Цель работы:Ознакомиться с процедурами создания ученых записей пользователей и управления их правами.
Теоретическая часть
В операционной системе Windows XP на одном и том же компьютере могут работать разные пользователи, каждый под своим именем. При входе в ОС запрашиваются имя и пароль, на основе которых происходит аутентификация пользователя.
Компьютер может работать автономно, а может быть рабочей станцией в сети. Если компьютер загружается для автономной работы или для работы в одноранговой сети, то пользователь регистрируется, используя внутренний (локальный) список имен пользователей системы.
Если компьютер загружается для работы в сети с выделенным сервером, то пользователь регистрируется, используя имя, которое ему выдал администратор сети. Список с этими именами хранится на сервере.
Данные о пользователе находятся в специальной базе данных на локальных компьютерах и на сервере. На каждого пользователя заводится отдельная учетная карточка, которая носит название учетная запись.
Windows XP использует три типа учетных записей пользователей:
- Локальные учетные записи для регистрации пользователей локального компьютера. База локальных учетных записей хранится на каждом компьютере своя, и содержит информацию о пользователях только данного компьютера. Создаются учетные записи администратором этого компьютера.
- Встроенные учетные записи пользователей создаются автоматически при установке Windows XP. Встроенных учетных записей две — Администратор и Гость. Встроенные учетные записи хранятся в той же базе, что и локальные учетные записи.
- Учетные записи пользователей домена хранятся на выделенном сервере и содержат данные о пользователях локальной сети.
Локальная учетная запись — это учетная запись, которой могут быть предоставлены разрешения и права на вашем компьютере. Для удобства управления локальными пользователями, их можно объединять в группы и управлять группами, чтобы не устанавливать одни и те же настройки для каждого пользователя в отдельности. Ограничения, установленные для группы, распространяются на всех пользователей этой группы.
Домен или глобальные пользователи и группы управляются сетевым администратором. Имеется возможность добавить локальных пользователей, глобальных пользователей и глобальные группы в локальные группы. Однако невозможно добавить локальных пользователей и локальные группы в глобальные группы.
Пользователи и группы важны для безопасности Windows XP поскольку позволяют ограничить возможность пользователей и групп выполнять определенные действия путем назначения им прав и разрешений. Право дает возможность пользователю выполнять на компьютере определенные действия, такие как архивирование файлов и папок или завершение работы компьютера. Разрешение представляет собой правило, связанное с объектом (например, файлом, папкой или принтером), которое определяет, каким пользователям и какого типа доступ к объекту разрешен.
Операционная система содержит несколько встроенных учетных записей пользователей и групп, которые не могут быть удалены:
-
Учетная запись администратора
Учетная запись пользователя с именем «Администратор» используется при первой установке рабочей станции или рядового сервера. Эта учетная запись позволяет выполнять необходимые действия до того, как пользователь создаст свою собственную учетную запись. Администратор является членом группы администраторов на рабочей станции или рядовом сервере.
Учетную запись «Администратор» нельзя удалить, отключить или вывести из группы администраторов, что исключает возможность случайной потери доступа к компьютеру после уничтожения всех учетных записей администраторов. Это свойство отличает пользователя «Администратор» от остальных членов локальной группы «Администраторы».
-
Учетная запись гостя
Учетная запись гостя предназначена для тех, кто не имеет реальной учетной записи на компьютере. Учетную запись «Гость» нельзя удалить, но можно переименовать или отключить. Учетной записи пользователя «Гость», как и любой другой учетной записи, можно предоставлять права и разрешения на доступ к объектам. Учетная запись «Гость» по умолчанию входит во встроенную группу «Гости», что позволяет пользователю войти в систему с рабочей станции или рядового сервера. Дополнительные права, как любые разрешения, могут быть присвоены группе «Гости» членом группы администраторов.
К стандартным группам Windows XP относятся следующие группы:
-
Администраторы
Пользователи, входящие в группу «Администраторы», имеют полный доступ на управление компьютером. Это единственная встроенная группа, которой автоматически предоставляются все встроенные права и возможности в системе. По умолчанию туда входит учетная запись «Администратор».
-
Операторы архива
Члены группы «Операторы архива» могут архивировать и восстанавливать файлы на компьютере, независимо от всех разрешений, которыми защищены эти файлы. Также они могут входить на компьютер и выключать его, но не могут изменять параметры безопасности.
-
Опытные пользователи
Члены группы опытных пользователей могут создавать учетные записи пользователей, но могут изменять и удалять только созданные ими учетные записи. Они могут создавать локальные группы и удалять пользователей из локальных групп, которые они создали. Они также могут удалять пользователей из групп «Опытные пользователи», «Пользователи» и «Гости».
Они не могут изменять группы «Администраторы» и «Операторы архива», не могут являться владельцами файлов, не могут выполнять архивирование и восстановление каталогов, не могут загружать и выгружать драйверы устройств или управлять журналами безопасности и аудита.
-
Пользователи
Члены группы пользователей могут выполнять наиболее распространенные задачи, например запуск приложений, использование локальных и сетевых принтеров, завершение работы и блокировка рабочих станций. Пользователи могут создавать локальные группы, но изменять могут только те, которые они создали. Пользователи не могут организовывать общий доступ к каталогам или создавать локальные принтеры.
-
Гости
Группа «Гости» позволяет случайным или разовым пользователям войти в систему со встроенной учетной записью гостя рабочей станции и получить ограниченные возможности. Члены группы «Гости» могут только прекратить работу компьютера.
Управление учетными записями пользователей и группами осуществляется пользователями, входящими в группу Администраторы.
Содержание
- Администрирование учетными записями в Windows XP
- Группы и пользователи Windows
- Права и группы пользователей в Windows
- Группы пользователей Windows и их права
- Как изменить права доступа пользователя?
- Настройка групп пользователей Windows через консоль Управление компьютером
- Работа с группами пользователей Windows в Редакторе локальной групповой политики
- Группы пользователей в Windows и их права доступа
- Опытные пользователи
Оснастка “Локальные пользователи и группы” предназначена для создания новых пользователей и групп, управления учетными записями, задания и сброса паролей пользователей
В одной из своих статей я уже писал о том, что добавлять и изменять свойства учетных записей пользователей можно через “Панель управления” – “Учетные записи пользователей”. Однако данный способ больше подходит для простых пользователей. А вот системному администратору будет удобнее управлять учетными записями через консоль “Управление компьютером” – “Локальные пользователи и группы”.
Чтобы попасть в консоль “Управление компьютером” щелкните правой клавишей мыши по значку “Мой компьютер” на рабочем столе и выберите пункт “Управление”. Далее раскройте раздел “Служебные программы” и выберите пункт “Локальные пользователи и группы”.
Оснастка “Локальные пользователи и группы” предназначена для создания новых пользователей и групп, управления учетными записями, задания и сброса паролей пользователей.Локальный пользователь – это учетная запись, которой могут быть предоставлены определенные разрешения и права на вашем компьютере. Учетная запись всегда имеет свое имя и пароль (пароль может быть пустым). Вы также можете услышать другое название учетной записи пользователя – аккаунт, а вместо “имя пользователя” часто говорят логин.
Узел Пользователи оснастки “Локальные пользователи и группы” отображает список учетных записей пользователей: встроенные учетные записи (например, “Администратор” и “Гость”), а также созданные вами учетные записи реальных пользователей ПК.Встроенные учетные записи пользователей создаются автоматически при установке Windows и не могут быть удалены. При создании нового пользователя вы должны будете присвоить ему имя и пароль (желательно), а также определить, в какую группу будет входить новый пользователь. Каждый пользователь может входить в одну или несколько групп.
В узле Группы отображаются как встроенные группы, так и созданные администратором (т.е. вами). Встроенные группы создаются автоматически при установке Windows.Принадлежность к группе предоставляет пользователю определенные права на выполнение различных действий на компьютере. Пользователи группы Администраторы обладают неограниченными правами. Рекомендуется использовать административный доступ только для выполнения следующих действий:
Вы, как системный администратор, должны иметь учетную запись, входящую в группу “Администраторы”. Все остальные пользователи компьютера должны иметь учетные записи, входящие либо в группу “Пользователи”, либо в группу “Опытные пользователи”.
Добавление пользователей в группу Пользователи является наиболее безопасным, поскольку разрешения, предоставленные этой группе, не позволяют пользователям изменять параметры операционной системы или данные других пользователей, установки некоторого ПО, но также не допускают выполнение устаревших приложений. Я сам неоднократно сталкивался с ситуацией, когда старые DOSовские программы не работали под учетной записью участника группы “Пользователи”.
Группа Опытные пользователи поддерживается, в основном, для совместимости с предыдущими версиями Windows, для выполнения не сертифицированных и устаревших приложений. “Опытные пользователи” имеют больше разрешений, чем члены группы “Пользователи”, и меньше, чем “Администраторы”. Разрешения по умолчанию, предоставленные этой группе, позволяют членам группы изменять некоторые параметры компьютера. Если необходима поддержка не сертифицированных под Windows приложений, пользователи должны быть членами группы “Опытные пользователи”.
Учетная запись Гость предоставляет доступ на компьютер любому пользователю, не имеющему учетной записи. Для повышения безопасности компьютера рекомендуют отключать учетную запись “Гость” и настраивать доступ к общим ресурсам ПК существующим пользователям.
Теперь давайте посмотрим, как происходит создание учетной записи через консоль “Управление компьютером” – “Локальные пользователи и группы”.
Создание учетной записи
При установке оригинальной версии Windows XP (имеется в виду не сборка от Zver или т.п.) предлагается создать учетные записи пользователей компьютера. Необходимо создать как минимум одну учетную запись, под которой вы сможете войти в систему при первом запуске. Но, как правило, в реальной жизни требуется создавать несколько учетных записей для каждого пользователя, работающего за компьютером, либо для группы пользователей, объединенных общей задачей и разрешениями доступа.
Для добавления новой учетной записи раскройте оснастку “Локальные пользователи и группы” – выделите папку “Пользователи” – затем в правом окне щелкните на пустом месте правой кнопкой мыши – выберите пункт “Новый пользователь”:В появившемся окне задайте имя пользователя и описание. Также задайте для пользователя пароль (как придумать надежный пароль для учетной записи можете прочитать здесь).
Затем настройте дополнительные параметры – поставьте или снимите флажки напротив нужных пунктов:Можно снять флажок напротив пункта “Потребовать смену пароля при следующем входе в систему” и поставить флажки напротив “Запретить смену пароля пользователем” и “Срок действия пароля не ограничен”. В этом случае пользователь не сможет сам сменить пароль своей учетной записи. Это можете делать только вы, работая под администраторской учетной записью.
После нажатия кнопки “Создать” в списке пользователей появится новая учетная запись. Щелкните по ней дважды мышкой и в открывшемся окне перейдите на вкладку “Членство в группах”. Здесь нажмите кнопку “Добавить” – “Дополнительно” – “Поиск”. Затем выберите группу, в которую должен входить пользователь (рекомендуется группа “Пользователи” или “Опытные пользователи”) и нажмите “ОК” во всех отобразившихся окнах. После этого здесь же во вкладке “Членство в группах” удалите из списка все группы, кроме той, которую только что выбрали. Нажмите “ОК”:Таким образом, вы создали новую учетную запись и включили ее в группу.
Теперь сообщите пользователю (в нашем случае Иванову) имя его учетной записи (iva) и пароль, чтобы он смог войти в систему. На всех компьютерах сети, к ресурсам которых Иванову необходим доступ, нужно будет создать такую же учетную запись с аналогичными параметрами. Если же на каком-либо компьютере сети не будет учетной записи для Иванова и при этом будет отключена учетная запись “Гость”, то Иванов не сможет просмотреть общие сетевые ресурсы данного компьютера.
Если учетная запись пользователя больше не нужна, ее можно удалить. Но во избежание различного рода проблем учетные записи пользователей перед удалением рекомендуется сначала отключить. Для этого щелкните правой кнопкой мыши по имени учетной записи – выберите “Свойства” – в окне свойств учетной записи установите флажок напротив “Отключить учетную запись” и нажмите “ОК”. Убедившись, что это не вызвало неполадок (понаблюдайте за сетью несколько дней), можно безопасно удалить учетную запись: щелкните правой кнопкой мыши по имени учетной записи и в контекстном меню выберите “Удалить”. Удаленную учетную запись пользователя и все данные, связанные с ней, восстановить невозможно.
Управление доступом
Итак, допустим, за одним компьютером работает несколько пользователей, и вы создали для каждого свою учетную запись по описанным выше правилам. Но вдруг появилась необходимость закрыть доступ к некоторым папкам или файлам на компьютере для тех или иных пользователей. Данная задача решается путем назначения определенных прав доступа к ресурсам компьютера.
Управление доступом заключается в предоставлении пользователям, группам и компьютерам определенных прав на доступ к объектам (файлам, папкам, программам и т.д.) по сети и на локальной машине.
Управление доступом для пользователей локального компьютера осуществляется путем изменения параметров на вкладке “Безопасность” в окне “Свойства”:
Настройка безопасности для папки «Мои документы»
Вкладка “Доступ” того же окна используется для управления сетевым доступом к общим объектам (файлам, папкам и принтерам) на компьютерах сети.
Разрешения определяют тип доступа пользователя или группы к объекту или его свойствам. Разрешения применяются к файлам, папкам, принтерам, объектам реестра. Чтобы установить или изменить разрешения для объекта, щелкните по его названию правой кнопкой мыши и в контекстном меню выберите команду “Свойства”. На вкладке “Безопасность” можно изменить разрешения для файла или папки, устанавливая или снимая флажки напротив нужных пунктов в списке разрешений.
Для каждого пользователя можно задать свои разрешения. Сначала нужно выделить пользователя в списке, а затем указать разрешения для этого пользователя. Например, одному пользователю можно разрешить только читать содержимое некоторого файла (разрешение “Чтение”), другому – вносить изменения в файл (разрешение “Изменить”), а всем остальным пользователям вообще запретить доступ к этому файлу (снять все флажки под пунктом “Разрешить”, либо поставить все флажки “Запретить”).
Чтобы просмотреть все действующие разрешения для файлов и папок локального компьютера, выберите “Свойства” – “Безопасность” – “Дополнительно” – “Действующие разрешения” – “Выбрать” – “Дополнительно” – “Поиск”, выделите имя нужного пользователя и нажмите “ОК”. Пункты, отмеченные флажками, и есть разрешения для данного пользователя:В этом же окне вы можете ознакомиться с вкладками “Разрешения”, “Аудит”, “Владелец”. Я не буду останавливаться на них подробно в рамках данной статьи, т.к. она и так получается слишком объемной.
Если в списке пользователей на вкладке “Безопасность” нет пользователя, которому необходимо назначить разрешения, последовательно нажмите следующие кнопки на вкладке “Безопасность”: “Добавить” – “Дополнительно” – “Поиск”. Из списка выберите имя учетной записи пользователя, которому необходимо назначить разрешения и нажмите “ОК”. Вместо отдельного пользователя можно выбрать группу – разрешения будут применяться ко всем пользователям, входящим в эту группу. Хорошо запомните эти кнопки. Такую процедуру вы будете проделывать во всех случаях, когда необходимо добавить нового пользователя в список разрешений, аудита, владения, сетевого доступа и т.п.
Источник
Группы и пользователи Windows
В операционной системе Windows XP на одном и том же компьютере могут работать разные пользователи, каждый под своим именем. При входе в ОС запрашиваются имя и пароль, на основе которых происходит аутентификация пользователя.
Windows XP использует три типа учетных записей пользователей:
Локальные учетные записи для регистрации пользователей локального компьютера. База локальных учетных записей хранится на каждом компьютере своя, и содержит информацию о пользователях только данного компьютера. Создаются учетные записи администратором этого компьютера.
Встроенные учетные записи пользователей создаются автоматически при установке Windows XP. Встроенных учетных записей две — Администратор и Гость. Встроенные учетные записи хранятся в той же базе, что и локальные учетные записи.
Учетные записи пользователей домена хранятся на выделенном сервере и содержат данные о пользователях локальной сети.
Домен или глобальные пользователи и группы управляются сетевым администратором. Имеется возможность добавить локальных пользователей, глобальных пользователей и глобальные группы в локальные группы. Однако невозможно добавить локальных пользователей и локальные группы в глобальные группы.
Пользователи и группы важны для безопасности Windows XP поскольку позволяют ограничить возможность пользователей и групп выполнять определенные действия путем назначения им прав и разрешений. Право дает возможность пользователю выполнять на компьютере определенные действия, такие как архивирование файлов и папок или завершение работы компьютера. Разрешение представляет собой правило, связанное с объектом (например, файлом, папкой или принтером), которое определяет, каким пользователям и какого типа доступ к объекту разрешен.
Операционная система содержит несколько встроенных учетных записей пользователей и групп, которые не могут быть удалены:
Учетная запись администратора
Учетная запись пользователя с именем «Администратор» используется при первой установке рабочей станции или рядового сервера. Она позволяет выполнять необходимые действия до того, как пользователь создаст свою собственную учетную запись. ЕЕ нельзя удалить, отключить или вывести из группы администраторов, что исключает возможность случайной потери доступа к компьютеру после уничтожения всех учетных записей администраторов. Это свойство отличает пользователя «Администратор» от остальных членов локальной группы «Администраторы».
Учетная запись гостя
Учетная запись гостя предназначена для тех, кто не имеет реальной учетной записи на компьютере. Если учетная запись пользователя отключена (но не удалена), он также может воспользоваться учетной записью «Гость». Учетная запись гостя не требует пароля. По умолчанию она отключена, но ее можно включить. Учетной записи пользователя «Гость», как и любой другой учетной записи, можно предоставлять права и разрешения на доступ к объектам.
К стандартным группам Windows XP относятся следующие группы:
Администраторы. Пользователи, входящие в группу «Администраторы», имеют полный доступ на управление компьютером. Это единственная встроенная группа, которой автоматически предоставляются все встроенные права и возможности в системе. По умолчанию туда входит учетная запись «Администратор».
Операторы архива. Члены группы «Операторы архива» могут архивировать и восстанавливать файлы на компьютере, независимо от всех разрешений, которыми защищены эти файлы, входить на компьютер и выключать его, но не могут изменять параметры безопасности.
Опытные пользователи.Члены группы опытных пользователей могут:создавать учетные записи пользователей, изменять и удалять только созданные ими учетные записи, создавать локальные группы и удалять пользователей из локальных групп, которые они создали. удалять пользователей из групп «Опытные пользователи», «Пользователи» и «Гости». Они не могут: изменять группы «Администраторы» и «Операторы архива»,являться владельцами файлов, выполнять архивирование и восстановление каталогов,загружать и выгружать драйверы устройств или управлять журналами безопасности и аудита.
Пользователи.Члены группы пользователей могут выполнять запуск приложений, использование локальных и сетевых принтеров, завершение работы и блокировка рабочих станций, создавать локальные группы, но изменять могут только те, которые они создали. Они не могут организовывать общий доступ к каталогам или создавать локальные принтеры. «Пользователи» предоставляет самую безопасную среду для выполнения программ.
Гости. Группа «Гости» позволяет случайным или разовым пользователям войти в систему со встроенной учетной записью гостя рабочей станции и получить ограниченные возможности. Члены группы «Гости» могут только прекратить работу компьютера.
Управление учетными записями пользователей и группами осуществляется пользователями, входящими в группу Администраторы.
Источник
Права и группы пользователей в Windows
Группы пользователей Windows и их права
Мы уже обсуждали возможности Windows по настройке прав доступа пользователей к определенным объектам. Данными объектами выступали папки или файлы. Соответственно, мы могли дать некоторым пользователям доступ к выбранным объектам, а некоторым запретить. Права доступа к файлам это одно, а вот как настроить права доступа к определенным компонентам и возможностям операционной системы Windows? Как одному пользователю разрешить пользоваться удаленным рабочим столом, а второму запретить изменять настройки сети или времени? Тут уже обычными правами доступа NTFS не обойтись.
Для решения данной проблемы в Windows есть специальные группы пользователей с определенными правами доступа. Самые известные и наиболее используемые группы пользователей Windows — это группы Администраторы, Пользователи и Гости. Права пользователей входящих в данные группы приблизительно понятны, но сегодня я познакомлю Вас с ними поближе. Кроме этого не стоит забывать, что количество групп пользователей колеблется от 10 до 20-25, поэтому Вам будет интересно узнать про основные из них.
Как изменить права доступа пользователя?
Рассмотрим оба варианта.
Настройка групп пользователей Windows через консоль Управление компьютером
Как добавить пользователя в группу пользователей Windows:
Как удалить пользователя из группы:
Работа с группами пользователей Windows в Редакторе локальной групповой политики
Как добавить/удалить пользователя в/из группу/группы пользователей WIndows:
Разница политик от консоли Управление компьютера в том, что они позволяют настроить права доступа по винтикам. Если группы пользователей Windows в Управлении компьютером имеют довольно обширные права и запреты, то политики позволяют настроить права пользователей Windows до такой мелочи, как возможность изменения времени или часового пояса.
Группы пользователей в Windows и их права доступа
А вот и долгожданный список основных групп пользователей Windows:
Данный список может быть намного шире. Тут приведены только основные группы пользователей Windows, которые встречаются практически на всех машинах под управлением операционной системы от Microsoft.
Источник
Опытные пользователи
Эта группа поддерживается, в основном, для совместимости с предыдущими версиями операционных систем для выполнения не сертифицированных приложений и управления локальными ресурсами рабочей станции. Разрешения по умолчанию, предоставленные этой группе, позволяют членам группы изменять параметры компьютера. Если необходима поддержка не сертифицированных приложений, конечные пользователи должны быть членами группы «Опытные пользователи».
Члены группы «Опытные пользователи» имеют больше разрешений, чем члены группы «Пользователи», и меньше, чем члены группы «Администраторы». Опытные пользователи могут выполнять любые задачи операционной системой, кроме задач, зарезервированных для группы «Администраторы».
Опытные пользователи могут :
Опытные пользователи не могут
В силу того, что опытные пользователи могут устанавливать и изменять программы, работа под учетной записью группы «Опытные пользователь» при подключении к Интернету может сделать систему уязвимой для троянских коней и других программ, угрожающих безопасности.
Членство в этой группе по умолчанию предоставляет самый широкий набор разрешений и возможность изменять собственные разрешения. Администраторы имеют полные, ничем неограниченные права доступа к рабочей станции.
Рекомендуется использовать административный доступ только для выполнения следующих действий:
На практике учетные записи администраторов часто должны использоваться для установки и запуска программ, написанных для предыдущих версий Windows.
Работа в Windows XP в качестве администратора делает систему уязвимой для троянских коней и других программ, угрожающих безопасности. Простое посещение веб-узла может очень сильно повредить систему. На не знакомом веб-узле может находиться троянская программа, которая будет загружена в систему и выполнена. Если в это время находиться в системе с правами администратора, такая программа может переформатировать жесткий диск, стереть все файлы, создать новую учетную запись пользователя с административным доступом и т. д.
Члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от всех разрешений, которыми защищены эти файлы. Они могут также входить в систему и завершать работу компьютера, но не могут изменять параметры безопасности. Для архивирования и восстановления файлов данных и системных файлов требуются разрешения на чтение и запись. Разрешения по умолчанию для операторов архива, позволяющие им архивировать и восстанавливать файлы, делают для них возможным использование разрешений группы для других целей, например для чтения файлов других пользователей и установки программ с троянскими вирусами.
Пользователи удаленного рабочего стола
Члены этой группы имеют право на выполнение удаленного входа в систему.
В остальном они обладают теми же возможностями, что и члены группы «Пользователи»
Операторы настройки сети
Члены этой группы могут иметь некоторые административные права для управления настройкой сетевых параметров.
Для того чтобы добавить учетную запись пользователя в ту или иную группу, щелкните правой кнопкой мыши на названии группы и из выпадающего меню выберите. Добавить в группу. Более подробную справку по выполнению этих и других задач, связанных с учетными записями пользователей и групп, а так же более полное описание учетных записей пользователей и групп читайте в справке оснастки «Локальные пользователи и группы».
Группа «Репликатор» поддерживает функции репликации каталога. Только член этой группы может иметь учетную запись пользователя домена, которая используется для входа в систему службы репликации контроллера домена. Пароль такой учетной записи не задается. Не рекомендуется добавлять в эту группу учетные записи реальных пользователей.
В таблице.12_2 рассмотрены возможности встроенных групп.
Табл. 12_2. Возможности встроенных групп
Встроенные изолированные локальные группы
Полностью управляют ресурсами компьютера
Все локальные пользователи компьютера,
Authenticated Users, Domain Users
Имеют ограниченные права в пределах домена и своего компьютера. Могут создавать новые локальные группы.
Имеют ограниченные права в пределах домена. Не могут изменять установки компьютера. Не могут создавать новые локальные группы.
Могут копировать файлы в домене. Используется только службой репликации системы. Нельзя устанавливать членам группы пароль.
Могут создавать новые локальные группы.
Могут резервировать и восстанавливать любые файлы и каталоги, несмотря на установленные полномочия доступа. Могут создавать новые локальные группы.
Могут создавать новые локальные группы и локальных пользователей. Могут создавать и управлять разделяемыми каталогами и принтерами, создавать общие программные группы, изменять переменные окружения.
Встроенные доменные локальные группы
Administrator, Domain Admins, Enterprise Admins
Полностью управляют ресурсами своего домена
Имеют ограниченные права в пределах домена. Могут создавать новые локальные группы. Доступ к серверу возможен только по сети.
Имеют ограниченные права в пределах домена. Не могут изменять установки компьютера. Не могут создавать новые локальные группы.
Используется только службой репликации системы. Нельзя устанавливать членам группы пароль.
Могут создавать новые локальные группы и копировать файлы в домене.
.Могут управлять разделяемыми принтерами, закрывать систему.
Могут резервировать и восстанавливать любые файлы и каталоги, несмотря на установленные полномочия доступа. Могут создавать новые локальные группы.
Могут управлять групповыми и индивидуальными бюджетами, кроме администраторских, операторов сервера, операторов бюджетов, операторов печати и операторов резервирования
.Могут управлять разделяемыми папками и принтерами, резервировать и восстанавливать файлы, форматировать диски, блокировать сервер и переопределять блокировку.
Встроенные глобальные группы
Администраторы масштаба предприятия.
Любому пользователю после создания можно явно назначить дополнительные права. Такое назначение можно сделать косвенно, включив этого пользователя в какую либо встроенную локальную группу.
Любому пользователю после создания можно явно назначить дополнительные права. Такое назначение можно сделать косвенно, включив этого пользователя в еще какую либо группу. Например, назначение пользователю с именем New привилегий администратора возможно включением в состав группы «Администраторы» (Administrators).
Рис 12_4. Права пользователей и групп (Administrators).
Учетные записи пользователей
В Windows 2003 различается три типа учетных записей:
Учетная запись Guest предназначена для случайных пользователей и временного доступа к ресурсам. По умолчанию, учетная запись Guest отключена. При ее включении необходимо назначить ей соответствующий пароль.
При планировании новых учетных записей, следует определить правила именования и требования для паролей.
Максимальная длина пароля 128 символов, рекомендуется использовать не менее 8 и всегда назначать пароль встроенным учетным записям. Пароль не должен быть связным контекстом, который легко подбирается программой взломщиком по словарю. В этом смысле пароль типа белый@ popygau считается очень удачным.
Локальные учетные записи
Создание новых локальных учетных записей производится с помощью окна Local Users and Groups оснастки Computer Manager в меню Start Programs Administrative Tools (рис.12_5.1, рис.12_5.2). При желании для управления пользователями и группами можно использовать Control Panel Users and Passwords Properties Advanced (рис. 12_6).
При создании нового пользователя используются следующие параметры (рис. 12_7):
Далее, в диалоговом окне свойств локальной учетной записи пользователя имеются три вкладки: общие, членство в группах и профиль. В зависимости от функций, которые выполняет данный пользователь, можно определить его принадлежность к различным группам и установки профиля
Копировать, удалять и управлять пользовательскими профилями могут администраторы или операторы бюджетов Windows XP во вкладке System Properties (рис 12_9), они используются как средство, защищающее сетевые ресурсы от неумелых или злостных, недобросовестных пользователей.
Рис. 12_8. Изменение типов профилей
Доменные учетные записи
Создание новых доменных учетных записей производится с помощью окна User and Groups оснастки Active Directory Users and Computers (рис. 12_9).
В зависимости от того, для какой деятельности создается пользователь, Вы задаете следующие свойства учетной записи:
Для пользователей домена, которые могут входить в систему с любого компьютера, большое значение имеет настройка профилей и домашних каталогов.
Помимо прав на работу, группе нужно присвоить какие-либо разрешения доступа к принтерам, папкам или файлам.
При создании нового пользователя необходимо задать имя, полное имя, возможно, описание. Можно определит принадлежность пользователя к различным группам, его профиль и возможность удаленного доступа.
PAGE * MERGEFORMAT 1
EMBED PBrush
EMBED PBrush
Источник
Вычислительные
системы, сети и телекоммуникации
Лекция
12
Пользователи
и группы
Группы Windows
2003/XP
Основным инструментом для управления
возможностями пользователей в Windows
2003 является понятие группы. Под
группой понимается набор учетных записей
пользователей. Использование групп
упрощает управление ресурсами системы,
когда права и разрешения присваиваются
не одному, а сразу нескольким пользователям.
Права (rights) дают возможность
выполнять системную задачу, т.е. создавать
новых пользователей или изменять
системное время.
Группы используются для объединения
учетных записей пользователей, учетных
записей компьютеров и учетных записей
групп в управляемые элементы. Использование
групп позволяет упростить обслуживание
и администрирование сети.
В настоящее время в доменах Windows
известны группы распространения и
группы безопасности. Основным инструментом
управления возможностями пользователей
в Windows 2003
является понятие группы:
-
локальной,
-
глобальной,
-
встроенной
-
системной.
Такое разделение типов групп появляется
в продуктах Микрософт, начиная с Windows
2000 и характерно для Active
Directory.
В Active Directory
группы распространения могут быть
использованы для создания списков
рассылки электронной почты, а группы
безопасности — для задания
разрешений на использование общих
ресурсов. Если группа создается для
контроля доступа к общим ресурсам, эта
группа должна быть только группой
безопасности. При грамотном
использовании группы безопасности
обеспечивают эффективное управление
доступом к ресурсам сети.
Группы безопасности могут быть локальные,
глобальные и системные.
Встроенные локальные и глобальные
группы порождаются при инсталляции
СОС, другие создаются пользователями
в зависимости от задач, которые те
выполняют. Состав этих групп может
изменяться, т.е. пользователи могут
включать и удалять соответствующие
бюджеты пользователей в группы.
Состав
и членство системных групп устанавливается
в момент инсталляции СОС и изменяется
только системой.
Таблица 12_1. Характеристики
групп
Название |
Стандартные члены |
Назначение |
Основной режим домена |
||
Локальная группа домена |
Любые учетные |
Доступ к ресурсам одного домена |
Глобальная группа |
Учетные |
Организация пользователей с одинаковыми |
Универсальная группа |
Любые учетные |
Доступ к ресурсам нескольких доменов |
Смешанный режим домена |
||
Локальная группа домена |
Любые учетные |
Доступ к ресурсам одного домена |
Глобальная группа |
Учетные |
Организация пользователей с одинаковыми |
Универсальная группа |
недоступны |
______ |
Локальные группы содержат
набор учетных записей на локальном
компьютере и предоставляют доступ к
ресурсам именно этого компьютера.
Windows 2000-2003 создает локальные
группы в локальной базе данных
безопасности. Локальные группы бывают
доменные и изолированные. Созданные на
локальном компьютере изолированные
группы не отображаются в Active
Directory. Локальные
группы домена создаются в хранилище
Active Directory
и используются всеми контроллерами
домена. Локальной группе домена можно
предоставить разрешения к любому ресурсу
на контроллерах домена.
На контроллере домена 2000-2003 порождаются
следующие доменные встроенные
локальные группы:
-
простые пользователи Users;
-
гости Guests;
-
репликаторы Replicator;
-
операторы архива Backup
operators; -
администраторы Administrators;
-
операторы бюджетов
Account Operators; -
операторы печати
Print Operators; -
операторы сервера
Server Operators; -
клиенты младших версий Pre_Windows.
Состав локальных встроенных групп
домена и их свойства доступны в оснастке
Active Directory
Users and
Computers
Built—in
(рис. 12_1).
Рис. 12_1. Встроенные локальные группы в
оснастке Active Directory
Windows Server 2003
Локальная
группа домена используется для разрешения
доступа к ресурсам. Эти группы обладают
открытым членством, т.е. в нее можно
добавлять членов из любого домена, а
разрешить доступ только к ресурсам
домена, где она была создана.
При создании домена создаются встроенные
глобальные группы в Active
Directory. Чтобы присвоить
глобальной группе права, ее нужно
включить в локальную встроенную группу
или сделать явное назначение. К наиболее
распространенным глобальным встроенным
группам относятся (рис. 12_2):
-
администраторы домена Domain Admins;
-
пользователи домена Domain Users;
-
гости домена Domain Guests;
-
администраторы сети в масштабе
предприятия Enterprise
Admins.
Глобальная группа обладает ограниченным
членством, т. е. в нее можно добавлять
пользователей лишь из того домена, где
она была создана. Но доступ к ресурсам
для нее возможен в любом домене.
Рис.12_2.
Глобальные группы и пользователи домена
При инсталляции, на рабочих станциях
по умолчанию создаются десять встроенных
изолированных локальных групп
(рис.12_3):
На рабочих станциях порождаются следующие
встроенные локальные группы:
-
Гости
-
Пользователи
-
Опытные пользователи
-
Администраторы
-
Операторы архива
-
Репликатор
-
Пользователи удаленного рабочего стола
-
Операторы настройки сети
-
Отладчики
-
Центр справки и поддержки
Встроенные локальные группы отображаются
в оснастке Computer Management
в окне Groups. Изначально,
в них нет никаких членов, кроме стандартных.
Возможности этих групп представлены в
таблице 12_2.
Рис. 12_3. Встроенные
локальные группы Windows Professional
Для
создания новых локальных групп
используется оснастка Computer
Management
. При создании новой локальной группы
вводится имя, описание (рис. 4) и добавляются
новые члены группы.
Гости
Группа
«Гости» позволяет случайным или разовым
пользователям войти в систему со
встроенной учетной записью гостя рабочей
станции и получить ограниченные
возможности. Члены группы «Гости» могут
только завершить работу системы на
рабочей станции.
Пользователи
Группа «Пользователи» является наиболее
безопасной, поскольку разрешения по
умолчанию, предоставленные этой группе,
не позволяют пользователям изменять
параметры операционной системы или
данные других пользователей. Группа
«Пользователи» предоставляет самую
безопасную среду для выполнения программ.
На томе с файловой системой NTFS параметры
безопасности по умолчанию только что
установленной (не обновленной) системы
разработаны, чтобы предотвратить
нарушение целостности операционной
системы и установленных программ членами
этой группы
Участники группы «Пользователи»
могут:
-
гарантированно запускать
только сертифицированные для Windows
приложения (т.е. для Windows 2000,
Windows XP Professional; или системы из
семейства Windows Server 2003,
проходящие проверку на соответствие
требованиям Windows, установленные
или развернутые администраторами) -
выключать и блокировать
рабочие станции, но не серверы -
имеют полный доступ к своим
файлам данных и своей части реестра
(HKEY_CURRENT_USER)
Члены
этой группы не могут
-
организовывать
общий доступ к каталогам -
создавать
локальные принтеры. -
изменять
параметры реестра на уровне системы,
файлы операционной системы или программы.
Несмотря на то, что по умолчанию
пользователи имеют право создавать
новые локальные группы, но в данной
конфигурации такой возможности у них
нет.
Члены
группы «Пользователи» ориентированы
на выполнение наиболее распространенные
задачи, т.е. запуск офисных приложений,
использование локальных и сетевых
принтеров для печати документов,
завершение работы и блокировка рабочих
станций и т.д.
Опытные пользователи
Эта группа поддерживается,
в основном, для совместимости с предыдущими
версиями операционных систем для
выполнения не сертифицированных
приложений и управления локальными
ресурсами рабочей станции. Разрешения
по умолчанию, предоставленные этой
группе, позволяют членам группы изменять
параметры компьютера. Если необходима
поддержка не сертифицированных
приложений, конечные пользователи
должны быть членами группы «Опытные
пользователи».
Члены группы «Опытные
пользователи» имеют больше разрешений,
чем члены группы «Пользователи»,
и меньше, чем члены группы «Администраторы».
Опытные пользователи могут выполнять
любые задачи операционной системой,
кроме задач, зарезервированных для
группы «Администраторы».
Опытные пользователи могут:
-
выполнять приложения,
сертифицированные для Windows
2000 и Windows
XP Professional,
а также устаревшие и не сертифицированные
приложения; -
устанавливать программы,
не изменяющие файлы операционной
системы, и системные службы; -
настраивать ресурсы на
уровне системы, включая принтеры, дату
и время, параметры электропитания и
другие ресурсы панели управления; -
создавать и управлять
локальными учетными записями пользователей
и групп; -
останавливать и запускать
системные службы, не запущенные по
умолчанию.
Опытные пользователи не могут
-
добавлять себя в группу «Администраторы».
-
изменять системные файлы и службы
-
не имеют
доступа к данным других пользователей
на томе NTFS, если соответствующие
разрешения этих пользователей не
получены.
В силу того, что опытные
пользователи могут устанавливать и
изменять программы, работа под учетной
записью группы «Опытные пользователь»
при подключении к Интернету может
сделать систему уязвимой для троянских
коней и других программ, угрожающих
безопасности.
Администраторы
Членство в этой группе по умолчанию
предоставляет самый широкий набор
разрешений и возможность изменять
собственные разрешения. Администраторы
имеют полные, ничем неограниченные
права доступа к рабочей станции.
Рекомендуется использовать административный
доступ только для выполнения следующих
действий:
-
установки операционной системы и ее
компонентов (например, драйверов
устройств, системных служб и так далее); -
установки пакетов обновления;
-
обновления операционной системы;
-
восстановления операционной системы;
-
настройки важнейших параметров
операционной системы (политики паролей,
управления доступом, политики аудита,
настройки драйверов в режиме ядра и
так далее); -
вступления во владение файлами, ставшими
недоступными; -
управления журналами безопасности и
аудита; -
архивирования и восстановления системы.
На практике учетные записи администраторов
часто должны использоваться для установки
и запуска программ, написанных для
предыдущих версий Windows.
Работа в Windows XP в качестве
администратора делает систему уязвимой
для троянских коней и других программ,
угрожающих безопасности. Простое
посещение веб-узла может очень сильно
повредить систему. На не знакомом
веб-узле может находиться троянская
программа, которая будет загружена в
систему и выполнена. Если в это время
находиться в системе с правами
администратора, такая программа может
переформатировать жесткий диск, стереть
все файлы, создать новую учетную запись
пользователя с административным доступом
и т. д.
Операторы
архива
Члены
этой группы могут архивировать и
восстанавливать файлы на компьютере
независимо от всех разрешений, которыми
защищены эти файлы. Они могут также
входить в систему и завершать работу
компьютера, но не могут изменять параметры
безопасности. Для архивирования и
восстановления файлов данных и системных
файлов требуются разрешения на чтение
и запись. Разрешения по умолчанию для
операторов архива, позволяющие им
архивировать и восстанавливать файлы,
делают для них возможным использование
разрешений группы для других целей,
например для чтения файлов других
пользователей и установки программ с
троянскими вирусами.
Пользователи
удаленного рабочего стола
Члены
этой группы имеют право на выполнение
удаленного входа в систему.
В
остальном они обладают теми же
возможностями, что и члены группы
«Пользователи»
Операторы
настройки сети
Члены этой группы могут
иметь некоторые административные права
для управления настройкой сетевых
параметров.
Для
того чтобы добавить учетную запись
пользователя в ту или иную группу,
щелкните правой кнопкой мыши на названии
группы и из выпадающего меню выберите.
Добавить в группу. Более подробную
справку по выполнению этих и других
задач, связанных с учетными записями
пользователей и групп, а так же более
полное описание учетных записей
пользователей и групп читайте в справке
оснастки «Локальные пользователи и
группы».
Репликатор
Группа
«Репликатор» поддерживает функции
репликации каталога. Только член этой
группы может иметь учетную запись
пользователя домена, которая используется
для входа в систему службы репликации
контроллера домена. Пароль такой учетной
записи не задается. Не рекомендуется
добавлять в эту группу учетные записи
реальных пользователей.
Помимо рассмотренных встроенных
локальных и глобальных групп, в Windows
2000 существуют еще встроенные
системные группы, состав которых
регулировать нельзя (так как к ним
принадлежит любой бюджет, использующий
компьютер определенным образом), а
назначать полномочия доступа на объекты
(например, файлы), можно. К наиболее
распространенным встроенным системным
группам относятся:
Соседние файлы в папке Lekcii
- #
22.08.2013871 б18.listing
- #
- #
- #
- #
- #
- #
- #
- #
- #
Обновлено: 08.10.2023
В этом справочном разделе для ИТ-специалистов описываются группы безопасности Active Directory по умолчанию.
В Active Directory есть две формы общих участников безопасности: учетные записи пользователей и учетные записи компьютеров. Эти учетные записи представляют физическое лицо (человека или компьютер). Учетные записи пользователей также могут использоваться в качестве выделенных учетных записей служб для некоторых приложений. Группы безопасности используются для объединения учетных записей пользователей, учетных записей компьютеров и других групп в управляемые единицы.
В операционной системе Windows Server имеется несколько встроенных учетных записей и групп безопасности, предварительно настроенных с соответствующими правами и разрешениями для выполнения определенных задач. Для Active Directory существует два типа административных обязанностей:
Администраторы служб. Отвечают за обслуживание и предоставление доменных служб Active Directory (AD DS), включая управление контроллерами домена и настройку AD DS.
Администраторы данных. Отвечают за обслуживание данных, хранящихся в доменных службах Active Directory, а также на рядовых серверах и рабочих станциях домена.
О группах Active Directory
Группы используются для объединения учетных записей пользователей, учетных записей компьютеров и других групп в управляемые единицы. Работа с группами, а не с отдельными пользователями, упрощает обслуживание и администрирование сети.
В Active Directory есть два типа групп:
Группы рассылки. Используется для создания списков рассылки электронной почты.
Группы безопасности. Используются для назначения разрешений общим ресурсам.
Группы рассылки
Группы рассылки можно использовать только с почтовыми приложениями (такими как Exchange Server) для отправки электронной почты группам пользователей. Группы рассылки не защищены, что означает, что они не могут быть перечислены в списках управления доступом на уровне пользователей (DACL).
Группы безопасности
Группы безопасности позволяют эффективно назначать доступ к ресурсам в вашей сети. Используя группы безопасности, вы можете:
Назначьте права пользователей группам безопасности в Active Directory.
Права пользователя назначаются группе безопасности, чтобы определять, что члены этой группы могут делать в рамках домена или леса. Права пользователей автоматически назначаются некоторым группам безопасности при установке Active Directory, чтобы помочь администраторам определить административную роль человека в домене.
Например, пользователь, добавленный в группу операторов резервного копирования в Active Directory, может выполнять резервное копирование и восстановление файлов и каталогов, расположенных на каждом контроллере домена в домене. Это возможно благодаря тому, что по умолчанию права пользователя Резервное копирование файлов и каталогов и Восстановление файлов и каталогов автоматически закреплены за группой Операторы резервного копирования. Таким образом, члены этой группы наследуют права пользователя, назначенные этой группе.
Вы можете использовать групповую политику для назначения прав пользователей группам безопасности для делегирования определенных задач. Дополнительные сведения об использовании групповой политики см. в разделе Назначение прав пользователя.
Назначить разрешения группам безопасности для ресурсов.
Разрешения отличаются от прав пользователя. Разрешения назначаются группе безопасности для общего ресурса. Разрешения определяют, кто может получить доступ к ресурсу, и уровень доступа, например Полный доступ. Некоторые разрешения, установленные для объектов домена, автоматически назначаются для обеспечения различных уровней доступа к группам безопасности по умолчанию, таким как группа «Операторы учетных записей» или группа «Администраторы домена».
Группы безопасности перечислены в списках DACL, которые определяют разрешения для ресурсов и объектов. При назначении разрешений для ресурсов (общих файловых ресурсов, принтеров и т. д.) администраторы должны назначать эти разрешения группе безопасности, а не отдельным пользователям. Разрешения назначаются один раз группе, а не несколько раз каждому отдельному пользователю. Каждая учетная запись, добавляемая в группу, получает права, назначенные этой группе в Active Directory, а пользователь получает разрешения, определенные для этой группы.
Как и группы рассылки, группы безопасности можно использовать в качестве объекта электронной почты. При отправке сообщения электронной почты группе оно отправляется всем членам группы.
Групповой охват
Группы характеризуются областью действия, определяющей степень применения группы в дереве доменов или лесу. Область действия группы определяет, где группе могут быть предоставлены разрешения. Следующие три группы определяются Active Directory:
В дополнение к этим трем областям, группы по умолчанию в контейнере Builtin имеют область действия встроенной локальной группы. Область действия и тип группы нельзя изменить.
В следующей таблице перечислены три области групп и дополнительная информация о каждой области для группы безопасности.
Групповые области
Глобальные группы из любого домена в одном лесу
Локальный домен домена, если группа не является членом других универсальных групп
Локальные группы в одном лесу или доверяющие леса
Другие глобальные группы из того же домена
Глобальные группы из любого домена или любого доверенного домена
Универсальные группы из любого домена в одном лесу
Другие локальные группы домена из того же домена
Специальные группы идентификации
Особые удостоверения обычно называются группами. Специальные группы удостоверений не имеют конкретного членства, которое можно изменить, но они могут представлять разных пользователей в разное время, в зависимости от обстоятельств. Некоторые из этих групп включают в себя Creator Owner, Batch и Authenticated User.
Информацию обо всех специальных группах удостоверений см. в разделе Особые удостоверения.
Группы безопасности по умолчанию
Группы по умолчанию, такие как группа «Администраторы домена», — это группы безопасности, которые создаются автоматически при создании домена Active Directory. Вы можете использовать эти предопределенные группы, чтобы контролировать доступ к общим ресурсам и делегировать определенные административные роли на уровне домена.
Многим группам по умолчанию автоматически назначается набор прав пользователей, которые разрешают членам группы выполнять определенные действия в домене, например вход в локальную систему или резервное копирование файлов и папок. Например, член группы «Операторы резервного копирования» имеет право выполнять операции резервного копирования для всех контроллеров домена в домене.
Когда вы добавляете пользователя в группу, он получает все права пользователя, назначенные группе, и все разрешения, назначенные группе для любых общих ресурсов.
Группы по умолчанию расположены в контейнере «Встроенные» и в контейнере «Пользователи» в разделе «Пользователи и компьютеры Active Directory». Контейнер Builtin включает в себя группы, определенные с областью действия «Локальный домен». Включает пользователей содержит группы, которые определены с глобальной областью действия, и группы, которые определены с локальной областью домена. Вы можете перемещать группы, расположенные в этих контейнерах, в другие группы или организационные подразделения (OU) внутри домена, но вы не можете перемещать их в другие домены.
Некоторые из административных групп, перечисленных в этом разделе, и все члены этих групп защищены фоновым процессом, который периодически проверяет и применяет определенный дескриптор безопасности. Этот дескриптор представляет собой структуру данных, содержащую информацию о безопасности, связанную с защищенным объектом. Этот процесс гарантирует, что любая успешная несанкционированная попытка изменить дескриптор безопасности в одной из административных учетных записей или групп будет перезаписана защищенными настройками.
Дескриптор безопасности присутствует в объекте AdminSDHolder. Это означает, что если вы хотите изменить разрешения для одной из групп администраторов службы или для любой из ее учетных записей, вы должны изменить дескриптор безопасности в объекте AdminSDHolder, чтобы он применялся последовательно. Будьте осторожны при внесении этих изменений, потому что вы также изменяете настройки по умолчанию, которые будут применяться ко всем вашим защищенным административным учетным записям.
Группы безопасности Active Directory по умолчанию в зависимости от версии операционной системы
В следующих таблицах приведены описания групп по умолчанию, которые находятся в контейнерах Builtin и Users в каждой операционной системе.
Группа безопасности по умолчанию | Windows Server 2016 | Windows Server 2012 R2 | Windows Server 2012 | Windows Server 2008 R2 |
---|---|---|---|---|
Операторы управления доступом | Да | Да | Да | |
Операторы счетов | Да | Да | Да | Да |
Администраторы | Да | Да | Да | Да |
Разрешенная группа репликации паролей RODC | Да | Да | Да | Да |
Операторы резервного копирования | Да | Да | Да | Да |
Доступ к службе сертификатов DCOM | Да | Да | Да | Да |
Издатели сертификатов | Да | Да | Да | Да |
Клонируемые контроллеры домена | Да | Да | Да | |
Криптографические операторы | Да | Да | Да | |
Отказано в группе репликации пароля RODC | Да | Да | Да | Да |
Владельцы устройств | Да | Да | Да | Да |
Пользователи распределенного COM | Да | Да | Да | Да |
DnsUpdateProxy | Да | Да | Да | Да |
DnsAdmins | Да | Да | Да | |
Администраторы домена | Да | Да | Да | Да |
Компьютеры домена | Да | Да | Да | Да< /td> |
Контроллеры домена | Да | Да | Да | Да |
Гости домена | Да | Да | Да | Да |
Пользователи домена | Да | Да | Да | Да |
Администраторы предприятия | Да | Да | Да | Да |
Ключевые администраторы предприятия | Да | |||
Контроллеры домена предприятия только для чтения | Да< /td> | Да | Да | Да |
Считыватели журнала событий | Да | Да | Да | Да |
Владельцы-создатели групповой политики | Да | Да | Да | Да |
Гости | Да | Да | Да | |
Администраторы Hyper-V | Да | Да | ||
IIS_IUSRS | Да | Да | Да | Да |
Входящие формирователи доверия леса | Да | Да | Да | Да |
Ключевые администраторы | Да | |||
Операторы настройки сети< /td> | Да | Да | Да | Да |
Пользователи журнала производительности | Да | Да | Да | Да |
Пользователи монитора производительности | Да | Да | Да | Да |
Доступ, совместимый с Windows 2000 | Да | Да | Да | Да |
Операторы печати | Да | Да | Да | Да |
Защищенные пользователи | Да | Да | ||
Серверы RAS и IAS | Да | Да | Да | Да |
Конечные серверы RDS | Да | Да | Да | |
Серверы управления RDS | Да | Да | Да | |
Серверы удаленного доступа RDS | Да | Да | Да | |
Контроллеры домена только для чтения | Да< /td> | Да | Да | Да |
Пользователи удаленного рабочего стола | Да | Да | Да | Да |
Пользователи удаленного управления | Да | Да | Да | |
Репликатор | Да | Да | Да | Да |
Объявление схемы мин | Да | Да | Да | Да |
Операторы серверов< /td> | Да | Да | Да | Да |
Администраторы реплики хранилища | Да | |||
Группа системных управляемых учетных записей | Да | |||
Серверы лицензий серверов терминалов | Да | Да | Да | Да |
Пользователи | Да | Да | Да | Да |
Группа доступа авторизации Windows | Да | Да | Да | Да |
WinRMRemoteWMIUsers_ | Да | Да |
< td>Да < td>Да < /tr> < td>Да < td>Да
Операторы помощи в управлении доступом
Члены этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на компьютере.
Группа «Операторы помощи в управлении доступом» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Эта группа безопасности не менялась со времен Windows Server 2008.
Атрибут | Значение |
---|---|
Общеизвестный SID/RID | S-1-5-32-579 |
Тип | Встроенный Локальный |
CN=BuiltIn, DC= , DC= | |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | Нет |
Безопасно перемещать из контейнера по умолчанию? | Невозможно переместить |
Безопасно делегировать управление этой группой другим -Администраторы службы? | |
Права пользователя по умолчанию | Нет |
< td>Контейнер по умолчанию < /tr>
Операторы аккаунта
Группа «Операторы учетной записи» предоставляет пользователю ограниченные права на создание учетной записи. Члены этой группы могут создавать и изменять большинство типов учетных записей, включая учетные записи пользователей, локальных групп и глобальных групп, а также могут локально входить в контроллеры домена.
Члены группы «Операторы учетных записей» не могут управлять учетной записью администратора, учетными записями пользователей администраторов или группами «Администраторы», «Операторы сервера», «Операторы учетных записей», «Операторы резервного копирования» или «Операторы печати». Члены этой группы не могут изменять права пользователей.
Группа «Операторы учетных записей» относится к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
По умолчанию в этой встроенной группе нет участников, и она может создавать и управлять пользователями и группами в домене, включая собственное членство и членство в группе «Операторы сервера». Эта группа считается группой администраторов службы, поскольку она может изменять операторов сервера, которые, в свою очередь, могут изменять параметры контроллера домена. Рекомендуется оставить членство в этой группе пустым и не использовать его для какого-либо делегированного администрирования. Эту группу нельзя переименовать, удалить или переместить.
Эта группа безопасности не менялась со времен Windows Server 2008.
Атрибут | Значение |
---|---|
Общеизвестный SID/RID | S-1-5-32-548 |
Тип | Встроенная локальная |
CN=BuiltIn, DC= , DC= | |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | Да |
Безопасно перемещать из контейнера по умолчанию? | Невозможно переместить |
Безопасно делегировать управление этой группой другим -Администраторы службы? | Нет |
Права пользователя по умолчанию | Разрешить локальный вход: SeInteractiveLogonRight |
< td>Контейнер по умолчанию < /tr>
Администраторы
Члены группы «Администраторы» имеют полный и неограниченный доступ к компьютеру, или, если компьютер повышен до контроллера домена, члены имеют неограниченный доступ к домену.
Группа администраторов применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Группа «Администраторы» имеет встроенные возможности, которые дают ее членам полный контроль над системой. Эту группу нельзя переименовать, удалить или переместить. Эта встроенная группа управляет доступом ко всем контроллерам домена в своем домене и может изменять членство во всех административных группах.
Членство может быть изменено членами следующих групп: администраторы службы по умолчанию, администраторы домена в домене или администраторы предприятия. Эта группа имеет особые права владения любым объектом в каталоге или любым ресурсом на контроллере домена. Эта учетная запись считается группой администраторов службы, поскольку ее члены имеют полный доступ к контроллерам домена в домене.
Эта группа безопасности включает следующие изменения по сравнению с Windows Server 2008:
Изменения в правах пользователя по умолчанию: Разрешить вход через службы терминалов, существовавший в Windows Server 2008, был заменен на Разрешить вход через службы удаленных рабочих столов.
Удаление компьютера с док-станции было удалено в Windows Server 2012 R2.
Windows 10, версия 2004, все выпуски Windows Server, версия 2004, все выпуски Windows Server, версия 1909, все выпуски Windows Server, версия 1903, все выпуски Windows Server, версия 1809 Windows Server, версия 1803 Windows Server, версия 1709 Windows Server 2019 , все выпуски Windows Server 2016 Version 1803 Windows Server 2016 Version 1709 Windows Server 2016, все выпуски Windows Server 2012 Standard Windows Server 2012 Foundation Windows Server 2012 Essentials Windows Server 2012 Datacenter Windows Server 2008 R2 Standard Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Datacenter Windows Server 2008 Standard Windows Server 2008 Enterprise Windows Server 2008 Datacenter Windows 10, версия 1909 (Домашняя, Pro, Pro для образовательных учреждений, Pro для рабочих станций) Windows 10, версия 1909 (Enterprise, Education, IoT Enterprise) Windows 10, версия 1909, все выпуски Windows 10, версия 1903, все выпуски Windows 10, версия 1809, все выпуски Windows 10, версия 1803, все выпуски Win dows 10, версия 1709, все выпуски Windows 10, версия 1703, все выпуски Windows 10, версия 1607, все выпуски Windows 10, версия 1511, все выпуски Windows 10 Standard, версия 1709 Windows 10 Standard, версия 1703 Windows 10 S, версия 1709 Windows 10 S, версия 1703 Windows 10 S Windows 10 Pro, версия 1909 Windows 10 Pro, версия 1903 Windows 10 Pro, версия 1809 Windows 10 Professional, версия 1803 Windows 10 Professional, версия 1709 Windows 10 Professional, версия 1703 Windows 10 Professional, версия 1607 Windows 10 Pro для рабочих станций, версия 1909 Windows 10 Pro для рабочих станций, версия 1903 Windows 10 Pro для рабочих станций, версия 1809 Windows 10 Pro для рабочих станций, версия 1803 Windows 10 Pro для рабочих станций, версия 1709 Windows 10 Pro для рабочих станций Windows 10 Pro для образовательных учреждений, версия 1909 Windows 10 Pro для образовательных учреждений, версия 1903 Windows 10 Pro для образовательных учреждений, версия 1809 Windows 10 Pro для образовательных учреждений, версия 1803 Windows 10 Pro для образовательных учреждений, версия 1709 Windows 10 Pro для образовательных учреждений , версия 1703 Windows 10 Pro для образовательных учреждений, версия 1607 Windows 10 Pro Windows 10 на Surface Hub Windows 10 Домашняя, версия 1909 Windows 10 Домашняя, версия 1903 Windows 10 Домашняя, версия 1809 Windows 10 Домашняя, версия 1803 Windows 10 Домашняя v1703 Windows 10 Домашняя , версия 1709 Windows 10 Домашняя v1607 Windows 10 Домашняя v1511 Windows 10 Домашняя Windows 10 Корпоративная, версия 1909 Windows 10 Корпоративная, версия 1903 Windows 10 Корпоративная, версия 1809 Windows 10 Корпоративная, версия 1803 Windows 10 Корпоративная, версия 1709 Windows 10 Корпоративная, версия 1703 Windows 10 Enterprise, версия 1607 Windows 10 Enterprise, версия 1511 Windows 10 Education Windows 10 Consumer Windows 10 Business Windows 10 Enterprise 2019 LTSC Windows 10 Enterprise 2016 LTSB Windows 10 Enterprise 2015 LTSB Windows 8.1 Подробнее. Меньше
Обзор
Идентификатор безопасности (SID) — это уникальное значение переменной длины, которое используется для идентификации субъекта безопасности (например, группы безопасности) в операционных системах Windows. SID, которые идентифицируют общих пользователей или общие группы, особенно хорошо известны. Их значения остаются неизменными во всех операционных системах.
Эта информация полезна для устранения проблем, связанных с безопасностью. Это также полезно для устранения проблем с отображением в редакторе списка управления доступом (ACL) Windows. Windows отслеживает участника безопасности по его SID. Чтобы отобразить участника безопасности в редакторе ACL, Windows преобразует SID в связанное с ним имя участника безопасности.
Примечание. В этой статье описаны обстоятельства, при которых редактор ACL отображает SID участника безопасности вместо имени участника безопасности.
Со временем этот набор известных идентификаторов безопасности расширился. Таблицы в этой статье упорядочивают эти SID в соответствии с версией Windows, в которой они представлены.
Это почти тот же уровень доступа, что и у членов группы «Пользователи», за исключением некоторых дополнительных ограничений.
Члены группы «Пользователи» имеют доступ только к определенным ресурсам, для которых им были назначены явные разрешения, и могут выполнять только определенные задачи, для которых им были назначены явные права.
Когда новый пользователь создается в системе Windows XP Professional, он по умолчанию добавляется в группу «Пользователи».
[ПРИМЕЧАНИЯ С ПОЛЕВЫХ ПОМЕЩЕНИЙ] — Встроенная учетная запись администратора включена по умолчанию и не может быть удалена из системы. Однако имя учетной записи, а также пароль можно изменить, и это рекомендуется. Также рекомендуется, чтобы учетная запись администратора по умолчанию никогда не использовалась или использовалась как можно реже и только тогда, когда задачи должны выполняться на административном уровне. Если на рабочей станции имеется более одного администратора, для каждого из них должна быть создана учетная запись. Если вам необходимо регистрировать административные события, было бы проще создать несколько разных учетных записей администратора, а не одну.
Гостевая учетная запись также не может быть удалена из системы, однако по умолчанию она ОТКЛЮЧЕНА, и если нет какой-либо оперативной необходимости, она должна оставаться отключенной. Единственной «необходимостью» для гостевой учетной записи может быть терминал типа киоска в вестибюле офисного здания или отеля, и в этом случае его можно использовать. Если на короткое время возникает необходимость предоставить временному пользователю доступ к системе, всегда стоит «осложнить» создание учетной записи.
Кроме того, не рекомендуется изменять какие-либо разрешения по умолчанию и другие настройки для встроенных групп. Если вам нужно повысить или понизить разрешения для всех пользователей во встроенной группе, почти всегда лучше создать новую группу, поместить всех предполагаемых пользователей в эту группу и внести в нее соответствующие настройки.
Использование оснастки «Локальные пользователи и группы»
Группы используются в Windows XP Professional (и других операционных системах Microsoft) в качестве точки сбора учетных записей пользователей, чтобы упростить администрирование системы, позволяя назначать разрешения и права группе пользователей, а не каждой учетной записи пользователя в отдельности.
Локальные группы используются в отдельных системах для назначения разрешений ресурсам на этом конкретном компьютере. Локальные группы создаются и администрируются в локальной базе данных безопасности в системах Windows XP Professional.
Обычно вам нужно быть локальным администратором, чтобы выполнять большинство функций настройки системы (даже просто просматривать текущие параметры конфигурации в некоторых случаях) в системе Windows XP Professional, а в некоторых случаях может быть локальный администратор. политика, установленная каким-либо другим администратором, или, если ваша система находится в домене, параметр политики домена, который может помешать вам выполнять некоторые действия.
Для управления локальными пользователями и группами вы можете использовать MMC «Локальные пользователи и группы», и вы можете получить доступ к этому инструменту различными способами.
Один из способов — выбрать «Пуск», щелкнуть правой кнопкой мыши «Мой компьютер», а затем выбрать «Управление». Откроется консоль MMC «Управление компьютером». Под значком «Системные инструменты» нажмите «Локальные пользователи и группы», чтобы открыть MMC «Локальные пользователи и группы».
Вы также можете ввести compmgmt.msc в поле RUN или в командной строке, чтобы запустить консоль управления компьютером.
[ПРИМЕЧАНИЯ С ПОЛЕВЫХ УСЛОВИЙ] — Как выглядят параметры меню «Пуск», все зависит от того, как вы настроили меню. Если вы используете классическое меню «Пуск», вы не увидите «Мой компьютер» в качестве выбора, чтобы щелкнуть правой кнопкой мыши. Вы можете нажать «Пуск», выбрать «Администрирование», а затем выбрать «Управление компьютером». Не сильно отличается, но, возможно, достаточно, чтобы сбить вас с толку.
Кажется, я постоянно повторяю это из статьи в статью, но важно подчеркнуть, что экзамен по Windows XP Professional редко проверяет вас на что-либо в Classic. Вам нужно знать, как перейти от настроек Windows XP Professional к Classic и обратно, но в 90% случаев вы найдете инструкции, изложенные в духе Windows XP Professional. Я сделаю все возможное, чтобы указать на альтернативы в разделе [ПРИМЕЧАНИЯ ИЗ ПОЛЕВЫХ УСЛОВИЙ] , как я сделал здесь.
Если вы хотите напрямую открыть MMC «Локальные пользователи и группы», вы можете ввести lusrmgr.msc из поля «Выполнить» или из командной строки. Это запустит инструмент независимо от MMC управления компьютером.
Добавление ГРУПП с помощью MMC «Локальные пользователи и группы»
В отношении локальных групп в системах Windows XP Professional, которые не являются членами домена, следует помнить следующее: локальные группы могут содержать только локальные учетные записи пользователей из локальной базы данных безопасности, а локальные группы не могут принадлежать ни к какой другой группе. (Локальные группы не могут быть вложены друг в друга.) Например, учетные записи пользователей могут быть членами как группы РАБОЧИЕ, так и группы КОФЕ, и даже если каждый отдельный пользователь одной группы является членом другой, вы не будете можно добавить всех пользователей в группу WORKERS, а затем взять группу WORKERS и поместить ее в группу COFFEE.
Чтобы добавить новую группу, достаточно выбрать «Группы» на левой панели, щелкнуть ее правой кнопкой мыши и выбрать «Новая группа». Вы также можете выделить группы, щелкнув их левой кнопкой мыши и выбрав ДЕЙСТВИЕ в строке меню и выбрав Новая группа.
В зависимости от ваших текущих настроек все, что вам нужно указать для создания новой группы, — это имя. В большинстве случаев описание и добавление пользователей во время по умолчанию не требуется.
[ПРИМЕЧАНИЯ В ПОЛЕ] — Есть определенные символы, которые нельзя использовать в имени какой-либо группы в системе Windows XP Professional. Это;
Нажмите здесь, чтобы просмотреть изображение.
Использование АККАУНТОВ ПОЛЬЗОВАТЕЛЯ в Панели управления для добавления пользователей в СУЩЕСТВУЮЩИЕ группы.
[ПРИМЕЧАНИЯ С ПОЛЕВЫХ ПОМЕЩЕНИЙ] — Вы не можете создать новую группу с помощью этого инструмента. Вам нужно использовать Управление компьютером для создания новых групп. С помощью этого метода вы можете добавлять пользователей в существующие группы ограниченным образом.
Функции УЧЕТНЫХ ЗАПИСЕЙ ПОЛЬЗОВАТЕЛЕЙ в Панели управления зависят от того, находится ли ваша система Windows XP Professional в домене или нет. Кроме того, внешний вид зависит от того, используете ли вы представление Windows XP по умолчанию или классический интерфейс. Это представление Windows XP по умолчанию.
Нажмите здесь, чтобы просмотреть изображение.
Ниже представлен классический вид.
Когда вы находитесь в домене и открываете значок АККАУНТЫ ПОЛЬЗОВАТЕЛЯ на панели управления, вы видите представление учетных записей пользователей, как показано ниже на вкладке ПОЛЬЗОВАТЕЛЬ.
ПРИМЕЧАНИЯ ИЗ ПОЛЕТОВ] — «Домен» BUCKAROO в этом примере — это локальная система, а не домен. NORTHAMERICA — это домен. Значки для локальной учетной записи имеют значок компьютера/пользователя. На изображении выше в разделе «Пароль для резервного копирования» это видно. Значок ДОМЕНА в разделе «Пользователи для этого компьютера» будет иметь комбинацию значков планеты и пользователя, как показано ниже.
Чтобы просмотреть свойства учетной записи, выберите ее и нажмите кнопку свойств, чтобы открыть следующее окно.
На вкладке «Членство в группе» страницы свойств ПОЛЬЗОВАТЕЛЯ вы увидите три варианта выбора членства в группе.
В раскрывающемся окне ДРУГИЕ перечислены все ЛОКАЛЬНЫЕ группы, к которым может принадлежать пользователь.
В раскрывающемся списке ДРУГИЕ перечислены только локальные группы, независимо от того, выбрали ли вы учетную запись пользователя в базе данных локальных учетных записей или доменную учетную запись, которая находится в домене.
Выбор параметра РАСШИРЕННЫЙ в разделе «Расширенное управление пользователями» просто запускает MMC «Локальные пользователи и группы», как если бы вы набрали lusrmgr.msc из поля «Выполнить» или из командной строки.
В разделе безопасного входа локальные пользователи должны нажать CTRL+ALT+DEL, чтобы начать сеанс.
Когда вы не находитесь в домене и открываете значок АККАУНТЫ ПОЛЬЗОВАТЕЛЯ на панели управления, вы видите представление учетных записей пользователей, как показано ниже.
Опция СОЗДАТЬ НОВУЮ УЧЕТНУЮ ЗАПИСЬ позволяет сделать именно это.
Параметр ИЗМЕНИТЬ СПОСОБ ВХОДА ИЛИ ВЫКЛЮЧЕНИЯ ПОЛЬЗОВАТЕЛЕЙ позволяет выбрать либо БЫСТРОЕ ПЕРЕКЛЮЧЕНИЕ ПОЛЬЗОВАТЕЛЕЙ (что не допускается, когда рабочая станция является членом домена), либо использование стандартного параметра ИСПОЛЬЗОВАТЬ ЭКРАН ПРИВЕТСТВИЯ.
ПРИМЕЧАНИЯ С ПОЛЕТОВ] — Быстрое переключение пользователей нельзя использовать, если включена опция «Автономные файлы». Кроме того, как только ваша система будет добавлена в домен, вы больше не сможете использовать быстрое переключение пользователей, даже если вы войдете на рабочую станцию, используя локальную базу данных учетных записей пользователей.
Как видите, здесь нет места для создания новой группы. Как я упоминал ранее, это должно быть обработано через Управление компьютером.
Вам потребуется использовать оснастку «Управление компьютером», чтобы удалить локальные группы из системы. Windows XP Professional использует значение уникального идентификатора для идентификации групп и назначенных им разрешений, поэтому, если вы удалите группу из локальной системы, а затем решите, что это произошло по ошибке, повторное создание группы с тем же именем не позволит автоматически все те же разрешения и уровни доступа для его участников.
При удалении группы вы удаляете только группу и связанные с ней разрешения и права, но не учетные записи пользователей, входящих в ее состав.
Чтобы удалить группу, щелкните правой кнопкой мыши имя группы в оснастке «Управление компьютером» и выберите «Удалить». Пользователи по-прежнему будут в системе.Если их удаление также требуется как часть удаления группы летних пользователей или стажеров, например, отдельные пользователи все равно должны быть удалены.
Встроенные системные группы
В системах Windows XP Professional существуют встроенные системные группы, и, хотя они имеют определенное членство, которое вы можете изменить, вы не можете администрировать группы напрямую, они доступны для изменения, когда вы назначаете права пользователя и разрешения для ресурсов. Встроенное членство в системных группах зависит от того, как осуществляется доступ к компьютеру, а не от того, кто его использует. В приведенном ниже списке показаны основные встроенные системные группы, а также их свойства и характеристики по умолчанию.
Группа «Встроенная система» | Описание |
Все | Группа «Все» содержит всех пользователей, имеющих доступ к компьютеру. Разрешение «Полный доступ» назначается группе «Все» (и, следовательно, всем пользователям в ней) всякий раз, когда в локальной системе есть тома, отформатированные с помощью NTFS. |
Прошедшие проверку пользователи | Все пользователи с действующими учетными записями в локальной системе включаются в группу «Прошедшие проверку». Когда ваша система Windows XP является членом домена (или нескольких доменов), она включает всех пользователей в базе данных Active Directory для данного домена. Рекомендуется использовать группу «Прошедшие проверку» для доступа к ресурсам и системе вместо группы «Все». воспроизводиться, когда член группы администраторов создает ресурс (или становится владельцем ресурса), потому что, даже если это действие выполнил отдельный член, группа администраторов владеет ресурсом. |
Сеть | Группа Network Built-in System содержит любого пользователя с текущим подключением из удаленной системы в сети к общему ресурсу в локальной системе. |
Интерактивный | Члены группы интерактивной встроенной системы «добавляются» при локальном входе в систему. |
Анонимно Вход в систему | Учетная запись пользователя для анонимного входа, которую Windows XP Professional не может аутентифицировать, помещается в эту встроенную системную группу. |
Коммутируемый доступ | Пользователи «добавляются» в Dialup Built-in Системная группа, как только они установят модемное соединение с системой.. |
< tr>
Вы можете установить или отозвать разрешения для этих встроенных системных групп на ресурсе. (например, общий ресурс, папка NTFS, принтер и т. д.)
[ПРИМЕЧАНИЯ С ПОЛЕВЫХ ПОМЕЩЕНИЙ] — Группа «Встроенная система коммутируемого доступа» не отображается в системах, в которых не установлены модемы и не настроены конфигурации коммутируемого доступа.
Подведение итогов на этой неделе. А пока желаю удачи в учебе. Пожалуйста, не стесняйтесь обращаться ко мне с любыми вопросами в моей колонке и помните,
Windows 7 Домашняя базовая Windows 7 Домашняя расширенная Windows 7 Корпоративная Windows 7 Профессиональная Windows 7 Максимальная Windows Vista Домашняя базовая Windows Vista Домашняя расширенная Windows Vista Business Windows Vista Enterprise Windows Vista Ultimate Microsoft Windows XP Starter Edition Microsoft Windows XP Home Edition Microsoft Windows XP Профессиональное Подробнее. Меньше
Обзор
Эта статья поможет определить, настроена ли ваша текущая учетная запись Windows как обычный пользователь или как учетная запись администратора.
Дополнительная информация
В операционных системах на базе Windows тип вашей учетной записи пользователя определяет, какие задачи вы можете выполнять на своем компьютере. В некоторых случаях вам могут потребоваться права администратора для выполнения некоторых задач или использования некоторых приложений. Далее описываются три типа учетных записей на компьютерах под управлением Windows, а затем помогает определить тип вашей учетной записи пользователя.
Стандартные учетные записи пользователей предназначены для повседневного использования.
Учетные записи администратора обеспечивают максимальный контроль над компьютером, и их следует использовать только при необходимости.
Гостевые учетные записи предназначены в первую очередь для людей, которым требуется временное использование компьютера.
Примечание. Если ваша учетная запись является учетной записью домена, существует несколько дополнительных типов учетных записей. Возможно, вам придется обратиться к сетевому администратору, чтобы изменить разрешения.
Чтобы определить текущий тип учетной записи пользователя, выполните следующие действия для вашей версии Windows:
Для Windows 7
Чтобы определить тип учетной записи пользователя в Windows 7, выполните следующие действия:
Нажмите «Пуск» и введите «Учетные записи пользователей» в поле поиска
Нажмите «Учетные записи пользователей» в списке результатов (откроется окно «Учетные записи пользователей»)
Тип вашей учетной записи пользователя указан рядом с изображением вашей учетной записи
Примечание. Если вы используете учетную запись домена, вам нужно будет нажать «Управление учетными записями пользователей» в появившемся окне.Тип вашей учетной записи пользователя будет указан в столбце Группа.
Для выполнения некоторых задач в Windows требуются права администратора. Чтобы изменить тип учетной записи пользователя, щелкните ссылку ниже и выполните действия, описанные в этой статье:
Для Windows Vista
Чтобы определить тип учетной записи пользователя в Windows Vista, выполните следующие действия:
Нажмите «Пуск» и введите «Учетные записи пользователей» в поле поиска
Нажмите «Учетные записи пользователей» в списке результатов (откроется окно «Учетные записи пользователей»)
Примечание. Если вы используете учетную запись домена, вам нужно будет нажать «Управление учетными записями пользователей» в появившемся окне. Тип вашей учетной записи пользователя будет указан в столбце Группа.
Для выполнения некоторых задач в Windows требуются права администратора. Чтобы изменить тип учетной записи пользователя, щелкните ссылку ниже и выполните действия, описанные в этой статье:
Для Windows XP
Чтобы определить тип учетной записи пользователя в Windows XP, выполните следующие действия:
Нажмите «Пуск», «Панель управления» и нажмите «Учетные записи пользователей».
Для выполнения некоторых задач в Windows требуются права администратора. Чтобы изменить тип учетной записи пользователя, щелкните ссылку ниже и выполните действия, описанные в этой статье:
Читайте также:
- Как подключить второй монитор к ноутбуку с Windows 7
- Можно ли установить Windows 10 на сервер
- Как открыть порт через торрент на Windows 10
- Что такое будильники Windows
- Код 9c48: проблема с установкой Internet Explorer 11 на Windows 7
Это первая из двух статей, посвященных группам пользователей в Windows. Сегодня поговорим о локальных пользователях и группах, вторая статья будет посвящена группам в Active Directory.
Как и операционные системы семейства Linux, операционные системы Windows также поддерживают объединение пользователей в группы. Это позволяет удобно управлять пользовательскими правами. На каждом компьютере с Windows существуют локальные группы, присутствие или отсутствие пользователей в которых определяет права, которыми наделены пользователи.
По умолчанию в Windows уже есть перечень групп, в которые могут входить как учётные записи пользователей, так и другие группы. Хотя в заголовке этой статьи говорится о локальных пользователях и группах, в локальные группы могут входить и доменные учётные записи и группы. Различные программы могут добавлять свои группы. Создать новую группу может и пользователь, наделённый правами локального администратора. Рассмотрим основные группы в Windows.
Посмотреть перечень существующий в системе групп можно через консоль Управление компьютером. Она находится в Панели управления, раздел Администрирование.
Администраторы — группа локальных администраторов, способных управлять конкретным компьютером. Локальные администраторы не являются администраторами домена;
Администраторы Hyper-V — группа пользователей, имеющий полный доступ к функциям Hyper-V. Не являются локальными администраторами и администраторами домена;
Гости — по умолчанию члены этой группы имеют те же права, что и пользователи, за исключением учетной записи Гость, которая ещё больше ограничена в правах;
Операторы архива — имеют права на создание резервных копий и восстановления из них даже тех объектов, к которым не имеют доступа;
Операторы настройки сети — имеют административные права для настройки сетевых параметров операционной системы;
Опытные пользователи — на текущий момент оставлена для совместимости с предыдущими версиями Windows. Может быть использована для разграничения прав пользователей. Например, если одним пользователям на компьютере нужно больше прав, чем другим;
Пользователи — основная пользовательская группа. Пользователи могут изменять крайне ограниченное число настроек, но, как правило, могут запускать большинство приложений в системе;
Пользователи DCOM — члены этой группы могут запускать, активизировать и использовать объекты DCOM;
Пользователи журналов производительности — по функционалу похожа на группу Пользователи системного монитора, но имеет куда больший доступ к Системному монитору, который позволяет отследить использование ресурсов компьютера;
Пользователи удаленного рабочего стола — состоящие в данной группе пользователи могут подключаться к указанному компьютеру через удалённый рабочий стол;
Читатели журнала событий — входящие в эту группу пользователи могут просматривать журналы событий компьютера;
IIS_IUSRS — группа, появившаяся в IIS 7.0 как замена группе IIS_WPG. Операционная система автоматически заносит в данную группу учётные записи, когда они назначаются в качестве удостоверения для пула приложений. Как правило, эта группа не требует действий со стороны администратора.
Просмотреть содержимое групп могут и пользователи, а вот для работы с ними нужно быть администратором. Откройте интересующую вас группу. Вы увидите её описание, содержимое (группы могут включать в себя не только пользователей, но и другие группы) и кнопки Добавить и Удалить. С их помощью мы и можем управлять членством в группе.
Допустим, что мы хотим добавить в группу нового пользователя (или группу пользователей). Нажимаем кнопку Добавить и видим окно добавления пользователя или группы.
Если вы знаете имя пользователя/группы, просто введите его в большое поле и нажмите Проверить имена. Обратите внимание также на кнопки Типы объектов и Размещение. Нажав на первую, можно выбрать объекты, которым мы ищем. Нажав на вторую, указать место поиска объектов (локальный компьютер или домен). Внизу ещё есть кнопка Дополнительно, она открывает окно с более удобным интерфейсом поиска.
Даже если вы не знаете имя пользователя/группы, вы можете указать место поиска, а потом просто нажать кнопку Поиск, чтобы посмотреть список имеющихся пользователей и групп.
Удалить пользователя/группу из группы ещё проще. Просто откройте свойства интересующей вас группы, выделите пользователя/группу и нажмите кнопку Удалить.
Помните: изменять членство в группах нужно только тогда, когда вы понимаете, что делаете. В противном случае это может сказаться на работоспособности системы или отдельных программ в ней. Кроме того, раздавая права всем подряд, вы можете спровоцировать инциденты, относящиеся к области информационной безопасности.
Что ещё можно сделать с группами? Щёлкнем по группе правой кнопкой мыши, чтобы вызвать контекстное меню (альтернатива — выделить группу и открыть меню Действие).
Как видим, группу ещё можно переименовать и удалить. Естественно, можно создать и новую группу. Для этого, не выделяя никакую из существующих групп, либо воспользуйтесь меню Действие → Создать группу, либо щёлкните правой кнопкой мыши по пустой области, чтобы вызвать контекстное меню с этим пунктом.
Введите название группы, описание, чтобы другим пользователям было удобнее понимать для чего эта группа (или чтобы самому потом не забыть), наполните группу пользователями/группами и нажмите кнопку Создать.
Как видите, наша группа появилась в перечне групп.
Теперь поговорим о том, для чего можно использовать группы в Windows. Как уже было сказано, главное предназначение групп — разграничение прав в системе. Для нас важно понимать как группы используются для назначения прав на уровне файловой системы.
Группы позволяют гибко настраивать права на файлы и каталоги. В конечном счёте, таким образом мы можем определять, кому разрешено запускать исполняемые файлы (а значит и программы), кто может добавлять, удалять, читать файлы в папках. Это может быть не так важно на домашнем компьютере, где небольшое число пользователей. А вот в корпоративном сегменте важно.
Если в организации несколько структурных подразделений, которым требуются разные права, выдавать права каждому пользователю утомительно. Проще объединять пользователей в группы и выдавать права группе.
Добавим разрешения на каталог primer для нашей только что созданной группы. Можно нажать кнопку Изменить, а можно Дополнительно. Второй способ более гибкий, поэтому лучше использовать его.
Нажмите кнопку Добавить.
Сперва нужно выбрать субъект, на который будут распространяться новые права.
Впишите название группы и нажмите кнопку Проверить имена.
Теперь можно выбрать, хотим мы установить разрешающее правило или запрещающее, будет ли оно применяться к подпапкам и файлам, а также суть даваемых разрешений или запретов.
Наша группа появилась в перечне других групп, которым даны разрешения на этот каталог. Не забудьте нажать Применить для сохранения настроек.
Итак, мы познакомились с локальными группами в Windows. Во второй статье о группах в Windows мы поговорим про группы в Active Directory.
В
Windows
ХР Professional
предусмотрено две категории встроенных
групп, локальные и системные,
позволяющие упростить назначение прав
и разрешений для часто выполняемых
задач.
Группа
(group)
— это совокупность учетных записей
пользователей. Группы упрощают
администрирование, позволяя назначить
разрешения и права для группы
пользователей, а не индивидуально для
каждой учетной записи (рис. 9).
• Группа — это
совокупность учетных записей
пользователей
• Все члены группы
получают разрешения для этой группы
• Пользователи
могут быть членами нескольких групп
• Группа может
входить в другую группу
Рис.
9. Группы
упрощают администрирование
Посредством
разрешений
(permissions)
можно определить права пользователей
при работе с ресурсами типа папки, файла
или принтера. Назначив разрешения,
вы предоставляете пользователям доступ
к ресурсу и определяете тип доступа,
который они имеют. Например, если
нескольким пользователям необходимо
прочесть некий файл, то можно объединить
их учетные записи в группу и затем
предоставить этой группе разрешение
на чтение этого файла. Права
(rights)
позволяют пользователям выполнять
системные задачи, например изменять
время, выполнять архивацию и восстановление
файлов.
Локальные группы
Локальная
группа (local
group)
— совокупность учетных записей
пользователей на компьютере. Локальные
группы используются при назначении
разрешений на доступ к ресурсам,
постоянно хранящимся на компьютере,
где создана локальная группа. Windows
ХР Professional
создает локальные группы в базе данных
локальных политик безопасности.
Подготовка к применению локальных групп
• Используйте
локальные группы на компьютерах, которые
не входят в домен.
Вы
можете использовать локальные группы
только на компьютере, где они
создаются. Хотя локальные группы
доступны на рядовых серверах и
компьютерах домена на платформе Windows
2000 Server,
не используйте локальные группы на
компьютерах, которые являются частью
домена. Применение локальных групп на
компьютерах домена лишает вас возможности
централизованного администрирования
группы. Локальные группы недоступны в
каталоге Active
Directory,
и вам придется управлять ими отдельно
ни каждом компьютере.
• Разрешения
локальных групп предоставляют доступ
к ресурсам только на компьютере, где
вы их создаете.
Примечание
Нельзя создать локальные группы на
контроллерах домена, потому что
контроллеры домена не могут иметь
независимой от Active
Directory
базы данных политик безопасности.
Правила членства
в локальных группах включают следующее:
• локальные
группы могут объединять только локальные
учетные записи пользователей системы,
где эти группы создаются;
• локальные группы
не могут принадлежать никакой другой
группе.
Удаление локальных групп
Для
удаления локальных групп используйте
оснастку Управление
компьютером
(Computer
Management).
Каждая создаваемая вами группа имеет
уникальный идентификатор, который
никогда повторно не используется.
Windows
XP
Professional
применяет его для идентификации
группы и ее разрешений. При удалении
группы Windows
XP
professional
снова этот идентификатор не использует,
даже если вы создаете новую группу с
таким же, как у удаленной группы, именем.
Поэтому не удастся восстановить доступ
к ресурсам, повторно создав группу.
При
удалении группы вы удаляете только
группу и ее разрешения и права. При этом
не удаляются учетные записи пользователей,
которые являются членами группы. Чтобы
удалить группу, щелкните правой кнопкой
мыши имя группы в оснастке Управление
компьютером,
затем щелкните пункт меню Удалить.
Встроенные
локальные группы
Все
изолированные серверы, рядовые серверы
и компьютеры на платформе Windows
XP
Professional
имеют встроенные
локальные группы
(built-in
local
groups).
Они дают право выполнять системные
задачи на отдельно взятом компьютере
— резервное копирование и восстановление
файлов, изменение времени и управление
системными ресурсами. Windows
XP
Professional
хранит встроенные локальные группы в
папке Группы
(Groups)
оснастки Управление
компьютером.
В таблице 2.2
перечислены встроенные локальные
группы и описаны их возможности. За
исключением отдельно оговоренных
случаев, эти группы не имеют исходных
членов.
Встроенные
системные группы
Встроенные
системные группы существуют на всех
компьютерах под управлением Windows
XP
Professional.
Системные группы не имеют определенных
членств, которые можно изменять, но в
них входят различные пользователи в
разное время, в зависимости от того,
каким образом пользователь получает
доступ к системе или ресурсам. Системные
группы не видны, когда Вы администрируете
группы, но они доступны при назначении
прав и разрешений для ресурсов. Windows
XP
Professional
организует членство в системных группах
в зависимости от вида доступа к
компьютеру, а не от личности пользователя.
В таблице 2.3 перечислены встроенные
системные группы и описаны их
возможности.
Возможности
встроенной локальной группы
Таблица 2.2
Локальная группа |
Описание |
Администраторы (Administrators) |
Члены |
Операторы Operators) |
Члены |
Гости |
Члены этой группы могут:
• выполнять
• пользоваться |
Опытные
(Power |
Члены |
Репликатор |
Занимается |
Пользователи |
Члены этой группы • выполнять только
• пользоваться |
Возможности
встроенных системных групп
Таблица 2.3
Системная группа |
Описание |
Все |
Все |
Прошедшие
(Authenticated |
Все |
Создатель-владелец
(Creator |
Эта |
Сеть |
Любой |
Интерактивные (Interactive) |
Учетная |
Анонимный вход
(Anonymous |
Любая |
Удаленный (Dialup) |
Любой |
Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
- #
- #
- #
- #
- #
- #
- #
- #
- #
- #
- #