Типовые задачи администрирования
Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows 2000, поскольку, назначая им права доступа, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера. Обычно право доступа ассоциируется с объектом -_ файлом или папкой. Оно определяет возможность данного пользователя получить доступ к объекту.
Оснастка Локальные пользователи и группы (Local Users and Groups)
Оснастка Локальные пользователи и группы - это инструмент ММС, с помощью которого выполняется управление локальными учетными записями пользователей и групп - как на локальном, так и на удаленном компьютерах. С ним можно работать на рабочих станциях и автономных серверах Windows 2000, как на изолированных, так и рядовых членах домена (member server). На контроллерах домена Windows 2000 инструмент Локальные пользователи и группы недоступен, поскольку все управление учетными записями и группами в домене выполняется с помощью оснастки Active Directory - пользователи и компьютеры (Active Directory Users and Computers). Запускать оснастку Локальные пользователи и группы может любой пользователь. Выполнять администрирование учетных записей могут только администраторы и члены группы Опытные пользователи (Power Users).
Папка Пользователи (Users)
Сразу после установки системы Windows 2000 (рабочей станции или сервера, являющегося членом домена) папка Пользователи содержит две встроенные учетные записи - Администратор (Administrator) и Гость (Guest). Они создаются автоматически при установке Windows 2000. Ниже даны описания свойств обеих встроенных учетных записей:
| Администратор - эту учетную запись используют при установке и настройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Администраторы (Administrators), ее можно только переименовать. |
| Гость - эта учетная запись применяется для регистрации в компьютере без использования специально созданной учетной записи. Учетная запись Гость не требует ввода пароля и по умолчанию блокирована. (Обычно пользователь, учетная запись которого блокирована, но не удалена, при регистрации получает предупреждение и входить в систему не может.) Она является членом группы Гости (Guests). Ей можно предоставить права доступа к ресурсам системы точно так же, как любой другой учетной записи. |
Папка Группы (Groups)
После установки системы Windows 2000 (рабочей станции или сервера, являющегося членом домена) папка Группы (Groups) содержит шесть встроенных групп. Они создаются автоматически при установке Windows 2000. Ниже описаны свойства всех встроенных групп:
| Администраторы (Administrators) - ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автоматически предоставляющая своим членам весь набор встроенных прав. |
| Операторы архива (Backup Operators) - члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности. |
| Гости (Guests) - эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Гость и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы. |
| Опытные пользователи (Power Users) - члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Пользователи, Гости и Опытные пользователи. Члены группы Опытные пользователи не могут модифицировать членство в группах Администраторы и Операторы архива. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий. |
| Реплнкатор (Replicator) - членом группы Репликатор должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи. |
| Пользователи (Users) - члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер. |
Управление учетными записями
В качестве примера использования оснастки Локальные пользователи и группы для работы с учетными записями рассмотрим процедуру создания пользовательской учетной записи.
Создание учетной записи
Для создания учетной записи:
1. | В оснастке Локальные пользователи и группы установите указатель мыши на папку Пользователи и нажмите правую кнопку. В появившемся контекстном меню выберите команду Новый пользователь (New User). |
2. | Появится окно диалога Новый пользователь (New User). В поле Пользователь (User name) введите имя создаваемого пользователя. В поле Полное имя (Full name) введите полное имя создаваемого пользователя. В поле Описание (Description) введите описание создаваемого пользователя или его учетной записи. В поле Пароль (Password) введите пароль пользователя и в поле Подтверждение (Confirm Password) подтвердите его правильность вторичным вводом. Длина пароля не может превышать 14 символов. |
3. | Установите или снимите флажки Потребовать смену пароля при следующем входе в систему (User must change password at next logon), Запретить смену пароля пользователем (User cannot change password), Срок действия пароля не ограничен (Password never expires) и Отключить учетную запись (Account is disabled). |
4. | Чтобы создать еще одного пользователя, нажмите кнопку Создать (Create) и повторите шаги с 1 по 3. Для завершения работы нажмите кнопку Создать и затем Закрыть (Close). |
Имя пользователя должно быть уникальным для компьютера. Оно может содержать до 20 символов верхнего и нижнего регистра. Ниже приведены символы, применение которых в имени пользователя недопустимо:
" / \ I ]:; I =, + *?<>
Имя пользователя не может состоять целиком из точек и пробелов.
Изменение и удаление учетных записей
Изменять, переименовывать и удалять учетные записи можно с помощью контекстного меню, вызываемого щелчком правой кнопки мыши на имени пользователя, либо - меню Действие (Action) на панели меню оснастки Локальные пользователи и группы (при этом в правом подокне оснастки должна быть выбрана модифицируемая или удаляемая учетная запись пользователя).
Поскольку переименованная учетная запись сохраняет идентификатор безопасности (Security Identifier, SID), она сохраняет и все свои свойства, например, описание, полное имя пароля, членство в группах и т. д.
Управление локальными группами Создание локальной группы
Для создания локальной группы:
1. | В окне оснастки Локальные пользователи и группы установите указатель мыши на папке Группы и нажмите правую кнопку. В появившемся контекстном меню выберите команду Новая группа (New Group). |
2. | В поле Имя группы (Group Name) введите имя новой группы. |
3. | В поле Описание (Description) введите описание новой группы. |
4. | В поле Члены группы (Members) можно сразу же добавить пользователей и группы, которые войдут в данную группу: для этого нужно нажать кнопку Добавить (Add) и выбрать их в списке. |
5. | Для завершения нажмите кнопку Создать и затем Закрыть. |
Имя локальной группы должно быть уникальным в пределах компьютера. Оно может содержать до 256 символов в верхнем и нижнем регистрах. В имени группы запрещено применение символа обратного слэша (\).
Изменение членства в локальной группе
Чтобы добавить или удалить учетную запись пользователя из группы:
1. | В окне оснастки Локальные пользователи и группы щелкните на папке Группы. |
2. | В правом подокне установите указатель мыши на модифицируемую группу и нажмите правую кнопку. В появившемся контекстном меню выберите команду Добавить в группу (Add to Group) или Свойства (Properties). |
3. | Для того чтобы добавитв новые учетные записи в группу, нажмите кнопку Добавить. Далее следуйте указаниям окна диалога Выбор: Пользователи или Группы (Select Users or Groups). |
4. | Для того чтобы удалить из группы некоторых пользователей, в поле Члены группы окна свойств группы выберите одну или несколько учетных записей и нажмите кнопку Удалить (Remove). |
В локальную группу можно добавлять как локальных пользователей, созданных на компьютере, так и пользователей и глобальные группы, созданные в домене, к которому принадлежит компьютер; или в доверяемых доменах.
Примечание
Встроенные группы не могут быть удалены. Удаленные группы не могут быть восстановлены. Удаление группы не отражается на входящих в нее пользователей.