Domeinadministratie
Op een NT-server, geïnstalleerd als primary domain controller, voorzien van te delen
software kan men volgende bewerkingen uitvoeren:
- onderhoud van de accountdatabase
- het delen van directories
- een netwerkconnectie maken
- een netwerkconnectie verbreken en het delen van een directory
beëindigen
- oefeningen
kies start, programs,administrative tools, user manager for
domains
In een nieuw domein worden automatisch 2 users aangemaakt: ADMINISTRATOR met een paswoord
ingevoerd bij installatie en GUEST zonder paswoord. De administrator kan en mag alles, een
guest heeft slechts een beperkte toegang.
- a. een nieuwe user aanmaken
-
- kies user, new user
- username: aanmeldingsnaam, in te voeren naam bij het inloggen
full name: volledige naam ter informatie
description: tekst ter informatie
password: paswoord
confirm password: 2X ter controle
de knoppen:
hours: wanneer een user kan inloggen
logon to: op welk werkstation een user mag inloggen
account: wanneer het toegangsrecht moet vervallen
- een aantal checkboxen bepalen hoe het paswoord moet behandeld worden
- user must change password at next login: bij een volgende
aanmelding van deze gebruiker zal hij de vraag krijgen een nieuw paswoord in te voeren
user cannot change password: de gebruiker kan de paswoord niet veranderen, zowel op
de NT-server als vanaf een 95-werkstation
password never expires:men kan de NT-server zo instellen dat na een bepaalde tijd,
b.v. 2 maanden, het paswoord moet veranderd worden. Deze checkbox schakelt deze optie uit.
account disabled: de gebruiker krijgt een toegang meer en is b.v. met vakantie
account locked out: zie account policies
Bemerk dat deze instellingen alleen gelden voor de nieuwe gebruiker.
b. een user wissen of copiëren
Om een user te wissen selecteert men de user en kiest men user,delete.
De speciale users ADMINISTRATOR en GUEST kunnen niet gewist worden.
Op een gelijkaardige manier copieert men een user. De meeste instellingen, rechten en
permissies van deze user worden overgenomen door de nieuwe user. We raden dan ook aan
onmiddellijk een copie te maken van de administrator-user met een nieuwe naam en een ander
paswoord. Immers, indien men toevallig het paswoord van de administrator vergeet kan men
de NT-server niet meer opstarten!!
c. account policies
De paswoordinstellingen kan men individueel invoeren (zie a.) of kan men
voor alle users definiëren. Individuele instellingen overschrijven algemene
instellingen!!
- kies bij user manager for domains ; policies,account
- maximum password age: ofwel never expires ofwel na een 1-999
dagen, m.a.w. het paswoord vervalt nooit ofwel na ...dagen.
- minimum password age: bepaalt hoe lang een paswoord moet gebruikt
worden, ofwel van 1 tot 999 dagen ofwel onmiddellijk wijzigen bij volgende inlogprocedure
- maximum password length: laat ofwel een blanco paswoord toe ofwel
een paswoord met 1 tot 14 karakters
- password uniqueness:laat toe al of niet een historiek van de reeds
gebruikte paswoorden bij te houden (tot 24). Indien actief wordt bij wijziging van het
paswoord nagegaan of het reeds gebruikt werd.
- account lockout:om te vermijden dat ongewenste gebruikers blijven
proberen toegang te krijgen tot het netwerk.
Het aantal pogingen kan men instellen van 1 tot 999. Bovendien kan men na een zekere
tijdsperiode deze teller opnieuw op 0 plaatsen
Indien het aantal pogingen overschreden wordt dan krijgt de account de lockout-status, die
op volgende wijze kan vernietigd worden:
opmerkingen:
Met de optie forcibly disconnect remote users from server when logon hours expire
kan men de user automatisch laten uitloggen wanneer de tijdslimiet bereikt werd.
Users must login to change password heeft voor gevolg dat het
paswoord enkel kan veranderd worden indien de user ingelogd is. Indien men inlogt met een
vervallen paswoord dan kan men ofwel een nieuw paswoord invoeren indien deze optie afstaat
en moet de administrator een nieuw paswoord invoeren indien deze optie aanstaat.
Tenslotte...
Een aantal individuele instellingen kan men toch in groep definiëren door de users in een
blok te selecteren (klik - shift klik - ctrl klik) en daarna de waarden in te voeren b.v.
hours
Een directory op de NT-server wordt als volgt gedeeld :
via my computer en windows NT explorer selecteert men de directory
druk de rechtermuisknop en kies sharing
geef een naam aan de gedeelde directory (maximum 12 karakters) en voer
eventueel het maximum aantal gebruikers in, die gelijktijdig deze directory mogen
gebruiken.
opmerkingen:
Ook op een windows 95-machine kan men directories of folders als gedeeld
plaatsen. Op dat moment wordt WIN95 ook een server-machine.
Selecteer de folder en klik de rechtermuisknop, kies delen, gedeeld als, en voer de
share-naam in. Voorlopig kiezen we voor een volledige toegang
- vanuit een win95-werkstation een gedeelde directory op een NT-server
aanspreken
Bij het opstarten van win95 wordt gevraagd een
gebruikersnaam en een paswoord in te voeren. Beiden moeten als account voorkomen in de
accountdatabase van de NT-server.
Kies op het win95-werkstation netwerkomgeving met de rechtermuisknop, netwerkverbinding
maken
Vanaf dat moment wordt deze verbinding als netwerkdrive in het venster
van deze computer-icon opgenomen. Een dubbele klik volstaat om de inhoud van de
drive te benaderen.
- vanuit een NT-server of NT-werkstation een win95-server aanspreken
Kies op de NT-machine met de rechtermuisknop het snelmenu van my
computer of network neighborhood. Selecteer de optie map
network drive.
Voer drive, path en reconnect at logon in zoals in punt 1.
De ingevoerde gebruikersnaam en paswoord op de NT-machine moet bestaan in de
accountdatabase om te kunnen inloggen maar heeft niets te maken met de win95-server.
De gebruikte driveletter komt als netwerkdrive in file manager voor.
- vanuit een NT-server of NT-werkstation een NT-server aanspreken
De verbinding gebeurt op dezelfde manier als in punt 2
Indien de inlogaccount niet dezelfde is als de account die de verbinding maakt, dan
kan men via connect as de account invoeren waarmee de verbinding moet
gemaakt worden.
Wordt dit veld niet ingevoerd dan moet de inlogaccount op beide servers bestaan.
Opgelet: er mag nog geen andere connectie naar deze server bestaan!!!!
- vanuit win95-werkstation een win95-server aanspreken
Zie punt 1, doch er is geen enkele controle op gebruikersnaam en paswoord
m.a.w. elk win95-werkstation kan elke gedeelde directory van een win95-server bereiken.
opmerking
Het koppelen van driveletter aan een gedeelde directory, ook wel redirection
genoemd, kan men ook door te browsen.
In NT ziet men in het venster network neighborhood een overzicht van de gedeelde
directories op domeinen en computers. Met de rechtermuisknop kan men een redirection
uitvoeren.
In win95 krijgt men het overzicht in netwerkomgeving.
Men kan zelfs een netwerkverbinding creëeren zonder een redirection
naar een driveletter te moeten uitvoeren, wat ten goede komt aan het aantal gelijktijdige
redirections. Dergelijke netwerkverbindingen worden wel niet bewaard
Let er echter op dat in deze browse-vensters niet altijd alle gedeelde directories te zien
zijn. Vooral kort na het opstarten kunnen er een aantal ontbreken, immers het doorsturen
van nieuwe redirections is afhankelijk van de bezettingsgraad van het netwerk.
vergeet niet!
en nog dit...het inloggen op een win95-machine kan op 2 manieren:
- door middel van een gebruikersnaam en paswoord die locaal bewaard worden
Op de computer vindt men een file met naam 'gebruikersnaam' en extensie PWL.
Dit biedt geen enkele beveiling en dient enkel voor gebruikersprofielen. Men kan dan ook
zonder problemen de PWL-file wissen en een gebruikersnaam met een nieuw paswoord aanmaken.
- door middel van een gebruikersnaam en paswoord die op een NT-server
gevalideerd worden
Kies op de win95-machine start,
instellingen,configuratiescherm,netwerk, eigenschappen van cliënt voor
microsoft-netwerken.
Activeer aanmelden bij windows NT-domein en voer de naam van de domeinserver in.
Men kan kiezen tussen een snelle aanmelding, wat betekent dat de validatie van de
account zal gebeuren wanneer een gedeelde directory op de server geactiveerd wordt.
Met de optie aanmelden met herstellen van netwerkverbindingen wordt de validatie
uitgevoerd bij het inloggen zodat de inlogprocedure iets langer kan duren.
Bij het inloggen worden de in te voeren accountgegevens uitgebreid met de domeinnaam, die
hier eventueel nog kan veranderd worden, indien meerdere domeinservers.
- een netwerkconnectie verbreken
- het delen van een directory beëindigen
opmerking
Het delen van een directory kan men ook beëindigen door de directory te
wissen. Bemerk echter dat hij automatisch gedeeld wordt bij het terug aanmaken.
oefening 1
Log in op een win95-machine zonder aanmelding op een NT-server. Log uit
en log opnieuw in met dezelfde gebruikersnaam en een ander paswoord.
Hoe kan je het windows-paswoord veranderen? (2 manieren)
Maak een netwerkconnectie met een gedeelde directory op de server. Verklaar het probleem.
oefening 2
Zorg dat bij aanmelding op een win95-machine de account onmiddellijk
gecontroleerd wordt op een NT-server.
Plaats voor de users een lockout after 3 bad login attempts en de lockout moet
forever. Test met een win95-werkstation en zorg dat de user opnieuw toegang krijgt.
oefening 3
Zorg dat bij aanmelding op een win95-machine de account onmiddellijk
gecontroleerd wordt op een NT-server.
Plaats bij elke user de optie change password at next login aan. Login met
een win95-werkstation.
oefening 4
Plaats bij elke user de optie change password at next login aan en
activeer de optie users must login to change password. Login met een win95-werkstation.
Wie zorgt voor de oplossing?
oefening 5
Geef een gebruiker voor een zekere periode geen toegang. Probeer in te
loggen en bekijk de melding. Herstel de toegang voor de gebruiker en log in.
Voor onderhoudswerken moet men een user van op afstand kunnen disconnecteren en de toegang
voor een zekere periode weigeren. Hoe?