Каждая учетная запись обладает определенными правами доступа и привилегиями в системе. Эти права могут выставляться администратором для каждой учетной записи отдельно. Однако это не всегда удобно, т.к. многие пользователи обладают одинаковыми правами доступа, и приходится для соответствующих учетных записей выставлять одни и те же права. Поэтому еще одним инструментом управления разграничением доступа в ОС являются группы.
Группа – это совокупность учетных записей, обладающих одинаковыми правами. Каждая отдельная учетная запись может принадлежать к одной или нескольким группам, и, следовательно, обладать правами группы.
Все группы можно условно разделить на две категории:
- Стандартные группы пользователей создаются автоматически при установке ОС.
- Пользовательские группы – зарегистрированные группы ОС. Такие группы создаются и управляются администратором или пользователем, имеющим соответствующие права.
Далее перечислим и охарактеризуем основные стандартные группы ОС Windows.
Администраторы - членство в этой группе по умолчанию предоставляет самый широкий набор прав и возможность изменять собственные права. По умолчанию членом этой группы является только встроенная учетная запись Администратора. Права Администратора в системе практически неограниченны, хотя учетная запись SYSTEM обладает еще более высокими привилегиями.
В целях безопасности рекомендуется использовать административный доступ только для выполнения следующих действий:
- установки операционной системы и ее компонентов (например, драйверов устройств, системных служб и так далее);
- установки пакетов обновления;
- обновления операционной системы;
- восстановления операционной системы;
- настройки важнейших параметров операционной системы (политики паролей, управления доступом, политики аудита, настройки драйверов в режиме ядра и так далее);
- вступления во владение файлами, ставшими недоступными;
- управления журналами безопасности и аудита;
- архивирования и восстановления системы.
Опытные пользователи - эта группа поддерживается, в основном, для совместимости с предыдущими версиями и для выполнения несертифицированных приложений. Разрешения по умолчанию, предоставленные этой группе, позволяют членам группы изменять параметры ОС. Члены группы Опытные пользователи имеют больше прав, чем члены группы Пользователи, и меньше, чем члены группы Администраторы. Опытные пользователи могут выполнять любые задачи с ОС, кроме задач, зарезервированных для группы Администраторы (например, установка служб и драйверов).
Опытные пользователи могут:
- устанавливать программы, не изменяющие файлы операционной системы, и системные службы;
- настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления.
Опытные пользователи не могут добавлять себя в группу Администраторы. Они не имеют доступа к данным других пользователей на томе NTFS, если соответствующие разрешения этих пользователей не получены.
Пользователи - членами этой группы обычно являются рядовые пользователи системы. Группа Пользователи предоставляет самую безопасную среду для выполнения программ. На разделах с файловой системой NTFS параметры безопасности по умолчанию разработаны, чтобы предотвратить нарушение целостности операционной системы и установленных программ членами этой группы. Пользователи не могут изменять параметры реестра на уровне системы, файлы операционной системы или программы. Они не могут организовывать общий доступ к каталогам или создавать локальные принтеры. Пользователи имеют полный доступ только к своим файлам данных и только к своей части реестра (HKEY_CURRENT_USER). Права на уровне пользователя часто не допускают выполнение пользователем различных приложений. Учетные записи, входящие в группу Пользователи, не могут устанавливать новые приложения в систему и гарантированно могут запускать только сертифицированные приложения. Именно в эту группу по умолчанию попадают вновь созданные учетные записи.
Операторы архива - члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от всех разрешений, которыми защищены эти файлы. Они могут также входить в систему и завершать работу компьютера.
Гости - члены этой группы по умолчанию имеют минимальные права в системе.
Операторы настройки сети - члены этой группы могут иметь некоторые административные права для управления настройкой сетевых параметров.
Пользователи удаленного рабочего стола - члены этой группы имеют право на выполнение удаленного входа в систему.
