Prichytiť „miestnych používateľov a skupiny“. Nakonfigurujte zásady správy používateľských práv

1. Základné pojmy

Modul snap-in Local Users and Groups spravuje používateľov a skupiny používateľov vybratého počítača. Môžete vytvárať nových používateľov a skupiny, pridávať používateľov do skupín, odstraňovať používateľov zo skupín, deaktivovať používateľské účty a skupiny a obnovovať heslá.

uzol užívatelia   zobrazuje dva vstavané používateľské účty - „Správca“ a „Hosť“, ako aj všetky vytvorené používateľské účty. Vstavané používateľské účty sa vytvárajú automaticky, keď inštalácia systému Windows   2000 alebo Windows XP.

Účet správcu sa používa počas prvej inštalácie pracovnej stanice alebo členského servera. Tento účet vám umožňuje vykonať potrebné akcie skôr, ako si užívateľ vytvorí svoje vlastné účet, Je členom skupiny Administrators na pracovnej stanici alebo člena servera.

Účet správcu nemožno odstrániť, odpojiť alebo odstrániť z miestnej skupiny správcov, čím sa vylučuje možnosť náhodného straty prístupu k počítaču po zničení všetkých účtov správcu. Táto vlastnosť odlišuje účet správcu od zvyšku členov miestnej skupiny správcov.

Účet hosťa používajú tí, ktorí nemajú skutočný počítačový účet. Ak je používateľský účet zakázaný (ale nebol odstránený), môže tiež použiť účet Hosť. Účet hosťa nevyžaduje heslo. V predvolenom nastavení je zakázaná, ale môžete ju povoliť.

Účet Guest, rovnako ako ktorýkoľvek iný účet, môže mať práva a povolenia na prístup k objektom. V predvolenom nastavení je súčasťou zabudovanej skupiny „Hostia“, ktorá umožňuje používateľovi prihlásiť sa do systému z pracovnej stanice alebo z členského servera. Dodatočné práva, rovnako ako akékoľvek povolenia, môže skupine Hostia prideliť člen skupiny Administrators.

Ak chcete otvoriť modul snap-in Local Users and Groups, postupujte takto:

    Otvorte uzol Správa počítačov (lokálne).

    strom konzoly    vyberte komponent.

poznámky

    Ak chcete otvoriť západku Správa počítačov", Kliknite na tlačidlo OK štartpotom vyberte príkazy nastavenie    a Ovládací panel, Dvakrát kliknite na ikonu podávaniea potom dvakrát kliknite na ikonu Správa počítačov.

    Ak chcete získať informácie o používaní modulu snap-in Local Users and Groups, vyberte položku informácie    v ponuke účinok    Windows "Správa počítača".

2.Vytvorte a upravte miestne používateľské účty

2.1 Pridanie nového používateľa do počítača

Ak sa do počítača pridá nový používateľ, získa sa mu prístup k súborom a programom v tomto počítači.

doménaalebo je súčasťou pracovná skupina

2.1.1 Počítač je pripojený k doméne

poznámky

    Dialógové okno Pridať nového používateľa    poskytuje existujúcemu používateľovi domény možnosť používať počítač.

    Pomocou používateľských účtov môžete pridať iba existujúcich používateľov domény. Ak chcete pridať nový miestny používateľna karte dodatočne    stlačte tlačidlo dodatočne, V okamihu Miestni používatelia a skupiny    stlačte tlačidlo užívateliaa potom v ponuke účinok    vyberte tím Nový užívateľ.

2.1.2 Počítač nie je pripojený k doméne

Na pridanie nového používateľa do počítača musíte mať účet správcu počítača.

poznámky

    Názov priradený k účtu sa zobrazí na uvítacej obrazovke av ponuke štart.

    Prvý používateľ počítača musí mať účet správcu počítača.

poznámky

    štartvyberte tím nastavenie    a Ovládací panel .


2.2 Zmena typu účtu alebo skupiny používateľov

Ak je počítač súčasťou sieťovej domény, sú k dispozícii všetci používatelia v skupine práva   a dovolenia   skupina. Keď počítač vstúpi pracovná skupinaalebo je to samostatný počítač, používateľom sa udeľujú práva a povolenia v súlade s typmi účtov, ktoré im boli pridelené.

Postupnosť krokov na dokončenie tejto úlohy závisí od toho, či je počítač v sieti doména   alebo je súčasťou pracovná skupina   (alebo ide o samostatný počítač).

2.2.1 Počítač je pripojený k doméne

Na vykonanie tohto postupu musíte byť prihlásení pomocou účtu správcu alebo člena skupiny Administrators. Ak je počítač pripojený k sieti, tento postup môže zakazovať nastavenie sieťovej politiky.

    Používateľské účty.

    pútko užívatelia    v skupine Používatelia tohto počítača    vyberte názov používateľského účtu a kliknite na Vlastnosti.

    pútko Členstvo v skupine    vyberte požadovanú skupinu a stlačte tlačidlo OK.

poznámky

    Ak nový používateľ bude vykonávať nielen administratívne úlohy, nemal by byť pridaný do skupiny Administrators.

    Ak je to potrebné používateľapozostáva z viac ako jednej skupiny, použite modul snap-in „Lokálni používatelia a skupiny“. Ak chcete otvoriť modul snap-in Local Users and Groups, v dialógovom okne Používateľské účty    na karte dodatočne    stlačte tlačidlo dodatočne, Dvakrát kliknite skupinya potom pridajte používateľa k požadovanému skupiny.

2.2.2 Počítač je pripojený k doméne

Musíte mať účet správca počítača,   zmeniť typ účtu iného používateľa.

    Otvorte komponent na ovládacom paneli Používateľské účty.

    Vyberte názov používateľského účtu.

    Vyberte typ účtu a kliknite na tlačidlo Zmena typu účtu.

poznámka

    Ak sa v počítači nachádza používateľa    s účtom správcu počítača nebude môcť zmeniť typ svojho účtu, pretože v počítači musí byť aspoň jeden používateľ s účtom správcu počítača.

poznámky

    Ak chcete otvoriť súčasť Účty, kliknite na ikonu štartvyberte tím nastavenie    a Ovládací panelpotom dvakrát kliknite na ikonu Používateľské účty.

2.3 Správa hesiel uložených v počítači

Systém Windows vám umožňuje ukladať rôzne používateľské mená a heslá na jednom mieste, ktoré sa používajú na prístup k prostriedkom v sieti, iných počítačoch alebo na internete pomocou komponentu Uložiť používateľské mená a heslá.

Postupnosť krokov na dokončenie tejto úlohy závisí od toho, či je počítač v sieti doména   alebo je súčasťou pracovná skupina   (alebo ide o samostatný počítač).

2.3.1 Počítač je pripojený k doméne

Na vykonanie tohto postupu musíte byť prihlásení pomocou účtu správcu alebo člena skupiny Administrators. Ak je počítač pripojený k sieti, tento postup môže zakazovať nastavenie sieťovej politiky.

    Otvorte komponent na ovládacom paneli Používateľské účty.

    pútko dodatočne    v skupine Heslá a pasy .NET    stlačte tlačidlo Správa hesiel.

2.3.2 Počítač nie je pripojený k doméne

Kroky, ktoré by sa v tomto prípade mali podniknúť, závisia od typu účtu.

Pre účet správcu počítača

Pridajte užívateľské meno a heslo pre prístup k prostriedku alebo zmenu alebo vymazanie existujúcej položky.

Pre obmedzený účet

    Otvorte komponent na ovládacom paneli Používateľské účty.

    V skupine Súvisiace úlohyumiestnenom v ľavom okne kliknite na odkaz Správa sieťového hesla.

Pridajte užívateľské meno a heslo pre prístup k prostriedku alebo zmenu alebo vymazanie existujúcej položky.

poznámky

    Ak chcete otvoriť súčasť Účty, kliknite na ikonu štartvyberte tím nastavenie    a Ovládací panelpotom dvakrát kliknite na ikonu Používateľské účty.

Modul snap-in sa nachádza v komponente „Správa počítačov“, čo je sada administratívnych nástrojov, ktoré možno použiť na správu jedného počítača, lokálneho alebo vzdialeného. zariadenie „Miestni používatelia a skupiny“   slúži na ochranu a správu používateľských účtov a skupín lokálne umiestnených v počítači. Povolenia a práva môžete priradiť účtu lokálneho používateľa alebo skupiny na konkrétnom počítači (a iba v tomto počítači).

Použitie Snap „Miestni používatelia a skupiny“ vám umožňuje obmedziť možné akcie používateľov a skupín ich pridelením práv a povolení. Toto právo umožňuje používateľovi vykonávať určité akcie na počítači, napríklad archivovať súbory a priečinky alebo vypnúť počítač. Povolenie je pravidlo spojené s objektom (zvyčajne so súborom, zložkou alebo tlačiarňou), ktoré určuje, ktorí používatelia a aký prístup k objektu sú povolené.

Vytvorenie lokálneho používateľského účtu pomocou modulu snap-in „Miestni používatelia a skupiny“, musíte urobiť nasledovné:

1. Otvorte západku „Miestni používatelia a skupiny“   jedným z nasledujúcich spôsobov:

o Stlačte tlačidlo "Štart"   Ak chcete otvoriť menu, otvorte „Ovládací panel“   a zo zoznamu komponentov ovládacieho panela vyberte položku "Správa"potom otvorte komponent „Správa počítačov“, „Správa počítačov“   otvorený „Miestni používatelia a skupiny“;

o Otvorené Konzola MMC pre správu, Kliknite na tlačidlo "Štart", do vyhľadávacieho poľa zadajte mmca potom kliknite na tlačidlo «Enter», Otvorí sa prázdna konzola MMC. V ponuke "Konzola"   vyberte tím Pridajte alebo odstráňte modul snap-in   alebo použite klávesovú skratku Ctrl + M. V dialógu „Pridávanie a odstraňovanie modulov snap-in“   vyberte snímku „Miestni používatelia a skupiny“   a kliknite na tlačidlo "Pridať", Potom kliknite na tlačidlo "Hotovo"a potom na tlačidlo "OK", V strome konzoly otvorte uzol „Miestni používatelia a skupiny (lokálne)“;

o Na otvorenie dialógového okna použite kombináciu klávesov + R "Run", V dialógovom okne "Run"v teréne "Otvorená"   vstúpiť lusrmgr.msc   a kliknite na tlačidlo "OK";

2. Otvorte uzol "Užívatelia"   a buď v ponuke "Action"alebo vyberte príkaz z kontextovej ponuky « Nový užívateľ» ;


3. V dialógovom okne „Nový používateľ“   zadajte príslušné informácie. Okrem zadaných údajov môžete použiť aj tieto príznaky: Pri nasledujúcom prihlásení požadovať zmenu hesla, Odmietnuť zmenu hesla používateľa, Heslo nevyprší, Zakázať účet   a kliknite na tlačidlo "Vytvoriť"a potom "Close".


Ak chcete pridať používateľa do skupiny, dvakrát kliknite na meno používateľa, čím sa dostanete na stránku vlastností používateľa. pútko „Členstvo v skupine“   stlačte tlačidlo "Pridať".

V dialógu „Výber skupiny“   Skupinu pre používateľa môžete vybrať dvoma spôsobmi:

1. V teréne „Zadajte názvy voliteľných objektov“   zadajte názov skupiny a kliknite na tlačidlo Skontrolujte menáako ukazuje nasledujúci obrázok:

2. V dialógu „Výber skupiny“   stlačte tlačidlo "Advanced"otvoriť dialógové okno „Výber skupiny“, V tomto okne kliknite na tlačidlo "Search"Ak chcete zobraziť zoznam všetkých dostupných skupín, vyberte príslušnú skupinu a dvakrát kliknite na tlačidlo "OK".

    Modul snap-in Local Users and Groups je dôležitým bezpečnostným nástrojom, pretože vám umožňuje obmedziť možné akcie používateľov a skupín tým, že im priradí práva a oprávnenia. Jeden používateľský účet môže byť členom niekoľkých skupín.

K tomuto modulu snap-in sa dostanete zadaním textu príkazový riadok   lusrmgr.msc

V ľavej časti okna, ktoré sa otvorí, sa zobrazia dva priečinky - Používatelia a Skupiny

V priečinku Používatelia sa zobrazujú dva vstavané používateľské účty - administrátor a hosť, ktoré sa vytvárajú automaticky počas inštalácie Wundows XP, ako aj všetky vytvorené užívateľské účty.

Účet správcu sa používa počas prvej inštalácie. operačný systém, Tento účet vám umožňuje vykonať potrebné akcie skôr, ako používateľ vytvorí svoj vlastný účet. Účet správcu nemožno odstrániť, odpojiť alebo odstrániť z miestnej skupiny správcov, čím sa vylučuje možnosť náhodného straty prístupu k počítaču po zničení všetkých účtov správcu. Táto vlastnosť odlišuje účet správcu od ostatných členov miestnej skupiny správcov. Účet hosťa používajú tí, ktorí v počítači nemajú skutočný účet. Ak je používateľský účet zakázaný (ale nebol odstránený), môže tiež použiť účet Hosť. Účet hosťa nevyžaduje heslo. V predvolenom nastavení je zakázaná, ale môžete ju povoliť.

Ak chcete pridať nové používateľské konto, kliknite pravým tlačidlom myši na priečinok Používatelia a v rozbaľovacej ponuke vyberte položku Nový užívateľ .... V otvorenom okne zadajte údaje a vytvorte nový účet. Ak chcete odstrániť používateľský účet, kliknite pravým tlačidlom myši na jeho názov v pravom okne programu a v rozbaľovacej ponuke vyberte príkaz Odstrániť.

Pre konkrétny účet môžete tiež priradiť cestu k profilu a prihlasovaciemu skriptu (ďalšie informácie nájdete v pomoci).

Priečinok Skupiny zobrazuje všetky vstavané skupiny a skupiny vytvorené používateľmi. Vstavané skupiny sa vytvoria automaticky pri inštalácii systému Windows XP. Príslušnosť k skupine dáva používateľom práva a príležitosti na vykonávanie rôznych úloh na počítači. Nasledujú vlastnosti niektorých vstavaných skupín:
Správcovia - Členstvo v tejto skupine predvolene poskytuje najširšiu množinu povolení a možnosť zmeniť svoje vlastné oprávnenia. Správcovia majú úplné a neobmedzené prístupové práva k počítaču alebo doméne. Práca v systéme Windows XP ako správca robí systém zraniteľným pre trójske kone a ďalšie programy, ktoré ohrozujú bezpečnosť. Iba návšteva webovej stránky môže skutočne poškodiť systém. Neznáme webové stránky môžu obsahovať trójske kone, ktoré sa stiahnu do systému a vykonajú. Ak sa momentálne nachádzate v systéme s právami správcu, takýto program sa môže preformátovať pevný disk, vymazať všetky súbory, vytvoriť nový používateľský účet s administratívnym prístupom atď.

inštalácia operačného systému a jeho komponentov (napríklad ovládače zariadení, systémové služby atď.);

nainštalujte servisné balíky

aktualizácie operačného systému;

obnova operačného systému;

nastavenia najdôležitejších parametrov operačného systému (politika hesiel, riadenie prístupu, politika auditu, nastavenie ovládačov v režime jadra atď.);

prevzatie vlastníctva nedostupných súborov;

správa protokolu zabezpečenia a auditu

zálohovanie a obnovenie systému.

V praxi by sa účty správcu mali často používať na inštaláciu a spúšťanie programov napísaných pre predchádzajúce verzie systému Windows.

Skúsení používatelia - táto skupina je podporovaná hlavne kvôli kompatibilite s predchádzajúcimi verziami pre spúšťanie necertifikovaných aplikácií. Predvolené povolenia udelené tejto skupine umožňujú členom skupiny meniť nastavenia počítača. Ak sa vyžaduje podpora pre necertifikované aplikácie, koncoví používatelia by mali byť členmi skupiny Advanced Users.
Členovia skupiny Power Users majú viac povoleníako členovia skupiny Users a menej ako členovia skupiny Administrators. Skúsení používatelia môžu s operačným systémom vykonávať akékoľvek úlohy, s výnimkou úloh vyhradených pre skupinu Administrators.

Skúsení používatelia môžu:

spúšťať aplikácie certifikované pre Windows 2000 a Windows XP Professional, ako aj staršie aplikácie;

inštalovať programy, ktoré neupravujú súbory operačného systému a systémové služby;

nakonfigurujte prostriedky na úrovni systému vrátane tlačiarní, dátumu a času, možností napájania a ďalších prostriedkov ovládacieho panela

vytvárajte a spravujte účty miestnych používateľov a skupín

zastavenie a spustenie systémových služieb, ktoré nie sú predvolene spustené.

Skúsení používatelia sa nemôžu pridať do skupiny Administrators. Nemajú prístup k údajom iných používateľov na zväzku NTFS, ak nezískajú príslušné povolenia týchto používateľov. Keďže pokročilí používatelia môžu inštalovať a upravovať programy, práca pod skupinovým účtom „Pokročilí používatelia“ pri pripojení na internet môže spôsobiť zraniteľnosť systému voči trójskym koňom a iným programom, ktoré ohrozujú bezpečnosť.

Používatelia, ktorí sú členmi tejto skupiny, nemôžu zdieľať adresáre ani vytvárať miestne tlačiarne. Skupina Users poskytuje najbezpečnejšie prostredie pre spúšťanie programov. Pri hlasitosti pomocou súborový systém   Predvolené bezpečnostné nastavenia NTFS novo nainštalovaného (neaktualizovaného) systému sú navrhnuté tak, aby zabránili narušeniu integrity operačného systému a systému nainštalované programy   členovia tejto skupiny. Používatelia nemôžu meniť nastavenia registra na úrovni systému, operačného systému alebo programových súborov. Používatelia môžu vypnúť pracovné stanice, ale nie servery. Používatelia môžu vytvárať miestne skupiny, ale môžu ich spravovať iba tí, ktorých vytvorili. Užívatelia majú plný prístup   do vašich dátových súborov a časti databázy Registry (HKEY_CURRENT_USER). Povolenia na úrovni používateľa však často bránia používateľovi v spúšťaní starších aplikácií. Členom skupiny Users je zaručené, že budú spúšťať iba aplikácie certifikované Windows.

Archivátori - členovia tejto skupiny môžu archivovať a obnovovať súbory v počítači bez ohľadu na všetky povolenia, ktoré tieto súbory chránia. Môžu sa tiež prihlásiť a vypnúť počítač, nemôžu však zmeniť nastavenia zabezpečenia. Na archiváciu a obnovu dátových súborov a systémové súbory   vyžaduje sa oprávnenie na čítanie a zápis. Predvolené povolenia pre operátorov archívov, ktoré im umožňujú archivovať a obnovovať súbory, im umožňujú používať skupinové povolenia na iné účely, napríklad na čítanie súborov od iných používateľov a inštaláciu programov s vírusmi trójskych koní.

Hostia - členovia tejto skupiny, majú predvolene rovnaké práva ako používatelia, s výnimkou účtu Hosť, ktorý má ešte obmedzené práva.

Operátori nastavenia siete - členovia tejto skupiny môžu mať niektoré administratívne práva   na ovládanie sieťových nastavení.

Používatelia vzdialenej pracovnej plochy - Členovia tejto skupiny majú právo na diaľkové prihlásenie.

Ak chcete pridať používateľský účet do konkrétnej skupiny, kliknite pravým tlačidlom myši na názov skupiny a v rozbaľovacej ponuke vyberte možnosť Pridať do skupiny.

Podrobnejšia pomoc pri vykonávaní týchto a ďalších úloh týkajúcich sa používateľských a skupinových účtov, ako aj ďalšie úplný opis   čítať používateľské a skupinové účty v pomocníkovi modulu snap-in Lokálni používatelia a skupiny.

Používateľské práva sa prideľujú prostredníctvom uzla Lokálne politiky skupinových politík. Ako už názov napovedá, miestne politiky patria miestnemu počítaču. Tieto miestne politiky môžete tiež nakonfigurovať ako súčasť existujúcej skupinovej politiky pre lokalitu, doménu alebo organizačnú jednotku. Ak tak urobíte, miestne pravidlá sa vzťahujú na účty počítačov v lokalite, doméne alebo organizačnej jednotke.

Ak chcete spravovať zásady používateľských práv, postupujte takto:

1. Otvorte kontajner skupinovej politiky, s ktorým musíte pracovať, a potom otvorte uzol tak, že prejdete dolu stromom konzoly. Rozbaľte Uzly Konfigurácia počítača, Windows Configuration (Nastavenia systému Windows), Nastavenia zabezpečenia   potom Miestne politiky.
2. zväčšiť Pridelenie práv používateľovako je znázornené na obrázku 8-5. Teraz môžete spravovať užívateľské práva.
3. Ak chcete prideliť užívateľské práva, dvakrát kliknite alebo kliknite pravým tlačidlom myši na užívateľské právo a vyberte Vlastnosti. Otvorí sa dialógové okno Vlastnosti.
4. Teraz môžete nakonfigurovať užívateľské práva tak, ako je to popísané v krokoch 1-4 časti „“ alebo v krokoch 1-7 nasledujúcej sekcie „“

Obrázok 8-5. Uzol Priradenie užívateľských práv použite na konfiguráciu užívateľských práv aktuálneho kontajnera skupinovej politiky.

Globálne nastavenie užívateľských práv

Práva jednotlivého používateľa pre web, doménu alebo organizačnú jednotku môžete nakonfigurovať podľa týchto krokov:

1. Otvorte dialógové okno Vlastnosti pre práva používateľa, ako je to znázornené na obrázku 8-6.

Pozn. Všetky politiky môžu byť definované alebo nedefinované. To znamená, že sú nakonfigurované na používanie alebo nie. Politiky, ktoré nie sú definované v tomto kontajneri, sa dajú dediť z iného kontajnera.
2. Zvoľte “ Definujte nasledujúce nastavenia politiky v šablóne (Definujte tieto nastavenia politiky)Msgstr "Na určenie politiky
3. Ak chcete uplatniť právo na používateľa alebo skupinu, kliknite na tlačidlo Pridať používateľa alebo skupinu (Pridať), Otvorí sa dialógové okno zobrazené na obrázku 8-7. V tomto okne sa používajú nasledujúce polia:

Hľadať v. Ak chcete získať prístup k účtom z iných domén, rozbaľte zoznam Hľadať v. Uvidíte zoznam so zoznamom: aktuálna doména, dôveryhodné domény a ďalšie zdroje, ktoré máte k dispozícii.

Obrázok 8-6. Definujte užívateľské právo a priraďte ho používateľovi alebo skupine.

Pozn. V zozname Kde hľadať sú dostupné iba domény, s ktorými sú nadviazané vzťahy dôveryhodnosti. Vyčíslenie všetkých domén zo stromu domén alebo doménovej štruktúry je možné z dôvodu prítomnosti tranzitívnych trustov v systéme Windows 2000. Dôvery nie sú explicitne stanovené. Naopak, vzťahy dôvery sa automaticky vytvárajú na základe štruktúry lesa a sady povolení v ňom.

Krstné meno V tomto stĺpci sú uvedené dostupné účty pre vybratú doménu alebo zdroj.

Pridať. Ak chcete pridať používateľov do zoznamu, použite Pridať.

Skontrolujte mená.   Potvrďte mená používateľov a skupín zadané vo výberovom okne. Je to užitočné, ak zadávate mená manuálne a chcete sa ubezpečiť, že sú dostupné.

4. Po výbere účtov, ktoré chcete pridať do skupiny, kliknite na tlačidlo OK. V dialógovom okne Názov skupiny   Vybraté účty sa zobrazia. Znova kliknite na tlačidlo OK.
5. Aktualizované dialógové okno Vlastnosti zobrazuje vybratých používateľov. Ak ste urobili chybu, vyberte meno a odstráňte ho kliknutím na tlačidlo Odstrániť
6. Ak ste už dokončili prideľovanie práv používateľom a skupinám, kliknite na tlačidlo OK.

Nastavenia lokálnych používateľských práv

Prideliť užívateľské práva miestny počítačpostupujte nasledovne:

1. Otvorte dialógové okno Vlastnosti pre konfiguráciu práv, ako je znázornené na obrázku 8-8.
2. Zobrazuje sa aktuálna politika pre počítač, nemôžete ju však zmeniť. Nastavenia miestnych politík však môžete zmeniť pomocou špeciálnych polí. Nezabudnite, že zásady týkajúce sa stránok, domén a OU sú nadradené miestnym pravidlám.

Obrázok 8-7. Na priradenie práv používateľom alebo skupinám použite dialógové okno Vybrať: Používatelia alebo skupiny.
3. stĺp Priradené   relácie súčasných používateľov   a skupiny, ktorým bolo právo pridelené.

Začiarknite alebo zrušte začiarknutie príslušných políčok pod stĺpcom. Lokálne nastavenie politikypriradiť alebo odvolať právo používateľa.

Toto právo môžete priradiť ďalším používateľom a skupinám kliknutím na tlačidlo Pridať. Otvorí sa dialógové okno Možnosti: Používatelia alebo skupiny (Možnosti: Používatelia alebo skupiny)zobrazené na obrázku 8-7 skôr. Teraz môžete pridávať používateľov a skupiny.

Pridajte používateľský účet

Musíte vytvoriť účet pre každého používateľa, ktorý potrebuje používať sieťové prostriedky. Používateľské účty domén sa vytvárajú pomocou modulu snap-in Active Directory - Users and Computers. Lokálne účty sa vytvárajú pomocou modulu snap-in Lokálni používatelia a skupiny.

Vytváranie používateľských účtov domény

Existujú dva spôsoby, ako vytvoriť nové používateľské účty v doméne:

Vytvorte úplne nový používateľský účet. Ak chcete vytvoriť úplne nový účet, kliknite pravým tlačidlom myši na kontajner, do ktorého chcete účet umiestniť, potom vyberte Nový objekt a potom Užívateľ (User), Otvorí sa okno sprievodcu, ako je znázornené na obrázku 8-9. Keď vytvoríte nový účet, použijú sa predvolené systémové nastavenia.

Obrázok 8-8. Definujte užívateľské právo a potom ho priraďte používateľom alebo skupinám.
Vytvorte nový účet na základe existujúceho účtu. Pravým tlačidlom myši kliknite na používateľské konto, ktoré potrebujete skopírovať do modulu snap-in, a vyberte príkaz Kopírovať. Sprievodca sa otvorí Kopírovať objekt - užívateľpodobné pánovi Nový objekt - používateľ, Aj keď vytvárate kópiu účtu, nový účet získa väčšinu nastavení z existujúceho účtu. Viac informácií o kopírovaní účtov nájdete v časti „ Kopírujú sa účty domén„(„ Kopírovanie používateľských účtov domény “) Kapitola 9.

Spustením jedného z sprievodcov, Nový objekt - Používateľ alebo Kopírovať objekt - Používateľ, si môžete vytvoriť účet nasledujúcim spôsobom:

1. Prvé dialógové okno sprievodcu sa používa na konfiguráciu používateľského mena a prihlasovacieho mena zobrazeného na obrázku 8-9.
2. Do príslušných polí zadajte meno a priezvisko používateľa. Krstné meno a priezvisko sa používajú na vytvorenie celého mena, ktoré je zobrazovaným menom používateľa.
3. Zadajte do poľa Celé meno   potrebné zmeny. Napríklad bude možno potrebné zadať krstné meno vo formáte „Priezvisko Priezvisko“ alebo vo formáte „Počiatočné meno meno“. Celé meno musí byť jedinečné v rámci domény a nesmie byť dlhšie ako 64 znakov.
4. V teréne Prihlasovacie meno používateľa   Ak sa chcete prihlásiť, zadajte svoje používateľské meno. Z rozbaľovacieho zoznamu vyberte doménu, ku ktorej bude účet priradený. Toto jednoznačne identifikuje prihlasovacie meno.
5. Vytvorenie prihlasovacieho mena kompatibilného so systémom Windows NT 4.0 alebo starším verzie systému Windows, použije sa prvých 20 znakov názvu prihlásenie do systému Windows   2000. Prihlasovacie údaje musia byť v rámci domény jedinečné. V prípade potreby zmeňte prihlasovacie meno systému Windows NT 4.0 alebo staršieho.

Obrázok 8-9. Nakonfigurujte prihlasovacie meno a zobrazte meno používateľa.
6. Kliknite na tlačidlo Ďalej. Heslo používateľa nakonfigurujte pomocou dialógového okna zobrazeného na obrázku 8-10. Polia v tomto dialógovom okne sú uvedené nižšie:




Ak je toto políčko začiarknuté, platnosť hesla pre tento účet vyprší. Tento parameter zneplatňuje zásady účtu domény. Spravidla sa neodporúča nastavovať heslá bez uplynutia platnosti, pretože to odporuje samotnej myšlienke používania hesiel.


7. Kliknite na tlačidlo Ďalej a potom kliknutím na tlačidlo Dokončiť vytvorte účet. Ak počas vytvárania účtu narazíte na problémy, zobrazí sa upozornenie a podľa potreby budete musieť pomocou tlačidla Späť znova zadať informácie o používateľskom mene a hesle do zodpovedajúcich dialógových okien.

Po vytvorení účtu môžete nastaviť ďalšie vlastnosti, ktoré sú opísané ďalej v tejto kapitole.

Obrázok 8-10. Nastavenie hesla používateľa.

Vytvorte miestne používateľské účty

Lokálne používateľské účty sa vytvárajú pomocou modulu snap-in Lokálni používatelia a skupiny. Ak chcete získať prístup k tomuto pomocnému programu a vytvoriť účet, musíte vykonať nasledujúce kroky:

1.   alebo jednoducho vyberte Správa počítačov   v priečinku.
2. Správa počítačov     z kontextovej ponuky. Teraz si môžete vybrať počítač, ktorého používateľské účty musíte spravovať. Radiče domény nemajú miestnych používateľov a skupiny.
3. Rozbaľte uzol kliknutím na znamienko plus (+) vedľa neho a vyberte položku.
4. Kliknite pravým tlačidlom myši na priečinok Užívatelia (Users)   a vyberte. Otvorí sa dialógové okno Nový užívateľzobrazené na obrázku 8-11. Polia v tomto dialógovom okne sú uvedené nižšie:

Používateľ (používateľské meno).   Prihlasovacie meno pre používateľský účet. Toto meno musí byť v súlade s miestnymi pravidlami pre názvy mien.

Celé meno.   Celé používateľské meno, napríklad William R. Stanek

Popis (Description).   Popis užívateľa. Toto pole zvyčajne obsahuje názov pozície používateľa, napríklad Webmaster, alebo názov pozície a oddelenia.

Password (heslo). Heslo pre účet. Toto heslo musí byť v súlade s vašimi pravidlami pre heslá.

Potvrďte heslo, Účelom tohto poľa je zabezpečiť správne zadanie hesla účtu. Heslo znova potvrďte.

Obrázok 8-11. Nastavenie miestneho používateľského účtu sa líši od nastavenia účtu domény.


Vyžadovať zmenu hesla pri najbližšom prihlásení (užívateľ musí zmeniť heslo pri najbližšom prihlásení). Ak je toto začiarkavacie políčko začiarknuté, používateľ bude musieť pri prihlásení zmeniť heslo.

Zakázať zmenu hesla používateľa (Užívateľ nemôže zmeniť heslo), Ak je začiarknuté, používateľ nebude môcť zmeniť heslo.

Heslo nikdy nevyprší (heslo nikdy nevyprší).   Ak je toto políčko začiarknuté, platnosť hesla pre tento účet vyprší. Tento parameter zneplatňuje zásady účtu domény.

Zakázať účet (účet je zakázaný).   Ak je toto políčko začiarknuté, účet je deaktivovaný a nedá sa použiť. Tento príznak slúži na dočasné uzamknutie vášho účtu.

5. Po nastavení nového účtu kliknite na tlačidlo Vytvoriť.

Vytvorte skupinový účet

Skupiny sa používajú na správu práv viacerých používateľov. Účty globálnej skupiny (poznámka prekladateľa. Skupiny zabezpečenia služby Active Directory, ktoré obsahujú účty iba z vlastnej domény) sa vytvárajú pomocou modulu snap-in Používatelia a počítače služby Active Directory. Účty miestnych skupín sa vytvárajú pomocou modulu snap-in Local Users. skupiny (miestni používatelia a skupiny).

Pri vytváraní skupinových účtov nezabudnite, že skupiny sa vytvárajú pre podobné typy používateľov. Niektoré typy skupín, ktoré budete musieť vytvoriť, sú uvedené nižšie:

Skupiny pre oddelenia organizácie. Používatelia pracujúci na tom istom oddelení zvyčajne potrebujú prístup k rovnakým zdrojom. Preto môžete vytvoriť skupiny pre oddelenia ako je vývoj, predaj, marketing alebo strojárstvo.
Skupiny pre používateľov špeciálnych aplikácií. Používatelia často potrebujú prístup k aplikácii a zdrojom spojeným s touto aplikáciou. Ak vytvoríte skupiny pre používateľov konkrétnej aplikácie, môžete si byť istí, že používatelia majú prístup k potrebným zdrojom a súborom aplikácií.
Skupiny založené na zodpovednosti používateľov , Skupiny sa môžu vytvárať aj na základe rozdelenia zodpovedností používateľov. Napríklad manažér, pozorovateľ a bežný užívateľ   Vyžaduje sa prístup k rôznym zdrojom. Vytvorením skupín podľa tohto princípu si môžete byť istí, že prístupové práva na potrebné zdroje sa poskytujú používateľom, ktorí ich potrebujú.

Vytvorte globálnu skupinu

Ak chcete vytvoriť globálnu skupinu, musíte vykonať nasledujúce kroky:

1. Spustite snímku Používatelia a počítače služby Active Directory, Pravým tlačidlom myši kliknite na kontajner, do ktorého chcete umiestniť skupinový účet. Potom vyberte Vytvoriť (Nový) -\u003e Skupina. Otvorí sa dialógové okno Nový objekt - skupina8-12.
2. Zadajte názov skupiny. Názvy účtov globálnej skupiny sa musia riadiť pravidlami zobrazovaných názvov používateľských účtov. Rozlišujú sa malé a veľké písmená a nesmú mať viac ako 64 znakov.
3. Pri vytváraní názvu skupiny pre kompatibilitu so systémom Windows NT 4.0 alebo staršími verziami systému Windows sa použije prvých 20 znakov názvu skupiny v systéme Windows 2000. Názov skupiny musí byť v rámci domény jedinečný. V prípade potreby zmeňte názov skupiny systému Windows NT 4.0 alebo staršieho.

Obrázok 8-12. Dialógové okno Nový objekt - skupina vám umožňuje pridať nové globálne skupiny do domény.
4. Vyberte rozsah skupiny: lokálna doména, globálna alebo univerzálna.
5. Vyberte typ skupiny: bezpečnostná skupina alebo distribučná skupina.
6. Ak chcete vytvoriť skupinu, kliknite na tlačidlo OK. Teraz môžete do skupiny pridať používateľov a nastaviť ďalšie vlastnosti, ktoré sú opísané ďalej v tejto kapitole.

Vytvorte miestnu skupinu a pridajte členov

Lokálne skupiny sa vytvárajú pomocou modulu snap-in Local Users And Groups. Môžete ho otvoriť podľa týchto krokov:

1. Kliknite na Štart, Programy, Administrácia (administratívne nástroje), Správa počítačov   alebo stačí vybrať Správa počítačov   v priečinku Administrácia (administratívne nástroje).
2. Kliknite pravým tlačidlom myši na uzol Správa počítačov   v strome konzoly a vyberte Pripojte sa k inému počítaču   z kontextovej ponuky. Teraz si môžete vybrať počítač, ktorého účty potrebujete spravovať. Radiče domény nemajú miestnych používateľov a skupiny.
3. Rozbaľte uzol Nástroje (systémové nástroje)kliknutím na znamienko plus (+) zodpovedajúce tomuto uzlu a vyberte položku Miestni používatelia a skupiny.
4. Pravým tlačidlom myši kliknite na priečinok Skupiny a vyberte položku Nová skupina, Otvorí sa dialógové okno Nová skupinazobrazené na obrázku 8-13.
5. Po zadaní názvu a popisu skupiny kliknutím na tlačidlo Pridať pridajte používateľov do tejto skupiny. Otvorí sa dialógové okno Výber: Používatelia alebo skupiny8-7. Teraz môžete do skupiny pridať členov. Polia tohto dialógového okna sú opísané nižšie:

Hľadať v (Vyhľadať). Ak chcete získať prístup k účtom pre iné počítače a domény, kliknite na zoznam Vyhľadať. Zobrazí sa zoznam so zoznamom aktuálneho počítača, dôveryhodných domén a ďalších zdrojov, ku ktorým máte prístup.

Meno (Name). Tento stĺpec zobrazuje dostupné účty vybranej domény alebo zdroja.

Pridať (Add). Pridajte vybrané mená do zoznamu.

Skontrolujte mená   Potvrďte mená používateľov a skupín zadané vo výberovom okne. Je to užitočné, keď ručne zadávate mená a chcete sa ubezpečiť, že sú dostupné.

6. Po výbere názvov účtov, ktoré chcete pridať do skupiny, kliknite na tlačidlo OK.
7. Dialógové okno Nová skupina   aktualizované tak, aby odrážali váš výber. Ak ste urobili chybu, vyberte meno a odstráňte ho kliknutím na tlačidlo Odstrániť
8. Po dokončení pridávania alebo odoberania členov skupiny kliknite na tlačidlo Vytvoriť.

Obrázok 8-13. Dialógové okno Nová skupina vám umožňuje pridať novú miestnu skupinu.

Globálne riadenie členstva v skupine

Ak chcete nakonfigurovať členstvo v skupine, použite modul snap-in Používatelia a počítače služby Active Directory. Pri práci so skupinami nezabudnite na nasledujúce body:

Modul snap-in Active Directory - Používatelia a počítače poskytuje niekoľko spôsobov, ako spravovať členstvo v skupinách. Môžete:

Správa členstva pre jednotlivých používateľov a počítače

Členstvo v skupine pre ľubovoľný typ účtu môžete pridať alebo odstrániť pomocou týchto krokov:

1. V module snap-in dvakrát kliknite na používateľa, počítač alebo skupinu. Používatelia a počítače služby Active Directory
2. Vyberte kartu Člen.
3. Ak chcete, aby sa účet stal členom skupiny, kliknite na tlačidlo Pridať. Otvorí sa rovnaké dialógové okno. Výber: Skupinyako dialógové okno Výber: Používatelia alebo skupinyopísané v predchádzajúcich príkladoch.
4. Ak chcete odstrániť účet zo skupiny, vyberte skupinu a potom kliknite na tlačidlo Odstrániť.
5. Kliknite na tlačidlo OK.

Správa členstva pre viacerých používateľov alebo počítače

Dialógové okno Vlastnosti skupiny vám tiež umožňuje spravovať členstvo v skupine. Ak chcete pridať alebo odstrániť účty, postupujte takto:

1. Okamžite kliknite na používateľa alebo počítač Používatelia a počítače služby Active Directory, Otvorí sa dialógové okno Vlastnosti účtu.
2. Vyberte kartu Členovia.
3. Kliknutím na Pridať pridajte účty do skupiny. Otvorí sa dialógové okno Výber: Používatelia alebo skupiny, Vyberte používateľov, počítače a skupiny, ktoré sa stanú členmi tejto skupiny.
4. Ak chcete odstrániť členov zo skupiny, vyberte účet a potom kliknite na tlačidlo Odstrániť.
5. Kliknite na tlačidlo OK.

Nastavenie členstva základnej skupiny pre používateľov a počítače

Hlavné skupiny používajú používatelia, ktorí pracujú so systémom Windows 2000 prostredníctvom služieb kompatibilných s Mac. Keď používateľ systému Mac vytvára súbory alebo priečinky v počítači so systémom Windows XP okná   2000 je k týmto súborom a priečinkom priradená hlavná skupina.

Všetky účty používateľov a počítačov musia mať základnú skupinu bez ohľadu na to, či pracujú so systémom Windows 2000 prostredníctvom systému Mac alebo nie. Táto skupina musí byť globálna alebo univerzálna, napríklad globálna skupina Domain Users alebo globálna skupina Domain Computers.

Ak chcete vytvoriť základnú skupinu, postupujte takto:

Všetci používatelia musia byť členmi aspoň jednej základnej skupiny. Členstvo používateľa v primárnej skupine nemôžete zrušiť, kým k nemu nepriradíte inú primárnu skupinu. Postupujte takto:

Materiál je prevzatý z knihy „Windows 2000. Príručka správcu“. Napísal William R. Stanek. © 1999 Microsoft Corporation, všetky práva vyhradené.

Ide o nástroj určený na správu miestnych používateľov a skupín. Miestny používateľ alebo skupina je účet, ktorému môžu byť na vašom počítači udelené povolenia a práva.

Modul snap-in Local Users and Groups je dôležitým bezpečnostným nástrojom, pretože vám umožňuje obmedziť možné akcie používateľov a skupín tým, že im priradí práva a oprávnenia. Jeden používateľský účet môže byť členom niekoľkých skupín.

K tomuto modulu snap-in sa dostanete zadaním príkazového riadka lusrmgr.msc, V ľavej časti okna, ktoré sa otvorí, sa zobrazia dva priečinky - Používatelia a Skupiny.

V priečinku Users sa zobrazujú dva vstavané používateľské účty - administrátor a hosť, ktoré sa vytvárajú automaticky počas inštalácie systému Windows XP, ako aj všetky vytvorené používateľské kontá.

účet správca   používa sa pri prvej inštalácii operačného systému. Tento účet vám umožňuje vykonať potrebné akcie skôr, ako používateľ vytvorí svoj vlastný účet. Účet správcu nie je možné odstrániť, odpojiť alebo odstrániť z miestnej skupiny správcov, čím sa vylučuje možnosť náhodného straty prístupu k počítaču po zničení všetkých účtov správcu. Táto vlastnosť odlišuje účet správcu od zvyšku členov miestnej skupiny správcov.

účet hosť používajú tí, ktorí nemajú skutočný počítačový účet. Ak je používateľský účet zakázaný (ale nebol odstránený), môže tiež použiť účet Hosť. Účet hosťa nevyžaduje heslo. V predvolenom nastavení je zakázaná, ale môžete ju povoliť.

Ak chcete pridať nové používateľské konto, kliknite pravým tlačidlom myši na priečinok Používatelia a v rozbaľovacej ponuke vyberte položku Nový užívateľ .... V otvorenom okne zadajte údaje a vytvorte nový účet. Ak chcete odstrániť používateľský účet, kliknite pravým tlačidlom myši na jeho názov v pravom okne programu a v rozbaľovacej ponuke vyberte príkaz Odstrániť.

Pre konkrétny účet môžete tiež priradiť cestu k profilu a prihlasovaciemu skriptu (ďalšie informácie nájdete v pomoci).

Priečinok Skupiny zobrazuje všetky vstavané skupiny a skupiny vytvorené používateľmi. Vstavané skupiny sa vytvoria automaticky pri inštalácii systému Windows XP. Príslušnosť k skupine dáva používateľom práva a príležitosti na vykonávanie rôznych úloh na počítači. Nasledujú vlastnosti niektorých vstavaných skupín:


   administrátori

Členstvo v tejto skupine predvolene poskytuje najširšiu množinu povolení a možnosť zmeniť svoje vlastné oprávnenia. Správcovia majú úplné a neobmedzené prístupové práva k počítaču alebo doméne. Práca v systéme Windows XP ako správca robí systém zraniteľným pre trójske kone a ďalšie programy, ktoré ohrozujú bezpečnosť. Iba návšteva webovej stránky môže skutočne poškodiť systém. Neznáme webové stránky môžu obsahovať trójske kone, ktoré sa stiahnu do systému a vykonajú. Ak ste v súčasnosti v systéme s právami správcu, takýto program môže preformátovať pevný disk, odstrániť všetky súbory, vytvoriť nový používateľský účet s administratívnym prístupom atď.

  • inštalácia operačného systému a jeho komponentov (napríklad ovládače zariadení, systémové služby atď.);
  • nainštalujte servisné balíky
  • aktualizácie operačného systému;
  • obnova operačného systému;
  • nastavenia najdôležitejších parametrov operačného systému (politika hesiel, riadenie prístupu, politika auditu, nastavenie ovládačov v režime jadra atď.);
  • prevzatie vlastníctva nedostupných súborov;
  • správa protokolu zabezpečenia a auditu
  • zálohovanie a obnovenie systému.

V praxi by sa účty správcu mali často používať na inštaláciu a spúšťanie programov napísaných pre predchádzajúce verzie systému Windows.


Skúsení používatelia

Táto skupina je podporovaná hlavne kvôli kompatibilite s predchádzajúcimi verziami pre spúšťanie necertifikovaných aplikácií. Predvolené povolenia udelené tejto skupine umožňujú členom skupiny meniť nastavenia počítača. Ak sa vyžaduje podpora pre necertifikované aplikácie, koncoví používatelia by mali byť členmi skupiny Advanced Users.

Členovia skupiny Advanced Users majú viac povolení ako členovia skupiny Users a menej ako členovia skupiny Administrators. Skúsení používatelia môžu s operačným systémom vykonávať akékoľvek úlohy, s výnimkou úloh vyhradených pre skupinu Administrators.

Skúsení používatelia môžu:

  • spúšťať aplikácie certifikované pre Windows 2000 a Windows XP Professional, ako aj staršie aplikácie;
  • inštalovať programy, ktoré neupravujú súbory operačného systému a systémové služby;
  • nakonfigurujte prostriedky na úrovni systému vrátane tlačiarní, dátumu a času, možností napájania a ďalších prostriedkov ovládacieho panela
  • vytvárajte a spravujte účty miestnych používateľov a skupín
  • zastavenie a spustenie systémových služieb, ktoré nie sú predvolene spustené.

Skúsení používatelia sa nemôžu pridať do skupiny Administrators. Nemajú prístup k údajom iných používateľov na zväzku NTFS, ak nezískajú príslušné povolenia týchto používateľov. Pretože pokročilí používatelia môžu inštalovať a upravovať programy, práca pod skupinovým účtom „Pokročilí používatelia“ pri pripojení na internet môže spôsobiť zraniteľnosť systému voči trójskym koňom a iným programom, ktoré ohrozujú bezpečnosť.


   užívatelia

Členovia tejto skupiny nemôžu zdieľať adresáre ani vytvárať miestne tlačiarne. Skupina Users poskytuje najbezpečnejšie prostredie pre spúšťanie programov. Na zväzku súborového systému NTFS sú predvolené bezpečnostné nastavenia novo nainštalovaného (neaktualizovaného) systému navrhnuté tak, aby členovia tejto skupiny zabránili integrite operačného systému a nainštalovaných programov. Používatelia nemôžu meniť nastavenia registra na úrovni systému, operačného systému alebo programových súborov. Používatelia môžu vypnúť pracovné stanice, ale nie servery. Používatelia môžu vytvárať miestne skupiny, ale iba tie, ktoré vytvoria, môžu spravovať. Používatelia majú plný prístup k svojim údajovým súborom a ich časti registra (HKEY_CURRENT_USER). Povolenia na úrovni používateľa však často bránia používateľovi v spúšťaní starších aplikácií. Členom skupiny Users je zaručené, že budú spúšťať iba aplikácie certifikované Windows.


   Operátori archívu

Členovia tejto skupiny môžu zálohovať a obnovovať súbory v počítači bez ohľadu na všetky povolenia, ktoré ich chránia. Môžu sa tiež prihlásiť a vypnúť počítač, nemôžu však zmeniť nastavenia zabezpečenia. Archivácia a obnova dát a systémových súborov vyžaduje povolenie na čítanie a zápis. Predvolené povolenia pre archívnych operátorov, ktoré im umožňujú archivovať a obnovovať súbory, im umožňujú používať skupinové povolenia na iné účely, napríklad na čítanie súborov iných používateľov a inštaláciu programov s vírusmi trójskych koní.


   hostia

Členovia tejto skupiny majú v predvolenom nastavení rovnaké práva ako používatelia, s výnimkou účtu Hosť, ktorý má ešte obmedzené práva.


   Operátori nastavenia siete

Členovia tejto skupiny môžu mať niektoré administratívne práva na riadenie konfigurácie nastavení siete.


   Používatelia vzdialenej pracovnej plochy

Členovia tejto skupiny majú právo na diaľkové prihlásenie.

Ak chcete pridať používateľský účet do konkrétnej skupiny, kliknite pravým tlačidlom myši na názov skupiny a v rozbaľovacej ponuke vyberte možnosť Pridať do skupiny. Podrobnejšiu pomoc s vykonávaním týchto a ďalších úloh súvisiacich s používateľskými a skupinovými účtami, ako aj úplnejší popis užívateľských a skupinových účtov nájdete v pomocníkovi pre modul snap-in Lokálni používatelia a skupiny.