Uživatelské účty v Active Directory
Základní typy uživatelských účtů
Standardní účty
Uživatelům s účtem v IS VUT jsou vytvářeny účty
v centrální Active Directory doméně vutbr.cz
(VUTBR
), kterou spravuje CVIS VUT. Tyto účty jsou
vytvářeny automatem po vzniku vztahu k FEKT (a/nebo dalším
součástem VUT) a dále tímto automatem spravovány (aktualizace
údajů podle IS VUT, zablokování účtu po zániku vztahů uživatele
atd.).
Uživatelské jméno u těchto účtů je VUTlogin, pokud jej má uživatel přidělen, jinak je použito osobní číslo (tzv. per_id). V případě pozdějšího přidělení VUTloginu nebo jeho změny provede již zmíněný automat (s určitým zpožděním) aktualizaci uživatelského jména podle předchozí věty.
Heslo je ve standardním stavu stejné jako VUTheslo a po změně VUThesla dojde (opět s určitým zpožděním) také k aktualizaci hesla u účtu v Active Directory. Změna hesla u těchto účtů není možná přímo v Active Directory (při pokusu se zobrazí chybová zpráva o odepřeném přístupu) ale musí být prováděna z IS VUT.
Pokud uživatel nebyl dosud přihlášen do IS VUT (nebo se do IS VUT naposled přihlásil cca v době 3Q/2013), nemusí být synchronizace hesla možná a účet je blokován. V tomto případě se stačí jen přihlásit do IS VUT a dojde k nastavení hesla obdobně jako po jeho změně (viz 1. věta) i k odblokování účtu.
Speciální účty
Další účty mohou být dle potřeby vytvářeny ve fakultní Active
Directory doméně ad.feec.vutbr.cz
(AD_FEEC
).
Toto se týká např. účtů ústavních správců, kteří mají na těchto účtech
přiřazena některá nadstandardní přístupová práva. Většiny uživatelů se
tedy tento typ účtu netýká a vlastnící těchto účtů o jejich
existenci vědí.
Uživatelské jméno u těchto účtů je obvykle stejné jako VUTlogin, případně je použit jiný řetězec odpovídající účelu tohoto účtu nebo příjmení (+ příp. jménu) vlastníka – na základě individuální dohody. Přidělené uživatelské jméno se může změnit opět jen po vzájemné dohodě (tj. nezmění se automaticky).
Heslo je nastavováno individuálně a obvykle přímo osobně vlastníkem účtu. Další změna hesla je již ve výhradní režii vlastníka účtu. Doménová policy stanoví minimální délku hesla 8 znaků, jiná omezení nejsou nastavena.
Uživatelská jména v Active Directory
V prostředí Active Directory se pracuje s tzv. doménovými uživatelskými jmény. Ta jsou tvořena jménem domény, ve které je účet uživatele definován, a samotným uživatelským jménem tohoto účtu. V určitých případech nemusí být nutné se názvem domény zabývat. Např. PC na učebnách by měla být nakonfigurována tak, aby uživateli se standardním účtem stačilo zadávat pouze samotné uživatelské jméno (a heslo). Pro přihlášení se speciálním účtem na témže místě už ale bude nutné možná umět zadat uživatelské jméno i v úplném tvaru, protože speciální účty jsou definovány v jiné doméně než účty standardní.
U počítačů, které jsou zařazeny v doméně, se zde uvedené týká i práce s lokálními účty, které jsou definovány přímo na dotyčném počítači, protože u počítačů zařazených do domény jsou uživatelská jména překládána jako jména účtů v doméně, do které je tento počítač zařazen. Lokální účty jsou pak dostupné jako účty v "doméně" pojmenované podle jména počítače.
Doménová uživatelská jména lze zadávat ve 2 možných tvarech:
<krátké jméno domény>\<uživ. jméno>
– jednotlivé části oddělené zpětným lomítkem;<uživ. jméno>@<úplné jméno domény>
– ve formátu podobném e-mailové adrese.
Úplná jména domén i jejich krátká jména (v závorce) jsou uvedena v prvních odstavcích popisů jednotlivých typů účtů.
Pro hypotetického uživatele s VUTloginem vutlogin
je tedy doménové uživatelské jméno jeho
standardního účtu v libovolném z těchto 2 tvarů:
VUTBR\vutlogin
;vutlogin@vutbr.cz
.
Pro hypotetického uživatele bez přiděleného VUTloginu a majícího
osobní číslo 12345678
, je doménové
uživatelské jméno jeho standardního účtu v libovolném
z těchto 2 tvarů:
VUTBR\12345678
;12345678@vutbr.cz
.
Pro jméno "domény" u lokálních účtů platí, že jméno
domény je odvozeno od jména počítače bez DNS domény (ve Windows je
označována jako primární DNS sufix), ale ve většině případů stačí
použít jen .
(znak tečka). V tomto
případě lze ale využít pouze tvar se zpětným lomítkem.
Pro lokální účet Administrator
na
hypotetickém počítači pctest.feec.vutbr.cz
lze tedy uživatelské jméno zadávat v libovolném z těchto
2 tvarů (s tím, že 2. tvar nemusí být akceptován
všude):
PCTEST\Administrator
..\Administrator
.
Uživatelská jména v Active Directory i u lokálních účtů ve Windows jsou bez rozlišení velikosti písmen. U hesel však malá a velká písmena vzájemně zaměňovat nelze!