Konfigurace zásad správy uživatelských práv. Vytvořte účet pomocí modulu snap-in Místní uživatelé a skupiny

Modul snap-in Místní uživatelé a skupiny je důležitou ochrannou funkcí, protože umožňuje omezit možné akce uživatelů a skupin přiřazením práv a oprávnění. Jeden uživatelský účet může být ve více skupinách.

K tomuto modulu snap-in můžete přistupovat zadáním příkazu lusrmgr.msc na příkazovém řádku

V levé části okna, které se otevře, naleznete dvě složky - Uživatelé a Skupiny

Složka Uživatelé zobrazuje dva vestavěné uživatelské účty - Administrator a Guest, které jsou automaticky vytvořeny při instalaci Wundows XP, stejně jako všechny vytvořené uživatelské účty.

Účet správce se používá při prvním instalaci operačního systému. Tento účet vám umožňuje provést potřebné kroky dříve, než uživatel vytvoří vlastní účet. Účet "Administrator" nelze odstranit, zakázat nebo stahovat z místní skupiny Administrators, a tím eliminovat možnost náhodného ztráty přístupu k počítači po zničení všech účtů správce. Tato vlastnost rozlišuje účet správce od ostatních členů místní skupiny Administrators. Účet Guest jsou využíváni těmi, kteří v počítači nemají skutečný účet. Pokud je uživatelský účet zakázán (ale není smazán), může také použít účet Guest. Účet hosta nevyžaduje heslo. Ve výchozím nastavení je vypnutá, ale můžete ji zapnout.

Chcete-li přidat nový uživatelský účet, klepněte pravým tlačítkem myši na složku Uživatelé a z rozbalovací nabídky vyberte možnost Nový uživatel ... V okně, které se otevře, zadejte informace pro vytvoření nového účtu. Chcete-li odstranit uživatelský účet, klepněte pravým tlačítkem myši na název účtu v pravém okně programu a v rozevírací nabídce vyberte možnost Odstranit.

Také pro konkrétní účet můžete přiřadit cestu k profilu a přihlašovacímu skriptu (podrobnosti viz Nápověda).

Složka Skupiny zobrazuje všechny vestavěné skupiny a skupiny vytvořené uživatelem. Vestavěné skupiny se automaticky vytvoří při instalaci systému Windows XP. Do skupiny patří uživateli práva a schopnosti k provádění různých úkolů v počítači. Následují vlastnosti některých vestavěných skupin:
Administrátoři - členství v této skupině ve výchozím nastavení poskytuje nejširší soubor oprávnění a možnost změnit vlastní oprávnění. Administrátoři mají plné, neomezené přístupová práva k počítači nebo doméně. Práce v systému Windows XP jako správce činí systém zranitelným vůči trojským koním a dalším programům, které ohrožují bezpečnost. Jednoduchá návštěva webu může vážně poškodit systém. Neznámý web může obsahovat trojský kůň, který se stáhne do systému a spustí jej. Pokud jste v současné době přihlášeni jako správce, může tento program přeformátovat pevný disk, vymazat všechny soubory, vytvořit nový uživatelský účet s přístupem pro správu a podobně.

instalace operačního systému a jeho součástí (například ovladače zařízení, systémové služby a podobně);

instalace servisních balíčků;

aktualizace operačního systému;

obnovení operačního systému;

konfigurovat nejdůležitější nastavení operačního systému (zásady hesel, řízení přístupu, zásady auditu, konfigurace ovladačů v režimu jádra a podobně);

vlastnictví souborů, které se staly nepřístupnými;

správa bezpečnostních a auditních protokolů;

archivaci a obnovení systému.

V praxi by se správní účty měly často používat k instalaci a spuštění programů napsaných pro předchozí verze systému Windows.

Zkušení uživatelé - tato skupina je podporována především pro kompatibilitu s předchozími verzemi pro provádění necertifikovaných aplikací. Výchozí oprávnění udělená této skupině umožňují členům skupiny změnit nastavení počítače. Pokud potřebujete podporu pro necertifikované aplikace, koncoví uživatelé musí být členy skupiny Power Users.
Členové skupiny Power Users mají více oprávnění než členové skupiny Users a méně než členové skupiny Administrators. Pokročilí uživatelé mohou provádět jakékoliv úkony s operačním systémem, s výjimkou úkolů vyhrazených pro skupinu "Administrators".

Pokročilí uživatelé mohou:

které jsou certifikovány pro systémy Windows 2000 a Windows XP Professional, stejně jako starší aplikace;

nainstalujte programy, které nemění soubory operačního systému a systémové služby;

konfigurovat zdroje na systémové úrovni včetně tiskáren, data a času, nastavení napájení a další zdroje ovládacího panelu;

vytvářet a spravovat místní uživatelské a skupinové účty;

zastavit a spustit systémové služby, které nejsou ve výchozím nastavení spuštěny.

Pokročilí uživatelé se nemohou přidat do skupiny Administrators. Nemají přístup k datům od ostatních uživatelů na svazku NTFS, pokud příslušná oprávnění těchto uživatelů nejsou přijata. Vzhledem k tomu, že zkušení uživatelé mohou instalovat a upravovat programy, pracující v rámci skupiny "Zkušení uživatelé" při připojení k Internetu mohou systém poškodit trojskými koni a dalšími programy, které ohrožují bezpečnost.

Uživatelé, kteří jsou členy této skupiny, nemohou sdílet složky nebo vytvářet místní tiskárny. Skupina Uživatelé poskytuje nejbezpečnější prostředí pro spouštění programů. Na svazku se systémem souborů NTFS jsou výchozí nastavení zabezpečení nově nainstalovaného (neaktualizovaného) systému navrženy tak, aby zabránily porušení integrity operačního systému a instalovaných programů členy této skupiny. Uživatelé nemohou upravovat nastavení registru na systémové úrovni, operační systém nebo programové soubory. Uživatelé mohou vypnout pracovní stanice, nikoliv servery. Uživatelé mohou vytvářet místní skupiny, ale pouze ty, které vytvořili, mohou spravovat. Uživatelé mají plný přístup k datovým souborům a jejich části registru (HKEY_CURRENT_USER). Avšak oprávnění na úrovni uživatele často neumožňují uživateli spustit zastaralé aplikace. Členům skupiny "Uživatelé" je zaručeno, že budou moci spustit pouze aplikace certifikované pro systém Windows.

Operátoři zálohování - členové této skupiny mohou archivovat a obnovovat soubory v počítači bez ohledu na všechna oprávnění, která jsou chráněna. Mohou se také přihlásit a vypnout počítač, ale nemohou změnit nastavení zabezpečení. Chcete-li archivovat a obnovovat datové soubory a systémové soubory, potřebujete oprávnění ke čtení a zápis. Výchozí oprávnění pro operátory archivu, které jim umožňují archivovat a obnovovat soubory, jim umožňuje používat skupinová oprávnění pro jiné účely, například pro čtení souborů jiných uživatelů a instalace programů s viry typu Trojan.

Hosté členové této skupiny mají ve výchozím nastavení stejná práva jako uživatelé, s výjimkou účtu Guest, který je ještě omezen v právech.

Provozovatelé konfigurace sítě - členové této skupiny mohou mít některá práva správce pro správu konfigurace síťových nastavení.

Uživatelé vzdálené plochy - Členové této skupiny se mohou přihlásit vzdáleně.

Chcete-li do určité skupiny přidat uživatelský účet, klepněte pravým tlačítkem myši na název skupiny av rozevírací nabídce vyberte položku Přidat do skupiny.

Další pokyny pro provádění těchto a dalších problémů spojených s uživatelskými účty a skupiny, stejně jako více kompletní popis uživatelských účtů a účtů skupin, viz snap nápovědy „Místní uživatelé a skupiny“.

Přílohy „Místní uživatelé a skupiny“ je důležitým prostředkem k zabezpečení, protože umožňuje omezit možné akce uživatelů a skupin a přiřadit jim práva a oprávnění. Jeden uživatelský účet může být ve více skupinách.

K tomuto modulu snap-in můžete přistupovat zadáním příkazu lusrmgr.msc na příkazovém řádku

V levé části okna, které se otevře, naleznete dvě složky - Uživatelé a Skupiny

Také pro konkrétní účet můžete přiřadit cestu k profilu a přihlašovacímu skriptu (podrobnosti viz Nápověda).

instalace operačního systému a jeho součástí (například ovladače zařízení, systémové služby a podobně);

instalace servisních balíčků;

aktualizace operačního systému;

obnovení operačního systému;

konfigurovat nejdůležitější nastavení operačního systému (zásady hesel, řízení přístupu, zásady auditu, konfigurace ovladačů v režimu jádra a podobně);

vlastnictví souborů, které se staly nepřístupnými;

správa bezpečnostních a auditních protokolů;

archivaci a obnovení systému.

V praxi by se správní účty měly často používat k instalaci a spuštění programů napsaných pro předchozí verze systému Windows.

Pokročilí uživatelé mohou:

které jsou certifikovány pro systémy Windows 2000 a Windows XP Professional, stejně jako starší aplikace;

nainstalujte programy, které nemění soubory operačního systému a systémové služby;

konfigurovat zdroje na systémové úrovni včetně tiskáren, data a času, nastavení napájení a další zdroje ovládacího panelu;

vytvářet a spravovat místní uživatelské a skupinové účty;

zastavit a spustit systémové služby, které nejsou ve výchozím nastavení spuštěny.

Hosté členové této skupiny mají ve výchozím nastavení stejná práva jako uživatelé, s výjimkou účtu Guest, který je ještě omezen v právech.

Provozovatelé konfigurace sítě - členové této skupiny mohou mít některá práva správce pro správu konfigurace síťových nastavení.

Uživatelé vzdálené plochy - Členové této skupiny se mohou přihlásit vzdáleně.

Chcete-li do určité skupiny přidat uživatelský účet, klepněte pravým tlačítkem myši na název skupiny av rozevírací nabídce vyberte položku Přidat do skupiny.

Modul snap-in se nachází v součásti "Správa počítače", což je sada nástrojů pro správu, pomocí kterých můžete spravovat jeden počítač, místní nebo vzdálený. Nástroje "Místní uživatelé a skupiny" slouží k ochraně a správě uživatelských účtů a skupin lokalizovaných v počítači. Můžete povolit oprávnění a oprávnění pro místní uživatelský nebo skupinový účet v konkrétním počítači (a pouze v tomto počítači).

Použití modulů snap-in "Místní uživatelé a skupiny" umožňuje omezit možné akce uživatelů a skupin přiřazením práv a oprávnění. Správná umožňuje uživateli provádět určité akce v počítači, jako například kopírování souborů a složek nebo vypnout počítač. Rozlišení je obvykle spojena s objektem (obvykle soubor, složku nebo tiskárnu), která určuje, kteří uživatelé a co je přístup povolen do objektu.

Vytvoření lokálního uživatelského účtu pomocí modulu snap-in "Místní uživatelé a skupiny", musíte provést následující:

1. Otevřete modul snap-in "Místní uživatelé a skupiny" jedním z následujících způsobů:

o Stiskněte tlačítko "Start" pro otevření nabídky otevřete "Ovládací panely" a ze seznamu komponent ovládacího panelu vyberte "Správa", pak otevřete komponentu "Správa počítače". V "Správa počítače" otevřít "Místní uživatelé a skupiny";

o Otevřete MMC Management Console. Chcete-li to provést, klikněte na tlačítko "Start", do pole pro vyhledávání zadejte mmc, a potom klepněte na tlačítko «Enter». Otevře se prázdná konzola MMC. V nabídce Konzole vyberte příkaz "Přidat nebo odebrat modul snap-in" nebo použijte klávesovou zkratku Ctrl + M. V dialogu "Přidání a odebrání modulů snap-in" vyberte modul snap-in "Místní uživatelé a skupiny" a klikněte na tlačítko "Přidat". Pak klikněte na tlačítko «Hotovo», a pak - tlačítko "OK". Ve stromu konzoly otevřete uzel "Místní uživatelé a skupiny (místně)";

o Pro otevření dialogu použijte kombinaci kláves + R "Spustit". V dialogovém okně "Spustit", v poli "Otevřít" zadejte lusrmgr.msc a klikněte na tlačítko "OK";

2. Otevřete uzel "Uživatelé" a buď v nabídce "Akce", nebo vyberte příkaz z místní nabídky "Nový uživatel";

3. V dialogovém okně "Nový uživatel" zadejte příslušné informace. Kromě výše uvedených údajů můžete použít následující zaškrtávací políčka: Při příštím přihlášení se požaduje změna hesla, Nedovolte uživateli změnit heslo, Heslo nevypršela, Odpojte účet a klikněte na tlačítko "Vytvořit", a pak «Zavřít».

Chcete-li přidat uživatele do skupiny, poklepejte na jméno uživatele a přejděte na stránku vlastností uživatele. Na záložce "Členství ve skupinách" klikněte na tlačítko "Přidat".

V dialogu "Výběr skupiny" můžete vybrat skupinu pro uživatele dvěma způsoby:

1. V poli "Zadejte názvy volených objektů" zadejte název skupiny a stiskněte tlačítko "Kontrola jmen", jak ukazuje následující obrázek:

2. V dialogu "Výběr skupiny" klikněte na tlačítko "Pokročilé"otevřete dialogové okno "Výběr skupiny". V tomto okně klikněte na tlačítko "Hledat"Chcete-li zobrazit seznam všech dostupných skupin, vyberte příslušnou skupinu a poklepejte na tlačítko "OK".

Tento nástroj je určen pro správu místních uživatelů a skupin. Místní uživatel nebo skupina je účet, kterému lze udělit oprávnění a práva v počítači.

K tomuto modulu snap-in můžete přistupovat zadáním příkazového řádku lusrmgr.msc. V levé části okna, které se otevře, naleznete dvě složky - Uživatelé a Skupiny.

Složka Uživatelé zobrazuje dva vestavěné uživatelské účty - Administrator a Guest, které se automaticky vytvoří při instalaci systému Windows XP, stejně jako všechny vytvořené uživatelské účty.

Účet Administrátor se používá při prvním instalaci operačního systému. Tento účet vám umožňuje provést potřebné kroky dříve, než uživatel vytvoří vlastní účet. Účet "Administrator" nelze odstranit, zakázat nebo stahovat z místní skupiny Administrators, a tím eliminovat možnost náhodného ztráty přístupu k počítači po zničení všech účtů správce. Tato vlastnost rozlišuje účet správce od ostatních členů místní skupiny Administrators.

Účet Host používané těmi, kteří v počítači nemají skutečný účet. Pokud je uživatelský účet zakázán (ale není odstraněn), může také použít účet Guest. Účet hosta nevyžaduje heslo. Ve výchozím nastavení je vypnutá, ale můžete ji zapnout.

Chcete-li přidat nový uživatelský účet, klepněte pravým tlačítkem myši na složku Uživatelé a v rozevírací nabídce vyberte možnost Nový uživatel ... V okně, které se otevře, zadejte informace a vytvořte nový účet. Chcete-li odstranit uživatelský účet, klepněte pravým tlačítkem myši na název účtu v pravém okně programu a v rozevírací nabídce vyberte možnost Odstranit.

Také pro konkrétní účet můžete přiřadit cestu k profilu a přihlašovacímu skriptu (podrobnosti viz Nápověda).

Administrátoři

Členství v této skupině ve výchozím nastavení poskytuje nejširší soubor oprávnění a možnost změnit vlastní oprávnění. Administrátoři mají plné, neomezené přístupová práva k počítači nebo doméně. Práce v systému Windows XP jako správce činí systém zranitelným vůči trojským koním a dalším programům, které ohrožují bezpečnost. Jednoduchá návštěva webu může vážně poškodit systém. Neznámý web může obsahovat trojský kůň, který se stáhne do systému a spustí jej. Pokud jste v současné době přihlášeni jako správce, může tento program přeformátovat pevný disk, vymazat všechny soubory, vytvořit nový uživatelský účet s přístupem pro správu a podobně.

instalace operačního systému a jeho součástí (například ovladače zařízení, systémové služby a podobně);
instalace servisních balíčků;
aktualizace operačního systému;
obnovení operačního systému;
konfigurovat nejdůležitější nastavení operačního systému (zásady hesel, řízení přístupu, zásady auditu, konfigurace ovladačů v režimu jádra a podobně);
vlastnictví souborů, které se staly nepřístupnými;
správa bezpečnostních a auditních protokolů;
archivaci a obnovení systému.

V praxi by se správní účty měly často používat k instalaci a spuštění programů napsaných pro předchozí verze systému Windows.

Pokročilí uživatelé

Tato skupina je podporována především pro kompatibilitu s předchozími verzemi pro provádění necertifikovaných aplikací. Výchozí oprávnění udělená této skupině umožňují členům skupiny změnit nastavení počítače. Pokud potřebujete podporu pro necertifikované aplikace, koncoví uživatelé musí být členy skupiny Power Users.

Členové skupiny „Power Users“ má více oprávnění než členové skupiny „Uživatelé“, a méně než členové skupiny „Administrators“. Power Users mohou provádět veškeré úkoly operačního systému kromě úkolů vyhrazených pro skupinu „Administrators“.

Pokročilí uživatelé mohou:

které jsou certifikovány pro systémy Windows 2000 a Windows XP Professional, stejně jako starší aplikace;
nainstalujte programy, které nemění soubory operačního systému a systémové služby;
konfigurace zdroje na úrovni systému, včetně tiskáren, datum, čas, Možnosti napájení a dalších zdrojů ovládací panel;
vytvářet a spravovat lokální uživatelských účtů a skupin;
zastavit a spustit systémové služby, které nejsou ve výchozím nastavení spuštěny.

Pokročilí uživatelé se nemohou přidat do skupiny Administrators. Nemají přístup k datům od ostatních uživatelů na svazku NTFS, pokud příslušná oprávnění těchto uživatelů nejsou přijata. Jako zkušení uživatelé mohou nastavit a měnit program, pracovat pod účtem z „Power Users“ při připojení k Internetu by mohlo systém zranitelný trojských koní a dalších programů, které ohrožují bezpečnost.

Seznam členů

Členové této skupiny nemohou sdílet složky nebo vytvářet místní tiskárny. Skupina Uživatelé poskytuje nejbezpečnější prostředí pro spouštění programů. Na svazku pomocí nastavení zabezpečení systému výchozí souborů NTFS pro nově instalované (neaktualizováno) systémy jsou navrženy tak, aby se zabránilo porušení integrity operačního systému a nainstalovaných programů, členové skupiny. Uživatelé nemohou upravovat nastavení registru na systémové úrovni, operační systém nebo programové soubory. Uživatelé mohou vypnout pracovní stanice, nikoliv servery. Uživatelé mohou vytvářet místní skupiny, ale pouze ty, které vytvořili, mohou spravovat. Uživatelé mají plný přístup ke svým datovým souborům, a jeho součástí registru (HKEY_CURRENT_USER). Avšak oprávnění na úrovni uživatele často neumožňují uživateli spustit zastaralé aplikace. Členům skupiny "Uživatelé" je zaručeno, že budou moci spustit pouze aplikace certifikované pro systém Windows.

Operátoři archivů

Členové této skupiny mohou archivovat a obnovovat soubory v počítači bez ohledu na všechna oprávnění, která jsou chráněna. Mohou se také přihlásit a vypnout počítač, ale nemohou změnit nastavení zabezpečení. Chcete-li archivovat a obnovovat datové soubory a systémové soubory, potřebujete oprávnění ke čtení a zápis. Výchozí oprávnění pro zálohování operátorů, které jim umožní zálohovat a obnovit soubory, takže je možné, aby pouze oprávnění skupiny pro jiné účely, například pro čtení souborů od ostatních uživatelů a nainstalovat software s Trojan virus.

Hosté

Členové této skupiny mají ve výchozím nastavení stejná práva jako uživatelé, s výjimkou účtu Guest, který je ještě omezenější.

Operátoři konfigurace sítě

Členové této skupiny mohou mít některá práva správce ke správě konfigurace síťových nastavení.

Uživatelé vzdálené plochy

Členové této skupiny se mohou přihlásit vzdáleně.

Chcete-li do určité skupiny přidat uživatelský účet, klepněte pravým tlačítkem myši na název skupiny av rozevírací nabídce vyberte položku Přidat do skupiny. Další informace o provádění těchto a dalších úloh týkajících se uživatelských a skupinových účtů a podrobnější popis uživatelských účtů a skupin naleznete v modulu snap-in Nápověda pro místní uživatele a skupiny.

Uživatelská práva jsou přiřazena prostřednictvím uzlu Místních zásad v zásadách skupiny. Na základě jména je zřejmé, že místní zásady patří do místního počítače. Můžete také nakonfigurovat tyto místní zásady jako součást existujících zásad skupiny pro web, doménu nebo organizační jednotku. Když to provedete, místní zásady se vztahují na účty počítače na webu, doméně nebo organizační jednotce.

Chcete-li spravovat zásady uživatelských práv, postupujte takto:

1.	Otevřete kontejner Zásady skupiny, s níž potřebujete pracovat, a potom otevřete uzel tím, že se dostanete dolů do stromu konzoly. Rozbalte uzly Konfigurace počítače, Nastavení systému Windows, Nastavení zabezpečení, pak Místní zásady.
2.	Rozbalte Přiřazení uživatelských práv (přiřazení uživatelských práv), jak je ukázáno na obrázku 8-5. Nyní můžete spravovat uživatelská práva.
3.	Chcete-li přiřadit uživatelská práva, poklepejte nebo klepněte pravým tlačítkem myši na právo uživatele a vyberte Vlastnosti. Otevře se dialogové okno Vlastnosti.
4.	Nyní můžete nakonfigurovat práva uživatele, jak je popsáno v krocích 1-4 v části "" nebo v krocích 1-7 v další části "" Obrázek 8-5. Pomocí uzlu Přiřazení uživatelských práv konfigurovat uživatelská práva aktuálního kontejneru Zásady skupiny.

Globální nastavení uživatelských práv

Můžete konfigurovat jednotlivé uživatelské práva pro web, doménu nebo organizační jednotku podle následujících kroků:

1.	Otevřete dialogové okno Vlastnosti pro uživatelské právo, jak je znázorněno na obrázku 8-6. Poznámka: Všechny zásady mohou být definovány nebo neurčeny. To znamená, že jsou buď konfigurovány k použití, nebo ne. Politiku, která není v tomto kontejneru definována, může být zděděna z jiného kontejneru.
2.	Zvolte možnost " Definujte následující nastavení zásad v šabloně (Definujte tato nastavení zásad)»Definovat zásady
3.	Chcete-li uplatnit právo na uživatele nebo skupinu, klikněte na tlačítko Přidat uživatele nebo skupinu (Přidat). Zobrazí se dialogové okno zobrazené na obrázku 8-7. V tomto okně se používají tato pole: Hledat v. Chcete-li přistupovat k účtům z jiných domén, rozbalte seznam Hledat. Zobrazí se seznam, který uvádí: aktuální doménu, důvěryhodné domény a další zdroje, které máte k dispozici. Obrázek 8-6. Definujte právo uživatele a přiřaďte jej uživateli nebo skupině. Poznámka: Pouze domény, se kterými jsou založeny vztahy důvěryhodnosti, jsou k dispozici v seznamu Look In. Výčet všech domén ze stromu domén nebo doménových struktur je možný kvůli přítomnosti přechodových vztahů důvěryhodnosti v systému Windows 2000. Trustové vztahy nejsou výslovně stanoveny. Spíše důvěryhodné vztahy jsou založeny automaticky na základě struktury lesa a souboru oprávnění. Jméno. Tento sloupec uvádí dostupné účty pro vybranou doménu nebo prostředek. Přidat. Chcete-li přidat uživatele do výběrového seznamu, použijte Přidat. Zkontrolujte jména. Potvrďte jména uživatelů a skupin zadaných v poli výběru. To je užitečné, pokud zadáváte názvy ručně a chcete se ujistit, že jsou k dispozici.
4.	Po výběru účtů, které chcete přidat do skupiny, klepněte na tlačítko OK. V dialogovém okně Název skupiny Vybrané účty se zobrazí. Klepněte znovu na tlačítko OK.
5.	Aktualizované dialogové okno Vlastnosti zobrazuje vybrané uživatele. Pokud uděláte chybu, vyberte název a odstraňte jej klepnutím na tlačítko Odebrat.
6.	Pokud jste dokončili přiřazení oprávnění uživatelům a skupinám, klepněte na tlačítko OK.

Lokální konfigurace uživatelských práv

Chcete-li přiřadit uživatelská práva k místnímu počítači, postupujte takto:

1.	Otevřete dialogové okno Vlastnosti pro konfiguraci práv zobrazených na obrázku 8-8.
2.	Aktuální zásady pro počítač jsou zobrazeny, ale nemůžete je změnit. Nastavení místních zásad však můžete změnit pomocí zvláštních polí. Nezapomeňte, že pravidla týkající se webových stránek, domén a organizací mají nadřazenost místních politik. Obrázek 8-7. K přiřazení práv uživatelům nebo skupinám použijte dialogové okno Vybrat: Uživatelé nebo Skupiny.
3.	Počítat Přiřazeno k zobrazuje aktuální uživatele a skupiny, ke kterým bylo přiřazeno právo. Zkontrolujte nebo zrušte zaškrtnutí příslušných polí pod rámečkem Nastavení místní politikypřiřadit nebo zrušit právo uživatele.

Toto právo můžete přidělit dalším uživatelům a skupinám kliknutím na tlačítko Přidat. Otevře se dialogové okno. Výběr: Uživatelé nebo skupiny (Výběr: Uživatelé nebo skupiny), jak je znázorněno na obrázku 8-7 dříve. Nyní můžete přidat uživatele a skupiny.

Přidání uživatelského účtu

Pro každého uživatele, který potřebuje použít síťové prostředky, musíte vytvořit účet. Uživatelské účty domény jsou vytvořeny pomocí modulu snap-in Uživatelé a počítače služby Active Directory. Místní účty jsou vytvořeny pomocí modulu snap-in Místní uživatelé a skupiny.

Vytvoření uživatelských účtů domény

Existují dva způsoby vytvoření nových uživatelských účtů v doméně:

Vytvořte zcela nový uživatelský účet. Chcete-li vytvořit zcela nový účet, klepněte pravým tlačítkem myši na kontejner, do kterého chcete účet umístit, vyberte možnost Nový, Uživatel. Zobrazí se okno průvodce zobrazené na obrázku 8-9. Při vytváření nového účtu se používají výchozí nastavení systému.

Obrázek 8-8. Určete právo uživatele a přiřaďte jej uživatelům nebo skupinám.

Vytvořte nový účet založený na existujícím účtu. Klepněte pravým tlačítkem myši na uživatelský účet, který chcete zkopírovat do modulu snap-in a potom klepněte na tlačítko Kopírovat. Otevře se průvodce. Kopírovat objekt - Uživatel (Kopírovat objekt - Uživatel), podobně jako master Nový objekt - Uživatel (Nový objekt - Uživatel). Ačkoli vytváříte kopii účtu, nový účet přijímá většinu nastavení ze stávajícího účtu. Další informace o kopírování účtů naleznete v části " Kopírování účtů domény"(" Kopírování uživatelských účtů domény ") Kapitola 9.

Spuštěním jednoho z průvodců, Nový objekt - Uživatel nebo Kopírovat objekt - Uživatel, můžete vytvořit účet podle následujících kroků:

1.	První dialogové okno průvodce se používá k konfiguraci zobrazeného uživatelského jména a přihlašovacího jména, jak je znázorněno na obrázku 8-9.
2.	Zadejte uživatelské jméno a příjmení do příslušných polí. Jméno a příjmení se používají k vytvoření úplného jména, což je zobrazované jméno uživatele.
3.	Zadejte do pole Celé jméno nezbytné změny. Například budete možná muset zadat jméno ve formátu "Příjmení jméno" nebo ve tvaru "Jméno příjmení". Celé jméno musí být v doméně jedinečné a ne delší než 64 znaků.
4.	V poli Přihlašovací jméno uživatele zadejte své uživatelské jméno pro přihlášení. Poté vyberte z rozbalovacího seznamu doménu, ze které chcete účet propojit. Toto jednoznačně identifikuje přihlašovací jméno.
5.	Chcete-li vytvořit přihlašovací jméno kompatibilní se systémem Windows NT 4.0 nebo staršími verzemi systému Windows, použije se prvních 20 znaků přihlašovacího jména systému Windows 2000. Přihlašovací jméno musí být v doméně jedinečné. V případě potřeby změňte přihlašovací jméno Windows NT 4.0 nebo starší. Obrázek 8-9. Konfigurace přihlašovacího a zobrazovaného jména uživatele.
6.	Klepněte na tlačítko Další. Konfigurujte heslo uživatele pomocí dialogového okna zobrazeného na obrázku 8-10. Pole v tomto dialogovém okně jsou uvedeny níže: Pokud je zaškrtnuto, heslo pro tento účet není omezeno. Toto nastavení přepíše zásady účtu domény. Obvykle se nedoporučuje nastavovat hesla bez data exspirace, protože to je v rozporu se samotnou myšlenkou používání hesel.
7.	Klepněte na tlačítko Další a klepnutím na tlačítko Dokončit vytvořte účet. Pokud se při vytváření účtu setkáte s problémy, uvidíte varování a budete muset použít tlačítko Zpět pro opětovné zadání informací o uživatelském jménu a hesle v příslušných dialogových oknech, je-li to nutné.

Po vytvoření účtu můžete nastavit další vlastnosti, které jsou popsány později v této kapitole.

Obrázek 8-10. Nastavení hesla uživatele.

Vytvořte místní uživatelské účty

Místní uživatelské účty jsou vytvořeny pomocí modulu snap-in Místní uživatelé a skupiny. Chcete-li získat přístup k tomuto nástroji a vytvořit účet, je třeba provést následující kroky:

1.	, nebo jen vybrat Správa počítačů ve složce.
2.	Správa počítačů z kontextové nabídky. Nyní můžete vybrat počítač, jehož uživatelské účty je třeba spravovat. Řadiče domény nemají místní uživatele a skupiny.
3.	Rozbalte uzel kliknutím na znaménko plus (+) vedle něj a vyberte.
4.	Klepněte pravým tlačítkem myši na složku Uživatelé (uživatelé) a zvolte. Otevře se dialogové okno. Nový uživatel, jak je znázorněno na obrázku 8-11. Pole v tomto dialogovém okně jsou uvedeny níže: Uživatel. Přihlašovací jméno pro uživatelský účet. Tento název musí odpovídat pravidlům zásad místního názvu. Celé jméno. Úplné uživatelské jméno, například William R. Stanek Popis (popis). Popis uživatele. Obvykle je v tomto poli zaznamenáno jméno příspěvku uživatele, například "správce webu" nebo název příspěvku a oddělení. Heslo. Heslo účtu. Toto heslo musí odpovídat pravidlům vašeho hesla. Potvrďte heslo. Pole je určeno pro správné zadání hesla účtu. Znovu zadejte heslo a potvrďte jej. Obrázek 8-11. Nastavení lokálního uživatelského účtu se liší od nastavení účtu domény. Požádejte o změnu hesla při příštím přihlášení (uživatel musí změnit heslo při dalším přihlášení). Pokud je zaškrtnuto toto políčko, uživatel při přihlašování musí změnit heslo. Zakázat změnu hesla uživatele (uživatel nemůže změnit heslo). Pokud je zaškrtnuto, uživatel nemůže změnit heslo. Heslo nevypršela (heslo nikdy neplatí). Pokud je zaškrtnuto, heslo pro tento účet není omezeno. Toto nastavení přepíše zásady účtu domény. Zakázat účet (účet je zakázán). Pokud je zaškrtnuto toto políčko, účet je zakázán a nelze jej použít. Použijte toto zaškrtávací políčko k dočasnému uzamčení účtu.
5.	Po dokončení nastavení nového účtu klikněte na tlačítko Vytvořit.

Vytvořte účet skupiny

Skupiny se používají ke správě práv více uživatelů. Účty globální skupiny (Poznámka: Translator: Skupiny zabezpečení služby Active Directory, které obsahují účty pouze z vlastní domény) jsou vytvořeny pomocí modulu snap-in Uživatelé a počítače služby Active Directory, místní účty skupiny pomocí místních uživatelů a (místní uživatelé a skupiny).

Při vytváření skupinových účtů si pamatujte, že skupiny jsou vytvořeny pro podobné typy uživatelů. Některé typy skupin, které budete potřebovat vytvořit, jsou uvedeny níže:

	Skupiny pro odbory organizace. Uživatelé, kteří pracují ve stejném oddělení, obvykle potřebují přístup ke stejným zdrojům. Proto můžete vytvářet skupiny pro oddělení, jako je vývojové oddělení, obchodní oddělení, marketingové oddělení nebo inženýrské oddělení.
	Skupiny pro uživatele speciálních aplikací. Uživatelé často potřebují přístup k aplikaci a prostředkům spojeným s touto aplikací. Pokud vytváříte skupiny pro uživatele určité aplikace, můžete si být jisti, že uživatelé mají přístup k potřebným zdrojům a souborům aplikace.
	Skupiny založené na odpovědnosti uživatele . Skupiny mohou být také vytvořeny na principu sdílení povinností uživatelů. Například manažer, pozorovatel a běžný uživatel potřebují přístup k různým zdrojům. Vytváření skupin na tomto principu si můžete být jisti, že práva na přístup k potřebným zdrojům jsou poskytnuty uživatelům, kteří je potřebují.

Vytvořte globální skupinu

Chcete-li vytvořit globální skupinu, musíte provést následující kroky:

1.	Spusťte modul snap-in Active Directory - uživatelé a počítače (uživatelé a počítače služby Active Directory). Klepněte pravým tlačítkem myši na kontejner, do kterého chcete umístit účet skupiny. Potom vyberte možnost Nový -\u003e Skupina. Otevře se dialogové okno. Nový objekt - Skupina (Nový objekt - Skupina), jak je znázorněno na obrázku 8-12.
2.	Zadejte název skupiny. Názvy globálních skupin účtů musí splňovat pravidla pro zobrazení názvů uživatelských účtů. Nejsou citlivé na velká a malá písmena a nesmí být delší než 64 znaků.
3.	Při vytvoření názvu skupiny pro kompatibilitu se systémem Windows NT 4.0 nebo staršími verzemi systému Windows se používají prvních 20 znaků názvu skupiny Windows 2000. Název skupiny musí být v doméně jedinečný. V případě potřeby změňte název skupiny Windows NT 4.0 nebo starší. Obrázek 8-12. Dialogové okno Nový objekt - skupina umožňuje přidat do domény nové globální skupiny.
4.	Vyberte oblast skupiny: místní doména, globální nebo univerzální.
5.	Vyberte typ skupiny: skupina zabezpečení nebo distribuční skupina.
6.	Klepnutím na tlačítko OK vytvořte skupinu. Nyní můžete do skupiny přidat uživatele a nastavit další vlastnosti, které jsou popsány později v této kapitole.

Vytvořte místní skupinu a přidejte členy

Místní skupiny jsou vytvořeny pomocí modulu snap-in Místní uživatelé a skupiny. Můžete ji otevřít podle následujících kroků:

1.	Klepněte na tlačítko Start, programy, Nástroje pro správu, Správa počítačů nebo jen vybrat Správa počítačů ve složce Nástroje pro správu.
2.	Klepněte pravým tlačítkem na uzel Správa počítačů Ve stromu konzoly vyberte položku Připojení k jinému počítači (Připojení k jinému počítači) z kontextové nabídky. Nyní můžete vybrat počítač, jehož účty je třeba spravovat. Řadiče domény nemají místní uživatele a skupiny.
3.	Otevřete uzel Systémové nástrojeklepnutím na znaménko plus (+) odpovídající tomuto uzlu a výběrem Místní uživatelé a skupiny.
4.	Klepněte pravým tlačítkem myši na složku Skupiny a vyberte Nová skupina. Otevře se dialogové okno. Nová skupina, jak je znázorněno na obrázku 8-13.
5.	Po zadání názvu a popisu skupiny klikněte na tlačítko Přidat pro přidání uživatelů do této skupiny. Otevře se dialogové okno. Vyberte: Uživatelé nebo skupiny (vyberte uživatele nebo skupiny), jak je znázorněno na obrázku 8-7. Nyní můžete do skupiny přidat členy. Pole tohoto dialogového okna jsou popsána níže: Vyhledávání v (Look In). Chcete-li získat přístup k účtům jiných počítačů a domén, klikněte na seznam Vyhledat. Zobrazí se seznam se seznamem aktuálního počítače, důvěryhodných domén a dalších zdrojů, ke kterým máte přístup. Jméno. Tento graf zobrazuje dostupné účty vybrané domény nebo zdroje. Přidat (Přidat). Přidat vybraná jména do výběrového seznamu. Zkontrolujte jména (Zkontrolujte jména). Potvrďte jména uživatelů a skupin zadaných v poli výběru. To je užitečné, když ručně zadáváte názvy a chcete se ujistit, že jsou k dispozici.
6.	Po výběru názvů účtů, které chcete přidat do skupiny, klepněte na tlačítko OK.
7.	Dialogové okno Nová skupina aktualizované tak, aby odrážely vaši volbu. Pokud uděláte chybu, vyberte název a odstraňte jej klepnutím na tlačítko Odebrat.
8.	Po dokončení přidávání nebo odebrání členů skupiny klikněte na tlačítko Vytvořit. Obrázek 8-13. Dialog Nové skupiny umožňuje přidat novou místní skupinu.

Spravujte členství v globální skupině

Chcete-li konfigurovat členství ve skupině, použijte modul snap-in Uživatelé a počítače služby Active Directory. Při práci se skupinami nezapomeňte na následující body:

Modul snap-in Uživatelé a počítače služby Active Directory poskytuje několik způsobů správy členství ve skupině. Můžete:

Správa členství jednotlivých uživatelů a počítačů

Můžete přidat nebo odebrat členství ve skupině pro jakýkoli typ účtu následujícím postupem:

1.	Poklepejte na uživatele, počítač nebo skupinu v modulu snap-in Active Directory - uživatelé a počítače (uživatelé a počítače služby Active Directory)
2.	Vyberte kartu Člen.
3.	Chcete-li vytvořit účet člena skupiny, klikněte na tlačítko Přidat. Objeví se stejné dialogové okno Vyberte: Skupiny (Vybrat skupiny), jako dialogové okno Vyberte: Uživatelé nebo skupiny (vyberte uživatele nebo skupiny), popsané v předchozích příkladech.
4.	Chcete-li odstranit účet ze skupiny, vyberte skupinu a klepněte na tlačítko Odebrat.
5.	Klepněte na tlačítko OK.

Správa členství více uživatelů nebo počítačů

Dialogové okno Vlastnosti také umožňuje spravovat členství ve skupině. Chcete-li přidat nebo odebrat účty, postupujte takto:

1.	Poklepejte na uživatele nebo počítač v modulu snap-in Active Directory - uživatelé a počítače (uživatelé a počítače služby Active Directory). Zobrazí se dialogové okno Vlastnosti účtu.
2.	Vyberte kartu Členové.
3.	Klepnutím na tlačítko Přidat přidejte účty do skupiny. Otevře se dialogové okno. Vyberte: uživatelé nebo skupiny (vyberte uživatele nebo skupiny). Vyberte uživatele, počítače a skupiny, které by měly být členy této skupiny.
4.	Chcete-li členy ze skupiny odebrat, vyberte účet a klepněte na tlačítko Odebrat.
5.	Klepněte na tlačítko OK.

Nastavení členství v základní skupině uživatelů a počítačů

Hlavní skupiny používají uživatelé, kteří pracují se systémem Windows 2000 prostřednictvím služeb kompatibilních s počítačem Macintosh. Když uživatel Mac vytváří soubory nebo složky v počítači se systémem Windows 2000, jádrová skupina je přiřazena těmto souborům a složkám.

Všechny uživatelské a počítačové účty musí mít základní skupinu, bez ohledu na to, zda pracují se systémem Windows 2000 přes Macintosh nebo nikoliv. Tato skupina musí být globální nebo univerzální, například globální skupina doménových uživatelů nebo globální skupina doménových počítačů.

Chcete-li nastavit primární skupinu, postupujte takto:

Všichni uživatelé musí být členy nejméně jedné hlavní skupiny. Nemůžete zrušit členství uživatele v hlavní skupině, pokud nenahradíte uživatele jiné základní skupině. Postupujte takto:

Materiál je převzat z knihy "Windows 2000. Příručka správce". Autor William R. Stanek (William R. Stanek). © Microsoft Corporation, 1999. Všechna práva vyhrazena.