Създаване и управление на потребителски акаунти Урок 1: Общи сведения и терминология

ГЛАВА 3

Създаване и управление на потребителски акаунти

Урок 1: Общи сведения и терминология

Урок 2: Правила за изграждане на нови потребители

Урок 3: Добавяне, модифициране и изтриване на потребителски акаунти

Урок 4: Задаване на свойства на потребителските акаунти

Урок 5: Работа с групи

За тази глава

Урок 1: Общи сведения и терминология

Потребителски акаунти

• 
  Локалният потребителски акаунт (local user account) ви възможност да влизате на конкретен компютър, за да осъществявате достъп до ресурсите на този компютър.
  
• 
  Потребителският акаунт на домейн (domain user account) дава възможност да влизате в домейн, за да осъществявате достъп до мрежови ресурси.
  
• 
  Вграденият потребителски акаунт (built-in user account) дава възможност да изпълнявате административни задачи, да осъществявате достъп до локални или мрежови ресурси.
  

Локални потребителски акаунти

SAM файлът се намира в поддиректорията: C:\WINDOWS\system32\config\

Тази папка е заключена за всички потребители, включително и за потребители от тип Administrator. Единствения потребител, който има достъп до този файл по време на работа е системата (“System” account).

При влизане в Windows, когато потребителя въведе паролата си, тя бива кодирана на базата на някакъв кодиращ алгоритъм, който превръща паролата в поредица от следния вид:

                  7524248b4d2c9a9eadd3b435c51404ee

Така полученият израз се нарича “Password Hash” и всъщност това е обекта, който се сравнява със записите в SAM-файла.

• 
  Осигуряват достъп до ресурсите на локалния компютър;
  
• 
  Създават се само на компютри, които не са в домейн;
  
• 
  Създават се в локалната база данни за сигурност.
  

Потребителски домейн-акаунти

За да може да се създават домейн-акаунти е необходимо да има инсталиран домейн-контролер. Това е сървър от фамилията Windows Servers 2000/2003, на който трябва да е инсталирана услугата Active Directory.

Потребителският акаунт на домейна се създава в копието на базата данни на Active Directory на даден домейн-контролер. Домейн-контролерът разпространява информацията за новия потребителски акаунт към всички други контролери в домейна. След като Windows 2000/2003 Server разпространи информацията за новия потребителски акаунт, всички домейн-контролери в дървото на домейна вече могат да идентифицират потребителя по време на процеса на влизане в системата и осигуряват:

• 
  Осигуряват достъп до мрежови ресурси
  
• 
  Осигуряват маркерът за достъп за удостоверяване на автентичността
  
• 
  Създават се в директорийните услуги Active Directory на домейн-контролер
  

Вградени потребителски акаунти

Два от най-често използваните вградени акаунти са Administrator и Guest. Освен тези два акаунта, често се случва някои програми сами да създават свои специфични акаунти. Програмите за разработка, обикновено създават такива акаунти, които имат необходимите права за работа. Пример: инсталира се програма за запис на дискове, но за да се записва е необходим достъп до администраторски акаунт. Проблемът се решава, като програмата при инсталацията е създала акаунт или група, които имат права за запис. Ако се използва създадения акаунт, или администраторът добави акаунта към групата – вече ще може да се записва дискове.

Акаунтът Administrator

При инсталация трябва да се зададе паролата, която ще се асоциира към този акаунт. Паролата не може да остане празна. Много е важно паролата да се подбере по подходящ начин, така че да е трудна за отгатване. Има няколко прости правила за избор на парола. Паролата трябва да е комбинация от цифри, символи, малки и големи букви и допустими знаци. Windows-системата за идентификация е “Case Sensitive”, тоест прави разлика между големи и малки букви. Паролите, свързани с лична информация, са лесни за отгатване – примерно рождена дата или единен граждански номер. Такива пароли трябва да се избягват. Ако друг човек знае администраторката парола, то все едно той има неограничени права и достъп до съответния компютър. Вградения администратор има най големи права, напр. може да създава нови потребителски акаунти и групи, да задава политики за сигурност, да управлява различни мрежови ресурси (мрежови принтери), да създава и управлява други администраторски акаунти.

Този вграден акаунт не може да бъде изтрит. Добра практика е след инсталация да бъде преименуван администраторския акаунт. Това се прави с цел затрудняване на не-оторизирани потребители, които правят опити за отгатване на паролата на администратора. Така се повишава сигурността на системата. Администраторският акаунт може да бъде забранен, т.е. да бъде направен неактивен, но информацията за него се пази в локалната база данни. Той може да бъде разрешен повторно при нужда.

Забележка: Ако искате да влизате като Administrator и екранът Welcome е разрешен, можете да натиснете два пъти клавишната комбинация CTRL+ALT+DELETE. Windows XP/2003 показва прозореца за регистрация и можете да влезете в системата като Administrator. Акаунтът Administrator не се появява на екрана Welcome, ако работите в среда на работна група, екранът Welcome е разрешен и сте създали потре­бителски акаунт по време на инсталацията. За информация относно създаването на потребителски акаунт по време на инсталацията вижте глава 2, "Инсталиране на Windows XP/2003". В урок 3 от тази глава е обяснено как да се конфигурира компютъра, така че да използва прозореца за регистрация, вместо екрана Welcome.

Акаунтът Guest

Акаунтът Guest може да се разреши, ако мрежата, в която е свързан компютърът е сигурна. Добра практика е да се задава парола на Guest акаунта и той да се преименува.

Активиране на акаунта Guest

Първият начин е през инструмента User Account в Control Panel, показан на фигура 3.1. За да може да се стигне до него, трябва първо да има делегирани права на акаунта, който се ползвате. По подразбиране потребител, член на групата Administrators, има достъп до там.

При стартиране на програмата User Accounts, потребителят има няколко възможности: да създава, изтрива, редактира и забранява (заключва) потребителски акаунти. Съществуващите акаунти са показани в долната част на екрана, като за всеки потребител има и някакво картинка (лого). Тук не е показан главният потребителски акаунт Administrator. За да се активира/разреши акаунта Guest:

1. 
   Натиска се Старт/Start, избира се Контролен Пане;/Control Panel и след това Потребителски акаунти/User Accounts.
   
2. 
   В прозореца User Accounts се щраква се върху иконата Guest, за да се отвори прозореца „Искате ли да включите акаунта на гост”/„Do You Want To Turn On The Guest Account” (фигура 3.2).
   

3. 
   Натиска се бутона „Включване на акаунт за гост”/„Turn On The Guest Account”. Сега акаунтът Guest е разрешен.
   
4. 
   Затваря се прозореца Потребителски акаунти/User Accounts и Контролен Панел/Control Panel.
   

Забраняване на акаунта Guest

За да се забрани достъпа до компютъра през акаунта Guest, се изпълнява следното:

1. 
   Стартира се програмата Потребителски акаунти/User Accounts и се щраква върху иконата Guest.
   
2. 
   Появява се друг прозорец с бутон „Изключване на гост акаунт”/„Turn off the Guest Account”. Щраква се върху него и акаунтът вече е забранен.
   

Урок 2: Правила за изграждане на нови потребителски акаунти

• 
  Конвенции за именуване
  
• 
  Изисквания за паролите
  

Конвенции за именуване

Правила при конвенциите за именуване

Имената на потребителски акаунти могат да съдържат до 20 знака от главни и малки букви , както и някои други допустими символи. Полето побира повече от 20 знака, но Windows XP/2003 разпознава само първите 20 от тях.

Добре е да се използват буквено-цифрови комбинации, за да се създават уникални потребителски имена. При потре­бителските имена за влизане няма разлика меж­ду използването на главни и малки букви, но Windows XP/2003 показва името така, както е написано с главни и малки букви, за да го визу­ализира така, както е въведено.

За по-голяма сигурност е добре да се преименуват имената на Guest и Administrator акаунтите.

За да се осигури по-голяма сложност на имената, може да се използват и някои специални символи. Не всички са позволени. Следните символи не могат да бъдат използвани:
" / \ [ ] : ; | = , + * ? <

Ако двама потребители имат едно и също име, може да се създаде потребителско име за вли­зане в системата, което да се състои от първото име, първата буква на фамилията и допълни­телни букви от фамилията, за да се разграничат потребителите. Например, ако двама потреби­тели се казват Петър Петров, може да се създаде единия потребителски акаунт за влизане като petyr_p, a другия - като petyr_petrov. Може също та­ка да се постави номер за името за влизане на всеки потребител - например petyr1 и petyr2.

Правила за съставяне на пароли

• 
  Винаги трябва да се задава парола на акаунта Administrator, за да възпрепятства не-оторизиран достъп до акаунта.
  
• 
  Трябва да се определи дали паролите ще бъдат контролирани от Administrator или от потребителите. Можете да се зададат уникални пароли на потребителите, като се забрани на потребителите да ги променят или обратно - да се даде възможност на потребителите сами да въвеждат техни собствени пароли при първото им влизане системата. В повечето случаи е добре потребителите да имат възможност да контролират своите пароли. Една от полезните възможности е тази, чрез която може да бъдат задължавани потребителите да сменят паролите си през определен интервал от време.
  
• 
  Трябва да се използват пароли, които трудно могат да бъдат отгатвани. Например трябва да се избягват пароли с очевидни асоциации, например име на член от семейството, рождена дата, ЕГН и т.н.
  
• 
  Паролите могат да съдържат до 128 знака. Препоръчва се минимална дължина от 8 знака.
  

Урок 3: Създаване, изтриване и модифициране на потребителски акаунти

Инструменти за управление на потребителските акаунти (User Accounts Tools)

Промяна на акаунт (Changing an Account)

• 
  Промяна на името ми/Change My/The Name.  Тази опция е видима само за администраторски акаунт. Чрез нея може да се променя името на потребителя
  
• 
  Създай парола/Create A Password.  Добавяне на парола. Възможно е да се създаде първоначално потребител без парола. След време става необходимо да се добави парола. Тази опция е видима само за акаунти, които са без парола. Само администраторът има право да добавя пароли.
  
• 
  Промени моята парола/Change My/The Password.  Променя паролата на акаунта. Тази настройка е видима само в случая, когато потребителят има парола. Опцията е достъпна само за администратора.
  
• 
  Премахване на паролата /Remove My/The Password. Премахва паролата на собствения акаунт или на други акаунти. Само администратор може да премахне паролите на други акаунти.
  

• 
  Промяна на картинката/Change My/The Picture. Променя картинката (логото), която се появява на стартиращия екран. Само администраторите могат да променят картинките на другите акаунти.
  
• 
  Промяна на типа на акунта/Change My/The Account Type. Променя типа на конкретен акаунт. Само администраторът може да променя типа на акаунта.
  
• 
  Настрой моя акунт да използва .NET Passport /Set Up My Account To Use A .NET Passport. Стартира един помощник (Wizard), който напътства при регистрация на услугата .NET Passport. Паспортът е един универсален акаунт за достъп до най-различни ресурси, сайтове, комуникационни услуги (Instant Messageing), собствени Уеб страници, blogs и т.н.
  
• 
  Изтрий акаунт/Delete The Account. Изтрива зададен потребителски акаунт. Тази опция е достъпна само за администратори.
  

Създаване на нов потребителски акаунт

За да се създаде нов потребителски акаунт се изпълняват следните стъпки:

1. 
   Натиска се Старт/Start, избира се Контролен панел/Control Panel и след това Потребителски акаунти/User Accounts.
   
2. 
   В прозореца Потребителски акаунти/User Accounts се избира Създаване на нов акаунт/Create A New Ac­count.
   
3. 
   Отваря се прозорецът Дайте име на новия акаунт/Name The New Account.
   
4. 
   В полето Въведете име за новия акаунт/Type A Name For The New Account се въвежда потреби­телско име за влизане в системата (до 20 знака) и след това се на­тиска Напред/Next.
   

Промяна на начина на влизане и излизане на потребители от системата

Следните две опции контролират начина на влизането и излизането на потребители на компютъра:

• 
  Използване на екрана приветствие/Use The Welcome Screen. Тази опция е избрана по подразбиране и дава възможност да се изберете потребителски акаунт в екрана Welcome при стартирането на компютъра, за да се влезете в компютъра. Ако се премахне отметката на това поле, за да се влезе в системата, трябва да се въведе потребителско име и парола. За по-голяма сигурност се препоръчва да не се използва тази опция, т.е. тя да бъде изключена. Така всеки стартирал компютъра няма да знае списъка от потребители, които са регистрирани на него.
  
• 
  Използване на бързо превключване на потребители/Use Fast User Switching. Тази опция е избрана по-подразбиране и позволява бързо превключване между потребителските акаунти. Не е необходимо излизане от акаунта (log off), за да може да се влезе с друг акаунт. На практика, ако тази опция е избрана, то компютърът се превръща в мулти-потребителски компютър. Дава се възможност няколко потребителски акаунта да са активни едновременно.
  

1. 
   Натиска се Старт/Start, избера се Контролния панел/Control Panel и след това Потребителски акаунт/User Accounts.
   
2. 
   В прозореца User Accounts се избира „Промени начина, по който потребителите влизат/Change The Way Users Log On Or Off”. Появява се прозорецът Изберете опции на влизане и излизане/Select Logon And Logoff Options.
   
3. 
   Маркира се или премахва отметката на съответните полета.
   

Избиране на акаунт, който да бъде променен.

Модификациите на акаунт, които може да се правят, зависят от ти­па на акаунта и от това как е конфигуриран. Характеристиките на акаунта, които можете да се променят, са същите като тези, обсъдени по-рано в този урок в секцията "Променяне на акаунт"

Snap-in модулът Computer Management

1. 
   Да се администрират задачи и да се отстраняват проблеми ло­кално. Може да се изпълняват повечето от задачите по администрирането и да бъдат отстранявани различни проблеми, като за тази цел се използва единствено ММС.
   
2. 
   Централизиране на администрирането.
   

Можете да се използва конзолата, за да се изпълняват повечето от задачите по администриране в един компютър. Всяка конзола може да съдържа един или повече snap-in модули, включително snap-in модули от независими (трети) производители, така че може да бъде създадена една конзола, съдържаща всички инструменти, които са необходими за изпълнение на административните задачи

Когато се добавят snap-in модули към празна конзола се създава потребителска конзола. Един от snap-in модулите, които може да се добавят, е модулът Computer Management, показан на фигура 3.3. Snap-in модулът Computer Management е един инструмент на Windows XP/2003 за създаване, унищожаване, модифициране и забраняване на локални потребителен и за промяна на пароли.

Фигура 3.3 Snap-in модулът Computer Management.

Създаване на потребителска ММС конзола

За да се създаде потребителска ММС конзола, съдържащата Computer Management, се изпълняват следните стъпки :

1. 
   Натиска се Старт/Start и след това се избира Run. В текстовото поле Open се въвежда mmc и след това се натиска Изпълнение/RUN. ММС стартира и показва празна конзола.
   
2. 
   Максимизира се прозореца Console 1.
   
3. 
   Максимизира се прозореца Console Root.
   
4. 
   От менюто File се избира Add/Remove Snap-In. ММС визуализира диалоговия прозорец Add/Remove
   
5. 
   В страницата Standalone се натиска Add.
   
6. 
   ММС визуализира диалоговия прозорец Add Standalone Snap-In
   
7. 
   От списъка Available Standalone Snap-ins се избира Computer Management и след това се натиска Add.
   
8. 
   В диалоговия прозорец Computer Management натиснете Finish.
   
9. 
   В диалоговия прозорец Add Standalone Snap-In се натиска Затвори/Close.
   
10. 
    В диалоговия прозорец Add/Remove се натиска ОК, за да се види snap-in модула Computer Management в ММС конзолата.
    

Фигура 3.4 Диалогов прозорец Add Standalone Snap-In

ММС показва диалоговия прозорец Computer Management (пока­зан на фигура 3.3), който дава възможност да се укажете кой компютър ще бъде администриран. По подразбиране е избрана опцията Local Computer: (Computer This Console Is Running On).

Забележка: Може да бъде добавено Computer Management за компютъра, на който се работи, или ако локалният компютър е част от мрежа, може да се добави Computer Management, като се посочи отдалечен компютър. За да се добави Computer Management за отдалечен компютър, в диалоговия прозорец Computer management Snap-In се селектира Another Computer и след това се натиска Browse. В текстовото поле Enter The Object Name To Select в диалоговия прозорец Select Computer се въвежда името на отдалечения компютър, който ще бъде администриран с помощта на Computer Management. След това с „ОК” се потвърждава избора. Допълнително има поле и отметка, които дават възможност да се променя избрания компютър, когато се стартира ММС конзолата от командния ред.
Забележка: ММС конзолата, която се създава, е с име Console1. За да се запише тази конзола с цел повторно използване, от меню File се избера Save As. В текстовото поле File Name се въвежда Computer Management Local и след това се натиска бутона Save.

Създаване на локален потребителски акаунт с помощта на Console1 snap-in модула Computer Management

За да създадете локални потребителски акаунти с помощта на snap-in модула Computer Management се изпълняват следните стъпки:

1. 
   Разширете ММС конзолата, съдържаща snap-in модула Management.
   
2. 
   В панела на конзолата от прозореца Computer Management щракнете върху знака (+) до Computer Management, за да разтворите дървовидната структура. Computer Management три папки: System Tools, Storage и Services And Application
   
3. 
   В панела на конзолата щракнете двукратно върху System Tools след това щракнете върху Local Users And Groups.
   
4. 
   В панела с детайли щракнете с десния бутон на Users и след това изберете New User.
   
5. 
   В диалоговия прозорец New User (Фигура 3.5) попълнете съответните текстови полета, натиснете бутона Create и натиснете Close.
   

Фигура 3.5 – Диалогов прозорец „Нов потребител” (New User)

Ред	Действие
User Name	Името, с което потребителят ще влиза в системата. Това поле е задължително.
Full Name	Пълно име на потребителя. Може да включва първото име и фамилията на потре­бителя, но също така и презимето или първата буква на презимето. Това поле не е задължително.
Description	Описателен текст за потребителския акаунт или за потребителя. Това поле не е задължително.
Password	Парола за акаунта, която се използва за потвърждаване на идентичността на потребителя. С цел постигане на по-голяма сигурност се препоръчва винаги да се задава парола. Като допълнителна мярка за сигурност, по време на въвеждането на паролата, тя се появява под формата на низ от звездички (т.е. не се виждат действително въведените символи).
Confirm Password	Потвърждение на паролата (въвежда се втори път). Това поле е задължително, ако се задава парола
User Must Change Password At Next Logon	Тази опция се избира, ако се иска съответния потребител да промени паролата си при следващото му влизане в системата. Тази опция е избрана по-подразбиране.
User Cannot Change Password	Тази опция се избира, ако се иска съответния потребител да не може да променя паролата си. Това е полезно, ако този акаунт се използва от няколко човека, като с това се ограничава възможността един от тях да промени паролата и останалите да загубят достъп до системата.
Password Never Expires	Тази опция се избира, ако се иска валидността на паролата да не е ограничена по време. Ако е избрано User Must Change Password At Next Logon, то тази опция е неактивна.
Account Is Disabled	Тази опция се избира, ако се иска да бъде забранен съответния потребителски акаунт.

Таблица 3.3 - Настройка на локален потребителски ака­унт

Урок 4: Задаване на свойства на потребителски акаунти

Едно от най-важните неща свързани с потребителските акаунти са свойствата и позволенията, които има всеки потребител. Това е една и от основните причини за създаването на потребителски акаунти. Така ще може дадени потребители да се ограничат, докато на други да им се предоставят повече права/свойства. Windows XP/2003 създава набор от подразбиращи се свойства за всеки локален потребителски акаунт. След като е създаден локален потребителски акаунт, може с помощта на snap-in модула Computer Management да бъдат конфигурирани свойствата на акаунта. Свойствата на акаунта са групирани в следните три страници в диалоговия прозорец име-на-акаунт Properties - страниците (General, Member Of и Profile).

Страницата General

Страницата General на диалоговия прозорец име-на-акаунт Properties (виж фигура 3.6) дава възможност да се задават и редактират всички полета от диалоговия прозорец New User, c изключение на User Name, Password и Confirm Password. Освен това страница съдържа поле за отметка Account Is Locked Out.



Фигура 3.6 – Настройка на потребителски акаунт – страница General.

Ако акаунтьт е активен и не е заключен за системата, полето за отметка Account Is Locked Out e недостъпно. Системата заключва потребител, който надхвърли лимита на броя на неуспешни опити за влизане в системата. Тази възможност на сигурността прави по трудно проникването на не-оторизирани потребители в системата. Ако системата заключи даден акаунт, полето за отметка Account Is Locked Out става недостъпно. Някой от администраторите може да премахне отметката на това поле, за да разреши отново потребителския дос­тъп.

Страницата Member Of

Страницата Member Of на диалоговия прозорец име-на-акаунт Properties дава възможност за включване или премахването на потребителския акаунт към група.



Фигура 3.7

Страницата Profile

Страницата Profile на диалоговия прозорец Properties дава въз­можност да се зададе път за потребителския профил, скрипт за вли­зане и собствена папка (Home folder) - вижте фигура 3.8.



Фигура 3.8 Страницата Profile на диалоговия прозорец Properties за даден потребителски акаунт

Потребителски профил

Потребителският профил (user profile) е съвкупност данни, които съхраняват текуща среда на работа, настройки на приложенията и лични данни. Също така всички мрежови връзки, които биват установявани, когато се работи на компютъра, например елементи на менюто Start и други. При първото влизане на компютъра Windows XP/2003 създава потребителски профил и го съхранява. Този потребителски профил също така се нарича локален потребителски профил (local user profile).

Потребителските профили функционират по следния начин на всички клиентски компютри, работещи с Windows XP/2003:

• 
  Когато влезете на клиентския компютър, винаги получавате настройки на работното поле и връзки, независимо на потребителите, споделящи същия клиентски компютър.
  
• 
  При първото влизане на клиентския компютър Windows XP създава ваш подразбиращ се профил. Подразбиращият се потребителски профил се съхранява в директорията корен_на_системния_дял\Documents and Settings\потребителско_име_за_влизане (обикновено C:\Documents and Settings\потребителско_име_за_влизане), където потребителско_име_за_влизане е името, което se въвеждат при влизане в системата.
  
• 
  Потребителският профил съдържа папката Моите документи/My Documents, която осигурява място за съхраняване на лични файлове. Моите документи/My Documents е подразбиращото се местоположение на пътя за файловете оказвани от диалоговите прозорци Open и Save As. My Documents се появява в менюто и улеснява намирането на лични документи.
  
• 
  Потребителският профил може да се променя като се проме­нят настройките на работното поле. Например, при създаване на нова мрежова връзка или добавяне на файл към Моите документи/My Documents, Windows XP/2003 включва промяната във съответния потреби­телски профил при излизане от системата. При следващото влизане новата мрежова връзка и файлът ще присъстват.
  

Скрипт за влизане

Скриптът за влизане е файл, който може да бъде създаден и зададен на потребителски акаунт с цел конфигуриране на работната среда на потребителя. Например, може да се използва скрипт за влизане, за установяване на мрежови връзки или за стартиране на приложения. Всеки път, когато потребителят влиза в системата, зададеният скрипт за влизане бива изпълняван.

Собствена папка

Освен папката My Documents, Windows XP/2003 дава възможност за създаване на собствени папки, за да могат потребителите да съхраняват свои лични документи. Може да се съхранява собствена папка на клиентски компютър, в споделена папка на файлов сървър.

Съхраняването на всички собствени папки на файлов сървър пре­доставя следните предимства:

• 
  Потребителите могат да осъществяват достъп до техните собст­вени папки от всеки клиентски компютър от мрежата.
  
• 
  Може да се централизира архивирането и администрирането на потребителски документи като се прехвърли отговорността за ар­хивиране и управление на документите от потребители­те на операторите или мрежовите админист­ратори, отговарящи за архивирането в мрежата.
  

Важно: Съхранявайте собствените си папки на дялове с файлова система тип NTFS, за да можете да използвате NTFS позволения за осигуряване на сигурността на потребителските документи. Ако съхранявате собствените си папки на FAT дял, можете да ограничите достъпа до собствената папка само с помощта на позволения за папки.

Урок 5: Работа с групи

Същност на групите

Групата (group) представлява съвкупност от потребителски акаунти. Групите улесняват администрирането, като дават възможност за задаване на позволения и права на група от потребители, вместо на отделни потребителски акаунти (фигура 3.9).

Групите представляват съвкупности от потребителски акаунти

• 
  Членовете получават позволенията, дадени на групата
  
• 
  Потребителите могат да бъдат членове на множество групи
  
• 
  Групите могат да бъдат членове на други групи.
  

Позволенията (permissions) контролират какво могат да правят потребителите с даден ресурс, като папка, файл или принтер. Когато се дават позволения, се разрешава на потребителите да получават достъп до даден ресурс и се дефинира типа на достъпа, който те притежават. Например: ако няколко потребителя трябва да могат да четат от един и същи файл, може да се добавят техните потребителски акаунти към група и след това да даде на групата позволение за четене на файловете. Правата (rights) дават възможност на потребителите да изпълняват системни задачи, например да променят часа на компютъра.

Фигура 3.9 Управление на група

Същност на локалните групи

Локалната група (local group) е съвкупност от потребителски акаунти на даден компютър. Препоръчва се използването на локални групи, за задаване на позволения за ресурси, разположени на компютъра.

Подготовка за използване на локални групи

Насоките за използване на локални групи са следните:

Когато искате да зададете позволения на потребители – то вместо да задавате позволения на всеки по отделно, създайте група с общи позволения. След това добавете потребителите в създадената група. Не задавайте много позволения в една група. По добре е всяка група да има по малко позволения. Един потребител може да е член на няколко групи. Ако потребител е член на група в която има дадено позволение, но също така е член и на група в което това позволение е забранено, то позволението ще е забранено. Забраняващите позволения предефинират позволяващите.

Правилата за членство в локални групи са следните:

• 
  Локалните групи могат да съдържат локални потребителски акаунти от компютъра, на който създавате локалните групи.
  
• 
  Локалните групи не могат да принадлежат към някоя друга група.
  

Създаване на локални групи

Използва се snap-in модула Computer Management, за да се създадат локални групи в папката Groups

За да се създаде локална група се изпълняват следните стъпки

1. 
   В Computer Management се разширява Local Users And Groups
   
2. 
   Щраква се с десния бутон на мишката върху Groups и се избира New Group. ММС визуализира диалоговия прозорец New Group са описани достъпните опции.
   
3. 
   Въвежда се съответната информация и след това се натиска ОК за потвърждение.
   

Ред	Описание
Group Name	Изисква уникално име за локалната група. Това е единствената задължителна информация, който трябва да се въведе. Позволено е използването на всички символи, с изключение на обратната наклонена черта „\”. Името може да съдържа до 256 знака, но прекалено дългите имена е възможно да не се визуализират в някои прозорци.
Description	Описва групата.
Members	Изброява потребителските акаунти, принадлежащи към групата.
Add	Добавя потребител към списъка с членове.
Remove	Премахва потребител от списъка с членове.
Create	Създава групата.
Close	Затваря диалоговия прозорец New Group.

Таблица 3.4 Опции на New Local Group

Добавяне на членове към група

Може да се добавят членове към локална група по време на създаването на групата като се натисне Add. Освен това Windows XP Professional осигурява два метода за добавяне на член към създадена група: snap-in модула Computer Management - Member Of на диалоговия прозорец име-на-потребител. За да се използва snap-in модула Computer Management за членове на група, която вече е създадена, се изпълняват следните стъпки:

1. 
   Стартира се snap-in модула Computer Management.
   
2. 
   Разширява се Local Users And Groups и след това щракате Groups.
   
3. 
   В панела за детайли се щраква с десния бутон върху съответната група и след това се избира Properties.Computer Management визуализира диалоговия прозорец име-на-група Properties.
   
4. 
   Избира се Add.
   

C
omputer Management визуализира диалоговия прозорец Select Users

Фигура 3.10 Диалоговият прозорец Select Users

Трябва да се провери, че в текстовото поле From This Location е избран компютъра, на който е създадена групата.

В текстовото поле Enter The Object Names To Select на диалоговия прозорец Select Users се въвеждат имената на потребителските акаунти, които ще се добавят към групата, като се отделят един от друг с точка и запетая. Завършва се с натискане на ОК.

Страницата Member Of на диалоговия прозорец име-на-потребител Properties на даден потребителски акаунт дава възможност за добавяне потребителски акаунт към множество групи. Този метод се използва, за да бъде добавен бързо един и същ потребителски акаунт към множество групи. (вж. секцията „Страницата Member” как се из­бира страницата Member Of)

Изтриване на локални групи

С помощта на snap-in модула Computer Management може да се изтриват локални групи. Всяка група, която се създава, има идентификатор, който не може да бъде използван othobо в Windows XP/2003 използва тази стойност, за да идентифицира. и зададените позволения. Когато се изтрие група, Windows XP Professional не използва идентификатора отново, дори ако се създаде нова група със същото име като на групата, която е изтрита. От това следва, че не може да се възстанови достъпа след изтриване и повторно създаване на група.

Когато една група бъде изтрита, се премахва само групата и свързаните с нея позволения и права. Изтриването на група не води до изтриване на потребителските акаунти, които са членове на групата. За да се изтрие група, се щраква с десния бутон на мишката върху името в snap-in модула Computer Management и след това се избира Изтрий/Delete.

Същност на вградените локални групи

Всички сървъри, и компютри използващи Windows XP/2003 имат вградени локални групи. Тези групи дават права, за да се изпълняват някои системни задачи, като съхраняване и възстановяване на файлове, променяне на системното време и администриране на ресурси. Тези групи могат да бъдат открити в папката Groups в Computer Management.

Таблица 3.5 съдържа списък на най-използваните вградени локални групи, както и описание на някои от техните възможности.

Група	Описание
Administrators	Членовете могат да изпълняват всички административни задачи на компютъра. По подразбиране вграденият акаунт Administrator е член.
Backup Operators	Членовете могат да използват Windows Backup, за да архивират и възстановяват данни на компютъра.
Guests	Членовете могат да извършват следното: ■ Да изпълняват само задачите, за които имат специално предоставени права ■ Да осъществяват достъп само до тези ресурси, за които имат зададени позволения. Членовете не могат да правят постоянни промени на своята среда на работното поле. По подразбиране вграденият акаунт Guest е член на групата. Когато някой член-сървър или компютър с Windows XP/2003 се присъедини към домейн, Windows 2000 Server добавя групата Domain Guests към локалната група Guests.
Power Users	Членовете могат да създават и модифицират локални потребителски акаунти на компютъра и да поделят ресурси.
Replicator	Поддържа репликация на файлове в домейн.
Users	Членовете на групата могат: Да изпълняват само задачите, за които имат специално предоставени права Да осъществяват достъп само до тези ресурси, за които имат зададени позволения По подразбиране Windows XP/2003 добавя към групата Users всички локални потребителски акаунти, които администраторът създава на компютъра. Когато някой член-сървър или компютър с Windows XP/2003 се присъедини към домейн, Windows 2000 Server добавя групата Domain Users към локалната група Users.

Таблица 3.5 Възможности на вградените локални групи Локална група

Същност на вградените системни групи

Вградените системни групи се създават при инсталирането на операционната система. Добавени са за да улеснят администрирането на потребителски акаунти. Играят ролята на предварително дефинирани шаблони с права.

При администриране на групи, те не са видими, но са достъпни когато се задават права за използване на ресурси. В таблицата са показани най-често използваните системни групи, и кратко описание за техните възможности.

Системна група	Описание
Everyone	Това са всички потребители, които имат достъп до компютъра. Когато диска се форматира с файлова система NTFS , автоматично на групата Everyone се задават пълни права за достъп. Това решава проблема, който е възниквал при по-стари версии на Windows, включително и Windows 2000. Проблемът се състои в това, че се е добавял Anonymous Logon към групата Everyone. Така анонимните потребители са имали достъп до файловата система, освен ако не се направят допълнителни настройки.
Authenticated Users	Това са всички акаунти с валидно потребителско име. Ако компютъра е част от домейн, то това са всички потребители в Active Directory. Препоръчително е да се използва тази група вместо групата Everyone, за да се предотврати използването на системни ресурси от анонимни потребители.
Creator Owner	Това е потребителят-притежател на ресурса. Ако някой член на администраторската група създаде някакъв ресурс, то групата Administrator притежава ресурса.
Network	Потребител, който се е включил към компютъра от друг компютър и използва споделен ресурс на компютъра.
Interactive	Акаунт за потребителя, който е влязъл на компютъра. Членовете на групата Interactive могат да осъществяват достъп до ресурси на компютъра, на който са разположени физически. Те влизат и осъществяват достъп до ресурси чрез "взаимодействие" с компютъра.
Anonymous Logon	Това е всеки потребител, който не се е идентифицирал.
Dialup	Включва всеки потребител, който в момента има dial-up връзка

Таблица 3.6 Възможности на вградените системни групи