Групи потребители в Windows 7. Конфигуриране на политики за управление на потребителските права. Създайте местни потребителски акаунти

Този инструмент е предназначен за управление на местни потребители и групи. Локален потребител или група е профил, на който могат да бъдат предоставени разрешения и права на вашия компютър.

Инструментиране " Местни потребители и група "е важен инструмент за защита, тъй като ви позволява да ограничите възможните действия на потребители и групи, като им присвоите права и разрешения. Една потребителска сметка може да бъде част от няколко групи.

Превъртете надолу "Местни потребители и групи", за да изберете "Групи". Кликнете два пъти върху Администратори, за да отворите Properties. Добавете нови местни потребители или домейн, за да ги направите компютърен администратор. Кликнете с десния бутон върху компютъра и изберете Управление.

Статията, представена днес, се отнася до управлението на местни групи във вашия компютър парк. Това управление е важно, за да се осигури добра достъп до сигурността на данните и работната станция за данни или сървър. Нуждите, които обикновено се изразяват в ИТ отдела, често са едни и същи. Обърнете се към стандартизираната конфигурация на цялата ИТ инфраструктура и е в състояние да обработвате отделни случаи без много усилия, като същевременно поддържате добра видимост на конфигурацията.

Можете да получите достъп до този модул чрез въвеждане на командния ред lusrmgr.msc, В лявата част на прозореца, който се отваря, можете да видите две папки - Потребители и Групи.

Папката "Потребители" показва два вградени потребителски акаунта - администратор и гост, които се създават автоматично, когато инсталирайте Windows XP, както и всички създадени потребителски акаунти.

Ръководството на групата за местна администрация е обща нужда, защото е въпрос на овладяване на локалната конфигурация за всеки компютър. В днешната статия фокусът ще бъде върху този конкретен пример. Сценарият е приемливо решение, но е необходимо много усилия за внедряване и наблюдение. Поради това обикновено не се използва в бизнеса.

Стратегиите за групови предпочитания са много ефективни за замразяване на членове на местна група, но за съжаление тази настройка няма гъвкавост. Не можете да добавите конкретен потребител към конкретно разширение. Това обаче е идеално, ако искате да добавите профил към локална група на всеки от компютрите си.

сметка администратор използван при първото инсталиране операционна система, Този профил ви позволява да извършите необходимите действия, преди потребителят да създаде свой собствен профил. Профилът "Администратор" не може да бъде изтрит, деактивиран или изтеглен от местната група "Администратори", като по този начин елиминира възможността за случайна загуба на достъп до компютъра след унищожаването на всички администраторски профили. Тази собственост различава профила на администратора от останалите членове на групата местни администратори.

Управление на членството на няколко потребители или компютри

Ограничените групи отговарят на тези различни потребности и позволяват на членовете да оставят достатъчно гъвкавост. Тази опция се актуализира всеки път, когато компютърът се рестартира или на всеки 90 минути. Преди да създадете малка група, е важно да разберете разликата между параметъра "Членовете на тази група" и тази група е член.

Нека разгледаме примера на местна група Administrators за всеки компютър. Както ще разберете, този тип конфигурация е леко адаптиран към дефиницията на членовете на групата на ниво работна станция, тъй като населението на потребителите е много разнообразно. Въпреки това, тази конфигурация може да бъде много полезна за управление на членовете на сървърните групи и контролерите на домейни, за да замразят и по този начин да контролират собствените си местни групи.

сметка гост използвани от тези, които нямат реална сметка на компютъра. Ако профилът на потребителя е деактивиран (но не е изтрит), той може да използва и Guest account. Профилът за гости не изисква парола. По подразбиране е деактивиран, но можете да го включите.

За да добавите нов потребителски акаунт, щракнете с десния бутон върху папката "Потребители" и изберете "Нов потребител" от падащото меню ... В отворения прозорец въведете информацията за създаване на нов акаунт. За да изтриете потребителски акаунт, щракнете с десния бутон на мишката върху името на акаунта в десния прозорец на програмата и изберете Изтрий от падащото меню.

От друга страна, за разлика от предишната ситуация, тази конфигурация няма да попречи на ламбда да бъде администратор на компютъра си. В производството, в идеалния случай трябва да използвате и двете конфигурации. "На земята", не е необичайно да се намерят потребители, които искат да заобиколят правилата на земята.

Най-често срещаното обхождане възстановява паролата на профила на местния администратор. Правата на администратора се предоставят в означението, което се издава, когато потребителят се регистрира в системата. Понастоящем са дефинирани правата на потребителя. Сценарият се опитваше на всеки компютър да създава текстов файл в нормално написана папка само от членове на групата Administrator. Сигурността на своята вътрешна информационна система, която преминава през контрола на компютрите си, това решение, макар и възможно и с някои недостатъци, ще се окаже изключително полезно за управлението и контрола на компютрите в домейна.

Също така за конкретен профил можете да зададете път към профила и скрипта за вход (за подробности вж. Помощ).

Папката Групи показва всички вградени групи и групи, създадени от потребителя. Вградените групи се създават автоматично, когато инсталирате Windows XP. Принадлежността към групата дава на потребителя правата и възможностите да изпълнява различни задачи на компютъра. Следните са свойствата на някои вградени групи:

В областта управляваме нашите машини и нашите потребители чрез групови стратегии, те значително опростяват администрирането на цялото. Версията на това ръководство във видео формат вече е достъпна за тези, които предпочитат. След като създадете групата, достъп до нейните свойства и в раздела "Членове", добавете всички потребители, които искате да видите като мениджър на местни разширения.

Когато обектът е създаден, щракнете с десния бутон на мишката върху обекта и след това кликнете върху Modify, за да стартирате конфигурацията. В дясната част щракнете с десния бутон на мишката и Add Group. След като преминете през визуализацията, можете да сте сигурни, че правописът на групата не греши. След това кликнете върху "Добави" в "Тази група е член", защото искаме нашата група да бъде член на "Администраторите". Посочете "Администратори", без да преминавате през "Общ преглед".

Администраторите

Членството в тази група по подразбиране осигурява най-широк набор от разрешения и възможност за промяна на собствени разрешения. Администраторите имат пълни, без неограничени права за достъп до компютъра или домейна. Работата в Windows XP като администратор прави системата уязвима за троянски коне и други програми, които застрашават сигурността. Едно просто посещение на уеб сайта може сериозно да навреди на системата. Непознатият уеб сайт може да съдържа троянец, който ще бъде изтеглен в системата и изпълнен. Ако в момента сте влезли като администратор, тази програма може да преформатира твърдия диск, да изтрива всички файлове, да създава нов потребителски акаунт с администраторски достъп и т.н.

Продължаването се извършва от страна на клиента. На клиентската машина ще проверим дали работи. Сега групата е създадена, сега ще създадем потребителя и ще го добавим към тази група. Задайте потребител на група, като изберете група и кликнете върху Добавяне. Потребителят може да принадлежи към няколко групи.

Създайте местна група и добавете членове

Кликнете върху раздела Разрешения. Кликнете с десен бутон върху Добавяне на разрешение. Изберете обекта, към който искате да добавите разрешение. Разрешенията, прилагани към основния обект, могат да бъдат възпроизведени на подчинени обекти. За да могат да се прилагат разрешения, прилагани към основния обект, върху подчинени обекти, трябва да се провери знамето "Разпределяне на детски обекти". Потребителска конфигурация Този раздел съдържа опциите, които се отнасят за потребителите.

инсталиране на операционната система и нейните компоненти (например драйвери на устройства, системни услуги и т.н.);
инсталиране на сервизни пакети;
актуализиране на операционната система;
възстановяване на операционната система;
конфигурирайте най-важните настройки на операционната система (правила за пароли, контрол на достъпа, одитна политика, конфигуриране на драйвери в режим на ядрото и т.н.);
собствеността върху файлове, които са станали недостъпни;
управление на архивите за сигурност и одит;
архивиране и възстановяване на системата.

На практика администраторските профили често трябва да се използват за инсталиране и стартиране на програми, написани за предишни версии на Windows.

Компютърна конфигурация Този раздел съдържа настройките, които се отнасят за компютрите. Тези раздели допълнително се подразделят на различни типове персонализирани критерии, като например административни шаблони, сигурност и пренасочване на папки.

В началния екран кликнете върху приложението.
В началния екран кликнете върху стрелката за прикачване.

Всички редакции на регистраторите само на ваша собствена опасност и риск.

След като надвиши определен номер, профилът се блокира и отключи само от потребителя с администраторски права. Също така е възможно да зададете автоматично отключване на профила си след определено време. Условията на заключването могат да бъдат конфигурирани в модула Local Security Administrator.

Разширени потребители

Тази група се поддържа главно за съвместимост с предишни версии за извършване на не-сертифицирани приложения. Разрешените по подразбиране разрешения за тази група позволяват на членовете на групата да променят настройките на компютъра. Ако се нуждаете от поддръжка за непривестни приложения, крайните потребители трябва да са членове на групата Power Users.

Следните параметри могат да бъдат изпълнени само ако сте влезли като потребител с администраторски права. Вдясно има три елемента. Диапазонът е 0-999, а ако е избрано 0, неуспешните опити за влизане не са ограничени. Тук можете да посочите кога профилът ще бъде автоматично отключен. Повторно нулиране на брояча на заключването тук - можете да зададете времето, след което да се нулира неуспешен опит за вход.

Време за блокиране на профила.
Времето се въвежда в минути.

Щракнете двукратно или с десния бутон на мишката, за да отворите свойствата Threshold, за да заключите акаунта.

Членовете на групата "Разширени потребители" имат повече права, отколкото членове на групата Потребители и по-малко от членове на групата "Администратори". Разширените потребители могат да изпълняват всякакви задачи с операционната система, с изключение на задачите, запазени за групата "Администратори".

Разширените потребители могат:

които са сертифицирани за Windows 2000 и Windows XP Professional, както и за стари приложения;
инсталирайте програми, които не променят файловете на операционната система и системните услуги;
конфигуриране на ресурси на системно ниво, включително принтери, дата и час, настройки на захранването и други ресурси на контролния панел;
да създавате и управлявате местни потребителски и групови профили;
спиране и стартиране на системни услуги, които не са стартирани по подразбиране.

Разширените потребители не могат да се добавят към групата "Администратори". Те нямат достъп до данни от други потребители в NTFS том, ако не бъдат получени съответните разрешения на тези потребители. Тъй като опитни потребители могат да инсталират и променят програми, работещи под групата "Опитен потребител", когато се свързват с интернет, може да направи системата уязвима за троянски коне и други програми, които застрашават сигурността.

Добавяне на потребителски акаунт

Ще се отвори прозорец, в който можете да зададете броя на възможните грешки. След това ще се покаже диалогов прозорец за деклариране на автоматичната инициализация на останалите два елемента и задаване на закъснение от 30 минути. Ако искате да отключите акаунт като администратор, първо отворете местни потребители и групи.

Отляво кликнете върху Потребители. Списъкът на всички потребители на компютъра се показва вдясно. Щракнете с десния бутон върху заключения акаунт и изберете Properties от контекстното меню. В раздела Общи премахнете отметката от квадратчето Активирано отметка. Ако този елемент не е активен, профилът не е блокиран.

Списък с членовете

Членовете на тази група не могат да се организират споделен достъп към директории или да създадете местните принтери, Групата Потребители осигурява най-сигурната среда за изпълнение на програми. При силата на звука с файловата система NTFS, настройките по подразбиране за сигурност на новоинсталираните (не модернизирани) системи са предназначени да предотвратят целостта на операционната система и създадени програми членове на тази група. Потребителите не могат да променят настройките на системния регистър на системно ниво, операционна система или програмни файлове. Потребителите могат да изключат работни станции, но не и сървъри. Потребителите могат да създават местни групи, но само тези, които са създали, могат да управляват. Потребителите имат пълен достъп до своите файлове с данни и част от регистъра (HKEY_CURRENT_USER). Разрешенията на ниво потребител обаче често не позволяват на потребителя да изпълнява остарели приложения. Членовете на групата "Потребители" са гарантирани, че могат да изпълняват само сертифицирани приложения за Windows.

Нашето приключение ще започне с две неща. Обаждайки се на тези два прозореца, отиваме на дъното. Създаваме първия местен потребителски акаунт. Създаден е потребителски профил. Потвърдете правилното изпълнение на командата, като разгледате модула Local Users and Groups.

Избираме профил и го отваряме. В горното изображение забелязваме, че съдържанието на колоната Описание е празно. Трябва да включите допълнителна информация за профила. За това използваме командата. Също така този път ще проверим използваната команда.

Архивни оператори

Членовете на тази група могат да архивират и възстановяват файлове на компютъра, независимо от всички разрешения, които тези файлове са защитени. Те също така могат да влизат и да изключват компютъра, но не могат да променят настройките за сигурност. За архивиране и възстановяване на файлове с данни и системни файлове трябва да имате права за четене и писане. Разрешените по подразбиране разрешения за архивните оператори, които им позволяват да архивират и възстановяват файлове, им дава възможност да използват групови разрешения за други цели, например да четат файлове на други потребители и да инсталират програми с троянски вируси.

Какво ще стане, ако искаме да изчистим отметката, паролата не изтича? Това ще принуди потребителя да промени паролата следващия път, когато се включи. Нищо по-лесно, просто се обадете на отбора. За целите на тази статия ще анулираме избора на профил. Както по-горе, проверяваме всяка стъпка с прозореца "Местни потребители и групи".

Отново параметърът "Парола" никога не изтича, като се използва следната команда. Същото важи и в този случай, за да се потвърди правилността на изпълняваната команда.

Тъй като научихме как да активираме или деактивираме тази опция, паролата не изтича, сега командата.

госта

Членовете на тази група по подразбиране имат същите права като потребителите, с изключение на Guest account, която е още по-ограничена в правата.

Оператори на мрежова конфигурация

Членовете на тази група могат да имат някои административни права, за да управляват конфигурацията на мрежовите настройки.

Потребители на отдалечен работен плот

Ще променим паролата за всеки потребителски акаунт. Променете администраторската парола на сайта.

Добавянето на група се извършва, като се използва следната команда. Добре.

Споменахме по-горе за задаване на потребител на група, създадена в системата. За да изпълним тази задача, използваме командата.

Следвайки този път, ще премахнем администраторските привилегии на профила, като го премахнем от групата "Администратори". Този ефект се постига с помощта на командата. Правилната команда е както следва.

Време е да преименувате профила си. Този ефект се постига със следната команда.

Членовете на тази група имат право да влизат отдалечено.

За да добавите потребителски акаунт към определена група, щракнете с десния бутон на мишката върху името на групата и изберете Add to group от падащото меню. За повече информация относно изпълнението на тези и други задачи, свързани с потребителски и групови профили, както и по-пълно описание на потребителските профили и групи, вижте модула "Местни потребители и групи".

1. Основни понятия

Групировката "Местни потребители и групи" контролира потребителя на групите потребители на избрания компютър. Можете да създавате нови потребители и групи, да добавяте потребители към групи, да премахвате потребители от групи, да деактивирате потребителски акаунти и групи и да възстановявате пароли.

възел Списък с членовете показва два вградени потребителски акаунта - "Администратор" и "Гост", както и всички създадени потребителски акаунти. Вградените потребителски профили се създават автоматично, когато инсталирате Windows 2000 или Windows XP.

Профилът на администратора се използва, когато работната станция или сървърът-член се инсталира за първи път. Този профил ви позволява да извършите необходимите действия, преди потребителят да създаде свой собствен профил. Той е член на групата "Администратори" на работната станция или сървъра-член.

Профилът "Администратор" не може да бъде изтрит, деактивиран или изтеглен от местната група "Администратори", като по този начин елиминира възможността за случайна загуба на достъп до компютъра след унищожаването на всички администраторски профили. Тази собственост различава профила на администратора от останалите членове на групата местни администратори.

Профилът "Гост" се използва от тези, които нямат реален профил на компютъра. Ако профилът на потребителя е деактивиран (но не е изтрит), той може да използва и Guest account. Профилът за гости не изисква парола. По подразбиране е деактивиран, но можете да го включите.

Потребителският профил, както и всеки друг профил, може да предостави права и разрешения за достъп до обекти. По подразбиране той е включен в вградената група "Гости", която позволява на потребителя да влезе от работната станция или членския сървър. Допълнителни права, като всички разрешения, могат да бъдат присвоени на групата "Гости" от член на групата "Администратори".

За да отворите модула Local Users and Groups, изпълнете следните стъпки:

Отворете възела Управление на компютъра (локално).

В дървото на конзолата изберете компонента.

бележки

За да отворите модула за добавяне Управление на компютъра", Щракнете върху бутона начало, след което изберете командите регулиране и Контролен панел, Щракнете двукратно върху администрация, след което щракнете двукратно върху него Управление на компютъра.

За информация относно използването на модула Local Users and Groups, изберете информация в менюто ефект Windows "Управление на компютъра".

2.Създаване и промяна на локални потребителски акаунти

2.1 Добавяне на нов потребител към компютъра

Когато добавите нов потребител към компютъра, му бъде предоставен достъп до файловете и програмите на този компютър.

домейнили е част от работна група

2.1.1 Компютърът е свързан към домейн

бележки

Диалогов прозорец Добавяне на нов потребител осигурява съществуващ потребител на домейн с възможност за използване на компютър.

С потребителските профили можете да добавяте само съществуващи потребители на домейни. За да добавите нов местен потребител, на допълнително кликнете върху бутона допълнително, В момента Местни потребители и групи кликнете върху бутона Списък с членовете, а след това в менюто ефект изберете командата Нов потребител.

2.1.2 Компютърът не е свързан с домейн

За да добавите нов потребител към компютъра, трябва да имате профил на администратор на компютъра.

бележки

Името, присвоено на профила, ще се покаже на екрана за посрещане и в начало.

Първият потребител на компютъра трябва да има акаунт на администратор на компютъра.

бележки

начало, изберете командите регулиране и Контролен панел .

2.2 Промяна на типа сметка или група потребители

Когато компютърът е част от мрежов домейн, потребителите, които са включени в групата, са снабдени с всички права и разрешение група. Когато компютърът влезе работна групаили е самостоятелен компютър, на потребителите се предоставят права и разрешения в съответствие с техните присвоени типове профили.

Последователността на стъпките за изпълнение на тази задача зависи от това дали компютърът е в мрежата домейн или е част от работна група (или е самостоятелен компютър).

2.2.1 Компютърът е свързан с домейн

За да изпълните тази процедура, трябва да сте влезли като администратор или като член на групата Administrators. Ако компютърът е свързан към мрежа, настройките за мрежовите правила могат да деактивират тази процедура.

Потребителски акаунти.

В раздела Списък с членовете в групата Потребителите на този компютър изберете името на потребителския акаунт и щракнете върху бутона. свойства.

В раздела Членство в групи изберете желаната група и кликнете върху бутона. добре.

бележки

Ако новият потребител не изпълнява само административни задачи, не трябва да го добавяте в групата Администратори.

Ако това се изисква потребителсъстоящ се от повече от една група, използвайте модула за локални потребители и групи. За да отворите "Гъвкави потребители и Групи" в Потребителски акаунти в раздела допълнително кликнете върху бутона допълнително, Кликнете два пъти групи, след което добавете потребителя към групи.

2.2.2 Компютърът е свързан с домейн

Трябва да имате профил компютърни администратори, За да промените типа профил на друг потребител.

Отворете компонента на контролния панел Потребителски акаунти.

Изберете името на потребителския акаунт.

Изберете вида на профила, който ви трябва, и кликнете върху него Променете типа на профила.

забележка

Ако има само един компютър потребител с профил на компютърен администратор, той няма да може да промени типа на профила си, защото на компютъра трябва да има поне един потребител с администраторски акаунт.

бележки

За да отворите " сметки", Щракнете върху бутона начало, изберете командите регулиране и Контролен панел, след което кликнете два пъти Потребителски акаунти.

2.3 Управление на пароли, съхранени на компютъра

Windows ви позволява да съхранявате на едно място различни потребителски имена и пароли, използвани за достъп до ресурси в мрежата, на други компютри или в интернет, като използвате компонента "Запазване на имена на потребители и пароли".

2.3.1 Компютърът е свързан към домейн

Отворете компонента на контролния панел Потребителски акаунти.

В раздела допълнително в групата Пароли и .NET паспорти кликнете върху бутона Управление на пароли.

2.3.2 Компютърът не е свързан с домейн

Стъпките, които трябва да предприемете в този случай, зависят от вида на сметката.

За профила на компютърен администратор

Добавете потребителско име и парола, за да получите достъп до ресурса, или да промените или изтриете съществуващ запис.

За ограничен профил

Отворете компонента на контролния панел Потребителски акаунти.

В групата Свързани задачинамиращ се в прозореца вляво, кликнете върху връзката Управление на мрежови пароли.

бележки

За да отворите функцията "Профили", кликнете върху начало, изберете командите регулиране и Контролен панел, след което кликнете два пъти Потребителски акаунти.