Uživatelské účty v Active Directory

Základní typy uživatelských účtů

Standardní účty

Uživatelům s účtem v IS VUT jsou vytvářeny účty v centrální Active Directory doméně vutbr.cz (VUTBR), kterou spravuje CVIS VUT. Tyto účty jsou vytvářeny automatem po vzniku vztahu k FEKT (a/nebo dalším součástem VUT) a dále tímto automatem spravovány (aktualizace údajů podle IS VUT, zablokování účtu po zániku vztahů uživatele atd.).

Uživatelské jméno u těchto účtů je VUTlogin, pokud jej má uživatel přidělen, jinak je použito osobní číslo (tzv. per_id). V případě pozdějšího přidělení VUTloginu nebo jeho změny provede již zmíněný automat (s určitým zpožděním) aktualizaci uživatelského jména podle předchozí věty.

Heslo je ve standardním stavu stejné jako VUTheslo a po změně VUThesla dojde (opět s určitým zpožděním) také k aktualizaci hesla u účtu v Active Directory. Změna hesla u těchto účtů není možná přímo v Active Directory (při pokusu se zobrazí chybová zpráva o odepřeném přístupu) ale musí být prováděna z IS VUT.

Pokud uživatel nebyl dosud přihlášen do IS VUT (nebo se do IS VUT naposled přihlásil cca v době 3Q/2013), nemusí být synchronizace hesla možná a účet je blokován. V tomto případě se stačí jen přihlásit do IS VUT a dojde k nastavení hesla obdobně jako po jeho změně (viz 1. věta) i k odblokování účtu.

Speciální účty

Další účty mohou být dle potřeby vytvářeny ve fakultní Active Directory doméně ad.feec.vutbr.cz (AD_FEEC). Toto se týká např. účtů ústavních správců, kteří mají na těchto účtech přiřazena některá nadstandardní přístupová práva. Většiny uživatelů se tedy tento typ účtu netýká a vlastnící těchto účtů o jejich existenci vědí.

Uživatelské jméno u těchto účtů je obvykle stejné jako VUTlogin, případně je použit jiný řetězec odpovídající účelu tohoto účtu nebo příjmení (+ příp. jménu) vlastníka – na základě individuální dohody. Přidělené uživatelské jméno se může změnit opět jen po vzájemné dohodě (tj. nezmění se automaticky).

Heslo je nastavováno individuálně a obvykle přímo osobně vlastníkem účtu. Další změna hesla je již ve výhradní režii vlastníka účtu. Doménová policy stanoví minimální délku hesla 8 znaků, jiná omezení nejsou nastavena.

Uživatelská jména v Active Directory

V prostředí Active Directory se pracuje s tzv. doménovými uživatelskými jmény. Ta jsou tvořena jménem domény, ve které je účet uživatele definován, a samotným uživatelským jménem tohoto účtu. V určitých případech nemusí být nutné se názvem domény zabývat. Např. PC na učebnách by měla být nakonfigurována tak, aby uživateli se standardním účtem stačilo zadávat pouze samotné uživatelské jméno (a heslo). Pro přihlášení se speciálním účtem na témže místě už ale bude nutné možná umět zadat uživatelské jméno i v úplném tvaru, protože speciální účty jsou definovány v jiné doméně než účty standardní.

U počítačů, které jsou zařazeny v doméně, se zde uvedené týká i práce s lokálními účty, které jsou definovány přímo na dotyčném počítači, protože u počítačů zařazených do domény jsou uživatelská jména překládána jako jména účtů v doméně, do které je tento počítač zařazen. Lokální účty jsou pak dostupné jako účty v "doméně" pojmenované podle jména počítače.

Doménová uživatelská jména lze zadávat ve 2 možných tvarech:

Úplná jména domén i jejich krátká jména (v závorce) jsou uvedena v prvních odstavcích popisů jednotlivých typů účtů.

Pro hypotetického uživatele s VUTloginem vutlogin je tedy doménové uživatelské jméno jeho standardního účtu v libovolném z těchto 2 tvarů:

Pro hypotetického uživatele bez přiděleného VUTloginu a majícího osobní číslo 12345678, je doménové uživatelské jméno jeho standardního účtu v libovolném z těchto 2 tvarů:

Pro jméno "domény" u lokálních účtů platí, že jméno domény je odvozeno od jména počítače bez DNS domény (ve Windows je označována jako primární DNS sufix), ale ve většině případů stačí použít jen . (znak tečka). V tomto případě lze ale využít pouze tvar se zpětným lomítkem.

Pro lokální účet Administrator na hypotetickém počítači pctest.feec.vutbr.cz lze tedy uživatelské jméno zadávat v libovolném z těchto 2 tvarů (s tím, že 2. tvar nemusí být akceptován všude):

Uživatelská jména v Active Directory i u lokálních účtů ve Windows jsou bez rozlišení velikosti písmen. U hesel však malá a velká písmena vzájemně zaměňovat nelze!