Конфигуриране на правилата за управление на потребителските права. Създайте профил, като използвате модула Local Users and Groups

Групировката "Местни потребители и групи" е важна характеристика за защита, тъй като ви позволява да ограничите възможните действия на потребители и групи, като им предоставите права и разрешения. Един потребителски акаунт може да бъде в повече от една група.

Можете да получите достъп до този модул, като напишете командата lusrmgr.msc на командния ред

В лявата част на прозореца, който се отваря, можете да видите две папки - Потребители и Групи

Папката "Потребители" показва два вградени потребителски акаунта - администратор и гост, които се създават автоматично, когато инсталирате Wundows XP, както и всички създадени потребителски акаунти.

Профилът на администратора се използва при първото инсталиране на операционната система. Този профил ви позволява да извършите необходимите действия, преди потребителят да създаде свой собствен профил. Сметка "Администратор" не може да се отстрани, забранете или да се оттегли от групата локални администратори, като по този начин се елиминира възможността от случайна загуба на достъп до компютъра, след унищожаването на всички администраторски акаунти. Тази собственост различава профила на администратора от останалите членове на групата на местните администратори. Профилът за гости се използва от тези, които нямат реален акаунт на компютъра. Ако профилът на потребителя е деактивиран (но не е изтрит), той може да използва и Guest account. Профилът за гости не изисква парола. По подразбиране е деактивиран, но можете да го включите.

За да добавите нов потребителски акаунт, щракнете с десния бутон върху папката Users и изберете New User от падащото меню ... В отворения прозорец въведете информацията за създаване на нов акаунт. За да изтриете потребителски акаунт, щракнете с десния бутон на мишката върху името на акаунта в десния прозорец на програмата и изберете Изтрий от падащото меню.

Също така за конкретен профил можете да зададете път към профила и скрипта за вход (за подробности вж. Помощ).

Папката Групи показва всички вградени групи и групи, създадени от потребителя. Вградените групи се създават автоматично, когато инсталирате Windows XP. Принадлежността към групата дава на потребителя правата и възможностите да изпълнява различни задачи на компютъра. Следните са свойствата на някои вградени групи:
Администратори - членството в тази група по подразбиране предоставя най-широк набор от разрешения и възможност за промяна на собствени разрешения. Администраторите имат пълни, без неограничени права за достъп до компютъра или домейна. Работата в Windows XP като администратор прави системата уязвима за троянски коне и други програми, които застрашават сигурността. Едно просто посещение на уеб сайта може сериозно да навреди на системата. Непознатият уеб сайт може да съдържа троянски програми, които ще бъдат изтеглени в системата и изпълнени. Ако понастоящем сте влезли като администратор, тази програма може да преформатира твърдия диск, да изтрие всички файлове, да създаде нов потребителски акаунт с администраторски достъп и т.н.

инсталиране на операционната система и нейните компоненти (например драйвери на устройства, системни услуги и т.н.);

инсталиране на сервизни пакети;

актуализиране на операционната система;

възстановяване на операционната система;

конфигурирайте най-важните настройки на операционната система (правила за пароли, контрол на достъпа, одитна политика, конфигуриране на драйвери в режим на ядрото и т.н.);

собствеността върху файлове, които са станали недостъпни;

управление на архивите за сигурност и одит;

архивиране и възстановяване на системата.

На практика администраторските профили често трябва да се използват за инсталиране и изпълнение на програми, написани за предишни версии на Windows.

Опитни потребители - тази група се поддържа главно за съвместимост с предишни версии за извършване на не-сертифицирани приложения. Разрешените по подразбиране разрешения за тази група позволяват на членовете на групата да променят настройките на компютъра. Ако се нуждаете от поддръжка за непривестни приложения, крайните потребители трябва да са членове на групата Power Users.
Членовете на групата Power Users имат повече права от членовете на групата Users и по-малко от членовете на групата Administrators. Разширените потребители могат да изпълняват всички задачи с операционната система, с изключение на задачите, запазени за групата "Администратори".

Разширените потребители могат:

които са сертифицирани за Windows 2000 и Windows XP Professional, както и за стари приложения;

инсталирайте програми, които не променят файловете на операционната система и системните услуги;

конфигуриране на ресурси на системно ниво, включително принтери, дата и час, настройки на захранването и други ресурси на контролния панел;

да създавате и управлявате местни потребителски и групови профили;

спиране и стартиране на системни услуги, които не са стартирани по подразбиране.

Разширените потребители не могат да се добавят към групата "Администратори". Те нямат достъп до данни от други потребители в NTFS тома, ако не са получени съответните разрешения на тези потребители. Тъй като опитни потребители могат да инсталират и променят програми, работещи под групата "Опитен потребител", когато се свързват с интернет, може да направи системата уязвима за троянски коне и други програми, които застрашават сигурността.

Потребителите, които са членове на тази група, не могат да споделят папки или да създават местни принтери. Групата Потребители осигурява най-сигурната среда за изпълнение на програми. При силата на звука с файловата система NTFS, настройките по подразбиране за сигурност на новоинсталираната (не модернизирана) система са предназначени да предотвратят нарушаването на целостта на операционната система и инсталираните програми от членове на тази група. Потребителите не могат да променят настройките на системния регистър на системно ниво, операционна система или програмни файлове. Потребителите могат да изключат работни станции, но не и сървъри. Потребителите могат да създават местни групи, но само тези, които са създали, могат да управляват. Потребителите имат пълен достъп до своите файлове с данни и част от регистъра (HKEY_CURRENT_USER). Разрешенията на ниво потребител обаче често не позволяват на потребителя да изпълнява остарели приложения. Членовете на групата "Потребители" са гарантирани, че могат да изпълняват само сертифицирани приложения за Windows.

Архивиращите оператори - членове на тази група могат да архивират и възстановяват файлове на компютъра, независимо от всички права, които тези файлове са защитени. Те също така могат да влизат и да изключват компютъра, но не могат да променят настройките за сигурност. За архивиране и възстановяване на файлове с данни и системни файлове трябва да имате права за четене и писане. По подразбиране разрешенията за операторите на архиви, които им позволяват да архивират и възстановяват файлове, им дава възможност да използват групови разрешения за други цели, например да четат файлове на други потребители и да инсталират програми с троянски вируси.

Гостите, членуващи в тази група, имат същите права като потребителите по подразбиране, с изключение на Guest account, който е още по-ограничен в правата.

Операторите за мрежова конфигурация - членове на тази група могат да имат някои административни права за управление на конфигурацията на мрежовите настройки.

Потребители на отдалечен работен плот - Потребителите от тази група имат право да влизат отдалечено.

За да добавите потребителски акаунт към определена група, щракнете с десния бутон на мишката върху името на групата и изберете Add to group от падащото меню.

За повече информация относно изпълнението на тези и други задачи, свързани с потребителски и групови профили, както и по-пълно описание на потребителските профили и групи, вижте модула "Местни потребители и групи".

Можете да получите достъп до този модул, като напишете командата lusrmgr.msc на командния ред

В лявата част на прозореца, който се отваря, можете да видите две папки - Потребители и Групи

Също така за конкретен профил можете да зададете път към профила и скрипта за вход (за подробности вж. Помощ).

инсталиране на сервизни пакети;

актуализиране на операционната система;

възстановяване на операционната система;

собствеността върху файлове, които са станали недостъпни;

управление на архивите за сигурност и одит;

архивиране и възстановяване на системата.

Разширените потребители могат:

които са сертифицирани за Windows 2000 и Windows XP Professional, както и за стари приложения;

инсталирайте програми, които не променят файловете на операционната система и системните услуги;

да създавате и управлявате местни потребителски и групови профили;

спиране и стартиране на системни услуги, които не са стартирани по подразбиране.

Потребители на отдалечен работен плот - Потребителите от тази група имат право да влизат отдалечено.

Модулът "snap-in" се намира в компонента "Управление на компютри", което е набор от административни инструменти, с които можете да управлявате един компютър, местен или отдалечен. оборудване "Местни потребители и групи" служи за защита и управление на потребителски акаунти и групи, хоствани локално на компютъра. Можете да зададете разрешения и разрешения за локален потребителски или групов акаунт на конкретен компютър (и само на този компютър).

Използване на "модули" "Местни потребители и групи" ви позволява да ограничите възможните действия на потребители и групи, като им придадете права и разрешения. Правото позволява на потребителя да изпълнява определени действия на компютъра, като архивиране на файлове и папки или изключване на компютъра. Разрешението е правило, свързано с обект (обикновено файл, папка или принтер), който определя кои потребители и какъв достъп до обекта е разрешен.

За да създадете локален потребителски акаунт, като използвате функцията за добавка "Местни потребители и групи", трябва да направите следното:

1. Отворете модула "Местни потребители и групи" по един от следните начини:

o Натиснете бутона "Старт" за да отворите менюто, отворете "Контролен панел" и от списъка на компонентите на контролния панел, изберете "Администрация", след което отворете компонента "Управление на компютри", В "Управление на компютри" отворен "Местни потребители и групи";

o Отворете Конзолата за управление на MMC, За да направите това, кликнете върху бутона "Старт", в полето за търсене въведете mMC, след което кликнете върху бутона «Влез», Отваря се празна MMC конзола. В менюто "Consol" изберете командата "Добавяне или премахване на" или използвайте клавишната комбинация Ctrl + M. В диалога "Добавяне и премахване на модули" изберете модула за добавяне "Местни потребители и групи" и кликнете върху бутона "Добави", След това кликнете върху бутона "Готово", и след това - бутона "OK", В дървото на конзолата отворете възела "Местни потребители и групи (локално)";

o Използвайте комбинацията + R, за да отворите диалоговия прозорец "Run", В диалоговия прозорец "Run", на полето "Open" въведете lusrmgr.msc и кликнете върху бутона "OK";

2. Отворете възела "Потребители" и в менюто "Действие", или изберете командата от контекстното меню "Нов потребител";

3. В диалоговия прозорец "Нов потребител" въведете съответната информация. В допълнение към горните данни можете да използвате следните квадратчета за отметка: Изисква се промяна на паролата при следващото влизане, Не позволявайте на потребителя да променя паролата, Паролата не изтече, Прекъснете връзката с профила и кликнете върху бутона "Създаване", и след това "Close".

За да добавите потребител към група, щракнете двукратно върху потребителското име, за да отворите страницата със собствеността на потребителя. В раздела "Членство в групи" кликнете върху бутона "Добави".

В диалога "Избор на група" можете да изберете група за потребителя по два начина:

1. В полето "Въведете имената на избираемите обекти" въведете името на групата и натиснете бутона "Проверка на имена", както е показано на следната екранна снимка:

2. В диалога "Избор на група" кликнете върху бутона "Advanced"за да отворите диалоговия прозорец "Избор на група", В този прозорец кликнете върху бутона "Търсене"За да видите списък на всички налични групи, изберете подходящата група и щракнете двукратно върху бутона "OK".

Този инструмент е предназначен за управление на местни потребители и групи. Локален потребител или група е профил, на който могат да бъдат предоставени разрешения и права на вашия компютър.

Можете да получите достъп до този модул, като въведете командния ред lusrmgr.msc, В лявата част на прозореца, който се отваря, можете да видите две папки - Потребители и Групи.

Папката "Потребители" показва два вградени потребителски акаунта - администратор и гост, които се създават автоматично, когато инсталирате Windows XP, както и всички създадени потребителски акаунти.

сметка администратор се използва при първото инсталиране на операционната система. Този профил ви позволява да извършите необходимите действия, преди потребителят да създаде свой собствен профил. Сметка "Администратор" не може да се отстрани, забранете или да се оттегли от групата локални администратори, като по този начин се елиминира възможността от случайна загуба на достъп до компютъра, след унищожаването на всички администраторски акаунти. Тази собственост различава профила на администратора от останалите членове на групата местни администратори.

сметка гост използвани от тези, които нямат реална сметка на компютъра. Ако профилът на потребителя е деактивиран (но не е изтрит), той може да използва и Guest account. Профилът за гости не изисква парола. По подразбиране е деактивиран, но можете да го включите.

Също така за конкретен профил можете да зададете път към профила и скрипта за вход (за подробности вж. Помощ).

Администраторите

Членството в тази група по подразбиране осигурява най-широк набор от разрешения и възможност за промяна на собствените си разрешения. Администраторите имат пълни, без неограничени права за достъп до компютъра или домейна. Работата в Windows XP като администратор прави системата уязвима за троянски коне и други програми, които застрашават сигурността. Едно просто посещение на уеб сайта може сериозно да навреди на системата. Непознатият уеб сайт може да съдържа троянски програми, които ще бъдат изтеглени в системата и изпълнени. Ако понастоящем сте влезли като администратор, тази програма може да преформатира твърдия диск, да изтрие всички файлове, да създаде нов потребителски акаунт с администраторски достъп и т.н.

инсталиране на операционната система и нейните компоненти (например драйвери на устройства, системни услуги и т.н.);
инсталиране на сервизни пакети;
актуализиране на операционната система;
възстановяване на операционната система;
конфигурирайте най-важните настройки на операционната система (правила за пароли, контрол на достъпа, одитна политика, конфигуриране на драйвери в режим на ядрото и т.н.);
собствеността върху файлове, които са станали недостъпни;
управление на архивите за сигурност и одит;
архивиране и възстановяване на системата.

Разширени потребители

Тази група се поддържа основно за обратна съвместимост за извършване на несертифицирани приложения. разрешенията по подразбиране, предоставени на тази група позволяват на членовете на групата, за да промените настройките на компютъра. Ако имате нужда от подкрепата на несертифицирани приложения, крайните потребители трябва да са членове на "Power Users" група.

Членове на група "Power Users" най имат повече права, отколкото членовете на групата "Потребители" за и по-малко от членовете на групата "Администратори". Power Users могат да изпълняват всякакви задачи, операционна система, с изключение на задачите, запазени за групата "Администратори".

Разширените потребители могат:

стартирате приложения, които са сертифицирани за Windows 2000 и Windows XP Professional, както и наследените приложения;
инсталиране на програми, които не променят файлове на операционната система, както и системни услуги;
конфигурирате ресурси на ниво система, включително принтери, дата, час, опциите на захранването, както и други Контролен панел ресурси;
създаване и управление на локални потребителски акаунти и групи;
спират и започват системни услуги, които не се изпълняват по подразбиране.

Опитните потребители не могат да се добавят към група "Администратори" на. Те нямат достъп до данните на други потребители в обем на NTFS, освен ако тези потребители не са получени съответните разрешения. Като опитни потребители могат да зададат и променя програмата, работата по сметката на "Power Users", когато са свързани с интернет може да направи системата по-уязвими за троянски коне и други програми, които представляват заплаха за сигурността.

потребители

Членовете на тази група не могат да се организират акция директории или да създават локални принтери. група "Потребители" осигурява най-сигурна среда за управлението на програмите. На обем с помощта на настройките на системата за сигурност по подразбиране NTFS файлови системи за инсталираните нови (без промяна) са предназначени за предотвратяване на нарушаване на целостта на операционната система и инсталирани програми, членовете на групата. Потребителите не могат да променят настройките в системния регистър на ниво система, операционната система файлове или програми. Потребителите могат да се изключват работната станция, но не и сървъри. Потребителите могат да създават местни групи, но могат да се справят само онези, които те създават. Потребителите имат пълен достъп до техните файлове с данни и нейната част от системния регистър (HKEY_CURRENT_USER). Въпреки това, разрешения на ниво потребител често не позволяват на потребителя да изпълнява наследени приложения. Членовете на групата "Потребители" и може да бъде гарантирано да работи Сертифицирани само за приложения на Windows.

архивиране оператори

Членовете на тази група може да архивира и възстановява файлове на компютъра, независимо от всички разрешения, че тези файлове са защитени. Те могат също така да влезете и да изключите компютъра, но не можете да промените настройките за сигурност. За архивиране и възстановяване на данни и системни файлове изисква разрешения, за да четат и пишат. разрешенията по подразбиране за създаване на резервно копие оператори, които им позволяват да направите резервно копие и възстановяване на файлове, което прави възможно за тях да се използват групови разрешения за други цели, например за четене на файлове от други потребители и да инсталирате софтуера с троянски вирус.

госта

Членовете на тази група по подразбиране имат същите права като потребители, с изключение на сметка "гости", още по-ограничени права.

Операторите мрежова конфигурация

Членовете на тази група могат да имат някои административни права за управление на конфигурация на параметрите на мрежата.

Дистанционни настолни компютри

Членовете на тази група имат право да изпълни отдалечено влизане.

За да добавите потребителски акаунт към определена група, щракнете с десния бутон на мишката върху името на групата и изберете Add to group от падащото меню. За повече информация относно изпълнението на тези и други задачи, свързани с потребителски и групови профили, както и по-пълно описание на потребителските профили и групи, вижте модула "Местни потребители и групи".

Правата на потребителите се задават чрез възела на местните политики от груповите правила. Въз основа на името е ясно, че местните политики принадлежат на локалния компютър. Можете също така да конфигурирате тези местни правила като част от съществуваща групова политика за сайт, домейн или организационна единица. Когато го направите, местните правила се отнасят за компютърни профили в сайта, домейна или организационната единица.

За да управлявате правилата за потребителски права, изпълнете следните стъпки:

1.	Отворете контейнера за групови правила, с който трябва да работите, след което отворете възела, като слезете в дървото на конзолата. Разширете възлите Компютърна конфигурация, Настройки на Windows, Настройки за сигурност, след това Местни политики.
2.	разширят Присвояване на потребителски права (присвояване на потребителски права), както е показано на Фигура 8-5. Сега можете да управлявате потребителските права.
3.	За да зададете потребителски права, щракнете двукратно или щракнете с десния бутон на мишката върху потребителското право и изберете Properties. Отваря се диалоговият прозорец Свойства.
4.	Сега можете да конфигурирате правата на потребителя, както е описано в стъпки 1-4 на секцията или стъпки 1-7 от следващия раздел "" Фигура 8-5. Използвайте възела за присвояване на потребителски права, за да конфигурирате потребителските права на настоящия контейнер за групови правила.

Настройки за глобални потребителски права

Можете да конфигурирате отделни потребителски права за сайт, домейн или организационна единица, като изпълните следните стъпки:

1.	Отворете диалоговия прозорец Свойства за потребителското право, както е показано на Фигура 8-6. Забележка. Всички правила могат да бъдат дефинирани или не. Това означава, че те или са конфигурирани да използват или не. Политика, която не е дефинирана в този контейнер, може да бъде наследена от друг контейнер.
2.	Изберете " Дефинирайте следните настройки на правилата в шаблона (Дефиниране на тези настройки на правилата)»За да определите политика
3.	За да приложите правото на потребител или група, кликнете върху бутона Добавяне на потребител или група (Добавяне), Показва се диалоговият прозорец, показан на Фигура 8-7. В този прозорец се използват следните полета: Търсене в. За достъп до профили от други домейни разширете списъка Търсене в. Ще видите списък, който изброява: текущия домейн, доверените домейни и другите ресурси, с които разполагате. Фигура 8-6. Определете правото на потребителя и го задайте на потребителя или групата. Забележка. Само домейни, с които се установяват отношения на доверие, са достъпни в списъка Look in. Изброяването на всички домейни от домейното дърво или гора е възможно поради наличието на транзитивни отношения на доверие в Windows 2000. Тръстовите връзки не са установени изрично. По-скоро отношенията на доверие се установяват автоматично въз основа на структурата на гората и набор от разрешения в нея. Първо име. В тази графа са изброени наличните профили за избрания домейн или ресурс. Добавяне. За да добавите потребители към списъка за избор, използвайте Добавяне. Проверете имената. Потвърдете имената на потребителите и групите, въведени в полето за избор. Това е полезно, ако въвеждате имена ръчно и искате да сте сигурни, че те са налични.
4.	След като сте избрали профилите, които да добавите към групата, щракнете върху OK. В диалоговия прозорец Име на групата избраните профили ще бъдат показани. Кликнете върху OK отново.
5.	Актуализираният диалогов прозорец Свойства показва избраните потребители. Ако направите грешка, изберете името и я изтрийте, като кликнете върху бутона Премахване.
6.	Ако сте готови да зададете разрешения на потребители и групи, щракнете върху OK.

Локална конфигурация на потребителските права

За да зададете потребителски права на локалния компютър, изпълнете следните стъпки:

1.	Отворете диалоговия прозорец Свойства за конфигуриране на правата, показани на Фигура 8-8.
2.	Текущата политика за компютъра се показва, но не можете да го промените. Можете обаче да промените настройките на местната политика, като използвате специални полета. Не забравяйте, че правилата на сайта, домейна и организацията имат превъзходство над местните политики. Фигура 8-7. Използвайте диалоговия прозорец Избор: Потребители или Групи, за да зададете права на потребители или групи.
3.	колона Присвоени към показва текущите потребители и групи, на които е определено правото. Поставете отметка или премахнете отметката от съответните квадратчета под кутията Настройка на местната политиказа да зададете или отмените правото на потребителя.

Можете да присвоите това право на допълнителни потребители и групи, като кликнете върху бутона Добавяне. Отваря се диалогов прозорец. Избор: Потребители или групи (Избор: Потребители или групи), показан на Фигура 8-7 по-рано. Сега можете да добавяте потребители и групи.

Добавяне на потребителски акаунт

Трябва да създадете профил за всеки потребител, който трябва да използва мрежови ресурси. Потребителските акаунти за домейни се създават, като се използва функцията за потребители и компютри на Active Directory. Местните профили се създават чрез модула за локални потребители и групи.

Създаване на потребителски акаунти за домейни

Има два начина за създаване на нови потребителски акаунти в домейна:

Създайте изцяло нов потребителски акаунт. За да създадете изцяло нов профил, щракнете с десния бутон върху контейнера, в който искате да поставите профила, изберете Нов, Потребител (User), Ще се отвори прозорецът на помощника, показан на фиг. 8-9. Когато създавате нов профил, се използват настройките по подразбиране на системата.

Фигура 8-8. Определете правото на потребителя, след което го задайте на потребители или групи.

Създайте нов профил въз основа на съществуващ профил. Щракнете с десния бутон върху потребителския акаунт, който искате да копирате в модула, след което щракнете върху Copy (Копирай). Съветникът се отваря. Копиране на обект - Потребител (Копиране на обект - Потребител), подобно на капитана Нов обект - Потребител (нов обект - потребител), Въпреки че създавате копие на профила, новият профил ще получи повечето от настройките от съществуващия профил. За повече информация относно копирането на профили вижте " Копиране на профили на домейни"(" Копиране на потребителски акаунти на домейни ") Глави 9.

Чрез стартирането на някой от помощниците, New Object - User или Copy Object - User, можете да създадете акаунт, като изпълните следните стъпки:

1.	Първият диалогов прозорец на съветника се използва за конфигуриране на показваното потребителско име и име за вход, както е показано на Фигура 8-9.
2.	Въведете името и фамилията на потребителя в полетата, предвидени за това. Името и фамилията се използват за създаване на пълно име, което е показваното име на потребителя.
3.	Въведете в полето Пълно име необходимите промени. Например, може да се наложи да въведете име във формата "Име на фамилия" или във формата "Име Фамилия". Пълното име трябва да е уникално в домейна и не по-дълго от 64 знака.
4.	В полето Име на потребител за влизане въведете вашето потребителско име, за да влезете. След това изберете домейна, от който искате да свържете профила от падащия списък. Това уникално идентифицира името за вход.
5.	За да създадете име за вход, съвместимо с Windows NT 4.0 или по-стари версии на Windows, се използват първите 20 знака на името на входа на Windows 2000. Името за вход трябва да е уникално в домейна. Променете името за влизане в Windows NT 4.0 или по-рано, ако е необходимо. Фигура 8-9. Конфигурирайте потребителското име и потребителското име.
6.	Кликнете върху бутона Напред. Конфигурирайте паролата на потребителя, като използвате диалоговия прозорец, показан на Фигура 8-10. Полетата в този диалогов прозорец са изброени по-долу: Ако е поставена отметка, паролата за този профил не е ограничена. Тази настройка заменя правилата на домейна. Обикновено не се препоръчва да въвеждате пароли без дата на изтичане, тъй като това противоречи на самата идея за използване на пароли.
7.	Кликнете върху "Напред" и след това върху "Завършване", за да създадете профила. Ако срещнете проблеми при създаването на профила, ще видите предупреждение и ще трябва да използвате бутона "Назад", за да въведете отново информацията за потребителското име и паролата в съответните диалогови прозорци, ако е необходимо.

Когато профилът е създаден, можете да зададете допълнителни свойства за него, които са описани по-долу в тази глава.

Фигура 8-10. Задаване на паролата на потребителя.

Създайте местни потребителски акаунти

Локалните потребителски акаунти се създават чрез модула за локални потребители и групи. За да получите достъп до тази програма и да създадете профил, трябва да изпълните следните стъпки:

1.	, или просто изберете Управление на компютъра в папката.
2.	Управление на компютъра от контекстното меню. Сега можете да изберете компютъра, чиито потребителски акаунти трябва да управлявате. Домейн контролерите нямат местни потребители и групи.
3.	Разгънете възела, като кликнете върху знака плюс (+) до него и изберете.
4.	Щракнете с десния бутон върху папката Потребители (потребители) и изберете. Отваря се диалогов прозорец. Нов потребител, показан на Фигура 8-11. Полетата в този диалогов прозорец са изброени по-долу: Потребител (име). Името за вход за потребителския акаунт. Това име трябва да съответства на правилата на вашето местно име политика. Пълно име. Пълно потребителско име, като Уилям Р. Станек Описание (Описание). Описание на потребителя. Обикновено в това поле се записва името на публикацията на потребителя, като "Уеб администратор" или заглавието на публикацията и отдела. Password (Парола). Паролата за профила. Тази парола трябва да съответства на правилата на Вашата политика за пароли. Потвърдете паролата, Полето е предназначено да се увери, че паролата на профила е въведена правилно. Повторно въведете паролата, за да я потвърдите. Фигура 8-11. Настройването на локален потребителски акаунт е различно от настройването на акаунт за домейн. Изисквайте промяна на паролата следващия път, когато влезете в профила си (Потребителят трябва да смени паролата при следващото влизане). Ако е избрано това поле за отметка, потребителят ще трябва да смени паролата при влизане в системата. Отказ от промяна на потребителската парола (Потребителят не може да променя паролата), Ако е поставена отметка, потребителят не може да промени паролата. Паролата не изтече (паролата никога не изтича). Ако е поставена отметка, паролата за този профил не е ограничена. Тази настройка заменя правилата на домейна. Деактивиране на профила (профилът е деактивиран). Ако е избрано това поле за отметка, профилът е деактивиран и не може да бъде използван. Използвайте това квадратче за временно заключване на профила.
5.	Кликнете върху бутона Създаване, когато приключите с настройването на нов профил.

Създайте групов профил

Групите се използват за управление на правата на няколко потребители. Профилите на глобалната група (Забележка Преводач: Групите за защита на Active Directory, които съдържат само акаунти от вашия собствен домейн) се създават чрез използване на модулите Active Directory Users and Computers, локални групови профили, като се използват Local Users и група (местни потребители и групи).

Когато създавате групови профили, не забравяйте, че групите са създадени за подобни типове потребители. Някои типове групи, които може да се наложи да създадете, са изброени по-долу:

	Групи за отделите на организацията. Обикновено потребителите, които работят в един и същ отдел, имат нужда от достъп до същите ресурси. Следователно можете да създавате групи за отдели, като отдела за развитие, отдел продажби, маркетингов отдел или инженерингов отдел.
	Групи за потребители на специални приложения. Често потребителите имат нужда от достъп до приложението и ресурсите, свързани с това приложение. Ако създавате групи за потребители на конкретно приложение, можете да сте сигурни, че потребителите имат достъп до необходимите ресурси и файлове с приложения.
	Групи въз основа на отговорностите на потребителите , Групите могат да бъдат създадени и на принципа за споделяне на задълженията на потребителите. Например, мениджър, наблюдател и обикновен потребител трябва да имат достъп до различни ресурси. Създавайки групи по този принцип, можете да сте сигурни, че правата за достъп до необходимите ресурси се предоставят на потребителите, които се нуждаят от тях.

Създайте глобална група

За да създадете глобална група, трябва да изпълните следните стъпки:

1.	Стартирайте модула Active Directory - потребители и компютри (потребители и компютри на Active Directory), Кликнете с десния бутон върху контейнера, в който искате да поставите груповия профил. След това изберете Нов -\u003e Група. Отваря се диалогов прозорец. Нов обект - Група (Нов обект - Група), показан на Фигура 8-12.
2.	Въведете име за групата. Имената на глобалните групови профили трябва да отговарят на правилата за показване на имена на потребителски акаунти. Те не са чувствителни към буквите и не могат да бъдат по-дълги от 64 символа.
3.	Когато създавате име на група за съвместимост с Windows NT 4.0 или по-стари версии на Windows, се използват първите 20 знака на името на групата Windows 2000. Името на групата трябва да е уникално в домейна. Ако е необходимо, променете името на групата Windows NT 4.0 или по-ранна. Фигура 8-12. Диалоговият прозорец Нов обект - група ви позволява да добавяте нови глобални групи към домейна.
4.	Изберете обхвата на групата: локален домейн, глобален или универсален.
5.	Изберете типа на групата: група за сигурност или група за разпространение.
6.	Кликнете върху OK, за да създадете групата. Сега можете да добавите потребители към групата и да зададете допълнителни свойства, които са описани по-долу в тази глава.

Създайте местна група и добавете членове

Местните групи се създават с помощта на модула за локални потребители и групи. Можете да го отворите, като изпълните следните стъпки:

1.	Щракнете върху Старт, Програми, Административни инструменти, Управление на компютъра или просто изберете Управление на компютъра в папката Административни инструменти.
2.	Щракнете с десния бутон върху възела Управление на компютъра В дървото на конзолата изберете Свържете се с друг компютър (свържете към друг компютър) от контекстното меню. Сега можете да изберете компютъра, чиито профили трябва да управлявате. Домейн контролерите нямат местни потребители и групи.
3.	Отворете възела Системни инструментикато кликнете върху знака плюс (+), съответстващ на този възел, и изберете Местни потребители и групи.
4.	Кликнете с десния бутон върху папката Групи и изберете Нова група, Отваря се диалогов прозорец. Нова група, показан на Фигура 8-13.
5.	След като въведете името и описанието на групата, кликнете върху бутона Добавяне, за да добавите потребители към тази група. Отваря се диалогов прозорец. Изберете: Потребители или групи (Изберете потребители или групи), показан на Фигура 8-7. Сега можете да добавите членове към групата. Полетата в този диалогов прозорец са описани по-долу: Търсете в (Look In). За достъп до профилите на други компютри и домейни щракнете върху списъка Look in. Ще видите списък, който изброява текущия компютър, доверените домейни и други ресурси, до които имате достъп. Име (Name). Тази графика показва наличните профили на избрания домейн или ресурс. Добавяне (добавяне). Добавете избраните имена в списъка за избор. Проверете имената (проверка на имената). Потвърдете имената на потребителите и групите, въведени в полето за избор. Това е полезно, когато въвеждате имена ръчно и искате да сте сигурни, че са налични.
6.	След като изберете имената на профилите, които да добавите към групата, щракнете върху OK.
7.	Диалогов прозорец Нова група актуализирано, за да отразите избора си. Ако направите грешка, изберете името и я изтрийте, като кликнете върху бутона Премахване.
8.	Когато приключите с добавянето или премахването на членове от групата, кликнете върху бутона Създаване. Фигура 8-13. Диалоговият прозорец Нова група ви позволява да добавите нова местна група.

Управлявайте членството в глобалната група

За да конфигурирате членство в група, използвайте модула Active Directory Users and Computers. Работете със групи, помнете следните неща:

Групировката "Потребители и компютри на Active Directory" предоставя няколко начина за управление на членството в групата. Можете да:

Управление на членството на отделни потребители и компютри

Можете да добавяте или премахвате членство в групи за всеки тип профил, като изпълните следните стъпки:

1.	Кликнете два пъти върху потребителя, компютъра или групата в модула Active Directory - потребители и компютри (потребители и компютри на Active Directory)
2.	Изберете раздела "Членове".
3.	За да направите профил член на група, кликнете върху бутона Добавяне. Появява се същия диалогов прозорец Изберете: Групи (Избор на групи), като диалогов прозорец Изберете: Потребители или групи (Изберете потребители или групи), описан в предишните примери.
4.	За да изтриете профил от групата, изберете групата и след това кликнете върху Премахване.
5.	Кликнете върху OK.

Управление на членството на няколко потребители или компютри

Диалоговият прозорец Свойства също ви позволява да управлявате членството в групата. За да добавите или премахнете профили, изпълнете следните стъпки:

1.	Щракнете двукратно върху потребителя или компютъра в модула Active Directory - потребители и компютри (потребители и компютри на Active Directory), Появява се диалоговият прозорец Свойства на профила
2.	Изберете раздела "Членове".
3.	Кликнете върху Добавяне, за да добавите профилите в групата. Отваря се диалогов прозорец. Изберете: потребители или групи (Изберете потребители или групи), Изберете потребителите, компютрите и групите, които трябва да бъдат членове на тази група.
4.	За да премахнете членове от група, изберете профила, след което кликнете върху Премахване.
5.	Кликнете върху OK.

Задаване на членство в основната група за потребители и компютри

Основните групи се използват от потребители, които работят с Windows 2000 чрез услуги, съвместими с Macintosh. Когато потребител на Mac създава файлове или папки на компютър, работещ под Windows 2000, основната група е присвоена на тези файлове и папки.

Всички потребителски и компютърни профили трябва да имат основна група, независимо дали работят с Windows 2000 през Macintosh или не. Тази група трябва да бъде глобална или универсална, като например глобалната група Потребители на домейни или глобалната група Domains Computers.

За да настроите основната група, изпълнете следните стъпки:

Всички потребители трябва да са членове на поне една основна група. Не можете да отмените членството на потребителя в основната група, освен ако не присвоите на потребителя друга основна група. За целта изпълнете следните стъпки:

Материалът е взет от книгата "Windows 2000. Ръководство на администратора". Автор Уилям Р. Станек (Уилям Р. Станк). © Microsoft Corporation, 1999. Всички права запазени.