Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4607 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Донецкий национальный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
os / OC / ЛЕКЦИИ ПО РАЗДЕЛУ «НАСТРОЙКА ОС WINDOWS NT» КУРСА «ОПЕРАЦИОННЫЕ СИСТЕМЫ».doc
Скачиваний:
44
Добавлен:
13.04.2015
Размер:
17.01 Mб
Скачать
►Содержание►

8.2. Планирование и реализация локальной групповой стратегии

Назначение групп – упростить администрирование. Пользователей, которые должны иметь одинаковые права в отношении какого-либо объекта, можно объединить в одну группу. Тогда полномочия, назначенные для группы, будут распространяться на каждого ее участника. Это структурирует и облегчает процесс администрирования. Повторяющиеся права и полномочия можно присваивать на уровне групп, а не каждому пользователю в отдельности.

Локальная группа – это набор пользовательских учетных записей на одном компьютере. В локальной группе пользовательские учетные записи применяются только для данного компьютера. Полномочия членов локальной группы распространяются только на ресурсы того компьютера, на котором создана данная локальная группа. Локальные группы можно создавать на любом компьютере с Windows 2000 Professional.

Серверы Windows 2000 и рабочие станции, работающие под управлением ОС Windows 2000 Professional, имеют встроенные локальные группы. В табл. 8.1 приведено описание встроенных локальных групп.

Таблица 8.1.

Встроенные локальные группы и их описание

Наименование локальной группы

Описание

1

2

Администраторы

(Administrators)

Члены группы могут выполнять все административные задачи на данном компьютере. Встроенная учетная запись Администратор (Administrator), создается при инсталляции операционной системы, является членом этой группы.

Продолжение таблицы 8.1.

1

2

Если автономный сервер или компьютер, работающий под управлением Windows 2000 Professional, присоединяется к домену, группа Администраторы домена (Domain Admins) становится частью этой группы.

Операторы резервного копирования

(Backup Operators)

Члены группы могут входить на данный компьютер, выполнять резервное копирование и восстановление данных на этом компьютере, а также выключать компьютер. Они не могут изменять настройки безопасности. По умолчанию данная группа не содержит членов.

Гости (Guests)

Члены группы могут выполнять только те задачи, на которые получили права от администратора. Они могут использовать только те ресурсы, полномочия доступа к объектам которых им специально предоставил администратор.

Опытные пользователи

(Power Users)

Члены группы могут создавать и модифицировать учетные записи пользователей, а также инсталлировать программы на локальном компьютере, но не могут просматривать файлы других пользователей.

Репликатор (Replicator)

Используется для подключения к службам репликатора на контроллере домена для управления репликацией файлов и папок. В эту группу не следует включать учетные записи реальных пользователей. При необходимости, для подключения к контроллеру домена, можно добавить в эту группу «фиктивную» учетную запись.

Окончание таблицы 8.1.

1

2

Пользователи (Users)

Члены этой группы могут подсоединяться к данному компьютеру, выполнять доступ к сети, сохранять документы и отключать компьютер. Не могут инсталлировать программы или вносить изменения в систему. В эту группу добавляется группа Пользователи домена (Domain Users), если же рядовой сервер или компьютер с Windows 2000 Professional присоединяется к домену.

Для создания новой локальной группы нужно сделать следующее:

1) запустить «Администрирование» из панели управления и в следующем окне выбрать «Управление компьютером». Это приведет к запуску соответствующего приложения. Такого же результата можно было добиться, выбрав пункт «Управление компьютером» в контекстном меню пиктограммы «Мой компьютер»;

2) в появившемся дереве консоли раскрыть узел «Служебные программы» и затем – узел «Локальные пользователи и группы» (рис. 8.3);

3) щелкнуть правой кнопкой мыши на папке «Группы» (или на свободном поле правой половины окна) и выбрать в контекстном меню пункт «Новая группа» (рис. 8.4);

4) в диалоговом окне «Новая группа» (рис. 8.5) ввести имя группы. При необходимости можно ввести и описание группы;

5) щелкнуть на кнопке «Добавить», чтобы добавить членов в группу (это можно сделать и позже);

6) щелкнуть на кнопке «Создать», а затем на кнопке «Закрыть» и в списке групп правой панели появится новая группа.

Рис. 8.3. Просмотр локальных групп пользователей в окне

«Управление компьютером»

Рис. 8.4. Создание новой локальной группы

На рис. 8.6 изображен список операций, отраженный в контекстном меню, которые можно выполнить над локальной группой: добавить пользователей в данную группу, удалить или переименовать группу.

Рис. 8.5. Окно формирования новой группы

Рис. 8.6. Возможные операции над группами

Во время или после создания группы нужно будет включать в нее пользователей. Чтобы добавить членов группы, нужно выполнить следующие шаги:

1) открыть раздел «Группы» в оснастке «Управление компьютером»;

2) открыть свойства выбранной группы, щелкнув правой кнопкой мыши на имени группы. Также можно воспользоваться пунктом «Добавить в группу»;

3) щелкнуть на вкладке «Члены группы» и затем щелкнуть на кнопке «Добавить», чтобы открыть диалоговое окно «Выбор пользователей» (рис. 8.7);

4) выделить учетные записи, которые необходимо добавить. Для выбора нескольких учетных записей можно использовать клавиши Shift и Ctrl;

5) щелкнуть на кнопке «Добавить», после чего вернется окно «Свойства» для данной группы, но уже с добавленными пользователями. Далее нужно щелкнуть на кнопке ОК.

Рис. 8.7. Окно добавления пользователей или групп в новую группу

Отметим, что при планировании групп администратор должен определить схему именования, подходящую для конкретной ситуации. При этом следует принимать во внимания два фактора:

1) группы должны легко распознаваться по именам, тогда во время работы с ними не придется задумываться над их назначением;

2) похожие группы должны иметь сходные имена. Иными словами, если на данном локальном компьютере есть группы для студентов 3-го курса разной специализации, лучше присвоить всем этим группам сходные имена, например, IMStudents, CMMStudents, InfStudents (названия групп означаю специализации студентов: «Индустриальная математика» (IMStudents), «Компьютерно-математическое моделирование» (CMMStudents), «Информатика» (InfStudents)).

Далее необходимо разработать стратегию использования различных групп. Например, пользователей с одинаковыми профессиональными обязанностями нужно включить в одну группу. Других пользователей с одинаковыми требованиями следует включить в другие группы. Например, пользователей с именами _3_g следует включить в группы IMStudents, CMMStudents, а пользователей _3_l – в группу InfStudents. Затем следует определить ресурсы, к которым потребуется доступ пользователей, и создать локальную группу для такого ресурса. Если, например, имеются несколько принтеров, которые используются только некоторыми группами студентов, то можно создать локальную группу с именем Printers.

При необходимости любую группу можно переименовать. Чтобы присвоить группе новое имя воспользуемся ее контекстным меню в оснастке «Локальные пользователи и группы».

1. Щелкнув по имени группы правой клавишей мыши, из появившегося меню надо выбрать пункт «Переименовать» (можно также, выделив имя группы, нажать клавишу F2).

2. Набрать новое имя.

3. Зафиксировать новое имя, нажав клавишу Enter.

Если группа создавалась для эпизодических целей, то оставлять ее после проведения соответствующих работ, связанных с использованием этой группы, нецелесообразно.

С другой стороны, идентификация группы, как и учетной записи, не исчерпывается только именем. Каждая группа, как и каждая учетная запись, имеет уникальный идентификатор безопасности (security identifier – SID). SID используется для идентификации группы и полномочий, присвоенных этой группе. При удалении группы, SID уничтожается и больше не используется. Поэтому, если группа была удалена, а затем вновь создана, то все равно придется заполнять эту группу учетными записями и заново устанавливать полномочия для этой группы, как для новой, даже если ранее существовала группа или учетная запись с таким же именем.

Удалить группу, как и учетную запись, после ее выделения можно нажатием клавиши Delete.

При удалении группы происходит удаление только самой группы и идентификаторов, связанных с этой группой. Удаление не затрагивает учетные записи пользователей, являющихся членами этой группы.

Права группам пользователей можно назначать или удалять локально, т.е. отдельно на каждом компьютере. Хотя надо иметь в виду, что политика, заданная на уровне домена, будет переопределять (замещать) установку локальной политики. Чтобы назначить политику локальным образом, нужно выполнить следующие шаги:

1) открыть окно «Локальная политика безопасности» из меню «Администрирование» Панели управления;

2) открыть «Локальные политики», а затем «Назначение прав пользователей» (см. рис. 8.1). Локальная установка (Local setting) показана в дополнение к действующей установке (Effective setting) (действующие установки – это установки политик, которые действуют после того, как применены установки политик на уровне домена);

3) в правой панели дважды щелкнуть на политике, которую надо назначить, после чего откроется диалоговое окно «Локальная установка политики безопасности», в этом окне появятся имена групп, которым эта политика уже присвоена, к ним можно добавить свою локальную группу;

4) чтобы присвоить своей локальной группе новые права, необходимо щелкнуть на кнопке «Добавить», чтобы выбрать группу (или отдельную учетную запись) в диалоговом окне «Выберите пользователей или группы» (рис. 8.7). Выделить нужную группу, щелкнуть на кнопке «Добавить» и затем щелкнуть на кнопке ОК.

Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности