Sdílet prostřednictvím


Správa uživatelských účtů v uživatelích a počítačích služby Active Directory

Objekty zabezpečení, včetně uživatelských účtů, můžete vytvářet, odstraňovat a spravovat v konzole Uživatelé a počítače služby Active Directory. Tato konzola je k dispozici, když jsou nainstalovány komponenty nástrojů Active Directory Domain Services (AD DS) a Active Directory Lightweight Directory Services (AD LDS) z nástrojů pro vzdálenou správu serveru na systému Windows Server nebo klientském počítači. Pokud chcete vytvořit, odstranit a spravovat oprávnění zabezpečení, musíte mít příslušná oprávnění. Ve výchozím nastavení můžou členové skupiny Domain Admins a Enterprise Admins spravovat účty uživatelů, skupin a počítačů. Členové skupiny Account Operators mohou vytvářet, upravovat a odstraňovat uživatelské účty, ale nemůžou spravovat skupiny nebo oprávnění.

Požadavky

Pokud chcete spravovat uživatelské účty ve službě Active Directory Users and Computers, musíte mít následující požadavky:

  • Počítač se systémem Windows Server nebo klientským operačním systémem Windows s nainstalovanými nástroji pro vzdálenou správu serveru ve službě Active Directory Domain Services (AD DS) a nástroji služby Active Directory Lightweight Directory Services (AD LDS).

  • Počítač musí být připojený k doméně a uživatelský účet, který používáte, musí mít příslušná oprávnění ke správě uživatelských účtů v této doméně.

Správa uživatelských účtů

Následující části této stránky obsahují informace o správě uživatelských účtů na serveru:

Vytvoření uživatelského účtu

Když přidáte uživatelský účet, může se přiřazený uživatel přihlásit k počítači připojenému k doméně. Uživateli můžete udělit oprávnění pro přístup k síťovým prostředkům, jako jsou sdílené složky, tiskárny a aplikace. Pokud chcete vytvořit uživatelský účet pomocí uživatelů a počítačů služby Active Directory, proveďte následující kroky:

  1. V konzole Uživatelé a počítače služby Active Directory rozbalte strom domény a vyberte kontejner nebo organizační jednotku, kterou chcete hostovat uživatelský účet.
  2. V nabídce Akce vyberte Nový a pak vyberte Uživatel.
  3. V dialogovém okně Nový objekt – uživatel zadejte následující informace a zvolte Další:
    • Jméno: Jméno uživatele (volitelné pole)
    • Iniciály: Iniciály uživatele (volitelné pole)
    • Příjmení: Příjmení uživatele (volitelné pole)
    • Celé jméno: Celé jméno uživatele (povinné pole)
    • Přihlašovací jméno uživatele: Uživatelské jméno účtu (povinné pole)
  4. Na druhé stránce dialogového okna Nový objekt – uživatel zadejte následující informace a zvolte Další:
    • Heslo: Může se jednat o přiřazené heslo nebo dočasné heslo, které uživatel při příštím přihlášení změní.
    • Potvrzení: Duplikát přiřazeného hesla nebo dočasného hesla
    • Uživatel musí při příštím přihlášení změnit heslo. Zaškrtávací políčko, které může být povoleno vynutit, aby uživatel při příštím přihlášení změnil heslo. Může být povoleno nebo ponecháno prázdné.
    • Uživatel nemůže změnit heslo. Zaškrtávací políčko, které lze povolit, aby se uživateli znemožnila změna hesla. Může být povoleno nebo ponecháno prázdné.
    • Platnost hesla nikdy nevyprší. Zaškrtávací políčko, které může být povolené pro vyloučení účtu ze zásad hesel. Může být povoleno nebo ponecháno prázdné.
    • Účet je zakázaný. Zaškrtávací políčko, které umožňuje vytvořit účet v zakázaném stavu. Je možné povolit nebo nechat černou.
  5. Zkontrolujte souhrnnou stránku dialogového okna Nový objekt – uživatel a zvolte Dokončit a vytvořte účet.

Správa členství ve skupinách

Oprávnění zabezpečení, například oprávnění ke sdíleným složkám, se nejčastěji přiřazují ke skupinám zabezpečení, nikoli k jednotlivým uživatelským účtům. Při správě skupin, jejichž je uživatel členem, často spravujete také prostředky, ke kterým má uživatelský účet přístup. Pokud chcete spravovat členství ve skupině účtu, proveďte následující kroky.

  1. V konzole Uživatelé a počítače služby Active Directory vyhledejte a vyberte uživatelský účet, u kterého chcete spravovat členství.
  2. V nabídce Akce vyberte Vlastnosti.
  3. V dialogovém okně Vlastnosti účtu uživatelů vyberte kartu Člen.
  4. Pokud chcete odebrat uživatelský účet ze skupiny, vyberte uvedenou skupinu a vyberte Odebrat a pak kliknutím na OK zavřete dialogové okno vlastností uživatelského účtu.
  5. Pokud chcete přidat uživatelský účet do skupiny, vyberte Přidat.
  6. V dialogovém okně Vybrat skupiny zadejte název skupiny, do které chcete přidat účet, a pak vyberte OK. Pokud si nejste jistí názvem skupiny, pomocí tlačítka Upřesnit vyhledejte skupiny a pomocí tlačítka Zkontrolovat názvy ověřte správný název.
  7. Kliknutím na tlačítko OK zavřete dialogové okno vlastností uživatelského účtu a použijete změny.

Resetování hesla uživatele

Pokud chcete resetovat heslo uživatelského účtu pomocí konzoly Uživatelé a počítače služby Active Directory, proveďte následující kroky:

  1. V konzole Uživatelé a počítače služby Active Directory vyhledejte uživatelský účet, pro který chcete resetovat heslo.
  2. V nabídce Akce vyberte Resetovat heslo.
  3. V dialogovém okně Resetovat heslo zadejte následující informace a zvolte OK.
    • Nové heslo: Nové heslo pro uživatele
    • Potvrzení hesla: Zadejte stejné heslo a potvrďte to znovu.
    • Uživatel musí při příštím přihlášení změnit heslo. Zaškrtávací políčko, které můžete uživateli povolit, aby při příštím přihlášení změnil heslo.
    • Odemkněte uživatelský účet. Pokud je účet uzamčen kvůli zadání nesprávných hesel, povolte toto zaškrtávací políčko a odemkněte účet.

Zakázání uživatelského účtu

Chcete-li zakázat uživatelský účet pomocí konzoly Uživatelé a počítače služby Active Directory, proveďte následující kroky:

  1. V konzole Uživatelé a počítače služby Active Directory vyhledejte a uživatelský účet, který chcete zakázat.
  2. V nabídce Akce vyberte Zakázat účet.
  3. V dialogovém okně Active Directory Domain Services vyberte OK. Účet je zakázaný.

Pokud je účet zakázaný, zůstane přihlášený, ale nemůže provádět nová přihlášení.

Povolení uživatelského účtu

Pokud chcete povolit uživatelský účet pomocí konzoly Uživatelé a počítače služby Active Directory, proveďte následující kroky:

  1. V konzole Uživatelé a počítače služby Active Directory vyhledejte uživatelský účet, který chcete povolit.
  2. V nabídce Akce vyberte Povolit účet.
  3. V dialogovém okně Active Directory Domain Services vyberte OK. Účet je povolený.

Odebrání uživatelského účtu

Odebráním účtu ze služby Active Directory účet odstraníte. Osvědčeným postupem je zakázat účty před jejich odstraněním v případě, že má účet oprávnění k prostředkům, ke kterým není možné přistupovat pomocí jiných metod. Pokud chcete odstranit účet pomocí konzoly Uživatelé a počítače služby Active Directory, proveďte následující kroky:

  1. V konzole Uživatelé a počítače služby Active Directory vyhledejte a uživatelský účet, který chcete povolit.
  2. V nabídce Akce vyberte Povolit účet.
  3. V dialogovém okně Active Directory Domain Services vyberte OK. Účet je povolený.

Odstraněné účty je možné obnovit pomocí koše služby Active Directory, pokud před odstraněním účtu povolíte koš služby Active Directory. Pokud koš služby Active Directory není povolený, musíte provést autoritativní obnovení služby AD DS pomocí zálohy služby AD DS, která zahrnuje účet.

Vlastnosti uživatelského účtu

Následující seznam obsahuje všechny karty na stránce vlastností uživatelského účtu, včetně karet jsou viditelné pouze v případě, že je povolena možnost Rozšířené funkce. Tuto možnost můžete povolit v nabídce Zobrazení konzoly Uživatelé a počítače služby Active Directory. Tyto informace se ukládají s účtem jako atributy objektu účtu služby AD DS.

ObecnéAdresaÚčetProfilTelefonyOrganizaceProfil vzdálené plochyCOM+Editor atributůZabezpečeníProstředíRelaceVzdálené řízeníPublikované certifikátyJe členemReplikace heselVytáčeníObjekt

Obecné

Karta Obecné na stránce vlastností uživatelského účtu obsahuje následující pole související se jménem a popisem uživatele:

  • Křestní jméno
  • Iniciály
  • Příjmení
  • Zobrazované jméno
  • Popis
  • Kancelář
  • Telefonní číslo
  • Webová stránka

Adresa

Karta Adresa na stránce vlastností uživatelského účtu umožňuje ukládat informace o poloze s účtem a obsahuje následující pole:

  • Ulice
  • P.O. Box
  • Město
  • Stát/provincie
  • PSČ
  • Země/oblast

Účet

Karta Účet na stránce vlastností uživatelského účtu umožňuje konfigurovat různá nastavení účtu. Patří mezi ně hodiny přihlášení, konkrétní počítače, ke kterým se účet může přihlásit, a typy šifrování, které účet podporuje. Můžete také nastavit, jestli může být účet delegovaný, a určit, jestli nebo kdy má účet vypršet. Tato karta obsahuje následující nastavení:

  • Přihlašovací jméno uživatele, včetně přihlašovací domény uživatele
  • Přihlašovací jméno uživatele (před windows 2000)
  • Přihlašovací hodiny
  • Přihlásit se
  • Odemknutí účtu
  • Uživatel musí při příštím přihlášení změnit heslo.
  • Uživatel nemůže změnit heslo
  • Platnost hesla nikdy nevyprší
  • Uložení hesla pomocí reverzibilního šifrování
  • Účet je zakázaný.
  • Pro interaktivní přihlášení se vyžaduje čipová karta.
  • Účet je citlivý a nejde ho delegovat.
  • Pro tento účet používejte pouze typy šifrování Kerberos DES.
  • Tento účet podporuje 128bitové šifrování Kerberos AES.
  • Tento účet podporuje 256bitové šifrování Kerberos AES.
  • Nepožadujte předověření Kerberos.
  • Platnost účtu vyprší.

Profil

Karta Profil na stránce vlastností uživatelského účtu umožňuje konfigurovat informace o cestovním profilu, přihlašovací skript a nastavení domovské složky. Tato karta obsahuje následující pole:

  • Cesta profilu
  • Přihlašovací skript
  • Domovská složka

Telefony

Karta Telefon na stránce vlastností uživatelského účtu umožňuje ukládat informace o telefonním čísle s uživatelským účtem a obsahuje následující pole:

  • Domů
  • Pager
  • Mobilní zařízení
  • Fax
  • IP telefon
  • Poznámky

Organizace

Karta Organizace na stránce vlastností uživatelského účtu umožňuje ukládat informace o uživateli, včetně pracovní pozice a oddělení. Tato karta vám také umožňuje určit manažera a zjistit, které uživatelské účty jsou uvedeny jako přímé podřízené. Tato karta obsahuje následující pole:

  • Název pracovní pozice
  • Oddělení
  • Společnost
  • Manažer
  • Přímé sestavy

Profil služby Vzdálená plocha

Karta Profil služby Vzdálená plocha na stránce vlastností uživatelského účtu umožňuje konfigurovat profil uživatele služby Vzdálená plocha. Tato karta obsahuje následující pole:

  • Cesta profilu uživatele služby Vzdálená plocha
  • Domovská složka služby Vzdálená plocha
  • Odepřít tomuto uživateli oprávnění pro přihlášení k serveru Vzdálené plochy

COM+

Karta COM+ na stránce vlastností uživatelského účtu umožňuje určit, ke kterému oddílu modelu COM+ je uživatelský účet přidružený.

Editor atributů

Karta Editor atributů na stránce vlastností uživatelského účtu umožňuje upravit každý atribut účtu přímo. Editor atributů také zobrazuje atributy, které nejsou vystaveny prostřednictvím rozhraní stránky vlastností uživatele.

Bezpečnost

Karta Zabezpečení na stránce vlastností uživatelského účtu umožňuje zobrazit oprávnění zabezpečení, která platí pro daný účet. Výběrem tlačítka Upřesnit můžete také nakonfigurovat auditování použití těchto oprávnění.

Životní prostředí

Karta Prostředí na stránce vlastností uživatelského účtu umožňuje konfigurovat konkrétní programy, které se mají spustit při přihlášení do prostředí Vzdálené plochy a zda připojit klientské jednotky, tiskárny a hlavní klientskou tiskárnu při přihlášení.

Zasedání

Karta Relace na stránce vlastností uživatelského účtu umožňuje nakonfigurovat nastavení časového limitu a znovupřipojení pro služby Vzdálená plocha. Na této kartě můžete nakonfigurovat následující nastavení:

  • Ukončení odpojené relace
  • Limit aktivní relace
  • Limit nečinných relací
  • Jaká akce se má provést při dosažení limitu relace nebo přerušení připojení
  • Zda povolit opětovné připojení z libovolného klienta nebo pouze původního klienta

Dálkové ovládání

Karta Vzdálené řízení na stránce vlastností uživatelského účtu umožňuje konfigurovat nastavení řízení služeb Vzdálené plochy. Tato karta obsahuje následující pole:

  • Povolení vzdáleného řízení
  • Vyžadovat oprávnění uživatele
  • Úroveň ovládacího prvku (zobrazení/interakce)

Publikované certifikáty

Karta Publikované certifikáty na stránce vlastností uživatelského účtu obsahuje seznam všech certifikátů X509 publikovaných pro uživatelský účet a uložených ve službě Active Directory.

Člen

Karta Člen na stránce vlastností uživatelského účtu umožňuje spravovat členství ve skupině zabezpečení. Členství ve skupině můžete přidat nebo odebrat pomocí této karty stránky vlastností uživatelského účtu.

Replikace hesel

Karta Replikace hesel na stránce vlastností uživatelského účtu umožňuje spravovat, jestli se heslo uživatelského účtu ukládá do mezipaměti na řadičích domény jen pro čtení. Na této kartě můžete určit, které řadiče domény jen pro čtení ukládají kopie hesla uživatelského účtu uložené v mezipaměti.

Telefonické připojení

Karta Vzdálené připojení na stránce vlastností uživatelského účtu umožňuje konfigurovat následující oprávnění přístupu k síti pro Server zásad sítě:

  • Povolit přístup
  • Odepření přístupu
  • Řízení přístupu prostřednictvím zásad sítě NPS
  • Ověřte Caller-ID
  • Bez zpětného volání
  • Nastaveno volajícím
  • Vždy se vraťte k
  • Přiřazení statických IP adres
  • Použití statických tras

Objekt

Karta Objekt na stránce vlastností uživatelského účtu umožňuje zobrazit informace o objektu zabezpečení a nakonfigurovat nastavení Chránit objekt před náhodným odstraněním.