Управление доступом пользователей в Microsoft Windows XP
Управление доступом пользователей в Microsoft Windows XP
Рабочие станции под управлением Microsoft Windows XP могут состоять в составе рабочей группы или домена. На рабочих станциях, членах рабочих групп доступ пользователей и глобальные параметры конфигурируются на самой рабочей станции. Управление доступом пользователей и глобальными параметрами на членах домена осуществляется на двух уровнях: локальной системы и домена. На отдельных компьютерах доступ пользователей конфигурируют на уровне локальной системы, а одновременно для нескольких систем или ресурсов, входящих в домен, — на уровне домена.
Задачи, описанные ниже, можно выполнить, либо войдя в систему локально, либо подключившись с удаленной системы.
Учетные записи пользователей и групп
В Windows XP различаются учетные записи пользователей и учетные записи групп (в составе которых могут состоять пользователи). Учетные записи пользователей (user accounts) предназначены для отдельных людей, а учетные записи групп (group accounts), или просто группы (groups), — для упрощения администрирования совокупностей пользователей. В систему можно войти под учетной записью пользователя, но нельзя — под учетной записью группы,
Основные сведения о локальных учетных записях пользователей
В Windows XP два типа учетных записей пользователей.
Управление доступом и глобальными параметрами
• Локальные учетные записи пользователей (local user accounts) определяются на локальном компьютере. Они обладают доступом только к локальному компьютеру и должны пройти аутентификацию, чтобы получить доступ к сетевым ресурсам. Эти записи создаются в оснастке Local users and groups (Локальные пользователи и группы). • Доменные учетные записи пользователей (domain user accounts) определяются в службе каталогов Active Directory. Для получения доступа к ресурсам домена они выполняют разовый вход с предъявлением пароля. Эти записи создаются в оснастке Active Directory Users and Computers (Пользователи и компьютеры Active Directory). Каждая учетная запись пользователя содержит имя, применяемое для входа в систему. В Windows XP такое имя состоит из двух частей: • имя пользователя — текстовый идентификатор учетной записи, • рабочая группа или домен — местоположение учетной записи.
Так, для пользователя WRSTANEK, учетная запись которого создана в рабочей группе MICROSOFT, полное имя для входа в Windows XP MICROSOFT\wrstanek. WRSTANEK вправе войти в систему своей локальной рабочей станции, состоящей в рабочей группе MICROSOFT, однако для получения доступа к ресурсам домена ему нужно пройти аутентификацию (проверку подлинности) в домене. В домене полное имя для входа в систему состоит из имени учетной записи и имени домена, разделенных символом @. Так, полное имя пользователя WRSTANEK в домене technology.microsoft.com — WRSTANEK@tecbnology.microsoft.com.
При просмотре и назначении привилегий и разрешений в Windows XP применяются имена пользователей, однако главным отличительным параметром учетной записи является идентификатор безопасности (security identifier, SID). SID — это уникальный код, генерируемый при создании учетной записи и состоящий из идентификатора безопасности группы или домена и уникального идентификатора пользователя. При работе с учетными записями подсистема безопасности Windows XP применяет только эти идентификаторы, а не имена. SID выполняют несколько функций, но главное их преимущество в том, что, во-первых, администратор может изменять имена пользователей и, во-вторых, учетные записи можно удалять, не беспокоясь, что кто-то получит доступ к ресурсам, создав запись с тем же именем.
Когда вы создаете имя пользователя, Windows XP связывает его с конкретным SID. После удаления учетной записи ее SID становится недействительным. Если позже создать запись с тем же именем, новый пользователь не получит привилегий и разрешений прежнего, так как у новой учетной записи другой SID. Учетным записям пользователей можно сопоставлять определенные пароли и открытые сертификаты. Пароль (password) — это секретная строка аутентификации учетной записи. Открытый сертификат (public certificate) — это фактически открытый ключ пользователя, подписанный полномочным центром сертификации. Для интерактивного входа в систему нужно ввести пароль, а для входа по смарт-карте — предъявить открытый сертификат.
При установке Windows XP создает несколько стандартных учетных записей пользователей. Вот перечень встроенных учетных записей, аналогичных записям в доменах Windows. • Administrator (Администратор) предоставляет полный доступ к файлам, каталогам, службам и другим средствам. Ее нельзя отключить или удалить. В Active Directory эта учетная запись обладает доступом и привилегиями на всем домене. На локальном компьютере ее возможности обычно ограничены локальной системой. • Guest (Гость) предназначена для пользователей, которым нужен однократный или нерегулярный доступ к системе. Хотя члены этой группы имеют ограниченные системные привилегии, этой учетной записи следует уделить особое внимание, так как из-за нее могут появится проблемы с безопасностью в системе. • HelpAssistant — запись, под которой работают в системе специалисты, получившие приглашение для удаленной помощи. Эта запись обладает возможностями, необходимыми для локального входа в систему через службу Terminal Services (Службы терминалов). • Support используется встроенной службой Help and Support (Справка и поддержка). Она включена в группу Управление доступом и глобальными параметрами и имеет право на вход в систему в качестве пакетного задания, благодаря чему способна выполнять обновление в пакетном режиме.
Имя учетной записи имеет вид Support_<iW>, где <id> — определенное число, например Support_388945aO. Прежде чем изменять встроенную учетную запись, обратите внимание на ее свойства и членство в группах: многие из них включены в несколько групп. Членство в группах предоставляет либо ограничивает доступ к системным ресурсам.
Так, будучи членом группы HelpServicesGroup, учетная запись Support, может пользоваться службой Help and Support. Помимо встроенных, в Windows XP есть специальные учетные записи (или псевдозаписи) для выполнения системных операций. Они доступны лишь в локальной системе, и их параметры нельзя изменить средствами администрирования пользователей. Кроме того, пользователи не могут войти в систему под этими учетным записям. Вот они.
• LocalSystem служит для запуска системных процессов и обработки задач в режиме ОС. Обладает правом Log on as a service (Вход в качестве службы). Большинство служб выполняется под этой учетной записью. Некоторым службам дается привилегия взаимодействия с рабочим столом. Службы, которым требуются дополнительные привилегии и права на вход в систему, запускаются под учетной записью LocalSystem или NetworkService; • LocalService служит для запуска служб, нуждающихся в дополнительных привилегиях и правах на вход в локальную систему. Службы, запускаемые под ней, по умолчанию получают право Log on as a service и привилегии Change the system time (Изменение системного времени) и Generate security audits (Создание журналов безопасности). Под этой записью запускаются службы Alerter (Оповещатель), Messenger (Служба сообщений), Remote Registry (Удаленный реестр), Smart card (Смарт-карты), Smart card helper (Модуль поддержки смарт-карт), SSDP discovery service (Служба обнаружения SSDP), TCP/IP NetBIOS Helper (Модуль поддержки NetBIOS через TCP/IP), Uninterruptible power supply (Источник бесперебойного питания) и WebClicnt (Веб-клиент); 158 Часть II Администрирование Microsoft Windows XP Professional • NetworkService служит для запуска служб, нуждающихся в дополнительных привилегиях и правах на вход в локальную систему и сеть. Как и в случае с LocalService, службы, запускаемые под этой записью, получают право Log on as a service и привилегии Change the system time и Generate security audits.
Вот эти службы: Distributed Transaction Coordinator (Координатор распределенных транзакций), DNS Client (DNS-клиент), Performance Logs and Alerts (Журналы оповещения и производительности) и Remote Procedure Call (RPC) Locator [Локатор удаленного вызова процедур (RPC)].
Основные сведения об учетных записях групп
Благодаря группам, в Windows XP можно предоставлять разрешения близким по типу пользователям, кроме того, упрощается управление учетными записями. Член группы, имеющей доступ к определенному ресурсу, также получает доступ к этому ресурсу. Таким образом, чтобы разрешить пользователю доступ к нужным ему ресурсам, достаточно ввести его в состав подходящей группы. Заметьте: в систему компьютера можно войти под учетной записью пользователя, но никак не группы. Так как имена групп в разных доменах Active Directory и рабочих группах могут совпадать, при обозначении групп часто применяют составные имена типа <имя_домена>\<имя_группы> или <рабочая_группа>\<имя__группы>, например Technology\Gmarketing — это группа GMarketing в домене (или рабочей группе) Technology.
В Windows XP три типа групп: • локальные группы (local groups) определены и используются на локальном компьютере; они создаются в оснастке Local Users and Groups (Локальные пользователи и группы). • группам безопасности (security groups) назначен дескриптор безопасности; такие группы создаются в домене средствами оснастки Active Directory Users and Computers (Пользователи и компьютеры Active Directory). • группы распространения (distribution groups) используются в качестве списка рассылки электронной почты; таким группам SID не назначаются; группы распространения создаются в домене средствами оснастки Active Directory Users and Computers. Управление доступом и глобальными параметрами Глава 6 159 Как и учетные записи пользователей, учетные записи групп идентифицируются по уникальным идентификаторам безопасности (SID). То есть после удаления и повторного создания учетной записи группы с тем же именем новая группа не наследует разрешения и привилегии «старой», так как получает другой SID.
Предоставляя дополнительные полномочия пользователю, его включают в одну или несколько следующих встроенных груп.
• Administrators (Администраторы) являются локальными администраторами и обладают полным доступом к рабочей станции. Они вправе создавать учетные записи, изменять состав групп, устанавливать принтеры, управлять общими ресурсами и пр. Следует очень осторожно подходить к включению новых пользователей в эту группу. • Backup Operators (Операторы архива) имеют право архивировать/восстанавливать файлы/каталоги на рабочей станции независимо от имеющихся у них прав па доступ к файлам. Примечание Операторы архива обладают привилегиями для выполнения особых административных задач, таких как архивирование и восстановление системных файлов. По умолчанию группа операторов пуста. Это нужно главным образом для того, чтобы указанные права выделялись явно и осознанно. • Guests (Гости) имеют очень ограниченные привилегии: опи получают удаленный доступ к системе и ее ресурсам, но большинство других задач им недоступно. • Network Configuration Operators (Операторы сетевой конфигурации) управляют сетевыми параметрами рабочей станции, а также обладают правом изменять параметры протокола TCP/IP (Transmission Control Protocol/Internet Protocol) и выполнять другие задачи по конфигурированию сети; • Power Users (Опытные пользователи) обладают, помимо привилегий, имеющихся у членов группы Users, дополнительными правами, позволяющими, в частности, изменять конфигурацию компьютера и устанавливать программы. Если вы считаете, что пользователям рабочей станции с Windows XP надо предоставить дополнительные возможности управления, Microsoft рекомендует включить их в эту группу, что позволит им выполнять ограниченный круг задач по администрированию своих рабочий станций. • Remote Desktop Users (Пользователи удаленного рабочего стола) вправе пойти в систему рабочей станции с другого компьютера средствами служб Terminal Services (Службы терминалов) и Remote Desktop (Удаленный рабочий стол). После входа права таких пользователей определяются тем, в какие еще группы они включены. Членам группы Administrators эта привилегия предоставляется автоматически (однако, чтобы администратор смог войти в систему рабочей станции, на ней надо разрешить вход с другого компьютера). • Users (Пользователи) — это основные пользователи рабочей станции с Windows XP. Поэтому у членов этой группы больше ограничений, чем привилегий: они могут локально входить на рабочую станцию, иметь локальный профиль, блокировать рабочую станцию и завершать работу ОС. Обычно для настройки доступа пользователей достаточно групп Users, Power Users и Administrators. Членство в них соответствует следующим конфигурациям учетных записей: Restricted User (Ограниченный доступ), Standard User (Обычный пользователь) или Other/Administrators (Другой/Администраторы).
Называется дожились! Вот в яше попал на предложение http://rentrealtycrimea.com/dlitelno/page/1/ - сдам недвижимость в Крыму Симферополь и обрадовался. Кстати забыл поздороваться! В общем сдам 1 комнатную квартиру Симферополь ,я просмотрел и осознал, что настоящая житуха только начинает свой путь – раз имеются такие помещения. Поэтому каждому советую сайт http://rentrealtycrimea.com с жильем в областном центре Симферополя.
Приветствую вас. Что лучше взять, Ноутбук, или планшетный компьютер, или00 нетбук? Мне нужно для работы. С одной стороны планшет удобнее, а с другой ноутбук мощнееhttp://tech-cold.net/ - ... Что лучше. Если можно, с примерами.
Однако интересную статью нарыл. Давайте делиться, кто станет новой вакциной вакцинироваться, кто традиционной, а кто например мыть нос (и рот, и попу) мылом :) Я же считаю засилье коммерческих "пугателей народаhttp://icc-concern.org/ - . Просто очередной тренд деградации с разных сторон - с одной нехорошие люди обманом хотят нажится, с другой многие не хотят повышать собственный уровень образованности, и слишком верят всему что демонстрируется по TV. www.supotnitskiy.ru/stat/stat63.htm
Здравствуйте! Опишу свою историю. У меня есть колонки Sven HT-435, но недавно они стали начали фонитьhttp://usbailbondsdirectory.com/ - . Если прислушаться, издает фон только савбуфер, и порой так сильно, что спать невозможно с самими же колонками все нормально. Менять аккустическую систему? Если да, то какую выбрать? Рекомендуют Nakatomi, насколько они хороши? Спасибо.
Главная 
