Права опытного пользователя windows 10

[конспект админа] Меньше администраторов всем

Продолжим про безопасность операционных систем – на этот раз «жертвой» станет MS Windows и принцип предоставления минимальных прав для задач системного администрирования.

Сотрудникам, ответственным за определенные серверы и рабочие станции совсем не обязательно выдавать права «администратор домена». Хоть не по злому умыслу, по ошибке, но это может подпортить всем жизнь, а то и стоить чьих-то выходных. Под катом детально разберем принцип предоставления минимальных прав как одну из технологий предоставления минимальных прав.

Ограниченные группы

В качестве примера из практики могу привести грустную историю со счастливым концом. В организации исторически сложилось, что сервер печати находился на контроллере домена. В один прекрасный момент сотруднику отдела IT понадобилось перепрошить принтер, что он и проделал, запустив китайскую утилиту на сервере. Принтер заработал, но вот утилита в процессе перепрошивки перевела время на несколько лет назад. Active directory не очень любит путешественников во времени, и контроллер домена благополучно отправился в «захоронение» (tombstone).

Инцидент добавил седых волос, но второй контроллер домена спас ситуацию: роли FSMO перевели на него, а путешественника во времени повторно сделали контроллером домена. С тех пор в компании права «администратора домена» нужно заслужить.

Для профилактики подобных ситуаций неплохо будет выдавать желающим ровно столько прав, сколько нужно: если нужно администрировать только рабочие станции, достаточно выдать права только на компьютеры пользователей.

Когда компьютеров немного, включить доменную группу безопасности «helpdesk» в локальную группу «администраторы» можно и руками. А вот на большом объеме приходят на помощь групповые политики. Удобных способов два.

Первый способ: через Группы с ограниченным доступом (Restricted groups), расположенные в групповых политиках по адресу Конфигурация компьютера – Политики – Параметры безопасности.

Расположение политик Restricted groups.

Далее нужно создать группу «Администраторы» и добавить в нее нужную группу. Есть только один нюанс – если сделать именно так, то из локальной группы «Администраторы» исчезнут все, кроме встроенного администратора и самой группы. Даже Domain Admins:

Добавляем группу «Администраторы», в которую добавляем группу helpdesk.

И получаем локальную группу «Администраторы» без Domain admins.

Конечно, эту возможность можно использовать и во благо – зачистить локальные группы от лишних участников. Если же хочется избежать такой зачистки, то можно создать в «Группах ограниченного доступа» доменную группу и ее же назначить входящей в группу «Администраторы»:

При такой настройке локальная группа «Администраторы» не будет зачищена.

Вторым способом является настройка Предпочтения Групповых Политик (Group Policy Preference, далее – GPP). Искать следует в Конфигурации компьютера – Настройка – Локальные пользователи и группы.

Настройка группы безопасности через GPP.

Как и все настройки в GPP, эта проще в понимании и с более дружелюбным интерфейсом. Но если у вас в инфраструктуре присутствуют не обновленные Windows XP или даже Windows 2000, то остается только первый вариант.

Таким же способом можно дать права и на определенные серверы нужным сотрудникам. Например, дать права группе разработчиков на тестовый стенд.

Использование встроенных групп безопасности

Конечно, сотрудников отдела IT и системные учетные записи (например, под которыми выполняются задачи резервного копирования) проще сразу включить в группу «Enterprise Admins» и не знать горя.

Но из соображений безопасности лучше так не делать. В Windows существует набор встроенных учетных записей с набором типовых прав. Группы немного различаются для компьютера и для домена, а также ряд сервисов привносит свои группы.

Если стандартных групп не хватает, то Windows позволяет настроить права доступа более тонко. Например, выдать отдельной группе пользователей право менять время или возможность принудительно завершать работу сервера по сети. Для этого существует механизм «назначение прав пользователей». Искать можно в локальной политике безопасности – secpol.msc или в групповой политике по адресу Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики – Назначение прав пользователя.

Настройка прав доступа через групповые политики.

Использовать эту настройку я рекомендую в крайних случаях, и ее обязательно надо документировать. Помните о том, что когда-нибудь вас кто-то сменит и будет разбираться, почему работает так, а не иначе.

Вообще лучше всегда все документировать. Представьте ситуацию, что вы уволились из организации и вместо вас пришел человек с улицы. Поставьте себя на место этого человека. Если начал дергаться глаз или зашевелились волосы – посвятите время написанию документации. Пожалуйста!

Существует еще один хороший метод ограничения доступа к объектам – делегирование. Про эту технологию на Хабре уже писали, поэтому я лишь добавлю, что с помощью делегирования удобно выдаются права для ввода нового компьютера в домен.

Все эти технологии довольно давно существуют в системах Windows. С появлением Windows 10\2016 появилась еще одна интересная возможность ограничить учетные записи – речь о ней пойдет далее.

Достаточно администрирования

Just Enough Administration (JEA) – технология предоставления доступа к командлетам PowerShell. Работает на операционных системах вплоть до Windows 7 при установке Windows Management Framework 5.1 (правда, в самых старых операционных системах поддержка ограничена). Работа производится через так называемые «виртуальные аккаунты» и специально подготовленные файлы конфигурации. Примером использования JEA является выдача ограниченных прав на управление определенными виртуальными машинами – например, для ваших разработчиков.

Подробнее про JEA можно почитать в официальной документации, поэтому разберем конкретный пример предоставления возможности перезапуска виртуальной машины.

Сначала нам нужно разрешить удаленное подключение к серверу с помощью командлета Enable-PSRemoting, а заодно убедимся, что у нас Windows Management Framework нужной версии при помощи командлета $PSVersionTable.PSVersion.

Проверка версии и разрешение удаленных подключений при помощи PS.

Создадим группу безопасности и специального пользователя:

$VMOperatorGroup = New-ADGroup -Name "VM-operators" -GroupScope DomainLocal -PassThru
$OperatorUser = New-ADUser -Name "VMOperator" -AccountPassword (ConvertTo-SecureString 'P@ssword1' -AsPlainText -Force) -PassThru
Enable-ADAccount -Identity $OperatorUser
Add-ADGroupMember -Identity $VMOperatorGroup -Members $OperatorUser

Теперь создадим нужные для работы конфигурационные файлы и папки. Сначала общие:

New-Item -Path "C:\Program Files\WindowsPowerShell\Modules\Demo_Module" -ItemType Directory
New-ModuleManifest -Path "C:\Program Files\WindowsPowerShell\Modules\Demo_Module\Demo_Module.psd1"
New-Item -Path "C:\Program Files\WindowsPowerShell\Modules\Demo_Module\RoleCapabilities" -ItemType Directory

А затем создадим конкретный файл конфигурации для нашего оператора виртуальной машины с именем win. Для примера разрешим запуск и остановку виртуальной машины:

$VMRoleCapabilityParams = @{
  Author = 'Сервер Молл'
  Description = 'VM Role Capability File'
  CompanyName = 'ServerMall'
VisibleCmdlets= 'Get-VM',
 @{ Name='Start-VM'; Parameters=@{ Name='Name'; ValidateSet='win' } },
 @{ Name = 'Stop-VM'; Parameters = @{ Name = 'Name'; ValidateSet = 'win'}}
New-PSRoleCapabilityFile -Path "$ENV:ProgramFiles\WindowsPowerShell\Modules\Demo_Module\RoleCapabilities\VMRoleCapability.psrc" @VMRoleCapabilityParams

Теперь необходимо подготовить файл сессии PowerShell:

$NonAdministrator = "DOMAIN\VM-win-Operators"

$ConfParams = @{
  SessionType = 'RestrictedRemoteServer'
  RunAsVirtualAccount = $true
  RoleDefinitions = @{
    $NonAdministrator = @{ RoleCapabilities = 'VMRoleCapability'}
  }
  TranscriptDirectory = "$env:ProgramData\JEAConfiguration\Transcripts"
}

New-Item -Path "$env:ProgramData\JEAConfiguration" -ItemType Directory
$SessionName = 'VM_OperatorSession'
New-PSSessionConfigurationFile -Path "$env:ProgramData\JEAConfiguration\VM.pssc" @ConfParams

Зарегистрируем файл сессии:

Register-PSSessionConfiguration -Name 'VM_OperatorSession' -Path "$env:ProgramData\JEAConfiguration\VM.pssc"

Теперь все готово для проверки. Попробуем подключиться к серверу с учетными данными созданного пользователя командлетом:

Enter-PSSession -ComputerName SERVERNAME -ConfigurationName VM_OperatorSession -Credential (Get-Credential)

Проверим список доступных команд командой get-command и попробуем остановить нашу виртуальную машину win, а затем другую машину win2.

Доступ к серверу ограничен управлением одной виртуальной машиной.

Для облегчения создания файлов конфигурации сообществом была создана утилита под названием JEA Toolkit Helper, где графический интерфейс поможет создать файлы с необходимыми параметрами.

Интерфейс JEA Toolkit Helper.

При необходимости есть возможность через групповые политики включить аудит выполнения модулей по адресу Конфигурация компьютера – Административные шаблоны – Windows Powershell – Включить ведение журнала модулей. Тогда в журнале Windows будут отображаться записи о том что, где и когда.

Журнал выполнения PowerShell.

Альтернативой будет включение записи в файл. Также через групповые политики настраивается параметр «Включить транскрипции PowerShell». Путь можно задать как в самой политике (и тогда запись туда будет вестись для всех модулей), так и в файле конфигурации сессии JEA в параметре TranscriptDirectory.

Файловый журнал JEA.

С помощью делегирования, назначения прав и JEA можно добиться отказа от использования учетных записей с администраторскими правами в повседневной работе. В конце-концов, к UAC в Windows ведь тоже привыкли и не отключаем просто потому, что «заткнись, я и так знаю что мне делать со своими файлами!».

Какие права есть у опытных пользователей?

Группа опытных пользователей может устанавливать программное обеспечение, управлять параметрами питания и часового пояса, а также устанавливать элементы управления ActiveX — действия, которые запрещены ограниченным пользователям.

Каковы примеры опытных пользователей?

К опытным пользователям относятся профессионалы в области редактирования видео, высококлассные графические дизайнеры, продюсеры аудио и те, кто использует свои компьютеры для научных исследований. Профессиональные геймеры (да, такие есть) тоже попадают в эту категорию.

Вы опытный пользователь, значит, знаете о меню опытного пользователя в Windows 10, верно? Тот, который появляется, когда вы щелкаете правой кнопкой мыши по кнопке Пуск или нажимаете Windows + X.

Какова цель группы опытных пользователей в Windows 7 и более поздних версиях?

Группа опытных пользователей в предыдущих версиях Windows была разработана для предоставления пользователям определенных прав администратора и разрешений на выполнение общих системных задач. В этой версии Windows стандартные учетные записи пользователей по своей сути имеют возможность выполнять наиболее распространенные задачи настройки, такие как изменение часовых поясов.

Как сделать пользователя опытным?

Чтобы создать опытного пользователя, нажмите кнопку «плюс» в правом верхнем углу, затем выберите «Новый опытный пользователь». В открывшейся правой панели выберите пользователей, которых вы хотите определить как опытных пользователей, и нажмите «Подтвердить».

Могут ли опытные пользователи запускать и останавливать службы?

По умолчанию только члены группы администраторов могут запускать, останавливать, приостанавливать, возобновлять или перезапускать службу. В этой статье описаны методы, которые можно использовать для предоставления пользователям соответствующих прав на управление службами.

В чем разница между опытным пользователем и администратором?

Опытные пользователи не имеют права добавлять себя в группу администраторов. Опытные пользователи не имеют доступа к данным других пользователей на томе NTFS, если эти пользователи не предоставят им разрешение.

Что такое стандартный пользователь?

Интерактивная учетная запись — стандартная учетная запись пользователя

Обычная учетная запись пользователя для человека также называется интерактивной учетной записью или стандартной учетной записью пользователя. Таких пользователей обычно можно использовать для входа в систему с паролем и для запуска программ на компьютере.

Что такое опытный пользователь телефона?

Опытный пользователь: настраивает свой телефон / использует его достаточно, когда время автономной работы составляет приблизительно SoT / использует Custom Rom или Xposed / много установленных приложений. Легкое использование: срок службы батареи превышает SoT, телефон не настраивается, установлено несколько приложений. Если по крайней мере двое из категории опытных пользователей верны вам, я бы сказал, что вы опытный пользователь.

Как мне создать опытного пользователя в Windows 10?

Как изменить тип учетной записи пользователя с помощью настроек

1. Открыть настройки.
2. Щелкните «Учетные записи».
3. Щелкните Семья и другие пользователи.
4. В разделе «Ваша семья» или «Другие пользователи» выберите учетную запись пользователя.
5. Нажмите кнопку Изменить тип учетной записи. …
6. Выберите тип учетной записи «Администратор» или «Стандартный пользователь». …
7. Щелкните кнопку ОК.

Как запустить EXE-файлы без прав администратора Windows 10?

Вот шаги.

1. Загрузите программное обеспечение, скажем Steam, которое вы хотите установить на ПК с Windows 10. …
2. Создайте новую папку на рабочем столе и перетащите в нее установщик программного обеспечения. …
3. Откройте папку и щелкните правой кнопкой мыши> Создать> Текстовый документ.
4. Откройте только что созданный текстовый файл и напишите этот код:

25 мар. 2020 г.

Что такое доступ опытных пользователей?

С помощью IAM вы можете устанавливать разрешения на основе предоставленных AWS шаблонов политик, таких как «Доступ администратора», который обеспечивает полный доступ ко всем ресурсам и сервисам AWS, «Доступ опытных пользователей», который обеспечивает полный доступ ко всем ресурсам и сервисам AWS, но не разрешает доступ к управлению пользователи и группы, или даже «Только для чтения …

Какова цель группы опытных пользователей в виклете Windows 7 и более поздних версий?

Какова цель группы опытных пользователей в Windows 7 и более поздних версиях? Обратная совместимость с устаревшими операционными системами и приложениями. Техник настраивает компьютеры Windows в сети для печати на принтере, который напрямую подключен к сети через кабель UTP.

Есть ли у опытных пользователей доступ по протоколу RDP?

У меня простой вопрос о разнице между людьми из группы «опытные пользователи» и людьми из группы «пользователи удаленного рабочего стола». Обе группы дают вам возможность подключаться к серверу по протоколу RDP. Таким образом, пользователи удаленного рабочего стола, по-видимому, являются частью группы опытных пользователей.

Что из перечисленного является группой по умолчанию в Windows 10?

По умолчанию единственным членом является группа «Пользователи домена». Операторы печати могут управлять принтерами и очередями документов. Они также могут управлять объектами принтеров Active Directory в домене. Члены этой группы могут локально входить в систему и выключать контроллеры домена в домене.

Windows предусматривает возможность работы за одним ПК сразу несколько человек, причем каждый из пользователей может иметь разные права доступа. Кто-то имеет возможность менять настройки сети, пользоваться удаленным доступом, другой будет лишен таких привилегий. Все зависит от того, в какую группу входят эти люди.

Чтобы регулировать возможности разной категории пользователей, необходимы специальные группы Windows. Они нужны для настройки прав доступа к конкретным возможностям системы.

Изменение прав доступа

Чтобы изменять права доступа пользователей, в Windows предусмотрено 2 инструмента. Это консоль Управление компьютером и Редактор локальной групповой политики. С их помощью вы можете добавлять пользователей в ту или иную группу, а также исключать их оттуда.

Для добавления пользователя через Управление компьютером необходимо выполнить определенную последовательность операций. Сначала кликните правой кнопкой мыши по значку Мой компьютер. Затем выберите Управление/Локальные пользователи и группы/Группы. Далее выберите необходимую группу и откройте ее. После этого откроется окно, в котором вам следует выбрать «Добавить». В следующем окне, которое появится, задайте имя пользователя для включения в эту группу. При необходимости вы можете воспользоваться функцией «Проверить имена». Выбрав одного или нескольких пользователей, нажмите ОК.

Если вы хотите удалить пользователя из группы, делать нужно практически то же самое. Только вместо пункта «Добавить» вам надо будет нажать на «Удалить».

Для изменения прав доступа через Редактор локальной групповой политики вам нужно сначала открыть его через меню «Выполнить». Нужный вам файл называется gpedit.msc. Далее выбирайте Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Локальные политики/Назначение прав пользователей. Выберите подходящую вам политику с правами доступа, нажмите «Добавить» и «Задать имя пользователя». Сам процесс добавления и удаления пользователя происходит по аналогии с такими же действиями через Управление компьютером.

Между двумя способами настроек прав доступа существует заметная разница. Консоль дает обширные права и запреты. Здесь даются общие положения, а мельчайшие тонкости и детали не учитываются. Локальные политики работают по иному принципу. Пользователь может настроить права доступа с учетом каждой мелочи. Например, это может быть даже возможность изменения времени и часового пояса. Получается, что пользователь может выбрать любой из двух подходов, которые являются совершенно разными. Это дает определенную вариативность в настройках.

Список групп

Приведем список основных групп пользователей Windows. Сюда могут быть включены и другие группы, но мы ограничимся приведенным ниже перечнем.

• Администраторы. Сюда входят пользователи, которые не имеют ограничений доступа.
• Операторы архива. Эта категория пользователей может создавать резервные копии даже тех объектов, доступа к котором не имеет.
• Опытные пользователи. Группа не играет какой-либо существенной роли. Используется только для совместимости с предыдущими версиями.
• Пользователи системного монитора. Системный монитор позволяет следить за тем, как используются различные ресурсы ПК. Члены этой группы получают доступ к данному инструменту. Однако права пользованием в этом случае несколько ограничены.
• Операторы настройки сети. Эта категория пользователей может изменять параметры TCP/IP.
• Пользователи удаленного рабочего стола. Эти люди могут входить в вашу систему через удаленный доступ.
• Пользователи журналов производительности. Здесь участники получают более полные права пользования Системным монитором.
• Пользователи DCOM. Пользователи получают возможность управлять объектами, находящимися на различных компьютерах сети, входящих в эту модель.
• Криптографические операторы. Пользователи могут выполнять данные операции.
• Читатели журнала событий. Суть этой группы хорошо понятна из названия.

Это основные группы, которые могут встречаться практически на всех ПК с операционной системой Windows. Однако этих групп может быть гораздо больше. Часто можно встретить деление на группы Администраторы, Пользователи, Гости.

Учетная запись пользователя может входить в несколько групп. Создавать собственные группы, а также добавлять и удалять пользователей можно с помощью учетной записи администратора.