Доступ и безопасность
Цель: Научиться создавать учётные записи и группы учётных записей, предоставлять пользователям права доступа к папкам и файлам.
Ход работы:
1. Изучить теоретические положения, составить краткий конспект.
2. Предъявить конспект преподавателю.
3. Выполнить упражнения.
4. Ответить на контрольные вопросы.
Теоретические положения
Управление учетными записями
Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows XP, поскольку, назначая им права доступа, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера. Поскольку работа с учетными записями пользователей и групп в различных версиях Windows выполняется по-разному, мы рассмотрим примеры для каждой системы отдельно.
Windows 7 Professional
В Windows 7 Professional для работы с локальными учетными записями используется оснастка Локальные пользователи и группы. Если компьютер не является членом домена, то в качестве упрощенного средства администрирования можно также использовать утилиту Учетные записи пользователей, которая в Windows 7 Home является единственным инструментом для управления пользователями.
Оснастка Локальные пользователи и группы
Оснастка Локальные пользователи и группы — это инструмент ММС, с помощью которого выполняется управление локальными учетными записями пользователей и групп — как на локальном, так и на удаленном компьютере. Запускать оснастку может любой пользователь, однако выполнять администрирование учетных записей могут только администраторы и члены группы Опытные пользователи.
Папка Пользователи
Сразу после установки системы Windows XP папка Пользователи содержит четыре автоматически создаваемые встроенные учетные записи, перечисленные ниже. Две первые записи имеются и в системах Windows 2000, другие появились только в Windows XP.
Администратор — эту учетную запись используют при установке и настройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Администраторы (Administrators), ее можно только переименовать.
Гость — эта учетная запись применяется для регистрации в компьютере без использования специально созданной учетной записи. Учетная запись Гость не требует ввода пароля и по умолчанию заблокирована.
(Обычно пользователь, учетная запись которого блокирована, но не удалена, при регистрации получает предупреждение, и входить в систему не может.) Она является членом группы Гости. Ей можно предоставить права доступа к ресурсам системы точно так же, как любой другой учетной записи.
Help Assistant — данная запись используется при работе с удаленным помощником.
SUPPORT_388945a0 — компания Microsoft зарезервировала эту запись за собой для поддержки службы поддержки; по умолчанию запись отключена.
Перечисленные учетные записи имеются и в Windows 7 Home. Можете проверить это сами, введя в командной строке net user. Кроме того, могут появляться и другие пользовательские учетные записи.
Например, после установки служб Интернета появляются записи следующего вида:
IUSR _<имяКомпьютера> — встроенная учетная запись для анонимного доступа к службам IIS (например, к веб-серверу или РТР-серверу);
IWAM _<имяКомпьютера> — встроенная запись, которую службы IIS используют для запуска приложений.
Папка Группы
В системах Windows (рабочей станции или сервера, являющегося членом домена) папка Группы содержит шесть встроенных групп. Они создаются автоматически при установке системы. Ниже описаны свойства
этих групп:
Администраторы — ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автоматически предоставляющая своим членам весь набор встроенных прав. По умолчанию содержит всех пользователей, зарегистрированных на компьютере в качестве администраторов (чьи имена были введены при первом запуске системы), включая встроенную учетную запись Администратор. Если компьютер подключен к домену, эта группа также содержит группу Пользователи домена.
Операторы архива — члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности. По умолчанию пуста.
Гости — эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Гость и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы. По умолчанию содержит пользователя Гость.
Опытные пользователи — члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей.
Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Пользователи, Гости и Опытные пользователи. Члены группы Опытные пользователи не могут модифицировать членство в группах Администраторы и Операторы архива. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий. По умолчанию пуста.
Репликатор — членом группы Репликатор должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи. По умолчанию пуста.
Пользователи — члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер. По умолчанию содержит служебные записи прошедшие проверку и интерактивные, а также созданные на компьютере учетные записи с ограниченными правами. Если компьютер подключен к домену, эта группа также содержит группу Пользователи домена.
В системах Windows 7 появились три дополнительных группы:
-Операторы настройки сети (Network Configuration Operators) — группа, члены которой имеют некоторые права по настройке сетевых служб и параметров. По умолчанию пуста.
-Пользователи удаленного рабочего стола (Remote Desktop Users) — эта группа содержит имена пользователей, которым явно разрешен удаленный доступ к рабочему столу.
-HelpServicesGroup (Группа служб поддержки) — группа для поддержки справочной службы (Help and Support Service). По умолчанию содержит учетную запись SUPPORT_388945a0.
Вниман Создание пользовательской учетной записи
Для создания учетной записи:
1. В оснастке Локальные пользователи и группы установите указатель мыши на папку Пользователи и нажмите правую кнопку. В контекстном меню выберите команду Новый пользователь.
2. Появится диалоговое окно Новый пользователь). В поле Пользователь введите имя входа для создаваемого пользователя, В поле Полное имя введите полное имя создаваемого пользователя — это имя будет отображаться в новом меню Пуск и в окне приветствия. (Если полное имя не задано, то отображается имя входа. На изолированном компьютере войти в систему можно с помощью любого имени.) В поле Описание введите описание создаваемого пользователя или его учетной записи. В поле Пароль введите пароль пользователя и в поле Подтверждение подтвердите его правильность вторичным вводом.
3. Установите или снимите флажки Потребовать смену пароля при следующем входе в систему, Запретить смену пароля пользователем, Срок действия пароля не ограничен и Отключить учетную запись.
4. Нажмите кнопку Создать. Чтобы создать еще одного пользователя, повторите шаги с 1 по 3. Для завершения работы нажмите кнопку Закрыть. Созданный пользователь включается в локальную группу Пользователи; вы можете открыть вновь созданную учетную запись и изменить членство пользователя в группах. Имя пользователя должно быть уникальным для компьютера. Оно может содержать до 20 символов верхнего и нижнего регистра. Ниже приведены символы, применение которых в имени пользователя недопустимо: " / \ И:; I =, + *?< >@
Имя пользователя не может состоять целиком из точек и пробелов.