доступа на время выполнения входа. Доменные учетные записи пользователей хранятся в спе- циальных контейнерах Active Directory. Это могут быть либо стандартные контейнеры Usersдля пользователей и Computersдля компьютеров, либо созданное администратором Организа- ционное подразделение (ОП). Исключение составляют учетные записи контроллеров домена, они всегда хранятся в ОП с назва-
нием DomainControllers. Контроллер домена реплицирует информацию о новой учетной записи пользователя на все контроллеры домена в до- мене. После репликации информации о новой учетной записи пользователя все контроллеры данного домена могут аутенти- фицировать его при входе.
Кроме того, Windows предоставляет встроенные учетныезаписи. Эти учетные записи создаются самой системой и не мо- гут быть удалены. Windows автоматически создает несколько встроенных учетных записей, из которых чаще всего применя- ются Администратор(Administrator) и Гость(Guest). ОС не позволяет удалять встроенные учетные записи или отключать запись Administrator, хотя встроенные учетные записи можно переименовывать.