Вычислительные системы, сети и телекоммуникации Лекция 12. Пользователи и группы Проф., д.т.н. Гусева А.И. , ассистент Киреев В.С., аспирант Цыплаков А.C. . 2008 г. Группы Основным инструментом для управления возможностями пользователей в Windows является понятие группы. Под группой понимается набор учетных записей пользователей Использование групп упрощает управление ресурсами системы, когда права и разрешения присваиваются не одному, а сразу нескольким пользователям Права (rights) дают возможность выполнять системную задачу, т.е. создавать новых пользователей или изменять системное время 2 Типы групп В домене Windows 2000-2003 существуют два типа групп: • безопасности (для назначения прав и предоставления доступа к ресурсам) • распространения (для использования приложениями) Кроме того, для группы определяется область действия: • локальная • глобальная • универсальная Свойства групп Название Стандартные члены Назначение Основной режим домена Локальная группа домена Любые учетные записи Доступ к ресурсам одного пользователей, домена компьютеров, глобальных, универсальные группы Глобальная группа Учетные записи пользователей и компьютеров, глобальные группы из того же домена Организация одинаковых требований к системе Универсальная группа Любые учетные записи пользователей, компьютеров, глобальных, универсальных группы Доступ к ресурсам нескольких доменов 4 Свойства групп Название Стандартные члены Назначение Смешанный режим домена Локальная группа домена Любые учетные записи пользователей и компьютеров, глобальные группы Доступ к ресурсам одного домена Глобальная группа Учетные записи пользователей и компьютеров из того же домена Организация одинаковых требований к системе Универсальная группа недоступны ______ 5 Глобальные группы Active Directory При создании домена создаются встроенные глобальные группы в Active Directory Наиболее распространенные глобальные встроенные группы: • администраторы домена Domain Admins • пользователи домена Domain Users • гости домена Domain Guests • администраторы сети в масштабе предприятия Enterprise Admins Глобальная группа обладает ограниченным членством, т. е. в нее можно добавлять пользователей лишь из того домена, где она была создана. Доступ к ресурсам для нее возможен в любом домене Чтобы присвоить глобальной группе права, ее нужно включить в локальную встроенную группу или сделать явное назначение Контейнер Users Active Directory Глобальные группы Active Directory содержатся в контейнере Users Локальные группы Active Directory На контроллере домена Windows 2000-2003 порождаются следующие доменные встроенные локальные группы: • простые пользователи Users • гости Guests • репликаторы Replicator • операторы архива Backup operators • администраторы Administrators • операторы бюджетов Account Operators • операторы печати Print Operators • операторы сервера Server Operators • клиенты младших версий Pre_Windows Контейнер Built-in Active Directory Состав локальных встроенных групп домена и их свойства доступны в контейнере Built-in Active Directory Локальные группы Windows XP На компьютерах под управлением Windows XP по умолчанию создаются следующие локальные группы • простые пользователи Users • гости Guests • привилегированные пользователи Power Users • репликатор Replicator • операторы резервного копирования Backup • • • • • operators администраторы Administrators операторы настройки сети пользователи удаленного рабочего стола группа для центра справки и поддержки группа-отладчик 10 Оснастка Computer Management Пользователь Windows XP по умолчанию попадает в группу Users Встроенные системные группы Состав групп изменять нельзя: •Everyone – все пользователи, как локальные, так и сетевые •System – операционная система •Creator Owner – создатель ресурса •Network – пользователи, получившие доступ к ресурсу по сети •Interactive - пользователи, получившие доступ к ресурсу локально •Authenticated Users – аутентифицированные пользователи сети, которые прошли проверку •Anonymous Logon – все учетные записи, не аутентифицированные Windows •Dialup – пользователи по удаленному соединению Права пользователей и групп Часто назначаемые права: •Сетевой вход •Локальный вход •Архивирование файлов и каталогов •Восстановление файлов и каталогов •Добавление рабочих станций к домену •Завершение работы системы •Загрузка и выгрузка драйверов •Работа с системным временем •Овладение объектами •Принудительное удаленное завершение •Управление аудитом и журналом безопасности Управление правами в Active Directory Оснастка Локальная политика безопасности для управления правами Управление правами на рабочих станциях Оснастка Шаблоны безопасности для управления правами 15 Учетные записи пользователей В Windows 2003 различается три типа учетных записей: •локальные (local user account), позволяют зарегистрироваться на конкретном компьютере и получить доступ к его ресурсам •доменные (domain user account), позволяют подключится к домену и получить доступ к ресурсам сети •встроенные (built-in user account), позволяет администрировать (Administrator) или получить доступ к сетевым или локальным ресурсам (Guest) Доменные пользователи Свойства пользователя домена •свойства бюджета пользователя •членство в группах •входящие звонки •профиль пользователя, домашний каталог, сценарий входа •полное доменное имя пользователя и дополнительные сведения •начальная программа для работы с сервером Terminal •параметры ограничения длительности соединения с системой •удаленное управление службами терминала •профиль для терминального сеанса Локальные пользователи При создании нового пользователя: • имя пользователя • полное имя • описание • задать пароль • смена пароля при каждом входе • можно ли вообще менять пароль • бессрочный ли бюджет пользователя • блокирование бюджета Создание локальных пользователей