Создание учетной записи при помощи оснастки «Локальные пользователи и группы. Настройка политик управления правами пользователей

Права пользователей назначаются через узел Локальные политики (Local Policies) Групповой политики (Group Policies). Исходя из названия ясно, что локальные политики принадлежат локальному компьютеру. Вы можете также настраивать эти локальные политики, как часть существующей Групповой политики для сайта, домена или подразделения. Когда Вы это делаете, локальные политики применяются к учетным записям компьютеров в сайте, домене или подразделения.

Для управления политиками прав пользователей, выполните следующие шаги:

1.	Откройте контейнер групповой политики, с которым Вам необходимо работать, затем откройте узел , спускаясь по дереву консоли. Разверните узлы Конфигурация компьютера (Computer Configuration) , Конфигурация Windows (Windows Settings) , Параметры безопасности(Security Settings), затем Локальные политики (Local Policies) .
2.	Разверните Присвоение прав пользователя (User Rights Assignment) , как показано на рисунке 8-5. Теперь Вы можете управлять правами пользователя.
3.	Для назначения прав пользователя, дважды щелкните или щелкните правой кнопкой по праву пользователя и выберите Свойства (Properties) . Откроется диалоговое окно Свойства (Properties) .
4.	Теперь можно настроить права пользователя, как описано в шагах 1-4 раздела « » или шагах 1-7 следующего раздела « » Рисунок 8-5. Используйте узел Назначение прав пользователя (User Rights Assignment) для конфигурирования прав пользователей текущего контейнера групповой политики.

Глобальная настройка прав пользователей

Вы можете настроить индивидуальные права пользователей для сайта, домена или подразделения, выполнив следующие шаги:

1.	Откройте диалоговое окно Свойства (Properties) для права пользователя, как показано на Рисунке 8-6. Примечание. Все политики могут быть либо определены, либо не определены. Это означает, что они либо настроены для использования, либо нет. Политика, которая не определена в данном контейнере, может быть унаследована от другого контейнера.
2.	Выберите « Определить следующие параметры политики в шаблоне (Define These Policy Settings) », чтобы определить политику
3.	Чтобы применить право пользователю или группе, нажмите кнопку Добавить пользователя или группу (Add) . Откроется диалоговое окно , показанное на рисунке 8-7. В этом окне используются следующие поля: Искать в. Чтобы получить доступ к учетным записям из других доменов, раскройте список Искать в . Вы увидите список, в котором перечислены: текущий домен, доверенные домены и другие доступные Вам ресурсы. Рисунок 8-6. Определите право пользователя и назначьте его пользователю или группе. Примечание. Только домены, с которыми установлены доверительные отношения, доступны в списке Искать в (Look In). Перечисление всех доменов из дерева доменов или леса возможно вследствие наличия транзитивных доверительных отношений в Windows 2000. Доверительные отношения не устанавливаются явно. Вернее, доверительные отношения устанавливаются автоматически, основываясь на структуре леса и наборе разрешений в нем. Имя. В этой графе перечислены доступные учетные записи выбранного домена или ресурса. Добавить. Для добавления пользователей в список выбора используйте Добавить (Add). Проверить имена. Подтвердить имена пользователей и групп, введенных в окно выбора. Это полезно, если вводите имена вручную и хотите убедиться, что они доступны.
4.	После того, как Вы выбрали учетные записи для добавления в группу, нажмите кнопку ОК . В диалоговом окне Название группы (Group Name) будут отображены выбранные учетные записи. Еще раз нажмите кнопку ОК .
5.	В обновленном диалоговом окне Свойства (Properties) отобразятся выбранные Вами пользователи. Если Вы ошиблись, выделите имя и удалите его, нажав кнопку Удалить (Remove)
6.	Если Вы закончили назначение прав пользователям и группам, нажмите кнопку ОК .

Локальная настройка прав пользователей

Чтобы назначить права пользователей на локальном компьютере, выполните следующие шаги:

1.	Откройте диалоговое окно Свойства (Properties) для конфигурирования прав, изображенное на Рисунке 8-8.
2.	Действующая политика для компьютера показана, но Вы не можете изменить её. Однако Вы можете изменить параметры локальной политики, используя специальные поля. Помните, что политики сайта, домена и подразделения имеют превосходство над локальными политиками. Рисунок 8-7. Используйте диалоговое окно Выбор: Пользователи или группы, чтобы присвоить права пользователям или группам.
3.	Графа Назначен (Assigned To) показывает текущих пользователей и группы, которым было назначено право. Установите или снимите соответствующие флажки под графой Параметры локальной политики (Local Policy Setting) , чтобы присвоить или отменить право пользователя.

Вы можете назначить данное право дополнительным пользователям и группам, нажав кнопку Добавить (Add) . Откроется диалоговое окно Выбор: Пользователи или группы (Выбор: Пользователи или группы) , показанное на Рисунке 8-7 ранее. Теперь можно добавить пользователей и группы.

Добавление учетной записи пользователя

Необходимо создать учетную запись для каждого пользователя, которому нужно использовать сетевые ресурсы. Доменные учетные записи пользователей создаются с помощью оснастки Active Directory – Пользователи и компьютеры (Active Directory Users And Computers) . Локальные учетные записи создаются с помощью оснастки Локальные пользователи и группы (Local Users And Groups).

Создание доменных учетных записей пользователей

Существует два способа создания новых учетных записей пользователей в домене:

Создание полностью новой учетной записи пользователя. Чтобы создать совершенно новую учетную запись, щелкните правой кнопкой на контейнере, в который Вам необходимо поместить учетную запись, выберите Новый объект (New) , затем Пользователь (User) . Откроется окно мастера , показанное на Рисунке 8-9. Когда Вы создаете новую учетную запись, используются системные параметры, установленные по умолчанию.

Рисунок 8-8. Определите право пользователя, затем присвойте его пользователям или группам.

Создание новой учетной записи на основе существующей учетной записи. Щелкните правой кнопкой по учетной записи пользователя, которую Вам необходимо скопировать, в оснастке , затем выберите Копировать (Copy) . Откроется мастер Копирование объекта – Пользователь (Copy Object - User) , аналогичный мастеру Новый объект – Пользователь (New Object - User) . Несмотря на то, что Вы создаете копию учетной записи, новая учетная запись получит большинство настроек из существующей учетной записи. Для получения дополнительной информации по копированию учетных записей обратитесь к разделу « Копирование доменных учетных записей » (" Copying Domain User Accounts ") Главы 9.

Запустив один из мастеров, Новый объект – Пользователь (New Object - User) или Копирование объекта – Пользователь (Copy Object - User), Вы можете создать учетную запись, выполнив следующие шаги:

1.	Первое диалоговое окно мастера используется для настройки отображаемого имени пользователя и имени входа, как показано на Рисунке 8-9.
2.	Введите имя и фамилию пользователя в предназначенные для этого поля. Имя и фамилия используются для создания полного имени, которое является отображаемым именем пользователя.
3.	Внесите в поле Полное имя (Full Name) необходимые изменения. Например, Вам может понадобиться ввести имя в формате «Фамилия Имя Инициал» или в формате «Имя Инициал Фамилия». Полное имя должно быть уникальным в пределах домена и не длиннее 64 символов.
4.	В поле Имя входа пользователя (User Logon Name) введите имя пользователя для входа в систему. Затем выберите из выпадающего списка домен, с которым будет связана учетная запись. Это однозначно определяет имя входа.
5.	Для создания имени входа совместимого с Windows NT 4.0 или более ранними версиями Windows, используются первые 20 символов имени входа Windows 2000. Имя входа должно быть уникальным в пределах домена. Измените имя входа Windows NT 4.0 или более ранних версий, если это необходимо. Рисунок 8-9. Настройте имя входа и отображаемое имя пользователя.
6.	Нажмите кнопку Далее (Next) . Настройте пароль пользователя, используя диалоговое окно, показанное на рисунке 8-10. Поля этого диалогового окна перечислены ниже: Если флажок установлен, срок действия пароля для этой учетной записи не ограничен. Этот параметр аннулирует политику учетных записей домена. Обычно не рекомендуется задавать пароли без срока действия, поскольку это противоречит самой идее использования паролей.
7.	Нажмите кнопку Далее (Next) , затем нажмите кнопку Готово (Finish) для создания учетной записи. Если во время создания учетной записи возникли проблемы, Вы увидите предупреждение, и Вам придется использовать кнопку Назад (Back) , чтобы заново ввести информацию об имени пользователя и его пароле в соответствующих диалоговых окнах, если это необходимо.

Когда учетная запись создана, можно установить для нее дополнительные свойства, которые описаны далее в этой главе.

Рисунок 8-10. Настойка пароля пользователя.

Создание локальных учетных записей пользователей

Локальные учетные записи пользователей создаются с помощью оснастки Локальные пользователи и группы (Local Users And Groups). Для доступа к этой утилите и создания учетной записи Вам необходимо выполнить следующие шаги:

1.	, или просто выберите Управление компьютером (Computer Management) в папке .
2.	Управление компьютером (Computer Management) из контекстного меню. Теперь можно выбрать компьютер, учетными записями пользователей которого Вам необходимо управлять. У контроллеров домена нет локальных пользователей и групп.
3.	Раскройте узел , нажав на значок «плюс» (+ ) возле него, и выберите .
4.	Щелкните правой кнопкой мыши папку Пользователи (Users) и выберите . Откроется диалоговое окно Новый пользователь (New User) , показанное на Рисунке 8-11. Поля этого диалогового окна перечислены ниже: Пользователь (Username). Имя входа для учетной записи пользователя. Это имя должно соответствовать правилам вашей политики локальных имен. Полное имя (Full Name). Полное имя пользователя, такое как William R. Stanek Описание (Description). Описание пользователя. Обычно в это поле записывают название должности пользователя, такое как «Вебмастер», или название должности и отдел. Пароль (Password) . Пароль для учетной записи. Этот пароль должен соответствовать правилам вашей политики паролей. Подтверждение (Confirm Password) . Поле предназначено для того, чтобы удостовериться в правильности ввода пароля учетной записи. Повторно введите пароль, чтобы подтвердить его. Рисунок 8-11. Настройка локальной учетной записи пользователя отличается от настройки доменной учетной записи. Потребовать смену пароля при следующем входе в систему (User Must Change Password At Next Logon). Если этот флажок установлен, пользователю придется сменить пароль при входе. Запретить смену пароля пользователем (User Cannot Change Password) . Если флажок установлен, пользователь не сможет сменить пароль. Срок действия пароля не ограничен (Password Never Expires). Если флажок установлен, срок действия пароля для этой учетной записи не ограничен. Этот параметр аннулирует политику учетных записей домена. Отключить учетную запись (Account Is Disabled). Если флажок установлен, учетная запись отключена и не может быть использована. Используйте этот флажок для временной блокировки учетной записи.
5.	Нажмите кнопку Создать (Create) , когда закончите настройку новой учетной записи.

Создание учетной записи группы

Группы используются для управления правами нескольких пользователей. Учетные записи глобальных групп (Примечание переводчика. Групп безопасности Active Directory, содержащих учетные записи только из собственного домена) создаются с помощью оснастки Active Directory – Пользователи и компьютеры (Active Directory Users And Computers), учетные записи локальных групп - с помощью оснастки Локальные пользователи и группы (Local Users And Groups).

Создавая учетные записи групп, помните, что группы создаются для схожих типов пользователей. Некоторые типы групп, которые Вам возможно понадобится создать, приведены ниже:

	Группы для отделов организации. Обычно пользователям, работающим в одном отделе, необходим доступ к одним и тем же ресурсам. Поэтому Вы можете создать группы для отделов, таких как отдел развития, отдел продаж, отдел маркетинга или инженерный отдел.
	Группы для пользователей особых приложений. Зачастую пользователям необходим доступ к приложению и ресурсам, связанным с этим приложением. Если Вы создаете группы для пользователей определенного приложения, Вы можете быть уверены, что у пользователей есть доступ к необходимым ресурсам и файлам приложения.
	Группы на основе обязанностей пользователей . Группы также могут быть созданы по принципу разделения обязанностей пользователей. Например, управляющему, наблюдателю и обычному пользователю необходим доступ к различным ресурсам. Создавая группы по этому принципу, Вы можете быть уверены, что права доступа к необходимым ресурсам даны пользователям, которые в них нуждаются.

Создание глобальной группы

Для создания глобальной группы необходимо выполнить следующие шаги:

1.	Запустите оснастку Active Directory – Пользователи и компьютеры (Active Directory Users And Computers) . Щелкните правой кнопкой мыши по контейнеру, в который Вам необходимо поместить учетную запись группы. Потом выберите Создать (New) -> Группу (Group) . Откроется диалоговое окно Новый объект – Группа (New Object - Group) , показанное на Рисунке 8-12.
2.	Введите название группы. Названия учетных записей глобальных групп должны соответствовать правилам для отображаемых имен учетных записей пользователей. Они не чувствительны к регистру и не могут быть длиннее 64 знаков.
3.	При создании имени группы для совместимости с Windows NT 4.0 или более ранними версиями Windows, используются первые 20 символов названия группы Windows 2000. Название группы должно быть уникальным в пределах домена. Измените название группы Windows NT 4.0 или более ранних версий, если это необходимо. Рисунок 8-12. Диалоговое окно Новый объект – Группа позволяет добавлять новые глобальные группы в домен.
4.	Выберите область действия группы: локальный домен, глобальная или универсальная.
5.	Выберите тип группы: группа безопасности или группа распространения.
6.	Для создания группы нажмите кнопку ОК . Теперь в группу можно добавить пользователей и установить дополнительные свойства, которые описаны далее в этой главе.

Создание локальной группы и добавление членов

Локальные группы создаются с помощью оснастки Локальные пользователи и группы (Local Users And Groups). Вы можете открыть её, выполнив следующие шаги:

1.	Нажмите Пуск (Start) , Программы(Programs) , Администрирование(Administrative Tools) , Управление компьютером (Computer Management) или просто выберите Управление компьютером (Computer Management) в папке Администрирование (Administrative Tools) .
2.	Щелкните правой кнопкой мыши по узлу Управление компьютером (Computer Management) в дереве консоли и выберите Подключиться к другому компьютеру (Connect To Another Computer) из контекстного меню. Теперь можно выбрать компьютер, учетными записями которого Вам необходимо управлять. У контроллеров домена нет локальных пользователей и групп.
3.	Раскройте узел Служебные программы (System Tools) , нажав на значок «плюс» (+ ), соответствующий этому узлу, и выберите Локальные пользователи и группы (Local Users And Groups) .
4.	Щелкните правой кнопкой мыши по папке Группы (Groups) и выберите Новая группа (New Group) . Откроется диалоговое окно Новая группа (New Group) , показанное на Рисунке 8-13.
5.	После того, как Вы ввели название и описание группы, нажмите кнопку Добавить (Add) , чтобы добавить пользователей в данную группу. Откроется диалоговое окно Выбор: Пользователи или группы (Select Users Or Groups) , показанное на рисунке 8-7. Теперь можно добавить в группу членов. Поля данного диалогового окна описаны ниже: Искать в (Look In) . Чтобы получить доступ к учетным записям других компьютеров и доменов, щелкните по списку Искать в (Look In) . Вы увидите список, в котором перечислены текущий компьютер, доверенные домены и другие ресурсы, к которым Вы можете получить доступ. Имя (Name). Эта графа показывает доступные учетные записи выбранного домена или ресурса. Добавить (Add). Добавить выбранные имена в список выбора. Проверить имена (Check Names). Подтвердить имена пользователей и групп, введенных в окно выбора. Это полезно, когда Вы вводите имена вручную и хотите убедиться, что они доступны.
6.	После того, как Вы выберете названия учетных записей для добавления в группу, нажмите кнопку ОК .
7.	Диалоговое окно Новая группа (New Group) обновлено, чтобы отразить ваш выбор. Если Вы ошиблись, выделите имя и удалите его, нажав кнопку Удалить (Remove)
8.	Когда Вы закончите добавление или удаление членов группы, нажмите кнопку Создать (Create) . Рисунок 8-13. Диалоговое окно Новая группа позволяет добавить новую локальную группу.

Управление принадлежностью к глобальной группе

Для настройки членства в группах используйте оснастку Active Directory – Пользователи и компьютеры (Active Directory Users And Computers). Работая с группами, помните о следующих моментах:

Оснастка Active Directory – Пользователи и компьютеры (Active Directory Users And Computers) предоставляет несколько способов управления членством в группах. Вы можете:

Управление членством отдельных пользователей и компьютеров

Вы можете добавлять или удалять членство в группах для любого типа учетной записи, выполняя следующие шаги:

1.	Дважды щелкните по пользователю, компьютеру или группе в оснастке Active Directory – Пользователи и компьютеры (Active Directory Users And Computers)
2.	Выберите вкладку Участник (Member Of) .
3.	Чтобы сделать учетную запись членом группы, нажмите кнопку Добавить (Add) . Откроется такое же диалоговое окно Выбор: Группы (Select Groups) , как диалоговое окно Выбор: Пользователи или группы (Select Users Or Groups) , описанное в предыдущих примерах.
4.	Чтобы удалить учетную запись из группы, выберите группу и затем нажмите кнопку Удалить (Remove) .
5.	Нажмите кнопку ОК .

Управление членством нескольких пользователей или компьютеров

Диалоговое окно группы Свойства (Properties), также позволяет управлять членством в группах. Для добавления или удаления учетных записей выполните следующие шаги:

1.	Дважды щелкните по пользователю или компьютеру в оснастке Active Directory – Пользователи и компьютеры (Active Directory Users And Computers) . Откроется диалоговое окно Свойства (Properties) учетной записи.
2.	Выберите вкладку Участники (Members) .
3.	Нажмите Добавить (Add) , чтобы добавить учетные записи в группу. Откроется диалоговое окно Выбор: пользователи или группы (Select Users Or Groups) . Выберите пользователей, компьютеры и группы, которые должны стать членами данной группы.
4.	Чтобы удалить членов из группы, выделите учетную запись и затем нажмите кнопку Удалить (Remove) .
5.	Нажмите кнопку ОК .

Установка членства в основной группе для пользователей и компьютеров

Основные группы используются пользователями, которые работают с Windows 2000 через службы, совместимые с Макинтош. Когда пользователь Макинтош создает файлы или папки на компьютере, работающем под управлением Windows 2000, основная группа присваивается этим файлам и папкам.

Все учетные записи пользователей и компьютеров должны иметь основную группу, независимо от того работают они с Windows 2000 посредством Макинтош или нет. Эта группа должна быть глобальной или универсальной, такой как глобальная группа Пользователи домена (Domain Users) или глобальная группа Компьютеры домена (Domain Computers).

Чтобы установить основную группу, выполните следующие шаги:

Все пользователи должны быть членами хотя бы одной основной группы. Вы не можете аннулировать членство пользователя в основной группе, пока не присвоите пользователю другую основную группу. Чтобы сделать это, выполните следующие шаги:

Оснастка "Локальные пользователи и группы" является важным средством безопасности, поскольку позволяет ограничить возможные действия пользователей и групп путем назначения им прав и разрешений. Одна учетная запись пользователя может входить в несколько групп.

Доступ к этой оснастке можно получить, набрав в командной строке lusrmgr.msc

В левой части открывшегося окна можно видеть две папки - Пользователи и Группы

Папка Пользователи отображает две встроенные учетные записи пользователей — Администратор и Гость, которые создаются автоматически при установке Wundows XP, а также все созданные учетные записи пользователей.

Учетная запись Администратор используется при первой установке операционной системы. Эта учетная запись позволяет выполнять необходимые действия до того, как пользователь создаст свою собственную учетную запись. Учетную запись "Администратор" нельзя удалить, отключить или вывести из локальной группы Администраторы, благодаря чему исключается возможность случайной потери доступа к компьютеру после уничтожения всех учетных записей администраторов. Это свойство отличает учетную запись "Администратор" от остальных членов локальной группы "Администраторы".Учетная запись Гость используется теми, кто не имеет реальной учетной записи на компьютере. Если учетная запись пользователя отключена (но не удалена), он также может воспользоваться учетной записью "Гость". Учетная запись гостя не требует пароля. По умолчанию она отключена, но ее можно включить.

Чтобы добавить учетную запись нового пользователя, щелкните правой кнопкой мыши на папке Пользователи и выберите из выпадающего меню команду Новый пользователь... В открывшемся окне введите данные для создания новой учетной записи. Чтобы удалить учетную запись пользователя, щелкните правой кнопкой мыши на названии учетной записи в правом окне программы и выберите из выпадающего меню Удалить.

Также для конкретной учетной записи можно назначить путь к профилю и сценарию входа (подробнее смотрите в справке).

В папке Группы отображаются все встроенные группы и группы, созданные пользователем. Встроенные группы создаются автоматически при установке Windows XP. Принадлежность к группе предоставляет пользователю права и возможности для выполнения различных задач на компьютере. Далее рассмотрены свойства некоторых встроенных групп:
Администраторы - членство в этой группе по умолчанию предоставляет самый широкий набор разрешений и возможность изменять собственные разрешения. Администраторы имеют полные, ничем неограниченные права доступа к компьютеру или домену. Работа в Windows XP в качестве администратора делает систему уязвимой для троянских коней и других программ, угрожающих безопасности. Простое посещение веб-узла может очень сильно повредить систему. На незнакомом веб-узле может находиться троянская программа, которая будет загружена в систему и выполнена. Если в это время находиться в системе с правами администратора, такая программа может переформатировать жесткий диск, стереть все файлы, создать новую учетную запись пользователя с административным доступом и т. д.

установки операционной системы и ее компонентов (например драйверов устройств, системных служб и так далее);

установки пакетов обновления;

обновления операционной системы;

восстановления операционной системы;

настройки важнейших параметров операционной системы (политики паролей, управления доступом, политики аудита, настройки драйверов в режиме ядра и так далее);

вступления во владение файлами, ставшими недоступными;

управления журналами безопасности и аудита;

архивирования и восстановления системы.

На практике учетные записи администраторов часто должны использоваться для установки и запуска программ, написанных для предыдущих версий Windows.

Опытные пользователи - эта группа поддерживается, в основном, для совместимости с предыдущими версиями для выполнения несертифицированных приложений. Разрешения по умолчанию, предоставленные этой группе, позволяют членам группы изменять параметры компьютера. Если необходима поддержка несертифицированных приложений, конечные пользователи должны быть членами группы "Опытные пользователи".
Члены группы "Опытные пользователи" имеют больше разрешений, чем члены группы "Пользователи", и меньше, чем члены группы "Администраторы". Опытные пользователи могут выполнять любые задачи с операционной системой, кроме задач, зарезервированных для группы "Администраторы".

Опытные пользователи могут:

выполнять приложения, сертифицированные для Windows 2000 и Windows XP Professional, а также устаревшие приложения;

устанавливать программы, не изменяющие файлы операционной системы, и системные службы;

настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления;

создавать и управлять локальными учетными записями пользователей и групп;

останавливать и запускать системные службы, не запущенные по умолчанию.

Опытные пользователи не могут добавлять себя в группу "Администраторы". Они не имеют доступа к данным других пользователей на томе NTFS, если соответствующие разрешения этих пользователей не получены. Поскольку опытные пользователи могут устанавливать и изменять программы, работа под учетной записью группы "Опытные пользователь" при подключении к Интернету может сделать систему уязвимой для троянских коней и других программ, угрожающих безопасности.

Пользователи - члены этой группы не могут организовывать общий доступ к каталогам или создавать локальные принтеры. Группа "Пользователи" предоставляет самую безопасную среду для выполнения программ. На томе с файловой системой NTFS параметры безопасности по умолчанию только что установленной (не обновленной) системы разработаны, чтобы предотвратить нарушение целостности операционной системы и установленных программ членами этой группы. Пользователи не могут изменять параметры реестра на уровне системы, файлы операционной системы или программы. Пользователи могут выключать рабочие станции, но не серверы. Пользователи могут создавать локальные группы, но управлять могут только теми, которые они создали. Пользователи имеют полный доступ к своим файлам данных и своей части реестра (HKEY_CURRENT_USER). Однако разрешения на уровне пользователя часто не допускают выполнение пользователем устаревших приложений. Участники группы «Пользователи» гарантированно могут запускать только сертифицированные для Windows приложения.

Операторы архива - члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от всех разрешений, которыми защищены эти файлы. Они могут также входить в систему и завершать работу компьютера, но не могут изменять параметры безопасности. Для архивирования и восстановления файлов данных и системных файлов требуются разрешения на чтение и запись. Разрешения по умолчанию для операторов архива, позволяющие им архивировать и восстанавливать файлы, делают для них возможным использование разрешений группы для других целей, например для чтения файлов других пользователей и установки программ с троянскими вирусами.

Гости - члены этой группы по умолчанию имеют те же права, что и пользователи, за исключением учетной записи "Гость", еще более ограниченной в правах.

Операторы настройки сети - члены этой группы могут иметь некоторые административные права для управления настройкой сетевых параметров.

Пользователи удаленного рабочего стола - члены этой группы имеют право на выполнение удаленного входа в систему.

Для того, чтобы добавить учетную запись пользователя в ту или иную группу, щелкните правой кнопкой мыши на названии группы и из выпадающего меню выберите Добавить в группу.

Более подробную справку по выполнению этих и других задач, связанных с учетными записями пользователей и групп, а также более полное описание учетных записей пользователей и групп читайте в справке оснастки "Локальные пользователи и группы".

Это инструмент, предназначенный для управления локальными пользователями и группами. Локальный пользователь или группа — это учетная запись, которой могут быть предоставлены разрешения и права на вашем компьютере.

Доступ к этой оснастке можно получить, набрав в командной строке lusrmgr.msc . В левой части открывшегося окна можно видеть две папки - Пользователи и Группы.

Папка Пользователи отображает две встроенные учетные записи пользователей - Администратор и Гость, которые создаются автоматически при установке Windows XP, а также все созданные учетные записи пользователей.

Учетная запись Администратор используется при первой установке операционной системы. Эта учетная запись позволяет выполнять необходимые действия до того, как пользователь создаст свою собственную учетную запись. Учетную запись "Администратор" нельзя удалить, отключить или вывести из локальной группы Администраторы, благодаря чему исключается возможность случайной потери доступа к компьютеру после уничтожения всех учетных записей администраторов. Это свойство отличает учетную запись "Администратор" от остальных членов локальной группы "Администраторы".

Учетная запись Гость используется теми, кто не имеет реальной учетной записи на компьютере. Если учетная запись пользователя отключена (но не удалена), он также может воспользоваться учетной записью "Гость". Учетная запись гостя не требует пароля. По умолчанию она отключена, но ее можно включить.

Администраторы

Членство в этой группе по умолчанию предоставляет самый широкий набор разрешений и возможность изменять собственные разрешения. Администраторы имеют полные, ничем неограниченные права доступа к компьютеру или домену. Работа в Windows XP в качестве администратора делает систему уязвимой для троянских коней и других программ, угрожающих безопасности. Простое посещение веб-узла может очень сильно повредить систему. На незнакомом веб-узле может находиться троянская программа, которая будет загружена в систему и выполнена. Если в это время находиться в системе с правами администратора, такая программа может переформатировать жесткий диск, стереть все файлы, создать новую учетную запись пользователя с административным доступом и т. д.

установки операционной системы и ее компонентов (например, драйверов устройств, системных служб и так далее);
установки пакетов обновления;
обновления операционной системы;
восстановления операционной системы;
настройки важнейших параметров операционной системы (политики паролей, управления доступом, политики аудита, настройки драйверов в режиме ядра и так далее);
вступления во владение файлами, ставшими недоступными;
управления журналами безопасности и аудита;
архивирования и восстановления системы.

Опытные пользователи

Эта группа поддерживается, в основном, для совместимости с предыдущими версиями для выполнения несертифицированных приложений. Разрешения по умолчанию, предоставленные этой группе, позволяют членам группы изменять параметры компьютера. Если необходима поддержка несертифицированных приложений, конечные пользователи должны быть членами группы "Опытные пользователи".

Члены группы "Опытные пользователи" имеют больше разрешений, чем члены группы "Пользователи", и меньше, чем члены группы "Администраторы". Опытные пользователи могут выполнять любые задачи с операционной системой, кроме задач, зарезервированных для группы "Администраторы".

Опытные пользователи могут:

выполнять приложения, сертифицированные для Windows 2000 и Windows XP Professional, а также устаревшие приложения;
устанавливать программы, не изменяющие файлы операционной системы, и системные службы;
настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления;
создавать и управлять локальными учетными записями пользователей и групп;
останавливать и запускать системные службы, не запущенные по умолчанию.

Пользователи

Члены этой группы не могут организовывать общий доступ к каталогам или создавать локальные принтеры. Группа "Пользователи" предоставляет самую безопасную среду для выполнения программ. На томе с файловой системой NTFS параметры безопасности по умолчанию только что установленной (не обновленной) системы разработаны, чтобы предотвратить нарушение целостности операционной системы и установленных программ членами этой группы. Пользователи не могут изменять параметры реестра на уровне системы, файлы операционной системы или программы. Пользователи могут выключать рабочие станции, но не серверы. Пользователи могут создавать локальные группы, но управлять могут только теми, которые они создали. Пользователи имеют полный доступ к своим файлам данных и своей части реестра (HKEY_CURRENT_USER). Однако разрешения на уровне пользователя часто не допускают выполнение пользователем устаревших приложений. Участники группы «Пользователи» гарантированно могут запускать только сертифицированные для Windows приложения.

Операторы архива

Члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от всех разрешений, которыми защищены эти файлы. Они могут также входить в систему и завершать работу компьютера, но не могут изменять параметры безопасности. Для архивирования и восстановления файлов данных и системных файлов требуются разрешения на чтение и запись. Разрешения по умолчанию для операторов архива, позволяющие им архивировать и восстанавливать файлы, делают для них возможным использование разрешений группы для других целей, например для чтения файлов других пользователей и установки программ с троянскими вирусами.

Гости

Члены этой группы по умолчанию имеют те же права, что и пользователи, за исключением учетной записи "Гость", еще более ограниченной в правах.

Операторы настройки сети

Члены этой группы могут иметь некоторые административные права для управления настройкой сетевых параметров.

Пользователи удаленного рабочего стола

Члены этой группы имеют право на выполнение удаленного входа в систему.

Для того, чтобы добавить учетную запись пользователя в ту или иную группу, щелкните правой кнопкой мыши на названии группы и из выпадающего меню выберите Добавить в группу. Более подробную справку по выполнению этих и других задач, связанных с учетными записями пользователей и групп, а также более полное описание учетных записей пользователей и групп читайте в справке оснастки "Локальные пользователи и группы".

Доступ к этой оснастке можно получить, набрав в командной строке lusrmgr.msc

В левой части открывшегося окна можно видеть две папки - Пользователи и Группы

установки операционной системы и ее компонентов (например драйверов устройств, системных служб и так далее);

установки пакетов обновления;

обновления операционной системы;

восстановления операционной системы;

вступления во владение файлами, ставшими недоступными;

управления журналами безопасности и аудита;

архивирования и восстановления системы.

Опытные пользователи могут:

выполнять приложения, сертифицированные для Windows 2000 и Windows XP Professional, а также устаревшие приложения;

устанавливать программы, не изменяющие файлы операционной системы, и системные службы;

создавать и управлять локальными учетными записями пользователей и групп;

останавливать и запускать системные службы, не запущенные по умолчанию.

1.Основные понятия

Оснастка «Локальные пользователи и группы» управляет пользователямиигруппамипользователей выбранного компьютера. Допускается создание новых пользователей и групп, добавление пользователей в группы, удаление пользователей из групп, отключение учетных записей пользователей и групп, а также сброс паролей.

Узел Пользователи отображает две встроенные учетные записи пользователей - «Администратор» и «Гость», а также все созданные учетные записи пользователей. Встроенные учетные записи пользователей создаются автоматически при установке Windows 2000 или Windows XP.

Учетная запись «Администратор» используется при первой установке рабочей станции или рядового сервера. Эта учетная запись позволяет выполнять необходимые действия до того, как пользователь создаст свою собственную учетную запись. Она входит в группу «Администраторы» на рабочей станции или рядовом сервере.

Учетную запись «Администратор» нельзя удалить, отключить или вывести из локальной группы «Администраторы», благодаря чему исключается возможность случайной потери доступа к компьютеру после уничтожения всех учетных записей администраторов. Это свойство отличает учетную запись «Администратор» от остальных членов локальной группы «Администраторы».

Учетная запись «Гость» используется теми, кто не имеет реальной учетной записи на компьютере. Если учетная запись пользователя отключена (но не удалена), он также может воспользоваться учетной записью «Гость». Учетная запись гостя не требует пароля. По умолчанию она отключена, но ее можно включить.

Учетной записи «Гость», как и любой другой учетной записи, можно предоставлять права и разрешения на доступ к объектам. По умолчанию она входит во встроенную группу «Гости», что позволяет пользователю войти в систему с рабочей станции или рядового сервера. Дополнительные права, как любые разрешения, могут быть присвоены группе «Гости» членом группы «Администраторы».

Чтобы открыть оснастку «Локальные пользователи и группы», выполните следующие действия.

Откройте узел Управление компьютером (локальным) .

В дереве консоли выберите компонент .

Примечания

Чтобы открыть оснастку «Управление компьютером», нажмите кнопку Пуск , затем выберите команды Настройка и Панель управления . Дважды щелкните значок Администрирование , а затем дважды щелкните значок Управление компьютером .

Для получения сведений об использовании оснастки «Локальные пользователи и группы» выберите команду Справка в меню Действие окна «Управление компьютером».

2.Создание и изменение учетных записей локальных пользователей

2.1 Добавление на компьютер нового пользователя

При добавлении на компьютер нового пользователя ему предоставляется доступ к файлам и программам на этом компьютере.

домен или является частью рабочей группы

2.1.1 Компьютер подключен к домену

Примечания

Диалоговое окно Добавление нового пользователя предоставляет существующему пользователю домена возможность пользоваться компьютером.

С помощью учетных записей пользователей можно только добавлять существующих пользователей домена. Чтобы добавить нового локального пользователя , на вкладке Дополнительно нажмите кнопку Дополнительно . В оснастке Локальные пользователи и группы нажмите кнопку Пользователи , а затем в меню Действие выберите команду Новый пользователь .

2.1.2 Компьютер не подключен к домену

Необходимо иметь учетную запись администратора компьютера, чтобы добавлять на компьютер нового пользователя.

Примечания

Имя, назначенное учетной записи, будет выводиться на экране приветствия и в меню Пуск .

Первый пользователь компьютера должен иметь учетную запись администратора компьютера.

Примечания

Пуск , выберите команды Настройка и Панель управления .

2.2 Изменение тип учетной записи или группы пользователя

Когда компьютер является частью сетевого домена, пользователям, включенным в группу предоставляются все права и разрешения группы. Когда компьютер входит в рабочую группу или является автономным компьютером, пользователям предоставляются права и разрешения в соответствии с назначенными им типами учетных записей.

Последовательность шагов для выполнения этой задачи зависит от того, входит ли компьютер в сетевой домен или является частью рабочей группы (или является автономным компьютером).

2.2.1Компьютер подключен к домену

Для выполнения этой процедуры необходимо войти в систему с учетной записью «Администратор» или члена группы «Администраторы». Если компьютер подключен к сети, то параметры сетевой политики могут запретить выполнение данной процедуры.

Учетные записи пользователей .

На вкладке Пользователи в группе Пользователи этого компьютера выберите имя учетной записи пользователя и нажмите кнопку Свойства .

На вкладке Членство в группах выберите нужную группу и нажмите кнопку OK .

Примечания

Если новый пользователь будет выполнять не только административные задачи, его не следует добавлять в группу «Администраторы».

Если требуется, чтобы пользователь состоял более чем в одной группе, воспользуйтесь оснасткой «Локальные пользователи и группы». Чтобы открыть оснастку «Локальные пользователи и группы», в диалоговом окне Учетные записи пользователей на вкладке Дополнительно нажмите кнопку Дополнительно . Дважды щелкните Группы , а затем добавьте пользователя в нужные группы .

2.2.2Компьютер подключен к домену

Необходимо иметь учетную запись администратора компьютера , чтобы менять тип учетной записи другого пользователя.

Откройте на панели управления компонент Учетные записи пользователей .

Выберите имя учетной записи пользователя.

Выберите нужный тип учетной записи и нажмите кнопку Изменить тип учетной записи .

Примечание

Если на компьютере один пользователь с учетной записью администратора компьютера, он не сможет изменить тип своей учетной записи, потому что на компьютере должен быть по крайней мере один пользователь с учетной записью администратора компьютера.

Примечания

Чтобы открыть компонент «Учетные записи», нажмите кнопку Пуск , выберите команды Настройка и Панель управления , затем дважды щелкните значок Учетные записи пользователей .

2.3 Управление паролями, сохраненными на компьютере

Windows позволяет сохранять в одном месте различные имена пользователей и пароли, используемые для доступа к ресурсам в сети, другим компьютерам или к Интернету с помощью компонента «Сохранение имен пользователей и паролей».

2.3.1Компьютер подключен к домену

Откройте на панели управления компонент Учетные записи пользователей .

На вкладке Дополнительно в группе Пароли и паспорта.NET нажмите кнопку Управление паролями .

2.3.2Компьютер не подключен к домену

Шаги, которые следует предпринять в таком случае, зависят от типа учетной записи.

Для учетной записи администратора компьютера

Добавьте имя пользователя и пароль для доступа к ресурсу, либо измените или удалите существующую запись.

Для учетной записи с ограниченными правами

Откройте на панели управления компонент Учетные записи пользователей .

В группе Родственные задачи , расположенной в окне слева, щелкните ссылку Управление сетевыми паролями .

Добавьте имя пользователя и пароль для доступа к ресурсу, либо измените или удалите существующую запись.

Примечания