Създаване и управление на потребителски акаунти Урок 1: Общи сведения и терминология



Дата05.08.2017
Размер318.69 Kb.

ГЛАВА 4

Създаване и управление на потребителски акаунти

Урок 1: Общи сведения и терминология

Урок 2: Правила за изграждане на нови потребители

Урок 3: Създаване, закриване и модифициране на потребителски акаунти

Урок 4: Задаване на свойства на потребителските акаунти

Урок 5: Работа с групи

Урок 6: Отдалечен достъп

За тази глава


Тази глава ви подготвя да използвате и създавате потребителски акаунти в Windows Vista. В началото ще научите защо е нужно да се създават акаунти и как се планират потребителските акаунти. След това ще може да създавате потребителски акаунти, да задавате права и накрая – да създавате и модифицирате групи от потребителски акаунти.

Урок 1: Общи сведения и терминология

Потребителски акаунти


Windows Vista използва два типа потребителски акаунти: локални потребителски акаунти и потребителски акаунти на домейн.

  • Локален потребителски акаунт (local user account) - дава възможност да се влиза на конкретен компютър, за да се осъществява достъп до ресурсите на този компютър.

  • Потребителски акаунт на домейн (domain user account) - дава възможност да се влиза в домейн, за да се осъществява достъп до мрежови ресурси.

Локални потребителски акаунти


Чрез локалните потребителски акаунти потребителите се идентифицират пред компютъра/операционната система. На базата на въведената парола и потребителско име на потребителя се задават определени права. Информацията за съответния акаунт се пази в локална база данни (local security database), която е видима само за компютъра, в който е създадена. В нея е записана информация за потребителите на компютъра, паролите и имената им. Паролите в Windows XP/2003/Vista се съхраняват чрез подсистема на операционната система за администриране, наречена SAM (Security Accounts Manager). Тази подсистема се грижи за базата данни, съставена от имената и паролите на локалните потребители и на домейн-потребителите, ако компютърът се явява домейн-контролер.

SAM файлът се намира в поддиректорията:

C:\WINDOWS\system32\config\

Тази папка е заключена за всички потребители, включително и за потребители от тип Administrator. Единствения потребител, който има достъп до този файл по време на работа, е системата (“System” account).

При влизане в Windows, когато потребителят въведе паролата си, тя бива кодирана на базата на някакъв кодиращ алгоритъм, който превръща паролата в поредица от подобен вид:

                  7524248b4d2c9a9eadd3b435c51404ee

Така полученият израз се нарича “Password Hash” и всъщност това е обектът, който се сравнява със записите в SAM-файла.

За локалните потребителски акаунти е характерно следното:


  • Осигуряват достъп до ресурсите на локалния компютър;

  • Създават се само на компютри, които не са в домейн;

  • Създават се в локалната база-данни за сигурност.

За локалните потребители е характерно, че трябва да се използват само когато компютрите с в работна група. Защо е препоръчително това? Нека да разгледаме случай, при който имаме 10 компютъра в мрежа. Искаме с един акаунт да имаме достъп до всички компютри. Трябва да се направи следното – да се създадете поотделно по един локален акаунт на всеки компютър. Ако се налага промяна на паролата на акаунта, то това трябва да се направи на всеки един компютър. Това се получава, защото всеки един компютър държи в своята локална база данни за сигурност паролите и имената.

Потребителски домейн-акаунти


Домейн-акаунтите позволяват влизане в компютър, който е част от домейна. Така с една парола и потребителско име ще може да се влиза в който и да е компютър, стига да е част от домейна. При влизане в компютър чрез домейн-акаунт, Windows Server 2000/2003 взима информация, за да определи самоличност на потребителя и да асоциира различни потребителски права към него. Създава маркер за достъп, съдържащ потребителската информация и настройките за сигурност. Маркерът за достъп идентифицира потребителя за компютрите в домейна, до ресурсите на който се опитва да осъществи достъп. Маркерът за достъп е валиден за времето на потребителската сесия.

За да може да се създават домейн-акаунти, е необходимо да има инсталиран домейн-контролер. Това е сървър от фамилията Windows Server 2000/2003, на който трябва да е инсталирана услугата Active Directory.

Потребителският акаунт на домейна се създава в копието на базата данни на Active Directory на даден домейн-контролер. Домейн-контролерът разпространява информацията за новия потребителски акаунт към всички други контролери в домейна. След като Windows Server 2000/2003 разпространи информацията за новия потребителски акаунт, всички домейн-контролери в дървото на домейна вече могат да идентифицират потребителя по време на процеса на влизане в системата и осигуряват:


  • Достъп до мрежови ресурси

  • Маркера за достъп за удостоверяване на автентичността

  • Създават се в директорийните услуги Active Directory на домейн-контролер.

Вградени потребителски акаунти


За да улесни процеса при инсталация и при конфигуриране от потребителя, Windows Vista автоматично създава вградени акаунти (built-in accounts).

Два от най-често използваните вградени акаунти са Administrator и Guest. Освен тези два акаунта, често се случва някои програми сами да създават свои специфични акаунти. Програмите за разработка обикновено създават такива акаунти, които имат необходимите права за работа. Пример: инсталира се програма за запис на дискове, но за да се записва е необходим достъп до администраторски акаунт. Проблемът се решава, като програмата при инсталацията е създала акаунт или група, които имат права за запис. Ако се използва създадения акаунт или администраторът добави акаунта към групата – вече ще може да се записват дискове.

В допълнение на вградените потребителски акаунти, в Windows Vista има няколко псевдо-потребители, които се използват за изпълнението на различни системни дейности. Тези потребители не могат да бъдат променяни с административните инструменти. Освен това потребителите не могат да влизат с тези акаунти в Windows. Това са:


  • LocalSystem - LocalSystem е псевдо-акаунт за изпълнение на системни процеси и обработка на различни системни събития. Този потребителски акаунт дава права на услугите/services да се регистрират за работа/стартират (login/execute). Повечето от системните услуги/процеси се изпълняват под този потребителски акаунт. Услуги, които се изпълняват под този акаунт, са например: Background Intelligent Transfer Service, Computer Browser, Group Policy Client, Netlogon, Network Connections, Print Spooler и User Profile Service.

  • LocalService е псевдо-акаунт за изпълнение на услуги (services), които се нуждаят от по-малко права/привилегии от системата. По подразбиране тези услуги имат привилегии да променят следните настройки:

        • Определяне на ограничение на памет, използвана от дадена програма,

        • Промяна на системната дата/час и други.
          Услуги, които се изпълняват под акаунта LocalService са: Alerter, Remote Registry, Smart Card, Smart Card Helper, SSDP Discovery Service, TCP/IP NetBIOS Helper и WebClient.

  • NetworkService - NetworkService е псевдо-акаунт за изпълнение на системни процеси, които трябва да имат достъп до мрежови ресурси. Този псевдо-акаунт дава права на системните процеси да променят паметта, която използват програмите: Generate Security Audits и Replace A Process Level Token. Услуги, които се изпълняват под този псевдо-акаунт са следните: Distributed Transaction Coordinator, DNS Client, Performance Logs And Alerts и Remote Procedure Call (RPC) Locator.

Акаунтът Администратор


Акаунтът Administrator се създава още при инсталацията на Microsoft Windows Vista.

При инсталация трябва да се зададе паролата, която ще се асоциира към този акаунт. Паролата не може да остане празна. Много е важно паролата да се подбере по подходящ начин, така че да е трудна за отгатване.

Има няколко прости правила за избор на парола. Паролата трябва да е комбинация от малки и големи букви, цифри и други допустими символи. Системата за идентификация на Windows е “Case Sensitive”, тоест прави разлика между големи и малки букви. Паролите, свързани с лична информация, са лесни за отгатване – примерно рождена дата или единен граждански номер. Такива пароли трябва да се избягват. Ако друг човек знае административната парола, той би имал неограничени права и достъп до съответния компютър. Вграденият администратор има най големи права, напр. може да създава нови потребителски акаунти и групи, да задава политики за сигурност, да управлява различни мрежови ресурси (напр. мрежови принтери), да създава и управлява други администраторски акаунти.

Този вграден акаунт не може да бъде изтрит. Добра практика е след инсталация той да бъде преименуван. Това се прави с цел затрудняване на не-оторизирани потребители, които правят опити за отгатване на паролата на администратора. Така се повишава сигурността на системата. Администраторският акаунт може да бъде забранен, т.е. да бъде направен неактивен, но информацията за него се пази в локалната база данни. Той може да бъде разрешен повторно при нужда.

Забележка: Ако искате да влизате като Administrator и екранът Welcome е разрешен, можете да натиснете два пъти клавишната комби­нация CTRL+ALT+DELETE. Windows Vista показва прозореца за ре­гистрация и можете да влезете в системата като Administrator (или както е новото му име, зададено от вас). Акаунтът Administrator не се появява на екрана Welcome, ако работите в среда на работна група, ек­ранът Welcome е разрешен и сте създали потребителски акаунт по време на инсталацията. За информация относно създаването на потре­бител­ски акаунт по време на инсталацията вижте глава 2, "Инстали­ране на Windows Vista". В урок 3 от тази глава е обяснено как да се конфигурира компютъра, така че да използва прозореца за регистра­ция, вместо екрана Welcome.

Акаунтът Гост (Guest)


Акаунтът Guest се създава автоматично при инсталация на Windows XP/2003. По подразбиране този акаунт е забранен. Най-често се изпол­зва за случаите, когато случайни потребители трябва да могат да вли­зат в системата и да осъществяват достъп до системни ресурси. На­пример: потребител от друг компютър иска да копира споделени (share) файлове от основния компютър. Този потребител автома­тично ще се асоциира с guest акаунта. Той също се асоциира за потре­бители, които ползват Интернет-страниците, поддържани на компю­търа, при условие, че на компютъра има инсталиран Интернет-сървър (IIS Internet Information Server).

Акаунтът Guest може да се разреши, ако мрежата, в която е свързан компютърът, е сигурна. Добра практика е да се задава парола на Guest акаунта и той да се преименува.


Активиране на акаунта Guest


Има няколко начина, по които може да се активира Guest акаунта.

Първият начин е през инструмента Потребителски акаунти в Кон­тролен панел, показан на фигура 4.1. За да може да се достигне до него акаунтът, който се ползва в момента, трябва да има делегирани съот­ветните права. По подразбиране потребител, член на групата Administrators, има достъп до там.





Фигура 4.1. Инструмент Потребителски акаунти

При стартиране на програмата Потребителски акаунти, потребителят има няколко възможности: да създава, изтрива, редактира и забранява (заключва) потребителски акаунти. За разлика от Windows XP, за да видите съществуващите акаунти, трябва да се избере Управление на друг акаунт.


Ф
игура 4.2. Инструментът Управление на акаунтите

За всеки потребител има включена и някакво картинка (лого). Тук не е показан главният потребителски акаунт Administrator. За да се активира/разреши акаунта Гост:



  1. Натиска се Старт, избира се Контролен Панел и след това Потребителски акаунти.

  2. В прозореца Потребителски акаунти се избира инструмента Управление на друг акаунт и се избира иконата Guest, за да се отвори прозореца „Искате ли да включите акаунта на гост” (фигура 4.3).



Фигура 4.3. Прозорецът Включване на акаунта „Гост”

  1. Натиска се бутона „Включи”. Сега акаунтът Гост е разрешен.

  2. Затваря се прозореца .

Забраняване на акаунта Гост


Стъпките за забрана/деактивиране на Гост акаунта са подобни на предишната демонстрация: ако акаунтът Guest е активен, програмата Потребителски акаунти показва, че акаунтът Гост е включен

За да се забрани достъпа до компютъра през акаунта Guest, се изпълнява следното:



  1. Стартира се програмата Потребителски акаунти след това Управление на акаунтите и се щраква върху иконата Гост.

  2. Появява се друг прозорец с бутон „Изключване на акаунта гост”. Щраква се върху него и акаунтът вече е забранен.

Урок 2: Правила за изграждане на нови
потребителски акаунти


Може да се ускори процеса на създаване на потребителски акаунти, като се планира и организира информация за новите акаунти, както следва:

  • Конвенции за наименуване

  • Изисквания за паролите

Конвенции за наименуване


Използването на конвенция (naming convention) е полезна практика и задължителна при местата, където потребителите са много и структурата на организацията е сложна. Тя представлява единен стандарт за идентифициране на потребителите. Спазването на единна конвенция за наименуване помага на администраторите и потребителите да запомнят имената за влизане, а също така тя улеснява администраторите при намирането на определени потребителски акаунти, с цел да ги добавят към групи. В таблицата са обобщени някои от насоките за съставяне на ефективна конвенция за наименуване на потребителите.

Правила при конвенциите за наименуване


Новост в Windows Vista e, че е позволено да се използват потребител­ски имена на кирилица.

Имената на потребителите трябва да са уникални в рамките на един компютър. Windows Vista няма да позволи да съществуват две идентични имена,регистрирани на един и същ компютър. При домейн организация имената трябва да са уникални за директорията.

Имената на потребителски акаунти могат да съдържат до 20 знака от главни и малки букви, както и някои други допустими символи. Полето побира повече от 20 знака, но Windows Vista разпознава само първите 20 от тях.

Добре е да се използват буквено-цифрови комбинации, за да се създават уникални потребителски имена. При потре­бителските имена за влизане няма разлика меж­ду използването на главни и малки букви, но Windows Vista показва името така, както е написано с главни и малки букви, за да го визу­ализира така, както е въведено.

За по-голяма сигурност е добре да се преименуват имената на Guest и Administrator акаунтите.

За да се осигури по-голяма сложност на имената, може да се използват и някои специални символи. Не всички печатими символи са позволени. Следните символи не могат да бъдат използвани:



" / \ [ ] : ; | = , + * ? <

Ако двама потребители имат едно и също име, може да се създаде потребителско име за вли­зане в системата, което да се състои от първото име, първата буква на фамилията и допълни­телни букви от фамилията, за да се разграничат потребителите. Например, ако двама потреби­тели се казват Петър Петров, може да се създаде единия потребителски акаунт за влизане като петър_п, a другия - като петър_петров. Може също та­ка да се постави номер за името за влизане на всеки потребител - например петър1 и петър2.


Правила за съставяне на пароли


За да се защити достъпа до компютъра, всеки потребителски акаунт трябва да има парола. Трябва да се спазват следните правила при съставянето на паролите:

  • Винаги трябва да се задава парола на акаунта Administrator, за да се възпрепятства неоторизиран достъп до него.

  • Трябва да се определи дали паролите ще бъдат контролирани от Administrator или от потребителите. Можете да се зададат уникални пароли на потребителите, като се забрани на потребителите да ги променят или обратно - да се даде възможност на потребителите сами да въвеждат техни собствени пароли при първото им влизане системата. В повечето случаи е добре потребителите да имат възможност да контролират своите пароли. Една от полезните възможности е тази, чрез която може да бъдат задължавани потребителите да сменят паролите си през определен интервал от време.

  • Трябва да се използват пароли, които трудно могат да бъдат отгатвани. Например трябва да се избягват пароли с очевидни асоциации, например име на член от семейството, рождена дата, ЕГН и т.н.

  • Паролите могат да съдържат до 128 знака. Препоръчва се минимална дължина от 8 знака.

При задаване на паролите е препоръчително използването и на глав­ни, и на малки букви, цифри и валидни знаци. При паролите има значение дали буквата е малка или голяма. Така например има разлика при следния случай: Xyz123 и xyZ123.

Урок 3: Създаване, закриване и модифициране на потребителски акаунти


Има два основни инструмента, чрез които може да се управляват потребителските акаунти. Единият инструмент бе разгледан отчасти в Урок 1 „Потребителски акаунти”. Другият инструмент е „Управление на компютъра”.

Инструменти за управление на потребителските акаунти (User Accounts Tools)

Смяна на акаунт (Changing an Account)


Инструментът Потребителски акаунти ще изглежда по различен на­чин в зависимост от потребителския акаунт, който е използван за вли­зане в компютъра. Ако се влезе като администратор, ще има възмож­ност да бъдат правени промени по всички акаунти в компютъра. Ако се влезе с ограничен потребителски акаунт, няма да са активни същите бутони за модификация. В долната таблица са дадени правата, които администраторите и потребителите с ограничени права могат да пол­з­ват. За да промените настройките на акаунт, трябва да стартирате ин­струмента Потребителски акаунти след това да изберете Управление на акаунтите. След като изберете потребителския акаунт, който ис­кате да промените, имате следните възможности за промяна:

  • Промяна на името на акаунта.  Тази опция е видима само в администраторски акаунт. Чрез нея може да се променя името на потребителя.

  • Промяна на паролата.  Променя паролата на акаунта. Тази настройка е видима само в случая, когато потребителят има парола. Опцията е достъпна само за администратора.

  • Премахване на паролата. Премахва паролата на собствения акаунт или на други акаунти. Само администратор може да премахне паролите на други акаунти.

  • Смяна на снимката. Променя картинката (логото), която се появява на стартиращия екран. Само администраторите могат да променят картинките на другите акаунти.

  • Смяна на типа на акаунта. Променя типа на конкретен акаунт. Само администраторът може да променя типа на акаунта.

  • Изтриване на акаунта. Изтрива зададен потребителски акаунт. Тази опция е достъпна само за администратори.



Създаване на нов потребителски акаунт


Само администраторите могат да създават нови потребителски акаунти. Тази опция е достъпна само в екрана Избор на задача/Pick A Task при влизане през потребителски акаунт, който е член на групата Adminis­trators.

За да се създаде нов потребителски акаунт се изпълняват следните стъпки:



  1. Натиска се Старт, избира се Контролен панел и след това Потребителски акаунти.

  2. В прозореца Потребителски акаунти се избира Управление на акаунтите, след което Създаване на нов акаунт.

  3. Отваря се прозореца Създаване на нов акаунт – Наименувайте акаунта и изберете типа му.

  4. В полето Име на новия акаунт се въвежда потреби­телско име за влизане в системата (до 20 знака) .

  5. Избира се една от възможностите:

  • Стандартен потребител

  • Администратор

  1. Натиска се бутона „Създаване на акаунт

Фини настройки на потребителските акаунти


За разлика от Windows XP/2003 във Windows Vista могат да бъдат променяни повече настройки. За да имате достъп до всички фини настройки на потребителските акаунти, трябва да бъдете администратор. Фините настройки могат да бъдат променяни само за активния потребител (този, който работи в момента). За да промените настройките, трябва да влезете в инструмента Потребителски акаунти. Фините настройки се намират от лявата част на екрана:

  • Създаване на диск за нулиране на паролата. Тази опция дава възможността, ако е забравена паролата на потребителския акаунт, тя да бъде нулирана посредством флопи диск (Фиг. 4.4). За да се нулира паролата, трябва предварително да сте създали нулиращия диск. За да създадете нулиращ диск, трябва да помните паролата на текущия си потребител и в следствие да го използвате. В началния екран на влизане в Windows при въвеждането на потребителско име и парола, ако сбъркате паролата си, има опция “Reset Password”. Тази опция ви дава възможността да използвате вашия диск за нулиране и да си направите нова парола.



Фиг. 4.4 Създаване на диска за нулиране на парола

  • Управление на вашите мрежови пароли. Тази опция ви позволява да направите списък от компютри и Уеб места/сайтове, в които автоматично да влизате без изискване да въвеждате всеки път парола и потребителско име. Първоначално трябва да съставите този списък, като въведете потребителско име и парола, както и адрес на мястото, както е показано на фигура 4.5.



Фигура. 4.5. Управление на мрежови пароли.

  • Управление на вашите сертификати за шифроване на файлове. Чрез тази опция ще може да създавате свои собствени сертификати за шифриране и да ги архивирате, да използвате вече създадени, както и да добавяте нови от различни носители и смарт-карти. Шифрованата файлова система (Encrypted File System) е функция на Windows, която ви позволява да съхранявате папки и файлове на вашия твърд диск в шифрован формат. Шифроването е най надеждната защита, предлагана от Windows, за да опазите вашата информация. Повече информация за него ще бъде дадена в главата за файлови системи

  • Конфигуриране на разширени свойства на потребителски профили. Чрез тази опция може да прехвърляте потребител­ските си настройки на други компютри, така че вашият работен плот и други потребителски настройки да изглеждат по един и същ начин.

  • Промяна на моите променливи на средата. Чрез тази опция може да създавате отделни променливи на средата за отделните потребители. Променливите на средата са данни, описващи различни важни точки на системата, като например къде се намира Temp папката, Application Data папката и други за съответния потребител

Snap-in модулът Управление на Компютъра


Един от инструментите за управление на Microsoft Windows Vista е Microsoft Management Console (MMC) – „Майкрософт конзола за управление”. MMC осигурява стандартизиран метод за създаване, записване и стар­тиране на инструменти за администриране. Самата конзола осигурява функции за управление, но съдържа приложения за управление, наречени snap-in модули (snap-ins), които се използват при изпълнение на една или повече административни задачи.

С конзолата се дава възможност да бъде извършвано следното:



  1. Да се администрират задачи и да се отстраняват проблеми локално. Може да се изпълняват повечето от задачите по администрирането и да бъдат отстранявани различни проблеми, като за тази цел се използва единствено ММС.

  2. Централизиране на администрирането.

Можете да се използва конзолата, за да се изпълняват повечето от задачите по администриране в един компютър. Всяка конзола може да съдържа един или повече snap-in модули, включително snap-in модули от независими (трети) производители, така че може да бъде създадена една конзола, съдържаща всички инструменти, които са необходими за изпълнение на административните задачи

Когато се добавят snap-in модули към празна конзола, се създава потребителска конзола. Един от snap-in модулите, които може да се добавят, е модулът „Управление на компютъра”, показан на фигура 4.6. Snap-in модулът „Управление на компютъра” е един инструмент на Windows Vista за създаване, унищожаване, модифициране и забраняване на локални потребителен и за промяна на пароли.





Фигура 4.6. Snap-in модулът Управление на компютъра.

Създаване на потребителска ММС конзола


За да се създаде потребителска ММС конзола, съдържащата Computer Management, се изпълняват следните стъпки :

  1. Натиска се Старт и след това в текстовото поле „Начало на търсене”се въвежда mmc и след това се натиска Enter. ММС стартира и показва празна конзола.

  2. Максимизира се прозореца Конзола 1.

  3. Максимизира се прозореца Начална конзола.

  4. От менюто Файл се избира Добавяне/премахване на конзолна добавка. ММС визуализира диалоговия прозорец Добавяне или премахване на конзолни добавки

  5. От списъка Налични конзолни добавки се избира Управление на компютъра и след това се натиска Добави (Фиг. 4.7).

  6. Дава се потвърждение с OK.

  7. След добавянето на необходимите конзоли, се натиска бутона „Запиши като” от менюто файл и се записва подходящо име на конзолата. След като веднъж сте я записали, след това може да я стартирате от Старт и въведете името на конзолата в текстовото поле – Начало на търсене




Фигура 4.7. Диалогов прозорец Добавяне или премахване на конзолни добавки

Забележка: Може да бъде добавено Управление на компютъра за компютър, на който се работи или ако локалният компютър е част от мрежа, може да се добави Управление на компютъра, като се посочи отдалечен компютър. За да се добави Управление на компютъра за отдалечен компютър, в диалоговия прозорец Управление на компютъра Snap-In се избира менюто Действие и след това менюто Свързване към друг компютър. В текстовото поле Друг компютър в диалоговия прозорец Избор на компютър се въвежда името на отдалечения компютър, който ще бъде администриран с помощта на Управление на компютър. След това с „ОК” се потвърждава избора. Допълнително има поле и отметка, които дават възможност да се променя избрания компютър, когато се стартира ММС конзолата от командния ред.

Създаване на локален потребителски акаунт с помощта на Конзола1 snap-in модула Управление на компютъра


За да създадете локални потребителски акаунти с помощта на snap-in модула Computer Management се изпълняват следните стъпки:

  1. Разширете ММС конзолата, съдържаща snap-in модула Management.

  2. В панела на конзолата от прозореца Управление на компютъра щракнете върху знака (+) до Управление на компютъра, за да разтворите дървовидната структура. Управление на компютъра има три папки: Системни инструменти, Съхраняване и Услуги и приложния

  3. В панела на конзолата щракнете двукратно върху Системни инструменти, след това щракнете върху Local Users And Groups.

  4. В панела с детайли щракнете с десния бутон на Users и след това изберете New User.

  5. В диалоговия прозорец New User (Фигура 4.8) попълнете съответните текстови полета, натиснете бутона Create и натиснете Close.



Фигура 4.8. Диалогов прозорец „Нов потребител” (New User)


Ред

Действие

User Name

Името, с което потребителят ще влиза в системата. Това поле е задължително.

Full Name

Пълно име на потребителя. Може да включва първото име и фамилията на потре­бителя, но също така и презимето или първата буква на презимето. Това поле не е задължително.

Description

Описателен текст за потребителския акаунт или за потребителя. Това поле не е задължително.

Password

Парола за акаунта, която се използва за потвърждаване на идентичността на потребителя. С цел постигане на по-голяма сигурност се препоръчва винаги да се задава парола. Като допълнителна мярка за сигурност, по време на въвеждането на паролата, тя се появява под формата на низ от звездички (т.е. не се виждат действително въведените символи).

Confirm Password

Потвърждение на паролата (въвежда се втори път). Това поле е задължително, ако се задава парола

User Must Change Password At Next Logon

Тази опция се избира, ако се иска съответният потребител да промени паролата си при следващото му влизане в системата. Тази опция е избрана по подразбиране.

User Cannot Change Password

Тази опция се избира, ако се иска съответният потребител да не може да променя паролата си. Това е полезно, ако този акаунт се използва от няколко човека, като с това се ограничава възможността един от тях да промени паролата и останалите да загубят достъп до системата.

Password Never Expires

Тази опция се избира, ако се иска валидността на паролата да не е ограничена по време. Ако е избрано User Must Change Password At Next Logon, то тази опция е неактивна.

Account Is Disabled

Тази опция се избира, ако се иска да бъде забранен съответния потребителски акаунт.

Таблица 4.1 - Настройка на локален потребителски ака­унт

Урок 4: Задаване на свойства на потребител­ски акаунти


Едно от най-важните неща, свързани с потребителските акаунти, са възможности (свойства) и права, които има всеки потребител. Това е една и от основните причини за създаването на потребителски акаунти. Така ще може дадени потребители да бъдат ограничени, докато на други да се предоставят повече права/свойства. Windows Vista създава набор от подразбиращи се свойства за всеки локален потребителски акаунт. След като е създаден локален потребителски акаунт, може с помощта на snap-in модула Управление на компютъра да бъдат конфигурирани свойствата на акаунта. Свойствата на акаунта са групирани в следните три страници в диалоговия прозорец име-на-акаунт Свойства - страниците (General, Member Of и Profile).

Страницата General


Страницата General на диалоговия прозорец име-на-акаунт Properties (виж фигура 3.6) дава възможност да се задават и редактират всички полета от диалоговия прозорец New User, c изключение на User Name, Password и Confirm Password. Освен това страница съдържа поле за отметка Account Is Locked Out.



Фигура 4.9. – Настройка на потребителски акаунт – страница General.

Ако акаунтът е активен и не е заключен за системата, полето за отметка Account Is Locked Out e недостъпно. Системата заключва потребител, който надхвърли лимита на броя на неуспешни опити за влизане в системата. Тази възможност на сигурността прави по трудно проникването на неоторизирани потребители в системата. Ако системата заключи даден акаунт, полето за отметка Account Is Locked Out става недостъпно. Някой от администраторите може да премахне отметката на това поле, за да разреши отново потребителския дос­тъп.


Страницата Member Of


Страницата Member Of на диалоговия прозорец Свойства на име-на-акаунт дава възможност за включване или премахването на потребителския акаунт към група.



Фигура 4.10

Страницата Profile


Страницата Profile на диалоговия прозорец Properties дава въз­можност да се зададе път за потребителския профил, скрипт за вли­зане и собствена папка (Home folder) - вижте фигура 4.11.



Фигура 4.11. Страницата Profile на диалоговия прозорец Properties за даден потребителски акаунт

Потребителски профил


Потребителският профил (user profile) е съвкупност данни, които съхраняват текуща среда на работа, настройки на приложенията и лични данни. Също така всички мрежови връзки, които биват установявани, когато се работи на компютъра - например елементи на менюто Старт и други. При първото влизане на компютъра Windows Vista създава потребителски профил и го съхранява. Този потребителски профил също така се нарича локален потребителски профил (local user profile).

Потребителските профили функционират по следния начин на всички клиентски компютри, работещи с Windows Vista:



  • Когато влезете на клиентския компютър, винаги получавате настройки на работното поле и връзки, независимо от потребителите, споделящи същия клиентски компютър.

  • При първото влизане на клиентския компютър, Windows Vista съз­дава ваш подразбиращ се профил. Подразбиращият се потре­бителски профил се съхранява в директорията
    корен_на_системния_дял\Потребители\потребителско_име_за_влизане (обикновено C:\Потребители\потребителско_име_за_влизане), където потребителско_име_за_влизане е името, което се въ­вежда при влизане в системата.

  • Потребителският профил съдържа папката Документи, която оси­гурява място за съхраняване на лични файлове. Документи е подразбиращото се местоположение на пътя за файловете, указ­вани от диалоговите прозорци Отвори и Запиши като. Доку­менти се появява в менюто и улеснява намирането на лични до­кументи.

  • Потребителският профил може да се променя, като се проме­нят настройките на работното поле. Например, при създаване на нова мрежова връзка или добавяне на файл към Документи, Windows Vista включва промяната в съответния потребител­ски профил при излизане от системата. При следващото влизане новата мрежова връзка и файлът ще присъстват.

Скрипт за влизане


Скриптът за влизане е файл, който може да бъде създаден и зададен на потребителски акаунт с цел конфигуриране на работната среда на пот­ребителя. Например, може да се използва скрипт за влизане, за устано­вяване на мрежови връзки или за стартиране на приложения. Всеки път, когато потребителят влиза в системата, зададеният скрипт за влизане бива изпълняван.

Собствена папка


Освен папката Документи, Windows Vista дава възможност за създаване на собствени папки, за да могат потребителите да съхраняват свои лични документи. Може да се съхранява собствена папка на клиентски компютър и в споделена папка на файлов сървър.

Съхраняването на всички собствени папки на файлов сървър пре­доставя следните предимства:



  • Потребителите могат да осъществяват достъп до техните соб­ствени папки от всеки клиентски компютър от мрежата.

  • Може да се централизира архивирането и администрирането на потребителски документи, като се прехвърли отговорността за ар­хивиране и управление на документите от потребители­те на операторите или мрежовите админист­ратори, отговарящи за ар­хивирането в мрежата.

Важно: Съхранявайте собствените си папки на дялове с файлова система тип NTFS, за да можете да използвате NTFS разрешения за осигуряване на сигурността на потребителските документи. Ако съхранявате собствените си папки на FAT дял, можете да ограничите достъпа до собствената папка само с помощта на разрешения за папки.

Освен папката Документи, в потребителския профил се съдържат още няколко папки:

  • Видеозаписи – Папка, в която се съхраняват видеозаписите по подразбиране. Ако прехвърляте видеозапис от камера или друго устройство, това ще е папката, в която ще се прехвърлят, освен ако не зададете друга.

  • Връзки

  • Записани игри – Тука се пазят файловете на различните игри, в които е записана информация за напредъка по играта.

  • Изтегляния – По подразбиране тук се съхраняват изтеглените от Интернет файлове.

  • Картини – По подразбиране тук се съхраняват графичните файлове, които сте създали или прехвърлили от фотоапарат.

  • Контакти – Съхраняване на контакти от Outlook/MSN messenger

  • Музика – По подразбиране тук се съхраняват музикалните файлове, които сте свалили от Интернет или създали сами.

  • Предпочитани – (Favorites ) Тук се съхраняват препратки към различни сайтове, които сте добавили към Предпочитани.

  • Работен плот – Показва всички файлове и икони, разположени на работния плот.

  • Търсения



Урок 5: Работа с групи

Същност на групите


Групата (group) представлява съвкупност от потребителски акаунти. Групите улесняват администрирането, като дават възможност за задаване на разрешения и права на група от потребители, вместо на отделни потребителски акаунти (фигура 4.12 ).

Групите представляват съвкупности от потребителски акаунти



  • Членовете получават разрешенията, дадени на групата

  • Потребителите могат да бъдат членове на множество групи

  • Групите могат да бъдат членове на други групи.

Разрешенията (permissions) контролират какво могат да правят потребителите с даден ресурс, като папка, файл или принтер. Когато се дават разрешения, се разрешава на потребителите да получават достъп до даден ресурс и се дефинира типа на достъпа, който те притежават.
Например: ако няколко потребителя трябва да могат да четат от един и същи файл, може да се добавят техните потребителски акаунти към група и след това да даде на групата разрешение за четене на файловете. Правата (rights) дават възможност на потребителите да изпълняват системни задачи, например да променят часа на компютъра.

Фигура 4.12. Управление на група

Същност на локалните групи


Локалната група (local group) е съвкупност от потребителски акаунти на даден компютър. Препоръчва се използването на локални групи за задаване на разрешения за ползване на ресурси, разположени на компютъра.

Подготовка за използване на локални групи


Насоките за използване на локални групи са следните:

Когато искате да зададете разрешения на потребители – вместо да задавате разрешения на всеки поотделно, създайте група с общи разрешения. След това добавете потребителите в създадената група. Не задавайте много разрешения в една група. По-добре е всяка група да има по-малко разрешения. Един потребител може да е член на няколко групи. Ако потребител е член на група, в която има дадено разрешение, но също така е член и на група, в която то е забранено, то разрешението ще е изключено. Забраняващите разрешения предефинират позволяващите.

Правилата за членство в локални групи са следните:


  • Локалните групи могат да съдържат локални потребителски акаунти от компютъра, на който създавате локалните групи.

  • Локалните групи не могат да принадлежат към някоя друга група.

Създаване на локални групи


Използва се snap-in модула Управление на компютъра, за да се създадат локални групи в папката Groups

За да се създаде локална група се изпълняват следните стъпки



  1. В Управление на компютъра се разширява Local Users And Groups

  2. Щраква се с десния бутон на мишката върху Groups и се избира New Group. ММС визуализира диалоговия прозорец New Group са описани достъпните опции.

  3. Въвежда се съответната информация и след това се натиска ОК за потвърждение.

Ред

Описание

Group Name

Изисква уникално име за локалната група. Това е единствената задължителна информация, която трябва да се въведе. Позволено е използването на всички символи, с изключение на обратната наклонена черта „\”. Името може да съдържа до 256 знака, но прекалено дългите имена е възможно да не се визуализират в някои прозорци.

Description

Описва групата.

Members

Изброява потребителските акаунти, принадлежащи към групата.

Add

Добавя потребител към списъка с членове.

Remove

Премахва потребител от списъка с членове.

Create

Създава групата.

Close

Затваря диалоговия прозорец New Group.

Таблица 4.2. Опции на New Local Group

Добавяне на членове към група


Може да се добавят членове към локална група по време на създаването на групата, като се натисне Add. Освен това Windows Vista осигурява два метода за добавяне на член към създадена група: snap-in модула Управление на компютъра - Member Of на диалоговия прозорец име-на-потребител. За да се използва snap-in модула Управление на компютъра за членове на група, която вече е създадена, се изпълняват следните стъпки:

  1. Стартира се snap-in модула Управление на компютъра.

  2. Разширява се Local Users And Groups и след това щракате Groups.

  3. В панела за детайли се щраква с десния бутон върху съответната група и след това се избира Свойства.Управление на компютъра визуализира диалоговия прозорец име-на-група Свойства.

  4. Избира се Add. Управление на компютъра визуализира диалоговия прозорец Изберете потребители



Фигура 4.13. Диалогов прозорец Изберете потребители

Трябва да се провери, че в текстовото поле От това място е избран компютъра, на който е създадена групата.

В текстовото поле Въведете имената на обекти, които да бъдат избрани на диалоговия прозорец Изберете потребители се въвеждат имената на потребителските акаунти, които ще се добавят към групата, като се отделят един от друг с точка и запетая. Завършва се с натискане на бутон ОК.

Страницата Member Of на диалоговия прозорец име-на-потребител Properties на даден потребителски акаунт дава възможност за добавяне потребителски акаунт към множество групи. Този метод се използва, за да бъде добавен бързо един и същ потребителски акаунт към множество групи. (вж. секцията „Страницата Member” как се из­бира страницата Member Of)


Изтриване на локални групи


С помощта на snap-in модула Управление на компютъра може да се из­триват локални групи. Всяка група, която се създава, има идентифика­тор, който не може да бъде използван othobо. Windows Vista използва тази стойност, за да идентифицира зададените разрешения. Когато се из­трие група, Windows Vista не използва идентификатора отново, дори ако се създаде нова група със същото име като на групата, която е из­трита. От това следва, че не може да се възстанови достъпа след изтри­ване и повторно създаване на група.

Когато една група бъде изтрита, се премахва само групата и свързаните с нея разрешения и права. Изтриването на група не води до изтриване на потребителските акаунти, които са членове на групата. За да се изтрие група, се щраква с десния бутон на мишката върху името в snap-in модула Управление на компютъра и след това се избира Изтрий.


Същност на вградените локални групи


Всички версии на операционната система Windows Vista имат вградени локални групи. Тези групи дават права, за да се изпълняват някои сис­темни задачи, като съхраняване и възстановяване на файлове, проме­няне на системното време и администриране на ресурси. Тези групи мо­гат да бъдат открити в папката Groups в Управление на компютъра.

Таблица 4.3 съдържа списък на най-използваните вградени локални групи, както и описание на някои от техните възможности.



Група

Описание

Administrators


Членовете могат да изпълняват всички административни задачи на компютъра. По подразбиране вграденият акаунт Administrator е член.

Backup Operators

Членовете могат да използват Windows Backup, за да архивират и възстановяват данни на компютъра.

Guests

Членовете могат да извършват следното:

  • Да изпълняват само задачите, за които имат специално предоставени права

  • Да осъществяват достъп само до тези ресурси, за които имат зададени разрешения.

Членовете не могат да правят постоянни промени на своята среда на работното поле. По подразбиране вграденият акаунт Guest е член на групата. Когато някой член-сървър или компютър с WindowsVista се присъедини към домейн, Windows Server 2000/2003 добавя групата Domain Guests към локалната група Guests.

Power Users

Членовете могат да създават и модифицират локални потребителски акаунти на компютъра и да поделят ресурси.

Replicator

Поддържа репликация на файлове в домейн.

Users

Членовете на групата могат:

  • Да изпълняват само задачите, за които имат специално предоставени права

  • Да осъществяват достъп само до тези ресурси, за които имат зададени разрешения.

По подразбиране Windows Vista добавя към групата Users всички локални потребителски акаунти, които администраторът създава на компютъра. Когато някой член-сървър или компютър с Windows Vista се присъедини към домейн, Windows Server 2000/2003 добавя групата Domain Users към локалната група Users.

Таблица 4.3. Възможности на вградените локални групи Локална група

Същност на вградените системни групи


Вградените системни групи се създават при инсталирането на операционната система. Добавени са, за да улеснят администрирането на потребителски акаунти. Играят ролята на предварително дефинирани шаблони с права.

При администриране на групи те са невидими, но са достъпни, когато се задават права за използване на ресурси. В таблицата са показани най-често използваните системни групи, както и кратко описание за техните възможности.



Системна група

Описание

Everyone


Това са всички потребители, които имат достъп до компютъра. Когато дискът се форматира с файлова система NTFS, автоматично на групата Everyone се задават пълни права за достъп. Това решава проблема, който е възниквал при по-стари версии на Windows, включително и Windows 2000. Проблемът се състои в това, че се е добавял Anonymous Logon към групата Everyone. Така анонимните потребители са имали достъп до файловата система, освен ако не се направят допълнителни настройки.

Authenticated Users

Това са всички акаунти с валидно потребителско име. Ако компютърът е част от домейн, то това са всички потребители в Active Directory. Препоръчително е да се използва тази група вместо групата Everyone, за да се предотврати използването на системни ресурси от анонимни потребители.

Creator Owner

Това е потребителят-притежател на ресурса. Ако някой член на администраторската група създаде някакъв ресурс, то групата Administrator притежава ресурса.

Network

Потребител, който се е включил към компютъра от друг компютър и използва споделен ресурс на компютъра.

Interactive

Акаунт за потребителя, който е влязъл на компютъра. Членовете на групата Interactive могат да осъществяват достъп до ресурси на компютъра, на който са разположени физически. Те влизат и осъществяват достъп до ресурси чрез "взаимодействие" с компютъра.

Anonymous Logon

Това е всеки потребител, който не се е идентифицирал.

Dialup

Включва всеки потребител, който в момента има dial-up връзка

Таблица 4.4. Възможности на вградените системни групи

Урок 6: Отдалечен достъп

Отдалечен достъп


Windows Vista дава възможността за свързване към други компютри чрез инструмента Връзка с отдалечен плот. Чрез този инструмент вие не само може да се свързвате с други компютри, но и да прехвърляте файлове между тях. За да се свържете към отдалечен компютър, трябва да знаете адреса на компютъра. Когато компютърът, към който се свър­звате, е в локалната мрежа, тогава е лесно да се настрои връзката с него. Когато компютърът не се намира в рамките на локалната мрежа, за да е възможна връзката, той трябва да има статичен/реален ip-адрес. Възможно е и без реален адрес, но трябва да се направи виртуална мрежа или VPN връзка. Следващата стъпка е да въведете потребителското име и парола, с която искате да влезете в отдалечения компютър.



Фигура 4.14. Инструмент Връзка с работен плот

За да бъде възможен отдалеченият достъп до даден компютър, трябва да са изпълнени някои условия.



  1. Разрешен отдалечен достъп на компютъра, към който искате да се свържете. За да разрешите отдалечения достъп, трябва да стартирате Контролен панел, след това Система и от ляво от менюто Задачи да изберете Отдалечени настройки (Фиг. 4.15). Имате няколко варианта за избор:

    • Не позволявай връзки към този компютър – това означава, че отдалеченият достъп е забранен.

    • Позволявай връзки от компютри, изпълняващи всяка версия на отдалечен работен плот – чрез тази настройка ще може да се свързвате от компютри, които имат по-стари операционни системи.

    • Позволявай връзки само от компютри, изпълняващи отдалечен работен плот с удостоверяване на нивото на мрежата. Това е най-сигурната настройка за отдалечена връзка. Тази настройка ви гарантира, че само компютри с операционната система Windows Vista могат да се свързват с отдалечен достъп към вас.



Фигура 4.15. Настройки на отдалечен работен плот


  1. Трябва да добавите потребители, които имат права / привилегии да се свързват чрез отдалечен достъп до компютъра. Това става като натиснете бутона Избор на потребители от настройките на отдалечен работен плот.

  2. Защитната стена на Windows Vista трябва да разрешава отдалечения достъп . Защитната стена може фино да се конфигурира така, че през отдалечения достъп да имате достъп до само определени ресурси (Фиг. 4.16)



Фигура 4.16. Настройки защитната стена

Настройки на свързване


Настройките на отдалечения достъп са категоризирани в няколко отдела:

  • Общи. От общите настройки могат да се въвеждат адреса на отдале­чения компютър, като може съществуващите настройки за отдалечен достъп да бъдат съхранени във файл и след това отво­рени.

  • Дисплей. С цел по-голямо бързодействие при отдалечения достъп и намаляване на мрежовия трафик, има възможност, в която може да изберете големината на екрана, както и дълбочината на цветовете. При по-малка дълбочина (256 цвята. 15 и 16 бита) връзката е по-добра.

  • Локални ресурси. Чрез тези опции може да кажете какви устрой­ства ще бъдат достъпни на компютъра, към който се свързвате. Има няколко настройки:

    • Звуков сигнал на отдалечен компютър. Чрез тази опция се указва дали звуците от отдалечения компютър да бъдат чувани от локалния компютър. Ако ги забра­ните, ще намалите мрежовия трафик.

    • Клавиатура. Как да бъдат възприемани клавишните ком­бинации на локалния или на отдалечения компю­тър.

    • Локални устройства и ресурси. Може да изберете ус­тройствата които искате да виждате на отдалечения компютър. Имате следния избор:

      • Принтери

      • Клип борд

      • Смарт Карти

      • Серийни Портове

      • Дискови устройства. Чрез тази опция вие имате достъп до локалните дискове, от които може да копирате файлове и да записвате файлове, ако имате съответните права.

      • Подържани Plug and Play устройства.

  • Програми. Може да задавате каква програма да се изпълнява автоматично след всяко ваше влизане.

  • Опит. Фини настройки, чрез които може да оптимизирате достъпа си до работния плот, като намалите различни графични детайли, забраните анимации и настройки по шрифтовете.

  • Разширени. Чрез тези настройки може да зададете нивото на сигурност при свързването към даден компютър. Освен това може ръчно да въведете шлюза (gateway) за терминални услуги на даден сървър. Дадени мрежи са защитени и имат по-голямо ниво на сигурност. Затова дадени мрежи използват шлюз.


База данных защищена авторским правом ©obuch.info 2016
отнасят до администрацията

    Начална страница