Учетные записи пользователей и групп Дисциплина «Построение Windows-сетей» Сергеев А. Н. Волгоградский государственный социально-педагогический университет 11 апреля 2013 г.
Учетные записи пользователей и групп Windows – многопользовательская система В основе безопасности Windows лежит механизм учетных записей пользователей и групп
Учетная запись пользователя Учетная запись пользователя содержит сведения, необходимые для идентификации пользователя и определения его прав в ОС и компьютерной сети
Учетная запись пользователя Учетная запись пользователя содержит: Имя учетной записи Пароль Принадлежность к группам Отображаемое имя пользователя Параметры учетной записи … мн. др.
Учетные записи групп Учетная запись группы – это набор учетных записей пользователя Одни группы могут включать в свой состав другие
Учетные записи пользователей и групп Учетные записи позволяют: Создать для каждого пользователя свое программное окружение (рабочую среду) Ограничить пользователей в доступе к конфиденциальной информации Разрешить или запретить пользователю выполнение определенного действия
Учетные записи пользователей и групп Учетные записи пользователей и групп создаются как на локальных компьютерах, так и в доменах Windows
Локальные пользователи и группы Сразу после установки Windows создаются: Администратор Гость Администраторы Опытные пользователи Пользователи Гости Пользователи Локальные группы
Глобальные группы В домене создаются группы: Администраторы домена Пользователи домена Гости домена … и др. В числе прочих – в домене создаются группы компьютеров Глобальные группы
Локальные и глобальные группы Глобальные группы на рабочих станциях домена входят в соответствующие локальные группы Например, пользователь группы «Пользователи домена» получает права группы «Пользователи» на локальном компьютере
Специальные группы Существуют также специальные группы: Прошедшие проверку Локальные пользователи Сетевые пользователи СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Все Анонимные пользователи Они нигде не хранятся, принадлежность к ним определяется из контекста
Управление рабочей средой пользователя Рабочая среда пользователя состоит из: Настроек рабочего стола и др. параметров Windows Настроек доступных приложений Документов пользователя Все это хранится в профиле пользователя
Профиль пользователя Профиль пользователя – папка специального формата, «закрепленная» за пользователем Профиль пользователя – локальный или сетевой (перемещаемый)
Профиль пользователя Локальный профиль пользователя – папки: Document and Settings Users Пользователи Перемещаемый профиль – хранится на сервере и копируется в момент авторизации и завершения работы пользователя
Профиль пользователя Профиль пользователя содержит папки: Application Data Local Settings Главное меню Рабочий стол Мои документы … и др.
Профиль пользователя В профиле пользователя хранится файл NTUSER.DAT – фрагмент системного реестра (ветка HKEY_CURRENT_USER)
Профиль пользователя Профиль пользователя создается при первом входе в систему – копируется содержимое папки Default User Содержимое папки All Users добавляется к профилю каждого пользователя Windows
Разграничение доступа Учетные записи и группы используются при разграничении прав доступа – в списках контроля доступа (ACL) ACL применяются к файлам, папкам, параметрам реестра, объектам групповых политик и др.
Разграничение доступа ACL создаются для пользователей и групп Хорошее правило – задать ACL для группы и в эту группу включить пользователя Разрешения ACL носят накопительный характер
Разграничение доступа Атрибуты доступа могут создаваться как: Разрешить Запретить Запрет имеет приоритет
Доступ к файлам и папкам Стандартные атрибуты доступа: Полный доступ Изменение Чтение и выполнение Список содержимого папки Чтение Запись
Доступ к файлам и папкам Расширенные атрибуты доступа: Создание файлов (папок) Удаление Чтение разрешений Чтение атрибутов Смена разрешений Смена владельца … и др.
Доступ к файлам и папкам Возможно наследование атрибутов доступа Новые атрибуты можно применять как к самой папке, так и к вложенным папкам и файлам
Профиль пользователя и разграничение доступа У профиля пользователя открыт полный доступ для самого пользователя и администратора