Создание локальных групп
Создание локальных групп и включение в них участников
Локальные группы создаются на индивидуальных компьютерах, чтобы упростить управление правами пользователей, которые подключаются локально, а не к домену. Для создания локальной группы вам нужно войти на нужный компьютер локально или удаленно. После этого вы можете создавать необходимые локальные группы командой NET LOCALGROUP.
Вы можете создать локальную группу, просто введя имя команды, имя группы и параметр /Add:
net localgroup localDevs /add
Здесь вы создаете группу localDevs на локальном компьютере. При желании можно воспользоваться параметром /Comment для добавления описания группы, например:
net localgroup localDevs /comment:»Local Developers» /add
Если создание учетной записи группы прошло успешно, команда NET LOCALGROUP сообщит «Command Completed Successfully». А если возникнут проблемы с созданием учетной записи, NET LOCALGROUP просто выведет подсказку по синтаксису команды. В таком случае проверьте правильность команды.
Создавая локальную группу, вы можете указать и список локальных учетных записей пользователей, которые должны быть членами этой группы. Список имен должен следовать за именем группы, например:
net localgroup localDevs user1 user2 /add
В данном случае вы создаете группу localDevs и добавляете в нее пользователей user1 user2.
Вы можете добавить членов локальной группы и после ее создания. Синтаксис команды совпадает с тем, которым вы пользовались при создании группы. Например, вы создали группу custSupport командой:
net localgroup custSupport /add
Тогда впоследствии можете добавить пользователей в группу так:
net localgroup custSupport user1 user2 /add
Здесь вы добавляете пользователей user1 user2 в группу custSupport.
Это первая из двух статей, посвященных группам пользователей в Windows. Сегодня поговорим о локальных пользователях и группах, вторая статья будет посвящена группам в Active Directory.
Как и операционные системы семейства Linux, операционные системы Windows также поддерживают объединение пользователей в группы. Это позволяет удобно управлять пользовательскими правами. На каждом компьютере с Windows существуют локальные группы, присутствие или отсутствие пользователей в которых определяет права, которыми наделены пользователи.
По умолчанию в Windows уже есть перечень групп, в которые могут входить как учётные записи пользователей, так и другие группы. Хотя в заголовке этой статьи говорится о локальных пользователях и группах, в локальные группы могут входить и доменные учётные записи и группы. Различные программы могут добавлять свои группы. Создать новую группу может и пользователь, наделённый правами локального администратора. Рассмотрим основные группы в Windows.
Посмотреть перечень существующий в системе групп можно через консоль Управление компьютером. Она находится в Панели управления, раздел Администрирование.
Администраторы — группа локальных администраторов, способных управлять конкретным компьютером. Локальные администраторы не являются администраторами домена;
Администраторы Hyper-V — группа пользователей, имеющий полный доступ к функциям Hyper-V. Не являются локальными администраторами и администраторами домена;
Гости — по умолчанию члены этой группы имеют те же права, что и пользователи, за исключением учетной записи Гость, которая ещё больше ограничена в правах;
Операторы архива — имеют права на создание резервных копий и восстановления из них даже тех объектов, к которым не имеют доступа;
Операторы настройки сети — имеют административные права для настройки сетевых параметров операционной системы;
Опытные пользователи — на текущий момент оставлена для совместимости с предыдущими версиями Windows. Может быть использована для разграничения прав пользователей. Например, если одним пользователям на компьютере нужно больше прав, чем другим;
Пользователи — основная пользовательская группа. Пользователи могут изменять крайне ограниченное число настроек, но, как правило, могут запускать большинство приложений в системе;
Пользователи DCOM — члены этой группы могут запускать, активизировать и использовать объекты DCOM;
Пользователи журналов производительности — по функционалу похожа на группу Пользователи системного монитора, но имеет куда больший доступ к Системному монитору, который позволяет отследить использование ресурсов компьютера;
Пользователи удаленного рабочего стола — состоящие в данной группе пользователи могут подключаться к указанному компьютеру через удалённый рабочий стол;
Читатели журнала событий — входящие в эту группу пользователи могут просматривать журналы событий компьютера;
IIS_IUSRS — группа, появившаяся в IIS 7.0 как замена группе IIS_WPG. Операционная система автоматически заносит в данную группу учётные записи, когда они назначаются в качестве удостоверения для пула приложений. Как правило, эта группа не требует действий со стороны администратора.
Просмотреть содержимое групп могут и пользователи, а вот для работы с ними нужно быть администратором. Откройте интересующую вас группу. Вы увидите её описание, содержимое (группы могут включать в себя не только пользователей, но и другие группы) и кнопки Добавить и Удалить. С их помощью мы и можем управлять членством в группе.
Допустим, что мы хотим добавить в группу нового пользователя (или группу пользователей). Нажимаем кнопку Добавить и видим окно добавления пользователя или группы.
Если вы знаете имя пользователя/группы, просто введите его в большое поле и нажмите Проверить имена. Обратите внимание также на кнопки Типы объектов и Размещение. Нажав на первую, можно выбрать объекты, которым мы ищем. Нажав на вторую, указать место поиска объектов (локальный компьютер или домен). Внизу ещё есть кнопка Дополнительно, она открывает окно с более удобным интерфейсом поиска.
Даже если вы не знаете имя пользователя/группы, вы можете указать место поиска, а потом просто нажать кнопку Поиск, чтобы посмотреть список имеющихся пользователей и групп.
Удалить пользователя/группу из группы ещё проще. Просто откройте свойства интересующей вас группы, выделите пользователя/группу и нажмите кнопку Удалить.
Помните: изменять членство в группах нужно только тогда, когда вы понимаете, что делаете. В противном случае это может сказаться на работоспособности системы или отдельных программ в ней. Кроме того, раздавая права всем подряд, вы можете спровоцировать инциденты, относящиеся к области информационной безопасности.
Что ещё можно сделать с группами? Щёлкнем по группе правой кнопкой мыши, чтобы вызвать контекстное меню (альтернатива — выделить группу и открыть меню Действие).
Как видим, группу ещё можно переименовать и удалить. Естественно, можно создать и новую группу. Для этого, не выделяя никакую из существующих групп, либо воспользуйтесь меню Действие → Создать группу, либо щёлкните правой кнопкой мыши по пустой области, чтобы вызвать контекстное меню с этим пунктом.
Введите название группы, описание, чтобы другим пользователям было удобнее понимать для чего эта группа (или чтобы самому потом не забыть), наполните группу пользователями/группами и нажмите кнопку Создать.
Как видите, наша группа появилась в перечне групп.
Теперь поговорим о том, для чего можно использовать группы в Windows. Как уже было сказано, главное предназначение групп — разграничение прав в системе. Для нас важно понимать как группы используются для назначения прав на уровне файловой системы.
Группы позволяют гибко настраивать права на файлы и каталоги. В конечном счёте, таким образом мы можем определять, кому разрешено запускать исполняемые файлы (а значит и программы), кто может добавлять, удалять, читать файлы в папках. Это может быть не так важно на домашнем компьютере, где небольшое число пользователей. А вот в корпоративном сегменте важно.
Если в организации несколько структурных подразделений, которым требуются разные права, выдавать права каждому пользователю утомительно. Проще объединять пользователей в группы и выдавать права группе.
Добавим разрешения на каталог primer для нашей только что созданной группы. Можно нажать кнопку Изменить, а можно Дополнительно. Второй способ более гибкий, поэтому лучше использовать его.
Нажмите кнопку Добавить.
Сперва нужно выбрать субъект, на который будут распространяться новые права.
Впишите название группы и нажмите кнопку Проверить имена.
Теперь можно выбрать, хотим мы установить разрешающее правило или запрещающее, будет ли оно применяться к подпапкам и файлам, а также суть даваемых разрешений или запретов.
Наша группа появилась в перечне других групп, которым даны разрешения на этот каталог. Не забудьте нажать Применить для сохранения настроек.
Итак, мы познакомились с локальными группами в Windows. Во второй статье о группах в Windows мы поговорим про группы в Active Directory.
Вычислительные
системы, сети и телекоммуникации
Лекция
12
Пользователи
и группы
Группы Windows
2003/XP
Основным инструментом для управления
возможностями пользователей в Windows
2003 является понятие группы. Под
группой понимается набор учетных записей
пользователей. Использование групп
упрощает управление ресурсами системы,
когда права и разрешения присваиваются
не одному, а сразу нескольким пользователям.
Права (rights) дают возможность
выполнять системную задачу, т.е. создавать
новых пользователей или изменять
системное время.
Группы используются для объединения
учетных записей пользователей, учетных
записей компьютеров и учетных записей
групп в управляемые элементы. Использование
групп позволяет упростить обслуживание
и администрирование сети.
В настоящее время в доменах Windows
известны группы распространения и
группы безопасности. Основным инструментом
управления возможностями пользователей
в Windows 2003
является понятие группы:
-
локальной,
-
глобальной,
-
встроенной
-
системной.
Такое разделение типов групп появляется
в продуктах Микрософт, начиная с Windows
2000 и характерно для Active
Directory.
В Active Directory
группы распространения могут быть
использованы для создания списков
рассылки электронной почты, а группы
безопасности — для задания
разрешений на использование общих
ресурсов. Если группа создается для
контроля доступа к общим ресурсам, эта
группа должна быть только группой
безопасности. При грамотном
использовании группы безопасности
обеспечивают эффективное управление
доступом к ресурсам сети.
Группы безопасности могут быть локальные,
глобальные и системные.
Встроенные локальные и глобальные
группы порождаются при инсталляции
СОС, другие создаются пользователями
в зависимости от задач, которые те
выполняют. Состав этих групп может
изменяться, т.е. пользователи могут
включать и удалять соответствующие
бюджеты пользователей в группы.
Состав
и членство системных групп устанавливается
в момент инсталляции СОС и изменяется
только системой.
Таблица 12_1. Характеристики
групп
Название |
Стандартные члены |
Назначение |
Основной режим домена |
||
Локальная группа домена |
Любые учетные |
Доступ к ресурсам одного домена |
Глобальная группа |
Учетные |
Организация пользователей с одинаковыми |
Универсальная группа |
Любые учетные |
Доступ к ресурсам нескольких доменов |
Смешанный режим домена |
||
Локальная группа домена |
Любые учетные |
Доступ к ресурсам одного домена |
Глобальная группа |
Учетные |
Организация пользователей с одинаковыми |
Универсальная группа |
недоступны |
______ |
Локальные группы содержат
набор учетных записей на локальном
компьютере и предоставляют доступ к
ресурсам именно этого компьютера.
Windows 2000-2003 создает локальные
группы в локальной базе данных
безопасности. Локальные группы бывают
доменные и изолированные. Созданные на
локальном компьютере изолированные
группы не отображаются в Active
Directory. Локальные
группы домена создаются в хранилище
Active Directory
и используются всеми контроллерами
домена. Локальной группе домена можно
предоставить разрешения к любому ресурсу
на контроллерах домена.
На контроллере домена 2000-2003 порождаются
следующие доменные встроенные
локальные группы:
-
простые пользователи Users;
-
гости Guests;
-
репликаторы Replicator;
-
операторы архива Backup
operators; -
администраторы Administrators;
-
операторы бюджетов
Account Operators; -
операторы печати
Print Operators; -
операторы сервера
Server Operators; -
клиенты младших версий Pre_Windows.
Состав локальных встроенных групп
домена и их свойства доступны в оснастке
Active Directory
Users and
Computers
Built—in
(рис. 12_1).
Рис. 12_1. Встроенные локальные группы в
оснастке Active Directory
Windows Server 2003
Локальная
группа домена используется для разрешения
доступа к ресурсам. Эти группы обладают
открытым членством, т.е. в нее можно
добавлять членов из любого домена, а
разрешить доступ только к ресурсам
домена, где она была создана.
При создании домена создаются встроенные
глобальные группы в Active
Directory. Чтобы присвоить
глобальной группе права, ее нужно
включить в локальную встроенную группу
или сделать явное назначение. К наиболее
распространенным глобальным встроенным
группам относятся (рис. 12_2):
-
администраторы домена Domain Admins;
-
пользователи домена Domain Users;
-
гости домена Domain Guests;
-
администраторы сети в масштабе
предприятия Enterprise
Admins.
Глобальная группа обладает ограниченным
членством, т. е. в нее можно добавлять
пользователей лишь из того домена, где
она была создана. Но доступ к ресурсам
для нее возможен в любом домене.
Рис.12_2.
Глобальные группы и пользователи домена
При инсталляции, на рабочих станциях
по умолчанию создаются десять встроенных
изолированных локальных групп
(рис.12_3):
На рабочих станциях порождаются следующие
встроенные локальные группы:
-
Гости
-
Пользователи
-
Опытные пользователи
-
Администраторы
-
Операторы архива
-
Репликатор
-
Пользователи удаленного рабочего стола
-
Операторы настройки сети
-
Отладчики
-
Центр справки и поддержки
Встроенные локальные группы отображаются
в оснастке Computer Management
в окне Groups. Изначально,
в них нет никаких членов, кроме стандартных.
Возможности этих групп представлены в
таблице 12_2.
Рис. 12_3. Встроенные
локальные группы Windows Professional
Для
создания новых локальных групп
используется оснастка Computer
Management
. При создании новой локальной группы
вводится имя, описание (рис. 4) и добавляются
новые члены группы.
Гости
Группа
«Гости» позволяет случайным или разовым
пользователям войти в систему со
встроенной учетной записью гостя рабочей
станции и получить ограниченные
возможности. Члены группы «Гости» могут
только завершить работу системы на
рабочей станции.
Пользователи
Группа «Пользователи» является наиболее
безопасной, поскольку разрешения по
умолчанию, предоставленные этой группе,
не позволяют пользователям изменять
параметры операционной системы или
данные других пользователей. Группа
«Пользователи» предоставляет самую
безопасную среду для выполнения программ.
На томе с файловой системой NTFS параметры
безопасности по умолчанию только что
установленной (не обновленной) системы
разработаны, чтобы предотвратить
нарушение целостности операционной
системы и установленных программ членами
этой группы
Участники группы «Пользователи»
могут:
-
гарантированно запускать
только сертифицированные для Windows
приложения (т.е. для Windows 2000,
Windows XP Professional; или системы из
семейства Windows Server 2003,
проходящие проверку на соответствие
требованиям Windows, установленные
или развернутые администраторами) -
выключать и блокировать
рабочие станции, но не серверы -
имеют полный доступ к своим
файлам данных и своей части реестра
(HKEY_CURRENT_USER)
Члены
этой группы не могут
-
организовывать
общий доступ к каталогам -
создавать
локальные принтеры. -
изменять
параметры реестра на уровне системы,
файлы операционной системы или программы.
Несмотря на то, что по умолчанию
пользователи имеют право создавать
новые локальные группы, но в данной
конфигурации такой возможности у них
нет.
Члены
группы «Пользователи» ориентированы
на выполнение наиболее распространенные
задачи, т.е. запуск офисных приложений,
использование локальных и сетевых
принтеров для печати документов,
завершение работы и блокировка рабочих
станций и т.д.
Опытные пользователи
Эта группа поддерживается,
в основном, для совместимости с предыдущими
версиями операционных систем для
выполнения не сертифицированных
приложений и управления локальными
ресурсами рабочей станции. Разрешения
по умолчанию, предоставленные этой
группе, позволяют членам группы изменять
параметры компьютера. Если необходима
поддержка не сертифицированных
приложений, конечные пользователи
должны быть членами группы «Опытные
пользователи».
Члены группы «Опытные
пользователи» имеют больше разрешений,
чем члены группы «Пользователи»,
и меньше, чем члены группы «Администраторы».
Опытные пользователи могут выполнять
любые задачи операционной системой,
кроме задач, зарезервированных для
группы «Администраторы».
Опытные пользователи могут:
-
выполнять приложения,
сертифицированные для Windows
2000 и Windows
XP Professional,
а также устаревшие и не сертифицированные
приложения; -
устанавливать программы,
не изменяющие файлы операционной
системы, и системные службы; -
настраивать ресурсы на
уровне системы, включая принтеры, дату
и время, параметры электропитания и
другие ресурсы панели управления; -
создавать и управлять
локальными учетными записями пользователей
и групп; -
останавливать и запускать
системные службы, не запущенные по
умолчанию.
Опытные пользователи не могут
-
добавлять себя в группу «Администраторы».
-
изменять системные файлы и службы
-
не имеют
доступа к данным других пользователей
на томе NTFS, если соответствующие
разрешения этих пользователей не
получены.
В силу того, что опытные
пользователи могут устанавливать и
изменять программы, работа под учетной
записью группы «Опытные пользователь»
при подключении к Интернету может
сделать систему уязвимой для троянских
коней и других программ, угрожающих
безопасности.
Администраторы
Членство в этой группе по умолчанию
предоставляет самый широкий набор
разрешений и возможность изменять
собственные разрешения. Администраторы
имеют полные, ничем неограниченные
права доступа к рабочей станции.
Рекомендуется использовать административный
доступ только для выполнения следующих
действий:
-
установки операционной системы и ее
компонентов (например, драйверов
устройств, системных служб и так далее); -
установки пакетов обновления;
-
обновления операционной системы;
-
восстановления операционной системы;
-
настройки важнейших параметров
операционной системы (политики паролей,
управления доступом, политики аудита,
настройки драйверов в режиме ядра и
так далее); -
вступления во владение файлами, ставшими
недоступными; -
управления журналами безопасности и
аудита; -
архивирования и восстановления системы.
На практике учетные записи администраторов
часто должны использоваться для установки
и запуска программ, написанных для
предыдущих версий Windows.
Работа в Windows XP в качестве
администратора делает систему уязвимой
для троянских коней и других программ,
угрожающих безопасности. Простое
посещение веб-узла может очень сильно
повредить систему. На не знакомом
веб-узле может находиться троянская
программа, которая будет загружена в
систему и выполнена. Если в это время
находиться в системе с правами
администратора, такая программа может
переформатировать жесткий диск, стереть
все файлы, создать новую учетную запись
пользователя с административным доступом
и т. д.
Операторы
архива
Члены
этой группы могут архивировать и
восстанавливать файлы на компьютере
независимо от всех разрешений, которыми
защищены эти файлы. Они могут также
входить в систему и завершать работу
компьютера, но не могут изменять параметры
безопасности. Для архивирования и
восстановления файлов данных и системных
файлов требуются разрешения на чтение
и запись. Разрешения по умолчанию для
операторов архива, позволяющие им
архивировать и восстанавливать файлы,
делают для них возможным использование
разрешений группы для других целей,
например для чтения файлов других
пользователей и установки программ с
троянскими вирусами.
Пользователи
удаленного рабочего стола
Члены
этой группы имеют право на выполнение
удаленного входа в систему.
В
остальном они обладают теми же
возможностями, что и члены группы
«Пользователи»
Операторы
настройки сети
Члены этой группы могут
иметь некоторые административные права
для управления настройкой сетевых
параметров.
Для
того чтобы добавить учетную запись
пользователя в ту или иную группу,
щелкните правой кнопкой мыши на названии
группы и из выпадающего меню выберите.
Добавить в группу. Более подробную
справку по выполнению этих и других
задач, связанных с учетными записями
пользователей и групп, а так же более
полное описание учетных записей
пользователей и групп читайте в справке
оснастки «Локальные пользователи и
группы».
Репликатор
Группа
«Репликатор» поддерживает функции
репликации каталога. Только член этой
группы может иметь учетную запись
пользователя домена, которая используется
для входа в систему службы репликации
контроллера домена. Пароль такой учетной
записи не задается. Не рекомендуется
добавлять в эту группу учетные записи
реальных пользователей.
Помимо рассмотренных встроенных
локальных и глобальных групп, в Windows
2000 существуют еще встроенные
системные группы, состав которых
регулировать нельзя (так как к ним
принадлежит любой бюджет, использующий
компьютер определенным образом), а
назначать полномочия доступа на объекты
(например, файлы), можно. К наиболее
распространенным встроенным системным
группам относятся:
Соседние файлы в папке Lekcii
- #
22.08.2013871 б18.listing
- #
- #
- #
- #
- #
- #
- #
- #
- #
Оснастка “Локальные пользователи и группы” предназначена для создания новых пользователей и групп, управления учетными записями, задания и сброса паролей пользователей
В одной из своих статей я уже писал о том, что добавлять и изменять свойства учетных записей пользователей можно через “Панель управления” – “Учетные записи пользователей”. Однако данный способ больше подходит для простых пользователей. А вот системному администратору будет удобнее управлять учетными записями через консоль “Управление компьютером” – “Локальные пользователи и группы”.
Чтобы попасть в консоль “Управление компьютером” щелкните правой клавишей мыши по значку “Мой компьютер” на рабочем столе и выберите пункт “Управление”. Далее раскройте раздел “Служебные программы” и выберите пункт “Локальные пользователи и группы”.
Оснастка “Локальные пользователи и группы” предназначена для создания новых пользователей и групп, управления учетными записями, задания и сброса паролей пользователей.Локальный пользователь – это учетная запись, которой могут быть предоставлены определенные разрешения и права на вашем компьютере. Учетная запись всегда имеет свое имя и пароль (пароль может быть пустым). Вы также можете услышать другое название учетной записи пользователя – аккаунт, а вместо “имя пользователя” часто говорят логин.
Узел Пользователи оснастки “Локальные пользователи и группы” отображает список учетных записей пользователей: встроенные учетные записи (например, “Администратор” и “Гость”), а также созданные вами учетные записи реальных пользователей ПК.Встроенные учетные записи пользователей создаются автоматически при установке Windows и не могут быть удалены. При создании нового пользователя вы должны будете присвоить ему имя и пароль (желательно), а также определить, в какую группу будет входить новый пользователь. Каждый пользователь может входить в одну или несколько групп.
В узле Группы отображаются как встроенные группы, так и созданные администратором (т.е. вами). Встроенные группы создаются автоматически при установке Windows.Принадлежность к группе предоставляет пользователю определенные права на выполнение различных действий на компьютере. Пользователи группы Администраторы обладают неограниченными правами. Рекомендуется использовать административный доступ только для выполнения следующих действий:
- установки операционной системы и ее компонентов (драйверов устройств, системных служб, пакетов обновления);
- обновления и восстановления операционной системы;
- установки программ и приложений;
- настройки важнейших параметров операционной системы (политики паролей, управления доступом и т.п.);
- управления журналами безопасности и аудита;
- архивирования и восстановления системы и т.п.
Вы, как системный администратор, должны иметь учетную запись, входящую в группу “Администраторы”. Все остальные пользователи компьютера должны иметь учетные записи, входящие либо в группу “Пользователи”, либо в группу “Опытные пользователи”.
Добавление пользователей в группу Пользователи является наиболее безопасным, поскольку разрешения, предоставленные этой группе, не позволяют пользователям изменять параметры операционной системы или данные других пользователей, установки некоторого ПО, но также не допускают выполнение устаревших приложений. Я сам неоднократно сталкивался с ситуацией, когда старые DOSовские программы не работали под учетной записью участника группы “Пользователи”.
Группа Опытные пользователи поддерживается, в основном, для совместимости с предыдущими версиями Windows, для выполнения не сертифицированных и устаревших приложений. “Опытные пользователи” имеют больше разрешений, чем члены группы “Пользователи”, и меньше, чем “Администраторы”. Разрешения по умолчанию, предоставленные этой группе, позволяют членам группы изменять некоторые параметры компьютера. Если необходима поддержка не сертифицированных под Windows приложений, пользователи должны быть членами группы “Опытные пользователи”.
Учетная запись Гость предоставляет доступ на компьютер любому пользователю, не имеющему учетной записи. Для повышения безопасности компьютера рекомендуют отключать учетную запись “Гость” и настраивать доступ к общим ресурсам ПК существующим пользователям.
Теперь давайте посмотрим, как происходит создание учетной записи через консоль “Управление компьютером” – “Локальные пользователи и группы”.
Создание учетной записи
При установке оригинальной версии Windows XP (имеется в виду не сборка от Zver или т.п.) предлагается создать учетные записи пользователей компьютера. Необходимо создать как минимум одну учетную запись, под которой вы сможете войти в систему при первом запуске. Но, как правило, в реальной жизни требуется создавать несколько учетных записей для каждого пользователя, работающего за компьютером, либо для группы пользователей, объединенных общей задачей и разрешениями доступа.
Для добавления новой учетной записи раскройте оснастку “Локальные пользователи и группы” – выделите папку “Пользователи” – затем в правом окне щелкните на пустом месте правой кнопкой мыши – выберите пункт “Новый пользователь”:В появившемся окне задайте имя пользователя и описание. Также задайте для пользователя пароль (как придумать надежный пароль для учетной записи можете прочитать здесь).
Затем настройте дополнительные параметры – поставьте или снимите флажки напротив нужных пунктов:Можно снять флажок напротив пункта “Потребовать смену пароля при следующем входе в систему” и поставить флажки напротив “Запретить смену пароля пользователем” и “Срок действия пароля не ограничен”. В этом случае пользователь не сможет сам сменить пароль своей учетной записи. Это можете делать только вы, работая под администраторской учетной записью.
После нажатия кнопки “Создать” в списке пользователей появится новая учетная запись. Щелкните по ней дважды мышкой и в открывшемся окне перейдите на вкладку “Членство в группах”. Здесь нажмите кнопку “Добавить” – “Дополнительно” – “Поиск”. Затем выберите группу, в которую должен входить пользователь (рекомендуется группа “Пользователи” или “Опытные пользователи”) и нажмите “ОК” во всех отобразившихся окнах. После этого здесь же во вкладке “Членство в группах” удалите из списка все группы, кроме той, которую только что выбрали. Нажмите “ОК”:Таким образом, вы создали новую учетную запись и включили ее в группу.
Теперь сообщите пользователю (в нашем случае Иванову) имя его учетной записи (iva) и пароль, чтобы он смог войти в систему. На всех компьютерах сети, к ресурсам которых Иванову необходим доступ, нужно будет создать такую же учетную запись с аналогичными параметрами. Если же на каком-либо компьютере сети не будет учетной записи для Иванова и при этом будет отключена учетная запись “Гость”, то Иванов не сможет просмотреть общие сетевые ресурсы данного компьютера.
Если учетная запись пользователя больше не нужна, ее можно удалить. Но во избежание различного рода проблем учетные записи пользователей перед удалением рекомендуется сначала отключить. Для этого щелкните правой кнопкой мыши по имени учетной записи – выберите “Свойства” – в окне свойств учетной записи установите флажок напротив “Отключить учетную запись” и нажмите “ОК”. Убедившись, что это не вызвало неполадок (понаблюдайте за сетью несколько дней), можно безопасно удалить учетную запись: щелкните правой кнопкой мыши по имени учетной записи и в контекстном меню выберите “Удалить”. Удаленную учетную запись пользователя и все данные, связанные с ней, восстановить невозможно.
Управление доступом
Итак, допустим, за одним компьютером работает несколько пользователей, и вы создали для каждого свою учетную запись по описанным выше правилам. Но вдруг появилась необходимость закрыть доступ к некоторым папкам или файлам на компьютере для тех или иных пользователей. Данная задача решается путем назначения определенных прав доступа к ресурсам компьютера.
Управление доступом заключается в предоставлении пользователям, группам и компьютерам определенных прав на доступ к объектам (файлам, папкам, программам и т.д.) по сети и на локальной машине.
Управление доступом для пользователей локального компьютера осуществляется путем изменения параметров на вкладке “Безопасность” в окне “Свойства”:
Настройка безопасности для папки «Мои документы»
Вкладка “Доступ” того же окна используется для управления сетевым доступом к общим объектам (файлам, папкам и принтерам) на компьютерах сети.
В данной статье мы будем говорить о разграничении доступа локальных пользователей к объектам локального компьютера. Данная функция доступна только в файловой системе NTFS. Если на компьютере файловая система NTFS, но вкладка “Безопасность” не отображается, зайдите в “Пуск” – “Панель управления” – “Свойства папки”. На вкладке “Вид” в разделе “Дополнительные параметры” снимите флажок “Использовать простой общий доступ к файлам (рекомендуется)” и нажмите “ОК”:Основное понятие, связанное с управлением доступом – это Разрешения.
Разрешения определяют тип доступа пользователя или группы к объекту или его свойствам. Разрешения применяются к файлам, папкам, принтерам, объектам реестра. Чтобы установить или изменить разрешения для объекта, щелкните по его названию правой кнопкой мыши и в контекстном меню выберите команду “Свойства”. На вкладке “Безопасность” можно изменить разрешения для файла или папки, устанавливая или снимая флажки напротив нужных пунктов в списке разрешений.
Для каждого пользователя можно задать свои разрешения. Сначала нужно выделить пользователя в списке, а затем указать разрешения для этого пользователя. Например, одному пользователю можно разрешить только читать содержимое некоторого файла (разрешение “Чтение”), другому – вносить изменения в файл (разрешение “Изменить”), а всем остальным пользователям вообще запретить доступ к этому файлу (снять все флажки под пунктом “Разрешить”, либо поставить все флажки “Запретить”).
Чтобы просмотреть все действующие разрешения для файлов и папок локального компьютера, выберите “Свойства” – “Безопасность” – “Дополнительно” – “Действующие разрешения” – “Выбрать” – “Дополнительно” – “Поиск”, выделите имя нужного пользователя и нажмите “ОК”. Пункты, отмеченные флажками, и есть разрешения для данного пользователя:В этом же окне вы можете ознакомиться с вкладками “Разрешения”, “Аудит”, “Владелец”. Я не буду останавливаться на них подробно в рамках данной статьи, т.к. она и так получается слишком объемной.
Если в списке пользователей на вкладке “Безопасность” нет пользователя, которому необходимо назначить разрешения, последовательно нажмите следующие кнопки на вкладке “Безопасность”: “Добавить” – “Дополнительно” – “Поиск”. Из списка выберите имя учетной записи пользователя, которому необходимо назначить разрешения и нажмите “ОК”. Вместо отдельного пользователя можно выбрать группу – разрешения будут применяться ко всем пользователям, входящим в эту группу. Хорошо запомните эти кнопки. Такую процедуру вы будете проделывать во всех случаях, когда необходимо добавить нового пользователя в список разрешений, аудита, владения, сетевого доступа и т.п.
Управление доступом применяется не только для пользователей локального компьютера, но и для доступа к общим файлам, папкам и принтерам по сети. Про разграничение прав доступа для пользователей сети применительно к папке я уже рассказывал в статье “Настройка общего доступа к дискам и папкам компьютера”.
Метки: общий доступ, учетная запись