ГЛАВА 4 Урок 1: Общи сведения и терминология Урок 2: Правила за изграждане на нови потребители Урок 3: Създаване, закриване и модифициране на потребителски акаунти Урок 4: Задаване на свойства на потребителските акаунти Урок 5: Работа с групи Урок 6: Отдалечен достъп За тази глава
Тази глава ви подготвя да използвате и създавате потребителски акаунти в Windows Vista. В началото ще научите защо е нужно да се създават акаунти и как се планират потребителските акаунти. След това ще може да създавате потребителски акаунти, да задавате права и накрая – да създавате и модифицирате групи от потребителски акаунти.
Урок 1: Общи сведения и терминология Потребителски акаунти
Windows Vista използва два типа потребителски акаунти: локални потребителски акаунти и потребителски акаунти на домейн.
-
Локален потребителски акаунт (local user account) - дава възможност да се влиза на конкретен компютър, за да се осъществява достъп до ресурсите на този компютър.
-
Потребителски акаунт на домейн (domain user account) - дава възможност да се влиза в домейн, за да се осъществява достъп до мрежови ресурси.
Локални потребителски акаунти
Чрез локалните потребителски акаунти потребителите се идентифицират пред компютъра/операционната система. На базата на въведената парола и потребителско име на потребителя се задават определени права. Информацията за съответния акаунт се пази в локална база данни (local security database), която е видима само за компютъра, в който е създадена. В нея е записана информация за потребителите на компютъра, паролите и имената им. Паролите в Windows XP/2003/Vista се съхраняват чрез подсистема на операционната система за администриране, наречена SAM (Security Accounts Manager). Тази подсистема се грижи за базата данни, съставена от имената и паролите на локалните потребители и на домейн-потребителите, ако компютърът се явява домейн-контролер.
SAM файлът се намира в поддиректорията:
C:\WINDOWS\system32\config\
Тази папка е заключена за всички потребители, включително и за потребители от тип Administrator. Единствения потребител, който има достъп до този файл по време на работа, е системата (“System” account).
При влизане в Windows, когато потребителят въведе паролата си, тя бива кодирана на базата на някакъв кодиращ алгоритъм, който превръща паролата в поредица от подобен вид:
7524248b4d2c9a9eadd3b435c51404ee
Така полученият израз се нарича “Password Hash” и всъщност това е обектът, който се сравнява със записите в SAM-файла.
За локалните потребителски акаунти е характерно следното:
-
Осигуряват достъп до ресурсите на локалния компютър;
-
Създават се само на компютри, които не са в домейн;
-
Създават се в локалната база-данни за сигурност.
За локалните потребители е характерно, че трябва да се използват само когато компютрите с в работна група. Защо е препоръчително това? Нека да разгледаме случай, при който имаме 10 компютъра в мрежа. Искаме с един акаунт да имаме достъп до всички компютри. Трябва да се направи следното – да се създадете поотделно по един локален акаунт на всеки компютър. Ако се налага промяна на паролата на акаунта, то това трябва да се направи на всеки един компютър. Това се получава, защото всеки един компютър държи в своята локална база данни за сигурност паролите и имената.
Потребителски домейн-акаунти
Домейн-акаунтите позволяват влизане в компютър, който е част от домейна. Така с една парола и потребителско име ще може да се влиза в който и да е компютър, стига да е част от домейна. При влизане в компютър чрез домейн-акаунт, Windows Server 2000/2003 взима информация, за да определи самоличност на потребителя и да асоциира различни потребителски права към него. Създава маркер за достъп, съдържащ потребителската информация и настройките за сигурност. Маркерът за достъп идентифицира потребителя за компютрите в домейна, до ресурсите на който се опитва да осъществи достъп. Маркерът за достъп е валиден за времето на потребителската сесия.
За да може да се създават домейн-акаунти, е необходимо да има инсталиран домейн-контролер. Това е сървър от фамилията Windows Server 2000/2003, на който трябва да е инсталирана услугата Active Directory.
Потребителският акаунт на домейна се създава в копието на базата данни на Active Directory на даден домейн-контролер. Домейн-контролерът разпространява информацията за новия потребителски акаунт към всички други контролери в домейна. След като Windows Server 2000/2003 разпространи информацията за новия потребителски акаунт, всички домейн-контролери в дървото на домейна вече могат да идентифицират потребителя по време на процеса на влизане в системата и осигуряват:
-
Достъп до мрежови ресурси
-
Маркера за достъп за удостоверяване на автентичността
-
Създават се в директорийните услуги Active Directory на домейн-контролер.
Вградени потребителски акаунти
За да улесни процеса при инсталация и при конфигуриране от потребителя, Windows Vista автоматично създава вградени акаунти (built-in accounts).
Два от най-често използваните вградени акаунти са Administrator и Guest. Освен тези два акаунта, често се случва някои програми сами да създават свои специфични акаунти. Програмите за разработка обикновено създават такива акаунти, които имат необходимите права за работа. Пример: инсталира се програма за запис на дискове, но за да се записва е необходим достъп до администраторски акаунт. Проблемът се решава, като програмата при инсталацията е създала акаунт или група, които имат права за запис. Ако се използва създадения акаунт или администраторът добави акаунта към групата – вече ще може да се записват дискове.
В допълнение на вградените потребителски акаунти, в Windows Vista има няколко псевдо-потребители, които се използват за изпълнението на различни системни дейности. Тези потребители не могат да бъдат променяни с административните инструменти. Освен това потребителите не могат да влизат с тези акаунти в Windows. Това са:
-
LocalSystem - LocalSystem е псевдо-акаунт за изпълнение на системни процеси и обработка на различни системни събития. Този потребителски акаунт дава права на услугите/services да се регистрират за работа/стартират (login/execute). Повечето от системните услуги/процеси се изпълняват под този потребителски акаунт. Услуги, които се изпълняват под този акаунт, са например: Background Intelligent Transfer Service, Computer Browser, Group Policy Client, Netlogon, Network Connections, Print Spooler и User Profile Service.
-
LocalService е псевдо-акаунт за изпълнение на услуги (services), които се нуждаят от по-малко права/привилегии от системата. По подразбиране тези услуги имат привилегии да променят следните настройки:
-
Определяне на ограничение на памет, използвана от дадена програма,
-
Промяна на системната дата/час и други.
Услуги, които се изпълняват под акаунта LocalService са: Alerter, Remote Registry, Smart Card, Smart Card Helper, SSDP Discovery Service, TCP/IP NetBIOS Helper и WebClient.
-
NetworkService - NetworkService е псевдо-акаунт за изпълнение на системни процеси, които трябва да имат достъп до мрежови ресурси. Този псевдо-акаунт дава права на системните процеси да променят паметта, която използват програмите: Generate Security Audits и Replace A Process Level Token. Услуги, които се изпълняват под този псевдо-акаунт са следните: Distributed Transaction Coordinator, DNS Client, Performance Logs And Alerts и Remote Procedure Call (RPC) Locator.
Акаунтът Администратор
Акаунтът Administrator се създава още при инсталацията на Microsoft Windows Vista.
При инсталация трябва да се зададе паролата, която ще се асоциира към този акаунт. Паролата не може да остане празна. Много е важно паролата да се подбере по подходящ начин, така че да е трудна за отгатване.
Има няколко прости правила за избор на парола. Паролата трябва да е комбинация от малки и големи букви, цифри и други допустими символи. Системата за идентификация на Windows е “Case Sensitive”, тоест прави разлика между големи и малки букви. Паролите, свързани с лична информация, са лесни за отгатване – примерно рождена дата или единен граждански номер. Такива пароли трябва да се избягват. Ако друг човек знае административната парола, той би имал неограничени права и достъп до съответния компютър. Вграденият администратор има най големи права, напр. може да създава нови потребителски акаунти и групи, да задава политики за сигурност, да управлява различни мрежови ресурси (напр. мрежови принтери), да създава и управлява други администраторски акаунти.
Този вграден акаунт не може да бъде изтрит. Добра практика е след инсталация той да бъде преименуван. Това се прави с цел затрудняване на не-оторизирани потребители, които правят опити за отгатване на паролата на администратора. Така се повишава сигурността на системата. Администраторският акаунт може да бъде забранен, т.е. да бъде направен неактивен, но информацията за него се пази в локалната база данни. Той може да бъде разрешен повторно при нужда.
Забележка: Ако искате да влизате като Administrator и екранът Welcome е разрешен, можете да натиснете два пъти клавишната комбинация CTRL+ALT+DELETE. Windows Vista показва прозореца за регистрация и можете да влезете в системата като Administrator (или както е новото му име, зададено от вас). Акаунтът Administrator не се появява на екрана Welcome, ако работите в среда на работна група, екранът Welcome е разрешен и сте създали потребителски акаунт по време на инсталацията. За информация относно създаването на потребителски акаунт по време на инсталацията вижте глава 2, "Инсталиране на Windows Vista". В урок 3 от тази глава е обяснено как да се конфигурира компютъра, така че да използва прозореца за регистрация, вместо екрана Welcome.
Акаунтът Гост (Guest)
Акаунтът Guest се създава автоматично при инсталация на Windows XP/2003. По подразбиране този акаунт е забранен. Най-често се използва за случаите, когато случайни потребители трябва да могат да влизат в системата и да осъществяват достъп до системни ресурси. Например: потребител от друг компютър иска да копира споделени (share) файлове от основния компютър. Този потребител автоматично ще се асоциира с guest акаунта. Той също се асоциира за потребители, които ползват Интернет-страниците, поддържани на компютъра, при условие, че на компютъра има инсталиран Интернет-сървър (IIS Internet Information Server).
Акаунтът Guest може да се разреши, ако мрежата, в която е свързан компютърът, е сигурна. Добра практика е да се задава парола на Guest акаунта и той да се преименува.
Активиране на акаунта Guest
Има няколко начина, по които може да се активира Guest акаунта.
Първият начин е през инструмента Потребителски акаунти в Контролен панел, показан на фигура 4.1. За да може да се достигне до него акаунтът, който се ползва в момента, трябва да има делегирани съответните права. По подразбиране потребител, член на групата Administrators, има достъп до там.
Фигура 4.1. Инструмент Потребителски акаунти
При стартиране на програмата Потребителски акаунти, потребителят има няколко възможности: да създава, изтрива, редактира и забранява (заключва) потребителски акаунти. За разлика от Windows XP, за да видите съществуващите акаунти, трябва да се избере Управление на друг акаунт.
Ф игура 4.2. Инструментът Управление на акаунтите
За всеки потребител има включена и някакво картинка (лого). Тук не е показан главният потребителски акаунт Administrator. За да се активира/разреши акаунта Гост:
-
Натиска се Старт, избира се Контролен Панел и след това Потребителски акаунти.
-
В прозореца Потребителски акаунти се избира инструмента Управление на друг акаунт и се избира иконата Guest, за да се отвори прозореца „Искате ли да включите акаунта на гост” (фигура 4.3).
Фигура 4.3. Прозорецът Включване на акаунта „Гост”
-
Натиска се бутона „Включи”. Сега акаунтът Гост е разрешен.
-
Затваря се прозореца .
Забраняване на акаунта Гост
Стъпките за забрана/деактивиране на Гост акаунта са подобни на предишната демонстрация: ако акаунтът Guest е активен, програмата Потребителски акаунти показва, че акаунтът Гост е включен
За да се забрани достъпа до компютъра през акаунта Guest, се изпълнява следното:
-
Стартира се програмата Потребителски акаунти след това Управление на акаунтите и се щраква върху иконата Гост.
-
Появява се друг прозорец с бутон „Изключване на акаунта гост”. Щраква се върху него и акаунтът вече е забранен.
Урок 2: Правила за изграждане на нови
потребителски акаунти
Може да се ускори процеса на създаване на потребителски акаунти, като се планира и организира информация за новите акаунти, както следва:
-
Конвенции за наименуване
-
Изисквания за паролите
Конвенции за наименуване
Използването на конвенция (naming convention) е полезна практика и задължителна при местата, където потребителите са много и структурата на организацията е сложна. Тя представлява единен стандарт за идентифициране на потребителите. Спазването на единна конвенция за наименуване помага на администраторите и потребителите да запомнят имената за влизане, а също така тя улеснява администраторите при намирането на определени потребителски акаунти, с цел да ги добавят към групи. В таблицата са обобщени някои от насоките за съставяне на ефективна конвенция за наименуване на потребителите.
Правила при конвенциите за наименуване
Новост в Windows Vista e, че е позволено да се използват потребителски имена на кирилица.
Имената на потребителите трябва да са уникални в рамките на един компютър. Windows Vista няма да позволи да съществуват две идентични имена,регистрирани на един и същ компютър. При домейн организация имената трябва да са уникални за директорията.
Имената на потребителски акаунти могат да съдържат до 20 знака от главни и малки букви, както и някои други допустими символи. Полето побира повече от 20 знака, но Windows Vista разпознава само първите 20 от тях.
Добре е да се използват буквено-цифрови комбинации, за да се създават уникални потребителски имена. При потребителските имена за влизане няма разлика между използването на главни и малки букви, но Windows Vista показва името така, както е написано с главни и малки букви, за да го визуализира така, както е въведено.
За по-голяма сигурност е добре да се преименуват имената на Guest и Administrator акаунтите.
За да се осигури по-голяма сложност на имената, може да се използват и някои специални символи. Не всички печатими символи са позволени. Следните символи не могат да бъдат използвани:
" / \ [ ] : ; | = , + * ? <
Ако двама потребители имат едно и също име, може да се създаде потребителско име за влизане в системата, което да се състои от първото име, първата буква на фамилията и допълнителни букви от фамилията, за да се разграничат потребителите. Например, ако двама потребители се казват Петър Петров, може да се създаде единия потребителски акаунт за влизане като петър_п, a другия - като петър_петров. Може също така да се постави номер за името за влизане на всеки потребител - например петър1 и петър2.
Правила за съставяне на пароли
За да се защити достъпа до компютъра, всеки потребителски акаунт трябва да има парола. Трябва да се спазват следните правила при съставянето на паролите:
-
Винаги трябва да се задава парола на акаунта Administrator, за да се възпрепятства неоторизиран достъп до него.
-
Трябва да се определи дали паролите ще бъдат контролирани от Administrator или от потребителите. Можете да се зададат уникални пароли на потребителите, като се забрани на потребителите да ги променят или обратно - да се даде възможност на потребителите сами да въвеждат техни собствени пароли при първото им влизане системата. В повечето случаи е добре потребителите да имат възможност да контролират своите пароли. Една от полезните възможности е тази, чрез която може да бъдат задължавани потребителите да сменят паролите си през определен интервал от време.
-
Трябва да се използват пароли, които трудно могат да бъдат отгатвани. Например трябва да се избягват пароли с очевидни асоциации, например име на член от семейството, рождена дата, ЕГН и т.н.
-
Паролите могат да съдържат до 128 знака. Препоръчва се минимална дължина от 8 знака.
При задаване на паролите е препоръчително използването и на главни, и на малки букви, цифри и валидни знаци. При паролите има значение дали буквата е малка или голяма. Така например има разлика при следния случай: Xyz123 и xyZ123.
Урок 3: Създаване, закриване и модифициране на потребителски акаунти
Има два основни инструмента, чрез които може да се управляват потребителските акаунти. Единият инструмент бе разгледан отчасти в Урок 1 „Потребителски акаунти”. Другият инструмент е „Управление на компютъра”.
Инструменти за управление на потребителските акаунти (User Accounts Tools) Смяна на акаунт (Changing an Account)
Инструментът Потребителски акаунти ще изглежда по различен начин в зависимост от потребителския акаунт, който е използван за влизане в компютъра. Ако се влезе като администратор, ще има възможност да бъдат правени промени по всички акаунти в компютъра. Ако се влезе с ограничен потребителски акаунт, няма да са активни същите бутони за модификация. В долната таблица са дадени правата, които администраторите и потребителите с ограничени права могат да ползват. За да промените настройките на акаунт, трябва да стартирате инструмента Потребителски акаунти след това да изберете Управление на акаунтите. След като изберете потребителския акаунт, който искате да промените, имате следните възможности за промяна:
-
Промяна на името на акаунта. Тази опция е видима само в администраторски акаунт. Чрез нея може да се променя името на потребителя.
-
Промяна на паролата. Променя паролата на акаунта. Тази настройка е видима само в случая, когато потребителят има парола. Опцията е достъпна само за администратора.
-
Премахване на паролата. Премахва паролата на собствения акаунт или на други акаунти. Само администратор може да премахне паролите на други акаунти.
-
Смяна на снимката. Променя картинката (логото), която се появява на стартиращия екран. Само администраторите могат да променят картинките на другите акаунти.
-
Смяна на типа на акаунта. Променя типа на конкретен акаунт. Само администраторът може да променя типа на акаунта.
-
Изтриване на акаунта. Изтрива зададен потребителски акаунт. Тази опция е достъпна само за администратори.
Създаване на нов потребителски акаунт
Само администраторите могат да създават нови потребителски акаунти. Тази опция е достъпна само в екрана Избор на задача/Pick A Task при влизане през потребителски акаунт, който е член на групата Administrators.
За да се създаде нов потребителски акаунт се изпълняват следните стъпки:
-
Натиска се Старт, избира се Контролен панел и след това Потребителски акаунти.
-
В прозореца Потребителски акаунти се избира Управление на акаунтите, след което Създаване на нов акаунт.
-
Отваря се прозореца Създаване на нов акаунт – Наименувайте акаунта и изберете типа му.
-
В полето Име на новия акаунт се въвежда потребителско име за влизане в системата (до 20 знака) .
-
Избира се една от възможностите:
-
Стандартен потребител
-
Администратор
-
Натиска се бутона „Създаване на акаунт”
Фини настройки на потребителските акаунти
За разлика от Windows XP/2003 във Windows Vista могат да бъдат променяни повече настройки. За да имате достъп до всички фини настройки на потребителските акаунти, трябва да бъдете администратор. Фините настройки могат да бъдат променяни само за активния потребител (този, който работи в момента). За да промените настройките, трябва да влезете в инструмента Потребителски акаунти. Фините настройки се намират от лявата част на екрана:
-
Създаване на диск за нулиране на паролата. Тази опция дава възможността, ако е забравена паролата на потребителския акаунт, тя да бъде нулирана посредством флопи диск (Фиг. 4.4). За да се нулира паролата, трябва предварително да сте създали нулиращия диск. За да създадете нулиращ диск, трябва да помните паролата на текущия си потребител и в следствие да го използвате. В началния екран на влизане в Windows при въвеждането на потребителско име и парола, ако сбъркате паролата си, има опция “Reset Password”. Тази опция ви дава възможността да използвате вашия диск за нулиране и да си направите нова парола.
Фиг. 4.4 Създаване на диска за нулиране на парола
-
Управление на вашите мрежови пароли. Тази опция ви позволява да направите списък от компютри и Уеб места/сайтове, в които автоматично да влизате без изискване да въвеждате всеки път парола и потребителско име. Първоначално трябва да съставите този списък, като въведете потребителско име и парола, както и адрес на мястото, както е показано на фигура 4.5.
Фигура. 4.5. Управление на мрежови пароли.
-
Управление на вашите сертификати за шифроване на файлове. Чрез тази опция ще може да създавате свои собствени сертификати за шифриране и да ги архивирате, да използвате вече създадени, както и да добавяте нови от различни носители и смарт-карти. Шифрованата файлова система (Encrypted File System) е функция на Windows, която ви позволява да съхранявате папки и файлове на вашия твърд диск в шифрован формат. Шифроването е най надеждната защита, предлагана от Windows, за да опазите вашата информация. Повече информация за него ще бъде дадена в главата за файлови системи
-
Конфигуриране на разширени свойства на потребителски профили. Чрез тази опция може да прехвърляте потребителските си настройки на други компютри, така че вашият работен плот и други потребителски настройки да изглеждат по един и същ начин.
-
Промяна на моите променливи на средата. Чрез тази опция може да създавате отделни променливи на средата за отделните потребители. Променливите на средата са данни, описващи различни важни точки на системата, като например къде се намира Temp папката, Application Data папката и други за съответния потребител
Snap-in модулът Управление на Компютъра
Един от инструментите за управление на Microsoft Windows Vista е Microsoft Management Console (MMC) – „Майкрософт конзола за управление”. MMC осигурява стандартизиран метод за създаване, записване и стартиране на инструменти за администриране. Самата конзола осигурява функции за управление, но съдържа приложения за управление, наречени snap-in модули (snap-ins), които се използват при изпълнение на една или повече административни задачи.
С конзолата се дава възможност да бъде извършвано следното:
-
Да се администрират задачи и да се отстраняват проблеми локално. Може да се изпълняват повечето от задачите по администрирането и да бъдат отстранявани различни проблеми, като за тази цел се използва единствено ММС.
-
Централизиране на администрирането.
Можете да се използва конзолата, за да се изпълняват повечето от задачите по администриране в един компютър. Всяка конзола може да съдържа един или повече snap-in модули, включително snap-in модули от независими (трети) производители, така че може да бъде създадена една конзола, съдържаща всички инструменти, които са необходими за изпълнение на административните задачи
Когато се добавят snap-in модули към празна конзола, се създава потребителска конзола. Един от snap-in модулите, които може да се добавят, е модулът „Управление на компютъра”, показан на фигура 4.6. Snap-in модулът „Управление на компютъра” е един инструмент на Windows Vista за създаване, унищожаване, модифициране и забраняване на локални потребителен и за промяна на пароли.
Фигура 4.6. Snap-in модулът Управление на компютъра.
Създаване на потребителска ММС конзола
За да се създаде потребителска ММС конзола, съдържащата Computer Management, се изпълняват следните стъпки :
-
Натиска се Старт и след това в текстовото поле „Начало на търсене”се въвежда mmc и след това се натиска Enter. ММС стартира и показва празна конзола.
-
Максимизира се прозореца Конзола 1.
-
Максимизира се прозореца Начална конзола.
-
От менюто Файл се избира Добавяне/премахване на конзолна добавка. ММС визуализира диалоговия прозорец Добавяне или премахване на конзолни добавки
-
От списъка Налични конзолни добавки се избира Управление на компютъра и след това се натиска Добави (Фиг. 4.7).
-
Дава се потвърждение с OK.
-
След добавянето на необходимите конзоли, се натиска бутона „Запиши като” от менюто файл и се записва подходящо име на конзолата. След като веднъж сте я записали, след това може да я стартирате от Старт и въведете името на конзолата в текстовото поле – Начало на търсене
Фигура 4.7. Диалогов прозорец Добавяне или премахване на конзолни добавки
Забележка: Може да бъде добавено Управление на компютъра за компютър, на който се работи или ако локалният компютър е част от мрежа, може да се добави Управление на компютъра, като се посочи отдалечен компютър. За да се добави Управление на компютъра за отдалечен компютър, в диалоговия прозорец Управление на компютъра Snap-In се избира менюто Действие и след това менюто Свързване към друг компютър. В текстовото поле Друг компютър в диалоговия прозорец Избор на компютър се въвежда името на отдалечения компютър, който ще бъде администриран с помощта на Управление на компютър. След това с „ОК” се потвърждава избора. Допълнително има поле и отметка, които дават възможност да се променя избрания компютър, когато се стартира ММС конзолата от командния ред.
Създаване на локален потребителски акаунт с помощта на Конзола1 snap-in модула Управление на компютъра
За да създадете локални потребителски акаунти с помощта на snap-in модула Computer Management се изпълняват следните стъпки:
-
Разширете ММС конзолата, съдържаща snap-in модула Management.
-
В панела на конзолата от прозореца Управление на компютъра щракнете върху знака (+) до Управление на компютъра, за да разтворите дървовидната структура. Управление на компютъра има три папки: Системни инструменти, Съхраняване и Услуги и приложния
-
В панела на конзолата щракнете двукратно върху Системни инструменти, след това щракнете върху Local Users And Groups.
-
В панела с детайли щракнете с десния бутон на Users и след това изберете New User.
-
В диалоговия прозорец New User (Фигура 4.8) попълнете съответните текстови полета, натиснете бутона Create и натиснете Close.
Фигура 4.8. Диалогов прозорец „Нов потребител” (New User)
Ред
|
Действие
|
User Name
|
Името, с което потребителят ще влиза в системата. Това поле е задължително.
|
Full Name
|
Пълно име на потребителя. Може да включва първото име и фамилията на потребителя, но също така и презимето или първата буква на презимето. Това поле не е задължително.
|
Description
|
Описателен текст за потребителския акаунт или за потребителя. Това поле не е задължително.
|
Password
|
Парола за акаунта, която се използва за потвърждаване на идентичността на потребителя. С цел постигане на по-голяма сигурност се препоръчва винаги да се задава парола. Като допълнителна мярка за сигурност, по време на въвеждането на паролата, тя се появява под формата на низ от звездички (т.е. не се виждат действително въведените символи).
|
Confirm Password
|
Потвърждение на паролата (въвежда се втори път). Това поле е задължително, ако се задава парола
|
User Must Change Password At Next Logon
|
Тази опция се избира, ако се иска съответният потребител да промени паролата си при следващото му влизане в системата. Тази опция е избрана по подразбиране.
|
User Cannot Change Password
|
Тази опция се избира, ако се иска съответният потребител да не може да променя паролата си. Това е полезно, ако този акаунт се използва от няколко човека, като с това се ограничава възможността един от тях да промени паролата и останалите да загубят достъп до системата.
|
Password Never Expires
|
Тази опция се избира, ако се иска валидността на паролата да не е ограничена по време. Ако е избрано User Must Change Password At Next Logon, то тази опция е неактивна.
|
Account Is Disabled
|
Тази опция се избира, ако се иска да бъде забранен съответния потребителски акаунт.
|
Таблица 4.1 - Настройка на локален потребителски акаунт
Урок 4: Задаване на свойства на потребителски акаунти
Едно от най-важните неща, свързани с потребителските акаунти, са възможности (свойства) и права, които има всеки потребител. Това е една и от основните причини за създаването на потребителски акаунти. Така ще може дадени потребители да бъдат ограничени, докато на други да се предоставят повече права/свойства. Windows Vista създава набор от подразбиращи се свойства за всеки локален потребителски акаунт. След като е създаден локален потребителски акаунт, може с помощта на snap-in модула Управление на компютъра да бъдат конфигурирани свойствата на акаунта. Свойствата на акаунта са групирани в следните три страници в диалоговия прозорец име-на-акаунт Свойства - страниците (General, Member Of и Profile).
Страницата General
Страницата General на диалоговия прозорец име-на-акаунт Properties (виж фигура 3.6) дава възможност да се задават и редактират всички полета от диалоговия прозорец New User, c изключение на User Name, Password и Confirm Password. Освен това страница съдържа поле за отметка Account Is Locked Out.
Фигура 4.9. – Настройка на потребителски акаунт – страница General.
Ако акаунтът е активен и не е заключен за системата, полето за отметка Account Is Locked Out e недостъпно. Системата заключва потребител, който надхвърли лимита на броя на неуспешни опити за влизане в системата. Тази възможност на сигурността прави по трудно проникването на неоторизирани потребители в системата. Ако системата заключи даден акаунт, полето за отметка Account Is Locked Out става недостъпно. Някой от администраторите може да премахне отметката на това поле, за да разреши отново потребителския достъп.
Страницата Member Of
Страницата Member Of на диалоговия прозорец Свойства на име-на-акаунт дава възможност за включване или премахването на потребителския акаунт към група.
Фигура 4.10
Страницата Profile
Страницата Profile на диалоговия прозорец Properties дава възможност да се зададе път за потребителския профил, скрипт за влизане и собствена папка (Home folder) - вижте фигура 4.11.
Фигура 4.11. Страницата Profile на диалоговия прозорец Properties за даден потребителски акаунт
Потребителски профил
Потребителският профил (user profile) е съвкупност данни, които съхраняват текуща среда на работа, настройки на приложенията и лични данни. Също така всички мрежови връзки, които биват установявани, когато се работи на компютъра - например елементи на менюто Старт и други. При първото влизане на компютъра Windows Vista създава потребителски профил и го съхранява. Този потребителски профил също така се нарича локален потребителски профил (local user profile).
Потребителските профили функционират по следния начин на всички клиентски компютри, работещи с Windows Vista:
-
Когато влезете на клиентския компютър, винаги получавате настройки на работното поле и връзки, независимо от потребителите, споделящи същия клиентски компютър.
-
При първото влизане на клиентския компютър, Windows Vista създава ваш подразбиращ се профил. Подразбиращият се потребителски профил се съхранява в директорията
корен_на_системния_дял\Потребители\потребителско_име_за_влизане (обикновено C:\Потребители\потребителско_име_за_влизане), където потребителско_име_за_влизане е името, което се въвежда при влизане в системата.
-
Потребителският профил съдържа папката Документи, която осигурява място за съхраняване на лични файлове. Документи е подразбиращото се местоположение на пътя за файловете, указвани от диалоговите прозорци Отвори и Запиши като. Документи се появява в менюто и улеснява намирането на лични документи.
-
Потребителският профил може да се променя, като се променят настройките на работното поле. Например, при създаване на нова мрежова връзка или добавяне на файл към Документи, Windows Vista включва промяната в съответния потребителски профил при излизане от системата. При следващото влизане новата мрежова връзка и файлът ще присъстват.
Скрипт за влизане
Скриптът за влизане е файл, който може да бъде създаден и зададен на потребителски акаунт с цел конфигуриране на работната среда на потребителя. Например, може да се използва скрипт за влизане, за установяване на мрежови връзки или за стартиране на приложения. Всеки път, когато потребителят влиза в системата, зададеният скрипт за влизане бива изпълняван.
Собствена папка
Освен папката Документи, Windows Vista дава възможност за създаване на собствени папки, за да могат потребителите да съхраняват свои лични документи. Може да се съхранява собствена папка на клиентски компютър и в споделена папка на файлов сървър.
Съхраняването на всички собствени папки на файлов сървър предоставя следните предимства:
-
Потребителите могат да осъществяват достъп до техните собствени папки от всеки клиентски компютър от мрежата.
-
Може да се централизира архивирането и администрирането на потребителски документи, като се прехвърли отговорността за архивиране и управление на документите от потребителите на операторите или мрежовите администратори, отговарящи за архивирането в мрежата.
Важно: Съхранявайте собствените си папки на дялове с файлова система тип NTFS, за да можете да използвате NTFS разрешения за осигуряване на сигурността на потребителските документи. Ако съхранявате собствените си папки на FAT дял, можете да ограничите достъпа до собствената папка само с помощта на разрешения за папки.
Освен папката Документи, в потребителския профил се съдържат още няколко папки:
-
Видеозаписи – Папка, в която се съхраняват видеозаписите по подразбиране. Ако прехвърляте видеозапис от камера или друго устройство, това ще е папката, в която ще се прехвърлят, освен ако не зададете друга.
-
Връзки
-
Записани игри – Тука се пазят файловете на различните игри, в които е записана информация за напредъка по играта.
-
Изтегляния – По подразбиране тук се съхраняват изтеглените от Интернет файлове.
-
Картини – По подразбиране тук се съхраняват графичните файлове, които сте създали или прехвърлили от фотоапарат.
-
Контакти – Съхраняване на контакти от Outlook/MSN messenger
-
Музика – По подразбиране тук се съхраняват музикалните файлове, които сте свалили от Интернет или създали сами.
-
Предпочитани – (Favorites ) Тук се съхраняват препратки към различни сайтове, които сте добавили към Предпочитани.
-
Работен плот – Показва всички файлове и икони, разположени на работния плот.
-
Търсения
Урок 5: Работа с групи Същност на групите
Групата (group) представлява съвкупност от потребителски акаунти. Групите улесняват администрирането, като дават възможност за задаване на разрешения и права на група от потребители, вместо на отделни потребителски акаунти (фигура 4.12 ).
Групите представляват съвкупности от потребителски акаунти
-
Членовете получават разрешенията, дадени на групата
-
Потребителите могат да бъдат членове на множество групи
-
Групите могат да бъдат членове на други групи.
Разрешенията (permissions) контролират какво могат да правят потребителите с даден ресурс, като папка, файл или принтер. Когато се дават разрешения, се разрешава на потребителите да получават достъп до даден ресурс и се дефинира типа на достъпа, който те притежават.
Например: ако няколко потребителя трябва да могат да четат от един и същи файл, може да се добавят техните потребителски акаунти към група и след това да даде на групата разрешение за четене на файловете. Правата (rights) дават възможност на потребителите да изпълняват системни задачи, например да променят часа на компютъра.
Фигура 4.12. Управление на група
Същност на локалните групи
Локалната група (local group) е съвкупност от потребителски акаунти на даден компютър. Препоръчва се използването на локални групи за задаване на разрешения за ползване на ресурси, разположени на компютъра.
Подготовка за използване на локални групи
Насоките за използване на локални групи са следните:
Когато искате да зададете разрешения на потребители – вместо да задавате разрешения на всеки поотделно, създайте група с общи разрешения. След това добавете потребителите в създадената група. Не задавайте много разрешения в една група. По-добре е всяка група да има по-малко разрешения. Един потребител може да е член на няколко групи. Ако потребител е член на група, в която има дадено разрешение, но също така е член и на група, в която то е забранено, то разрешението ще е изключено. Забраняващите разрешения предефинират позволяващите.
Правилата за членство в локални групи са следните:
-
Локалните групи могат да съдържат локални потребителски акаунти от компютъра, на който създавате локалните групи.
-
Локалните групи не могат да принадлежат към някоя друга група.
Създаване на локални групи
Използва се snap-in модула Управление на компютъра, за да се създадат локални групи в папката Groups
За да се създаде локална група се изпълняват следните стъпки
-
В Управление на компютъра се разширява Local Users And Groups
-
Щраква се с десния бутон на мишката върху Groups и се избира New Group. ММС визуализира диалоговия прозорец New Group са описани достъпните опции.
-
Въвежда се съответната информация и след това се натиска ОК за потвърждение.
-
Ред
|
Описание
|
Group Name
|
Изисква уникално име за локалната група. Това е единствената задължителна информация, която трябва да се въведе. Позволено е използването на всички символи, с изключение на обратната наклонена черта „\”. Името може да съдържа до 256 знака, но прекалено дългите имена е възможно да не се визуализират в някои прозорци.
|
Description
|
Описва групата.
|
Members
|
Изброява потребителските акаунти, принадлежащи към групата.
|
Add
|
Добавя потребител към списъка с членове.
|
Remove
|
Премахва потребител от списъка с членове.
|
Create
|
Създава групата.
|
Close
|
Затваря диалоговия прозорец New Group.
|
Таблица 4.2. Опции на New Local Group
Добавяне на членове към група
Може да се добавят членове към локална група по време на създаването на групата, като се натисне Add. Освен това Windows Vista осигурява два метода за добавяне на член към създадена група: snap-in модула Управление на компютъра - Member Of на диалоговия прозорец име-на-потребител. За да се използва snap-in модула Управление на компютъра за членове на група, която вече е създадена, се изпълняват следните стъпки:
-
Стартира се snap-in модула Управление на компютъра.
-
Разширява се Local Users And Groups и след това щракате Groups.
-
В панела за детайли се щраква с десния бутон върху съответната група и след това се избира Свойства.Управление на компютъра визуализира диалоговия прозорец име-на-група Свойства.
-
Избира се Add. Управление на компютъра визуализира диалоговия прозорец Изберете потребители
Фигура 4.13. Диалогов прозорец Изберете потребители
Трябва да се провери, че в текстовото поле От това място е избран компютъра, на който е създадена групата.
В текстовото поле Въведете имената на обекти, които да бъдат избрани на диалоговия прозорец Изберете потребители се въвеждат имената на потребителските акаунти, които ще се добавят към групата, като се отделят един от друг с точка и запетая. Завършва се с натискане на бутон ОК.
Страницата Member Of на диалоговия прозорец име-на-потребител Properties на даден потребителски акаунт дава възможност за добавяне потребителски акаунт към множество групи. Този метод се използва, за да бъде добавен бързо един и същ потребителски акаунт към множество групи. (вж. секцията „Страницата Member” как се избира страницата Member Of)
Изтриване на локални групи
С помощта на snap-in модула Управление на компютъра може да се изтриват локални групи. Всяка група, която се създава, има идентификатор, който не може да бъде използван othobо. Windows Vista използва тази стойност, за да идентифицира зададените разрешения. Когато се изтрие група, Windows Vista не използва идентификатора отново, дори ако се създаде нова група със същото име като на групата, която е изтрита. От това следва, че не може да се възстанови достъпа след изтриване и повторно създаване на група.
Когато една група бъде изтрита, се премахва само групата и свързаните с нея разрешения и права. Изтриването на група не води до изтриване на потребителските акаунти, които са членове на групата. За да се изтрие група, се щраква с десния бутон на мишката върху името в snap-in модула Управление на компютъра и след това се избира Изтрий.
Същност на вградените локални групи
Всички версии на операционната система Windows Vista имат вградени локални групи. Тези групи дават права, за да се изпълняват някои системни задачи, като съхраняване и възстановяване на файлове, променяне на системното време и администриране на ресурси. Тези групи могат да бъдат открити в папката Groups в Управление на компютъра.
Таблица 4.3 съдържа списък на най-използваните вградени локални групи, както и описание на някои от техните възможности.
Група
|
Описание
|
Administrators
|
Членовете могат да изпълняват всички административни задачи на компютъра. По подразбиране вграденият акаунт Administrator е член.
|
Backup Operators
|
Членовете могат да използват Windows Backup, за да архивират и възстановяват данни на компютъра.
|
Guests
|
Членовете могат да извършват следното:
-
Да изпълняват само задачите, за които имат специално предоставени права
-
Да осъществяват достъп само до тези ресурси, за които имат зададени разрешения.
Членовете не могат да правят постоянни промени на своята среда на работното поле. По подразбиране вграденият акаунт Guest е член на групата. Когато някой член-сървър или компютър с WindowsVista се присъедини към домейн, Windows Server 2000/2003 добавя групата Domain Guests към локалната група Guests.
|
Power Users
|
Членовете могат да създават и модифицират локални потребителски акаунти на компютъра и да поделят ресурси.
|
Replicator
|
Поддържа репликация на файлове в домейн.
|
Users
|
Членовете на групата могат:
-
Да изпълняват само задачите, за които имат специално предоставени права
-
Да осъществяват достъп само до тези ресурси, за които имат зададени разрешения.
По подразбиране Windows Vista добавя към групата Users всички локални потребителски акаунти, които администраторът създава на компютъра. Когато някой член-сървър или компютър с Windows Vista се присъедини към домейн, Windows Server 2000/2003 добавя групата Domain Users към локалната група Users.
|
Таблица 4.3. Възможности на вградените локални групи Локална група
Същност на вградените системни групи
Вградените системни групи се създават при инсталирането на операционната система. Добавени са, за да улеснят администрирането на потребителски акаунти. Играят ролята на предварително дефинирани шаблони с права.
При администриране на групи те са невидими, но са достъпни, когато се задават права за използване на ресурси. В таблицата са показани най-често използваните системни групи, както и кратко описание за техните възможности.
Системна група
|
Описание
|
Everyone
|
Това са всички потребители, които имат достъп до компютъра. Когато дискът се форматира с файлова система NTFS, автоматично на групата Everyone се задават пълни права за достъп. Това решава проблема, който е възниквал при по-стари версии на Windows, включително и Windows 2000. Проблемът се състои в това, че се е добавял Anonymous Logon към групата Everyone. Така анонимните потребители са имали достъп до файловата система, освен ако не се направят допълнителни настройки.
|
Authenticated Users
|
Това са всички акаунти с валидно потребителско име. Ако компютърът е част от домейн, то това са всички потребители в Active Directory. Препоръчително е да се използва тази група вместо групата Everyone, за да се предотврати използването на системни ресурси от анонимни потребители.
|
Creator Owner
|
Това е потребителят-притежател на ресурса. Ако някой член на администраторската група създаде някакъв ресурс, то групата Administrator притежава ресурса.
|
Network
|
Потребител, който се е включил към компютъра от друг компютър и използва споделен ресурс на компютъра.
|
Interactive
|
Акаунт за потребителя, който е влязъл на компютъра. Членовете на групата Interactive могат да осъществяват достъп до ресурси на компютъра, на който са разположени физически. Те влизат и осъществяват достъп до ресурси чрез "взаимодействие" с компютъра.
|
Anonymous Logon
|
Това е всеки потребител, който не се е идентифицирал.
|
Dialup
|
Включва всеки потребител, който в момента има dial-up връзка
|
Таблица 4.4. Възможности на вградените системни групи
Урок 6: Отдалечен достъп Отдалечен достъп
Windows Vista дава възможността за свързване към други компютри чрез инструмента Връзка с отдалечен плот. Чрез този инструмент вие не само може да се свързвате с други компютри, но и да прехвърляте файлове между тях. За да се свържете към отдалечен компютър, трябва да знаете адреса на компютъра. Когато компютърът, към който се свързвате, е в локалната мрежа, тогава е лесно да се настрои връзката с него. Когато компютърът не се намира в рамките на локалната мрежа, за да е възможна връзката, той трябва да има статичен/реален ip-адрес. Възможно е и без реален адрес, но трябва да се направи виртуална мрежа или VPN връзка. Следващата стъпка е да въведете потребителското име и парола, с която искате да влезете в отдалечения компютър.
Фигура 4.14. Инструмент Връзка с работен плот
За да бъде възможен отдалеченият достъп до даден компютър, трябва да са изпълнени някои условия.
-
Разрешен отдалечен достъп на компютъра, към който искате да се свържете. За да разрешите отдалечения достъп, трябва да стартирате Контролен панел, след това Система и от ляво от менюто Задачи да изберете Отдалечени настройки (Фиг. 4.15). Имате няколко варианта за избор:
-
Не позволявай връзки към този компютър – това означава, че отдалеченият достъп е забранен.
-
Позволявай връзки от компютри, изпълняващи всяка версия на отдалечен работен плот – чрез тази настройка ще може да се свързвате от компютри, които имат по-стари операционни системи.
-
Позволявай връзки само от компютри, изпълняващи отдалечен работен плот с удостоверяване на нивото на мрежата. Това е най-сигурната настройка за отдалечена връзка. Тази настройка ви гарантира, че само компютри с операционната система Windows Vista могат да се свързват с отдалечен достъп към вас.
Фигура 4.15. Настройки на отдалечен работен плот
-
Трябва да добавите потребители, които имат права / привилегии да се свързват чрез отдалечен достъп до компютъра. Това става като натиснете бутона Избор на потребители от настройките на отдалечен работен плот.
-
Защитната стена на Windows Vista трябва да разрешава отдалечения достъп . Защитната стена може фино да се конфигурира така, че през отдалечения достъп да имате достъп до само определени ресурси (Фиг. 4.16)
Фигура 4.16. Настройки защитната стена
Настройки на свързване
Настройките на отдалечения достъп са категоризирани в няколко отдела:
-
Общи. От общите настройки могат да се въвеждат адреса на отдалечения компютър, като може съществуващите настройки за отдалечен достъп да бъдат съхранени във файл и след това отворени.
-
Дисплей. С цел по-голямо бързодействие при отдалечения достъп и намаляване на мрежовия трафик, има възможност, в която може да изберете големината на екрана, както и дълбочината на цветовете. При по-малка дълбочина (256 цвята. 15 и 16 бита) връзката е по-добра.
-
Локални ресурси. Чрез тези опции може да кажете какви устройства ще бъдат достъпни на компютъра, към който се свързвате. Има няколко настройки:
-
Звуков сигнал на отдалечен компютър. Чрез тази опция се указва дали звуците от отдалечения компютър да бъдат чувани от локалния компютър. Ако ги забраните, ще намалите мрежовия трафик.
-
Клавиатура. Как да бъдат възприемани клавишните комбинации на локалния или на отдалечения компютър.
-
Локални устройства и ресурси. Може да изберете устройствата които искате да виждате на отдалечения компютър. Имате следния избор:
-
Принтери
-
Клип борд
-
Смарт Карти
-
Серийни Портове
-
Дискови устройства. Чрез тази опция вие имате достъп до локалните дискове, от които може да копирате файлове и да записвате файлове, ако имате съответните права.
-
Подържани Plug and Play устройства.
-
Програми. Може да задавате каква програма да се изпълнява автоматично след всяко ваше влизане.
-
Опит. Фини настройки, чрез които може да оптимизирате достъпа си до работния плот, като намалите различни графични детайли, забраните анимации и настройки по шрифтовете.
-
Разширени. Чрез тези настройки може да зададете нивото на сигурност при свързването към даден компютър. Освен това може ръчно да въведете шлюза (gateway) за терминални услуги на даден сървър. Дадени мрежи са защитени и имат по-голямо ниво на сигурност. Затова дадени мрежи използват шлюз.
Сподели с приятели: |