Администрирование учетными записями в Windows XP. Временное отключение учетной записи. Ограниченный доступ для отдельных учётных записей

Управление учетными записями

В этой главе описано, как создать новых пользователей, как изменить их свойства и как удалить пользователей. Различные Linux-системы имеют различные инструментальные средства для выполнения этих действий. В этой главе приведены описания работы со следующими утилитами:

adduser– добавление учетной записи пользователя;

userdel(8) – удаление учетной записи пользователя;

chfn(1) – изменение finger;

chsh(1) – изменение оболочки;

passwd(1) – создание и изменение паролей пользовталей;

groupadd(8) – создание групп пользователей;

groupdel(8) – удаление групп пользователей;

mkdir– создание каталогов.

В главе также приведены основные сведения для работы со следующими конфигурационными файлами:

/etc/passwd(5) – описания пользователей;

/etc/shadow(5) – описания паролей;

/etc/group(5) – описания групп.

Общие сведения об учетных записях

Когда компьютер используется многими людьми, необходимо разделение между пользователями так, чтобы их личные файлы могли храниться порознь. Это важно, даже если компьютер используется только одним человеком. Таким образом, каждый пользователь имеет уникальное имя username. Иногда это имя обозначают login или сетевое имя - единого термина на русском языке здесь нет. Это имя используется для доступа к системе. По нему система может однозначно определить, с кем именно она имеет дело в настоящий момент.

Учетная запись больше, чем просто имя пользователя. С учетной записью связаны все файлы, ресурсы и информация, принадлежащая одному пользователю. Каждый пользователь имеет доступ к конкретным ресурсам системы - времени процессора, месту на диске, установленному программному обеспечению, сетевым ресурсам.

Работа с учетными записями

Средства для управления учетными записями входят в комплект вспомогательных сценариев и утилит, поставляемых с дистрибутивом. Для работы непосредственно с учетными записями предназначаются такие утилиты, как adduser, userdel(8), chfn(1), chsh(1) и passwd(1). А для работы с группами - groupadd(8), groupdel(8) и groupmod(8). За исключением chfn, chsh и passwd, все перечисленные утилиты могут выполняться только пользователем root и, поэтому, расположены они в каталоге /usr/sbin. Утилиты chfn, chsh и passwd могут быть выполнены кем угодно и расположены они в каталоге /usr/bin.

Создание учетной записи

Добавить учетную запись пользователя можно при помощи утилиты adduser. Утилита выполняется в диалоговом режиме. При создании учетных записей, можно использовать варианты ответов, предлагаемые утилитой по умолчанию, которые приводятся в квадратных скобках.

#adduser
Login name for new user (8 characters or less) : jellyd

В ответ на этот запрос необходимо указать имя, которое пользователь будет использовать для входа в систему, оно должно состоять из восьми или менее символов. Обычно используются только строчные (маленькие) буквы, но можно пользоваться и прописными (большими) буквами.

User id for jellyd [ defaults to next available]:

В ответ на этот запрос необходимо указать идентификатор (UID) пользователя. На самом деле это идентификатор, с помощью которого в системе Linux определяется принадлежность файлов. Каждый пользователь системы имеет уникальный номер, начиная с 1000. Можно выбрать UID для нового пользователя, или просто позволить утилите adduser автоматически присвоить пользователю следующий свободный номер.

Initial group for jellyd :

Все пользователи по умолчанию попадают в группу users. В системе имеется возможность создать отдельную группу для каждого из пользователей, но это не рекомендуется.

Additional groups for jellyd (seperated with commas, no spaces) :

В этом запросе предлагается добавить пользователя в дополнительные группы. Один пользователь может числиться в нескольких группах. Это полезно, если предусмотрены разные группы для разных задач, например, для изменения файлов вэб-сайта, для игр и т. д.

Jellyd"s home directory :

В ответ на этот запрос необходимо уточнить, где должен располагаться домашний каталог пользователя. Домашние каталоги по умолчанию располагаются в каталоге /home. При работе в очень большой системе может возникнуть необходимость разместить домашние каталоги в другом месте. Так же имеется возможность заблокировать пользователя, указав его домашним каталогом /usr/bin/false, но пользоваться этим способом не рекомендуется.

Jellyd"s shell :

В этом запросе предлагается определиться с командной оболочкой для пользователя. Имеется возможность поменять оболочку сразу, или же пользователь сделает это позже самостоятельно при помощи команды chsh. По умолчанию в системе используется оболочка BASH.

Jellyd"s account expiry date (YYYY-MM-DD) :

В ответ на этот запрос можно задать дату, после которой пользователь не будет больше иметь доступа к системе. По умолчанию, это бесконечность. Например, эта опция может быть полезна для Интернет-провайдеров (ISP), если они хотят создать пользователя до определенной даты, пока не получат плату за следующий год.

OK, I"m about to make a new account. Here"s
what you entered so far:
New login name: jellyd
New UID:
Initial group: users
Additional groups:
Home directory: /home/jellyd
Shell: /bin/bash
Expiry date:
This is it... if you want to bail out, hit Control-C.
Otherwise, press ENTER to go ahead and make the account.

В конце утилита отображает всю введенную информацию и, если что-то не так, то можно отменить введенные данные, нажав комбинацию клавиш + и начать все сначала. Для создания пользователя с введенными параметрами необходимо нажать на клавишу .

Making new account...
Changing the user information for jellyd
Full Name : Jeremy
Room Number : Smith 130
Work Phone :
Home Phone :
Other:

Вся эта информация дополнительная и предназначена для утилиты finger. Эти поля можно оставить пустыми. Пользователь также может изменить эту информацию в любой момент при помощи команды chfn. Но может быть полезным указать, по крайней мере, имя и телефон, на тот случай, если потребуется с ним связаться. Подробную информацию см. в разд. "Изменение информации о пользователе" данной главы.

Changing password for jellyd
Enter the new password (minimum of 5, maximum of 127 characters)
New password:
Re-enter new password:
Password changed.
Done...

При этом придется ввести пароль для нового пользователя. Если новый пользователь не присутствует при создании учетной записи, то необходимо просто указать какой-то пароль по умолчанию и предложить пользователю поменять его самостоятельно. Подробную информацию о временной блокировке учетной записи и смене пароля пользователя см. в разд. "Изменение паролей" данной главы.

Выбор надежного пароля это первый шаг по защите системы от взлома. Пароль не должен быть легко угадываемым, так как в этом случае шансы несанкционированного проникновения в систему возрастают. Идеальный пароль это случайный набор символов, включая большие и маленькие буквы, числа и другие символы. Необходимо помнить, что клавишу лучше не использовать, так как разными системами она трактуется по-разному, и при удаленном доступе могут возникнуть проблемы.

Удаление учетной записи

Удалить учетную запись пользователя можно при помощи утилиты adduser. Для удаления учетной записи необходимо просто ввести команду userdel и имя пользователя. При этом необходимо убедиться, что пользователь в этот момент не зарегистрирован в системе и что нет процессов, запущенных от его имени. Необходимо помнить, что удаление учетной записи происходит безвозвратно.

#userdel jellyd

После выполнения этой команды, учетная запись пользователя jellyd будет удалена из системы. Команда удаляет записи о пользователе из файлов /etc/passwd и /etc/group, но не удалит его домашний каталог. Если требуется удалить и домашний каталог, то необходимо выполнить следующую команду:

#userdel -r jellyd

Создание и удаление групп

Утилиты для создания и удаления групп очень просты в использовании. Утилита groupadd просто создаст еще одну группу в файле /etc/group с уникальным идентификатором, а groupdel удалит указанную группу. Пользователи в созданную группу добавляются путем редактирования файла /etc/group.

Пример создания группы:

#groupadd cvs

Пример удаления группы:

#groupdel cvs

Корректировка конфигурационных файлов пользователей и групп

Добавлять и удалять учетные записи и группы можно как с помощью утилит, так и вручную. Для добавления вручную необходимо выполнить процедуры описанные ниже.

Вначале добавление нового пользователя в файлы /etc/passwd(5), /etc/shadow(5) и /etc/group(5). Файл passwd содержит некоторую информацию о пользователе, но не содержит их паролей. Этот файл должен быть доступен для чтения всем пользователям, но недопустимо, чтобы пароли, даже закодированные, были доступны для чтения всем, так как это будет огромной помощью злоумышленникам. Поэтому закодированные пароли хранятся в теневом файле, который доступен для чтения только пользователю root, а в файле passwd пароли пользователей отображаются, как x. Файл group содержит список всех групп, и данные о том кто из пользователей к каким группам относится.

Типичная строка файла /etc/passwd выглядит таким образом:

chris:x:1000:100:Chris Lumens,Room 2,:/home/chris:/bin/bash

Каждая строка, соответствует пользователю. Поля в каждой линии разделены двоеточием и имеют следующие значения (слева направо):

• имя для входа в систему;
• закодированный пароль (x для всех в системе, так как используется пакет для теневых файлов паролей);
• ID пользователя;
• ID группы;
• дополнительная информация о пользователе, разделенная запятыми;
• домашний каталог;
• оболочка.

Для добавления пользователя необходимо добавить в конец файла строку, заполнив все перечисленные поля значениями, соответствующими новому пользователю.

Пароль, ID пользователя должны быть уникальными, и пользователь должен входит в группу 100 (users).

Типичная строка файла /etc/shadow выглядит следующим образом:

chris:$1$w9bsw/N9$UWLr2bRER6YyBS.CAEp7R.:11055:0:99999:7:::

Как и в предыдущем случае, каждая строка соответствует одному пользователю, поля разделены двоеточием и имеют следующие значения:

• имя входа в систему;
• закодированный пароль;
• количество дней от 1 января 1970 г. до дня, когда пароль был изменен последний раз;
• количество дней, после которых пароль может быть изменен;
• количество дней, после которых пароль должен быть изменен;
• количество дней до истечения срока действия учетной записи;
• время, когда пользователь получит сообщение о закрытии его учетной записи;
• дни после истечения срока действия учетной записи, после которых учетная запись полностью блокируется;
• количество дней от 1 января 1970 г., по истечению которых учетная запись должна быть заблокирована;
• зарезервированное поле.

Как следует из описания, в строке в основном содержится информация по срокам действия учетной записи. Если информация об истечении срока действия учетной записи в системе не используется, то достаточно только заполнить некоторые из полей со специальными значениями. При создании учетной записи, в поле пароля можно вписать произвольные символы, кроме двоеточия. Поле "количество дней, с момента изменения пароля" можно оставить пустым. Можно ввести значения 0, 99999 и 7 как это указанно в примере выше (в те же поля) и оставить остальные поля пустыми.

Все создаваемые учетные записи по умолчанию добавляются в группу users. Если нужно создать новую группу или добавить учетную запись в группу отличную от users, то необходимо отредактировать файл /etc/group. Вот типичная строка файла:

cvs::102:chris,logan,david,root

Поля: имя группы, пароль группы, ID группы и члены группы. Создание новой группы, это всего лишь добавление в этот файл еще одной строки, с уникальным ID и указанием списка пользователей, которые должны быть включены в группу. Чтобы изменения вступили в силу, пользователи, если они в данный момент в системе, вынуждены будут выйти и снова войти в систему.

Чтобы создать пароль для вновь созданного пользователя необходимо вернуться к утилите passwd. Затем воспользоваться утилитой mkdir, чтобы создать домашний каталог там, где было указано в файле /etc/passwd.

Если в системе установлен sendmail(8), то необходимо будет создать новый файл с соответствующими правами, принадлежащий новому пользователю в каталоге /var/spool/mail. Например:

#touch /var/spool/mail/jellyd #chown jellyd.users /var/spool/mail/jellyd #chmod 660 /var/spool/mail/jellyd

Эти команды создадут файл очереди почты (mailspool-файл) для нового пользователя jellyd и установят правильные права и принадлежность файла.

Для удаления учетной записи, необходимо просто удалить все, что было введено при создании: упоминания о пользователе в /etc/passwd и /etc/group; его login-имя во всех группах в /etc/group; его очередь почты, если таковая имеется; если есть необходимость - домашний каталог пользователя.

Для удаления группы из файла /etc/group удаляется строка, определяющая группу. Изменение паролей

Утилита passwd изменяет пароль, модифицируя файл /etc/shadow. Этот файл содержит все пароли системы в закодированной форме. Для изменения собственного пароля пользователю необходимо выполнить:

$ passwd
Old password:
Enter the new password (minumum of 5, maximum of 127 characters)
Please use a combination of upper and lower case letters and numbers.
New password:

Сначала утилита просит ввести старый пароль, затем пользователь должен ввести новый пароль. В случае если пароль не удовлетворяет требованиям безопасности, утилита passwd выведет сообщение с предупреждением. При желании это сообщение можно проигнорировать. Затем будет предложено снова ввести пароль для подтверждения.

Пользователь root может изменить пароль любого пользователя:

# passwd ted

В этом случае, процедура будет та же, за исключением того, что не понадобится указывать старый пароль. Это одно из преимуществ пользователя root.

Если в системе есть пользователи, которые ведут себя некорректно, можно временно заблокировать их учетные записи. Позже можно будет опять активизировать их. Как блокировка, так и последующее включение пользователя, могут быть произведены при помощи утилиты passwd. Чтобы отключить учетную запись, пользователь root должен выполнить следующее:

# passwd -l david

Это изменит пароль пользователя david на что-то, что не может быть подобрано. Для возвращения пользователя, потребуется выполнить следующее:

# passwd -u david

Теперь учетная запись пользователя david опять заработает, как и раньше. Приостановка учетной записи может быть полезна, если пользователь нарушает правила, установленные в системе.

Изменение информации пользователя

Пользователи могут поменять в любой момент времени свою оболочку и свою finger-информацию. В системе для этого предусмотрены утилиты chsh (от англ. change shell - изменить оболочку) и chfn (от англ. change finger - изменить finger).

Пользователь может выбрать любую из оболочек, перечисленных в файле /etc/shells. Для большинства пользователей оболочка BASH будет идеальным выбором, но кто-то может использовать другие оболочки, заимствованные из других UNIX-систем. Например:

$ chsh
Password:
Changing the login shell for chris
Enter the new value, or press return for the default
Login Shell :

После ввода пароля необходимо ввести полный путь к новой оболочке, которая должна быть в числе перечисленных в файле /etc/shells(5). Пользователь root может также изменить оболочку другого пользователя, указав как аргумент утилите chsh имя пользователя.

Finger-информация - это необязательная информация. Она содержит такие поля, как полное имя, номер телефона и номер кабинета. Эти данные можно изменять при помощи утилиты chfn. Пользователь root может изменить finger-информацию для любого пользователя.

Временное отключение учетной записи

Иногда необходимо временно запретить некоторому пользователю доступ в систему, не удаляя его вовсе.

Лучшим способом заблокировать пользователя является замена его оболочки (программы, запускаемой при его входе в систему) на специальную программу, которая выводит подходящее сообщение.

Можно также сменить имя пользователя или его пароль, но затем пользователь не будет знать, что происходит. Такие пользователи обычно создают администратору и другим пользователям больше хлопот, и об этом не следует забывать.

Простой способ - создавать специальные программы - состоит в том, чтобы писать "tail scriрts":

#!/usr/bin/tail +2
This account has been closed due to a security breach. # Данная учетная запись заблокирована
из соображений безопасности.
Please call 555-1234 and wait for the men in black to arrive. # Пожалуйста, позвоните по
номеру 555-1234 и дождитесь помощи.

Первые два символа (#!) сообщают ядру, что остальная часть строки является командой, которая должна быть выполнена, чтобы интерпретировать этот файл. Команда tail в этом случае выводит все, за исключением первой строки, в стандартный вывод.

Если пользователь "billg" подозревается в нарушении защиты, администратор системы сделал бы примерно следующее:

# chsh -s /usr/local/lib/no-login/security billg
# su - tester
This account has been closed due to a security breach.
Please call 555-1234 and wait for the men in black to arrive.

Tail-скрипты следует хранить в отдельном каталоге во избежание их пересечения с какими-либо обычными пользовательскими командами.

Как уже отмечалось, для работы на компьютере в ОС Windows 2000 пользователь должен зарегистрироваться, т.е. до начала работы ввести как минимум имя учетной записи и пароль. Учетная запись пользователя предназначена для аутентификации «верительных данных» пользователя, подсоединяющегося к компьютеру, управления доступом пользователя к ресурсам данного локального компьютера, аудита действий, совершаемых пользователем.

Windows 2000 Professional создает только две заранее определенные учетные записи: учетную запись Администратор (Administrator), которая дает пользователю все права и полномочия, и учетную запись Гость (Guest), которая имеет ограниченные права. Все остальные учетные записи создаются администратором.

В случае, если количество пользователей невелико, то имена учетных записей можно задавать, например, по несложному алгоритму:

имя плюс инициал фамилии; например, MichaelG и OlgaP. В случае совпадения имен можно добавлять номера (MichaelG1 и MichaelG2) или достаточное количество букв, чтобы обеспечить однозначную идентификацию (OlgaPetr и OlgaPavl);

имя плюс номер. Например, Ivan112 и Ivan113; в данном случае возможны проблемы, т.к. имя имеет большое распространение;

инициал имени плюс фамилия; например, OPetrova; если работают Olga Petrova и Oksana Petrova, то можно использовать OlPetrova и OkPetrova или OPetroval и OPetrova2;

фамилия плюс инициалы; при наличии нескольких пользователей с одинаковой фамилией можно добавить несколько букв, например, PetrovaOl или PetrovaOk.

Можно использовать буквы не только латинского алфавита, но и кириллицу.

Учетные записи могут снабжаться паролями. В этом случае имеет смысл придерживаться следующих рекомендаций:

пароли должны периодически изменяться;

учетные записи должны блокироваться при вводе неверных паролей (можно разрешить три попытки на возможность ошибки при вводе);

пароль не должен являться перестановкой символов имени входа;

пароль должен содержать не менее двух букв и хотя бы один небуквенный символ;

пароль должен содержать не менее шести символов;

пароль не должен совпадать с именем или инициалами пользователя, его детей или других близких ему людей, являться комбинацией этих элементов в сочетании с другими легкодоступными личными данными, такими как дата рождения или номер телефона.

На локальном компьютере учетную запись администратора следует использовать только для проведения работ по администрированию: установке и настройке программного обеспечения, назначению прав и т.д. Если администратор выполняет иные работы, то ему рекомендуется использовать пользовательскую (из группы Пользователи ) учетную запись.

Чтобы создать локальную пользовательскую учетную запись, необходимо выполнить следующие шаги:

1) открыть «Управление компьютером »;

2) в появившемся дереве консоли раскрыть узел «Служебные программы » и затем – узел «» (рис. 8.3);

3) щелкнуть правой кнопкой мыши на папке «Пользователи » (или на белом поле правой половины окна) и выбрать в контекстном меню пункт «Новый пользователь » (рис. 8.8);

4) в диалоговом окне «Новый пользователь » (рис. 8.9) ввести имя пользовательской учетной записи, полное имя и описание;

5) ввести пароль и задать политики пароля, щелкнуть на кнопке «Создать », а затем – на кнопке «Закрыть ».

Будет создана новая пользовательская учетная запись с установками по умолчанию.

Локальные учетные записи могут принадлежать локально созданным группам (на одном компьютере). Созданную новую учетную запись можно добавить в любую локальную группу.

Н

Рис. 9. Окно для создания локального пользователя

Блокирование учетной записи используется в случае, когда нужно временно запретить регистрацию пользователей с этой учетной записью. Удаление учетной записи и последующее ее восстановление по уже изложенным соображениям имеет трудно прогнозируемые последствия, т.к. не приводит к автоматическому восстановлению закрепленных за ней прав.

Рис. 8.8. Окно консоли «Управление компьютером»

Рис. 8.9. Пример окна «Новый пользователь»

Рис. 8.10. Вид дополнительного меню, содержащего перечень возможных операций с учетной записью

Чтобы блокировать учетную запись пользователя, необходимо выполнить следующие шаги:

1) открыть оснастку «Локальные пользователи и группы » в консоли «Управление компьютером »;

2) открыть контейнер «Пользователи », содержащий эту пользовательскую учетную запись;

3) щелкнуть правой кнопкой мыши на имени этого пользователя и выбрать из контекстного меню пункт «Свойства »;

4) во вкладке «Общие » поставить флажок возле пункта «Отключить учетную запись »;

5) нажать кнопку ОК . После чего вокруг значка этой учетной записи появится красная окружность с символом «X».

Чтобы активизировать блокированную учетную запись, нужно выполнить те же шаги и сбросить флажок «Отключить учетную запись ». Щелкнуть на кнопке ОК .

По умолчанию групповая политика не блокирует учетные записи из-за неудачных попыток входа.

Отметим, что идентификация учетной записи, как и группы, связана с приписыванием ей системой внутренней идентификационной записи. Считать, что повторение такого идентификатора невозможно, строго говоря, ошибочно. Однако производитель ОС Windows 2000 утверждает, что алгоритм его формирования гарантирует уникальность с высокой долей вероятности. Поэтому удаленная учетная запись и вновь созданная с таким же именем будут различаться и с точки зрения ОС будут различны.

Чтобы удалить локальную учетную запись, нужно выполнить следующие шаги:

1) выделить подлежащую удалению учетную запись в контейнере «Локальные пользователи и группы » консоли «Управление компьютером »;

2) Нажать клавишу Delete или щелкнуть на ней правой кнопкой мыши и выбрать из контекстного меню пункт «Удалить »;

3) в появившемся окне подтвердить удаление (рис. 8.11). После щелчка по кнопке «Да » учетная запись будет удалена.

Необходимость переименования учетной записи возникает, например, в случае неудачного способа именования, смены пользователя, закрепленного за этой записью и т.п.

Рис. 8.11. Пример реакции ОС на попытку удаления учетной записи

Чтобы переименовать существующую пользовательскую учетную запись, нужно выполнить следующее:

1) выделить подлежащую переименованию учетную запись в контейнере «Локальные пользователи и группы » консоли «Управление компьютером »;

2) щелкнуть правой кнопкой мыши на пользовательской учетной записи, которую необходимо переименовать и выбрать из контекстного меню пункт «Переименовать », или нажав клавишу F2 ;

3) ввести новое имя;

4) зафиксировать имя, нажав клавишу Enter или, щелкнув левой клавишей мыши по белому полю правой половины окна.

Учетная запись будет переименована. Все полномочия и другие установки останутся без изменений. Если в свойствах измененной учетной записи имеются заполненные комментирующие поля, то, возможно, их тоже следует изменить.

Нередко возникает необходимость изменить или удалить пароль для некоторой учетной записи. Операция повторного создание пароля подразумевает любую манипуляцию с паролем: задание нового, изменение, удаление. Следует помнить, что Windows не предполагает восстановление утерянного пароля ее стандартными средствами. В этом случае предполагается повторное задание пароля.

Чтобы снова ввести пароль, нужно:

1) выделить учетную запись, для которой создается пароль (контейнер «Пользователи » оснастки «Локальные пользователи и группы » в «Управление компьютером »);

2) в контекстном меню «Задать пароль » ввести пароль в строках «Новый пароль » и «Подтверждение » (рис. 8.12).

Рис. 8.12. Окно задания пароля

В одной из своих статей я уже писал о том, что добавлять и изменять свойства учетных записей пользователей можно через “Панель управления” – “Учетные записи пользователей”. Однако данный способ больше подходит для простых пользователей. А вот системному администратору будет удобнее управлять учетными записями через консоль “Управление компьютером” – “Локальные пользователи и группы”.

Чтобы попасть в консоль “Управление компьютером” щелкните правой клавишей мыши по значку “Мой компьютер” на рабочем столе и выберите пункт “Управление”. Далее раскройте раздел “Служебные программы” и выберите пункт “Локальные пользователи и группы”.

Оснастка “” предназначена для создания новых пользователей и групп, управления учетными записями, задания и сброса паролей пользователей.

Локальный пользователь – это учетная запись, которой могут быть предоставлены определенные разрешения и права на вашем компьютере. Учетная запись всегда имеет свое имя и пароль (пароль может быть пустым). Вы также можете услышать другое название учетной записи пользователя – аккаун т , а вместо “имя пользователя” часто говорят логин .

Узел оснастки “Локальные пользователи и группы” отображает список учетных записей пользователей: встроенные учетные записи (например, “Администратор” и “Гость”), а также созданные вами учетные записи реальных пользователей ПК.

Встроенные учетные записи пользователей создаются автоматически при установке Windows и не могут быть удалены. При создании нового пользователя вы должны будете присвоить ему имя и пароль (желательно), а также определить, в какую группу будет входить новый пользователь. Каждый пользователь может входить в одну или несколько групп.

В узле отображаются как встроенные группы, так и созданные администратором (т.е. вами). Встроенные группы создаются автоматически при установке Windows.

Принадлежность к группе предоставляет пользователю определенные права на выполнение различных действий на компьютере. Пользователи группы Администраторы обладают неограниченными правами. Рекомендуется использовать административный доступ только для выполнения следующих действий:

• установки операционной системы и ее компонентов (драйверов устройств, системных служб, пакетов обновления);
• обновления и восстановления операционной системы;
• установки программ и приложений;
• настройки важнейших параметров операционной системы (политики паролей, управления доступом и т.п.);
• управления журналами безопасности и аудита;
• архивирования и восстановления системы и т.п.

Вы, как системный администратор, должны иметь учетную запись, входящую в группу “Администраторы”. Все остальные пользователи компьютера должны иметь учетные записи, входящие либо в группу “Пользователи”, либо в группу “Опытные пользователи”.

Добавление пользователей в группу Пользовател и является наиболее безопасным, поскольку разрешения, предоставленные этой группе, не позволяют пользователям изменять параметры операционной системы или данные других пользователей, установки некоторого ПО, но также не допускают выполнение устаревших приложений. Я сам неоднократно сталкивался с ситуацией, когда старые DOSовские программы не работали под учетной записью участника группы “Пользователи”.

Группа Опытные пользователи поддерживается, в основном, для совместимости с предыдущими версиями Windows, для выполнения не сертифицированных и устаревших приложений. “Опытные пользователи” имеют больше разрешений, чем члены группы “Пользователи”, и меньше, чем “Администраторы”. Разрешения по умолчанию, предоставленные этой группе, позволяют членам группы изменять некоторые параметры компьютера. Если необходима поддержка не сертифицированных под Windows приложений, пользователи должны быть членами группы “Опытные пользователи”.

Учетная запись Гость предоставляет доступ на компьютер любому пользователю, не имеющему учетной записи. Для повышения безопасности компьютера рекомендуют отключать учетную запись “Гость” и настраивать доступ к общим ресурсам ПК существующим пользователям.

Теперь давайте посмотрим, как происходит создание учетной записи через консоль “Управление компьютером” – “Локальные пользователи и группы”.

Создание учетной записи

При установке оригинальной версии Windows XP (имеется в виду не сборка от Zver или т.п.) предлагается создать учетные записи пользователей компьютера. Необходимо создать как минимум одну учетную запись, под которой вы сможете войти в систему при первом запуске. Но, как правило, в реальной жизни требуется создавать несколько учетных записей для каждого пользователя, работающего за компьютером, либо для группы пользователей, объединенных общей задачей и разрешениями доступа.

Для добавления новой учетной записи раскройте оснастку “Локальные пользователи и группы” – выделите папку “Пользователи” – затем в правом окне щелкните на пустом месте правой кнопкой мыши – выберите пункт “Новый пользователь”:

В появившемся окне задайте имя пользователя и описание. Также задайте для пользователя пароль (как придумать надежный пароль для учетной записи можете прочитать ).
Затем настройте дополнительные параметры – поставьте или снимите флажки напротив нужных пунктов:Можно снять флажок напротив пункта “Потребовать смену пароля при следующем входе в систему” и поставить флажки напротив “Запретить смену пароля пользователем” и “Срок действия пароля не ограничен”. В этом случае пользователь не сможет сам сменить пароль своей учетной записи. Это можете делать только вы, работая под администраторской учетной записью.

После нажатия кнопки “Создать” в списке пользователей появится новая учетная запись. Щелкните по ней дважды мышкой и в открывшемся окне перейдите на вкладку “Членство в группах”. Здесь нажмите кнопку “Добавить” – “Дополнительно” – “Поиск”. Затем выберите группу, в которую должен входить пользователь (рекомендуется группа “Пользователи” или “Опытные пользователи”) и нажмите “ОК” во всех отобразившихся окнах. После этого здесь же во вкладке “Членство в группах” удалите из списка все группы, кроме той, которую только что выбрали. Нажмите “ОК”:Таким образом, вы создали новую учетную запись и включили ее в группу.

Теперь сообщите пользователю (в нашем случае Иванову) имя его учетной записи (iva ) и пароль, чтобы он смог войти в систему. На всех компьютерах сети, к ресурсам которых Иванову необходим доступ, нужно будет создать такую же учетную запись с аналогичными параметрами. Если же на каком-либо компьютере сети не будет учетной записи для Иванова и при этом будет отключена учетная запись “Гость”, то Иванов не сможет просмотреть общие сетевые ресурсы данного компьютера.

Если учетная запись пользователя больше не нужна, ее можно удалить. Но во избежание различного рода проблем учетные записи пользователей перед удалением рекомендуется сначала отключить. Для этого щелкните правой кнопкой мыши по имени учетной записи – выберите “Свойства” – в окне свойств учетной записи установите флажок напротив “Отключить учетную запись” и нажмите “ОК”. Убедившись, что это не вызвало неполадок (понаблюдайте за сетью несколько дней), можно безопасно удалить учетную запись: щелкните правой кнопкой мыши по имени учетной записи и в контекстном меню выберите “Удалить”. Удаленную учетную запись пользователя и все данные, связанные с ней, восстановить невозможно.

Управление доступом

Итак, допустим, за одним компьютером работает несколько пользователей, и вы создали для каждого свою учетную запись по описанным выше правилам. Но вдруг появилась необходимость закрыть доступ к некоторым папкам или файлам на компьютере для тех или иных пользователей. Данная задача решается путем назначения определенных прав доступа к ресурсам компьютера.

Управление доступом заключается в предоставлении пользователям, группам и компьютерам определенных прав на доступ к объектам (файлам, папкам, программам и т.д.) по сети и на локальной машине.

Управление доступом для пользователей локального компьютер а осуществляется путем изменения параметров на вкладке “Безопасность ” в окне “Свойства”:

Настройка безопасности для папки "Мои документы"

Вкладка “Доступ ” того же окна используется для управления сетевым доступом к общим объектам (файлам, папкам и принтерам) на компьютерах сети.

В данной статье мы будем говорить о разграничении доступа локальных пользователей к объектам локального компьютера . Данная функция доступна только в файловой системе NTFS. Если на компьютере файловая система NTFS, но вкладка “Безопасность” не отображается, зайдите в “Пуск” – “Панель управления” – “Свойства папки”. На вкладке “Вид” в разделе “Дополнительные параметры” снимите флажок “Использовать простой общий доступ к файлам (рекомендуется) ” и нажмите “ОК”:Основное понятие, связанное с управлением доступом – это Разрешения .

Разрешения определяют тип доступа пользователя или группы к объекту или его свойствам. Разрешения применяются к файлам, папкам, принтерам, объектам реестра. Чтобы установить или изменить разрешения для объекта, щелкните по его названию правой кнопкой мыши и в контекстном меню выберите команду “Свойства”. На вкладке “Безопасность” можно изменить разрешения для файла или папки, устанавливая или снимая флажки напротив нужных пунктов в списке разрешений.

Для каждого пользователя можно задать свои разрешения. Сначала нужно выделить пользователя в списке, а затем указать разрешения для этого пользователя. Например, одному пользователю можно разрешить только читать содержимое некоторого файла (разрешение “Чтение ”), другому – вносить изменения в файл (разрешение “Изменить ”), а всем остальным пользователям вообще запретить доступ к этому файлу (снять все флажки под пунктом “Разрешить ”, либо поставить все флажки “Запретить ”).

Чтобы просмотреть все действующие разрешения для файлов и папок локального компьютера, выберите “Свойства” – “Безопасность” – “Дополнительно” – “Действующие разрешения” – “Выбрать” – “Дополнительно” – “Поиск”, выделите имя нужного пользователя и нажмите “ОК”. Пункты, отмеченные флажками, и есть разрешения для данного пользователя:

В этом же окне вы можете ознакомиться с вкладками “Разрешения”, “Аудит”, “Владелец”. Я не буду останавливаться на них подробно в рамках данной статьи, т.к. она и так получается слишком объемной.

Если в списке пользователей на вкладке “Безопасность” нет пользователя, которому необходимо назначить разрешения, последовательно нажмите следующие кнопки на вкладке “Безопасность”: “Добавить ” – “Дополнительно ” – “Поиск ”. Из списка выберите имя учетной записи пользователя, которому необходимо назначить разрешения и нажмите “ОК”. Вместо отдельного пользователя можно выбрать группу – разрешения будут применяться ко всем пользователям, входящим в эту группу. Хорошо запомните эти кнопки. Такую процедуру вы будете проделывать во всех случаях, когда необходимо добавить нового пользователя в список разрешений, аудита, владения, сетевого доступа и т.п.

Управление доступом применяется не только для пользователей локального компьютера , но и для доступа к общим файлам, папкам и принтерам по сети . Про разграничение прав доступа для пользователей сети применительно к папке я уже рассказывал в статье .

В новой Windows 10 компания Microsoft продолжила традицию разграничения компьютерного пространства отдельными учётными записями для случаев, когда устройством пользуются несколько человек. Каких-либо кардинальных изменений по сравнению с предшественницей Windows 8.1 в новой системе мы не увидим. Windows 10, как и Windows 8.1, предусматривает работу и с локальными учётными записями пользователей, и с подключаемыми аккаунтами Microsoft.

Последним по-прежнему отдаётся предпочтение. Как и ранее, учётная запись Microsoft являет собой нечто ключа доступа к синхронизации настроек системы, к работе некоторого Metro-функционала , а также к прочим веб-сервисам компании Microsoft. Изменения в функционале учётных записей незначительны, но они есть: в отличие от предшественниц, Windows 10 предлагает более продуманную систему использования одного компьютерного устройства несколькими пользователями. Теперь операционная система жёстко разделяет их на своих и чужих . Для своих Windows 10 предусматривает создание специальных учётных записей членов семьи, включая детские с настраиваемой в онлайне функцией родительского контроля.

Рассмотрим детальней функционал учётных записей в системе Windows 10.

1. Штатный инструментарий для работы с учётными записями

Инструментарий для работы с учётными записями в Windows 10, как и в Windows 8.1, разбросан по двум типам настроек системы – в панели управления и в Metro-приложении «Параметры» . В панели управления Windows 10 остались функции изменения имени, пароля, типа учётных записей. Оставлена и возможность их удаления. А вот прерогатива создания принадлежит сугубо Metro -функционалу системы.

Итак, большая часть функций по работе с учётными записями сосредоточена в Metro -приложении , это, соответственно, раздел .

В разделе учётных записей Metro -настроек системы можно подключать и отключать аккаунты Microsoft, создавать и удалять новые учётные записи, менять пароли и пин-коды, настраивать параметры синхронизации, подсоединяться к ресурсам с места работы или учёбы и т.д.

Переключение между учётными записями компьютера осуществляется в меню «Пуск» . Текущий пользователь выходит из своей учётной записи, и на экране блокировки системы вместо него вход выполняет другой пользователь. В другую учётную запись также возможен быстрый переход без возни с экраном блокировки, когда другой пользователь выбирается сразу в меню «Пуск» . При этом учётная запись текущего пользователя блокируется, и в неё без пароля никто не войдёт.

1. Добавление учётной записи пользователя не из круга семьи

Для пользователей не из круга семьи в Windows 10 можно создавать отдельные учётные записи, как это было в прежних версиях системы. Для этого лишь необходимо обладать правами администратора . Подключённый аккаунт Microsoft необязателен. В разделе учётных записей приложения переходим на вкладку . В окне справа выбираем графу и жмём кнопку добавления новых пользователей.

Система предложит в первую очередь создание учётной записи с подключением аккаунта Microsoft . Для этого что и потребуется, так это ввести адрес электронной почты от этого аккаунта. Обойтись без подключения аккаунта Microsoft и создать обычную локальную учётную запись можно, выбрав в этом окне ссылку ниже. Она предусмотрена для тех, кто ещё не успел обзавестись учётной записью Microsoft.

Открывшееся по этой ссылке окошко также в первую очередь будет делать акцент на аккаунте Microsoft, предлагая тут же создать его. И лишь в самом низу увидим неприметную опцию, предусматривающую добавление локальной учётной записи.

Затем появится окошко ввода данных локальной учётной записи. При создании последней придумывать пароль не обязательно. В отличие от аккаунта Microsoft, обычной локальной учётной записью можно пользоваться без паролей и пин-кодов, не теряя время на их ввод в процессе загрузки операционной системы.

После создания учётной записи она появится в графе , где можно изменить её тип.

По умолчанию Windows всем добавляемым учётным записям присваивает тип стандартного пользователя . В перечне типов учётной записи, на которые можно сменить стандартного пользователя, увидим лишь администратора.

Тип учётной записи ребёнка, как это было в Windows 8.1, в Windows 10 настраивается уже в рамках учётных записей семьи.

1. Преимущества учётных записей семьи

В чём преимущество учётных записей семьи? Подключённые к одному компьютерному устройству учётные записи членов семьи в дальнейшем будут доступны после синхронизации и на других устройствах с работающей Windows 10. Настройки семейных учётных записей осуществляются в Интернете, в специальном разделе аккаунта Microsoft – . Теперь родителю не обязательно иметь физический доступ к компьютеру на базе Windows 10, чтобы запретить или разрешить ребёнку те или иные возможности, как в прежних версиях операционной системы. Манипулировать детьми, внося изменения в настройки родительского контроля их учётных записей, родители отныне могут из любой точки земного шара, где есть Интернет. Более того, компания Microsoft позаботилась о равноправии родителей в процессе воспитания детей. К аккаунту Microsoft одного из взрослых можно подсоединить такой же аккаунт Microsoft другого взрослого, и тот также сможет вносить изменения в настройки родительского контроля учётной записи ребёнка на устройстве с Windows 10.

1. Учётная запись члена семьи

Поскольку привязанные учётные записи семьи синхронизируются с помощью аккаунта Microsoft администратора, соответственно, для их создания у такого администратора должен быть подключён аккаунт Microsoft. Во вкладке выбираем кнопку добавления члена семьи.

И если его не окажется, в этом случае система уже не предложит альтернативу с локальной учётной записью. Аккаунт Microsoft придётся создавать.

Подтверждаем добавление нового пользователя из числа членов семьи.

Затем увидим уведомление системы о том, что только что добавленный член семьи сможет управлять функцией родительского контроля в детских учётных записях, если примет приглашение, оправленное ему на почту. Собственно, теперь, всё, что ему остаётся – это проверить свой почтовый ящик и нажать кнопку принятия приглашения.

Во всём остальном учётные записи членов семьи ничем не отличаются от учётных записей обычных пользователей. Для них также доступна смена типа, и при необходимости любого члена семьи можно сделать вторым администратором компьютера.

Для добавления учётной записи ребёнка используется расположенная во вкладке та же кнопка добавления нового члена семьи.

После добавления учётной записи ребёнка необходимо подтвердить функцию родительного контроля. На активацию этой функции сам же ребёнок должен дать согласие в письме , отправленном на его электронную почту. Нелогично, зато по всем правилам демократии.

После согласия ребёнка на активацию в его учётной записи функции родительского контроля во вкладке увидим появившийся новый пункт, который предусматривает управление семейными настройками в онлайне.

Это прямая ссылка в раздел аккаунта Microsoft, где и можно настроить родительский контроль – запретить посещение определённых сайтов, использование определённых приложений и игр, ограничить время пользования компьютером, а также периодически отслеживать активность ребёнка в Интернете.

1. Ограниченный доступ для отдельных учётных записей

Режим ограниченного доступа из предшественницы Windows 8.1 в новую Windows 10 перекочевал с одним незначительным изменением. Операционная система по-прежнему позволяет устанавливать для отдельных учётных записей компьютера (естественно, кроме учётной записи администратора) специальный режим с ограниченным доступом, когда предусматривается использование только одного Metro -приложения. Эта настройка в Windows 10 доступна в самом низу вкладки .

В появившемся окне настройки необходимо выбрать учётную запись и единственное доступное для неё Metro -приложение.

Режим ограничения превращает целую учётную запись в одно-единственное приложение, развёрнутое на весь экран. Нет доступа ни к меню «Пуск» , ни к прочим приложениям системы.

Выход из такой учётной записи с ограничениями предусмотрен с помощью горячих клавиш. В Windows 8.1 нужно быстро нажать пять раз клавишу Win . В Windows 10 компания Microsoft решила для выхода из учётной записи с ограничениями применить классический вариант сочетания горячих клавиш — Ctrl + Alt + Del .

1. Удаление учётных записей

Удаление неиспользуемых учётных записей осуществляется в Metro -приложении . Кнопка удаления появляется при клике на ту или иную учётную запись во вкладке .

Удалять учётные записи можно и в панели управления системы. В разделе жмём опцию управления другой учётной записью.

Затем выбираем подлежащую удалению учётную запись и, собственно, удаляем её – либо с сохранением файлов пользовательского профиля, либо без.

Удаление учётной записи члена семьи осуществляется в разделе аккаунта Microsoft.

После чего учётную запись на конкретном компьютерном устройстве можно удалить функционалом панели управления.

Членам семьи можно временно запретить входить в систему на конкретном устройстве. Вместо опции удаления учётные записи членов семьи в приложении содержат кнопку блокировки . После её нажатия необходимо подтвердить запрет входа.

Запрет входа в систему члена семьи можно отменить в любой момент.

Наверное, сегодня нет ни одного человека, который бы не сталкивался с ситуацией, когда на одном компьютере работает несколько человек, причем каждый входит в систему под своим логином и паролем (так называемая учетная запись пользователя в Windows). Но вот далеко не все юзеры знают, что собой представляет «учетка» и как изменять или контролировать ее основные параметры.

Что такое учетная запись пользователя?

Сам термин, обозначающий учетную запись, происходит от обычного перевода английского словосочетания User Account. Иными словами, аккаунта пользователя компьютерной системой с различными уровнями доступа к информации, параметрам, персональным настройкам, используемым программам и т. д.

Не нужно объяснять, что с учетными записями мы сталкиваемся повсеместно. Даже обычный адрес электронной почты на бесплатном почтовом сервере - и тот может трактоваться как «учетная запись пользователя». То же самое касается, например, онлайн-игр, пользователей, работающих на компьютерных терминалах, объединенных в локальную сеть, программ вроде Skype, ICQ и т. д. В общем, если изъясняться простым языком, это регистрационные данные юзера. Но вот различаются все эти типы «учеток» достаточно сильно. Сейчас будут рассмотрены именно учетные записи пользователей Windows 10, а также 8, 7 и других версий ОС. В основном суть их для всех «операционок» остается одной и той же.

Какие преимущества дает пользователю учетная запись?

Итак, для начала давайте посмотрим, каковы же преимущества учетной записи. Прежде всего стоит отметить, что любой юзер, не обладающий правами доступа к информации на администраторском уровне, может быть совершенно уверен в собственной безопасности - с точки зрения того, что ни один другой человек, равный ему по уровню прав доступа, не сможет просмотреть его личные файлы, историю работы в сети Интернет, изменить личные данные или сделать еще что-то.

Получается, что система попросту скрывает все эти файлы от посторонних глаз, но только в том случае, если папкам и документам не присвоен статус общего доступа, когда такими файлами могут пользоваться абсолютно все пользователи компьютеров, находящихся, к примеру, в одной локальной или виртуальной сети. С точки зрения конфиденциальности, это очень хорошо, а полный доступ имеется только у администратора какого-то конкретного компьютера или системного администратора локальной сети (сисадмина). Посмотрим, каковы его функции.

Администратор

Что касается основной (изначально создаваемой) учетной записи администратора, описать такую «учетку» можно как предоставление единственному лицу полных прав доступа к информации, к изменению конфигурации параметров системы, к установке или удалению программ и приложений, а также к управлению другими учетными записями.

Если говорить простым языком, администратор - это самый главный юзер, для которого не существует никаких ограничений по работе с компьютером и операционной системой, и который обладает исключительными привилегиями на выполнение тех или иных действий. И именно администратор производит полный контроль учетных записей пользователей с возможностью предоставления прав или ограничения возможностей любого другого юзера.

Но самое интересное в том, что у компьютерной системы (если установлена только одна или несколько ОС) может быть один или несколько администраторов. Лучше - если один. И конечно, параллельно могут присутствовать и пользователи, обладающие практически теми же правами, однако такую иерархию можно сравнить, скажем, с армией.

Допустим, есть два офицера в звании полковника. Но один из них по должности - командир полка, а второй - начальник штаба. Звание - это права доступа, должность - тип пользователя. Наверное, понятно, что в рамках одного подразделения (компьютера в нашем случае) командир полка имеет статус администратора, а начальник штаба (ниже по должности) - статус пользователя с небольшими ограничениями в правах.

Типы пользователей

Теперь перейдем непосредственно к самим пользователям и группам. Как правило, все типы учетных записей в Windows разделяются на три типа: администратор, пользователь с обычным доступом (стандартная учетная запись пользователя) и гостевая («гость»).

Как уже понятно, администратор обладает абсолютно всеми правами, обычным юзерами разрешается просто работать с конкретным компьютерным терминалом. Гости - это, грубо говоря, посторонние люди, имеющие минимальные права (исключительно для входа в систему, но не более).

Что касается групп, их совершенно произвольно может создавать сам администратор, причем в неограниченном количестве. По сути, в разные группы можно объединять юзеров, пользующихся определенными правами и разрешениями, или же группировать их по какому-либо другому признаку, например, по принадлежности к определенной структуре в управлении предприятием (технический отдел, бухгалтерия и т. д.).

Контроль учетных записей пользователей

Что касается контроля, основные функции возложены именно на администратора. Система в данном случае выступает только как средство обеспечения соблюдения прав юзеров или поддержания определенного уровня безопасности.

При этом стоит обратить внимание, что контроль учетных записей пользователей (Windows 7, например) может осуществляться исключительно при входе в систему с использованием логина и пароля админа. Ни один другой юзер не имеет права вносить изменения в настройки «учеток», в предоставление прав на какие-то действия или снятие ограничений.

Тут особо стоит отметить один немаловажный момент. Несмотря на то что в самой системе предусмотрен контроль учетных записей пользователей, Windows 7 и другие, более новые версии ОС могут предоставлять юзерам временные права админа (если только это не противоречит настройкам системы безопасности и групповой политики). Для этого в контекстном меню для старта программ имеется специальная строка Такой подход позволяет пользователям, например, устанавливать собственные приложения или использовать те же портативные версии программ, которые не вносят критических изменений в системный реестр или не изменяют параметры безопасности.

Права доступа и ограничения, накладываемые на учетные записи

Что касается ограничений по правам, их может быть достаточно много. Дело в том, что контроль учетных записей пользователей 8-й, 7-й или 10-й версии Windows предусматривает достаточно большой спектр того, что может быть разрешено или запрещено юзеру с определенными правами.

Так, в большинстве случаев основными ограничениями для пользователей ниже уровня админа могут быть: наложение запрета на доступ к реестру и его редактированию, изменению настроек системы безопасности или параметров групповой политики.

При этом, как следствие, появляется и запрет на инсталляцию определенных программ, использование уже установленных приложений или на работу с определенными типами файлов и папок, чтение съемных носителей и т. д. Это обоснованный шаг, поскольку неопытный юзер может запросто попытаться просмотреть файлы на зараженной вирусами флэшке или установить подозрительную программу, а если компьютерный терминал подключен к локальной сети, вирус запросто может перекочевать на другие машины и навредить так, что абсолютно все терминалы окажутся неработоспособными.

Именно поэтому в тех же «локалках» зачастую применяется достаточно интересная В стандартном варианте на каждом терминале устанавливается собственная «операционка» (без разницы, какая это будет модификация), которая работает независимо от центрального сервера.

Во втором случае на компьютере операционная система как таковая отсутствует вообще (иногда нет даже жесткого диска), а загрузка сетевой ОС происходит с единого для всех терминалов удаленного сервера. Такой тип загрузки можно увидеть в настройках BIOS (обычно он обозначается как PXE Boot или Network Boot). Преимущества такого старта Windows очевидны, ведь юзер, как бы он этого ни хотел, изменить какие-либо параметры, даже самые простые, попросту не сможет.

Создание учетной записи в Windows

Теперь на время оставим в покое контроль учетных записей пользователей и рассмотрим, как создать «учетку» того или иного типа. Как уже говорилось выше, после чистой установки системы пользователь получает права админа, и именно ему принадлежит исключительное право создания, удаления или изменения любой учетной записи, присутствующей в системе.

Для создания новой записи на локальном компьютере в самом простом варианте необходимо зайти в соответствующий раздел «Панели управления», после чего выбрать создание новой «учетки», ввести название («Петя», «Вася» - не суть важно) и определить тип записи (обычный доступ или администратор), а затем подтвердить свои действия. После этого в том же разделе можно создать логин и пароль, которые будут использоваться при входе в систему. Также можно поменять картинку и другие параметры, доступные для данной регистрационной записи. И, естественно, пароли и учетные записи пользователей администратором могут изменяться даже без вмешательства самих юзеров. Собственно, в некоторых случаях (ограничение прав, например) их согласие и не требуется. Но чаще всего это касается локальных сетей и сисадминов, когда юзер в чем-то провинился и нанес вред системе.

Управление личными параметрами учетных записей

В плане управления учетная запись пользователя любого уровня подконтрольна непосредственно администратору. Однако юзер может изменять некоторые настройки системы, скажем, фоновый рисунок «Рабочего стола», менять размеры окон и т. д.

Что касается прав на изменение более серьезных параметров, их может предоставлять именно администратор через меню управления, в котором находится заданная учетная запись. Другой пользователь изменить ничего не сможет. Посмотрим, какие настройки можно произвести в данном случае.

Изменение основных параметров учетных записей

Прежде всего админ может произвести настройку прав доступа к настройкам системы, программам и некоторым типам файлов. Все это устанавливается либо в вышеуказанном разделе, либо в клиенте групповой политики.

Однако сначала можно использовать раздел локальных пользователей и групп, чтобы добавить юзера. Для этого в меню «Выполнить» вводится команда lusrmgr.msc, а уже в меню управления компьютером - именно раздел пользователей, где правым кликом вызывается меню с возможностью добавления нового человека. Добавить его в группу можно либо через меню свойств, где выбирается членство в группах, а затем вводится название рабочей группы и поиск имен, либо через сам поиск групп с предварительным использованием кнопки «Дополнительно». Остается только подтвердить выбор.

Если говорить о правах доступа к определенным функциям, лучше всего использовать параметры контроля в «Панели управления» или в конфигурации системы (msconfig) с выбором меню сервиса и настройки контроля, но об этом чуть позже. В тоже можно выставить соответствующие приоритеты (настроек там хватает).

Удаление учетной записи

Удаление или отключение любой «учетки» можно произвести из той же «Панели управления», где в меню управления другой учетной записью просто выбирается строка удаления (естественно, при входе в систему под администратором). Только и всего.

Тогда юзер при попытке входа в систему может после этого получить уведомление, что учетная запись пользователя отключена. Восстановить ее после удаления не получится, так что от имени админа придется создавать новую. Однако при удалении записи можно сохранить пользовательские файлы, которые будут доступны по завершении процедуры.

Отключение контроля учетных записей через «Панель управления»

Если говорить о том, как отключить контроль учетных записей пользователей, первым делом следует использовать «Панель управления».

Здесь нужно выбрать меню параметров, а в окне, где расположен вертикальный ползунок, просто передвинуть последний в самое нижнее положение, соответствующее параметру «Никогда не уведомлять», что означает только то, что система не будет выдавать предупреждений относительно попутного внесения изменений в конфигурацию.

Отключение контроля учетных записей через командную строку

Как было сказано выше, в меню «Выполнить» можно использовать команду msconfig с переходом в раздел «Сервис» или «Инструменты», где и выбирается настройка, которой соответствует контроль учетных записей пользователей.

Выделяем эту строку, затем жмем кнопку «Запуск», после чего выполняем действия, указанные чуть выше. Впрочем, доступ к отключению можно упростить, если в качестве команды сразу ввести строку UserAccountControlSettings.exe. Далее все то же самое.

Можно, конечно, использовать и с изменением параметра EnableLUA (изменение значения на «0»), который находится в ветке Policies\System основного дерева HKEY_LOCAL_MACHINE\Software и далее, или же при помощи обработчика команд Windows (в обоих случаях учетная запись пользователя останется неизменной, а контроль над ней будет отключен). Однако эти способы окажутся для рядового юзера несколько сложными.

Вместо послесловия

Вот вкратце и все, что касается того, что представляет собой «учетка» и контроль учетных записей пользователей на локальном компьютере. Здесь не рассматривались темы, связанные с аналогичными действиями администратора локальной сети, но, в принципе, можно было бы сказать, что все основные процедуры практически не отличаются, разве что иногда некоторые изменения и настройки могут коснуться межсетевых протоколов. Но это, как говорится, уже другой вопрос.