Создание, изменение и удаление учетных записей пользователей
Если вы работаете за компьютером в гордом одиночестве, то апплет Учетные записи пользователей вам не нужен. Однако если за компьютером работают несколько пользователей (например, дети и родители, муж и жена и т. д.), целесообразно для каждого пользователя создать отдельную учетную запись. Во-первых, пользователи смогут раздельно работать с документами. Никто не сможет просмотреть ваши документы, а вы не сможете просмотреть документы ваших родственников или коллег по работе. Правда, тут есть ограничения, но о них чуть позже. Во-вторых, у вас будут раздельные параметры меню, рабочего стола, графическая тема и т. д. В-третьих, вы можете назначить, кто является администратором компьютера, т. е. имеет право устанавливать и удалять программы и устройства, а кто – обычным пользователем, который имеет право только использовать уже установленные программы. Понятно, что если за компьютер садится ребенок, то для него нужно создать обычную пользовательскую учетную запись, чтобы он не смог ненароком уничтожить Windows.
Итак, запустите апплет Учетные записи пользователей (рис. 95). Выберите одну из задач:
изменение учетной записи – используется для изменения учетной записи, например изменения имени, изображения, создания пароля (если он еще не установлен), изменения пароля (если он уже установлен);
создание учетной записи – используется для создания новой учетной записи;
изменение входа пользователей в систему – позволяет изменить параметры входа в систему (обычно их не нужно изменять).
Рис. 95. Учетные записи пользователей.
Поскольку за компьютером будут работать несколько пользователей, нужно сначала установить пароль для своей учетной записи (по умолчанию Windows использует автоматический вход в систему с пустым паролем). Выберите задачу Изменение учетной записи или щелкните по вашей учетной записи внизу окна. Для установки пароля выберите команду Создание пароля (рис. 96). После этого введите свой пароль и подтвердите его. Если вы уже установили пароль, то команда Создание пароля не появится, вместо нее будет Изменение пароля. Вы также можете изменить изображение, которое ассоциируется с вашей учетной записью, а также изменить ее имя, пока вы единственный администратор в системе. Однако вы не можете изменить тип учетной записи.
Рис. 96. Изменение учетной записи.
После установки пароля выберите задачу Создание учетной записи. Система сначала запросит имя учетной записи, а затем – тип учетной записи (рис. 97). Если вы создаете учетную запись для своего ребенка, целесообразно установить тип Ограниченная запись. Пользователь, который работает под такой учетной записью, имеет право сменить или удалить свой пароль, изменить оформление пользовательского интерфейса, создавать файлы в своем домашнем каталоге, просматривать файлы в папке «Общие документы», запускать установленные программы. То есть может все, что нужно для нормальной работы в системе.
Рис. 97. Создание новой учетной записи.
После создания учетной записи можно установить для нее пароль и изменить изображение (если нужно).
Теперь, как я и обещал, поговорим об ограничениях. Пользователь не может получить доступа к домашнему каталогу другого пользователя, только если используется файловая система NTFS. Если же используется файловая система FAT32, это ограничение действовать не будет.
В Windows XP Professional изменять и удалять учетные записи пользователей разрешается двумя способами: с помощью категории панели управленияУчетные записи пользователей и оснастки Управление компьютером .
Категория панели управления Учетные записи пользователей (User Accounts) (рис. 2.5) - инструментальное средство позволяющее создавать, изменять и удалять локальные учетные записи пользователей.
Пользователь из группы администраторов может выполнять следующие задачи в разделе Выберите задание
(Pick A Task) категории Учетные записи пользователей
(User Accounts):
изменить учетную запись (включая удаление учетной записи);
создать новую учетную запись пользователя;
изменить способ входа в систему.
Изменение учетной записи
Если вы имеете права администратора, то в разделе Изменение учетной записи
можете изменить любую учетную запись пользователя на компьютере. Когда вы входите в систему под учетной записью пользователя, состав группы Выберите задание
видоизменяется - в ней находятся лишь некоторые из команд, доступных администратору.
Изменение имени. Изменяет имя учетной записи пользователя. Вы увидите эту команду, только если войдете в систему с правами администратора, потому что только администратору разрешено вы поднять эту задачу.
Создание пароля. Создает пароль для вашей учетной записи. Вы увидите эту команду, только если ваша учетная запись пользователя не имеет пароля. Только администратору разрешено создавать пароли для других учетных записей пользователей.
Изменение пароля. Изменяет пароль вашей учетной записи. Вы увидите эту команду вместо опции Создание пароля, только если для вашей учетной записи пользователя уже назначен пароль. Лишь администратор имеет право изменять пароли других учетных записей пользователей.
Удаление пароля. Удаляет пароль вашей учетной записи или любой другой учетной записи на компьютере. Вы увидите эту команду, только если для вашей учетной записи пользователя уже назначен пароль. Только администратор имеет право удалять пароли других учетных записей пользователей.
Изменение изображения. Изменяет изображение, которое появляется на экране приветствия. Только администратор имеет право изменять изображение других учетных записей пользователей.
Изменение типа учетной записи. Изменяет тип указанной учетной записи. Только администратор имеет право изменять тип учетной записи пользователя.
Использовать паспорт.NET. Запускает Мастер паспорта.NET
(Add A .NET Passport To Your Windows XP Professional Account Wizard). Паспорт позволяет проводить интерактивные сеансы связи с семьей и друзьями, создавать собственные личные Web-страницы и регистрироваться в любых службах и на сайтах с поддержкой.NFT Вы можете создать паспорт.NET только для собственной учетной записи.
Удаление учетной записи. Удаляет указанную учетную запись пользователя. Вы увидите эту опцию, только если войдете в систему с правами администратора.
Примечание При удалении учетной записи пользователя Windows XP Professional выводит окноХотите сохранить файлы, принадлежавшие имя_учетной_записи . Если вы щелкнетеСохранить файлы , Windows XP Professional сохранит содержимое рабочего стола и папки Мои документы этой учетной записи на рабочий стол в новую папку с именем имя_учетной_записи. Однако, сообщения электронной почты, избранное из Интернета и другие параметры настройки при этом теряются.
Одно из инструментальных средств управления Windows XP Professional -консоль управления Microsoft
(ММС). Консоль ММС обеспечивает стандартизированный метод создания, сохранения и открытия административных инструментальных средств. Kонсоль ММС не имеет самостоятельных функций администрирования, и включает так называемые оснастки (snap-in), предназначенные для выполнения ряда административных задач.
Администрирование и устранение неполадок в локальном масштабе Вы можете выполнять большинство административных задач и решать многие проблемы при помощи консоли ММС.
Администрирование и устранение неполадок дистанционно. Вы можете использовать большинство оснасток для удаленного администрирования и устранения неполадок. Windows XP Professional выводит диалоговое окно, если есть возможность использован оснастку дистанционно.
Централизованное администрирование. Консоли позволяют выполнять большинство административных задач с одного компьютера. Каждая консоль имеет одну или более оснасток, в том числе и сторонние оснастки, что позволяет создать одну консоль со всеми инструментальными средствами для выполнения административных задач.
Добавляя оснастки в пустую консоль вы настраиваете ее под свои нужды. На рис. 1.6 показана одна из оснасток, которую можно добавить, - Управление компьютером
(Computer Management). Оснастка Управление компьютером
- еще одно инструментальное средство Windows XP Professional для создания, удаления, изменения и отключения локальных учетных записей и изменения паролей.
Рис. 1.6. Оснастка Управление компьютером
Изменение параметров учетных записей
Для каждой локальной учетной записи пользователя в Windows XP Professional по умолчанию задаются определенные параметры, которые после создания локальной учетной записи можно изменить средствами оснастки Управление компьютером
. Параметры учетной записи сгруппированы на трех вкладках диалогового окна Свойства: Имя пользователя: Общие, Членство в группах и Профиль.
Вкладка Общие
диалогового окна Свойства: Имя пользователя (рис. 1.7) позволяет задать или изменить параметры всех полей диалогового окна Новый пользователь
за исключением имени пользователя, пароля и подтверждения пароля. Также на вкладке расположен флажок - Заблокировать учетную запись
(Account Is Locked Out).
Если учетная запись активна и не заблокирована, то флажок Заблокировать учетную запись
недоступен. Система блокирует пользователя, который превышает лимит числа неудачных попыток входа в систему. Эта функция безопасности затрудняет несанкционированный вход в систему. Если система блокирует учетную запись, то флажок Заблокировать учетную запись
становится доступным, и администратор может снять флажок, чтобы разрешить доступ.
Вкладка Членство в группах
(Member Of) в диалоговом окне Свойства: Имя пользователя позволяет добавить учетную запись пользователя в группу или удалить учетную запись из нее.
Вкладка Профиль
(Profile) в диалоговом окне Свойства: Имя пользователя позволяет назначить путь к профилю пользователя, сценарию входа в систему и к домашней папке (рис. 1.8).
Профиль пользователя
(user profile) - это совокупность папок и данных, где хранится ваша текущая конфигурация рабочего стола, параметры настройки программ и личные данные. В ней также содержатся все установленные при входе в систему сетевые подключения, элементы меню Пуск (Start) и подключенные сетевые диски сервера. Профиль пользователя обеспечивает постоянство конфигурации рабочего стола при каждом входе в систему.
Windows XP Professional создает профиль пользователя при первом входе в систему и сохраняет его на компьютере. Этот профиль также называютлокальным профилем пользователя
(local user profile).
При входе в клиентскую систему для пользователя всегда создаются личные параметры рабочего стола и подключения независимо от того, сколько пользователей совместно используют этот клиентский компьютер.
При первом входе в клиентскую систему Windows XP Professional создает для пользователя профиль пользователя по умолчанию. Путь к этому профилю: кopeнь_cucmeмнoгo_дucкa\Documents And Settings\имя_пользователя (обычно C:\Documents And Settings\имя_пользователя), где имя_пользователя - имя, под которым вы вошли в систему.
Профиль пользователя содержит папку Мои документы
, в которой хранятся личные файлы. Мои документы - заданное по умолчанию местоположение для команд Открыть файл (File Open) и Сохранить как (Save As). Элемент Мои документы находится в меню Пуск, что облегчает доступ к личным документам.
Внимание! Пользователи могут сохранять свои документы в папке Мои документы или домашних папках, например в Основном каталоге, расположенном на сетевом сервере. Windows XP Professional автоматически назначает папку Мои документы местоположением для сохранения данных приложений Microsoft по умолчанию. Если на диске С или на диске, где установлена Windows XP Professional, достаточно места, пользователи могут сохранять свои документы в папкеМои документы . Однако при этом значительно увеличивается количество минимального дискового пространства, необходимого для установки Windows XP Professional.
Вы может изменять свой профиль пользователя, корректируя параметры рабочего стола. Например, если вы создаете сетевое подключение или добавляете файл в папку Мои документы (My Documents), Windows XP Professional включает изменения в ваш профиль пользователя при завершении сеанса. При следующем входе в систему это новое сетевое подключение или файл останутся без изменений.
Сценарий входа в систему
- это файл, который можно создать для учетной записи пользователя, чтобы настроить рабочую среду пользователя. Например, вы можете использовать сценарий входа в систему, чтобы установить сетевые подключения или запустить приложения. При каждом входе пользователя в систему выполняется назначенный сценарий входа в систему.
Домашняя папка
. В дополнение к папке Мои документы Windows XP Professional позволяет вам создать домашние папки, чтобы пользователи могли хранить там свои личные документы. Вы можете хранить домашние папки на клиентском компьютере, в общей папке на файловом сервере или в центральном местоположении на сетевом сервере. Хранение всех домашних папок на файловом сервере имеет следующие преимущества:
пользователи имеют доступ к своим домашним папкам с любого клиентского компьютера в сети;
можно централизовать резервное копирование и управление пользовательскими документами, переложив ответственность за это с пользователей на оператора архива или администратора сети.
Внимание! Храните домашние папки на томах NTFS. В этом случае вы сможете использовать разрешения файловой системы NTFS для обеспечения безопасности пользовательских документов. При хранении домашних папок на томах FAT удается ограничить доступ к домашней папке только средствами разрешений общей папки.
2.3. Изучите состав и назначение встроенных рабочих групп.
В Windows ХР Professional предусмотрено две категории встроенных групп, локальные и системные, позволяющие упростить назначение прав и разрешений для часто выполняемых задач.
Группа
(group) - это совокупность учетных записей пользователей. Группы упрощают администрирование, позволяя назначить разрешения и права для группы пользователей, а не индивидуально для каждой учетной записи (рис. 1.9).
Рис. 1.9. Группы упрощают администрирование
Посредством разрешений (permissions) можно определить права пользователей при работе с ресурсами типа папки, файла или принтера. Назначив разрешения, вы предоставляете пользователям доступ к ресурсу и определяете тип доступа, который они имеют. Например, если нескольким пользователям необходимо прочесть некий файл, то можно объединить их учетные записи в группу и затем предоставить этой группе разрешение на чтение этого файла. Права (rights) позволяют пользователям выполнять системные задачи, например изменять время, выполнять архивацию и восстановление файлов.
Локальные группы
Локальная группа (local group) - совокупность учетных записей пользователей на компьютере. Локальные группы используются при назначении разрешений на доступ к ресурсам, постоянно хранящимся на компьютере, где создана локальная группа. Windows ХР Professional создает локальные группы в базе данных локальных политик безопасности.
Подготовка к применению локальных групп
Используйте локальные группы на компьютерах, которые не входят в домен.
Вы можете использовать локальные группы только на компьютере, где они создаются. Хотя локальные группы доступны на рядовых серверах и компьютерах домена на платформе Windows 2000 Server, не используйте локальные группы на компьютерах, которые являются частью домена. Применение локальных групп на компьютерах домена лишает вас возможности централизованного администрирования группы. Локальные группы недоступны в каталоге Active Directory, и вам придется управлять ими отдельно ни каждом компьютере.
Разрешения локальных групп предоставляют доступ к ресурсам только на компьютере, где вы их создаете.
Примечание Нельзя создать локальные группы на контроллерах домена, потому что контроллеры домена не могут иметь независимой от Active Directory базы данных политик безопасности.
Правила членства в локальных группах включают следующее:
локальные группы могут объединять только локальные учетные записи пользователей системы, где эти группы создаются;
локальные группы не могут принадлежать никакой другой группе.
Удаление локальных групп
Для удаления локальных групп используйте оснастку Управление компьютером
(Computer Management). Каждая создаваемая вами группа имеет уникальный идентификатор, который никогда повторно не используется. Windows XP Professional применяет его для идентификации группы и ее разрешений. При удалении группы Windows XP professional снова этот идентификатор не использует, даже если вы создаете новую группу с таким же, как у удаленной группы, именем. Поэтому не удастся восстановить доступ к ресурсам, повторно создав группу.
При удалении группы вы удаляете только группу и ее разрешения и права. При этом не удаляются учетные записи пользователей, которые являются членами группы. Чтобы удалить группу, щелкните правой кнопкой мыши имя группы в оснастке Управление компьютером
, затем щелкните пункт меню Удалить
.
Встроенные локальные группы
Все изолированные серверы, рядовые серверы и компьютеры на платформе Windows XP Professional имеют встроенные локальные группы
(built-in local groups). Они дают право выполнять системные задачи на отдельно взятом компьютере - резервное копирование и восстановление файлов, изменение времени и управление системными ресурсами. Windows XP Professional хранит встроенные локальные группы в папке Группы
(Groups) оснастки Управление компьютером
.
В таблице 2.2 перечислены встроенные локальные группы и описаны их возможности. За исключением отдельно оговоренных случаев, эти группы не имеют исходных членов.
Встроенные системные группы
Встроенные системные группы существуют на всех компьютерах под управлением Windows XP Professional. Системные группы не имеют определенных членств, которые можно изменять, но в них входят различные пользователи в разное время, в зависимости от того, каким образом пользователь получает доступ к системе или ресурсам. Системные группы не видны, когда Вы администрируете группы, но они доступны при назначении прав и разрешений для ресурсов. Windows XP Professional организует членство в системных группах в зависимости от вида доступа к компьютеру, а не от личности пользователя. В таблице 2.3 перечислены встроенные системные группы и описаны их возможности.
Возможности встроенной локальной группы Таблица 2.2
| Локальная группа | Описание |
| Администраторы (Administrators) | Члены этой группы могут выполнять все административные задачи на компьютере. По умолчанию встроенная учетная запись администратора является членом этой группы. Когда к домену подключается рядовой сервер или компьютер на платформе Windows XP Professional, Windows 2000 Server добавляет группуDomainAdmins (Администраторы домена) в локальную группу администраторов |
| Операторы архива(Backup Operators) | Члены этой группы могут выполнять резервное копирование и восстановление системных компонентов с помощью служебной программы Архивация Windows (Windows Backup) |
| Гости (Guests) | Члены этой группы могут: выполнять только задачи, для которых им предоставлены права; пользоваться только теми ресурсами, на доступ к которым они имеют разрешения. Члены этой группы не могут производить постоянные изменения конфигурации рабочего стола. По умолчанию встроенная гостевая учетная запись является членом этой группы. Когда рядовой сервер или компьютер на платформе Windows XP Professional присоединяется к домену, Windows 2000 Server добавляет группу Domain Guests (Гости домена) в локальную группу Гости (Guests) |
| Опытные пользователи (Power Users) | Члены этой группы могут создавать и изменять локальные учетные записи пользователей на компьютере и совместно использовать ресурсы |
| Репликатор (Replicator) | Занимается дублированием файлов в домене |
| Пользователи (Users) | Члены этой группы могут: выполнять только задачи, для которых им были предоставлены права; пользоваться только теми ресурсами, для которых они имеют разрешения. По умолчанию Windows XP Professional добавляет в группу Пользователи (Users) все локальные учетные записи пользователей, которые администратор создает на компьютере. Когда рядовой сервер или компьютер на платформе Windows XP Professional присоединяется к домену, Windows 2000 Server добавляет группу Domain Users (Пользователи домена) в локальную группу Пользователи (Users) |
Возможности встроенных системных групп Таблица 2.3
| Системная группа | Описание |
| Все (Everyone) | Все пользователи, которые имеют доступ к компьютеру. По умолчанию при форматировании тома в NTFS, группе Все (Everyone) предоставляется разрешение полного доступа. Это вызывало проблемы в более ранних версиях Windows, в том числе и Microsoft Windows 2000. В Windows XP Professional анонимный вход в систему теперь не включен в группу Все (Everyone). При переходе с Windows 2000 Professional на Windows XP Professional ресурсы с разрешениями для группы Все (Everyone), а не специально для группы анонимного входа в систему, недоступны группе анонимного входа в систему |
| Прошедшие проверку (Authenticated Users) | Все пользователи с действительными учетными записями пользователя на компьютере. (Если ваш компьютер - часть домена, все пользователи включаются в Active Directory) |
| Создатель-владелец (Creator Owner) | Эта учетная запись пользователя для тех, кто создал или владеет ресурсом. Если ресурс создает член группы администраторов, то ресурсом владеет группа администраторов. |
| Сеть (Network) | Любой пользователь с удаленным подключением к общему ресурсу на этом компьютере. |
| Интерактивные (Interactive) | Учетная запись для пользователя, вошедшего в систему. Члены интерактивной группы могут пользоваться физическими ресурсами системы. При входе в систему они получают доступ к ресурсам компьютера «интерактивно» |
| Анонимный вход (Anonymous Logon) | Любая учетная запись, подлинность которой Windows XP Professional подтвердить не может |
| Удаленный доступ (Dialup) | Любой пользователь, кто в настоящее время имеет удаленный доступ к компьютеру через модем |
ЛАБОРАТОРНЫЕ ЗАДАНИЯ И МЕТОДИЧЕСКИЕ УКАЗАНИЯ
ПО ИХ ВЫПОЛНЕНИЮ
4.1. Первое лабораторное задание
Доступный через панель управления диалог «Управление учетными записями пользователей» имеет очень серьезное ограничение: оно предлагает на выбор только учетные записи типа Обычный доступ или Администратор . Для того чтобы при создании нового пользователя его можно было поместить в какую-либо определенную группу, нужно сделать следующее:
1. Воспользоваться комбинацией клавиш +R для открытия диалога «Выполнить» ;
2. В диалоговом окне «Выполнить» , в поле «Открыть» введите control userpasswords2 и нажмите на кнопку «ОК» ;
3. В диалоговом окне «Учетные записи пользователей» нажмите на кнопку «Добавить» для запуска мастера добавления нового пользователя;
4. В появившемся диалоговом окне «Добавление нового пользователя» введите имя пользователя. Поля «Полное имя» и «Описание» не являются обязательными, то есть их можно заполнять при желании. Нажимаем на кнопку «Далее» ;
5. В диалоге «Введите и подтвердите пароль этого пользователя» введите пароль для данной учетной записи, а затем продублируйте его в поле«Подтверждение» , после чего нажмите на кнопку «Далее» ;
6. Это последний диалог мастера добавления нового пользователя. Здесь необходимо установить переключатель, определяющий группу безопасности, к которой должна относиться данная учетная запись пользователя. Можно выбрать одну из следующих групп: Обычный доступ, Администратор или Другой. Последний переключатель стоит использовать в том случае, если нужно отнести пользователя к какой-то другой группе, созданной по умолчанию в операционной системе Windows 7.
В следующем списке перечислены 15 встроенных групп операционной системы Windows 7. Эти права назначаются в рамках локальных политик безопасности:
· Administrators (Администраторы) . Пользователи, входящие в эту группу, имеют полный доступ на управление компьютером и могут при необходимости назначать пользователям права пользователей и разрешения на управление доступом. По умолчанию членом этой группы является учетная запись администратора. Если компьютер подключен к домену, группа «Администраторы домена» автоматически добавляется в группу «Администраторы» . Эта группа имеет полный доступ к управлению компьютером, поэтому необходимо проявлять осторожность при добавлении пользователей в данную группу;
· Backup Operators (Операторы архива) . Пользователи, входящие в эту группу, могут архивировать и восстанавливать файлы на компьютере независимо от любых разрешений, которыми защищены эти файлы. Это обусловлено тем, что право выполнения архивации получает приоритет над всеми разрешениями. Члены этой группы не могут изменять параметры безопасности.
· Cryptographic Operators (Операторы криптографии) . Членам этой группы разрешено выполнение операций криптографии.
· Debugger Users (Группа удаленных помощников) . Члены этой группы могут предлагать удаленную помощь пользователям данного компьютера.
· Distributed COM Users (Пользователи DCOM) . Членам этой группы разрешено запускать, активировать и использовать объекты DCOM на компьютере.
· Event Log Readers (Читатели журнала событий) . Членам этой группы разрешается запускать журнал событий Windows.
· Guests (Гости) . Пользователи, входящие в эту группу, получают временный профиль, который создается при входе пользователя в систему и удаляется при выходе из нее. Учетная запись «Гость» (отключенная по умолчанию) также является членом данной встроенной группы.
· IIS_IUSRS . Это встроенная группа, используемая службами IIS.
· Network Configuration Operators (Операторы настройки сети) . Пользователи, входящие в эту группу, могут изменять параметры TCP/IP, а также обновлять и освобождать адреса TCP/IP. Эта группа не имеет членов по умолчанию.
· Performance Log Users (Пользователи журналов производительности) . Пользователи, входящие в эту группу, могут управлять счетчиками производительности, журналами и оповещениями на локальном или удаленном компьютере, не являясь при этом членами группы «Администраторы» .
· Performance Monitor Users (Пользователи системного монитора) . Пользователи, входящие в эту группу, могут наблюдать за счетчиками производительности на локальном или удаленном компьютере, не являясь при этом участниками групп «Администраторы» или «Пользователи журналов производительности» .
· Power Users (Опытные пользователи) . По умолчанию, члены этой группы имеют те же права пользователя и разрешения, что и учетные записи обычных пользователей. В предыдущих версиях операционной системы Windows эта группа была создана для того, чтобы назначать пользователям особые административные права и разрешения для выполнения распространенных системных задач. В этой версии операционной системы Windows учетные записи обычных пользователей предусматривают возможность выполнения большинства типовых задач настройки, таких как смена часовых поясов. Для старых приложений, требующих тех же прав опытных пользователей, которые имелись в предыдущих версиях операционной системы Windows, администраторы могут применять шаблон безопасности, который позволяет группе«Опытные пользователи» присваивать эти права и разрешения, как это было в предыдущих версиях операционной системы Windows.
· Remote Desktop Users (Пользователи удаленного рабочего стола) . Пользователи, входящие в эту группу, имеют право удаленного входа на компьютер.
· Replicator (Репликатор) . Эта группа поддерживает функции репликации. Единственный член этой группы должен иметь учетную запись пользователя домена, которая используется для входа в систему службы репликации контроллера домена. Не добавляйте в эту группу учетные записи реальных пользователей.
· Users (Пользователи) . Пользователи, входящие в эту группу, могут выполнять типовые задачи, такие как запуск приложений, использование локальных и сетевых принтеров и блокировку компьютера. Члены этой группы не могут предоставлять общий доступ к папкам или создавать локальные принтеры. По умолчанию членами этой группы являются группы «Пользователи домена» , «Проверенные пользователи» и «Интерактивные» . Таким образом, любая учетная запись пользователя, созданная в домене, становится членом этой группы.
25.12.2007 Кэти Ивенс
Для обслуживания одноранговой сети необходимы инструментальные средства и знания, отличные от тех, которые нужны для работы с доменом. Эти различия весьма наглядно проявляются в сфере управления пользователями. Администратор одноранговой сети лишен возможности задействовать Active Directory (AD) для организации списков пользователей и настроек безопасности, а это значит, что каждый компьютер приходится настраивать индивидуально - выполнение всех задач за одним компьютером исключается.
Для обслуживания одноранговой сети необходимы инструментальные средства и знания, отличные от тех, которые нужны для работы с доменом. Эти различия весьма наглядно проявляются в сфере управления пользователями. Администратор одноранговой сети лишен возможности задействовать Active Directory (AD) для организации списков пользователей и настроек безопасности, а это значит, что каждый компьютер приходится настраивать индивидуально - выполнение всех задач за одним компьютером исключается. Однако, поскольку большинство одноранговых сетей не отличается большими размерами, эта задача не отнимает много времени. Если в одноранговой сети вашего клиента или компании компьютеров стало так много, что управлять ими уже сложно, пожалуй, пришло время рассмотреть возможность организации домена.
В данной статье я рассматриваю некоторые из задач, решаемых в процессе управления учетными записями пользователей в одноранговой сети, включая методы управления отдельными пользовательскими задачами, позволяющие администратору решать многие вопросы не отходя от своего компьютера. Я хочу остановиться на проблемах, которыми администраторы и консультанты часто интересуются в ходе семинаров. В статье я использую термины «одноранговый» (описание метода организации сетей) и «рабочая группа» (в терминологии Windows это группа пользователей сети, построенной по одноранговой топологии), поскольку, по моим наблюдениям, оба эти термина широко применяются ИТ-профессионалами.
Надо отметить, что некоторые из рассматриваемых мною функций не реализованы ни в версиях Windows Vista Home, ни в системе Windows XP Home Edition, в то время как эти системы используются предприятиями малого бизнеса. Дополнительные сведения об этих ограничениях можно получить в справочных файлах упомянутых операционных систем или на Web-сайтах Microsoft, посвященных версиям Windows.
Дублирование учетных записей пользователей на нескольких компьютерах
Жизнь администратора рабочей группы будет проще, если он позаботится о том, чтобы каждый пользователь, обращающийся к разделяемым ресурсам на другом компьютере, имел на этой удаленной системе локальную учетную запись. Если удаленный пользователь не имеет локальной учетной записи, Windows выводит диалоговое окно, показанное на экране 1, в котором пользователь должен вводить имя и пароль для учетной записи, существующей на этом удаленном компьютере.
Такой метод дистанционной регистрации функционирует нормально, если учетная запись Guest на удаленной системе отключена (в таком состоянии данная запись находится по умолчанию). Но удаленный доступ усложняется в том случае, если учетная запись Guest включена; дело в том, что эту учетную запись приходится перенастраивать для того, чтобы пользователи могли решать задачи (по умолчанию учетная запись Guest наделена весьма узким кругом полномочий). Кроме того, мой опыт работы со многими одноранговыми сетями предприятий малого бизнеса не подтверждает положений, содержащихся в документации Microsoft, где стандартное состояние учетной записи Guest часто описывается некорректно.
Некоторые администраторы предпочитают организовывать работу так, чтобы пользователи регистрировались на удаленной системе, поскольку с точки зрения обеспечения безопасности этот метод представляется более эффективным, чем организация автоматического доступа к удаленным системам. Но на практике упомянутый метод почти всегда оказывается менее безопасным. Во многих небольших компаниях, принявших эту парадигму, принято прикреплять к мониторам небольшие листки бумаги с именами пользователей и паролями, необходимыми для доступа к удаленным компьютерам. Небольшие компании, эксплуатирующие одноранговые сети, как правило, не связаны особенно тесными отношениями с другими фирмами, поэтому опасность того, что кто-то посторонний войдет в офис, сядет за компьютер и зарегистрируется на удаленной системе, где хранятся данные компании, относительно невелика. Если предоставить пользователям возможность выбрать компьютер из папки Network и автоматически получить соединение, это не будет создавать такой угрозы, как на больших предприятиях, занимающих целые здания или имеющих несколько офисов, где обнаружить посетителей не так-то просто.
При создании учетной записи пользователя на удаленном компьютере следует применять то же имя и пароль, что и для регистрации на локальной системе. Windows исследует регистрационные учетные данные пользователя, пытающегося обратиться к компьютеру, и проверяет целевую систему на наличие в ней соответствующего регистрационного имени и пароля. Если проверка дает положительный результат, Windows предоставляет пользователю доступ к компьютеру. В противном случае или в ситуации, когда совпадают имена пользователей, а пароли не совпадают, открывается диалоговое окно, показанное на экране 1.
В небольших фирмах, где используются рабочие группы, данные часто хранятся лишь на одном компьютере. Даже в том случае, когда этот компьютер не функционирует под управлением системы Windows Server (а именно в этом состоит очевидное достоинство рабочих групп с финансовой точки зрения), компьютер фактически выступает в роли файлового сервера. Содержимое этого компьютера следует резервировать ежесуточно. При эксплуатации файлового сервера данных, к которому обращаются все пользователи, нужно только создать дубликаты учетных записей пользователей на этом компьютере. Если же данные хранятся на нескольких компьютерах, необходимо создавать пользовательские учетные записи для каждого удаленного пользователя на каждом из этих компьютеров.
Чтобы настроить учетную запись пользователя в соответствии с требуемыми разрешениями, нужно поместить эту учетную запись в соответствующую локальную группу. Когда Windows исследует учетные данные, с тем чтобы определить, существует ли учетная запись удаленного пользователя на целевом компьютере, членство в группах система игнорирует. Если пользователь обращается только к файлам данных и эти файлы данных хранятся в особой разделяемой папке, быстрее и проще использовать другое решение - придать этому пользователю статус пользователя с ограниченными правами, а для определения объема полномочий установить разрешения Full Control for Everyone. В Windows 2000 и более ранних версиях разрешение Full Control for Everyone устанавливается автоматически, в более новых версиях такая возможность не предусмотрена. Кроме того, совместно используемые ресурсы можно настроить таким образом, чтобы разрешения уровня Full Control имели определенные пользователи, даже если эти пользователи регистрируются с помощью учетных записей, имеющих ограниченные полномочия. Создав локальные учетные записи для удаленных пользователей, администратор может выбрать подходящие имена пользователей и назначить каждой папке необходимые разрешения.
Для ограничения доступа к финансовым данным компании в бухгалтерских приложениях реализован метод, который позволяет предоставлять и ограничивать доступ пользователей к данным определенных типов и к записям транзакций. Всем применяющим эти приложения пользователям требуются разрешения уровня Full Control для работы с файлами данных средствами бухгалтерских программ; чтобы выполнять свою повседневную работу, они должны иметь возможность создавать и изменять объекты. Затем можно с помощью реализованной в этих программах функции предоставления разрешений пользователям ограничить те или иные действия последних.
Создание учетных записей пользователей на удаленных компьютерах
Чтобы создавать пользовательские учетные записи для удаленных пользователей и устанавливать их настройки, можно воспользоваться оснасткой в панели управления (речь идет об оснастке User Accounts and Family Safety в системе Vista или об оснастке Users and Passwords в Windows 2000 и более новых версиях). Однако такой метод вряд ли можно считать удобным, ведь администратору придется работать с локального компьютера и иметь дело с каждой системой по отдельности. Кроме того, набор настроек конфигурации, доступный в пользовательской оснастке, ограничен. Но и это еще не все: после того, как вы воспользуетесь этим инструментом, придется еще обратиться к консоли управления компьютером для осуществления тонкой подстройки параметров (таких, как правила применения паролей и членство в группах).
В разделе Local Users and Groups консоли управления компьютерами можно с легкостью создавать учетные записи пользователей. Чтобы создать учетную запись нового пользователя, правой клавишей мыши щелкните на значке My Computer, который расположен на рабочем столе, в раскрывшемся меню выберите пункт Manage, дважды щелкните на элементе Local Users and Groups и в меню Action выберите пункт New User. Эти настройки учетных записей пользователей являются более детальными, чем настройки пользовательской оснастки.
Как показано на экране 2, правило использования пароля можно изменить таким образом, что срок действия пароля никогда не истечет. Эта настройка предпочтительна для рабочих групп, потому что, если учетная запись пользователя настроена на периодическую смену паролей, эти изменения должны реплицироваться на все удаленные компьютеры, к которым обращается пользователь. Если пользователь полагает, что его пароль попал в чужие руки, он может (и должен) открыть пользовательскую оснастку и изменить пароль, а затем внести такие же изменения на каждом удаленном компьютере. Обслуживающие одноранговые сети ИТ-консультанты могут либо проинструктировать пользователей, чтобы при необходимости внесения таких изменений они обращались к консультантам, либо научить их осуществлять необходимые изменения на всех компьютерах, с которыми они работают.
Важнейшее преимущество работы с консолью управления компьютерами состоит в том, что можно обращаться к этой консоли с удаленных систем и создавать учетные записи пользователей на любом компьютере сети, не покидая своего рабочего места. В консоли управления компьютерами правой клавишей мыши нужно щелкнуть на значке Computer Management (Local) и в открывшемся меню выбрать пункт Connect to another computer. Введите имя удаленной системы (или найдите компьютер, нажав кнопку Browse), после чего нажмите ОК.
Еще одно достоинство консоли управления компьютерами заключается в том, что с ее помощью можно также задавать разрешения на обращение к совместно используемым ресурсам для удаленных компьютеров, как показано на экране 3. По мере того как администратор добавляет и настраивает учетные записи пользователей, он может, используя раздел консоли Shared FoldersShares, предоставлять пользователям необходимые разрешения для работы на удаленных компьютерах. Правой клавишей мыши следует щелкнуть на списке совместно используемых ресурсов, в меню выбрать пункт Properties и перейти на вкладку Share Permissions, с тем чтобы настроить разрешения.
Для обращения к консоли управления компьютерами на удаленных системах необходимо иметь на этих компьютерах учетную запись с правами администратора. Поскольку большинство администраторов и консультантов пользуются встроенной учетной записью и паролем администратора для настройки каждого компьютера, вводите эту учетную запись при регистрации на своем компьютере, чтобы иметь доступ ко всем удаленным консолям. Если использовать другое учетное имя с административными правами, Windows предложит ввести имя и пароль пользователя, обладающего административными полномочиями на удаленном компьютере.
Управление и диагностика процесса регистрации
Одноранговые сети наделены множеством средств управления процессом регистрации, которые реализованы и в доменах. Однако администратор не может «одним махом» настроить всю одноранговую сеть, потому что не будет иметь перед собой глобального представления сети, которое обеспечивает служба AD. Компьютеры приходится настраивать по одному. В следующих разделах я расскажу о некоторых наиболее типичных задачах, с которыми администратору придется столкнуться при настройке процедуры регистрации пользователя в системе.
Настройка экранов регистрации . По умолчанию компьютеры XP и Vista, не являющиеся частью домена, не открывают классическое диалоговое окно регистрации Windows Security, в котором содержится адресованное пользователю приглашение нажать комбинацию клавиш Ctrl+Alt+Del, а затем ввести имя пользователя и пароль. Многие администраторы и консультанты (и я в том числе) классические средства безопасности при регистрации в системе предпочитают применяемому по умолчанию в версиях XP и Vista окну приветствия Windows с содержащимся в нем списком пользователей и картинками. Для настройки компьютера XP таким образом, чтобы он открывал для пользователя привычное окно регистрации Windows Security, откройте оснастку панели управления User Accounts. Затем следует выбрать пункт Change the way users log on or off и снять флажок Use the Welcome Screen.
Операционную систему Vista можно настроить так, чтобы она предлагала пользователю нажать комбинацию клавиш Ctrl+Alt+Del. Но после того как пользователь это сделает, на экране опять-таки появится список пользователей и сопровождающие его картинки, и процедура регистрации пойдет так же, как до изменения настроек, приведшего к появлению приглашения нажать комбинацию клавиш Ctrl+Alt+Del. Форсировать появление на экране классического диалогового окна регистрации и отменить появление экрана приветствия, на котором отображаются все имена пользователей, невозможно. Но как бы то ни было, использование комбинации клавиш Ctrl+Alt+Del защищает компьютер от вторжения злоумышленников из Internet. Чтобы добавить этот уровень безопасности, требуется открыть окно командной строки и ввести
control userpasswords2
На экране откроется диалоговое окно User Accounts. В нем нужно перейти на вкладку Advanced и установить флажок Require users to press Ctrl+Alt+Delete. Отметим, кстати, что эта команда доступна и в системе XP - для тех, кто предпочитает работать с командной строкой и не горит желанием открывать окно оснастки посредством щелчков на ссылках и добираться потом до имеющихся настроек.
Переустановка паролей . Все пользователи могут изменять свои пароли в окне пользовательской оснастки. При смене пароля все остальные компоненты пользовательской конфигурации остаются неизменными. Переустановка пароля отличается от смены пароля, поскольку при переустановке пароля пользователь теряет доступ к зашифрованным файлам, зашифрованным сообщениям электронной почты и паролям, которые хранятся на сетевых ресурсах и на узлах Web. Все эти службы должны быть вновь настроены с использованием нового пароля.
Переустановка пароля необходима в случаях, когда пользователь забывает пароль и не может зарегистрироваться на компьютере. Просто диву даешься, как часто такое случается, причем этой ситуации нельзя избежать, заставив пользователей создавать резервные диски для переустановки паролей. Этой теме я планирую посвятить одну из будущих статей данной серии. Чтобы переустановить пароль пользователя, нужно зарегистрироваться с административной учетной записью и открыть пользовательскую оснастку.
В системе Windows 2000 следует выбрать учетную запись пользователя и щелкнуть на кнопке Set Password. Введите новый пароль дважды (с подтверждением) и нажмите ОК. Еще раз нажмите ОК, после чего диалоговое окно Users and Passwords будет закрыто.
В системе XP выберите учетную запись пользователя и щелкните на элементе Change the Password. Введите новый пароль дважды (для подтверждения) и при желании введите подсказку для пользователя, забывшего пароль. Но помните, что эту подсказку может видеть любой пользователь, сидящий за этим компьютером. Завершите операцию нажатием кнопки Change Password.
В системе Vista следует выбрать Manage Another Account, чтобы увидеть все учетные записи, имеющиеся на данном компьютере. Выберите учетную запись нужного пользователя и нажмите кнопку Change the Password. Введите новый пароль дважды (для подтверждения) и при желании введите подсказку для пользователя, забывшего пароль (помните, другие пользователи тоже могут видеть эту подсказку). Завершите операцию нажатием кнопки Change Password.
Взгляд в будущее
За долгие годы работы в Windows IT Pro я получил невероятное количество электронных посланий от читателей. Авторами некоторых из них были специалисты в области ИТ, работающие в небольших компаниях консультантами, много сообщений приходит и от ИТ-профессионалов, желающих заняться предоставлением консалтинговых услуг для предприятий малого бизнеса. Множество проблем и задач в сфере ИТ касаются исключительно одноранговых сетей. Одна из типичных проблем владельцев предприятий состоит в необходимости управлять учетными записями пользователей в одноранговых рабочих группах, и консультанты нередко предпочитают разъяснять пользователям, как решать возникающие проблемы, а не приезжать к клиенту всякий раз, когда тот сталкивается с задачей настройки учетной записи пользователя. В этой статье я рассказал о том, как дублировать учетные записи пользователей на нескольких компьютерах, создавать записи пользователей на удаленных системах, а также управлять процедурой регистрации и устранять возникающие при этом неполадки. В будущих статьях я планирую сосредоточить внимание на задачах и вариантах настройки, связанных с безопасностью пользователей и применением политик, а также на других темах, касающихся эксплуатации одноранговых сетей.
Кэти Ивенс ([email protected]) - старший редактор Windows IT Pro
