Файловый архив студентов. Файловый архив студентов.
1304 вуза, 5133 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный исследовательский ядерный университет (МИФИ)
Предмет:
Физика
Файл:
1 / UMKD_Guseva_Vychislitelnye_sistemy_2008 / Lekcii / Lekciya_12.doc
Скачиваний:
26
Добавлен:
22.08.2013
Размер:
6.61 Mб
Скачать
►Содержание►

Вычислительные системы, сети и телекоммуникации

Лекция 12

Пользователи и группы

Группы Windows 2003/XP

Основным инструментом для управления возможностями пользователей в Windows 2003 является понятие группы. Под группой понимается набор учетных записей пользователей. Использование групп упрощает управление ресурсами системы, когда права и разрешения присваиваются не одному, а сразу нескольким пользователям. Права (rights) дают возможность выполнять системную задачу, т.е. создавать новых пользователей или изменять системное время.

Группы используются для объединения учетных записей пользователей, учетных записей компьютеров и учетных записей групп в управляемые элементы. Использование групп позволяет упростить обслуживание и администрирование сети.

В настоящее время в доменах Windows известны группы распространения и группы безопасности. Основным инструментом управления возможностями пользователей в Windows 2003 является понятие группы:

  • локальной,

  • глобальной,

  • встроенной

  • системной.

Такое разделение типов групп появляется в продуктах Микрософт, начиная с Windows 2000 и характерно для Active Directory.

В Active Directory группы распространения могут быть использованы для создания списков рассылки электронной почты, а группы безопасности — для задания разрешений на использование общих ресурсов. Если группа создается для контроля доступа к общим ресурсам, эта группа должна быть только группой безопасности. При грамотном использовании группы безопасности обеспечивают эффективное управление доступом к ресурсам сети.

Группы безопасности могут быть локальные, глобальные и системные.

Встроенные локальные и глобальные группы порождаются при инсталляции СОС, другие создаются пользователями в зависимости от задач, которые те выполняют. Состав этих групп может изменяться, т.е. пользователи могут включать и удалять соответствующие бюджеты пользователей в группы.

Состав и членство системных групп устанавливается в момент инсталляции СОС и изменяется только системой.

Таблица 12_1. Характеристики групп

Название

Стандартные члены

Назначение

Основной режим домена

Локальная группа домена

Любые учетные записи пользователей и компьютеров, глобальные и универсальные группы

Доступ к ресурсам одного домена

Глобальная группа

Учетные записи пользователей и компьютеров, глобальные группы из того же домена

Организация пользователей с одинаковыми требованиями к системе

Универсальная группа

Любые учетные записи пользователей и компьютеров, глобальные и универсальные группы

Доступ к ресурсам нескольких доменов

Смешанный режим домена

Локальная группа домена

Любые учетные записи пользователей и компьютеров, глобальные группы

Доступ к ресурсам одного домена

Глобальная группа

Учетные записи пользователей и компьютеров из того же домена

Организация пользователей с одинаковыми требованиями к системе

Универсальная группа

недоступны

______

Локальные группы содержат набор учетных записей на локальном компьютере и предоставляют доступ к ресурсам именно этого компьютера. Windows 2000-2003 создает локальные группы в локальной базе данных безопасности. Локальные группы бывают доменные и изолированные. Созданные на локальном компьютере изолированные группы не отображаются в Active Directory. Локальные группы домена создаются в хранилище Active Directory и используются всеми контроллерами домена. Локальной группе домена можно предоставить разрешения к любому ресурсу на контроллерах домена.

На контроллере домена 2000-2003 порождаются следующие доменные встроенные локальные группы:

  • простые пользователи Users;

  • гости Guests;

  • репликаторы Replicator;

  • операторы архива Backup operators;

  • администраторы Administrators;

  • операторы бюджетов Account Operators;

  • операторы печати Print Operators;

  • операторы сервера Server Operators;

  • клиенты младших версий Pre_Windows.

Состав локальных встроенных групп домена и их свойства доступны в оснастке Active Directory Users and Computers Built-in (рис. 12_1).

Рис. 12_1. Встроенные локальные группы в оснастке Active Directory Windows Server 2003

Локальная группа домена используется для разрешения доступа к ресурсам. Эти группы обладают открытым членством, т.е. в нее можно добавлять членов из любого домена, а разрешить доступ только к ресурсам домена, где она была создана.

При создании домена создаются встроенные глобальные группы в Active Directory. Чтобы присвоить глобальной группе права, ее нужно включить в локальную встроенную группу или сделать явное назначение. К наиболее распространенным глобальным встроенным группам относятся (рис. 12_2):

  • администраторы домена Domain Admins;

  • пользователи домена Domain Users;

  • гости домена Domain Guests;

  • администраторы сети в масштабе предприятия Enterprise Admins.

Глобальная группа обладает ограниченным членством, т. е. в нее можно добавлять пользователей лишь из того домена, где она была создана. Но доступ к ресурсам для нее возможен в любом домене.

Рис.12_2. Глобальные группы и пользователи домена

При инсталляции, на рабочих станциях по умолчанию создаются десять встроенных изолированных локальных групп (рис.12_3):

На рабочих станциях порождаются следующие встроенные локальные группы:

  • Гости

  • Пользователи

  • Опытные пользователи

  • Администраторы

  • Операторы архива

  • Репликатор

  • Пользователи удаленного рабочего стола

  • Операторы настройки сети

  • Отладчики

  • Центр справки и поддержки

Встроенные локальные группы отображаются в оснастке Computer Management в окне Groups. Изначально, в них нет никаких членов, кроме стандартных. Возможности этих групп представлены в таблице 12_2.

Рис. 12_3. Встроенные локальные группы Windows Professional

Для создания новых локальных групп используется оснастка Computer Management . При создании новой локальной группы вводится имя, описание (рис. 4) и добавляются новые члены группы.

Гости

Группа «Гости» позволяет случайным или разовым пользователям войти в систему со встроенной учетной записью гостя рабочей станции и получить ограниченные возможности. Члены группы «Гости» могут только завершить работу системы на рабочей станции.

Пользователи

Группа «Пользователи» является наиболее безопасной, поскольку разрешения по умолчанию, предоставленные этой группе, не позволяют пользователям изменять параметры операционной системы или данные других пользователей. Группа «Пользователи» предоставляет самую безопасную среду для выполнения программ. На томе с файловой системой NTFS параметры безопасности по умолчанию только что установленной (не обновленной) системы разработаны, чтобы предотвратить нарушение целостности операционной системы и установленных программ членами этой группы

Участники группы «Пользователи» могут:

  • гарантированно запускать только сертифицированные для Windows приложения (т.е. для Windows 2000, Windows XP Professional; или системы из семейства Windows Server 2003, проходящие проверку на соответствие требованиям Windows, установленные или развернутые администраторами)

  • выключать и блокировать рабочие станции, но не серверы

  • имеют полный доступ к своим файлам данных и своей части реестра (HKEY_CURRENT_USER)

Члены этой группы не могут

  • организовывать общий доступ к каталогам

  • создавать локальные принтеры.

  • изменять параметры реестра на уровне системы, файлы операционной системы или программы.

Несмотря на то, что по умолчанию пользователи имеют право создавать новые локальные группы, но в данной конфигурации такой возможности у них нет.

Члены группы «Пользователи» ориентированы на выполнение наиболее распространенные задачи, т.е. запуск офисных приложений, использование локальных и сетевых принтеров для печати документов, завершение работы и блокировка рабочих станций и т.д.

Опытные пользователи

Эта группа поддерживается, в основном, для совместимости с предыдущими версиями операционных систем для выполнения не сертифицированных приложений и управления локальными ресурсами рабочей станции. Разрешения по умолчанию, предоставленные этой группе, позволяют членам группы изменять параметры компьютера. Если необходима поддержка не сертифицированных приложений, конечные пользователи должны быть членами группы "Опытные пользователи".

Члены группы "Опытные пользователи" имеют больше разрешений, чем члены группы "Пользователи", и меньше, чем члены группы "Администраторы". Опытные пользователи могут выполнять любые задачи операционной системой, кроме задач, зарезервированных для группы "Администраторы".

Опытные пользователи могут:

  • выполнять приложения, сертифицированные для Windows 2000 и Windows XP Professional, а также устаревшие и не сертифицированные приложения;

  • устанавливать программы, не изменяющие файлы операционной системы, и системные службы;

  • настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления;

  • создавать и управлять локальными учетными записями пользователей и групп;

  • останавливать и запускать системные службы, не запущенные по умолчанию.

Опытные пользователи не могут

  • добавлять себя в группу «Администраторы».

  • изменять системные файлы и службы

  • не имеют доступа к данным других пользователей на томе NTFS, если соответствующие разрешения этих пользователей не получены.

В силу того, что опытные пользователи могут устанавливать и изменять программы, работа под учетной записью группы "Опытные пользователь" при подключении к Интернету может сделать систему уязвимой для троянских коней и других программ, угрожающих безопасности.

Администраторы

Членство в этой группе по умолчанию предоставляет самый широкий набор разрешений и возможность изменять собственные разрешения. Администраторы имеют полные, ничем неограниченные права доступа к рабочей станции.

Рекомендуется использовать административный доступ только для выполнения следующих действий:

  • установки операционной системы и ее компонентов (например, драйверов устройств, системных служб и так далее);

  • установки пакетов обновления;

  • обновления операционной системы;

  • восстановления операционной системы;

  • настройки важнейших параметров операционной системы (политики паролей, управления доступом, политики аудита, настройки драйверов в режиме ядра и так далее);

  • вступления во владение файлами, ставшими недоступными;

  • управления журналами безопасности и аудита;

  • архивирования и восстановления системы.

На практике учетные записи администраторов часто должны использоваться для установки и запуска программ, написанных для предыдущих версий Windows.

Работа в Windows XP в качестве администратора делает систему уязвимой для троянских коней и других программ, угрожающих безопасности. Простое посещение веб-узла может очень сильно повредить систему. На не знакомом веб-узле может находиться троянская программа, которая будет загружена в систему и выполнена. Если в это время находиться в системе с правами администратора, такая программа может переформатировать жесткий диск, стереть все файлы, создать новую учетную запись пользователя с административным доступом и т. д.

Операторы архива

Члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от всех разрешений, которыми защищены эти файлы. Они могут также входить в систему и завершать работу компьютера, но не могут изменять параметры безопасности. Для архивирования и восстановления файлов данных и системных файлов требуются разрешения на чтение и запись. Разрешения по умолчанию для операторов архива, позволяющие им архивировать и восстанавливать файлы, делают для них возможным использование разрешений группы для других целей, например для чтения файлов других пользователей и установки программ с троянскими вирусами.

Пользователи удаленного рабочего стола

Члены этой группы имеют право на выполнение удаленного входа в систему.

В остальном они обладают теми же возможностями, что и члены группы «Пользователи»

Операторы настройки сети

Члены этой группы могут иметь некоторые административные права для управления настройкой сетевых параметров.

Для того чтобы добавить учетную запись пользователя в ту или иную группу, щелкните правой кнопкой мыши на названии группы и из выпадающего меню выберите. Добавить в группу. Более подробную справку по выполнению этих и других задач, связанных с учетными записями пользователей и групп, а так же более полное описание учетных записей пользователей и групп читайте в справке оснастки "Локальные пользователи и группы".

Репликатор

Группа «Репликатор» поддерживает функции репликации каталога. Только член этой группы может иметь учетную запись пользователя домена, которая используется для входа в систему службы репликации контроллера домена. Пароль такой учетной записи не задается. Не рекомендуется добавлять в эту группу учетные записи реальных пользователей.

Помимо рассмотренных встроенных локальных и глобальных групп, в Windows 2000 существуют еще встроенные системные группы, состав которых регулировать нельзя (так как к ним принадлежит любой бюджет, использующий компьютер определенным образом), а назначать полномочия доступа на объекты (например, файлы), можно. К наиболее распространенным встроенным системным группам относятся:

Соседние файлы в папке Lekcii
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности