Тема 1. Пользователи и группы

реклама
Вычислительные системы, сети и
телекоммуникации
Лекция 12.
Пользователи и
группы
Проф., д.т.н. Гусева А.И. ,
ассистент Киреев В.С.,
аспирант Цыплаков А.C.
.
2008 г.
Группы
Основным инструментом для управления
возможностями пользователей в Windows
является понятие группы. Под группой
понимается набор учетных записей
пользователей
Использование групп упрощает управление
ресурсами системы, когда права и разрешения
присваиваются не одному, а сразу нескольким
пользователям
Права (rights) дают возможность выполнять
системную задачу, т.е. создавать новых
пользователей или изменять системное время
2
Типы групп
В домене Windows 2000-2003 существуют два типа
групп:
• безопасности (для назначения прав и
предоставления доступа к ресурсам)
• распространения (для использования
приложениями)
Кроме того, для группы определяется область
действия:
• локальная
• глобальная
• универсальная
Свойства групп
Название
Стандартные члены
Назначение
Основной режим домена
Локальная
группа домена
Любые учетные записи
Доступ к ресурсам одного
пользователей,
домена
компьютеров, глобальных,
универсальные группы
Глобальная
группа
Учетные записи
пользователей и
компьютеров, глобальные
группы из того же домена
Организация одинаковых
требований к системе
Универсальная
группа
Любые учетные записи
пользователей,
компьютеров, глобальных,
универсальных группы
Доступ к ресурсам
нескольких доменов
4
Свойства групп
Название
Стандартные члены
Назначение
Смешанный режим домена
Локальная
группа домена
Любые учетные записи
пользователей и
компьютеров, глобальные
группы
Доступ к ресурсам одного
домена
Глобальная
группа
Учетные записи
пользователей и
компьютеров из того же
домена
Организация
одинаковых требований
к системе
Универсальная
группа
недоступны
______
5
Глобальные группы Active
Directory
При создании домена создаются встроенные глобальные
группы в Active Directory
Наиболее распространенные глобальные встроенные
группы:
• администраторы домена Domain Admins
• пользователи домена Domain Users
• гости домена Domain Guests
• администраторы сети в масштабе
предприятия
Enterprise Admins
Глобальная группа обладает ограниченным членством, т. е.
в нее можно добавлять пользователей лишь из того домена,
где она была создана. Доступ к ресурсам для нее возможен в
любом домене
Чтобы присвоить глобальной группе права, ее нужно
включить в локальную встроенную группу или сделать
явное назначение
Контейнер Users Active
Directory
Глобальные группы Active Directory
содержатся в контейнере Users
Локальные группы Active
Directory
На контроллере домена Windows 2000-2003
порождаются следующие доменные встроенные
локальные группы:
• простые пользователи Users
• гости Guests
• репликаторы Replicator
• операторы архива Backup operators
• администраторы Administrators
• операторы бюджетов Account Operators
• операторы печати Print Operators
• операторы сервера Server Operators
• клиенты младших версий
Pre_Windows
Контейнер Built-in Active
Directory
Состав локальных встроенных групп домена и их
свойства доступны в контейнере Built-in Active
Directory
Локальные группы Windows XP
На компьютерах под управлением Windows XP по
умолчанию создаются следующие локальные группы
• простые пользователи Users
• гости Guests
• привилегированные пользователи Power Users
• репликатор Replicator
• операторы резервного копирования Backup
•
•
•
•
•
operators
администраторы Administrators
операторы настройки сети
пользователи удаленного рабочего стола
группа для центра справки и поддержки
группа-отладчик
10
Оснастка Computer
Management
Пользователь Windows XP по умолчанию
попадает в группу Users
Встроенные системные
группы
Состав групп изменять нельзя:
•Everyone – все пользователи, как локальные, так и
сетевые
•System – операционная система
•Creator Owner – создатель ресурса
•Network – пользователи, получившие доступ к
ресурсу по сети
•Interactive - пользователи, получившие доступ к
ресурсу локально
•Authenticated Users – аутентифицированные
пользователи сети, которые прошли проверку
•Anonymous Logon – все учетные записи, не
аутентифицированные Windows
•Dialup – пользователи по удаленному соединению
Права пользователей и групп
Часто назначаемые права:
•Сетевой вход
•Локальный вход
•Архивирование файлов и каталогов
•Восстановление файлов и каталогов
•Добавление рабочих станций к домену
•Завершение работы системы
•Загрузка и выгрузка драйверов
•Работа с системным временем
•Овладение объектами
•Принудительное удаленное завершение
•Управление аудитом и журналом безопасности
Управление правами в Active
Directory
Оснастка
Локальная
политика
безопасности
для
управления
правами
Управление правами на рабочих
станциях
Оснастка
Шаблоны
безопасности
для
управления
правами
15
Учетные записи
пользователей
В Windows 2003 различается три типа учетных
записей:
•локальные (local user account), позволяют
зарегистрироваться на конкретном компьютере и
получить доступ к его ресурсам
•доменные (domain user account), позволяют
подключится к домену и получить доступ к
ресурсам сети
•встроенные (built-in user account), позволяет
администрировать (Administrator) или получить
доступ к сетевым или локальным ресурсам
(Guest)
Доменные пользователи
Свойства пользователя
домена
•свойства бюджета пользователя
•членство в группах
•входящие звонки
•профиль пользователя, домашний каталог, сценарий
входа
•полное доменное имя пользователя и
дополнительные сведения
•начальная программа для работы с сервером
Terminal
•параметры ограничения длительности соединения с
системой
•удаленное управление службами терминала
•профиль для терминального сеанса
Локальные пользователи
При создании нового пользователя:
• имя пользователя
• полное имя
• описание
• задать пароль
• смена пароля при каждом входе
• можно ли вообще менять пароль
• бессрочный ли бюджет пользователя
• блокирование бюджета
Создание локальных
пользователей
Скачать