| Siec TCP/IP || Otoczenie Sieciowe || Poczta || Usnet || FTP || Konto Shellowe || Czat || IRC || Serwer PROXY |

Otoczenie sieciowe - Sieć SMB

utworzono: 26/02/2007:: modyfikacja: ---
autor: Marcin Moczkowski :: glappo (at) banita (dot) pl

Logowanie do Domeny Windows NT

Żeby korzystać z logowania do domeny w Windows Vista należy posiadać konto zwykłe konto na serwerze będącym podstawowym kontrolerem domeny (PDC) czyli na Archiwum (banita.pl) oraz owe konto musi być uaktywnione jako konto SMB. Owe konto SMB posiada inne hasło mimo tego samego loginu jak na zwykłym koncie, gdyż baza haseł miedzy nimi nie jest synchronizowana. Dodatkowo Windows Vista wymaga posiadania tzw. konta zaufania maszyny. Jest to specjalny rodzaj konta na serwerze charakteryzujący się m.in. tym że musi mięć koniecznie tą sama nazwę co nazwa twojego komputera w sieci LAN (tzw. nazwa NetBiosowa) i służy tylko do Logowania do domeny dla Windows Vista czyli opartych na rodzinie Windows NT. O te konto nie musisz się martwic gdyż zostanie one utworzone automatycznie podczas dołączania twojego komputera do domeny ale cała ta procedura wymaga posiadania hasła na konto root czyli administratora domeny NT no i tu też potrzebna będzie "interwencja". 

Z rodziny system Windows Vista domeny NT obsługują wersje Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate. Systemy Windows Vista Home Basic i Windows Vista Home Premium są pozbawione tej funkcjonalności jako że zgodnie z nazwą zostały przeznaczone do zastosowań domowych a tam się domen NT raczej nie stosuje.

Logowanie do Domeny NT w Windows Vista

  • Skoro używasz Windows Vista musisz pobrać i zaaplikować dla twojego systemu poniższy plik rejestru:
    WinXP_SignOrSeal.reg, czytaj: SMB Signing czyli podpisywanie komunikacji (wymagane gdy PDC działa na Samba 2.2)
  • Przejdź do opcji "System" w Panelu Sterowania i w okienku które ujrzysz wybierz zakładkę "Nazwa komputera"

  • Następnie naciśnij tutaj odpowiednio "Zmień" i pojawi ci się okno jak poniżej.

  • W sekcji "Członkostwo" zmień opcje z "Grupa robocza" na "Domena" i wpisz "WARIACI", gdyż tak się nazywa nasza domena.

  • Następnie wybierz "OK" i zostaniesz poproszony o wpisanie danych konta uprawniających przyłączenie się do domeny NT.

  • Należy tutaj wpisać nazwę użytkownika jako "root" oraz podane przez admina hasło

  • Nastąpi teraz weryfikacja danych, która potrwa parę sekund, w trakcie której zostanie utworzone konto zaufania naszej maszyny na serwerze Archiwum. Konto to ma nazwę taka jak nazwa naszego komputera i pierwsze hasło ustawione na ta sama nazwę pisana małymi literami.

  • Po tym wszystkim zostaniemy powitani w domenie WARIACI, klikamy OK i restartujemy komputer

  • Po restarcie pojawi się okno logowania do systemu. Nowym elementem logowania będzie wybór gdzie chcemy się zalogować czyli albo do domeny "WARIACI" lub naszego komputera.

  • Przy logowaniu do domeny należy login i hasło na nasze konto SMB na serwerze (już nie konto "root" tylko zwykłego użytkownika w domenie NT).

  • Poprawność wpisanych danych zostanie od razu zweryfikowana i w razie pomyłki zostaniesz poproszony o wpisane jeszcze raz poprawnych danych
  • Następnie pojawi się okienko informujące o logowaniu do domeny oraz okno dialogowe skryptu synchronizującego czas i mapującego dyski (czyli nie panikuj:)
  • No i po sprawie, masz szybki dostęp do Archiwum poprzez zmapowane dyski no i aktualny czas:). Możesz też używać udostępniania plików z uwierzytelnianiem m.in. dla użytkowników domeny a nie tylko kont na twoim komputerze.
  • Jako że jesteś zalogowany jako użytkownik domeny NT twój system przydzieli ci pewno prawa tylko zwykłego użytkownika ale oczywiście możesz zmienić na np. "Administrator" w "Panel sterowania" >> "Konta użytkowników".
  • Domyślnie w Windows Vista masz włączone profile mobilne dla konta którym logujesz się do domeny NT. Tutaj możesz dowiedzieć się co to jest i jak je ewentualnie wyłączyć Profile mobilne (wędrujące) w systemach Windows

nlogon - Windows Vista Home Basic/Premium

System Windows Vista Home Basic/Premium oficjalnie nie wspiera logowania do domeny ale można na nim wymusić częściową funkcjonalność wynikłą z członkostwa w domenie NT. Można to uczynić poprzez użycie darmowego programu nlogon. Ten program służy naprawdę do niby-logowania do domeny NT. Owe niby-logowanie to właściwie uruchamianie skryptów po stronie Windows Vista Home Basic/Premium (ale nie tylko) z udziału netlogon znajdującym się na serwerze. Zastępuje okno logowania Windows Vista Home Basic/Premium, lub pozwala na użycie loginu i hasła z systemu. Konfiguracja jest bardzo prosta i sprowadza się do edycji pliku c:\config.xml i ustawienia w nim serwera logowania oraz opcji zastępowania logowania Windows.

Program nlogon jest darmowy i możesz go pobrać z jego strony domowej - http://www.nlogon.one.pl/

Niedostępność (kontrolera) domeny NT

Czasem może się zdarzyć że podstawowy kontroler domeny NT, będzie niedostępny. w takich wypadkach jego role powinien przejąć zapasowy kontroler domeny ale takowego w naszej sieci po prostu nie ma. taka sytuacja może się też wydarzyć jak twój komputer będzie odłączony od sieci. W takiej sytuacji system nie będzie wstanie zweryfikować poprawności użytkownika i hasła w domenie i teoretycznie powinien odmówić "posłuszeństwa" czyli mimo wpisania prawidłowych danych odrzucić je z powodu niedostępności domeny NT. No ale oczywiście w Windows Vista jest inaczej gdyż system buforuje standardowo do 10 poprzednich logowań użytkownika i w takiej sytuacji się jednak mimo wszystko zalogujesz.

Opcje z tym związane znajdziesz w "Panel sterowania" >> "Narzędzia administracyjne" >> "Zasady zabezpieczeń lokalnych" >> "Zasady lokalne" >> "Opcje zabezpieczeń" >> "Logowanie interakcyjne: liczba poprzednich zalogowań do buforu (w przypadku niedostępności kontrolera domeny)". Możesz tutaj zmienić standardowe ustawienie buforowania 10 ostatnich logowań.

To samo osiągniesz zaglądając do klucza w rejestrze (ta metoda działa od Windows NT 3.51 wzwyż):

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon\

zmieniając wartość typu REG_SZ o nazwie CachedLogonsCount, możesz jej nadać wartość od 0 do 50

Oczywiście jak ustawisz wartość 0 zostanie wyłączone buforowanie haseł. Wtedy gdy kontroler domeny NT będzie niedostępny, nie będziesz mógł się zalogować.

Komunikaty o błędach

Jeżeli chcesz żeby użytkownik logujący się do kontrolera domeny który jest niedostępny został o tym poinformowany za pomocą okienka popup, odnajdź klucz w rejestrze

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon\

utwórz dwa klucze w tej lokalizacji:

  • ReportDC typu REG_DWORD o wartości 1, żeby wiadomość była wyświetlana

  • ReportControllerMissing (Windows 2000 i nowsze) typu REG_SZ o wartości TRUE, żeby raportować błędy

Teraz dostaniesz informacje w stylu "kontroler domeny jest niedostępny, zostałeś zalogowany przy użyciu zbuforowanego konta, a zmiany w twoim profilu od czasu poprzedniego logowania, mogą być niedostępne" lub gdy jest wyłączone buforowanie haseł "system nie może ciebie zalogować gdyż  kontroler domeny <nazwa domeny> jest niedostępny".

Zmiana czasu systemowego przez użytkownika

W skryptach logowania często używana jest komenda synchronizacji czasu (net time) logującej się stacji z serwerem czasu, którym w tym wypadku często jest Podstawowy Kontroler Domeny (PDC), u nas Archiwum. Jako że standardowo użytkownik logujący się do domeny posiada prawa zwykłego użytkownika, nie ma on uprawnień do zmiany czasu systemowego. Natomiast skrypt logowania domenowego w którym jest zawarta komenda net time, wykonuję się z prawami tego właśnie użytkownika. Standardowo prawa zmiany czasu systemowego posiada grupa Administratorzy i Użytkownicy Zaawansowani. Żeby zwykły użytkownik mógł zmienić czas systemowy należy dodać go do tego grona poprzez Zasady grupy czyli gpedit.msc. Czyli przejdź do Menu Start >> Uruchom >> wpisz: gpedit.msc, teraz w zasadach grupy przejdź do Konfiguracja komputera >> Ustawienia systemu Windows -> Ustawienia zabezpieczeń >> Zasady lokalne >> Przypisywanie praw użytkownika >> Zmiana czasu systemowego ... i teraz przypisz tutaj jakie grupy mogą zmienić czas systemowy.

Zmiana nazwy komputera podłączonego do domeny

Zmiana nazwy komputera podłączonego do domeny jest właściwie niemożliwa. Dla systemów opartych o Windows z linii NT oprócz konta domenowego jest generowane konto maszyny na kontrolerze domeny (PDC) oparte o jego unikalna nazwę Netbios. Więc gdy się upierasz ze zmiana nazwy Netbios komputera podłączonego do domeny musisz wykonać poniższe kroki z trzema restartami ;-)

  • Komputer odłączyć od domeny - przejdź do "Panel Sterowania" >> "System" i wybierz zakładkę "Nazwa komputera", teraz przycisk "Zmień". W sekcji "Członkostwo" zmień opcje z "Domena" na "Grupa robocza"  i wpisz "WARIACI" (właściwie może być dowolna), gdyż tak się nazywa nasza domena. Teraz pozostało ci zrestartować komputer żeby zmiany odniosły skutek.

  • Zmienić nazwę komputera - znów przejdź do "Panel Sterowania" >> "System" i wybierz zakładkę "Nazwa komputera", teraz przycisk "Zmień". Teraz możesz zmienić nazwę Netbios komputera i znów zrestartować komputer żeby zmiany odniosły skutek ;-).

  • Podłączyć komputer do domeny - procedura jak na samym początku tej strony czyli Logowanie do Domeny NT w Windows Vista.


Drukuj Dokument