Учетная запись компьютера во многом схожа с учетной записью пользователя. Каждый компьютер домена под управлением Windows Server 2003 должен иметь свою учетную запись, которая необходима для регистрации в домене с этого компьютера. Кроме того, учетные записи компьютеров также могут использоваться для разграничения доступа и предоставления специальных прав компьютерам, а не работающим на них пользователям. По аналогии с объектом пользователя, объект компьютера предназначен для хранения различных сведений о компьютере.
Создание учетной записи компьютера.
В большинстве случаев создание учетной записи компьютера осуществляется автоматически при присоединении компьютера к домену или его установки с использованием служб удаленной установки. Тем не менее вы можете добавить учетную запись компьютера вручную, например, для компьютеров под управлением Windows 9x, которые не создают учетные записи при присоединении компьютера к домену.
Чтобы создать новую учетную запись компьютера, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект родительского контейнера (ОП или один из системных контейнеров) правой кнопкой мыши и в контекстном меню выберите Создать -> Компьютер. Также можно выбрать в дереве интересующий вас объект и щелкнуть правой кнопкой мыши пустое место в списке объектов слева.
На первом шаге мастера введите имя нового компьютера в поле Имя компьютера. Мастер сам формирует его для совместимости с предыдущими версиями Windows в поле Имя компьютера (пред-Windows 2000) , но вы можете изменить его самостоятельно.
Вы можете указать, какие пользователи могут присоединить указанный компьютер к домену. По умолчанию это могут сделать только члены группы Администраторы домена. Щелкнув кнопку Изменить, вы можете выбрать группу или пользователя, которым будет разрешено добавление указанного компьютера к домену.
По умолчанию создаваемая учетная запись может использоваться компьютерами под управлением Windows 2000 или более поздней версии. Если вы хотите, чтобы учетная запись могла быть использована компьютерами под управлением Windows 9x или NT, установите флажок Назначить учетной записи статус пред-Windows 2000 компьютера.
На следующем шаге вы можете задать уникальный идентификатор компьютера, если он является управляемым.
Для этого установите флажок Это управляемый компьютер и введите его уникальный идентификатор компьютера в поле Уникальный код компьютера (GUID/UUID). Этот код используется службами удаленной установки.
На последнем шаге мастера выводится информация о параметрах создаваемого объекта компьютера.
По щелчку кнопки Готово учетная запись компьютера будет создана в указанном контейнере Active Directory.
Изменение свойств учетной записи компьютера.
Чтобы просмотреть и изменить свойства учетной записи компьютера, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект группы правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Общие вы можете просматривать общие параметры учетной записи компьютера.
В поле DNS-имя указывается полное DNS-имя компьютера, которое формируется и добавляется к атрибутам учетной записи компьютера после его первого входа в домен. В поле Роль указывается текущая роль компьютера, которая автоматически заносится в свойства учетной записи компьютера после каждого его входа в домен. В поле Описание вы можете ввести произвольное описание компьютера и/или выполняемых им функций.
Установив флажок Доверять компьютеру делегирование, вы разрешите службам, запущенным на этом компьютере выполнять запросы к службам других компьютеров сети, представляясь при этом удаленными клиентами. Обычно этот флажок устанавливается только на серверах и контроллерах домена, которым эта возможность требуется для нормальной работы некоторых служб. Не устоит устанавливать этот флажок для учетных записей рабочих станций.
На вкладке Операционная система можно узнать, какая версия ОС установлена на данном компьютере.
В поле Имя указано название ОС и ее редакция, в поле Версия - номер версии и номер сборки, а в поле Пакет обновления - номер пакета обновления, установленного на компьютере. Информация, указанная на этой вкладке, носит исключительно информационный характер. Соответствующие атрибуты учетной записи компьютера обновляются при каждой его регистрации в домене.
На вкладке Член групп вы можете управлять списком групп, в которые входит компьютер.
По умолчанию все новые компьютеры, добавленные или созданные в домене, являются членами группы Компьютеры домена. Серверы после повышения до уровня контроллеров домена становятся членами группы Контроллеры домена.
Для добавления компьютера в одну или несколько групп щелкните кнопку Добавить. В появившемся окне выберите или введите имена нужных групп и щелкните кнопку ОК. Для удаления группы из списка выберите ее и щелкните кнопку Удалить, а для просмотра ее свойств -дважды щелкните ее имя в списке.
Для обеспечения совместимости с не-Windows клиентами может потребоваться указать основную группу компьютера. Это необходимо для нормальной работы клиентов, не поддерживающих членство учетных записей в нескольких группах - к таким клиентам относятся компьютеры под управлением UNIX, Mac OS и т. п. Для указания основной группы компьютера выберите ее в списке и щелкните кнопку Задать основную группу.
На вкладке Размещение вы можете указать данные о том, где размещен компьютер.
Рекомендуется использовать следующие данные:
код страны (если необходимо);
код города (если необходимо);
название или код офиса, в котором расположен компьютер;
номер этажа и номер помещения.
На вкладке Управляется указывается пользователь, управляющий компьютером.
Вкладка Входящие звонки стандартна для всех объектов Active Directory (см. Изменение свойств учетной записи).
Включение/отключение учетной записи компьютера.
Учетная запись компьютера по аналогии с учетной записью пользователя может быть отключена. С компьютера с отключенной учетной записью невозможен вход и работа в домене. Отключение учетной записи компьютера можно рассматривать как временную меру блокировки работы пользователей с определенного компьютера.
Чтобы включить или отключить учетную запись компьютера, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект компьютера правой кнопки мыши и в контекстном меню выберите Отключить учетную запись или Включить учетную запись.
Переустановка учетной записи компьютера.
Учетная запись компьютера, как и учетная запись пользователя, содержит идентификатор безопасности, который используется Windows Server 2003 для ссылки на компьютер. Изменение идентификатора безопасности учетной записи пользователя приведет к тому, что будет потеряна информация о его членстве во всех группах, поэтому изменить идентификатор безопасности пользователя в Windows нельзя. Однако может возникнуть необходимость изменения идентификатора безопасности учетной записи компьютера, допустим, когда компьютер должен быть повторно включен в домен после неудачного включения. Для этого производится генерация нового идентификатора безопасности учетной записи компьютера. Эта операция называется переустановкой учетной записи.
Чтобы переустановить учетную запись компьютера, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект компьютера правой кнопкой мыши и в контекстном меню выберите Переустановить учетную запись. Для учетной записи компьютера будет сгенерирован новый идентификатор безопасности, после чего он не сможет входить в домен и процедура добавления этого компьютера к домену должна быть повторена.
Изменение параметров отображения имен.
Связывание сертификатов X.509 с учетной записью компьютера и настройка отображения имен Kerberos осуществляется так же, как и для учетных записей пользователей.
Управление компьютером.
Windows Server 2003 предоставляет все необходимые инструменты для удаленного управления компьютерами. Например, не обязательно работать непосредственно с консолью компьютера для того, чтобы изменить параметры настройки его оборудования или управлять запущенными на нем службами. Это можно сделать удаленно, в консоли управления Active Directory - пользователи и компьютеры.
Чтобы удаленно управлять компьютером, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект компьютера правой кнопкой мыши и в контекстном меню выберите Управление. Будет запущена консоль управления Управление компьютером, подключенная к выбранному вами компьютеру.
Удаленное управление поддерживается только для компьютеров под управлением Windows 2000 или более поздней версии. Возможно ограниченное управление компьютерами под управлением Windows NT 4.0. Удаленное управление компьютерами под управлением Windows NT 3.5x, 3.x, 9x, ME и других ОС не поддерживается.
