Создать группу безопасности windows 10

Содержание

• Запуск «Локальных пользователей и групп»
• «Пользователи»
• «Группы»
• Добавление нового пользователя
• Присоединение пользователя к группе
• Вопросы и ответы

В системных оснастках Windows 10 присутствует средство для управления учётными записями, сохранёнными на текущем компьютере, которая называется «Локальные пользователи и группы». Давайте разберёмся, что это за инструмент.

Важно! Рассматриваемая оснастка присутствует только в редакциях Pro и Enterprise!

Запуск «Локальных пользователей и групп»

Доступ к рассматриваемому элементу можно получить следующим образом:

1. Вызовите инструмент «Выполнить» сочетанием клавиш Win+R, введите в нём запрос lusrmgr.msc и щёлкните «ОК».



2. Запустится нужный инструмент.



Теперь взглянем подробнее на особенности приложения.

«Пользователи»

В данном каталоге присутствуют такие категории:

• «Администратор» – встроенный аккаунт, который используется в процессе инсталляции ОС перед тем, как юзер создаст свой собственный. Полномочия данной учётки весьма обширны, плюс её нельзя никаким образом удалить. Она пригодится в случае, когда в систему необходимо внести серьёзные изменения, но обычного пользователя-администратора для этой цели недостаточно.
  

  Читайте также: Использование встроенной учётной записи администратора Windows 10

• «Гость» — второй аккаунт по умолчанию, присутствующий в указанном каталоге. Из названия элемента ясно, каково его предназначение – это гостевая учётка, ограниченная в правах. Данный аккаунт задействуется для разового использования, и по умолчанию отключен из-за возможной угрозы безопасности.
• «WDAGUtilityAccount» — это запись, используемая Защитником Windows при открытии небезопасных сайтов или приложений, чтобы не подвергать опасности основное пространство. Если вы не совершали никаких манипуляций со встроенным в «десятку» антивирусом, WDAGUtilityAccount активен и задействуется.
  

  Читайте также: Отключение Защитника в Windows 10

• «Пользователь» — учётка, созданная при первичной настройке системы.
• «HelpAssistant» — временная запись, которая используется для создания сеанса удаленной помощи. Ею управляет служба Remote Desktop Help Session Manager.

«Группы»

В каталоге «Группы» записей намного больше – они обозначают категории, разграниченные в правах и выполняемых функциях. В этой директории обычно присутствуют следующие элементы:

• «Администраторы» – основная группа, члены которой имеют полный доступ к управлению операционной системой, соответственно, добавлять к ней новые учётки стоит с осторожностью.
• «Администраторы Hyper-V» – здесь находятся записи, которым разрешен доступ к виртуальной машине Hyper-V.

  Читайте также: Виртуальная машина в Windows 10

• «Владельцы устройства» – аккаунты из этой категории по своим полномочиям дублируют вариант «Администраторы».
• «Гости» – название говорит само за себя: сюда входят гостевые учётные записи.
• «Криптографические операторы» – пользовательские аккаунты из этого раздела способны выполнять связанные с криптографией действия, например, с цифровыми подписями.
• «Операторы архива» – интересная категория, поскольку записи, которые в неё входят, способны обходить системные ограничения доступа, но только в целях создания точек восстановления или резервного копирования.
  

  Читайте также: Создание точек восстановления Windows 10

• «Операторы настройки сети» – записям из этой категории разрешено управлять подключениями к сетям.
• «Опытные пользователи» – специфичный вариант, который существует для обеспечения совместимости. Дело в том, что эта категория в предыдущих версиях Виндовс обладала ограниченными административными правами для работы с некоторыми приложениями. В десятой редакции, в целях безопасности, редактирование этой группы запрещено, однако учётки в неё помещаются автоматически, если используется одно из тех самых специфичных приложений.
• «Пользователи» – самый большой раздел, в который входят все пользовательские учётные записи.

Остальные позиции представляют собой системные категории, с которыми рядовой юзер навряд ли столкнётся.

Добавление нового пользователя

Посредством рассматриваемой оснастки можно добавить новую учётную запись. Процедура описана одним из наших авторов, рекомендуем прочитать статью по ссылке далее.

Подробнее: Добавление нового пользователя в Windows 10

Присоединение пользователя к группе

Редактирование группы происходит по похожему алгоритму:

1. Выделите одиночным кликом ЛКМ категорию, после чего воспользуйтесь вариантами «Действие» – «Добавить пользователя в группу».



2. В окне свойств группы кликните по кнопке «Добавить».



3. Укажите имя аккаунта в блоке «Введите имена выбираемых объектов», после чего щёлкните «Проверить имена».
   

   Под названием должно появиться подчёркивание – это означает, что объект распознан и будет присоединён.



4. По возвращении в окно свойств вы увидите имя добавленной учётки.



Как видим, действительно ничего сложного.

Теперь вам известно, что собой представляет оснастка «Локальные пользователи и группы» в Windows 10.

Еще статьи по данной теме:

Помогла ли Вам статья?

Одной из ключевых особенностей операционной системы Windows 10 является возможность создания и настройки групп пользователей. Группы пользователей позволяют администраторам легко управлять доступом и разрешениями для различных пользователей, что повышает безопасность и удобство использования системы.

В этом подробном руководстве мы рассмотрим основные шаги по изменению групп пользователей в Windows 10. Мы покажем, как создать новую группу, добавить и удалить пользователей из группы, а также настроить разрешения для группы.

Для изменения групп пользователей в Windows 10 вам понадобятся административные права. Будьте внимательны при изменении настроек групп пользователей, так как это может повлиять на безопасность системы и функциональность некоторых приложений.

Определение групп пользователей

Группы пользователей в Windows 10 представляют собой организационную единицу, которая объединяет несколько аккаунтов пользователей схожими правами доступа и атрибутами безопасности. Определение групп пользователей позволяет более эффективно управлять правами доступа к файлам, папкам и ресурсам операционной системы.

Каждая группа пользователей имеет уникальное имя и принадлежит к определенной категории, например, «Администраторы», «Пользователи» и т. д. Группы пользователей позволяют управлять правами доступа и атрибутами безопасности для всех членов группы одновременно, что облегчает процесс администрирования и повышает безопасность операционной системы.

Группы пользователей определяются в рамках локальной учетной записи Windows или доменной учетной записи в зависимости от настроек системы. Определение групп пользователей производится на этапе создания учетной записи или путем добавления аккаунта в существующую группу.

С помощью групп пользователей можно установить различные уровни доступа и права на использование ресурсов, выполнение определенных задач и операций в операционной системе Windows 10. Предварительно определенные группы пользователей, такие как «Администраторы» или «Гости», имеют предустановленные права доступа, но также возможно создание пользовательских групп с определенными атрибутами безопасности для конкретных нужд и требований.

Внутренние и внешние группы

Внутренние группы включают такие группы, как «Администраторы», «Пользователи», «Гости» и «Все пользователи». Каждая из этих групп имеет свои уникальные права и ограничения.

Группа «Администраторы» имеет полные права на управление системой, включая установку программ, изменение системных настроек и доступ к всем файлам и папкам. Эта группа предназначена для администраторов системы.

Группа «Пользователи» имеет ограниченные права доступа к системе. Члены этой группы могут работать с большинством программ и файлов, но они не могут вносить изменения в системные настройки или устанавливать программы. Обычно эта группа назначается обычным пользователям.

Группа «Гости» имеет самые ограниченные права доступа. Члены этой группы могут использовать только некоторые программы и иметь доступ только к определенным файлам и папкам. Обычно эта группа используется для временных пользователей или гостей.

Группа «Все пользователи» включает всех пользователей, которые имеют учетные записи в системе. Эта группа обычно используется для общего доступа к файлам и папкам, когда требуется, чтобы все пользователи имели доступ к определенным ресурсам.

Внешние группы могут быть созданы администраторами и могут содержать пользователей из разных внутренних групп. Администраторы могут присваивать внешним группам различные права доступа к файлам, папкам и программам. Это позволяет более гибко управлять доступом пользователей в системе.

Теперь вы понимаете разницу между внутренними и внешними группами пользователей в Windows 10. Зная это, вы можете эффективно управлять доступом пользователей в системе.

Создание новой группы пользователей

В Windows 10 вы можете создать новую группу пользователей для более удобного управления различными доступами и настройками.

1. Щелкните правой кнопкой мыши по кнопке «Пуск» в левом нижнем углу экрана и выберите пункт «Управление компьютером».
2. В окне «Управление компьютером» раскройте раздел «Системные инструменты» и выберите «Локальные пользователи и группы».
3. Щелкните правой кнопкой мыши по папке «Группы» и выберите пункт «Новая группа…».
4. В появившемся окне введите имя новой группы и нажмите кнопку «Создать».

Поздравляю, вы успешно создали новую группу пользователей в Windows 10! Теперь вы можете добавить и удалить пользователей из этой группы, а также настроить различные параметры доступа для группы.

Шаги по созданию новой группы

В Windows 10 вы можете создать новую группу пользователей для управления разрешениями и доступом к файлам и папкам. Чтобы создать новую группу, следуйте этим шагам:

Шаг 1:	Откройте меню «Пуск» и выберите «Панель управления».
Шаг 2:	В разделе «Учетные записи пользователей» выберите «Учетные записи пользователей».
Шаг 3:	На странице «Учетные записи пользователей» нажмите на ссылку «Управление другой учетной записью».
Шаг 4:	Выберите «Создать новую учетную запись».
Шаг 5:	Введите имя новой группы в поле «Имя учетной записи».
Шаг 6:	Выберите тип учетной записи (Администратор или Ограниченный).
Шаг 7:	Нажмите кнопку «Создать учетную запись».

Поздравляю! Вы только что создали новую группу пользователей в Windows 10. Теперь вы можете присваивать разрешения этой группе и управлять доступом к файлам и папкам на вашем компьютере.

Это первая из двух статей, посвященных группам пользователей в Windows. Сегодня поговорим о локальных пользователях и группах, вторая статья будет посвящена группам в Active Directory.

Как и операционные системы семейства Linux, операционные системы Windows также поддерживают объединение пользователей в группы. Это позволяет удобно управлять пользовательскими правами. На каждом компьютере с Windows существуют локальные группы, присутствие или отсутствие пользователей в которых определяет права, которыми наделены пользователи.

По умолчанию в Windows уже есть перечень групп, в которые могут входить как учётные записи пользователей, так и другие группы. Хотя в заголовке этой статьи говорится о локальных пользователях и группах, в локальные группы могут входить и доменные учётные записи и группы. Различные программы могут добавлять свои группы. Создать новую группу может и пользователь, наделённый правами локального администратора. Рассмотрим основные группы в Windows.

Посмотреть перечень существующий в системе групп можно через консоль Управление компьютером. Она находится в Панели управления, раздел Администрирование.

Администраторы — группа локальных администраторов, способных управлять конкретным компьютером. Локальные администраторы не являются администраторами домена;

Администраторы Hyper-V — группа пользователей, имеющий полный доступ к функциям Hyper-V. Не являются локальными администраторами и администраторами домена;

Гости — по умолчанию члены этой группы имеют те же права, что и пользователи, за исключением учетной записи Гость, которая ещё больше ограничена в правах;

Операторы архива — имеют права на создание резервных копий и восстановления из них даже тех объектов, к которым не имеют доступа;

Операторы настройки сети — имеют административные права для настройки сетевых параметров операционной системы;

Опытные пользователи — на текущий момент оставлена для совместимости с предыдущими версиями Windows. Может быть использована для разграничения прав пользователей. Например, если одним пользователям на компьютере нужно больше прав, чем другим;

Пользователи — основная пользовательская группа. Пользователи могут изменять крайне ограниченное число настроек, но, как правило, могут запускать большинство приложений в системе;

Пользователи DCOM — члены этой группы могут запускать, активизировать и использовать объекты DCOM;

Пользователи журналов производительности — по функционалу похожа на группу Пользователи системного монитора, но имеет куда больший доступ к Системному монитору, который позволяет отследить использование ресурсов компьютера;

Пользователи удаленного рабочего стола — состоящие в данной группе пользователи могут подключаться к указанному компьютеру через удалённый рабочий стол;

Читатели журнала событий — входящие в эту группу пользователи могут просматривать журналы событий компьютера;

IIS_IUSRS — группа, появившаяся в IIS 7.0 как замена группе IIS_WPG. Операционная система автоматически заносит в данную группу учётные записи, когда они назначаются в качестве удостоверения для пула приложений. Как правило, эта группа не требует действий со стороны администратора.

Просмотреть содержимое групп могут и пользователи, а вот для работы с ними нужно быть администратором. Откройте интересующую вас группу. Вы увидите её описание, содержимое (группы могут включать в себя не только пользователей, но и другие группы) и кнопки Добавить и Удалить. С их помощью мы и можем управлять членством в группе.

Допустим, что мы хотим добавить в группу нового пользователя (или группу пользователей). Нажимаем кнопку Добавить и видим окно добавления пользователя или группы.

Если вы знаете имя пользователя/группы, просто введите его в большое поле и нажмите Проверить имена. Обратите внимание также на кнопки Типы объектов и Размещение. Нажав на первую, можно выбрать объекты, которым мы ищем. Нажав на вторую, указать место поиска объектов (локальный компьютер или домен). Внизу ещё есть кнопка Дополнительно, она открывает окно с более удобным интерфейсом поиска.

Даже если вы не знаете имя пользователя/группы, вы можете указать место поиска, а потом просто нажать кнопку Поиск, чтобы посмотреть список имеющихся пользователей и групп.

Удалить пользователя/группу из группы ещё проще. Просто откройте свойства интересующей вас группы, выделите пользователя/группу и нажмите кнопку Удалить.

Помните: изменять членство в группах нужно только тогда, когда вы понимаете, что делаете. В противном случае это может сказаться на работоспособности системы или отдельных программ в ней. Кроме того, раздавая права всем подряд, вы можете спровоцировать инциденты, относящиеся к области информационной безопасности.

Что ещё можно сделать с группами? Щёлкнем по группе правой кнопкой мыши, чтобы вызвать контекстное меню (альтернатива — выделить группу и открыть меню Действие).

Как видим, группу ещё можно переименовать и удалить. Естественно, можно создать и новую группу. Для этого, не выделяя никакую из существующих групп, либо воспользуйтесь меню Действие → Создать группу, либо щёлкните правой кнопкой мыши по пустой области, чтобы вызвать контекстное меню с этим пунктом.

Введите название группы, описание, чтобы другим пользователям было удобнее понимать для чего эта группа (или чтобы самому потом не забыть), наполните группу пользователями/группами и нажмите кнопку Создать.

Как видите, наша группа появилась в перечне групп.

Теперь поговорим о том, для чего можно использовать группы в Windows. Как уже было сказано, главное предназначение групп — разграничение прав в системе. Для нас важно понимать как группы используются для назначения прав на уровне файловой системы.

Группы позволяют гибко настраивать права на файлы и каталоги. В конечном счёте, таким образом мы можем определять, кому разрешено запускать исполняемые файлы (а значит и программы), кто может добавлять, удалять, читать файлы в папках. Это может быть не так важно на домашнем компьютере, где небольшое число пользователей. А вот в корпоративном сегменте важно.

Если в организации несколько структурных подразделений, которым требуются разные права, выдавать права каждому пользователю утомительно. Проще объединять пользователей в группы и выдавать права группе.

Добавим разрешения на каталог primer для нашей только что созданной группы. Можно нажать кнопку Изменить, а можно Дополнительно. Второй способ более гибкий, поэтому лучше использовать его.

Нажмите кнопку Добавить.

Сперва нужно выбрать субъект, на который будут распространяться новые права.

Впишите название группы и нажмите кнопку Проверить имена.

Теперь можно выбрать, хотим мы установить разрешающее правило или запрещающее, будет ли оно применяться к подпапкам и файлам, а также суть даваемых разрешений или запретов.

Наша группа появилась в перечне других групп, которым даны разрешения на этот каталог. Не забудьте нажать Применить для сохранения настроек.

Итак, мы познакомились с локальными группами в Windows. Во второй статье о группах в Windows мы поговорим про группы в Active Directory.

Windows 10 — операционная система, которая предлагает множество функций для настройки и управления пользователями. Один из таких функций — создание групп пользователей, которые позволяют организовать пользователей схожих типов вместе и управлять ими более эффективно.

Группы пользователей в Windows 10 особенно полезны в организационной среде, где необходимо предоставлять доступ к определенным ресурсам и приложениям только определенным группам пользователей. Создание групп пользователей также может быть полезно для домашних пользователей, которые хотят ограничить доступ к определенным функциям или приложениям для детей или гостей.

Шаг 1: Зайдите в «Параметры» Windows 10, нажав на значок «Пуск» и выбрав «Параметры» из списка приложений. Затем выберите «Учетные записи» и перейдите на вкладку «Семья и другие лица».

Шаг 2: Нажмите кнопку «Добавить кого-то еще к этому ПК». В появившемся меню выберите «Я хочу добавить кого-то, кто еще не имеет учетной записи на этом ПК» и следуйте инструкциям на экране, чтобы создать новую учетную запись пользователя.

Шаг 3: После создания учетной записи пользователя вернитесь на вкладку «Семья и другие лица» и найдите созданную учетную запись. Нажмите на нее, затем выберите «Изменить тип учетной записи».

Шаг 4: В появившемся меню выберите один из вариантов доступа для созданного пользователя: «Администратор», «Стандартный пользователь» или «Ребенок». В этом шаге вы можете также назначить пароль для учетной записи пользователя, установить ограничения и настроить другие параметры.

Теперь у вас есть группы пользователей, которые позволят вам более эффективно управлять пользователями и ресурсами в Windows 10. Вы можете создать несколько групп пользователей и настроить доступ к различным приложениям и функциям в зависимости от потребностей вашей организации или семьи.

Как создать группы пользователей в Windows 10: простое руководство

В Windows 10 существует возможность создания групп пользователей, что позволяет более организованно управлять доступом и разрешениями на компьютере.

Чтобы создать группу пользователей, выполните следующие шаги:

1. Откройте меню «Пуск» и выберите «Настройки».
2. В открывшемся окне «Настройки» выберите «Аккаунты».
3. На вкладке «Аккаунты» выберите «Семья и другие пользователи».
4. В разделе «Другие пользователи» выберите «Добавить кого-то еще на этот компьютер».
5. В следующем окне выберите «Я хочу добавить друга, пользующегося этим компьютером».
6. Введите имя пользователя новой группы и выберите один из вариантов доступа к данным группы (администратор или ограниченный пользователь).
7. Нажмите кнопку «Дальше» и укажите пароль для нового пользователя (при необходимости).
8. Нажмите кнопку «Готово» и новая группа пользователей будет создана.

Теперь вы можете организовать доступ и разрешения для данной группы пользователей, а также управлять ее учетной записью через меню «Аккаунты» в разделе «Семья и другие пользователи».

Создание групп пользователей в Windows 10 поможет обеспечить безопасность и удобство использования компьютера для всех пользователей.

Шаги по созданию группы пользователей в Windows 10

Создание групп пользователей в Windows 10 позволяет упростить управление доступом к файлам, папкам и программам для нескольких пользователей. Чтобы создать группу пользователей в Windows 10, выполните следующие шаги:

1. Откройте «Настройки» Windows, нажав на кнопку «Пуск» и выбрав «Настройки».
2. В открывшемся окне «Настройки» выберите раздел «Учетные записи».
3. На вкладке «Учетные записи» выберите «Семья и другие пользователи» в левой панели меню.
4. В разделе «Другие пользователи» нажмите на кнопку «Добавить кого-то еще на этом компьютере».
5. На экране «Что я хочу сделать?» выберите «Добавить пользователя без учетной записи Microsoft».
6. В окне «Создание учетной записи» введите имя группы пользователей в поле «Имя пользователя» и нажмите на кнопку «Далее».
7. Выберите тип группы пользователей — «Ограниченный» или «Администратор» — и нажмите на кнопку «Готово».

После выполнения этих шагов группа пользователей будет создана и будет отображаться в списке доступных учетных записей в разделе «Другие пользователи». Вы сможете управлять настройками доступа для этой группы пользователей и добавлять или удалять пользователей в эту группу.

Использование групп пользователей в Windows 10 помогает организовать доступ пользователей к ресурсам компьютера и повышает безопасность системы, позволяя давать различные права доступа для разных групп пользователей.

Польза от создания групп пользователей в Windows 10

Создание групп пользователей в операционной системе Windows 10 имеет ряд преимуществ и пользы для пользователей. Группы пользователей позволяют эффективно управлять доступом к ресурсам и настройкам компьютера, обеспечивая безопасность и организацию работы.

Вот несколько практических преимуществ создания групп пользователей:

1.	Упрощение управления пользователями
2.	Организация доступа к файлам и папкам
3.	Установка общих правил и политик безопасности
4.	Управление доступом к программам и приложениям

Создание групп пользователей позволяет существенно упростить управление пользователями в Windows 10. Вместо назначения прав доступа индивидуально для каждого пользователя можно просто добавить или удалить пользователя из соответствующей группы. Это сокращает время и усилия, необходимые для настройки и обслуживания пользователей в операционной системе.

Группы пользователей также позволяют организовать доступ к файлам и папкам на компьютере. Установив соответствующие права доступа для групп пользователей, можно контролировать, кто имеет право просматривать, редактировать или удалять определенные файлы или папки. Это особенно полезно в организациях, где необходимо обеспечить конфиденциальность и ограниченный доступ к определенным данным.

Создание групп пользователей также упрощает установку общих правил и политик безопасности для нескольких пользователей. Можно назначить общие ограничения и требования для всей группы пользователей, обеспечивая единые стандарты безопасности и конфигурации. Например, можно запретить пользователям установку программ или изменение системных настроек.

Наконец, создание групп пользователей позволяет управлять доступом к программам и приложениям на компьютере. Это дает возможность разрешить или запретить определенным группам пользователей использовать определенные программы, обеспечивая более гибкое управление использованием ресурсов компьютера.

В итоге, создание групп пользователей в Windows 10 помогает улучшить безопасность, упростить управление и настройку пользователей, а также организовать доступ к ресурсам и приложениям на компьютере. Это полезный инструмент для управления пользователями и обеспечения эффективной работы в операционной системе Windows 10.

Рекомендации по управлению группами пользователей в Windows 10

Управление группами пользователей в Windows 10 может помочь вам упростить процесс управления доступом к различным ресурсам и функциям операционной системы. Вот несколько рекомендаций, которые помогут вам эффективно управлять группами пользователей.

Рекомендация	Описание
1. Создайте логические группы	Логические группы пользователей могут помочь вам организовать пользователей в соответствии с их ролями или доступом к ресурсам. Создайте группы, например, «Администраторы», «Пользователи», «Гости» и т. д.
2. Определите права доступа	Определите права доступа для каждой группы пользователей. Установите разрешения на чтение, запись, выполнение и т. д. в зависимости от требований вашей организации или компьютерных ресурсов.
3. Добавьте пользователей в группы	Добавьте пользователей в соответствующие группы в соответствии с их ролями и доступом. Это можно сделать с помощью окна управления пользователями или через командную строку, используя утилиту «net user».
4. Регулярно обновляйте группы	Регулярно обновляйте группы пользователей, чтобы отразить изменения в ролях, доступе или составе пользователей. Таким образом, вы будете иметь актуальную информацию о правах доступа пользователей.
5. Мониторинг доступа	Мониторинг доступа к ресурсам и функциям операционной системы поможет вам выявить любые аномалии или нарушения безопасности. Используйте аудит доступа и доступные инструменты для обнаружения и устранения проблем.

Следуя этим рекомендациям, вы сможете эффективно управлять группами пользователей в Windows 10, обеспечивая безопасность и доступность ресурсов и функций вашей операционной системы.

[конспект админа] Меньше администраторов всем

Продолжим про безопасность операционных систем – на этот раз «жертвой» станет MS Windows и принцип предоставления минимальных прав для задач системного администрирования.

Сотрудникам, ответственным за определенные серверы и рабочие станции совсем не обязательно выдавать права «администратор домена». Хоть не по злому умыслу, по ошибке, но это может подпортить всем жизнь, а то и стоить чьих-то выходных. Под катом детально разберем принцип предоставления минимальных прав как одну из технологий предоставления минимальных прав.

Ограниченные группы

В качестве примера из практики могу привести грустную историю со счастливым концом. В организации исторически сложилось, что сервер печати находился на контроллере домена. В один прекрасный момент сотруднику отдела IT понадобилось перепрошить принтер, что он и проделал, запустив китайскую утилиту на сервере. Принтер заработал, но вот утилита в процессе перепрошивки перевела время на несколько лет назад. Active directory не очень любит путешественников во времени, и контроллер домена благополучно отправился в «захоронение» (tombstone).

Инцидент добавил седых волос, но второй контроллер домена спас ситуацию: роли FSMO перевели на него, а путешественника во времени повторно сделали контроллером домена. С тех пор в компании права «администратора домена» нужно заслужить.

Для профилактики подобных ситуаций неплохо будет выдавать желающим ровно столько прав, сколько нужно: если нужно администрировать только рабочие станции, достаточно выдать права только на компьютеры пользователей.

Когда компьютеров немного, включить доменную группу безопасности «helpdesk» в локальную группу «администраторы» можно и руками. А вот на большом объеме приходят на помощь групповые политики. Удобных способов два.

Первый способ: через Группы с ограниченным доступом (Restricted groups), расположенные в групповых политиках по адресу Конфигурация компьютера – Политики – Параметры безопасности.

Расположение политик Restricted groups.

Далее нужно создать группу «Администраторы» и добавить в нее нужную группу. Есть только один нюанс – если сделать именно так, то из локальной группы «Администраторы» исчезнут все, кроме встроенного администратора и самой группы. Даже Domain Admins:

Добавляем группу «Администраторы», в которую добавляем группу helpdesk.

И получаем локальную группу «Администраторы» без Domain admins.

Конечно, эту возможность можно использовать и во благо – зачистить локальные группы от лишних участников. Если же хочется избежать такой зачистки, то можно создать в «Группах ограниченного доступа» доменную группу и ее же назначить входящей в группу «Администраторы»:

При такой настройке локальная группа «Администраторы» не будет зачищена.

Вторым способом является настройка Предпочтения Групповых Политик (Group Policy Preference, далее – GPP). Искать следует в Конфигурации компьютера – Настройка – Локальные пользователи и группы.

Настройка группы безопасности через GPP.

Как и все настройки в GPP, эта проще в понимании и с более дружелюбным интерфейсом. Но если у вас в инфраструктуре присутствуют не обновленные Windows XP или даже Windows 2000, то остается только первый вариант.

Таким же способом можно дать права и на определенные серверы нужным сотрудникам. Например, дать права группе разработчиков на тестовый стенд.

Использование встроенных групп безопасности

Конечно, сотрудников отдела IT и системные учетные записи (например, под которыми выполняются задачи резервного копирования) проще сразу включить в группу «Enterprise Admins» и не знать горя.

Но из соображений безопасности лучше так не делать. В Windows существует набор встроенных учетных записей с набором типовых прав. Группы немного различаются для компьютера и для домена, а также ряд сервисов привносит свои группы.

Если стандартных групп не хватает, то Windows позволяет настроить права доступа более тонко. Например, выдать отдельной группе пользователей право менять время или возможность принудительно завершать работу сервера по сети. Для этого существует механизм «назначение прав пользователей». Искать можно в локальной политике безопасности – secpol.msc или в групповой политике по адресу Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики – Назначение прав пользователя.

Настройка прав доступа через групповые политики.

Использовать эту настройку я рекомендую в крайних случаях, и ее обязательно надо документировать. Помните о том, что когда-нибудь вас кто-то сменит и будет разбираться, почему работает так, а не иначе.

Вообще лучше всегда все документировать. Представьте ситуацию, что вы уволились из организации и вместо вас пришел человек с улицы. Поставьте себя на место этого человека. Если начал дергаться глаз или зашевелились волосы – посвятите время написанию документации. Пожалуйста!

Существует еще один хороший метод ограничения доступа к объектам – делегирование. Про эту технологию на Хабре уже писали, поэтому я лишь добавлю, что с помощью делегирования удобно выдаются права для ввода нового компьютера в домен.

Все эти технологии довольно давно существуют в системах Windows. С появлением Windows 10\2016 появилась еще одна интересная возможность ограничить учетные записи – речь о ней пойдет далее.

Достаточно администрирования

Just Enough Administration (JEA) – технология предоставления доступа к командлетам PowerShell. Работает на операционных системах вплоть до Windows 7 при установке Windows Management Framework 5.1 (правда, в самых старых операционных системах поддержка ограничена). Работа производится через так называемые «виртуальные аккаунты» и специально подготовленные файлы конфигурации. Примером использования JEA является выдача ограниченных прав на управление определенными виртуальными машинами – например, для ваших разработчиков.

Подробнее про JEA можно почитать в официальной документации, поэтому разберем конкретный пример предоставления возможности перезапуска виртуальной машины.

Сначала нам нужно разрешить удаленное подключение к серверу с помощью командлета Enable-PSRemoting, а заодно убедимся, что у нас Windows Management Framework нужной версии при помощи командлета $PSVersionTable.PSVersion.

Проверка версии и разрешение удаленных подключений при помощи PS.

Создадим группу безопасности и специального пользователя:

$VMOperatorGroup = New-ADGroup -Name "VM-operators" -GroupScope DomainLocal -PassThru
$OperatorUser = New-ADUser -Name "VMOperator" -AccountPassword (ConvertTo-SecureString 'P@ssword1' -AsPlainText -Force) -PassThru
Enable-ADAccount -Identity $OperatorUser
Add-ADGroupMember -Identity $VMOperatorGroup -Members $OperatorUser

Теперь создадим нужные для работы конфигурационные файлы и папки. Сначала общие:

New-Item -Path "C:\Program Files\WindowsPowerShell\Modules\Demo_Module" -ItemType Directory
New-ModuleManifest -Path "C:\Program Files\WindowsPowerShell\Modules\Demo_Module\Demo_Module.psd1"
New-Item -Path "C:\Program Files\WindowsPowerShell\Modules\Demo_Module\RoleCapabilities" -ItemType Directory

А затем создадим конкретный файл конфигурации для нашего оператора виртуальной машины с именем win. Для примера разрешим запуск и остановку виртуальной машины:

$VMRoleCapabilityParams = @{
  Author = 'Сервер Молл'
  Description = 'VM Role Capability File'
  CompanyName = 'ServerMall'
VisibleCmdlets= 'Get-VM',
 @{ Name='Start-VM'; Parameters=@{ Name='Name'; ValidateSet='win' } },
 @{ Name = 'Stop-VM'; Parameters = @{ Name = 'Name'; ValidateSet = 'win'}}
New-PSRoleCapabilityFile -Path "$ENV:ProgramFiles\WindowsPowerShell\Modules\Demo_Module\RoleCapabilities\VMRoleCapability.psrc" @VMRoleCapabilityParams

Теперь необходимо подготовить файл сессии PowerShell:

$NonAdministrator = "DOMAIN\VM-win-Operators"

$ConfParams = @{
  SessionType = 'RestrictedRemoteServer'
  RunAsVirtualAccount = $true
  RoleDefinitions = @{
    $NonAdministrator = @{ RoleCapabilities = 'VMRoleCapability'}
  }
  TranscriptDirectory = "$env:ProgramData\JEAConfiguration\Transcripts"
}

New-Item -Path "$env:ProgramData\JEAConfiguration" -ItemType Directory
$SessionName = 'VM_OperatorSession'
New-PSSessionConfigurationFile -Path "$env:ProgramData\JEAConfiguration\VM.pssc" @ConfParams

Зарегистрируем файл сессии:

Register-PSSessionConfiguration -Name 'VM_OperatorSession' -Path "$env:ProgramData\JEAConfiguration\VM.pssc"

Теперь все готово для проверки. Попробуем подключиться к серверу с учетными данными созданного пользователя командлетом:

Enter-PSSession -ComputerName SERVERNAME -ConfigurationName VM_OperatorSession -Credential (Get-Credential)

Проверим список доступных команд командой get-command и попробуем остановить нашу виртуальную машину win, а затем другую машину win2.

Доступ к серверу ограничен управлением одной виртуальной машиной.

Для облегчения создания файлов конфигурации сообществом была создана утилита под названием JEA Toolkit Helper, где графический интерфейс поможет создать файлы с необходимыми параметрами.

Интерфейс JEA Toolkit Helper.

При необходимости есть возможность через групповые политики включить аудит выполнения модулей по адресу Конфигурация компьютера – Административные шаблоны – Windows Powershell – Включить ведение журнала модулей. Тогда в журнале Windows будут отображаться записи о том что, где и когда.

Журнал выполнения PowerShell.

Альтернативой будет включение записи в файл. Также через групповые политики настраивается параметр «Включить транскрипции PowerShell». Путь можно задать как в самой политике (и тогда запись туда будет вестись для всех модулей), так и в файле конфигурации сессии JEA в параметре TranscriptDirectory.

Файловый журнал JEA.

С помощью делегирования, назначения прав и JEA можно добиться отказа от использования учетных записей с администраторскими правами в повседневной работе. В конце-концов, к UAC в Windows ведь тоже привыкли и не отключаем просто потому, что «заткнись, я и так знаю что мне делать со своими файлами!».