Чем отличаются права пользователя Active Directory из группы «Администраторы» от группы «Пользователи»?

Администраторы - Члены этой группы имеют полные, ничем не ограниченные права доступа к контроллеру домена, любому компьютеру в домене и домену в целом. Данная группа имеет полный контроль над всеми контроллерами домена, а также над всем содержимым каталога домена Active Directory. Члены этой группы могут изменять членство всех остальных административных групп домена. Группа Администраторы наделена самыми широкими полномочиями для работы со службой каталогов.

Пользователи - члены этой группы имеют достаточно прав для работы на компьютерах домена, но не для изменение параметров системы. Они не могут запускать несертифицированные приложения

Пользователь Active Directory какой группы имеет право подключать компьютер к домену?

Компьютеры, работающие под управлением Windows 2000/XP, при подключении к серверу будут добавляться автоматически в группу Computers. Для этого на каждом клиенте нужно выбрать «Мой Компьютер – Свойства – Имя компьютера», затем либо вызвать «Мастер сетевой идентификации», нажав кнопку «Идентификация», либо сразу ввести необходимые параметры, нажав кнопку «Изменить». Если имеются системы, работающие под Windows 98, они подключаются как клиенты Active Directory, в этом случае учетные записи компьютера не создаются. Для их работы необходимо установить программу dsclient.exe, которая имеется на установочном диске Win2k3.

 Хотя есть один нюанс. Право добавлять компьютеры автоматически предоставляется всем зарегистрированным в домене пользователям, но количество автоматических регистраций под одной учетной записью ограничено. Поэтому учетные записи некоторых компьютеров, возможно, придется добавлять вручную, для этого достаточно щелкнуть правой кнопкой на контейнере, в котором необходимо ее разместить, затем выбрать «New – Компьютер» и в появившемся окне ввести имя компьютера.

 По умолчанию присоединять компьютер к домену имеют право только члены группы Администраторы домена, чтобы разрешить данное действие другим пользователям или группам, необходимо нажать кнопку «Изменить» и выбрать их из списка, как это показано ранее.

Для чего нужен «переносимый профиль» пользователя Active Directory?

Перемещаемый профиль пользователя — технология используемая в семействе операционных систем Microsoft Windows, которая позволяет пользователям, подключенных к домену Windows Server, при входе в операционную систему с различных компьютеров локальной сети, получить доступ к своему профилю. Загружаемый профиль пользователя включает настройки программ, документы, ветви реестр и рабочее окружение, в том числе расположение иконок на рабочем столе и прочие настройки. При выходе из системы все измененные настройки профиля и документы синхронизируются с сервером.

Преимущества, которые можно получить от применения технологий перемещаемых профилей и перенапраления папок:

когда пользователь входит в сеть с разных компьютеров, его данные остаются доступными, как если бы он работал только за одним компьютером;

файлы и параметры пользователя можно перенаправить на другой компьютер, поэтому если потребуется переустановка операционной системы, данные будут сохранены.

Профиль пользователя включает в себя:

ветвь реестра HKEY_CURRENT_USER (файл ntuser.dat), хранящую настройки пользователя;

набор папок, хранящих документы и конфигурационные файлы, таких как «Рабочий стол», «Главное меню», «Мои документы».

Перемещаемый профиль загружается на компьютер, с которого пользователь входит в домен Active Directory. При выходе пользователя из системы изменения в профиле синхронизируются с копией, находящейся на сервере. Если вход в домен невозможен, используется сохранённый локально при предыдущем входе в систему (кэшированный) профиль, который может не содержать последних изменений, или создаётся временный профиль.

Преимущества использования перемещаемых профилей:

перемещаемый профиль позволяет пользователю автоматически получать доступ к своим данным с любого сетевого компьютера, входящего в домен;

использование перемещаемых профилей упрощает резервное копирование данных пользователей;

при замене компьютера нет необходимости сохранять документы и настройки пользователя, при входе в домен они автоматически загружаются на новый компьютер.

Недостатком перемещаемых профилей является создаваемый при их использовании дополнительный сетевой трафик и увеличение времени входа в систему и выхода из системы.