Учетная запись пользователя windows. Понижение прав пользователя Steve. Встроенная учетная запись "Администратор"

Можно создать отдельные учетные записи и настроить для всех пользователей компьютера. Такое разделение рабочей среды позволяет каждому пользователю хранить свои данные отдельно и настраивать компьютер согласно собственным предпочтениям.

Чтобы корректно загрузить целевую рабочую среду, операционная система должна идентифицировать пользователя, сидящего перед экраном компьютера.

Для однозначного указания себя как пользователя, управляющего компьютером, вам нужно войти в систему, для чего щелкните в списке, расположенном в левой нижней части экрана, на соответствующей учетной записи. После завершения загрузки операционной системы вы увидите на экране меню Пуск и рабочий стол в том состоянии, которые они имели в предыдущем сеансе работы на компьютере. Убедившись в том, что вы вошли под своими учетными данными, можете приступать к работе на компьютере.

Наработавшись вдоволь, вы рано или поздно решитесь отдохнуть и отойти от компьютера. Чтобы предотвратить доступ к компьютеру посторонних пользователей в течение всего времени вашего отсутствия, вам необходимо выйти из системы.

При последующем входе в систему под прежними именем пользователя и паролем (Как создать пароль для учетной записи ) вы найдете все рабочие данные в местах их создания и последнего редактирования. Никто из других пользователей компьютера не будет знать, как выглядит ваша рабочая среда, - ее настройкой и упорядочением занимаетесь исключительно вы. После входа в систему все рабочие документы и другие файлы будут располагаться в папках, в которые вы их поместили ранее.

Другой пользователь вряд ли сможет удалить их, если войдет в систему под своей учетной записью. У каждого из пользователей есть не только собственные папки сохранения рабочих документов, но и собственные списки избранного, системные настройки и многое другое. Само собой, ваш почтовый ящик остается недоступным для всех, кроме вас, равно как и вы не можете несанкционированно просматривать чужие письма.

Как создать аватар учетной записи

До тех пор пока вы не укажете использовать в качестве аватара собственную фотографию или другое графическое изображение, учетная запись в левом нижнем углу окна входа в систему будет обозначаться “пустым” силуэтом. Чтобы добавить в учетную запись собственную фотографию, щелкните на ее названии в верхней части меню Пуск и выберите команду Изменить параметры учетной записи.

В окне настройки учетной записи перейдите в раздел Ваша учетная запись и щелкните на правой панели на значке Камера, расположенном под надписью Создать аватар. Для создания фотографии применяется камера, в текущий момент подключенная к компьютеру (встроенная в ноутбук или планшет). Ваш портрет вас удручает? Приведите себя в порядок, чтобы не выглядеть, как в паспорте! Теперь щелкните на кнопке Обзор и укажите только что созданный снимок, который по умолчанию сохраняется в папке Изображения вашей учетной записи.

Учётная запись пользователя - это запись, которая содержит сведения, необходимые для идентификации пользователя при подключении к системе, а также информацию для авторизации и учёта. Это имя пользователя и пароль (или другое аналогичное средство аутентификации — например, биометрические характеристики). Пароль или его аналог, как правило, хранится в зашифрованном или хэшированном виде (в целях его безопасности).

Для повышения надёжности могут быть, наряду с паролем, предусмотрены альтернативные средства аутентификации — например, специальный секретный вопрос (или несколько вопросов) такого содержания, что ответ может быть известен только пользователю. Такие вопросы и ответы также хранятся в учётной записи.

Учётная запись может содержать следующие дополнительные анкетные данные о пользователе:

• фамилию;
• отчество;
• псевдоним (ник);
• национальность;
• расовую принадлежность;
• вероисповедание
• группу крови;
• резус-фактор;
• возраст;
• дату рождения;
• адрес электронной почты;
• домашний адрес;
• рабочий адрес;
• нетмейловый адрес;
• номер домашнего телефона;
• номер рабочего телефона;
• номер мобильного телефона;
• номер ICQ;
• идентификатор Skype, ник в IRC;
• другие контактные данные систем обмена мгновенными сообщениями;
• адрес домашней страницы и/или блога в Интернете или интранете;
• сведения о хобби;
• сведения о круге интересов;
• сведения о семье;
• сведения о перенесённых болезнях;
• сведения о политических предпочтениях;
• и многое другое

Учётная запись может также содержать одну или несколько фотографий или аватар пользователя. Учётная запись пользователя также может учитывать различные статистические характеристики поведения пользователя в системе: давность последнего входа в систему, продолжительность последнего пребывания в системе, адрес использованного при подключении компьютера, интенсивность использования системы, суммарное и (или) удельное количество определённых операций, произведённых в системе, и так далее.

Создание учетных записей пользователей

В операционной системе Windows 7 можно создавать несколькими способами как учетные записи пользователей для компьютеров, состоящих в рабочих группах, так и учетные записи пользователей для компьютеров, которые входят в состав домена. Домены, рабочие группы и домашние группы представляют разные методы организации компьютеров в сети. Основное их различие состоит в том, как осуществляется управление компьютерами и другими ресурсами.

Рабочая группа - это группа компьютеров, подключенных к сети, которые совместно используют ресурсы. При настройке сети операционная система Windows автоматически создает рабочую группу и присваивает ей имя по умолчанию.

Домен — это группа компьютеров одной сети, имеющих единый центр, использующий единую базу пользователей, единую групповую и локальную политики, единые параметры безопасности, ограничение времени работы учётной записи и прочие параметры, значительно упрощающие работу системного администратора организации, если в ней эксплуатируется большое число компьютеров.

Создание учетных записей пользователей для компьютеров, состоящих в рабочей группе

В операционной системе Windows 7 для компьютеров, которые состоят в рабочей или домашней группе, учетные записи можно создавать следующими способами:

Создание учетной записи при помощи диалога «Управление учетными записями пользователей»

Для того чтобы создать учетную запись при помощи диалога «Учетные записи пользователей» , нужно сделать следующее:

Имя пользователя не должно совпадать с любым другим именем пользователя или группы на данном компьютере. Оно может содержать до 20 символов верхнего или нижнего регистров, за исключением следующих: " / \ : ; | = , + * ? <> @, а также имя пользователя не может состоять только из точек и пробелов.

В этом диалоге, можно выбрать одну из двух типов учетных записей: «обычные учетные записи пользователей» , которые предназначены для повседневной работы или «учетные записи администратора» , которые предоставляют полный контроль над компьютером и применяются только в необходимых случаях.

Создание учетной записи при помощи диалога «Учетные записи пользователей»

Доступный через панель управления диалог «Управление учетными записями пользователей» имеет очень серьезное ограничение: оно предлагает на выбор только учетные записи типа Обычный доступ или Администратор . Для того чтобы при создании нового пользователя его можно было поместить в какую-либо определенную группу, нужно сделать следующее:

В следующем списке перечислены 15 встроенных групп операционной системы Windows 7. Эти права назначаются в рамках локальных политик безопасности:

• Administrators (Администраторы) . Пользователи, входящие в эту группу, имеют полный доступ на управление компьютером и могут при необходимости назначать пользователям права пользователей и разрешения на управление доступом. По умолчанию членом этой группы является учетная запись администратора. Если компьютер подключен к домену, группа «Администраторы домена» автоматически добавляется в группу «Администраторы» . Эта группа имеет полный доступ к управлению компьютером, поэтому необходимо проявлять осторожность при добавлении пользователей в данную группу;
• Backup Operators (Операторы архива) . Пользователи, входящие в эту группу, могут архивировать и восстанавливать файлы на компьютере независимо от любых разрешений, которыми защищены эти файлы. Это обусловлено тем, что право выполнения архивации получает приоритет над всеми разрешениями. Члены этой группы не могут изменять параметры безопасности.
• Cryptographic Operators (Операторы криптографии) . Членам этой группы разрешено выполнение операций криптографии.
• Debugger Users (Группа удаленных помощников) . Члены этой группы могут предлагать удаленную помощь пользователям данного компьютера.
• Distributed COM Users (Пользователи DCOM) . Членам этой группы разрешено запускать, активировать и использовать объекты DCOM на компьютере.
• Event Log Readers (Читатели журнала событий) . Членам этой группы разрешается запускать журнал событий Windows.
• Guests (Гости) . Пользователи, входящие в эту группу, получают временный профиль, который создается при входе пользователя в систему и удаляется при выходе из нее. Учетная запись «Гость» (отключенная по умолчанию) также является членом данной встроенной группы.
• IIS_IUSRS . Это встроенная группа, используемая службами IIS.
• Network Configuration Operators (Операторы настройки сети) . Пользователи, входящие в эту группу, могут изменять параметры TCP/IP, а также обновлять и освобождать адреса TCP/IP. Эта группа не имеет членов по умолчанию.
• Performance Log Users (Пользователи журналов производительности) . Пользователи, входящие в эту группу, могут управлять счетчиками производительности, журналами и оповещениями на локальном или удаленном компьютере, не являясь при этом членами группы «Администраторы» .
• Performance Monitor Users (Пользователи системного монитора) . Пользователи, входящие в эту группу, могут наблюдать за счетчиками производительности на локальном или удаленном компьютере, не являясь при этом участниками групп «Администраторы» или «Пользователи журналов производительности» .
• Power Users (Опытные пользователи) . По умолчанию, члены этой группы имеют те же права пользователя и разрешения, что и учетные записи обычных пользователей. В предыдущих версиях операционной системы Windows эта группа была создана для того, чтобы назначать пользователям особые административные права и разрешения для выполнения распространенных системных задач. В этой версии операционной системы Windows учетные записи обычных пользователей предусматривают возможность выполнения большинства типовых задач настройки, таких как смена часовых поясов. Для старых приложений, требующих тех же прав опытных пользователей, которые имелись в предыдущих версиях операционной системы Windows, администраторы могут применять шаблон безопасности, который позволяет группе «Опытные пользователи» присваивать эти права и разрешения, как это было в предыдущих версиях операционной системы Windows.
• Remote Desktop Users (Пользователи удаленного рабочего стола) . Пользователи, входящие в эту группу, имеют право удаленного входа на компьютер.
• Replicator (Репликатор) . Эта группа поддерживает функции репликации. Единственный член этой группы должен иметь учетную запись пользователя домена, которая используется для входа в систему службы репликации контроллера домена. Не добавляйте в эту группу учетные записи реальных пользователей.
• Users (Пользователи) . Пользователи, входящие в эту группу, могут выполнять типовые задачи, такие как запуск приложений, использование локальных и сетевых принтеров и блокировку компьютера. Члены этой группы не могут предоставлять общий доступ к папкам или создавать локальные принтеры. По умолчанию членами этой группы являются группы «Пользователи домена» , «Проверенные пользователи» и «Интерактивные» . Таким образом, любая учетная запись пользователя, созданная в домене, становится членом этой группы.

Создание учетной записи при помощи оснастки «Локальные пользователи и группы»

Оснастка расположена в компоненте «Управление компьютером» , представляющем собой набор средств администрирования, с помощью которых можно управлять одним компьютером, локальным или удаленным. Оснастка «Локальные пользователи и группы» служит для защиты и управления учетными записями пользователей и групп, размещенных локально на компьютере. Можно назначать разрешения и права для учетной записи локального пользователя или группы на определенном компьютере (и только на этом компьютере).

Использование оснастки «Локальные пользователи и группы» позволяет ограничить возможные действия пользователей и групп путем назначения им прав и разрешений. Право дает возможность пользователю выполнять на компьютере определенные действия, такие как архивирование файлов и папок или завершение работы компьютера. Разрешение представляет собой правило, связанное с объектом (обычно с файлом, папкой или принтером), которое определяет, каким пользователям, и какой доступ к объекту разрешен.

Для того чтобы создать локальную учетную запись пользователя при помощи оснастки «Локальные пользователи и группы» , нужно сделать следующее:

Для того чтобы добавить пользователя в группу, дважды щелкните имя пользователя для получения доступа к странице свойств пользователя. На вкладке «Членство в группах» нажмите на кнопку «Добавить» .

В диалоге «Выбор группы» можно выбрать группу для пользователя двумя способами:

Создание учетной записи при помощи командной строки

Помимо вышеперечисленных способов, учетные записи пользователей можно создавать, изменять и удалять при помощи командной строки. Для этого нужно выполнить следующие действия:

1. Запустите командную строку от имени администратора;
2. Для создания учетной записи при помощи командной строки используйте команду net user .

Команда net user используется для добавления пользователей, установки паролей, отключения учетных записей, установки параметров и удаления учетных записей. При выполнении команды без параметров командной строки отображается список учетных записей пользователей, присутствующих на компьютере. Информация об учетных записях пользователей хранится в базе данных учетных записей пользователей.

Пример команды:

Net user User /add /passwordreq:yes /times:monday-friday,9am-6pm/fullname:"New user"

Используемые параметры:

/add - этот параметр указывает, что необходимо создать новую учетную запись;

/passwordreq - этот параметр отвечает за то, чтобы при первом входе в систему пользователь сменил свой пароль;

/times - этот параметр определяет, сколько раз пользователю разрешено входить в систему. Здесь можно указывать как единичные дни, так и целые диапазоны (например Sa или M-F). Для указания времени допускается как 24-часовый формат, так и 12-часовый формат;

/fullname - этот параметр идентичен полю «Полное имя» при создании пользователя предыдущими способами.

Создание учетных записей пользователей для компьютеров, состоящих в домене

В серверной операционной системе Windows Server 2008 или Windows Server 2008 R2 в домене Active Directory учетные записи пользователей можно создавать шестью способами. Рассмотрим подробно каждый из них:

Создание пользователей при помощи оснастки «Active Directory - пользователи и компьютеры»

Для создания нового пользователя в домене при помощи оснастки «Active Directory - пользователи и компьютеры» нужно сделать следующее:

Создание пользователей с помощью командной строки

Для автоматизации создания любых объектов в домене Active Directory можно использовать команду DSADD USER UserDN , при помощи которой можно создавать объекты пользователей и принимать параметры, указывающие его свойства. Нового пользователя при помощи командной строки можно создать следующим образом:

Dsadd user "CN=Дмитрий Буланов,OU=Кадры,DC=server,DC=com" -samid Dmitry.bulanov -pwd * -mustchpwd yes -profile \\server01\Profiles\dmitry.bulanov -fn "Дмитрий" -ln "Буланов" -display "Дмитрий Буланов" -upn [email protected]

Определение используемых параметров:

Samid - указывает имя входа пользователя;

Pwd - этот параметр определяет пароль для учетной записи пользователя. Если указывать символ *, то будет предложено ввести пароль пользователя;

Mustchpwd - указывает, что пользователь должен изменить свой пароль при следующем входе в систему;

Profile - указывает путь к профилю учетной записи пользователя;

Fn - указывает имя пользователя;

Ln - указывает фамилию пользователя;

Display - указывает отображаемое имя пользователя;

Upn - указывает имя входа пользователя (пред-Windows 2000).

Импорт пользователей с помощью команды CSVDE

Утилита командной строки CSVDE позволяет импортировать и экспортировать объекты Active Directory в виде текстового файла с разделенными запятыми (Comma-Separated Values, *.csv). Эти файлы можно создавать и изменять при помощи таких программ, как Блокнот или, например, Microsoft Office Excel. Эта утилита - способ автоматизации создания учетных записей пользователя на основе информации пользователей из базы данных Excel и Microsoft Office Access. Команда импортирует текстовый файл, в котором строка определяет атрибуты импорта с помощью их имен LDAP. Синтаксис команды следующий:

Csvde -i -f имя_файла -k

Параметр i указывает режим импорта, а параметр k используется для игнорирования ошибок.

CSV файл должен выглядеть следующим образом:

DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName "cn=Дмитрий Буланов,ou=Пользователи,dc=server,dc=com",user,Dmitry.bulanov,Буланов,Дмитрий,[email protected]

Импортировать пароли при помощи команды CSVDE нельзя.

Импорт пользователей с помощью команды LDIFDE

При помощи команды LDIFDE также можно импортировать и экспортировать объекты Active Directory. В данном случае используется стандарт файлового формата LDIF (Lightweight Directory Access Protocol Data Interchange Format). Этот файловый формат состоит из блока строк, которые вместе образуют одну операцию. Разные операции разделяются пустой строкой. Каждая строка содержит имя атрибута, а после него должно стоять двоеточие со значением атрибута. Далее можно увидеть листинг LDIF файла:

DN: CN=Дмитрий Буланов, OU=пользователи, DC=server, DC=com changeType: add CN: Дмитрий Буланов objectClass: user sAMAccountName: Dmitry.bulanov userPrincipalName: [email protected] givenName: Дмитрий sn: Буланов displayName: Дмитрий Буланов

Файл можно создавать в такой программе как Блокнот, но сохранять его нужно с расширением *.ldf. в командной строке введите следующее:

Ldifde -i -f имя_файла -k

Создание пользователей с помощью Windows PowerShell

При помощи Windows PowerShell для создания пользователя в Active Directory пользователя можно создать следующим образом:

1. Подключитесь к контейнеру, в котором будет создан объект;
2. Примените метод Create совместно с классом и отличительным именем RDN;
3. Заполните атрибуты при помощи метода Put;
4. Подтвердите изменения при помощи метода SetInfo.

$ObjOU="LDAP://OU=Пользователи,DC=server,DC=com" $ObjUser=$ObjOU.Create("user", "CN=Дмитрий Буланов") $ObjUser.Put("sAMAccountName", "dmitry.bulanov") $ObjUser.Put("userPrincipalName", "dmitry.bulanov @server.com") $ObjUser.Put("displayName", "Дмитрий Буланов") $ObjUser.Put("givenName", "Дмитрий") $ObjUser.Put("sn", "Буланов") $ObjUser.Put("description", "Тестировщик программного обеспечения") $ObjUser.Put("company", "Company") $ObjUser.Put("department", "Отдел тестирования") $ObjUser.Put("title", "Тестировщик программного обеспечения") $ObjUser.Put("mail", " dmitry.bulanov @server.com ") $ObjUser.Put("c", "UA") $ObjUser.Put("postalCode", "73003") $ObjUser.Put("st", "Херсон") $ObjUser.Put("l", "Херсон") $ObjUser.Put("streetAddress", "Улица") $ObjUser.Put("postOfficeBox", "Номер дома") $ObjUser.SetInfo() $ObjUser.SetPassword("P@ssword") //$ObjUser.Put("pwdLastSet", 0) - для смены пароля при следующем старте $ObjUser.psbase.InvokeSet("AccountDisabled",$false) $ObjUser.SetInfo()

Можно вводить все строки вручную, а можно использовать *.ps1-файлы для автоматизации создания новых пользователей. Для того, чтобы разрешить Windows PowerShell открывать скрипты, введите следующую команду:

Set-ExecutionPolicy RemoteSigned

Политика выполнения указывает сценарии, которые можно запускать. После назначения политики выполнения можно запустить сценарий, но если указывать для запуска только имя сценария, то может возникнуть ошибка. Чаще всего нужно будет указывать еще и путь к самому сценарию.

Создание пользователей с помощью VBScript

В связи с тем, что VBScript также как и Windows PowerShell использует интерфейс ADSI для манипулирования объектами в Active Directory, процесс создания пользователя в VBScript идентичен созданию пользователя в Windows PowerShell. Прежде всего, сценарий подключается к контейнеру OU, в котором будет создан пользователь. После чего сценарий применит к объекту ADSI инструкцию GetObject. При присвоении объекта переменной, для создания объектной ссылки используется инструкция Set.

После этого активизируется метод Create для создания объекта конкретного класса так же, как и в PowerShell. Далее используется метод Put, но аргументы заключаются в круглые скобки. Последняя строка - идентична Windows PowerShell. Пример скрипта:

Set objOU=GetObject(“LDAP: //OU=Пользователи,DC=server,DC=com”) Set objUser=objOU.Create(“user”,”CN=Дмитрий Буланов”) objUser.Put “sAMAccountName”,” dmitry.bulanov” objUser.Put “displayName”,” Дмитрий Буланов” objUser.Put “givenName”,” Дмитрий” objUser.Put “sn”,” Буланов” ObjUser.SetInfo()

Заключение

В этой части статьи рассказывается об учетных записях пользователя. Учётная запись пользователя - это запись, которая содержит сведения, необходимые для идентификации пользователя при подключении к системе, а также информацию для авторизации и учёта. Были рассмотрены методы создания локальных учетных записей пользователей и пользователей домена. В следующей части статьи будут рассмотрены методы управления учетными записями пользователей, а также управления учетными данными для автоматического входа при помощи компонента «Диспетчер учетных данных».

На каждом компьютере с установленной ОС Windows можно работать нескольким пользователям, имеющим свои персональные настройки и параметры операционной системы. Такую возможность представляет очень полезная функция учетных записей Windows.

Что такое учетная запись?

Учетная запись позволяет настроить индивидуальное рабочее окружение для каждого пользователя и разграничить права на компьютере. Это в некоторой мере напоминает членов одной семьи, у каждого из них имеется своя комната, обустроенная по своему вкусу, и где он может заниматься чем хочет, но в рамках дозволенного главой семьи, у которого есть один универсальный ключ ко всем дверям комнат. Так же и в компьютере с учетными записями: каждый пользователь может настроить вид , вывести свои на рабочий стол, настроить цветовую схему системы под себя, установить нужные ему программы и т.д. Но опять же в рамках дозволенного администратором (по аналогии с комнатами – главой семьи).

При такой организации совместной работы на одном компьютере, у каждого пользователя имеется пространство для хранения личных данных, защищенное паролем и недоступное другим. К тому же исключается риск по ошибке удалить чужую информацию.

Учетные записи в Windows могут быть 3 типов: администратор, стандартная и гость.

Администратор

Администратор на компьютере обладает полными правами и полномочиями, он может войти к любому пользователю на компьютере и вносить любые изменения, как в его личные настройки, так и в основные на компьютере. Администратором на компьютере должен быть опытный пользователь, во избежание внесения каких-либо фатальных ошибок в систему.

Стандартная учетная запись

Стандартная учетная запись (или обычный доступ) позволяет работать пользователю в рамках его прав, определенных администратором. По умолчанию, пользователь с обычным доступом может запускать большинство программ и вносить изменения в операционную систему, не затрагивающие других пользователей.

Учетная запись Гость

Запись с самыми минимальными правами. Используется для предоставления доступа постороннему с разрешением «только посмотреть».

На любом компьютере с операционной системой Windows есть хотя бы одна учетная запись администратора, которая была создана при установке системы.

Создание учетной записи

Для создания новой учетки щелкните по кнопке «Пуск ». В открывшемся , вверху справа щелкните по иконке учетной записи.

Откроется окно настроек, где кликните мышкой по «Управлению другой учетной записью ». В следующем окне щелкните по «Создание учетной записи », где введите имя и тип учетной записи, после чего нажмите кнопку «Создание учетной записи ».

Мы создали новую учетку и теперь ее можно настроить

Настройка учетной записи

Для настройки опять войдите в окно учетных записей пользователей и выберите пункт «Управление другой учетной записью », в котором щелкните по имени пользователя, учетку которого нужно настроить. В открывшемся окне выберите пункт настроек: изменение имени, создание пароля, изменение рисунка, установка родительского контроля, изменение типа учетной записи, удаление учетной записи.

Для переключения между пользователями нет необходимости перезагружать компьютер, достаточно щелкнуть по кнопке «Пуск », щелкнуть по стрелочке рядом с пунктом «Завершить работу » и выбрать в меню пункт «Сменить пользователя ».

Теперь, после прочтения материала, вы можете создавать и настраивать учетные записи пользователей.

Для защиты сетевых ресурсов от несанкционированного доступа необходимо

при входе в сеть проверять подлинность каждого пользователя. Каждый

пользователь должен иметь допустимое имя учетной записи и правильный

пароль. Имя учетной записи определяет пользователя в домене

единственным образом. Наличие пароля дает возможность доступа к

учетной записи только тем пользователям, которые этот пароль знают.

После проверки подлинности пользователя он получает доступ к

компьютерам сети.

Чтобы облегчить работу администратору сети, можно организовать

пользователей в группы и уже этим группам давать разрешения на доступ

к сетевым ресурсам. Контролировать виды действий, которые пользователи

будут выполнять в сети, можно с помощью предоставления им

соответствующих прав.

В порядке осуществления дополнительных мер безопасности можно

защитить сетевые ресурсы с помощью разрешений на доступ к файлам,

папкам и общим папкам.

Учетные записи пользователя





Учетные записи пользователя позволяют индивидуальным пользователям

получать доступ к сетевым ресурсам. Учетная запись пользователя. это

однозначно определенный набор учетных данных, который распознается

сетью. Администратор создает учетную запись пользователя для каждого,

кто регулярно пользуется сетью. Администратор также назначает и

поддерживает имена пользователя и пароли для каждой учетной записи

пользователя. В операционной системе Microsoft® Windows® 2000

существуют учетные записипользователя двух видов: локальные учетные

записи пользователя и учетные записи пользователя домена.

Локальная учетная запись пользователя создается в локальной базе данных

безопасности, что дает пользователю возможность входить на конкретный

компьютер и получать доступ к ресурсам этого компьютера. Обычно это

происходит в рабочих группах. Если компьютер является членом рабочей

группы, учетная запись хранится на этом локальном компьютере. С помощью

этой учетной записи пользователь получает доступ только к ресурсам

данного компьютера.

С помощью учетной записи пользователя домена пользователь может

входить в домен для доступа к сетевым ресурсам. Пользователь, имеющий

учетную запись домена, может получить доступ ко всем ресурсам этого

В домене можно иметь как учетную запись пользователя домена, так и

учетную запись пользователя на локальном компьютере. Эти учетные

записи, так называемые, учетные записи, определяемые пользователем,

может создать администратор. Учетная запись пользователя может

храниться в одном из двух мест: в локальной базе данных безопасности,

если компьютер не является контроллером домена, или в службе каталогов

Active Directory..

система Windows 2000 предоставляет по умолчанию две встроенных

учетных записи пользователя. Эти учетные записи можно использовать

при выполнении задач администрирования или для временного получения

доступа к сетевым ресурсам. Существуют встроенные учетные записи

пользователя как для локальных компьютеров, так и для доменов.

Локальные учетные записи пользователя

Чтобы получить доступ к ресурсам локального компьютера, пользователю

нужно иметь локальную учетную запись на этом компьютере. Локальные

учетные записи пользователя бывают двух видов: учетные записи,

определяемые пользователем, и встроенные учетные записи. При создании

учетной записи она существует только в локальной базе данных

безопасности соответствующего компьютера.

Учетная запись , определяемая пользователем

Учетные записи, определяемые пользователем. это те учетные записи,

которые администратор создает, чтобы дать пользователю доступ только к

тем компьютерам, где у этого пользователя есть учетная запись. Локальные

учетные записи пользователя можно создавать на рядовых серверах и на

компьютерах, работающих под управлением операционной системы

Microsoft Windows 2000 Professional, но не являющихся контроллерами

домена. Локальная учетная запись пользователя применяется только на

автономных компьютерах или на компьютерах в небольших сетях,

например, в рабочей группе. Можно иметь одну учетную запись на

локальном компьютере, а другую. в домене, но пользователь не может

работать с ними двумя одновременно. В момент входа на компьютер

пользователь указывает, с какой записью он будет работать.

записи пользователя

Помимо учетных записей, определяемых пользователем, операционная

система Windows 2000 предоставляет две встроенных учетных записи

пользователя, чтобы помочь администраторам в выполнении задач

администрирования и для предоставления пользователям возможности

временного доступа на локальный компьютер. Операционная система

Windows 2000 в процессе установки создает две встроенных учетных

записи пользователя. Administrator (Администратор) и Guest (Гость).

Администратор

Администраторы с помощью учетной записи Administrator создают для

самих себя учетную запись пользователя на компьютерах, где впервые

установлена операционная система Windows 2000. Встроенная учетная

запись Administrator не может быть ни удалена, ни отключена; таким

образом гарантируется, что администратору не будет блокирован доступ к

компьютеру. Эта учетная запись требует пароля, который администратор

задает в процессе установки.

Гость

Пользователи, не имеющие своей учетной записи на компьютере, могут

войти на него с использованием учетной записи Guest. Этой же учетной

записью могут воспользоваться и те, чья учетная запись отключена. Чтобы

пользователь мог войти как Guest, администратор должен включить эту

учетную запись, поскольку она по умолчанию отключена. Эта учетная

запись пароля не требует.

Служебная программа Local Users and Groups

Операционная система Windows 2000 предоставляет в распоряжение

администраторов служебную программу Local Users and Groups (Локальные

пользователи и группы), с помощью которой можно управлять учетными

записями пользователей на локальном компьютере. Служебная программа

Local Users and Groups доступна на компьютерах, работающих под

управлением системы Windows 2000 Professional и на рядовых серверах,

работающих под управлением системы Microsoft Windows 2000 Server.

С помощью служебной программы Local Users and Groups можно

выполнять следующие задачи:

создавать новую учетную запись пользователя или удалять

существующую;

изменять учетную запись пользователя, меняя имя пользователя или

другие данные учетной записи, такие как пароль или описание;

сбрасывать пароль для учетной записи пользователя;

отключать или включать учетную запись.

Учетные записи пользователя домена

Локальная учетная запись пользователя дает пользователю возможность

входить на локальный компьютер для доступа к локальным ресурсам.

Однако в сетевой среде пользователям нужен доступ к ресурсам,

расположенным в других местах сети. Для доступа к этим ресурсам

необходима учетная запись пользователя домена. Когда создается учетная

запись пользователя домена, она помещается в службу каталогов Active

Directory и доступна с любого компьютера, принадлежащего к этому домену.

В рабочей группе, наоборот, учетная запись пользователя существует

только на локальном компьютере.

Учетные записи пользователя домена , определяемые

пользователем

Учетные записи пользователя домена, определяемые пользователем. это

учетные записи, которые администратор создает для того, чтобы

пользователи могли входить в домен и получать доступ к ресурсам сети.

Учетные записи пользователя домена, определяемые пользователем,

создаются на контроллере домена. Этот контроллер домена реплицирует

данные новой учетной записи пользователя на все контроллеры в домене.

В процессе входа пользователь указывает имя пользователя и пароль, а

также домен, в котором существует данная учетная запись. Первый

доступный контроллер домена использует эти сведения для проверки

подлинности учетной записи пользователя.

Встроенные учетные записи пользователя (домена )

Помимо возможности для администраторов определять новые учетные

записи пользователя домена, операционная система Windows 2000

предлагает две встроенные учетные записи пользователя домена.

Administrator (Администратор) и Guest (Гость). Эти встроенные учетные

записи пользователя подобны встроенным учетным записям пользователя,

существующим на локальных компьютерах в рабочих группах. Главное

отличие состоит в том, что эти учетные записи дают возможность доступа

к целому домену.

Администратор

Встроенная учетная запись Administrator управляет всей конфигурацией

компьютера и домена. Пользуясь этой записью, администратор может

создавать учетные записи пользователя и группы, управлять

безопасностью, распоряжаться принтерами и назначать разрешения

учетным записям пользователей. Эту учетную запись можно

переименовать, но нельзя удалить.

Гость

Встроенная учетная запись Guest позволяет разовым пользователям получить

доступ к сетевым ресурсам. Например, в системе с низким уровнем

безопасности сотрудник, которому нужен кратковременный доступ к

ресурсам, может воспользоваться учетной записью Guest. По умолчанию

эта учетная запись является отключенной.

Служебная программа Active Directory Users and

Computers

Операционная система Windows 2000 предлагает служебную программу

под названием Active Directory Users and Computers (Active Directory .

пользователи и компьютеры), с помощью которой администраторы могут

управлять учетными записями пользователей в службе каталогов Active

Эта служебная программа установлена на компьютерах, настроенных как

контроллеры домена. Для работы со служебной программой Active

Directory Users and Computers необходимо войти в домен Windows 2000

(не на локальный компьютер), имея при этом достаточные права для

выполнения соответствующих задач.

С помощью служебной программы Active Directory Users and Computers

можно выполнять в домене следующие задачи:

добавлять или удалять учетные записи пользователя;

включать и отключать учетные записи пользователя;

находить или перемещать учетные записи пользователя;

переименовывать учетные записи пользователя;

сбрасывать пароли пользователей.

Эта документация перемещена в архив и не поддерживается.

Настройка учетной записи пользователя с ограниченными правами в Windows 7

Обновлено: Октябрь 2009 г.

Назначение: Windows 7

Сейчас многие пользователи знакомятся с появившейся в продаже новой операционной системой Windows® 7. Те, кто переходит на нее с ОС Windows XP, пропустив ОС Windows Vista®, обнаруживают новый интерфейс пользователя и совершенно новую концепцию безопасности: контроль учетных записей.

Возможность контроля учетных записей появилась еще в ОС Windows Vista и встретила всеобщее неприятие вследствие ее "навязчивости". По мере выпуска обновлений для Windows Vista она "угомонилась" и, похоже, нашла свое место в ОС Windows 7. Мне очень нравится, как работает контроль учетных записей.

Даже в своей несовершенной форме попытка более четко разграничить административные и пользовательские задачи, граница между которыми была размыта в операционных системах Windows с момента их появления, была неплохой идеей.

В значительной степени это касается ранних операционных систем для домашних пользователей Windows 95, Windows 98 и Windows ME, в которых с технической точки зрения не существовало различий между этими ролями: каждый пользователь был администратором, а разработчики программного обеспечения даже не задумывались о разделении ролей.

И даже в более современных системах Windows NT, Windows 2000 и Windows XP было настолько трудно работать в качестве пользователя, не имеющего прав администратора, что многие просто отказывались от этого и работали с учетной записью администратора. Практически полностью это было обусловлено вредными привычками разработчиков программного обеспечения: сами они работали с правами администратора и просто создавали код, в котором предполагалось наличие таких прав.

В корпорации Майкрософт прилагали большие усилия, чтобы исправить ситуацию, когда каждый пользователь выступал в роли администратора. Контроль учетных записей стал попыткой найти компромиссное решение: если вы собираетесь входить в систему в качестве администратора, мы, по крайней мере, можем проинформировать вас о различии ролей. Именно для этой цели задумывался контроль учетных записей.

Описание контроля учетных записей

Контроль учетных записей обеспечивает защиту доступа к правам администратора, что связано с повышением прав : при попытке выполнения задач администрирования операционная система автоматически повышает права до уровня администратора или запрашивает того либо иного рода разрешение или учетные данные.

В ОС Windows 7 различают три широких класса пользователей.

Встроенная учетная запись "Администратор"

Эта учетная запись является особой по ряду причин. По умолчанию она отключена в ОС Windows Vista и Windows 7. Эта учетная запись позволяет явно отключить некоторые важные функции безопасности (например, защищенный режим Internet Explorer®), а также контроль учетных записей, поэтому не рекомендуется использовать учетную запись Администратор для каких-либо целей.

Отключение этой учетной записи (исключающее соблазн воспользоваться ей на практике) поможет повысить уровень безопасности!

Учетная запись с правами администратора

Несмотря на наличие у пользователя возможности повышения прав до уровня администратора вследствие членства в локальной группе Администраторы , в ключевые моменты контроль учетных записей вмешивается и запрашивает подтверждение намерений.

Такой запрос появляется в режиме Запрос согласия . При нажатии кнопки Да права задачи повышаются, и она выполняется от имени администратора.

В ОС Windows 7 предусмотрен ползунок для настройки контроля учетных записей, который позволяет изменять уровень запросов контроля учетных записей, в том числе полностью отключать эту функцию (Режим одобрения администратором ).

Обычный пользователь с ограниченными правами

В операционных системах UNIX и Linux никогда не возникает путаницы насчет того, какие задачи относятся к административным, а какие к пользовательским - это всегда очевидно.

Такое разделение ролей хорошо иллюстрируется поведением пользователей в группах новостей в восьмидесятые годы. Пользователь, размещающий сообщения из своей учетной записи root (администратор компьютера), подвергался жесткой критике: "Не работай под root"!

Такие учетные записи просто не имеют непосредственных полномочий для выполнения административных задач или возможности повышения прав с помощью простого подтверждения. Для этого требуются учетные данные, например пароль или смарт-карта. При этом пользователю выдается следующий запрос.

Этот режим называется Запрос на повышение прав (в этом режиме кто-нибудь может ввести пароль, стоя за плечом у пользователя, и повысить права для утвержденной задачи).

Я считаю учетные записи пользователей с ограниченными правами очень полезными!

Я использую их, начиная с пакета обновления 2 (SP2) для Windows XP, в том числе на своем ноутбуке и основной рабочей станции для разработки ПО. Временами это доставляло неудобства, но позволило значительно уменьшить уязвимость моей системы и несомненно внесло свой вклад в то, что безопасность моих компьютеров под управлением ОС Windows никогда не была нарушена.

При переходе на ОС Windows 7 я, естественно, хотел использовать учетную запись пользователя с ограниченными правами, но не зная, как она работает (в Windows 7 и в Windows Vista), я оказался фактически отрезан от своего собственного компьютера (см. раздел ниже).

В результате после некоторых размышлений (и нескольких переустановок системы) я написал эту статью, которая должна помочь повысить уровень безопасности тем пользователям, для которых это важно.

В этой статье приводится описание двух процедур: для новой установки операционной системы и для модификации уже установленной системы, в которой основной пользователь является администратором.

Метод 1. Настройка новой установки

Новая установка не вызывает никаких проблем, поскольку в этом случае не требуется изменять существующую настройку. В этом примере используются две учетные записи Windows:

• SteveAdmin . Первая учетная запись создается в процессе установки. Ее следует использовать исключительно для задач администрирования.
• Steve . Вторая учетная запись - это учетная запись обычного пользователя с ограниченными правами. Она используется для повседневной работы.

Встроенная учетная запись Администратор не будет использоваться и останется отключенной.

Чтобы настроить ОС Windows 7, выполните следующие действия.

Установка ОС Windows 7, создание пользователя SteveAdmin

Это обычный процесс установки с DVD-диска. На выполнение начальных этапов потребуется некоторое время (и по меньшей мере одна перезагрузка), после чего появятся вопросы, касающиеся настройки пользователей.

При запросе введите имя первого пользователя SteveAdmin . Эта учетная запись автоматически создается с правами администратора.

Если учетной записи присваивается пароль, запомните его - он потребуется для выполнения всех задач администрирования на компьютере.

Завершение установки Windows 7

На этом этапе выполняется настройка автоматического обновления, установка необходимых драйверов, настройка сети и т. д.

Все эти действия выполняются административным пользователем SteveAdmin .

Создание новой учетной записи обычного пользователя Steve

После входа в систему с учетной записью SteveAdmin откройте панель управления.

• Щелкните значок "Пуск".
• Выберите пункт "Панель управления".
• В разделе выберите .
• Создать новую учетную запись .
• Steve и выберите вариант Обычный доступ .
• Нажмите кнопку Создать учетную запись .

  Присвоение пароля новой учетной записи Steve (при необходимости)

  После создания учетной записи появится список имеющихся пользователей с заголовком "Выберите учетную запись для изменения". Щелкните значок созданной учетной записи обычного пользователя Steve .

  Выберите Создание пароля и введите пароль (дважды!) и подсказку для пароля (если требуется).

  Закрытие диалоговых окон панели управления, выход из системы и вход в систему с учетной записью Steve

  На этом этапе пользователь Steve является обычным пользователем. Поэтому при попытке выполнения административных задач появится запрос контроля учетных записей на ввод пароля для пользователя SteveAdmin .

  Метод 2. Преобразование уже установленной учетной записи администратора

  Этот метод применяется, если операционная система Windows 7 уже установлена, а устанавливающий пользователь (в данном случае Steve ) был автоматически создан с правами администратора. С технической точки зрения можно было бы изменить имя учетной записи на SteveAdmin и создать новую учетную запись Steve для пользователя с ограниченными правами, однако это привело бы к повреждению профилей пользователей, рабочего стола и других личных настроек. Несмотря на наличие возможности копировать профили, проще создать новую учетную запись администратора и понизить уровень имеющейся учетной записи.

  Ниже приводится описание действий.

  Создание нового пользователя SteveAdmin

  Войдите в систему в качестве пользователя Steve , который все еще является административным пользователем, и откройте панель управления для создания нового пользователя.

  • Щелкните значок "Пуск" и выберите пункт "Панель управления".
  • В разделе Учетные записи пользователей и семейная безопасность выберите Добавление и удаление учетных записей пользователей .
  • Под списком имеющихся учетных записей выберите Создать новую учетную запись .
  • В диалоговом окне введите имя нового пользователя SteveAdmin и выберите параметр Администратор .
  • Нажмите кнопку Создать учетную запись .

  Итак, теперь у нас есть новая учетная запись SteveAdmin , но пока без пароля! А в системе зарегистрированы два пользователя с правами администратора.

  Присвоение пароля новой учетной записи SteveAdmin (при необходимости)

  После создания учетной записи появится список имеющихся пользователей с заголовком "Выберите учетную запись для изменения". Щелкните значок новой учетной записи SteveAdmin , под которым указано, что этот пользователь является администратором.

  Выберите Создание пароля и введите пароль (дважды!) и подсказку для пароля (если необходимо).

  На этом создание учетной записи SteveAdmin завершается. На компьютере остаются два пользователя с правами администратора.

  Не закрывайте диалоговое окно! Мы перейдем к следующему этапу прямо сейчас.

  Понижение прав пользователя Steve

  При наличии настроенной учетной записи SteveAdmin самое время понизить права исходного устанавливающего пользователя Steve от администратора до обычного пользователя. Поскольку мы по-прежнему находимся в панели управления, продолжим работу с того места, где остановились.

  • Выберите Управление другой учетной записью .
  • Щелкните значок учетной записи Steve .
  • Выберите Изменение типа своей учетной записи .
  • Выберите Обычный доступ .
  • Нажмите кнопку Изменение типа учетной записи .
  • Закройте диалоговые окна панели управления.

  При следующем входе пользователя Steve в систему он будет иметь права только обычного пользователя.

  Выход и последующий вход пользователя Steve в систему

  При выходе из системы удаляется маркер сеанса с правами администратора. При следующем входе в систему пользователь получает новый набор ограниченных прав.

  После входа в систему в качестве пользователя с ограниченными правами при попытке выполнения административных задач появится запрос контроля учетных записей на ввод учетных данных пользователя SteveAdmin .

  Отключение учетной записи администратора

  К данному моменту в одной из двух процедур был настроен пользователь Steve с ограниченными правами и учетная запись администратора SteveAdmin , однако некоторые пользователи могли ранее включить встроенную учетную запись Администратор .

  Я считаю, что этого делать не следует, и рекомендую отключить эту учетную запись. Эти действия не требуется выполнять, если операционная система Windows 7 только что установлена или если учетная запись Администратор не отображается на странице входа в виде значка пользователя, который может войти в систему.

  В случае сомнений действия, которые требуется выполнить для проверки и отключения, практически идентичны.

  Открытие приложения "Управление пользователями"

  Включение и отключение учетных записей выполняется не там, где создаются новые пользователи, поэтому требуется перейти в другое место.

  • Щелкните значок "Пуск".
  • Щелкните правой кнопкой мыши пункт Компьютер и выберите пункт Управление .
  • Выберите пункт Пользователи .
  • Дважды щелкните пункт Администратор .
  • Убедитесь, что установлен флажок Отключить учетную запись (если этот флажок уже установлен, все готово).
  • Закройте диалоговые окна.

  На этом этапе учетная запись Администратор отключена и ее нельзя использовать для входа в систему или для утверждения повышения прав контроля учетных записей. Изменять пароль учетной записи не требуется, потому что отключение учетной записи приводит к переопределению пароля (даже пустого пароля).

  Выбор пароля

  Как ни странно, не всегда необходимо иметь пароль для учетной записи. К учетной записи с пустым паролем невозможно получить доступ по сети, что позволяет существенно снизить уязвимость компьютера.

  Но для этого требуется обеспечить надлежащую физическую безопасность компьютера. Но при наличии на компьютере (или в среде) пользователей, которым не разрешено выполнять административные задачи, не рекомендуется использовать пустой пароль, поскольку в этом случае любой человек может подойти к компьютеру и натворить дел.

  Кроме того, ноутбук, который выносится из дома, вряд ли подходит для использования пустого пароля, поскольку обеспечить его физическую безопасность проблематично.

  Возможно, что для большинства домашних пользователей выбор схемы использования паролей не играет большой роли, однако в случае сомнений следует обсудить применяемый сценарий с заслуживающим доверия специалистом по безопасности.

  Защитите себя от собственного компьютера

  Как уже говорилось, я раньше не устанавливал ОС Windows Vista и поэтому не знал, что учетная запись "Администратор" по умолчанию отключена. Это закончилось неприятным сюрпризом после понижения прав учетной записи Steve .

  После настройки компьютера я открыл панель управления, чтобы понизить права учетной записи Steve до уровня обычного пользователя. По незнанию я удалил единственную оставшуюся учетную запись администратора, так что после выхода из системы и последующего входа в систему (чтобы применить изменения учетной записи) при следующей операции контроля учетных записей появился приведенный ниже запрос.

  Внимательный читатель заметит, что здесь нет места для ввода пароля! Сказать, что это вызвало досаду, все равно, что ничего не сказать. В зависимости от конфигурации компьютера может появиться приглашение использовать смарт-карту, но это не сильно поможет в случае компьютера, который не настроен для поддержки смарт-карты.

  Это представляется недостатком системы, хотя данная ситуация возникла по моей вине.