Встроенные группы пользователей в microsoft windows xp
Управление пользователями в Windows XP.
Как и в любой NT,Windows XP имеет механизм идентификации пользователей, и каждого пользователя можно ограничить в правах. На этих пользователях и их правах строится вся модель безопасности XP, как на локальной машине, так и в сети.
Нельзя защитить что-либо паролем, можно определить какие пользователи имеют право использовать тот или иной ресурс. Пользователей на одной машине может быть множество, и чтобы было проще ими управлять, пользователи разбиты на группы. Управление пользователями и группами осуществляется с помощью апплета Users Accounts в Control Panel. После установки системы образуется только два пользователя, один с правами администратора, который вы создали в процессе установки XP, и Guest, которые показаны в окне (на самом деле есть ещё несколько пользователей, например пользователь Administrator, но его не показывает в списке, и чтобы залогиниться им придётся идти на некоторые ухищрения). Если вы обладаете правами администратора, то можете добавить или удалить пользователя в этом окне, можете поменять пароль пользователя или пиктограмму соответствующую пользователю, поменять метод, который используется для входа в систему. Для этого надо выбрать пункт Change the way users log on and off. По умолчанию стоит Use the Welcome screen что означает, что для логона следует всего-навсего кликнуть по иконке из списка и ввести пароль. Если убрать галочку с этого пункта, то будет использоваться старый добрый метод входа знакомый по всем NT, с окном в котором предлагается ввести имя пользователя и пароль. Вы не можете использовать Welcome Screen если компьютер входит в домейн. Классический вход может быть двух видов, с требованием нажать Crtl+Alt+Del, и без оного. Для того чтобы это изменить, наберите в любой командной строке control userapasswords2. Откроется знакомое пользователям W2k окно
На второй закладке этого окна, Advanced, ставим или снимаем галочку в чекбоксе Require Users To Press Ctrl+Alt+Delete check box, расположенном в разделе Secure Logon.
На той же закладке можно нажать кнопку Advanced в разделе Advanced User Management, и запустить хорошо знакомый пользователям предыдущих ОС линейки NT апплет Local Users and Groups (ещё его можно запустить через Control Panel — Administrative Tools — Computer Management — Local Users and Groups ). Вы окажетесь в хорошо знакомом пользователям предыдущих ОС линейки NT апплете, в котором сможете добавить или удалить пользователей отредактировать уже существующих, поменять им группу, и т.д…
Кроме этого, некоторые настройки для пользователей, такие как время жизни пароля, конкретные права для различных групп, и некоторые другие настраиваются из апплета Local Security Setings из Administrative Tools.
Последнее, что хотелось бы отметить, это возможность и вовсе отключить необходимость в вводе пароля. Для этого вновь запускаем control userpasswords2, и снимаем галочку c users must enter a user name and password to use this computer. После этого пользователь выбранный в разделе Users for this computer: будет логиниться на компьютер сразу, минуя всякие формальности, вроде ввода паролей или кликанья на собственном имени.
Разберём ещё один вопрос,который частенько возникает у пользователей.Как залогиниться администратором?
Без лишних усилий администратором дают залогиниться только в Safe mode. Но, залогиниться им можно и в нормальном режиме. Самый простой способ, это не использовать Welcome screen. При обычном входе вводите имя пользователя (Administrator), пароль, и логинитесь. При использовании Welcome screen, когда выкинется окно с списком пользователей, дважды нажмите Ctrl+Alt+Del, и окажитесь в старом добром окне, где сможете ввести имя пароль. После того, как залогинитесь Administrator’ом, можете удалить всех пользователей с правами администратора, и тогда вы будете грузится administrator’ом всегда по умолчанию. Ещё одним способом, является конфигурирование окна User Accounts (control userapasswords2) на автоматическую загрузку администратора.
Группы и пользователи Windows
Классификация операционных систем.
Основные и дополнительные функции операционных систем.
Операционные системы
Операционная система. Операционная система – программа, которая загружается при включении компьютера. Она осуществляет диалог с пользователем, управление компьютером, его ресурсами (оперативной памятью, местом на дисках и т.д.), запускает другие (прикладные) программы на выполнение. Операционная система обеспечивает пользователю удобный способ общения (интерфейс) с устройствами компьютера. В настоящем учебном пособии рассматривается ОС Windows.
Windows представляет собой программу графического пользовательского интерфейса, разработанную фирмой Microsoft. Графический интерфейс ОС Windows обеспечивает:
Интерфейс с пользователем, создающий у него эффект работы за рабочим столом с папками, документами, электронной почтой, калькулятором, записной книжкой и т.д.;
Управление ресурсами компьютера;
Планирование выполнения задач в мнозадачном и многооконном режиме.
Windows оперирует с объектами обычными для пользователя:
Папка – множество документов;
Рабочий стол – среда расположении папок и документов, с которыми пользователь в настоящий момент работает;
Окно – раскрытая папка или документ;
Задача – множество раскрытых папок или документов в процессе обработки прикладной программы;
Ярлык – кнопка для быстрого вызова задачи, папки или документа на рабочий стол.
Набор средств, с помощью которых вы взаимодействуете с операционной системой называется интерфейсом пользователя. В это понятие входят окна и пиктограммы, а также все операции, выполняющиеся через позиционирование курсора мыши на пиктограмме или окне. Для выполнения операции в Windows вам достаточно указать курсором мыши на тот или иной пункт.
Операционные системы могут быть классифицированы по базовой технологии (Юникс-подобные или подобные Windows), типу лицензии (проприетарная или открытая), развивается ли в настоящее время (устаревшие DOS и NextStep или современные GNU/Linux и Windows), для рабочих станций (DOS, Apple), или для серверов (AIX), ОС реального времени и встроенные ОС (VxWorks, QNX), PDA, или специализированные (управление производством, обучение, и т. п.).
Единой классификации операционных систем нет, но в зависимости от разных факторов-критериев все OS можно разделить на классы. Наиболее важными классами являются:
• Client / Server
• бесплатные / платные
• версия оригинальная / локализованная
• интерфейс Text Mode / Graphic Mode
• архитектура 16-bit / 32-bit / 64-bit
• объем большой / маленький
• версия сетевая / псевдо-сетевая & локальная
• память процесса с защитой / без защиты
• загрузка программы экономная / не экономная
• однозадачные / многозадачные
• однопользовательские / многопользовательские
• стабильная / нестабильная
• virus friendly / no virus friendly
Папка Пользователи отображает две встроенные учетные записи пользователей — Администратор и Гость, которые создаются автоматически при установке Wundows XP, а также все созданные учетные записи пользователей.
Учетная запись Администратор используется при первой установке операционной системы. Эта учетная запись позволяет выполнять необходимые действия до того, как пользователь создаст свою собственную учетную запись. Учетную запись «Администратор» нельзя удалить, отключить или вывести из локальной группы Администраторы, благодаря чему исключается возможность случайной потери доступа к компьютеру после уничтожения всех учетных записей администраторов. Это свойство отличает учетную запись «Администратор» от остальных членов локальной группы «Администраторы».
Учетная запись Гость используется теми, кто не имеет реальной учетной записи на компьютере. Если учетная запись пользователя отключена (но не удалена), он также может воспользоваться учетной записью «Гость». Учетная запись гостя не требует пароля. По умолчанию она отключена, но ее можно включить.
Чтобы добавить учетную запись нового пользователя, щелкните правой кнопкой мыши на папке Пользователи и выберите из выпадающего меню команду Новый пользователь. В открывшемся окне введите данные для создания новой учетной записи. Чтобы удалить учетную запись пользователя, щелкните правой кнопкой мыши на названии учетной записи в правом окне программы и выберите из выпадающего меню Удалить.
Также для конкретной учетной записи можно назначить путь к профилю и сценарию входа (подробнее смотрите в справке).
В папке Группы отображаются все встроенные группы и группы, созданные пользователем. Встроенные группы создаются автоматически при установке Windows XP. Принадлежность к группе предоставляет пользователю права и возможности для выполнения различных задач на компьютере. Далее рассмотрены свойства некоторых встроенных групп:
Рекомендуется использовать административный доступ только для выполнения следующих действий:
установки операционной системы и ее компонентов (например драйверов устройств, системных служб и так далее);
установки пакетов обновления;
обновления операционной системы;
восстановления операционной системы;
настройки важнейших параметров операционной системы (политики паролей, управления доступом, политики аудита, настройки драйверов в режиме ядра и так далее);
вступления во владение файлами, ставшими недоступными;
управления журналами безопасности и аудита;
архивирования и восстановления системы.
На практике учетные записи администраторов часто должны использоваться для установки и запуска программ, написанных для предыдущих версий Windows.
Опытные пользователи могут:
выполнять приложения, сертифицированные для Windows 2000 и Windows XP Professional, а также устаревшие приложения;
устанавливать программы, не изменяющие файлы операционной системы, и системные службы;
настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления;
создавать и управлять локальными учетными записями пользователей и групп;
останавливать и запускать системные службы, не запущенные по умолчанию.
Опытные пользователи не могут добавлять себя в группу «Администраторы». Они не имеют доступа к данным других пользователей на томе NTFS, если соответствующие разрешения этих пользователей не получены. Поскольку опытные пользователи могут устанавливать и изменять программы, работа под учетной записью группы «Опытные пользователь» при подключении к Интернету может сделать систему уязвимой для троянских коней и других программ, угрожающих безопасности.
Для того, чтобы добавить учетную запись пользователя в ту или иную группу, щелкните правой кнопкой мыши на названии группы и из выпадающего меню выберите Добавить в группу.
Более подробную справку по выполнению этих и других задач, связанных с учетными записями пользователей и групп, а также более полное описание учетных записей пользователей и групп читайте в справке оснастки «Локальные пользователи и группы».
Группы и пользователи Windows
В операционной системе Windows XP на одном и том же компьютере могут работать разные пользователи, каждый под своим именем. При входе в ОС запрашиваются имя и пароль, на основе которых происходит аутентификация пользователя.
Windows XP использует три типа учетных записей пользователей:
Локальные учетные записи для регистрации пользователей локального компьютера. База локальных учетных записей хранится на каждом компьютере своя, и содержит информацию о пользователях только данного компьютера. Создаются учетные записи администратором этого компьютера.
Встроенные учетные записи пользователей создаются автоматически при установке Windows XP. Встроенных учетных записей две — Администратор и Гость. Встроенные учетные записи хранятся в той же базе, что и локальные учетные записи.
Учетные записи пользователей домена хранятся на выделенном сервере и содержат данные о пользователях локальной сети.
Домен или глобальные пользователи и группы управляются сетевым администратором. Имеется возможность добавить локальных пользователей, глобальных пользователей и глобальные группы в локальные группы. Однако невозможно добавить локальных пользователей и локальные группы в глобальные группы.
Пользователи и группы важны для безопасности Windows XP поскольку позволяют ограничить возможность пользователей и групп выполнять определенные действия путем назначения им прав и разрешений. Право дает возможность пользователю выполнять на компьютере определенные действия, такие как архивирование файлов и папок или завершение работы компьютера. Разрешение представляет собой правило, связанное с объектом (например, файлом, папкой или принтером), которое определяет, каким пользователям и какого типа доступ к объекту разрешен.
Операционная система содержит несколько встроенных учетных записей пользователей и групп, которые не могут быть удалены:
Учетная запись администратора
Учетная запись пользователя с именем «Администратор» используется при первой установке рабочей станции или рядового сервера. Она позволяет выполнять необходимые действия до того, как пользователь создаст свою собственную учетную запись. ЕЕ нельзя удалить, отключить или вывести из группы администраторов, что исключает возможность случайной потери доступа к компьютеру после уничтожения всех учетных записей администраторов. Это свойство отличает пользователя «Администратор» от остальных членов локальной группы «Администраторы».
Учетная запись гостя
Учетная запись гостя предназначена для тех, кто не имеет реальной учетной записи на компьютере. Если учетная запись пользователя отключена (но не удалена), он также может воспользоваться учетной записью «Гость». Учетная запись гостя не требует пароля. По умолчанию она отключена, но ее можно включить. Учетной записи пользователя «Гость», как и любой другой учетной записи, можно предоставлять права и разрешения на доступ к объектам.
К стандартным группам Windows XP относятся следующие группы:
Администраторы. Пользователи, входящие в группу «Администраторы», имеют полный доступ на управление компьютером. Это единственная встроенная группа, которой автоматически предоставляются все встроенные права и возможности в системе. По умолчанию туда входит учетная запись «Администратор».
Операторы архива. Члены группы «Операторы архива» могут архивировать и восстанавливать файлы на компьютере, независимо от всех разрешений, которыми защищены эти файлы, входить на компьютер и выключать его, но не могут изменять параметры безопасности.
Опытные пользователи.Члены группы опытных пользователей могут:создавать учетные записи пользователей, изменять и удалять только созданные ими учетные записи, создавать локальные группы и удалять пользователей из локальных групп, которые они создали. удалять пользователей из групп «Опытные пользователи», «Пользователи» и «Гости». Они не могут: изменять группы «Администраторы» и «Операторы архива»,являться владельцами файлов, выполнять архивирование и восстановление каталогов,загружать и выгружать драйверы устройств или управлять журналами безопасности и аудита.
Пользователи.Члены группы пользователей могут выполнять запуск приложений, использование локальных и сетевых принтеров, завершение работы и блокировка рабочих станций, создавать локальные группы, но изменять могут только те, которые они создали. Они не могут организовывать общий доступ к каталогам или создавать локальные принтеры. «Пользователи» предоставляет самую безопасную среду для выполнения программ.
Гости. Группа «Гости» позволяет случайным или разовым пользователям войти в систему со встроенной учетной записью гостя рабочей станции и получить ограниченные возможности. Члены группы «Гости» могут только прекратить работу компьютера.
Управление учетными записями пользователей и группами осуществляется пользователями, входящими в группу Администраторы.
Группы пользователей в Windows — локальные пользователи и группы
Это первая из двух статей, посвященных группам пользователей в Windows. Сегодня поговорим о локальных пользователях и группах, вторая статья будет посвящена группам в Active Directory.
Как и операционные системы семейства Linux, операционные системы Windows также поддерживают объединение пользователей в группы. Это позволяет удобно управлять пользовательскими правами. На каждом компьютере с Windows существуют локальные группы, присутствие или отсутствие пользователей в которых определяет права, которыми наделены пользователи.
По умолчанию в Windows уже есть перечень групп, в которые могут входить как учётные записи пользователей, так и другие группы. Хотя в заголовке этой статьи говорится о локальных пользователях и группах, в локальные группы могут входить и доменные учётные записи и группы. Различные программы могут добавлять свои группы. Создать новую группу может и пользователь, наделённый правами локального администратора. Рассмотрим основные группы в Windows.
Посмотреть перечень существующий в системе групп можно через консоль Управление компьютером. Она находится в Панели управления, раздел Администрирование.
Администраторы — группа локальных администраторов, способных управлять конкретным компьютером. Локальные администраторы не являются администраторами домена;
Администраторы Hyper-V — группа пользователей, имеющий полный доступ к функциям Hyper-V. Не являются локальными администраторами и администраторами домена;
Гости — по умолчанию члены этой группы имеют те же права, что и пользователи, за исключением учетной записи Гость, которая ещё больше ограничена в правах;
Операторы архива — имеют права на создание резервных копий и восстановления из них даже тех объектов, к которым не имеют доступа;
Операторы настройки сети — имеют административные права для настройки сетевых параметров операционной системы;
Опытные пользователи — на текущий момент оставлена для совместимости с предыдущими версиями Windows. Может быть использована для разграничения прав пользователей. Например, если одним пользователям на компьютере нужно больше прав, чем другим;
Пользователи — основная пользовательская группа. Пользователи могут изменять крайне ограниченное число настроек, но, как правило, могут запускать большинство приложений в системе;
Пользователи DCOM — члены этой группы могут запускать, активизировать и использовать объекты DCOM;
Пользователи журналов производительности — по функционалу похожа на группу Пользователи системного монитора, но имеет куда больший доступ к Системному монитору, который позволяет отследить использование ресурсов компьютера;
Пользователи удаленного рабочего стола — состоящие в данной группе пользователи могут подключаться к указанному компьютеру через удалённый рабочий стол;
Читатели журнала событий — входящие в эту группу пользователи могут просматривать журналы событий компьютера;
IIS_IUSRS — группа, появившаяся в IIS 7.0 как замена группе IIS_WPG. Операционная система автоматически заносит в данную группу учётные записи, когда они назначаются в качестве удостоверения для пула приложений. Как правило, эта группа не требует действий со стороны администратора.
Просмотреть содержимое групп могут и пользователи, а вот для работы с ними нужно быть администратором. Откройте интересующую вас группу. Вы увидите её описание, содержимое (группы могут включать в себя не только пользователей, но и другие группы) и кнопки Добавить и Удалить. С их помощью мы и можем управлять членством в группе.
Допустим, что мы хотим добавить в группу нового пользователя (или группу пользователей). Нажимаем кнопку Добавить и видим окно добавления пользователя или группы.
Если вы знаете имя пользователя/группы, просто введите его в большое поле и нажмите Проверить имена. Обратите внимание также на кнопки Типы объектов и Размещение. Нажав на первую, можно выбрать объекты, которым мы ищем. Нажав на вторую, указать место поиска объектов (локальный компьютер или домен). Внизу ещё есть кнопка Дополнительно, она открывает окно с более удобным интерфейсом поиска.
Даже если вы не знаете имя пользователя/группы, вы можете указать место поиска, а потом просто нажать кнопку Поиск, чтобы посмотреть список имеющихся пользователей и групп.
Удалить пользователя/группу из группы ещё проще. Просто откройте свойства интересующей вас группы, выделите пользователя/группу и нажмите кнопку Удалить.
Помните: изменять членство в группах нужно только тогда, когда вы понимаете, что делаете. В противном случае это может сказаться на работоспособности системы или отдельных программ в ней. Кроме того, раздавая права всем подряд, вы можете спровоцировать инциденты, относящиеся к области информационной безопасности.
Что ещё можно сделать с группами? Щёлкнем по группе правой кнопкой мыши, чтобы вызвать контекстное меню (альтернатива — выделить группу и открыть меню Действие).
Как видим, группу ещё можно переименовать и удалить. Естественно, можно создать и новую группу. Для этого, не выделяя никакую из существующих групп, либо воспользуйтесь меню Действие → Создать группу, либо щёлкните правой кнопкой мыши по пустой области, чтобы вызвать контекстное меню с этим пунктом.
Создание группы в Windows.
Введите название группы, описание, чтобы другим пользователям было удобнее понимать для чего эта группа (или чтобы самому потом не забыть), наполните группу пользователями/группами и нажмите кнопку Создать.
Как видите, наша группа появилась в перечне групп.
Теперь поговорим о том, для чего можно использовать группы в Windows. Как уже было сказано, главное предназначение групп — разграничение прав в системе. Для нас важно понимать как группы используются для назначения прав на уровне файловой системы.
Группы позволяют гибко настраивать права на файлы и каталоги. В конечном счёте, таким образом мы можем определять, кому разрешено запускать исполняемые файлы (а значит и программы), кто может добавлять, удалять, читать файлы в папках. Это может быть не так важно на домашнем компьютере, где небольшое число пользователей. А вот в корпоративном сегменте важно.
Если в организации несколько структурных подразделений, которым требуются разные права, выдавать права каждому пользователю утомительно. Проще объединять пользователей в группы и выдавать права группе.
Добавим разрешения на каталог primer для нашей только что созданной группы. Можно нажать кнопку Изменить, а можно Дополнительно. Второй способ более гибкий, поэтому лучше использовать его.
Нажмите кнопку Добавить.
Сперва нужно выбрать субъект, на который будут распространяться новые права.
Впишите название группы и нажмите кнопку Проверить имена.
Теперь можно выбрать, хотим мы установить разрешающее правило или запрещающее, будет ли оно применяться к подпапкам и файлам, а также суть даваемых разрешений или запретов.
Наша группа появилась в перечне других групп, которым даны разрешения на этот каталог. Не забудьте нажать Применить для сохранения настроек.
Итак, мы познакомились с локальными группами в Windows. Во второй статье о группах в Windows мы поговорим про группы в Active Directory.