Інформація про способи взаємодії користувачів і груп IBM® i з серверами Integrated Windows® Server.
Одним з основних переваг використання інтегрованих серверів Windows є можливість адміністрування користувачів для профайлів користувачів IBM i та Windows. Функція адміністрування користувачів дозволяє адміністраторам реєструвати існуючі профілі користувачів і груп IBM i в Microsoft® Windows.
Реєстрація
Реєстрація - це процес, за допомогою якого профайл користувача або групи IBM i реєструється в засобах інтеграції.
Процес реєстрації відбувається автоматично, при активації такою подією як використання IBM Systems Director Navigator for i або команди Змінити атрибути користувача NWS (CHGNWSUSRA) для реєстрації користувача або групи, зареєстрованого користувача Windows, оновлюючого свій пароль профайла користувача IBM i або атрибути користувача, або при перезапуску інтегрованого сервера. Якщо інтегрований сервер Windows активний, то зміни вступають в силу негайно. Якщо інтегрований сервер вимкнений, то зміни відбуваються при наступному запуску сервера.
Домени Windows і локальні сервери
Реєстрація може виконуватися або в домені Windows, або на локальному сервері. Домен Windows являє собою набір ресурсів (додатків, комп'ютерів, принтерів), об'єднаних в мережу. У користувача є одна обліковий запис у всьому домені, і для отримання доступу до всіх ресурсів йому потрібно тільки увійти в домен. Інтегрований сервер може бути учасником домену Windows, і інтегрувати парні записи користувачів IBM i в домен Windows.
З іншого боку, якщо ви реєструєте користувачів IBM i на інтегрованому сервері, який не входить до складу домену, то він називається локальним сервером, і облікові записи користувачів будуть створені тільки на цьому інтегрованому сервері.
Спеціальні групи, створені на сервері Integrated Windows Server системою IBM i 
В процесі установки на інтегрованому сервері Windows в системі Microsoft Windows створюються дві групи користувачів.
AS400_Users
Кожен користувач IBM i, реєстрований на сервері Windows вперше, була розташована в категорії AS400_Users. Можна видалити користувача з цієї групи на сервері Windows; однак при наступному оновленні з системи IBM i цей користувач буде повернутий назад. За допомогою цієї групи можна визначити, які профілі користувачів IBM i зареєстровані на сервері Windows.
AS400_Permanent_Users
Користувачів цієї групи не можна видалити з сервера Windows за допомогою IBM i. Тим самим виключається можливість випадкового видалення користувачів Windows і під час дій в системі IBM i. Навіть якщо профайл користувача видаляється з системи IBM i, на сервері Windows цей користувач продовжує існувати. На відміну від групи AS400_Users, членство в цій групі контролюється з сервера Windows. При видаленні користувача з цієї групи він не буде відновлений при виконанні поновлення IBM i.
Використання атрибута локального управління паролем (LCLPWDMGT) для профайла користувача IBM i
Існує два способи управління паролями для користувача профайлів.
Звичайний користувач (управління паролем в IBM i)
Можна вказати, що паролі IBM i та паролі Windows збігаються. Зареєстровані користувачі Windows управляють своїми паролями в IBM i. Для настройки цього способу управління паролями вкажіть в призначеному для користувача профайлі атрибут LCLPWDMGT (* YES).
Користувач з паролем, керованим в Windows
Можна вибрати управління паролями зареєстрованих профайлів Windows в системі Windows, без заміни пароля системою IBM i. Для настройки цього способу управління паролем вкажіть в призначеному для користувача профайлі атрибут LCLPWDMGT (* NO).
Додаткова інформація наведена в розділі Варіанти облікових записів зареєстрованих користувачів для інтегрованих серверів Windows .
Застосування технології перетворення ідентифікаторів в рамках підприємства (EIM) IBM i Визначення зв'язків EIM дозволяє системі IBM i підтримувати єдиний вхід в систему Windows із застосуванням такого методу ідентифікації як Kerberos. Є два шляхи для використання підтримки EIM IBM i:
- Можна автоматично створити зв'язок EIM за допомогою функцій реєстру Windows EIM. Вихідні зв'язку EIM Windows автоматично створюються і видаляються при виконанні команди IBM i Створити, Змінити або Видалити профайл користувача (CRTUSRPRF, CHGUSRPRF або DLTUSRPRF) з параметром EIMASSOC зі значеннями * TARGET, * TGTSRC або * ALL.
- Можна вручну визначити зв'язку EIM в реєстрі Windows EIM. Якщо визначити цільову зв'язок IBM i і вихідну зв'язок Windows EIM для профайла користувача IBM i, то в Windows зареєстрований профайл користувача IBM i можна визначити як профайл з іншим ім'ям.
Прим .: Для зв'язків Kerberos EIM підтримуються тільки команди SBMNWSCMD, QNTC і операції резервного копіювання рівня файлів. Профілі користувачів IBM i, перетворені в інші імена користувачів Windows за допомогою реєстру Windows EIM, не приймаються. Зазначені операції як і раніше намагаються використовувати еквівалентні імена.
Додаткова інформація наведена в розділах Варіанти облікових записів зареєстрованих користувачів для інтегрованих серверів Windows і Налаштування перетворень ідентифікаторів в рамках підприємства (EIM) для інтегрованих серверів Windows .
Реєстрація існуючих профайлів користувачів Windows
Також можна зареєструвати користувача, вже існуючого на сервері Windows. Пароль цього користувача в IBM i повинен збігатися з паролем вже існуючих групи або користувача Windows.
Шаблони реєстрації користувачів
Права доступу і властивості, які користувач отримує під час реєстрації, можна налаштувати за допомогою шаблонів реєстрації користувачів. Інформація наведена в розділі Шаблони реєстрації користувачів для інтегрованих серверів Windows . Якщо шаблони при реєстрації користувачів не застосовуються, то користувачі отримують такі властивості за замовчуванням:
- Користувачі стають учасниками групи AS400_Users і або групи Користувачі на локальному інтегрованому сервері Windows, або групи користувачів домену в домені Windows.
- IBM i відстежує пароль IBM i користувача, термін дії пароля, опис, а також стан Включений або Виключений.
Реєстрація груп IBM i
До цього моменту обговорювалася реєстрація тільки профайлів окремих користувачів IBM i на сервері Windows. Можна також реєструвати групи IBM i. Далі, коли в ці групи IBM i, зареєстровані на сервері Windows, додаються нові користувачі, то ці користувачі автоматично створюються і реєструються також і на сервері Windows.
Реєстрація в декількох доменах
Користувачів і групи можна зареєструвати в декількох доменах, але зазвичай це не потрібно. На більшості серверів Windows між декількома доменами встановлені довірчі відносини. В цьому випадку користувача необхідно зареєструвати тільки в одному домені, оскільки довірчі відносини автоматично надають користувачеві доступ до інших доменів. Додаткова інформація про довірчі стосунки приведена в документації по Windows.
Збереженні і відновлення інформації про реєстрацію
Після того як інформація про реєстрацію користувачів і груп визначена, її необхідно зберегти. Інформацію про реєстрацію можна зберегти за допомогою опцій 21 або 23 меню GO SAVE, а також за допомогою команди Зберегти дані захисту (SAVSECDTA) або API Зберегти список об'єктів (QSRSAVO) . Відновлення користувальницьких профайлів виконується за допомогою команди Відновити призначені для користувача профілі (RSTUSRPRF) з параметрами USRPRF (* ALL) або SECDTA (* PWDGRP).
Використання параметра NWSD Додати користувача в домен (PRPDMNUSR)
Якщо у вас є кілька серверів, що входять до складу одного і того ж домена, то можна запобігти повторну реєстрацію в домені на кожному з цих серверів. Для цього в команді Змінити опис мережевого сервера (CHGNWSD) вкажіть параметр PRPDMNUSR (Додати користувача в домен). Додаткова інформація наведена в розділі Запобігання реєстрації на інтегрованому сервері Windows .
Використання параметра NWSD Вимикати призначений для користувача профайл (DSBUSRPRF)
Можна вказати, чи слід виключати призначені для користувача профайли на інтегрованих серверах Windows при виключенні відповідних профайлів користувачів IBM i. Використовуйте для цього параметр Вимикати призначений для користувача профайл в команді Змінити опис мережевого сервера (CHGNWSD).
