15.3 動態本地使用者規則 (使用者套件)

動態本地使用者 (dynamic local user, DLU) 是在工作站之安全性存取管理員 (Security Access Manager, SAM) 資料庫中暫時或永久建立的使用者物件。

暫時使用者或帳戶亦被稱為動態使用者,其持續時間是由管理員來決定。此類型的帳戶可避免 SAM 變得太大。

如果環境中有多個登入共享工作站或終端機伺服器的使用者,則您可以設定並啟用動態本地使用者 (DLU) 規則。設定並啟用該規則後,當使用者登入系統時,桌面管理會在本地工作站或終端機伺服器上動態建立使用者帳戶。

對於 Windows NT/2000/XP 工作站與 Windows 2000/2003 終端機伺服器,動態本地使用者規則可讓您在建立於 Windows NT/2000/XP 工作站與 Windows 2000/2003 終端機伺服器上的使用者通過目錄驗證後,設定這些使用者。使用者與組態物件關聯後,NetWare® 圖形識別與驗證 (NetWare® Graphical Identification and Authentication, NWGINA) 即可從組態物件取回資訊,以在工作站上建立使用者帳戶。

如果未將使用者定義為 DLU,而且此使用者在工作站上沒有帳戶,則無法建立此使用者的帳戶。因此,此使用者就無法登入到工作站,除非先前已有帳戶,或管理員已手動在工作站上建立該使用者的帳戶。如果未將使用者定義為 DLU,則會使用登入對話方塊之「Windows NT/2000/XP」索引標籤中的使用者認證進行工作站驗證。

如果已將使用者定義為 DLU,則會使用目錄或使用者套件中的使用者認證 (取決於管理員如何對其進行設定)。

如果您在使用者規則套件中設定 DLU,以管理 NT/2000/XP 工作站或 Windows 2000/2003 終端機伺服器的使用者存取,而且您所使用的認證集並非 NetWare 認證集,則所建立的工作站使用者帳戶將擁有隨機、不明的密碼,並將建立為短暫使用者帳戶。如果也已啟用短暫使用者快取,則使用者帳戶在快取生命週期中將持續位於工作站上。不過,這些帳戶並無法存取,因為不知道它們的密碼。

如果您針對具有非 NetWare 認證集的使用者使用短暫使用者快取,則這些使用者帳戶將無法存取,除非使用者同時登入目錄,並設定「管理現有使用者帳戶」選項。

您可以使用「登入限制」頁來允許或限制對某些工作站的 DLU 登入存取。「排除的工作站」清單中所列的工作站與容器無法使用 DLU 存取;「包含的工作站」清單中所列的工作站或作為其中所列容器一部分的工作站可以使用 DLU 存取。

若要正確地管理群組優先程度,請不要讓使用者和 DLU 建立關聯來成為多重群組的成員。

設定動態本地使用者規則的步驟︰

  1. 在 ConsoleOne 中,於「使用者套件」上按一下滑鼠右鍵,按一下「內容」,然後按一下適當的平台頁

    如需有關桌面管理對 Windows NT 平台支援的更多資訊,請參閱《Novell ZENworks 7 桌面管理安裝指南》中的「與 Windows NT 4 工作站的互通性」。

  2. 選取動態本地使用者規則之「已啟用」欄下的核取方塊。

    這樣會同時選擇及開啟規則。

  3. 按一下「內容」。

    「動態本地使用者」頁。

  4. 填寫以下欄位:

    啟用動態本地使用者: 可讓您建立暫時或永久位於工作站的安全性存取管理員 (SAM) 資料庫內的「使用者」物件。

    NWGINA 會要求您指定是否要建立本地使用者。

    若未選取此核取方塊,則 NWGINA 不會在本地 SAM 中建立使用者,而是會嘗試使用 NWGINA 登入介面中指示的認證,來尋找現有使用者。

    如果已選取「啟用動態本地使用者」核取方塊,則 NWGINA 會從組態物件中取得使用者名稱,並查詢本地 SAM 以確定此使用者名稱是否已存在。若是存在,NWGINA 會對使用者進行工作站或終端伺服器的驗證,並授予存取權限。如果該使用者名稱不存在,則 NWGINA 會在本地工作站的 SAM 或終端機伺服器的 SAM 中建立該使用者。

    如果已在本地工作站或終端伺服器上設定密碼限制規則,則不會使用「動態本地使用者」。DLU 使用的本地帳戶密碼必須符合本地工作站密碼限制。

    管理現有使用者帳戶 (如果有): 允許管理現有的使用者帳戶。如果您要管理的使用者物件已存在,請啟用此選項。將執行工作站管理所指定的工作站群組指派,包括在使用者登入非短暫帳戶時,將該帳戶變更為短暫帳戶。當使用者登出之後,此帳戶也會從工作站中移除。

    如果已同時選取此核取方塊和「短暫使用者」核取方塊,並且使用者擁有使用 eDirectory™ 中指定之相同認證的永久性本地帳戶,則會將此永久性帳戶變更為短暫 (暫存) 帳戶。將管理該帳戶,但是當到達短暫使用者快取時限或使用者登出時,會將其移除。

    您在此處變更的任何設定,皆會改寫工作站或終端伺服器上的目前帳戶設定。如果未選取這個選項,則「工作站管理」就不能管理現有的「使用者」物件。

    使用 eDirectory 認證: 可讓您透過使用者的 eDirectory 認證 (而非 NT/2000/XP 認證) 登入。建立使用者帳戶時,NWGINA 可使用 eDirectory 驗證所使用的認證集合,或「組態」物件中所指定的預先確定之認證集合。使用 eDirectory 認證建立工作站使用者帳戶時,NWGINA 會查詢使用者的 eDirectory 帳戶,以獲得登入名稱、全名和描述。NT/2000/XP 使用者帳戶的密碼與 eDirectory 使用者帳戶的密碼相同。

    如果未使用 eDirectory 認證,則帳戶將始終為短暫帳戶,且無法存取。也可以包含「全名」和「描述」,以提供完整的使用者描述。

    如果您未使用 eDirectory 認證,而且使用者帳戶尚不存在 (如「管理現有使用者帳戶」核取方塊所指示),則會將使用者帳戶建立為短暫使用者帳戶,這表示在登出時,會自動刪除該使用者帳戶。這是很顯然的,因為如果未啟用「使用 eDirectory 認證」核取方塊,就會自動啟用「短暫使用者」核取方塊。

    短暫使用者 (登出後移除使用者)︰ 指定用於登入之短暫使用者帳戶的使用。NWGINA 在本地工作站上建立的使用者帳戶,可為動態或非動態帳戶。

    請注意,如果您同時選取「短暫使用者 (登出後移除使用者)」與「管理現有使用者帳戶 (如果有)」核取方塊,則當使用者登出時,將移除短暫使用者帳戶 (即使該帳戶在使用者使用 DLU 登入之前已存在)。

    使用者名稱: NT/2000/XP 使用者名稱。動態本地使用者之使用者名稱 (不包含網路位置) 所包含的字元必須少於 20 個,才可以登入。

    透過「使用者管理員」手動建立的使用者不得具有較長的名稱。

    全名: 使用者的全名。

    描述 輸入任何其他有助於您進一步識別此使用者帳戶的資訊。

    成員所屬: 列出使用者為其成員之群組。當 NWGINA 建立工作站使用者時,可提供群組成員給任何使用者群組。新增使用者的群組會列在「成員所屬」清單中。要新增到「使用者」群組的使用者會使用預設組態。可以透過選取群組並按一下「新增」來新增其他群組。可以透過選取群組並按一下「移除」來移除群組。

    成員不屬於: 列出此使用者尚未被指定為其成員的可用群組。

    自訂: 開啟「自定群組」頁,您可以在此新增自定群組、刪除現有的自定群組,以及檢視或修改現有自定群組的內容。按一下「自訂群組內容」對話方塊中的「說明」按鈕,以取得有關可用選項的更多資訊。

  5. (可選) 如果您要限制對某些工作站的 DLU 存取,請按一下「動態本地使用者」索引標籤上的向下箭頭 > 按一下「登入限制」。

    動態本地使用者規則的「登入限制」頁。

    1. 選取「啟用登入限制」核取方塊,以限制對某些工作站的 DLU 存取。

      選取「啟用登入限制」核取方塊後,「新增」和「刪除」按鈕將可用。

    2. 如果您要限制對未註冊工作站的 DLU 存取,請選取「限制未註冊的工作站」核取方塊。

      在舊版的 ZENworks for Desktops 中,由於未在 eDirectory 中註冊的工作站無法列在「包含的工作站」清單中,所以無法為這些工作站指定 DLU 存取權限。如果開啟此選項,就不能對所有未註冊的工作站授予 DLU 存取權限 (與先前版本的 ZENworks for Desktops 相同)。如果您未選取「限制未註冊的工作站」核取方塊,則可以為所有未註冊的工作站指定 DLU 存取權限,即使這些工作站未顯示在「包含的工作站」清單中。

    3. 使用「排除的工作站」清單方塊中的「新增」與「刪除」按鈕 (如果適用)。

      排除的工作站」方塊列出了您要排除 DLU 存取的工作站和容器。此方塊中列出的工作站或為此方塊中列出的容器一部分之工作站皆不能使用 DLU 存取權限。您可以透過在「包含的工作站」清單中列出個別工作站,使這些工作站成為例外。這將僅允許對這些工作站的 DLU 存取,而排除對容器中其他工作站的 DLU 存取。

    4. 使用「包含的工作站」清單方塊中的「新增」與「刪除」按鈕 (如果適用)。

      包含的工作站」方塊列出了您要允許 DLU 存取的工作站和容器。此方塊中所列的工作站或作為其中所列容器一部分的工作站均可使用 DLU 存取。您可以透過在「排除的工作站」清單中列出個別工作站,使這些工作站成為例外。這將僅排除對這些工作站的 DLU 存取,而允許對容器中其他工作站的 DLU 存取。

  6. (可選) 如果您要管理 Windows NT/2000/XP 工作站與終端機伺服器上的 DLU 檔案系統存取,請按一下「動態本地使用者」索引標籤上的向下箭頭 > 按一下「檔案權限」。

    動態本地使用者規則的「檔案權限」頁。

    您可以控制對整個目錄或個別檔案的存取。例如,如果動態本地使用者規則將使用者建立為群組的成員,而此群組卻沒有指定對執行應用程式所需目錄的存取權限,您可以使用此頁來明確授予所需的目錄權限。或者,如果使用者具有對目錄的「完全控制」權限,則可以使用此頁來限制對任何目錄檔案的權限。

    1. 使用「新增」按鈕修改已為使用者明確指定對其之檔案系統權限的目錄和檔案。

      系統將提示您輸入或選取目錄或檔案。目錄或檔案路徑必須來自將在其中指定權限的工作站或終端機伺服器。將目錄或檔案新增到清單中後,請選取目錄或檔案,然後使用「檔案權限」方塊來指定適當的檔案權限 (「完全控制」、「讀取」、「寫入」、「執行」、「授予許可」和「取得擁有權」)。

      檔案權限」清單顯示已為使用者明確指定對其之檔案系統權限的目錄和檔案。當您在清單中選取目錄或檔案時,指定的權限會顯示在清單下面的「檔案權限」方塊中。如需有關各種權限 (「完全控制」、「讀取」、「寫入」、「執行」、「授予許可」和「取得擁有權」) 的說明,請參閱 Microsoft Windows 作業系統文件。

    2. 使用「檔案權限」清單方塊右側的箭頭按鈕重新定位項目 (如果適用)。

      目錄權限是依照目錄列出的順序從上到下指定的。由於目錄權限承襲,在列出目錄及其子目錄時,必須將子目錄列在其父目錄之後。如此才能確保子目錄之明確指定的權限不會由自其父目錄承襲的權限置換。

      檔案權限始終優先於目錄權限,而不論其在清單中的位置為何。例如,如果您為 c:\program files 目錄指定「完全控制」權限,並為 c:\program files\sample.txt 檔案指定「讀取」和「執行」權限,則會為使用者指定對該檔案的「讀取」和「執行」權限,而不論此檔案是列在目錄之前還是之後。

      可以阻止承襲對 NTFS 檔案系統的權限,並且依預設,在 Windows XP 下,Windows 目錄不允許承襲權限。

  7. 按一下「確定」以儲存規則。

  8. 針對您要設定動態本地使用者規則的每個平台,重複步驟 1步驟 7

  9. 當您設定完此套件中所有規則後,請繼續執行節 15.13, 關聯使用者或工作站套件之下的步驟以關聯規則套件。