Работа с пользовательскими группами в ос windows

Это первая из двух статей, посвященных группам пользователей в Windows. Сегодня поговорим о локальных пользователях и группах, вторая статья будет посвящена группам в Active Directory.

Как и операционные системы семейства Linux, операционные системы Windows также поддерживают объединение пользователей в группы. Это позволяет удобно управлять пользовательскими правами. На каждом компьютере с Windows существуют локальные группы, присутствие или отсутствие пользователей в которых определяет права, которыми наделены пользователи.

По умолчанию в Windows уже есть перечень групп, в которые могут входить как учётные записи пользователей, так и другие группы. Хотя в заголовке этой статьи говорится о локальных пользователях и группах, в локальные группы могут входить и доменные учётные записи и группы. Различные программы могут добавлять свои группы. Создать новую группу может и пользователь, наделённый правами локального администратора. Рассмотрим основные группы в Windows.

Посмотреть перечень существующий в системе групп можно через консоль Управление компьютером. Она находится в Панели управления, раздел Администрирование.

Администраторы — группа локальных администраторов, способных управлять конкретным компьютером. Локальные администраторы не являются администраторами домена;

Администраторы Hyper-V — группа пользователей, имеющий полный доступ к функциям Hyper-V. Не являются локальными администраторами и администраторами домена;

Гости — по умолчанию члены этой группы имеют те же права, что и пользователи, за исключением учетной записи Гость, которая ещё больше ограничена в правах;

Операторы архива — имеют права на создание резервных копий и восстановления из них даже тех объектов, к которым не имеют доступа;

Операторы настройки сети — имеют административные права для настройки сетевых параметров операционной системы;

Опытные пользователи — на текущий момент оставлена для совместимости с предыдущими версиями Windows. Может быть использована для разграничения прав пользователей. Например, если одним пользователям на компьютере нужно больше прав, чем другим;

Пользователи — основная пользовательская группа. Пользователи могут изменять крайне ограниченное число настроек, но, как правило, могут запускать большинство приложений в системе;

Пользователи DCOM — члены этой группы могут запускать, активизировать и использовать объекты DCOM;

Пользователи журналов производительности — по функционалу похожа на группу Пользователи системного монитора, но имеет куда больший доступ к Системному монитору, который позволяет отследить использование ресурсов компьютера;

Пользователи удаленного рабочего стола — состоящие в данной группе пользователи могут подключаться к указанному компьютеру через удалённый рабочий стол;

Читатели журнала событий — входящие в эту группу пользователи могут просматривать журналы событий компьютера;

IIS_IUSRS — группа, появившаяся в IIS 7.0 как замена группе IIS_WPG. Операционная система автоматически заносит в данную группу учётные записи, когда они назначаются в качестве удостоверения для пула приложений. Как правило, эта группа не требует действий со стороны администратора.

Просмотреть содержимое групп могут и пользователи, а вот для работы с ними нужно быть администратором. Откройте интересующую вас группу. Вы увидите её описание, содержимое (группы могут включать в себя не только пользователей, но и другие группы) и кнопки Добавить и Удалить. С их помощью мы и можем управлять членством в группе.

Допустим, что мы хотим добавить в группу нового пользователя (или группу пользователей). Нажимаем кнопку Добавить и видим окно добавления пользователя или группы.

Если вы знаете имя пользователя/группы, просто введите его в большое поле и нажмите Проверить имена. Обратите внимание также на кнопки Типы объектов и Размещение. Нажав на первую, можно выбрать объекты, которым мы ищем. Нажав на вторую, указать место поиска объектов (локальный компьютер или домен). Внизу ещё есть кнопка Дополнительно, она открывает окно с более удобным интерфейсом поиска.

Даже если вы не знаете имя пользователя/группы, вы можете указать место поиска, а потом просто нажать кнопку Поиск, чтобы посмотреть список имеющихся пользователей и групп.

Удалить пользователя/группу из группы ещё проще. Просто откройте свойства интересующей вас группы, выделите пользователя/группу и нажмите кнопку Удалить.

Помните: изменять членство в группах нужно только тогда, когда вы понимаете, что делаете. В противном случае это может сказаться на работоспособности системы или отдельных программ в ней. Кроме того, раздавая права всем подряд, вы можете спровоцировать инциденты, относящиеся к области информационной безопасности.

Что ещё можно сделать с группами? Щёлкнем по группе правой кнопкой мыши, чтобы вызвать контекстное меню (альтернатива — выделить группу и открыть меню Действие).

Как видим, группу ещё можно переименовать и удалить. Естественно, можно создать и новую группу. Для этого, не выделяя никакую из существующих групп, либо воспользуйтесь меню Действие → Создать группу, либо щёлкните правой кнопкой мыши по пустой области, чтобы вызвать контекстное меню с этим пунктом.

Введите название группы, описание, чтобы другим пользователям было удобнее понимать для чего эта группа (или чтобы самому потом не забыть), наполните группу пользователями/группами и нажмите кнопку Создать.

Как видите, наша группа появилась в перечне групп.

Теперь поговорим о том, для чего можно использовать группы в Windows. Как уже было сказано, главное предназначение групп — разграничение прав в системе. Для нас важно понимать как группы используются для назначения прав на уровне файловой системы.

Группы позволяют гибко настраивать права на файлы и каталоги. В конечном счёте, таким образом мы можем определять, кому разрешено запускать исполняемые файлы (а значит и программы), кто может добавлять, удалять, читать файлы в папках. Это может быть не так важно на домашнем компьютере, где небольшое число пользователей. А вот в корпоративном сегменте важно.

Если в организации несколько структурных подразделений, которым требуются разные права, выдавать права каждому пользователю утомительно. Проще объединять пользователей в группы и выдавать права группе.

Добавим разрешения на каталог primer для нашей только что созданной группы. Можно нажать кнопку Изменить, а можно Дополнительно. Второй способ более гибкий, поэтому лучше использовать его.

Нажмите кнопку Добавить.

Сперва нужно выбрать субъект, на который будут распространяться новые права.

Впишите название группы и нажмите кнопку Проверить имена.

Теперь можно выбрать, хотим мы установить разрешающее правило или запрещающее, будет ли оно применяться к подпапкам и файлам, а также суть даваемых разрешений или запретов.

Наша группа появилась в перечне других групп, которым даны разрешения на этот каталог. Не забудьте нажать Применить для сохранения настроек.

Итак, мы познакомились с локальными группами в Windows. Во второй статье о группах в Windows мы поговорим про группы в Active Directory.

Содержание

• Запуск «Локальных пользователей и групп»
• «Пользователи»
• «Группы»
• Добавление нового пользователя
• Присоединение пользователя к группе
• Вопросы и ответы

В системных оснастках Windows 10 присутствует средство для управления учётными записями, сохранёнными на текущем компьютере, которая называется «Локальные пользователи и группы». Давайте разберёмся, что это за инструмент.

Важно! Рассматриваемая оснастка присутствует только в редакциях Pro и Enterprise!

Запуск «Локальных пользователей и групп»

Доступ к рассматриваемому элементу можно получить следующим образом:

1. Вызовите инструмент «Выполнить» сочетанием клавиш Win+R, введите в нём запрос lusrmgr.msc и щёлкните «ОК».



2. Запустится нужный инструмент.



Теперь взглянем подробнее на особенности приложения.

«Пользователи»

В данном каталоге присутствуют такие категории:

• «Администратор» – встроенный аккаунт, который используется в процессе инсталляции ОС перед тем, как юзер создаст свой собственный. Полномочия данной учётки весьма обширны, плюс её нельзя никаким образом удалить. Она пригодится в случае, когда в систему необходимо внести серьёзные изменения, но обычного пользователя-администратора для этой цели недостаточно.
  

  Читайте также: Использование встроенной учётной записи администратора Windows 10

• «Гость» — второй аккаунт по умолчанию, присутствующий в указанном каталоге. Из названия элемента ясно, каково его предназначение – это гостевая учётка, ограниченная в правах. Данный аккаунт задействуется для разового использования, и по умолчанию отключен из-за возможной угрозы безопасности.
• «WDAGUtilityAccount» — это запись, используемая Защитником Windows при открытии небезопасных сайтов или приложений, чтобы не подвергать опасности основное пространство. Если вы не совершали никаких манипуляций со встроенным в «десятку» антивирусом, WDAGUtilityAccount активен и задействуется.
  

  Читайте также: Отключение Защитника в Windows 10

• «Пользователь» — учётка, созданная при первичной настройке системы.
• «HelpAssistant» — временная запись, которая используется для создания сеанса удаленной помощи. Ею управляет служба Remote Desktop Help Session Manager.

«Группы»

В каталоге «Группы» записей намного больше – они обозначают категории, разграниченные в правах и выполняемых функциях. В этой директории обычно присутствуют следующие элементы:

• «Администраторы» – основная группа, члены которой имеют полный доступ к управлению операционной системой, соответственно, добавлять к ней новые учётки стоит с осторожностью.
• «Администраторы Hyper-V» – здесь находятся записи, которым разрешен доступ к виртуальной машине Hyper-V.

  Читайте также: Виртуальная машина в Windows 10

• «Владельцы устройства» – аккаунты из этой категории по своим полномочиям дублируют вариант «Администраторы».
• «Гости» – название говорит само за себя: сюда входят гостевые учётные записи.
• «Криптографические операторы» – пользовательские аккаунты из этого раздела способны выполнять связанные с криптографией действия, например, с цифровыми подписями.
• «Операторы архива» – интересная категория, поскольку записи, которые в неё входят, способны обходить системные ограничения доступа, но только в целях создания точек восстановления или резервного копирования.
  

  Читайте также: Создание точек восстановления Windows 10
• «Операторы настройки сети» – записям из этой категории разрешено управлять подключениями к сетям.
• «Опытные пользователи» – специфичный вариант, который существует для обеспечения совместимости. Дело в том, что эта категория в предыдущих версиях Виндовс обладала ограниченными административными правами для работы с некоторыми приложениями. В десятой редакции, в целях безопасности, редактирование этой группы запрещено, однако учётки в неё помещаются автоматически, если используется одно из тех самых специфичных приложений.
• «Пользователи» – самый большой раздел, в который входят все пользовательские учётные записи.

Остальные позиции представляют собой системные категории, с которыми рядовой юзер навряд ли столкнётся.

Добавление нового пользователя

Посредством рассматриваемой оснастки можно добавить новую учётную запись. Процедура описана одним из наших авторов, рекомендуем прочитать статью по ссылке далее.

Подробнее: Добавление нового пользователя в Windows 10

Присоединение пользователя к группе

Редактирование группы происходит по похожему алгоритму:

1. Выделите одиночным кликом ЛКМ категорию, после чего воспользуйтесь вариантами «Действие» – «Добавить пользователя в группу».




2. В окне свойств группы кликните по кнопке «Добавить».



3. Укажите имя аккаунта в блоке «Введите имена выбираемых объектов», после чего щёлкните «Проверить имена».
   

   Под названием должно появиться подчёркивание – это означает, что объект распознан и будет присоединён.



4. По возвращении в окно свойств вы увидите имя добавленной учётки.



Как видим, действительно ничего сложного.

Теперь вам известно, что собой представляет оснастка «Локальные пользователи и группы» в Windows 10.

Еще статьи по данной теме:

Помогла ли Вам статья?

«Локальные пользователи и группы» в Windows 10

Важно! Рассматриваемая оснастка присутствует только в редакциях Pro и Enterprise!

Запуск «Локальных пользователей и групп»

Доступ к рассматриваемому элементу можно получить следующим образом:

Теперь взглянем подробнее на особенности приложения.

«Пользователи»

В данном каталоге присутствуют такие категории:

«Группы»

В каталоге «Группы» записей намного больше – они обозначают категории, разграниченные в правах и выполняемых функциях. В этой директории обычно присутствуют следующие элементы:

Остальные позиции представляют собой системные категории, с которыми рядовой юзер навряд ли столкнётся.

Добавление нового пользователя

Посредством рассматриваемой оснастки можно добавить новую учётную запись. Процедура описана одним из наших авторов, рекомендуем прочитать статью по ссылке далее.

Присоединение пользователя к группе

Редактирование группы происходит по похожему алгоритму:

Под названием должно появиться подчёркивание – это означает, что объект распознан и будет присоединён.

Как видим, действительно ничего сложного.

Теперь вам известно, что собой представляет оснастка «Локальные пользователи и группы» в Windows 10.

Помимо этой статьи, на сайте еще 12357 инструкций.
Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.

Отблагодарите автора, поделитесь статьей в социальных сетях.

Источник

[конспект админа] Меньше администраторов всем

Продолжим про безопасность операционных систем – на этот раз «жертвой» станет MS Windows и принцип предоставления минимальных прав для задач системного администрирования.

Сотрудникам, ответственным за определенные серверы и рабочие станции совсем не обязательно выдавать права «администратор домена». Хоть не по злому умыслу, по ошибке, но это может подпортить всем жизнь, а то и стоить чьих-то выходных. Под катом детально разберем принцип предоставления минимальных прав как одну из технологий предоставления минимальных прав.

Ограниченные группы

В качестве примера из практики могу привести грустную историю со счастливым концом. В организации исторически сложилось, что сервер печати находился на контроллере домена. В один прекрасный момент сотруднику отдела IT понадобилось перепрошить принтер, что он и проделал, запустив китайскую утилиту на сервере. Принтер заработал, но вот утилита в процессе перепрошивки перевела время на несколько лет назад. Active directory не очень любит путешественников во времени, и контроллер домена благополучно отправился в «захоронение» (tombstone).

Инцидент добавил седых волос, но второй контроллер домена спас ситуацию: роли FSMO перевели на него, а путешественника во времени повторно сделали контроллером домена. С тех пор в компании права «администратора домена» нужно заслужить.

Для профилактики подобных ситуаций неплохо будет выдавать желающим ровно столько прав, сколько нужно: если нужно администрировать только рабочие станции, достаточно выдать права только на компьютеры пользователей.

Когда компьютеров немного, включить доменную группу безопасности «helpdesk» в локальную группу «администраторы» можно и руками. А вот на большом объеме приходят на помощь групповые политики. Удобных способов два.

Первый способ: через Группы с ограниченным доступом (Restricted groups), расположенные в групповых политиках по адресу Конфигурация компьютера – Политики – Параметры безопасности.

Расположение политик Restricted groups.

Далее нужно создать группу «Администраторы» и добавить в нее нужную группу. Есть только один нюанс – если сделать именно так, то из локальной группы «Администраторы» исчезнут все, кроме встроенного администратора и самой группы. Даже Domain Admins:

Добавляем группу «Администраторы», в которую добавляем группу helpdesk.

И получаем локальную группу «Администраторы» без Domain admins.

Конечно, эту возможность можно использовать и во благо – зачистить локальные группы от лишних участников. Если же хочется избежать такой зачистки, то можно создать в «Группах ограниченного доступа» доменную группу и ее же назначить входящей в группу «Администраторы»:

При такой настройке локальная группа «Администраторы» не будет зачищена.

Вторым способом является настройка Предпочтения Групповых Политик (Group Policy Preference, далее – GPP). Искать следует в Конфигурации компьютера – Настройка – Локальные пользователи и группы.

Настройка группы безопасности через GPP.

Как и все настройки в GPP, эта проще в понимании и с более дружелюбным интерфейсом. Но если у вас в инфраструктуре присутствуют не обновленные Windows XP или даже Windows 2000, то остается только первый вариант.

Таким же способом можно дать права и на определенные серверы нужным сотрудникам. Например, дать права группе разработчиков на тестовый стенд.

Использование встроенных групп безопасности

Конечно, сотрудников отдела IT и системные учетные записи (например, под которыми выполняются задачи резервного копирования) проще сразу включить в группу «Enterprise Admins» и не знать горя.

Но из соображений безопасности лучше так не делать. В Windows существует набор встроенных учетных записей с набором типовых прав. Группы немного различаются для компьютера и для домена, а также ряд сервисов привносит свои группы.

Группа	Описание
Администраторы	Полные права на систему.
Пользователи	Возможность пользоваться без изменения системных параметров и без записи в системные разделы. Фактически пользователь – полноценный хозяин только в папке своего профиля.
Операторы архива	Группа, предназначенная для выполнения резервного копирования и восстановления. Участники группы могут завершать работу системы на серверах и переопределять права доступа в целях резервного копирования.
Опытные пользователи	Участники этой группы могут администрировать локальные учетные записи и группы (кроме администраторов), создавать сетевые ресурсы и управлять доступом на них, менять NTFS ACL (кроме смены владельца папки).
Пользователи удаленного рабочего стола	Членство дает возможность подключаться к компьютеру по RDP
Операторы печати	Операторы могут устанавливать и удалять принтеры, изменять их драйвера и настройки, останавливать и чистить очередь печати.
Операторы настройки сети	Могут менять настройки сетевых интерфейсов. Это полезная группа на случай если нужно переназначать получение адреса сетевой картой с автоматического на статическое. Мобильные пользователи скажут спасибо, если добавить их в эту группу.
Операторы учета	Пользователи в этой группе могут создавать/удалять/редактировать/перемещать учетные записи в Active Directory. Удобно дать эти права для сервиса, автоматически заводящего учетки сотрудников после приема на работу.

Познакомиться со всеми группами и более полным описанием можно в официальной документации.

Если стандартных групп не хватает, то Windows позволяет настроить права доступа более тонко. Например, выдать отдельной группе пользователей право менять время или возможность принудительно завершать работу сервера по сети. Для этого существует механизм «назначение прав пользователей». Искать можно в локальной политике безопасности – secpol.msc или в групповой политике по адресу Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики – Назначение прав пользователя.

Настройка прав доступа через групповые политики.

Использовать эту настройку я рекомендую в крайних случаях, и ее обязательно надо документировать. Помните о том, что когда-нибудь вас кто-то сменит и будет разбираться, почему работает так, а не иначе.

Вообще лучше всегда все документировать. Представьте ситуацию, что вы уволились из организации и вместо вас пришел человек с улицы. Поставьте себя на место этого человека. Если начал дергаться глаз или зашевелились волосы – посвятите время написанию документации. Пожалуйста!

Существует еще один хороший метод ограничения доступа к объектам – делегирование. Про эту технологию на Хабре уже писали, поэтому я лишь добавлю, что с помощью делегирования удобно выдаются права для ввода нового компьютера в домен.

Все эти технологии довольно давно существуют в системах Windows. С появлением Windows 102016 появилась еще одна интересная возможность ограничить учетные записи – речь о ней пойдет далее.

Достаточно администрирования

Just Enough Administration (JEA) – технология предоставления доступа к командлетам PowerShell. Работает на операционных системах вплоть до Windows 7 при установке Windows Management Framework 5.1 (правда, в самых старых операционных системах поддержка ограничена). Работа производится через так называемые «виртуальные аккаунты» и специально подготовленные файлы конфигурации. Примером использования JEA является выдача ограниченных прав на управление определенными виртуальными машинами – например, для ваших разработчиков.

Подробнее про JEA можно почитать в официальной документации, поэтому разберем конкретный пример предоставления возможности перезапуска виртуальной машины.

Сначала нам нужно разрешить удаленное подключение к серверу с помощью командлета Enable-PSRemoting, а заодно убедимся, что у нас Windows Management Framework нужной версии при помощи командлета $PSVersionTable.PSVersion.

Проверка версии и разрешение удаленных подключений при помощи PS.

Создадим группу безопасности и специального пользователя:

Теперь создадим нужные для работы конфигурационные файлы и папки. Сначала общие:

А затем создадим конкретный файл конфигурации для нашего оператора виртуальной машины с именем win. Для примера разрешим запуск и остановку виртуальной машины:

Теперь необходимо подготовить файл сессии PowerShell:

Зарегистрируем файл сессии:

Теперь все готово для проверки. Попробуем подключиться к серверу с учетными данными созданного пользователя командлетом:

Проверим список доступных команд командой get-command и попробуем остановить нашу виртуальную машину win, а затем другую машину win2.

Доступ к серверу ограничен управлением одной виртуальной машиной.

Для облегчения создания файлов конфигурации сообществом была создана утилита под названием JEA Toolkit Helper, где графический интерфейс поможет создать файлы с необходимыми параметрами.

Интерфейс JEA Toolkit Helper.

При необходимости есть возможность через групповые политики включить аудит выполнения модулей по адресу Конфигурация компьютера – Административные шаблоны – Windows Powershell – Включить ведение журнала модулей. Тогда в журнале Windows будут отображаться записи о том что, где и когда.

Журнал выполнения PowerShell.

Альтернативой будет включение записи в файл. Также через групповые политики настраивается параметр «Включить транскрипции PowerShell». Путь можно задать как в самой политике (и тогда запись туда будет вестись для всех модулей), так и в файле конфигурации сессии JEA в параметре TranscriptDirectory.

Файловый журнал JEA.

С помощью делегирования, назначения прав и JEA можно добиться отказа от использования учетных записей с администраторскими правами в повседневной работе. В конце-концов, к UAC в Windows ведь тоже привыкли и не отключаем просто потому, что «заткнись, я и так знаю что мне делать со своими файлами!».

Источник

Как открыть локальных пользователей и группы в Windows 10

Помимо того, что вы видите на экране входа в систему, Windows 10 имеет тенденцию создавать несколько пользователей и групп в фоновом режиме для выполнения нескольких задач на компьютере. Однако они не видны обычному пользователю, входят в систему в фоновом режиме и играют важную роль в структурировании разрешений. Давайте узнаем, как просматривать и управлять локальными пользователями и группами в Windows 10/8/7 на компьютере.

Откройте локальные пользователи и группы в Windows 10

Следующие методы помогут вам открывать и просматривать локальные пользователи и группы в Windows 10:

Разберем процедуру подробно. Мы также рассмотрим, как добавлять или удалять пользователей из группы.

1]Использование утилиты управления компьютером

Откройте меню WinX и выберите «Управление компьютером».

На левой панели навигации выберите Локальные пользователи и группы под расширенным списком Управление компьютером (локальное).

Здесь вы увидите две папки:

Раскрытие каждого из них даст вам необходимые сведения.

2]Непосредственно с помощью lusrmgr.msc

Чтобы открыть окно «Локальные пользователи и группы», вы должны вызвать его процесс, который называется lusrmgr.msc, и вы можете сделать это следующими четырьмя способами.

Использование поля «Выполнить»

Ударь Клавиша Windows + R комбинация кнопок на клавиатуре.

Печатать lusrmgr.msc и ударил Войти.

Откроется окно «Локальные пользователи и группы».

Использование окна поиска Windows

Ударь Клавиша Windows + S комбинация кнопок на клавиатуре. Откроется окно поиска Windows.

Ищи lusrmgr.msc и ударил Войти.

Откроется окно «Локальные пользователи и группа».

Использование командной строки Windows 10

Откройте командную строку Windows и выполните следующую команду:

Вы попадете в окно пункта назначения.

Использование командной строки Windows PowerShell

Откройте Windows PowerShell и выполните следующую команду:

Он откроется в окне назначения.

Добавить или удалить пользователей из группы

Чтобы добавить или удалить пользователей из группы:

Чтобы добавить пользователя, нажмите кнопку «Добавить» и следуйте инструкциям.

Добавить пользователя в группу с помощью командной строки

Вам необходимо выполнить следующую команду:

Замените ГРУППУ и ​​ПОЛЬЗОВАТЕЛЬ настоящими именами.

Удаление пользователя из группы с помощью командной строки

Вам необходимо выполнить следующую команду:

Замените GROUP и USER настоящими именами.

Добавить пользователя в группу с помощью PowerShell

Вам необходимо выполнить следующую команду:

Замените GROUP и USER настоящими именами.

Удаление пользователя из группы с помощью PowerShell

Вам необходимо выполнить следующую команду:

Замените ГРУППУ и ​​ПОЛЬЗОВАТЕЛЬ настоящими именами.

Надеюсь, это поможет.

Пользователь Windows 10 Home? Эти ссылки могут вас заинтересовать:

Источник

Введение

Учётная запись пользователя – это запись, которая содержит сведения, необходимые для идентификации пользователя при подключении к системе, а также информацию для авторизации и учёта. Это имя пользователя и пароль (или другое аналогичное средство аутентификации — например, биометрические характеристики). Пароль или его аналог, как правило, хранится в зашифрованном или хэшированном виде (в целях его безопасности).

Для повышения надёжности могут быть, наряду с паролем, предусмотрены альтернативные средства аутентификации — например, специальный секретный вопрос (или несколько вопросов) такого содержания, что ответ может быть известен только пользователю. Такие вопросы и ответы также хранятся в учётной записи.

Учётная запись может содержать следующие дополнительные анкетные данные о пользователе:

Конкретные категории данных, которые могут быть внесены в такую анкету, определяются администраторами системы.

Учётная запись может также содержать одну или несколько фотографий или аватар пользователя. Учётная запись пользователя также может учитывать различные статистические характеристики поведения пользователя в системе: давность последнего входа в систему, продолжительность последнего пребывания в системе, адрес использованного при подключении компьютера, интенсивность использования системы, суммарное и (или) удельное количество определённых операций, произведённых в системе, и так далее.

Создание учетных записей пользователей

В операционной системе Windows 7 можно создавать несколькими способами как учетные записи пользователей для компьютеров, состоящих в рабочих группах, так и учетные записи пользователей для компьютеров, которые входят в состав домена. Домены, рабочие группы и домашние группы представляют разные методы организации компьютеров в сети. Основное их различие состоит в том, как осуществляется управление компьютерами и другими ресурсами.

Рабочая группа – это группа компьютеров, подключенных к сети, которые совместно используют ресурсы. При настройке сети операционная система Windows автоматически создает рабочую группу и присваивает ей имя по умолчанию.

Домен — это группа компьютеров одной сети, имеющих единый центр, использующий единую базу пользователей, единую групповую и локальную политики, единые параметры безопасности, ограничение времени работы учётной записи и прочие параметры, значительно упрощающие работу системного администратора организации, если в ней эксплуатируется большое число компьютеров.

Создание учетных записей пользователей для компьютеров, состоящих в рабочей группе

В операционной системе Windows 7 для компьютеров, которые состоят в рабочей или домашней группе, учетные записи можно создавать следующими способами:

Создание учетной записи при помощи диалога «Управление учетными записями пользователей»

Для того чтобы создать учетную запись при помощи диалога «Учетные записи пользователей», нужно сделать следующее:

В этом диалоге, можно выбрать одну из двух типов учетных записей: «обычные учетные записи пользователей», которые предназначены для повседневной работы или «учетные записи администратора», которые предоставляют полный контроль над компьютером и применяются только в необходимых случаях.

Создание учетной записи при помощи диалога «Учетные записи пользователей»

Доступный через панель управления диалог «Управление учетными записями пользователей» имеет очень серьезное ограничение: оно предлагает на выбор только учетные записи типа Обычный доступ или Администратор. Для того чтобы при создании нового пользователя его можно было поместить в какую-либо определенную группу, нужно сделать следующее:

В следующем списке перечислены 15 встроенных групп операционной системы Windows 7. Эти права назначаются в рамках локальных политик безопасности:

Создание учетной записи при помощи оснастки «Локальные пользователи и группы»

Оснастка «Локальные пользователи и группы» расположена в компоненте «Управление компьютером», представляющем собой набор средств администрирования, с помощью которых можно управлять одним компьютером, локальным или удаленным. Оснастка «Локальные пользователи и группы» служит для защиты и управления учетными записями пользователей и групп, размещенных локально на компьютере. Можно назначать разрешения и права для учетной записи локального пользователя или группы на определенном компьютере (и только на этом компьютере).

Использование оснастки «Локальные пользователи и группы» позволяет ограничить возможные действия пользователей и групп путем назначения им прав и разрешений. Право дает возможность пользователю выполнять на компьютере определенные действия, такие как архивирование файлов и папок или завершение работы компьютера. Разрешение представляет собой правило, связанное с объектом (обычно с файлом, папкой или принтером), которое определяет, каким пользователям, и какой доступ к объекту разрешен.

Для того чтобы создать локальную учетную запись пользователя при помощи оснастки «Локальные пользователи и группы», нужно сделать следующее:

Для того чтобы добавить пользователя в группу, дважды щелкните имя пользователя для получения доступа к странице свойств пользователя. На вкладке «Членство в группах» нажмите на кнопку «Добавить».

В диалоге «Выбор группы» можно выбрать группу для пользователя двумя способами:

Создание учетной записи при помощи командной строки

Помимо вышеперечисленных способов, учетные записи пользователей можно создавать, изменять и удалять при помощи командной строки. Для этого нужно выполнить следующие действия:

Команда net user используется для добавления пользователей, установки паролей, отключения учетных записей, установки параметров и удаления учетных записей. При выполнении команды без параметров командной строки отображается список учетных записей пользователей, присутствующих на компьютере. Информация об учетных записях пользователей хранится в базе данных учетных записей пользователей.

/add – этот параметр указывает, что необходимо создать новую учетную запись;

/passwordreq – этот параметр отвечает за то, чтобы при первом входе в систему пользователь сменил свой пароль;

/times – этот параметр определяет, сколько раз пользователю разрешено входить в систему. Здесь можно указывать как единичные дни, так и целые диапазоны (например Sa или M-F). Для указания времени допускается как 24-часовый формат, так и 12-часовый формат;

/fullname – этот параметр идентичен полю «Полное имя» при создании пользователя предыдущими способами.

Создание учетных записей пользователей для компьютеров, состоящих в домене

В серверной операционной системе Windows Server 2008 или Windows Server 2008 R2 в домене Active Directory учетные записи пользователей можно создавать шестью способами. Рассмотрим подробно каждый из них:

Создание пользователей при помощи оснастки «Active Directory – пользователи и компьютеры»

Для создания нового пользователя в домене при помощи оснастки «Active Directory – пользователи и компьютеры» нужно сделать следующее:

Создание пользователей с помощью командной строки

Для автоматизации создания любых объектов в домене Active Directory можно использовать команду DSADD USER UserDN, при помощи которой можно создавать объекты пользователей и принимать параметры, указывающие его свойства. Нового пользователя при помощи командной строки можно создать следующим образом:

Определение используемых параметров:

Samid – указывает имя входа пользователя;

Pwd – этот параметр определяет пароль для учетной записи пользователя. Если указывать символ *, то будет предложено ввести пароль пользователя;

Mustchpwd – указывает, что пользователь должен изменить свой пароль при следующем входе в систему;

Profile – указывает путь к профилю учетной записи пользователя;

Fn – указывает имя пользователя;

Ln – указывает фамилию пользователя;

Display – указывает отображаемое имя пользователя;

Upn – указывает имя входа пользователя (пред-Windows 2000).

Импорт пользователей с помощью команды CSVDE

Параметр i указывает режим импорта, а параметр k используется для игнорирования ошибок.

CSV файл должен выглядеть следующим образом:

Импортировать пароли при помощи команды CSVDE нельзя.

Импорт пользователей с помощью команды LDIFDE

При помощи команды LDIFDE также можно импортировать и экспортировать объекты Active Directory. В данном случае используется стандарт файлового формата LDIF (Lightweight Directory Access Protocol Data Interchange Format). Этот файловый формат состоит из блока строк, которые вместе образуют одну операцию. Разные операции разделяются пустой строкой. Каждая строка содержит имя атрибута, а после него должно стоять двоеточие со значением атрибута. Далее можно увидеть листинг LDIF файла:

Файл можно создавать в такой программе как Блокнот, но сохранять его нужно с расширением *.ldf. в командной строке введите следующее:

Создание пользователей с помощью Windows PowerShell

При помощи Windows PowerShell для создания пользователя в Active Directory пользователя можно создать следующим образом:

Можно вводить все строки вручную, а можно использовать *.ps1-файлы для автоматизации создания новых пользователей. Для того, чтобы разрешить Windows PowerShell открывать скрипты, введите следующую команду:

Set-ExecutionPolicy RemoteSigned

Политика выполнения указывает сценарии, которые можно запускать. После назначения политики выполнения можно запустить сценарий, но если указывать для запуска только имя сценария, то может возникнуть ошибка. Чаще всего нужно будет указывать еще и путь к самому сценарию.

Создание пользователей с помощью VBScript

В связи с тем, что VBScript также как и Windows PowerShell использует интерфейс ADSI для манипулирования объектами в Active Directory, процесс создания пользователя в VBScript идентичен созданию пользователя в Windows PowerShell. Прежде всего, сценарий подключается к контейнеру OU, в котором будет создан пользователь. После чего сценарий применит к объекту ADSI инструкцию GetObject. При присвоении объекта переменной, для создания объектной ссылки используется инструкция Set.

После этого активизируется метод Create для создания объекта конкретного класса так же, как и в PowerShell. Далее используется метод Put, но аргументы заключаются в круглые скобки. Последняя строка – идентична Windows PowerShell. Пример скрипта:

Заключение

В этой части статьи рассказывается об учетных записях пользователя. Учётная запись пользователя – это запись, которая содержит сведения, необходимые для идентификации пользователя при подключении к системе, а также информацию для авторизации и учёта. Были рассмотрены методы создания локальных учетных записей пользователей и пользователей домена. В следующей части статьи будут рассмотрены методы управления учетными записями пользователей, а также управления учетными данными для автоматического входа при помощи компонента «Диспетчер учетных данных».

Источник

Внутренние настройки операционной системы предполагают отдельный блок для работы с определенной группой профайлов. Раздел в Windows 10 называется «Локальные группы и пользователи». Инструмент позволяет регулировать деятельность и количество возможностей участников, добавлять или убирать функции, распределять права. Существует несколько ключевых особенностей, которые важно учитывать при настройке.

Запуск «Локальных пользователей и групп»

Функциональный комплекс, связывающий внутренние профили персонального компьютера, запускается быстро. Специальных навыков и знаний не потребуется. Этапы действий:

• кликнуть одновременно сочетание горячих кнопок «Windows» и «R» (русская раскладка – «Win» и «К»);
• в открывшемся поле «Выполнить» напечатать lusrmgr.msc;

• подтвердить запрос клавишей «Enter» на клавиатуре или «ОК» в поле окна;
• откроется дополнительный интерфейс – группы и пользователи операционной системы в локальном обозначении.

Открытое поле разделено на несколько активных блоков. В верхней части – возможные действия и настройки (стандартные – файл, справка, вид и другие). В основной части – требуемые разделы и профайлы.

Каталог «Пользователи»

В левой части интерфейса отображается название подгрупп – пользователи и, непосредственно, группы из них. В первом блоке отображаются следующие наименования профилей:

• Администратор – профиль, который устанавливается разработчиком, по умолчанию является неактивным (дополнительный пункт безопасности операционки), особенности аккаунта: невозможно удалить или перепрошить, имеет расширенный функционал и доступ к системным файлам (настройкам) персонального устройства;
• Гость – дополнительный акк, также сформированный разработчиками компании Microsoft, второй после административного профиля, права ограничены (основное – просмотр, использование стандартных групп программ). Внимание! Профиль типа «Гость» используется разово. Ограниченное время работы и небольшой набор функций предусмотрены для защиты внутренних данных компьютера или ноутбука;
• WDAGUyilityAccount – аккаунт, возможности которого использует Защитник операционки Windows, если пользователь пытается перейти по небезопасной ссылке или открыть папки (документы, архивы, фото и иные), угрожающие безопасности ПК.

Кроме указанных, отображаются учетки с наименованием «Пользователь» (появляется во время первой активации системы) и HelpAssistent (временный аккаунт, применяется разово приложением Remote Desktop Help Session Manager).

Каталог «Группы»

Список с наименованием «Группы» включает большее количество пунктов. Пользователи разграничиваются по возможностям, набору используемых приложений. В перечень обычно входят следующие группы:

• администраторы – блок считается основным среди представленных, участники имеют право изменять внутренние показатели операционной системы Windows Внимание! Изменять состав участников данной группы нужно осторожно. Аккаунты раздела имеют доступ к системным настройкам, исправлять ошибки в которых достаточно сложно;
• админы Hyper-V – аккаунты имеют доступ к виртуальному механизму компании Microsoft (гипервизор для работы с системами на 64 бита);
• владельцы ПК – папка, по функционалу дублирующая раздел «Администраторы»;
• гости – вход для гостевых профилей персонального устройства;
• криптографические операторы – пользователи работают с криптографическими параграфами устройства (например, использование и настройка цифровых подписей);
• архивные операторы – отдельная группа пользователей, собственники аккаунтов, способны обходить некоторые системные ограничения, создавать или восстанавливать точки соединения и копии резервного типа;
• операторы сети – профили имеют доступ к подключениям сети;
• опытные юзеры – отдельный тип пользователей, используется для оптимизации внутренних процессов операционной системы персонального компьютера. Внимание! В ранних версиях операционки этот класс профилей был ограничен в некоторых наборах функций. В «десятке» предусмотрели запрет на редакцию списка и функционала пользователей данной группы.

Самый большой – раздел пользовательских профайлов, в перечень включают все учетки, которые созданы на персональном устройстве. Обычные пользователи редко сталкиваются с большей частью подгрупп, представленных в списках левой части окна.

Добавление нового пользователя и присоединение его к группе

Чтобы начать использование отдельных функций операционки, необходимо добавить новую запись учетного профиля. Существует несколько способов создания дополнительного локального аккаунта. Инструкция:

• открыть раздел «Учетные записи пользователей»;
• затем – блок «Управление учетными записями»;
• выбрать тип профиля, который нужно создать.

При создании новой учетки следует учитывать несколько ключевых нюансов. В противном случае могут возникнуть неполадки.

Причины и методы решения отсутствия локальных пользователей и групп

В некоторых ситуациях профиль может оказаться неактивным – операционка не реагирует на попытки изменить или скорректировать функционал аккаунта. Это значит, что в управлении персональным компьютером установлен строгий регламент по работе с профайлами (UAC).

Если система после активации нового акка по умолчанию запускает прежний профиль, необходимо исправить некоторые настройки. В окне «Выполнить» ввести «regedit» и «ОК». Затем переключить в пункте «UserSwitch» отдельный параметр «Enabled» (сменить значение на единицу). Затем устройство перезагружают.

Локальные группы и пользователи – это специальный функциональный раздел операционной системы, который позволяет применить дополнительные корректировки к различным профилям. С большей частью групп обычный юзер не сталкивается, поэтому просто менять параметры без специальных навыков и знаний не стоит. Лучше обратиться к мастеру.



В Windows есть несколько возможностей работы с пользовательскими учётными записями: в Win7 это панель управления, а в Win8.1 и Win10 это и панель управления, и современное системное приложение «Параметры». И также во всех этих трёх версиях есть ещё один инструмент работы с «учётками» Windows – оснастка из числа классического функционала для системного администрирования «Локальные пользователи и группы», она же оснастка lusrmgr.msc.

Доступна она только в редакциях системы от Pro и выше, и она предлагает большие возможности по управлению учётными записями, нежели иные системные инструменты. Не каждому пользователю нужны все возможности lusrmgr.msc, но отдельные из них могут пригодиться. Давайте рассмотрим, что нам предлагает эта оснастка.

***

Оснастка lusrmgr.msc доступна в числе прочих инструментов администрирования в системной консоли «Управление компьютером». Можем запустить её с помощью внутрисистемного поиска.

Здесь в древе слева раскрываем «Локальные пользователи и группы». В оснастке будет два раздела, один из них – это «Группы», где можно оперировать группами, т.е. категориями пользователей с набором определённых прав в операционной системе. Группы можно переименовывать, удалять, применять к пользователям Windows.

И таких групп здесь почти два десятка. Какие возможности есть у пользователей этих групп, кратко изложено в их описании. При необходимости в контекстном меню каждой из групп можем запустить справку и на сайте Microsoft узнать более детальную информацию о предназначении и возможностях этой конкретной группы. А вот с использованием иного функционала Windows мы можем создавать «учётки» с принадлежностью только к двум основным группам — «Администраторы» и «Стандартные пользователи». Ну и в панели управления Win8.1 и Win7 можем ещё активировать учётную запись с принадлежностью к группе «Гости». Хотя даже двух основных пользовательских групп более чем достаточно для разграничения пользовательских прав в большей части случаев.

Другой раздел – «Пользователи», здесь, соответственно, можно управлять пользователями. Детально о возможностях этого раздела мы и будем говорить далее.

Оснастку lusrmgr.msc, кстати, мы также можем открыть в отдельном окне, введя её название в поле команды «Выполнить», либо же во внутрисистемный поиск.

Добавление локальных пользователей

Оснастка lusrmgr.msc примечательна простотой и быстротой создания новых локальных пользователей. Так, в Win8.1 и Win10 новые пользователи создаются только в современных системных параметрах, где этот процесс сопровождается волокитой с отказом от способа входа нового пользователя в систему с подключением к аккаунту Microsoft, если мы хотим создать для него локальную «учётку». Новый пользователь сам может решить, хочет ли он подключать аккаунт Microsoft или нет, и если хочет, то он сам может это сделать в системных настройках, даже если у него будут только права стандартного пользователя. В оснастке же lusrmgr.msc всё делается на раз-два: на пустом месте в разделе «Пользователи» жмём контекстное меню, выбираем «Новый пользователь».

Вписываем имя пользователя. Далее можем установить для него пароль, а можем ничего не устанавливать, активная по умолчанию опция требования смены пароля при первом заходе этого пользователя даст ему возможность самому установить себе пароль. Мы также можем убрать галочку этой опции, тогда новая «учётка» будет незапаролена, и пользователь в любой момент позднее, если посчитает нужным, установит себе пароль в системных настройках.

Вот, собственно, и все телодвижения, если нам надо создать локального пользователя со стандартными правами. Если же учётную запись пользователю надо создать с правами администратора, тогда делаем на этом пользователе двойной клик. Откроется окошко свойств пользователя, в нём переходим на вкладку членства в группах. Удаляем группу «Пользователи».

Жмём «Добавить». В появившемся окошке выбора групп нажимаем «Дополнительно».

Далее – «Поиск». И кликаем «Администраторы».

Жмём «Ок».

Всё: у пользователя есть администраторские права. Теперь просто нажимаем «Применить».

Управление пользователями

Какие возможности по управлению учётными записями локальных пользователей нам доступны в lusrmgr.msc? Как и в других системных настройках Windows, сами обладая правами администратора, можем пользователей удалять, переименовывать, менять им пароль, менять тип «учётки» со стандартного пользователя на администратора и наоборот. Для использования этих возможностей жмём контекстное меню на нужном пользователе и выбираем что нам надо.

Оснастка lusrmgr.msc позволяет удалять самого пользователя, но она не производит удаление файлов его пользовательского профиля на диске С. Эти файлы продолжают храниться в его профильной папке по пути «C:Users». Если удалённому пользователю ничего не нужно из содержимого его профильной папки, можем зайти по этому пути и удалить эту папку, дабы она не занимала место на диске С.

Есть в lusrmgr.msc и такие функции, которые нам недоступны при использовании иных системных настроек Windows. В свойствах пользователя, в первой вкладке «Общие» у нас будут такие возможности как: установка требования смены пароля при новом заходе пользователя в систему, установка запрета смены пароля (для локальных «учёток»), задействование срока ограничения пароля, отключение и разблокировка «учётки».

С первыми двумя возможностями всё и так ясно, а что значат три последние? Если не будет активна опция неограниченного срока действия пароля, пользователь вынужден будет его менять через каждые 42 дня. При необходимости эти 42 дня можно сменить на любой иной срок, но делается это уже в локальных групповых политиках, в их редакторе gpedit.msc.

Отключение «учётки» — это её временное удаление с экрана блокировки, из меню «Пуск», из видимости прочего системного функционала и сторонних программ. Но отключённый пользователь на удаляется навсегда: его профильная папка хранится на диске С, а учётная запись может быть включена в любой нужный момент.

Разблокировка «учётки» — это снятие её блокировки в результате достижения граничного числа попыток ввода пароля за определённый промежуток времени при входе пользователя в систему. По умолчанию это 3 попытки в течение 30 минут. Если за это время будет произведено больше попыток ввода неверного пароля, система заблокирует возможность новых попыток входа на какое-то время, по умолчанию это 30 минут. И вот чтобы заблокированный пользователь мог совершить очередную попытку входа в систему раньше времени, в его свойствах в оснастке lusrmgr.msc любой другой пользователь-администратор может убрать галочку «Заблокировать учётную запись». При необходимости настройки блокировки учётных записей можно изменить, и это делается, опять же, в редакторе gpedit.msc.

Особенности при работе с учётными записями Microsoft

Возможности lusrmgr.msc по управлению учётными записями применимы как к локальным, так и к тем, что в Windows 8.1 и 10 подключаются к интернет-аккаунту Microsoft. Последние в любом случае являют собой первично локальную «учётку», а аккаунт Microsoft – это уже как дополнительные возможности. Не сможем выполнить лишь те операции, которые по условию возможны только в веб-интерфейсе личного аккаунта Microsoft пользователя.

Запуск раздела Локальные пользователи и группы на ОС Windows 10 и как добавить

Внутренние настройки операционной системы предполагают отдельный блок для работы с определенной группой профайлов. Раздел в Windows 10 называется «Локальные группы и пользователи». Инструмент позволяет регулировать деятельность и количество возможностей участников, добавлять или убирать функции, распределять права. Существует несколько ключевых особенностей, которые важно учитывать при настройке.

Запуск «Локальных пользователей и групп»

Функциональный комплекс, связывающий внутренние профили персонального компьютера, запускается быстро. Специальных навыков и знаний не потребуется. Этапы действий:

• кликнуть одновременно сочетание горячих кнопок «Windows» и «R» (русская раскладка – «Win» и «К»);
• в открывшемся поле «Выполнить» напечатать lusrmgr.msc;

• подтвердить запрос клавишей «Enter» на клавиатуре или «ОК» в поле окна;
• откроется дополнительный интерфейс – группы и пользователи операционной системы в локальном обозначении.

Открытое поле разделено на несколько активных блоков. В верхней части – возможные действия и настройки (стандартные – файл, справка, вид и другие). В основной части – требуемые разделы и профайлы.

Каталог «Пользователи»

В левой части интерфейса отображается название подгрупп – пользователи и, непосредственно, группы из них. В первом блоке отображаются следующие наименования профилей:

• Администратор – профиль, который устанавливается разработчиком, по умолчанию является неактивным (дополнительный пункт безопасности операционки), особенности аккаунта: невозможно удалить или перепрошить, имеет расширенный функционал и доступ к системным файлам (настройкам) персонального устройства;
• Гость – дополнительный акк, также сформированный разработчиками компании Microsoft, второй после административного профиля, права ограничены (основное – просмотр, использование стандартных групп программ). Внимание! Профиль типа «Гость» используется разово. Ограниченное время работы и небольшой набор функций предусмотрены для защиты внутренних данных компьютера или ноутбука;
• WDAGUyilityAccount – аккаунт, возможности которого использует Защитник операционки Windows, если пользователь пытается перейти по небезопасной ссылке или открыть папки (документы, архивы, фото и иные), угрожающие безопасности ПК.

Кроме указанных, отображаются учетки с наименованием «Пользователь» (появляется во время первой активации системы) и HelpAssistent (временный аккаунт, применяется разово приложением Remote Desktop Help Session Manager).

Каталог «Группы»

Список с наименованием «Группы» включает большее количество пунктов. Пользователи разграничиваются по возможностям, набору используемых приложений. В перечень обычно входят следующие группы:

• администраторы – блок считается основным среди представленных, участники имеют право изменять внутренние показатели операционной системы Windows Внимание! Изменять состав участников данной группы нужно осторожно. Аккаунты раздела имеют доступ к системным настройкам, исправлять ошибки в которых достаточно сложно;
• админы Hyper-V – аккаунты имеют доступ к виртуальному механизму компании Microsoft (гипервизор для работы с системами на 64 бита);
• владельцы ПК – папка, по функционалу дублирующая раздел «Администраторы»;
• гости – вход для гостевых профилей персонального устройства;
• криптографические операторы – пользователи работают с криптографическими параграфами устройства (например, использование и настройка цифровых подписей);
• архивные операторы – отдельная группа пользователей, собственники аккаунтов, способны обходить некоторые системные ограничения, создавать или восстанавливать точки соединения и копии резервного типа;
• операторы сети – профили имеют доступ к подключениям сети;
• опытные юзеры – отдельный тип пользователей, используется для оптимизации внутренних процессов операционной системы персонального компьютера. Внимание! В ранних версиях операционки этот класс профилей был ограничен в некоторых наборах функций. В «десятке» предусмотрели запрет на редакцию списка и функционала пользователей данной группы.

Самый большой – раздел пользовательских профайлов, в перечень включают все учетки, которые созданы на персональном устройстве. Обычные пользователи редко сталкиваются с большей частью подгрупп, представленных в списках левой части окна.

Добавление нового пользователя и присоединение его к группе

Чтобы начать использование отдельных функций операционки, необходимо добавить новую запись учетного профиля. Существует несколько способов создания дополнительного локального аккаунта. Инструкция:

• открыть раздел «Учетные записи пользователей»;
• затем – блок «Управление учетными записями»;
• выбрать тип профиля, который нужно создать.

При создании новой учетки следует учитывать несколько ключевых нюансов. В противном случае могут возникнуть неполадки.

Причины и методы решения отсутствия локальных пользователей и групп

В некоторых ситуациях профиль может оказаться неактивным – операционка не реагирует на попытки изменить или скорректировать функционал аккаунта. Это значит, что в управлении персональным компьютером установлен строгий регламент по работе с профайлами (UAC).

Если система после активации нового акка по умолчанию запускает прежний профиль, необходимо исправить некоторые настройки. В окне «Выполнить» ввести «regedit» и «ОК». Затем переключить в пункте «UserSwitch» отдельный параметр «Enabled» (сменить значение на единицу). Затем устройство перезагружают.

Локальные группы и пользователи – это специальный функциональный раздел операционной системы, который позволяет применить дополнительные корректировки к различным профилям. С большей частью групп обычный юзер не сталкивается, поэтому просто менять параметры без специальных навыков и знаний не стоит. Лучше обратиться к мастеру.

Права и группы пользователей в Windows

Группы пользователей Windows и их права

Мы уже обсуждали возможности Windows по настройке прав доступа пользователей к определенным объектам. Данными объектами выступали папки или файлы. Соответственно, мы могли дать некоторым пользователям доступ к выбранным объектам, а некоторым запретить. Права доступа к файлам это одно, а вот как настроить права доступа к определенным компонентам и возможностям операционной системы Windows? Как одному пользователю разрешить пользоваться удаленным рабочим столом, а второму запретить изменять настройки сети или времени? Тут уже обычными правами доступа NTFS не обойтись.

Для решения данной проблемы в Windows есть специальные группы пользователей с определенными правами доступа. Самые известные и наиболее используемые группы пользователей Windows — это группы Администраторы, Пользователи и Гости. Права пользователей входящих в данные группы приблизительно понятны, но сегодня я познакомлю Вас с ними поближе. Кроме этого не стоит забывать, что количество групп пользователей колеблется от 10 до 20-25, поэтому Вам будет интересно узнать про основные из них.

Как изменить права доступа пользователя?

В Windows имеется два инструмента, которые позволяют манипулировать содержимым групп пользователей операционной системы Windows. Другими словами, добавить пользователя в определенную группу или, наоборот, выкинуть его оттуда под силу сразу двум инструментам Windows:

1. Консоль Управление компьютером.
2. Редактор локальной групповой политики.

Рассмотрим оба варианта.

Настройка групп пользователей Windows через консоль Управление компьютером

Как добавить пользователя в группу пользователей Windows:

1. Выполните клик правой кнопкой компьютерной мышки по пункту Мой компьютер.
2. В контекстном меню выберите пункт Управление.
3. В открывшемся окне раскройте узел Локальные пользователи и группы.
4. Выберите узел Группы.
5. В центральном окне выберите необходимую группу и откройте ее.
6. В открывшемся окне выберите пункт Добавить.
7. В следующем окне введите имя пользователя Windows, которого Вы хотите добавить в данную группу. При необходимости воспользуйтесь кнопкой Проверить имена.
8. После выбора пользователя или сразу нескольких пользователей, жмите кнопку ОК.

Как удалить пользователя из группы:

1. Проделайте первые 5 пунктов описанные выше.
2. В открывшемся окне выберите нужного пользователя и нажмите кнопку Удалить.
3. Нажмите ОК.

Работа с группами пользователей Windows в Редакторе локальной групповой политики

Как добавить/удалить пользователя в/из группу/группы пользователей WIndows:

1. Через меню Выполнить откройте Редактор локальной групповой политики. Вызываемый файл носит имя gpedit.msc.
2. Перейдите в узел Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Назначение прав пользователей.
3. Выберите необходимую политику(каждая политика подразумевает в себе определенные права доступа).
4. Далее необходимо действовать по аналогии — для добавления пользователя проделайте пункты 6-8, а для удаления 2-3 из соответствующих пунктов настройки через консоль Управление компьютером.

Разница политик от консоли Управление компьютера в том, что они позволяют настроить права доступа по винтикам. Если группы пользователей Windows в Управлении компьютером имеют довольно обширные права и запреты, то политики позволяют настроить права пользователей Windows до такой мелочи, как возможность изменения времени или часового пояса.

Группы пользователей в Windows и их права доступа

А вот и долгожданный список основных групп пользователей Windows:

• Администраторы. Неограниченный доступ.
• Операторы архива. Члены данной группы имеют права создания резервной копии даже тех объектов, к которым не имеют доступа.
• Опытные пользователи. Толку от них немного, так как группа включена только для совместимости с предыдущими версиями
• Пользователи системного монитора. Есть чудесная вещь под названием Системный монитор(perfmon.msc), с помощью которого можно отследить использование различных ресурсов компьютером. А группа дает доступ к данному инструменту.
• Операторы настройки сети. Члены группы могут изменять параметры TCP/IP.
• Пользователи удаленного рабочего стола. Пользователи этой группы смогут входить в систему через удаленный рабочий стол.
• Пользователи журналов производительности. 4-ая группа дает только поверхностный доступ к Системному монитору. Данная группа дает более полные права.
• Пользователи DCOM. Пользователи группы могут манипулировать объектами распределенной модели DCOM.
• Криптографические операторы. Члены данной группы могут выполнять криптографические операции.
• Читатели журнала событий. Думаю объяснять нету смысла, все предельно ясно.

Данный список может быть намного шире. Тут приведены только основные группы пользователей Windows, которые встречаются практически на всех машинах под управлением операционной системы от Microsoft.

Обзор оснастки «Локальные пользователи и группы»

Посетителей: 30547 | Просмотров: 37163 (сегодня 4) Шрифт:

Оснастка «Локальные пользователи и группы» является важным средством безопасности, поскольку позволяет ограничить возможные действия пользователей и групп путем назначения им прав и разрешений. Одна учетная запись пользователя может входить в несколько групп.

Доступ к этой оснастке можно получить, набрав в командной строке lusrmgr.msc

В левой части открывшегося окна можно видеть две папки — Пользователи и Группы

Папка Пользователи отображает две встроенные учетные записи пользователей — Администратор и Гость , которые создаются автоматически при установке Wundows XP, а также все созданные учетные записи пользователей.

Учетная запись Администратор используется при первой установке операционной системы. Эта учетная запись позволяет выполнять необходимые действия до того, как пользователь создаст свою собственную учетную запись. Учетную запись «Администратор» нельзя удалить, отключить или вывести из локальной группы Администраторы , благодаря чему исключается возможность случайной потери доступа к компьютеру после уничтожения всех учетных записей администраторов. Это свойство отличает учетную запись «Администратор» от остальных членов локальной группы «Администраторы».Учетная запись Гость используется теми, кто не имеет реальной учетной записи на компьютере. Если учетная запись пользователя отключена (но не удалена), он также может воспользоваться учетной записью «Гость». Учетная запись гостя не требует пароля. По умолчанию она отключена, но ее можно включить.

Чтобы добавить учетную запись нового пользователя, щелкните правой кнопкой мыши на папке Пользователи и выберите из выпадающего меню команду Новый пользователь. В открывшемся окне введите данные для создания новой учетной записи. Чтобы удалить учетную запись пользователя, щелкните правой кнопкой мыши на названии учетной записи в правом окне программы и выберите из выпадающего меню Удалить .

Также для конкретной учетной записи можно назначить путь к профилю и сценарию входа (подробнее смотрите в справке).

В папке Группы отображаются все встроенные группы и группы, созданные пользователем. Встроенные группы создаются автоматически при установке Windows XP. Принадлежность к группе предоставляет пользователю права и возможности для выполнения различных задач на компьютере. Далее рассмотрены свойства некоторых встроенных групп:

Администраторы — членство в этой группе по умолчанию предоставляет самый широкий набор разрешений и возможность изменять собственные разрешения. Администраторы имеют полные, ничем неограниченные права доступа к компьютеру или домену. Работа в Windows XP в качестве администратора делает систему уязвимой для троянских коней и других программ, угрожающих безопасности. Простое посещение веб-узла может очень сильно повредить систему. На незнакомом веб-узле может находиться троянская программа, которая будет загружена в систему и выполнена. Если в это время находиться в системе с правами администратора, такая программа может переформатировать жесткий диск, стереть все файлы, создать новую учетную запись пользователя с административным доступом и т. д.

Рекомендуется использовать административный доступ только для выполнения следующих действий:

установки операционной системы и ее компонентов (например драйверов устройств, системных служб и так далее);

установки пакетов обновления;

обновления операционной системы;

восстановления операционной системы;

настройки важнейших параметров операционной системы (политики паролей, управления доступом, политики аудита, настройки драйверов в режиме ядра и так далее);

вступления во владение файлами, ставшими недоступными;

управления журналами безопасности и аудита;

архивирования и восстановления системы.
На практике учетные записи администраторов часто должны использоваться для установки и запуска программ, написанных для предыдущих версий Windows.

Опытные пользователи — эта группа поддерживается, в основном, для совместимости с предыдущими версиями для выполнения несертифицированных приложений. Разрешения по умолчанию, предоставленные этой группе, позволяют членам группы изменять параметры компьютера. Если необходима поддержка несертифицированных приложений, конечные пользователи должны быть членами группы «Опытные пользователи».
Члены группы «Опытные пользователи» имеют больше разрешений, чем члены группы «Пользователи», и меньше, чем члены группы «Администраторы». Опытные пользователи могут выполнять любые задачи с операционной системой, кроме задач, зарезервированных для группы «Администраторы».

Опытные пользователи могут:

выполнять приложения, сертифицированные для Windows 2000 и Windows XP Professional, а также устаревшие приложения;

устанавливать программы, не изменяющие файлы операционной системы, и системные службы;

настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления;

создавать и управлять локальными учетными записями пользователей и групп;

останавливать и запускать системные службы, не запущенные по умолчанию.
Опытные пользователи не могут добавлять себя в группу «Администраторы». Они не имеют доступа к данным других пользователей на томе NTFS, если соответствующие разрешения этих пользователей не получены. Поскольку опытные пользователи могут устанавливать и изменять программы, работа под учетной записью группы «Опытные пользователь» при подключении к Интернету может сделать систему уязвимой для троянских коней и других программ, угрожающих безопасности.

Пользователи — члены этой группы не могут организовывать общий доступ к каталогам или создавать локальные принтеры. Группа «Пользователи» предоставляет самую безопасную среду для выполнения программ. На томе с файловой системой NTFS параметры безопасности по умолчанию только что установленной (не обновленной) системы разработаны, чтобы предотвратить нарушение целостности операционной системы и установленных программ членами этой группы. Пользователи не могут изменять параметры реестра на уровне системы, файлы операционной системы или программы. Пользователи могут выключать рабочие станции, но не серверы. Пользователи могут создавать локальные группы, но управлять могут только теми, которые они создали. Пользователи имеют полный доступ к своим файлам данных и своей части реестра (HKEY_CURRENT_USER). Однако разрешения на уровне пользователя часто не допускают выполнение пользователем устаревших приложений. Участники группы «Пользователи» гарантированно могут запускать только сертифицированные для Windows приложения.

Операторы архива — члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от всех разрешений, которыми защищены эти файлы. Они могут также входить в систему и завершать работу компьютера, но не могут изменять параметры безопасности. Для архивирования и восстановления файлов данных и системных файлов требуются разрешения на чтение и запись. Разрешения по умолчанию для операторов архива, позволяющие им архивировать и восстанавливать файлы, делают для них возможным использование разрешений группы для других целей, например для чтения файлов других пользователей и установки программ с троянскими вирусами.

Гости — члены этой группы по умолчанию имеют те же права, что и пользователи, за исключением учетной записи «Гость», еще более ограниченной в правах.

Операторы настройки сети — члены этой группы могут иметь некоторые административные права для управления настройкой сетевых параметров.

Пользователи удаленного рабочего стола — члены этой группы имеют право на выполнение удаленного входа в систему.

Для того, чтобы добавить учетную запись пользователя в ту или иную группу, щелкните правой кнопкой мыши на названии группы и из выпадающего меню выберите Добавить в группу .

Более подробную справку по выполнению этих и других задач, связанных с учетными записями пользователей и групп, а также более полное описание учетных записей пользователей и групп читайте в справке оснастки «Локальные пользователи и группы».