Създаване и управление на потребителски акаунти Урок 1: Общи сведения и терминология



Дата05.09.2016
Размер257.43 Kb.

ГЛАВА 3

Създаване и управление на потребителски акаунти

Урок 1: Общи сведения и терминология

Урок 2: Правила за изграждане на нови потребители

Урок 3: Добавяне, модифициране и изтриване на потребителски акаунти

Урок 4: Задаване на свойства на потребителските акаунти

Урок 5: Работа с групи

За тази глава


Тази глава ви подготвя да използвате и създавате потребителски акаунти в Microsoft Windows XP/2003. В началото ще научите защо е нужно да се създават акаунти, как се планират потребителските акаунти. След това ще може да създавате потребителски акаунти, да задавате права, и накрая създаването и модификациите на групи от потребителски акаунти.

Урок 1: Общи сведения и терминология

Потребителски акаунти


Windows XP/2003 използва три типа потребителски акаунти: локални потребителски акаунти, потребителски акаунти на домейн и вградени потребителски акаунти.

  • Локалният потребителски акаунт (local user account) ви възможност да влизате на конкретен компютър, за да осъществявате достъп до ресурсите на този компютър.

  • Потребителският акаунт на домейн (domain user account) дава възможност да влизате в домейн, за да осъществявате достъп до мрежови ресурси.

  • Вграденият потребителски акаунт (built-in user account) дава възможност да изпълнявате административни задачи, да осъществявате достъп до локални или мрежови ресурси.

Локални потребителски акаунти


Чрез локалните потребителски акаунти потребителите се идентифицират пред компютъра/операционната система. На базата на въведената парола и потребителско име на потребителя се задават определени права. Информацията за съответния акаунт се пази в локална база данни (local security database), която е видима само за компютъра, в който е създадена. В нея е записана информация за потребителите на компютъра, паролите и имената им. Паролите в Windows XP/2003 се съхраняват чрез подсистема на операционната система за администриране, наречена SAM (Security Accounts Manager). Тази подсистема се грижи за базата данни, съставена от имената и паролите на локалните потребители и на домейн-потребителите, ако компютърът се явява домейн-контролер.

SAM файлът се намира в поддиректорията: C:\WINDOWS\system32\config\

Тази папка е заключена за всички потребители, включително и за потребители от тип Administrator. Единствения потребител, който има достъп до този файл по време на работа е системата (“System” account).

При влизане в Windows, когато потребителя въведе паролата си, тя бива кодирана на базата на някакъв кодиращ алгоритъм, който превръща паролата в поредица от следния вид:

                  7524248b4d2c9a9eadd3b435c51404ee

Така полученият израз се нарича “Password Hash” и всъщност това е обекта, който се сравнява със записите в SAM-файла.



За локалните потребителски акаунти е характерно следното:

  • Осигуряват достъп до ресурсите на локалния компютър;

  • Създават се само на компютри, които не са в домейн;

  • Създават се в локалната база данни за сигурност.

За локалните потребители е характерно, че трябва да се използват само когато компютрите с в работна група. Защо е препоръчително това? Нека да разгледаме примера, в който имаме 10 компютъра в мрежа. Искаме с един акаунт да имаме достъп до всичките десет компютъра. Трябва да се направи следното – да се създадете по отделно по един локален акаунт на всеки компютър. Ако се налага промяна на паролата на акаунта, то това трябва да се направи на всеки един компютър. Това се получава, защото всеки един компютър държи в своята локална база данни за сигурност паролите и имената.

Потребителски домейн-акаунти


Домейн-акаунтите позволяват влизане в компютър, който е част от домейна. Така с една парола и потребителско име ще може да се влиза в който и да е компютър, стига да е част от домейна. При влизане в компютър чрез домейн-акаунт, Windows 2000/2003 взима информация, за да определи самоличност на потребителя и да асоциира различни потребителски права към него. Създава маркер за достъп, съдържащ потребителската информация и настройките за сигурност. Маркерът за достъп идентифицира потребителя за компютрите в домейна, до ресурсите на които се опитва да осъществи достъп. Маркерът за достъп е валиден за времето на потребителската сесия.

За да може да се създават домейн-акаунти е необходимо да има инсталиран домейн-контролер. Това е сървър от фамилията Windows Servers 2000/2003, на който трябва да е инсталирана услугата Active Directory.

Потребителският акаунт на домейна се създава в копието на базата данни на Active Directory на даден домейн-контролер. Домейн-контролерът разпространява информацията за новия потребителски акаунт към всички други контролери в домейна. След като Windows 2000/2003 Server разпространи информацията за новия потребителски акаунт, всички домейн-контролери в дървото на домейна вече могат да идентифицират потребителя по време на процеса на влизане в системата и осигуряват:


  • Осигуряват достъп до мрежови ресурси

  • Осигуряват маркерът за достъп за удостоверяване на автентичността

  • Създават се в директорийните услуги Active Directory на домейн-контролер

Вградени потребителски акаунти


За да улесни процеса при инсталация и при конфигуриране от потребителя, Windows XP/ 2003 автоматично създава вградени акаунти (built-in accounts).

Два от най-често използваните вградени акаунти са Administrator и Guest. Освен тези два акаунта, често се случва някои програми сами да създават свои специфични акаунти. Програмите за разработка, обикновено създават такива акаунти, които имат необходимите права за работа. Пример: инсталира се програма за запис на дискове, но за да се записва е необходим достъп до администраторски акаунт. Проблемът се решава, като програмата при инсталацията е създала акаунт или група, които имат права за запис. Ако се използва създадения акаунт, или администраторът добави акаунта към групата – вече ще може да се записва дискове.


Акаунтът Administrator


Акаунтът Administrator се създава още при инсталацията на Microsoft Windows XP/2003.

При инсталация трябва да се зададе паролата, която ще се асоциира към този акаунт. Паролата не може да остане празна. Много е важно паролата да се подбере по подходящ начин, така че да е трудна за отгатване. Има няколко прости правила за избор на парола. Паролата трябва да е комбинация от цифри, символи, малки и големи букви и допустими знаци. Windows-системата за идентификация е “Case Sensitive”, тоест прави разлика между големи и малки букви. Паролите, свързани с лична информация, са лесни за отгатване – примерно рождена дата или единен граждански номер. Такива пароли трябва да се избягват. Ако друг човек знае администраторката парола, то все едно той има неограничени права и достъп до съответния компютър. Вградения администратор има най големи права, напр. може да създава нови потребителски акаунти и групи, да задава политики за сигурност, да управлява различни мрежови ресурси (мрежови принтери), да създава и управлява други администраторски акаунти.

Този вграден акаунт не може да бъде изтрит. Добра практика е след инсталация да бъде преименуван администраторския акаунт. Това се прави с цел затрудняване на не-оторизирани потребители, които правят опити за отгатване на паролата на администратора. Така се повишава сигурността на системата. Администраторският акаунт може да бъде забранен, т.е. да бъде направен неактивен, но информацията за него се пази в локалната база данни. Той може да бъде разрешен повторно при нужда.

Забележка: Ако искате да влизате като Administrator и екранът Welcome е разрешен, можете да натиснете два пъти клавишната комбинация CTRL+ALT+DELETE. Windows XP/2003 показва прозореца за регистрация и можете да влезете в системата като Administrator. Акаунтът Administrator не се появява на екрана Welcome, ако работите в среда на работна група, екранът Welcome е разрешен и сте създали потре­бителски акаунт по време на инсталацията. За информация относно създаването на потребителски акаунт по време на инсталацията вижте глава 2, "Инсталиране на Windows XP/2003". В урок 3 от тази глава е обяснено как да се конфигурира компютъра, така че да използва прозореца за регистрация, вместо екрана Welcome.

Акаунтът Guest


Акаунтът Guest се създава автоматично при инсталация на Windows XP/2003. По подразбиране този акаунт е забранен. Най-често се използва за случаите, когато случайни потребители трябва да могат да влизат в системата и да осъществяват достъп до системни ресурси. Например потребител от друг компютър иска да копира споделени (share) файлове от основния компютър. За този потребител автоматично ще се асоциира guest акаунта. Той също се асоциира за потребители, които ползват интернет страниците, поддържани на компютъра, при условие, че има интернет-сървър инсталиран на компютъра (IIS Internet Information Server)

Акаунтът Guest може да се разреши, ако мрежата, в която е свързан компютърът е сигурна. Добра практика е да се задава парола на Guest акаунта и той да се преименува.


Активиране на акаунта Guest


Има няколко начина, по които може да се активира Guest акаунта.

Първият начин е през инструмента User Account в Control Panel, показан на фигура 3.1. За да може да се стигне до него, трябва първо да има делегирани права на акаунта, който се ползвате. По подразбиране потребител, член на групата Administrators, има достъп до там.





Фигура 3.1 Инструментът Потребителски акаунти

При стартиране на програмата User Accounts, потребителят има няколко възможности: да създава, изтрива, редактира и забранява (заключва) потребителски акаунти. Съществуващите акаунти са показани в долната част на екрана, като за всеки потребител има и някакво картинка (лого). Тук не е показан главният потребителски акаунт Administrator. За да се активира/разреши акаунта Guest:



  1. Натиска се Старт/Start, избира се Контролен Пане;/Control Panel и след това Потребителски акаунти/User Accounts.

  2. В прозореца User Accounts се щраква се върху иконата Guest, за да се отвори прозореца „Искате ли да включите акаунта на гост”/„Do You Want To Turn On The Guest Account” (фигура 3.2).



Фигура 3.2 Прозорецът Do You Want To Turn On The Guest Account

  1. Натиска се бутона „Включване на акаунт за гост”/„Turn On The Guest Account”. Сега акаунтът Guest е разрешен.

  2. Затваря се прозореца Потребителски акаунти/User Accounts и Контролен Панел/Control Panel.

Забраняване на акаунта Guest


Стъпките за забрана/деактивиране на Guest акаунта са подобни на предишната демонстрация: Ако акаунтът Guest е активен, програмата User Accounts показва, че акаунтът Guest е включен (Guest Access Is On).

За да се забрани достъпа до компютъра през акаунта Guest, се изпълнява следното:



  1. Стартира се програмата Потребителски акаунти/User Accounts и се щраква върху иконата Guest.

  2. Появява се друг прозорец с бутон „Изключване на гост акаунт”/„Turn off the Guest Account”. Щраква се върху него и акаунтът вече е забранен.

Забележка: Инструмента Потребителски акаунти, не съществува във Windows 2003.

Урок 2: Правила за изграждане на нови потребителски акаунти


Може да се ускори процеса на създаване на потребителски акаунти, като се планира и организира информация за новите акаунти, както следва:

Конвенции за именуване


Използването на конвенция (naming convention) е полезна практика и задължителна при местата, където потребителите са много и структурата на организацията е сложна. Тя представлява единен стандарт за идентифициране на потребителите. Спазването на единна конвенция за именуване помага на администраторите и потребителите да запомнят имената за влизане, а също така тя улеснява администраторите при намирането на определени потребителски акаунти, за да ги добавят към групи. В таблицата са обобщени някои от насоките за съставяне на ефективна конвенция за именуване на потребителите.

Правила при конвенциите за именуване


Имената на потребителите трябва да са уникални в рамките на един компютър. Windows XP/2003 няма да позволи да съществуват две идентични имена на един и същ компютър. При домейн-организация имената трябва да са уникални за директорията.

Имената на потребителски акаунти могат да съдържат до 20 знака от главни и малки букви , както и някои други допустими символи. Полето побира повече от 20 знака, но Windows XP/2003 разпознава само първите 20 от тях.

Добре е да се използват буквено-цифрови комбинации, за да се създават уникални потребителски имена. При потре­бителските имена за влизане няма разлика меж­ду използването на главни и малки букви, но Windows XP/2003 показва името така, както е написано с главни и малки букви, за да го визу­ализира така, както е въведено.

За по-голяма сигурност е добре да се преименуват имената на Guest и Administrator акаунтите.

За да се осигури по-голяма сложност на имената, може да се използват и някои специални символи. Не всички са позволени. Следните символи не могат да бъдат използвани:
" / \ [ ] : ; | = , + * ? <

Ако двама потребители имат едно и също име, може да се създаде потребителско име за вли­зане в системата, което да се състои от първото име, първата буква на фамилията и допълни­телни букви от фамилията, за да се разграничат потребителите. Например, ако двама потреби­тели се казват Петър Петров, може да се създаде единия потребителски акаунт за влизане като petyr_p, a другия - като petyr_petrov. Може също та­ка да се постави номер за името за влизане на всеки потребител - например petyr1 и petyr2.


Правила за съставяне на пароли


За да се защити достъпа до компютъра, всеки потребителски акаунт трябва да има парола. Трябва да се спазват следните правила при съставянето на паролите:

  • Винаги трябва да се задава парола на акаунта Administrator, за да възпрепятства не-оторизиран достъп до акаунта.

  • Трябва да се определи дали паролите ще бъдат контролирани от Administrator или от потребителите. Можете да се зададат уникални пароли на потребителите, като се забрани на потребителите да ги променят или обратно - да се даде възможност на потребителите сами да въвеждат техни собствени пароли при първото им влизане системата. В повечето случаи е добре потребителите да имат възможност да контролират своите пароли. Една от полезните възможности е тази, чрез която може да бъдат задължавани потребителите да сменят паролите си през определен интервал от време.

  • Трябва да се използват пароли, които трудно могат да бъдат отгатвани. Например трябва да се избягват пароли с очевидни асоциации, например име на член от семейството, рождена дата, ЕГН и т.н.

  • Паролите могат да съдържат до 128 знака. Препоръчва се минимална дължина от 8 знака.

При задаване на паролите е препоръчително използването както главни, така и малки букви, цифри и валидни знаци. При паролите има значение дали буквата е малка или голяма. Така например има разлика при следния случай: Xyz123 и xyZ123.

Урок 3: Създаване, изтриване и модифициране на потребителски акаунти


Има два основни инструмента, чрез които може да се управляват потребителските акаунти. Единият инструмент бе разгледан отчасти в урок 1 „Потребителски акаунти/User Accounts”. Другият инструмент е „The Computer Management Snap-In”.

Инструменти за управление на потребителските акаунти (User Accounts Tools)

Промяна на акаунт (Changing an Account)


Инструментът User Accounts ще изглежда по различен начин в зависимост от потребителския акаунт, който е използван за влизане в компютъра. Ако се влезе като администратор, ще има възможност да бъдат правени промени по всички акаунти в компютъра. Ако се влезе с ограничен потребителски акаунт, няма да са активни същите бутони за модификация. В долната таблица са дадени правата, които администраторите и потребителите с ограничени права могат да ползват.

  • Промяна на името ми/Change My/The Name.  Тази опция е видима само за администраторски акаунт. Чрез нея може да се променя името на потребителя

  • Създай парола/Create A Password.  Добавяне на парола. Възможно е да се създаде първоначално потребител без парола. След време става необходимо да се добави парола. Тази опция е видима само за акаунти, които са без парола. Само администраторът има право да добавя пароли.

  • Промени моята парола/Change My/The Password.  Променя паролата на акаунта. Тази настройка е видима само в случая, когато потребителят има парола. Опцията е достъпна само за администратора.

  • Премахване на паролата /Remove My/The Password. Премахва паролата на собствения акаунт или на други акаунти. Само администратор може да премахне паролите на други акаунти.

  • Промяна на картинката/Change My/The Picture. Променя картинката (логото), която се появява на стартиращия екран. Само администраторите могат да променят картинките на другите акаунти.

  • Промяна на типа на акунта/Change My/The Account Type. Променя типа на конкретен акаунт. Само администраторът може да променя типа на акаунта.

  • Настрой моя акунт да използва .NET Passport /Set Up My Account To Use A .NET Passport. Стартира един помощник (Wizard), който напътства при регистрация на услугата .NET Passport. Паспортът е един универсален акаунт за достъп до най-различни ресурси, сайтове, комуникационни услуги (Instant Messageing), собствени Уеб страници, blogs и т.н.

  • Изтрий акаунт/Delete The Account. Изтрива зададен потребителски акаунт. Тази опция е достъпна само за администратори.

Създаване на нов потребителски акаунт


Само администраторите могат да създават нови потребителски акаунти. Тази опция е достъпна само в екрана Избор на задача/Pick A Task при влизане през потребителски акаунт, който е член на групата Adminis­trators.

За да се създаде нов потребителски акаунт се изпълняват следните стъпки:



  1. Натиска се Старт/Start, избира се Контролен панел/Control Panel и след това Потребителски акаунти/User Accounts.

  2. В прозореца Потребителски акаунти/User Accounts се избира Създаване на нов акаунт/Create A New Ac­count.

  3. Отваря се прозорецът Дайте име на новия акаунт/Name The New Account.

  4. В полето Въведете име за новия акаунт/Type A Name For The New Account се въвежда потреби­телско име за влизане в системата (до 20 знака) и след това се на­тиска Напред/Next.

Промяна на начина на влизане и излизане на потребители от системата


Само администраторите могат да променят начина, по който потребителите влизат или излизат от системата на компютъра. Тази опция е достъпна само в екрана Избор на задача/Pick A Task при влизане през потребителски акаунт, който е член на групата Adminis­trators.

Следните две опции контролират начина на влизането и излизането на потребители на компютъра:



  • Използване на екрана приветствие/Use The Welcome Screen. Тази опция е избрана по подразбиране и дава възможност да се изберете потребителски акаунт в екрана Welcome при стартирането на компютъра, за да се влезете в компютъра. Ако се премахне отметката на това поле, за да се влезе в системата, трябва да се въведе потребителско име и парола. За по-голяма сигурност се препоръчва да не се използва тази опция, т.е. тя да бъде изключена. Така всеки стартирал компютъра няма да знае списъка от потребители, които са регистрирани на него.

  • Използване на бързо превключване на потребители/Use Fast User Switching. Тази опция е избрана по-подразбиране и позволява бързо превключване между потребителските акаунти. Не е необходимо излизане от акаунта (log off), за да може да се влезе с друг акаунт. На практика, ако тази опция е избрана, то компютърът се превръща в мулти-потребителски компютър. Дава се възможност няколко потребителски акаунта да са активни едновременно.

За да бъде променен начина, по който потребителите влизат в системата, се изпълняват следните стъпки:

  1. Натиска се Старт/Start, избера се Контролния панел/Control Panel и след това Потребителски акаунт/User Accounts.

  2. В прозореца User Accounts се избира „Промени начина, по който потребителите влизат/Change The Way Users Log On Or Off”. Появява се прозорецът Изберете опции на влизане и излизане/Select Logon And Logoff Options.

  3. Маркира се или премахва отметката на съответните полета.

Избиране на акаунт, който да бъде променен.


Секцията Промяна на акаунт/Pick An Account To Change на инструмента Потребителски акаунти/User Accounts е достъпна само при влизане с потребителски акаунт, който е член на групата Administrators.

Модификациите на акаунт, които може да се правят, зависят от ти­па на акаунта и от това как е конфигуриран. Характеристиките на акаунта, които можете да се променят, са същите като тези, обсъдени по-рано в този урок в секцията "Променяне на акаунт"


Snap-in модулът Computer Management


Един от инструментите за управление на Microsoft Windows XP/2003 е Microsoft Management Console (MMC) – „Майкрософт конзола за управление”. MMC осигурява стандартизиран метод за създаване, записване и стар­тиране на инструменти за администриране. Самата конзола осигурява функции за управление, но съдържа приложения за управление, наречени snap-in модули (snap-ins), които се използват при изпълнение на една или повече административни задачи.
С конзолата се дава възможност да бъде извършвано следното:

  1. Да се администрират задачи и да се отстраняват проблеми ло­кално. Може да се изпълняват повечето от задачите по администрирането и да бъдат отстранявани различни проблеми, като за тази цел се използва единствено ММС.

  2. Централизиране на администрирането.

Можете да се използва конзолата, за да се изпълняват повечето от задачите по администриране в един компютър. Всяка конзола може да съдържа един или повече snap-in модули, включително snap-in модули от независими (трети) производители, така че може да бъде създадена една конзола, съдържаща всички инструменти, които са необходими за изпълнение на административните задачи

Когато се добавят snap-in модули към празна конзола се създава потребителска конзола. Един от snap-in модулите, които може да се добавят, е модулът Computer Management, показан на фигура 3.3. Snap-in модулът Computer Management е един инструмент на Windows XP/2003 за създаване, унищожаване, модифициране и забраняване на локални потребителен и за промяна на пароли.





Фигура 3.3 Snap-in модулът Computer Management.

Създаване на потребителска ММС конзола


За да се създаде потребителска ММС конзола, съдържащата Computer Management, се изпълняват следните стъпки :

  1. Натиска се Старт/Start и след това се избира Run. В текстовото поле Open се въвежда mmc и след това се натиска Изпълнение/RUN. ММС стартира и показва празна конзола.

  2. Максимизира се прозореца Console 1.

  3. Максимизира се прозореца Console Root.

  4. От менюто File се избира Add/Remove Snap-In. ММС визуализира диалоговия прозорец Add/Remove

  5. В страницата Standalone се натиска Add.

  6. ММС визуализира диалоговия прозорец Add Standalone Snap-In

  7. От списъка Available Standalone Snap-ins се избира Computer Management и след това се натиска Add.

  8. В диалоговия прозорец Computer Management натиснете Finish.

  9. В диалоговия прозорец Add Standalone Snap-In се натиска Затвори/Close.

  10. В диалоговия прозорец Add/Remove се натиска ОК, за да се види snap-in модула Computer Management в ММС конзолата.




Фигура 3.4 Диалогов прозорец Add Standalone Snap-In

ММС показва диалоговия прозорец Computer Management (пока­зан на фигура 3.3), който дава възможност да се укажете кой компютър ще бъде администриран. По подразбиране е избрана опцията Local Computer: (Computer This Console Is Running On).



Забележка: Може да бъде добавено Computer Management за компютъра, на който се работи, или ако локалният компютър е част от мрежа, може да се добави Computer Management, като се посочи отдалечен компютър. За да се добави Computer Management за отдалечен компютър, в диалоговия прозорец Computer management Snap-In се селектира Another Computer и след това се натиска Browse. В текстовото поле Enter The Object Name To Select в диалоговия прозорец Select Computer се въвежда името на отдалечения компютър, който ще бъде администриран с помощта на Computer Management. След това с „ОК” се потвърждава избора. Допълнително има поле и отметка, които дават възможност да се променя избрания компютър, когато се стартира ММС конзолата от командния ред.
Забележка: ММС конзолата, която се създава, е с име Console1. За да се запише тази конзола с цел повторно използване, от меню File се избера Save As. В текстовото поле File Name се въвежда Computer Management Local и след това се натиска бутона Save.

Създаване на локален потребителски акаунт с помощта на Console1 snap-in модула Computer Management


За да създадете локални потребителски акаунти с помощта на snap-in модула Computer Management се изпълняват следните стъпки:

  1. Разширете ММС конзолата, съдържаща snap-in модула Management.

  2. В панела на конзолата от прозореца Computer Management щракнете върху знака (+) до Computer Management, за да разтворите дървовидната структура. Computer Management три папки: System Tools, Storage и Services And Application

  3. В панела на конзолата щракнете двукратно върху System Tools след това щракнете върху Local Users And Groups.

  4. В панела с детайли щракнете с десния бутон на Users и след това изберете New User.

  5. В диалоговия прозорец New User (Фигура 3.5) попълнете съответните текстови полета, натиснете бутона Create и натиснете Close.



Фигура 3.5 – Диалогов прозорец „Нов потребител” (New User)

Ред

Действие

User Name

Името, с което потребителят ще влиза в системата. Това поле е задължително.

Full Name

Пълно име на потребителя. Може да включва първото име и фамилията на потре­бителя, но също така и презимето или първата буква на презимето. Това поле не е задължително.

Description

Описателен текст за потребителския акаунт или за потребителя. Това поле не е задължително.

Password

Парола за акаунта, която се използва за потвърждаване на идентичността на потребителя. С цел постигане на по-голяма сигурност се препоръчва винаги да се задава парола. Като допълнителна мярка за сигурност, по време на въвеждането на паролата, тя се появява под формата на низ от звездички (т.е. не се виждат действително въведените символи).

Confirm Password

Потвърждение на паролата (въвежда се втори път). Това поле е задължително, ако се задава парола

User Must Change Password At Next Logon

Тази опция се избира, ако се иска съответния потребител да промени паролата си при следващото му влизане в системата. Тази опция е избрана по-подразбиране.

User Cannot Change Password

Тази опция се избира, ако се иска съответния потребител да не може да променя паролата си. Това е полезно, ако този акаунт се използва от няколко човека, като с това се ограничава възможността един от тях да промени паролата и останалите да загубят достъп до системата.

Password Never Expires

Тази опция се избира, ако се иска валидността на паролата да не е ограничена по време. Ако е избрано User Must Change Password At Next Logon, то тази опция е неактивна.

Account Is Disabled

Тази опция се избира, ако се иска да бъде забранен съответния потребителски акаунт.

Таблица 3.3 - Настройка на локален потребителски ака­унт

Урок 4: Задаване на свойства на потребителски акаунти


Едно от най-важните неща свързани с потребителските акаунти са свойствата и позволенията, които има всеки потребител. Това е една и от основните причини за създаването на потребителски акаунти. Така ще може дадени потребители да се ограничат, докато на други да им се предоставят повече права/свойства. Windows XP/2003 създава набор от подразбиращи се свойства за всеки локален потребителски акаунт. След като е създаден локален потребителски акаунт, може с помощта на snap-in модула Computer Management да бъдат конфигурирани свойствата на акаунта. Свойствата на акаунта са групирани в следните три страници в диалоговия прозорец име-на-акаунт Properties - страниците (General, Member Of и Profile).

Страницата General


Страницата General на диалоговия прозорец име-на-акаунт Properties (виж фигура 3.6) дава възможност да се задават и редактират всички полета от диалоговия прозорец New User, c изключение на User Name, Password и Confirm Password. Освен това страница съдържа поле за отметка Account Is Locked Out.



Фигура 3.6 – Настройка на потребителски акаунт – страница General.

Ако акаунтьт е активен и не е заключен за системата, полето за отметка Account Is Locked Out e недостъпно. Системата заключва потребител, който надхвърли лимита на броя на неуспешни опити за влизане в системата. Тази възможност на сигурността прави по трудно проникването на не-оторизирани потребители в системата. Ако системата заключи даден акаунт, полето за отметка Account Is Locked Out става недостъпно. Някой от администраторите може да премахне отметката на това поле, за да разреши отново потребителския дос­тъп.


Страницата Member Of


Страницата Member Of на диалоговия прозорец име-на-акаунт Properties дава възможност за включване или премахването на потребителския акаунт към група.



Фигура 3.7

Страницата Profile


Страницата Profile на диалоговия прозорец Properties дава въз­можност да се зададе път за потребителския профил, скрипт за вли­зане и собствена папка (Home folder) - вижте фигура 3.8.



Фигура 3.8 Страницата Profile на диалоговия прозорец Properties за даден потребителски акаунт

Потребителски профил


Потребителският профил (user profile) е съвкупност данни, които съхраняват текуща среда на работа, настройки на приложенията и лични данни. Също така всички мрежови връзки, които биват установявани, когато се работи на компютъра, например елементи на менюто Start и други. При първото влизане на компютъра Windows XP/2003 създава потребителски профил и го съхранява. Този потребителски профил също така се нарича локален потребителски профил (local user profile).

Потребителските профили функционират по следния начин на всички клиентски компютри, работещи с Windows XP/2003:



  • Когато влезете на клиентския компютър, винаги получавате настройки на работното поле и връзки, независимо на потребителите, споделящи същия клиентски компютър.

  • При първото влизане на клиентския компютър Windows XP създава ваш подразбиращ се профил. Подразбиращият се потребителски профил се съхранява в директорията корен_на_системния_дял\Documents and Settings\потребителско_име_за_влизане (обикновено C:\Documents and Settings\потребителско_име_за_влизане), където потребителско_име_за_влизане е името, което se въвеждат при влизане в системата.

  • Потребителският профил съдържа папката Моите документи/My Documents, която осигурява място за съхраняване на лични файлове. Моите документи/My Documents е подразбиращото се местоположение на пътя за файловете оказвани от диалоговите прозорци Open и Save As. My Documents се появява в менюто и улеснява намирането на лични документи.

  • Потребителският профил може да се променя като се проме­нят настройките на работното поле. Например, при създаване на нова мрежова връзка или добавяне на файл към Моите документи/My Documents, Windows XP/2003 включва промяната във съответния потреби­телски профил при излизане от системата. При следващото влизане новата мрежова връзка и файлът ще присъстват.

Скрипт за влизане


Скриптът за влизане е файл, който може да бъде създаден и зададен на потребителски акаунт с цел конфигуриране на работната среда на потребителя. Например, може да се използва скрипт за влизане, за установяване на мрежови връзки или за стартиране на приложения. Всеки път, когато потребителят влиза в системата, зададеният скрипт за влизане бива изпълняван.

Собствена папка


Освен папката My Documents, Windows XP/2003 дава възможност за създаване на собствени папки, за да могат потребителите да съхраняват свои лични документи. Може да се съхранява собствена папка на клиентски компютър, в споделена папка на файлов сървър.

Съхраняването на всички собствени папки на файлов сървър пре­доставя следните предимства:



  • Потребителите могат да осъществяват достъп до техните собст­вени папки от всеки клиентски компютър от мрежата.

  • Може да се централизира архивирането и администрирането на потребителски документи като се прехвърли отговорността за ар­хивиране и управление на документите от потребители­те на операторите или мрежовите админист­ратори, отговарящи за архивирането в мрежата.

Важно: Съхранявайте собствените си папки на дялове с файлова система тип NTFS, за да можете да използвате NTFS позволения за осигуряване на сигурността на потребителските документи. Ако съхранявате собствените си папки на FAT дял, можете да ограничите достъпа до собствената папка само с помощта на позволения за папки.

Урок 5: Работа с групи

Същност на групите


Групата (group) представлява съвкупност от потребителски акаунти. Групите улесняват администрирането, като дават възможност за задаване на позволения и права на група от потребители, вместо на отделни потребителски акаунти (фигура 3.9).

Групите представляват съвкупности от потребителски акаунти



  • Членовете получават позволенията, дадени на групата

  • Потребителите могат да бъдат членове на множество групи

  • Групите могат да бъдат членове на други групи.

Позволенията (permissions) контролират какво могат да правят потребителите с даден ресурс, като папка, файл или принтер. Когато се дават позволения, се разрешава на потребителите да получават достъп до даден ресурс и се дефинира типа на достъпа, който те притежават. Например: ако няколко потребителя трябва да могат да четат от един и същи файл, може да се добавят техните потребителски акаунти към група и след това да даде на групата позволение за четене на файловете. Правата (rights) дават възможност на потребителите да изпълняват системни задачи, например да променят часа на компютъра.

Фигура 3.9 Управление на група

Същност на локалните групи


Локалната група (local group) е съвкупност от потребителски акаунти на даден компютър. Препоръчва се използването на локални групи, за задаване на позволения за ресурси, разположени на компютъра.

Подготовка за използване на локални групи


Насоките за използване на локални групи са следните:

Когато искате да зададете позволения на потребители – то вместо да задавате позволения на всеки по отделно, създайте група с общи позволения. След това добавете потребителите в създадената група. Не задавайте много позволения в една група. По добре е всяка група да има по малко позволения. Един потребител може да е член на няколко групи. Ако потребител е член на група в която има дадено позволение, но също така е член и на група в което това позволение е забранено, то позволението ще е забранено. Забраняващите позволения предефинират позволяващите.

Правилата за членство в локални групи са следните:


  • Локалните групи могат да съдържат локални потребителски акаунти от компютъра, на който създавате локалните групи.

  • Локалните групи не могат да принадлежат към някоя друга група.

Създаване на локални групи


Използва се snap-in модула Computer Management, за да се създадат локални групи в папката Groups

За да се създаде локална група се изпълняват следните стъпки



  1. В Computer Management се разширява Local Users And Groups

  2. Щраква се с десния бутон на мишката върху Groups и се избира New Group. ММС визуализира диалоговия прозорец New Group са описани достъпните опции.

  3. Въвежда се съответната информация и след това се натиска ОК за потвърждение.

Ред

Описание

Group Name

Изисква уникално име за локалната група. Това е единствената задължителна информация, който трябва да се въведе. Позволено е използването на всички символи, с изключение на обратната наклонена черта „\”. Името може да съдържа до 256 знака, но прекалено дългите имена е възможно да не се визуализират в някои прозорци.

Description

Описва групата.

Members

Изброява потребителските акаунти, принадлежащи към групата.

Add

Добавя потребител към списъка с членове.

Remove

Премахва потребител от списъка с членове.

Create

Създава групата.

Close

Затваря диалоговия прозорец New Group.

Таблица 3.4 Опции на New Local Group

Добавяне на членове към група


Може да се добавят членове към локална група по време на създаването на групата като се натисне Add. Освен това Windows XP Professional осигурява два метода за добавяне на член към създадена група: snap-in модула Computer Management - Member Of на диалоговия прозорец име-на-потребител. За да се използва snap-in модула Computer Management за членове на група, която вече е създадена, се изпълняват следните стъпки:

  1. Стартира се snap-in модула Computer Management.

  2. Разширява се Local Users And Groups и след това щракате Groups.

  3. В панела за детайли се щраква с десния бутон върху съответната група и след това се избира Properties.Computer Management визуализира диалоговия прозорец име-на-група Properties.

  4. Избира се Add.

C
omputer Management
визуализира диалоговия прозорец Select Users

Фигура 3.10 Диалоговият прозорец Select Users

Трябва да се провери, че в текстовото поле From This Location е избран компютъра, на който е създадена групата.

В текстовото поле Enter The Object Names To Select на диалоговия прозорец Select Users се въвеждат имената на потребителските акаунти, които ще се добавят към групата, като се отделят един от друг с точка и запетая. Завършва се с натискане на ОК.

Страницата Member Of на диалоговия прозорец име-на-потребител Properties на даден потребителски акаунт дава възможност за добавяне потребителски акаунт към множество групи. Този метод се използва, за да бъде добавен бързо един и същ потребителски акаунт към множество групи. (вж. секцията „Страницата Member” как се из­бира страницата Member Of)


Изтриване на локални групи


С помощта на snap-in модула Computer Management може да се изтриват локални групи. Всяка група, която се създава, има идентификатор, който не може да бъде използван othobо в Windows XP/2003 използва тази стойност, за да идентифицира. и зададените позволения. Когато се изтрие група, Windows XP Professional не използва идентификатора отново, дори ако се създаде нова група със същото име като на групата, която е изтрита. От това следва, че не може да се възстанови достъпа след изтриване и повторно създаване на група.

Когато една група бъде изтрита, се премахва само групата и свързаните с нея позволения и права. Изтриването на група не води до изтриване на потребителските акаунти, които са членове на групата. За да се изтрие група, се щраква с десния бутон на мишката върху името в snap-in модула Computer Management и след това се избира Изтрий/Delete.


Същност на вградените локални групи


Всички сървъри, и компютри използващи Windows XP/2003 имат вградени локални групи. Тези групи дават права, за да се изпълняват някои системни задачи, като съхраняване и възстановяване на файлове, променяне на системното време и администриране на ресурси. Тези групи могат да бъдат открити в папката Groups в Computer Management.

Таблица 3.5 съдържа списък на най-използваните вградени локални групи, както и описание на някои от техните възможности.



Група

Описание

Administrators

Членовете могат да изпълняват всички административни задачи на компютъра. По подразбиране вграденият акаунт Administrator е член.

Backup Operators

Членовете могат да използват Windows Backup, за да архивират и възстановяват данни на компютъра.

Guests

Членовете могат да извършват следното:

■ Да изпълняват само задачите, за които имат специално предоставени права

■ Да осъществяват достъп само до тези ресурси, за които имат зададени позволения.

Членовете не могат да правят постоянни промени на своята среда на работното поле. По подразбиране вграденият акаунт Guest е член на групата. Когато някой член-сървър или компютър с Windows XP/2003 се присъедини към домейн, Windows 2000 Server добавя групата Domain Guests към локалната група Guests.



Power Users

Членовете могат да създават и модифицират локални потребителски акаунти на компютъра и да поделят ресурси.

Replicator

Поддържа репликация на файлове в домейн.

Users

Членовете на групата могат:

Да изпълняват само задачите, за които имат специално предоставени права

Да осъществяват достъп само до тези ресурси, за които имат зададени позволения

По подразбиране Windows XP/2003 добавя към групата Users всички локални потребителски акаунти, които администраторът създава на компютъра. Когато някой член-сървър или компютър с Windows XP/2003 се присъедини към домейн, Windows 2000 Server добавя групата Domain Users към локалната група Users.









Таблица 3.5 Възможности на вградените локални групи Локална група

Същност на вградените системни групи


Вградените системни групи се създават при инсталирането на операционната система. Добавени са за да улеснят администрирането на потребителски акаунти. Играят ролята на предварително дефинирани шаблони с права.

При администриране на групи, те не са видими, но са достъпни когато се задават права за използване на ресурси. В таблицата са показани най-често използваните системни групи, и кратко описание за техните възможности.



Системна група

Описание

Everyone

Това са всички потребители, които имат достъп до компютъра. Когато диска се форматира с файлова система NTFS , автоматично на групата Everyone се задават пълни права за достъп. Това решава проблема, който е възниквал при по-стари версии на Windows, включително и Windows 2000. Проблемът се състои в това, че се е добавял Anonymous Logon към групата Everyone. Така анонимните потребители са имали достъп до файловата система, освен ако не се направят допълнителни настройки.

Authenticated Users

Това са всички акаунти с валидно потребителско име. Ако компютъра е част от домейн, то това са всички потребители в Active Directory. Препоръчително е да се използва тази група вместо групата Everyone, за да се предотврати използването на системни ресурси от анонимни потребители.

Creator Owner

Това е потребителят-притежател на ресурса. Ако някой член на администраторската група създаде някакъв ресурс, то групата Administrator притежава ресурса.

Network

Потребител, който се е включил към компютъра от друг компютър и използва споделен ресурс на компютъра.

Interactive

Акаунт за потребителя, който е влязъл на компютъра. Членовете на групата Interactive могат да осъществяват достъп до ресурси на компютъра, на който са разположени физически. Те влизат и осъществяват достъп до ресурси чрез "взаимодействие" с компютъра.

Anonymous Logon

Това е всеки потребител, който не се е идентифицирал.

Dialup

Включва всеки потребител, който в момента има dial-up връзка

Таблица 3.6 Възможности на вградените системни групи


База данных защищена авторским правом ©obuch.info 2016
отнасят до администрацията

    Начална страница