Dodaj v zaznamke
Pišite namO spletišču

Konfiguriranje politik upravljanja pravic uporabnikov. Ustvarite račun s snap-inom Lokalni uporabniki in skupine

Snap-in lokalnih uporabnikov in skupin je pomembna varnostna funkcija, saj omogoča omejitev možnih dejanj uporabnikov in skupin z dodeljevanjem pravic in dovoljenj. En uporabniški račun je lahko v več kot eni skupini.

Do te snap-in lahko dostopate tako, da vnesete ukazna vrstica   lusrmgr.msc

V levem delu okna, ki se odpre, si lahko ogledate dve mapi - Uporabniki in Skupine

V mapi »Uporabniki« so prikazana dva vgrajena uporabniška računa - skrbnik in gost, ki se ustvarita samodejno, ko namestite Wundows XP, in vse ustvarjene uporabniške račune.

Uporabniški račun se uporablja prvič, ko ga namestite operacijski sistem. Ta račun vam omogoča, da izvedete potrebne ukrepe, preden uporabnik ustvari svoj račun. Račun "Administrator" ni mogoče izbrisati, onemogočiti ali preklicati lokalna skupina   Skrbniki, ki odpravijo možnost nenamerne izgube dostopa do računalnika po uničenju vseh skrbniških računov. Ta lastnost razlikuje skrbniški račun od preostalih članov lokalne skupine skrbnikov. Račun gosta uporabljajo tisti, ki nimajo resničnega račun   na računalniku. Če je uporabniški račun onemogočen (vendar ni izbrisan), lahko uporablja tudi gostov račun. Račun gosta ne zahteva gesla. Privzeto je onemogočen, vendar ga lahko vklopite.

Če želite dodati nov uporabniški račun, z desno miškino tipko kliknite mapo Uporabniki in v spustnem meniju izberite Nov uporabnik ... V oknu, ki se odpre, vnesite podatke za ustvarjanje novega računa. Če želite izbrisati uporabniški račun, z desno miškino tipko kliknite ime računa v desnem oknu programa in v spustnem meniju izberite Izbriši.

Tudi za določen račun lahko določite pot do profila in prijavnega skripta (za podrobnosti glejte Pomoč).

V mapi Skupine so prikazane vse vgrajene skupine in skupine, ki jih je ustvaril uporabnik. Vgrajene skupine se samodejno ustvarijo, ko namestite Windows   XP. Pripadajoči skupini daje uporabniku pravice in zmožnosti za opravljanje različnih nalog na računalniku. V nadaljevanju so lastnosti nekaterih vgrajenih skupin:
Skrbniki - članstvo v tej skupini po privzetku zagotavlja najširši nabor dovoljenj in možnost spreminjanja lastnih dovoljenj. Skrbniki imajo polno neomejene pravice do dostopa do računalnika ali domene. Delo v operacijskem sistemu Windows XP kot skrbnik naredi sistem ranljivim za trojanske konje in druge programe, ki ogrožajo varnost. Preprost obisk spletnega mesta lahko resno poškoduje sistem. Neznana spletna stran lahko vsebuje trojan, ki bo prenesen v sistem in izvršen. Če ste trenutno prijavljeni kot skrbnik, lahko ta program preoblikuje trdi disk, izbriše vse datoteke, ustvari nov uporabniški račun z administrativnim dostopom in tako naprej.

namestitev operacijskega sistema in njegovih komponent (na primer gonilnikov naprav, sistemskih storitev in tako naprej);

namestitev servisnih paketov;

posodabljanje operacijskega sistema;

obnovitev operacijskega sistema;

konfigurirajte najpomembnejše nastavitve operacijskega sistema (politika gesla, nadzor dostopa, revizijska politika, konfigurirate gonilnike v načinu jedra in tako naprej);

lastništvo datotek, ki so postale nedostopne;

upravljanje varnostnih in revizijskih dnevnikov;

arhiviranje in obnavljanje sistema.

V praksi se računi administratorjev pogosto uporabljajo za namestitev in zagon programov, napisanih za prejšnje različice sistema Windows.

Izkušeni uporabniki - ta skupina je v glavnem podprta za združljivost s prejšnjimi različicami za izvajanje neproverjenih aplikacij. Privzeta dovoljenja, dodeljena tej skupini, omogočajo članom skupine, da spremenijo nastavitve računalnika. Če potrebujete podporo za neproverjene aplikacije, morajo biti končni uporabniki člani skupine Power Users.
Člani skupine Advanced User imajo več pravic kot člani skupine uporabnikov in manj kot člani skupine skrbnikov. Napredni uporabniki lahko izvajajo katera koli opravila z operacijskim sistemom, razen nalog, rezerviranih za skupino »Skrbniki«.

Napredni uporabniki lahko:

ki so certificirani za Windows 2000 in Windows XP Professional, pa tudi starejše aplikacije;

namestite programe, ki ne spreminjajo datotek operacijskega sistema in sistemskih storitev;

konfigurirate vire na ravni sistema, vključno s tiskalniki, datumom in časom, nastavitvami napajanja in drugimi viri nadzorne plošče;

ustvarjanje in upravljanje lokalnih računov uporabnikov in skupin;

zaustavite in zaženite sistemske storitve, ki se ne zaženejo privzeto.

Napredni uporabniki se ne morejo pridružiti skupini skrbnikov. Nimajo dostopa do podatkov drugih uporabnikov v zvezku NTFS, če ustrezna dovoljenja teh uporabnikov niso prejeta. Ker izkušeni uporabniki lahko namestijo in spreminjajo programe, ki delajo pod skupino »Izkušeni uporabnik« pri povezovanju z internetom, lahko sistem postane občutljiv na trojanske konje in druge programe, ki ogrožajo varnost.

Uporabniki - člani te skupine ne morejo organizirati skupni dostop   do imenikov ali ustvarite lokalni tiskalniki. Skupina Uporabniki zagotavlja najbolj varno okolje za izvajanje programov. Na volumnu z datotečnim sistemom NTFS so privzete varnostne nastavitve novega (ne nadgrajenega) sistema namenjene preprečevanju integritete operacijskega sistema in vzpostavljenih programov   člani te skupine. Uporabniki ne morejo spremeniti nastavitev registra na sistemski ravni, operacijskem sistemu ali programskih datotekah. Uporabniki lahko zaprejo delovne postaje, ne pa tudi strežnike. Uporabniki lahko ustvarijo lokalne skupine, vendar lahko upravljajo samo tiste, ki so jih ustvarili. Uporabniki imajo popoln dostop do njihovih podatkovnih datotek in njihovega dela registra (HKEY_CURRENT_USER). Vendar pa dovoljenja na ravni uporabnika pogosto ne dovoljujejo uporabniku zaganjati zastarelih aplikacij. Člani skupine "Uporabniki" bodo lahko zagnali samo aplikacije, certificirane za Windows.

Operaterji za varnostno kopiranje - člani te skupine lahko arhivirajo in obnovijo datoteke v računalniku ne glede na vsa dovoljenja, ki so zaščitena s temi datotekami. Lahko se tudi prijavijo in zaprejo računalnik, vendar ne morejo spremeniti varnostnih nastavitev. Za arhiviranje in obnovitev podatkovnih datotek in sistemskih datotek potrebujete dovoljenja za branje in pisanje. Privzeta dovoljenja za arhivske operaterje, ki jim omogočajo arhiviranje in obnovitev datotek, omogočajo, da uporabljajo dovoljenja skupine za druge namene, na primer za branje datotek drugih uporabnikov in namestitev programov s Trojanskimi virusi.

Gostje v tej skupini imajo privzeto enake pravice kot uporabniki, razen računa gosta, ki je še bolj omejen na pravice.

Operaterji omrežne konfiguracije - člani te skupine imajo lahko nekatere upravne pravice za upravljanje konfiguracije omrežnih nastavitev.

Uporabniki oddaljenih namizij - Članom te skupine se lahko prijavite na daljavo.

Če želite dodati uporabniški račun določeni skupini, z desno tipko miške kliknite ime skupine in v spustnem meniju izberite Dodaj v skupino.

Za dodatno pomoč pri izvajanju teh in drugih težav, povezanih z uporabniškimi računi in skupinami, kot tudi bolj popolni opis uporabniških in skupinskih računov, glejte pomoč snap "Lokalni uporabniki in skupine«.

    Snap-in lokalnih uporabnikov in skupin je pomembna varnostna funkcija, saj omogoča omejitev možnih dejanj uporabnikov in skupin z dodeljevanjem pravic in dovoljenj. En uporabniški račun je lahko v več kot eni skupini.

Snap-in lahko dostopate tako, da v ukazni vrstici vnesete lusrmgr.msc

V levem delu okna, ki se odpre, si lahko ogledate dve mapi - Uporabniki in Skupine

V mapi »Uporabniki« so prikazana dva vgrajena uporabniška računa - skrbnik in gost, ki se ustvarita samodejno, ko namestite Wundows XP, in vse ustvarjene uporabniške račune.

Račun skrbnika se prvič uporabi za namestitev operacijskega sistema. Ta račun vam omogoča, da izvedete potrebne ukrepe, preden uporabnik ustvari svoj račun. Račun "Administrator" ni mogoče odstraniti, onemogočite ali odstopi od lokalne skupine skrbnikov, s čimer se prepreči možnost, da naključno izgubo dostopa do računalnika po uničenju vseh skrbniških računov. Ta lastnost razlikuje skrbniški račun od drugih članov lokalne skupine skrbnikov. Račun gosta uporabljajo tisti, ki nimajo pravega računa v računalniku. Če je uporabniški račun onemogočen (vendar ni izbrisan), lahko uporablja tudi gostov račun. Račun gosta ne zahteva gesla. Privzeto je onemogočen, vendar ga lahko vklopite.

Če želite dodati nov uporabniški račun, z desno miškino tipko kliknite mapo Uporabniki in v spustnem meniju izberite Nov uporabnik ... V oknu, ki se odpre, vnesite podatke za ustvarjanje novega računa. Če želite izbrisati uporabniški račun, z desno miškino tipko kliknite ime računa v desnem oknu programa in v spustnem meniju izberite Izbriši.

Tudi za določen račun lahko določite pot do profila in prijavnega skripta (za podrobnosti glejte Pomoč).

V mapi Skupine so prikazane vse vgrajene skupine in skupine, ki jih je ustvaril uporabnik. Vgrajene skupine se samodejno ustvarijo, ko namestite Windows XP. Pripadajoči skupini daje uporabniku pravice in zmožnosti za opravljanje različnih nalog na računalniku. V nadaljevanju so lastnosti nekaterih vgrajenih skupin:
Skrbniki - članstvo v tej skupini po privzetku zagotavlja najširši nabor dovoljenj in možnost spreminjanja lastnih dovoljenj. Skrbniki imajo polno neomejene pravice do dostopa do računalnika ali domene. Delo v operacijskem sistemu Windows XP kot skrbnik naredi sistem ranljivim za trojanske konje in druge programe, ki ogrožajo varnost. Preprost obisk spletnega mesta lahko resno poškoduje sistem. Neznana spletna stran lahko vsebuje trojan, ki bo prenesen v sistem in izvršen. Če ste trenutno prijavljeni kot skrbnik, lahko ta program preoblikuje trdi disk, izbriše vse datoteke, ustvari nov uporabniški račun z administrativnim dostopom in tako naprej.

namestitev operacijskega sistema in njegovih komponent (na primer gonilnikov naprav, sistemskih storitev in tako naprej);

namestitev servisnih paketov;

posodabljanje operacijskega sistema;

obnovitev operacijskega sistema;

konfigurirajte najpomembnejše nastavitve operacijskega sistema (politika gesla, nadzor dostopa, revizijska politika, konfigurirate gonilnike v načinu jedra in tako naprej);

lastništvo datotek, ki so postale nedostopne;

upravljanje varnostnih in revizijskih dnevnikov;

arhiviranje in obnavljanje sistema.

V praksi se računi administratorjev pogosto uporabljajo za namestitev in zagon programov, napisanih za prejšnje različice sistema Windows.

Izkušeni uporabniki - ta skupina je v glavnem podprta za združljivost s prejšnjimi različicami za izvajanje neproverjenih aplikacij. Privzeta dovoljenja, dodeljena tej skupini, omogočajo članom skupine, da spremenijo nastavitve računalnika. Če potrebujete podporo za neproverjene aplikacije, morajo biti končni uporabniki člani skupine Power Users.
Člani skupine Advanced User imajo več pravic kot člani skupine uporabnikov in manj kot člani skupine skrbnikov. Napredni uporabniki lahko izvajajo katera koli opravila z operacijskim sistemom, razen nalog, rezerviranih za skupino »Skrbniki«.

Napredni uporabniki lahko:

ki so certificirani za Windows 2000 in Windows XP Professional, pa tudi starejše aplikacije;

namestite programe, ki ne spreminjajo datotek operacijskega sistema in sistemskih storitev;

konfigurirate vire na ravni sistema, vključno s tiskalniki, datumom in časom, nastavitvami napajanja in drugimi viri nadzorne plošče;

ustvarjanje in upravljanje lokalnih računov uporabnikov in skupin;

zaustavite in zaženite sistemske storitve, ki se ne zaženejo privzeto.

Napredni uporabniki se ne morejo pridružiti skupini skrbnikov. Nimajo dostopa do podatkov drugih uporabnikov v zvezku NTFS, če ustrezna dovoljenja teh uporabnikov niso prejeta. Ker izkušeni uporabniki lahko namestijo in spreminjajo programe, ki delajo pod skupino »Izkušeni uporabnik« pri povezovanju z internetom, lahko sistem postane občutljiv na trojanske konje in druge programe, ki ogrožajo varnost.

Uporabniki, ki so člani te skupine, ne morejo deliti map ali ustvariti lokalnih tiskalnikov. Skupina Uporabniki zagotavlja najbolj varno okolje za izvajanje programov. Na nosilcu z uporabo varnostnih sistem privzete nastavitve NTFS datoteke za sisteme, ki na novo nameščeni (ne nadgraditi) so zasnovani za preprečevanje kršitev integritete operacijskega sistema in nameščenih programov, članov skupine. Uporabniki ne morejo spremeniti nastavitev registra na sistemski ravni, operacijskem sistemu ali programskih datotekah. Uporabniki lahko zaprejo delovne postaje, ne pa tudi strežnike. Uporabniki lahko ustvarijo lokalne skupine, vendar lahko upravljajo samo tiste, ki so jih ustvarili. Uporabniki imajo popoln dostop do njihovih podatkovnih datotek in njihovega dela registra (HKEY_CURRENT_USER). Vendar pa dovoljenja na ravni uporabnika pogosto ne dovoljujejo uporabniku zaganjati zastarelih aplikacij. Člani skupine "Uporabniki" bodo lahko zagnali samo aplikacije, certificirane za Windows.

Operaterji za varnostno kopiranje - člani te skupine lahko arhivirajo in obnovijo datoteke v računalniku ne glede na vsa dovoljenja, ki so zaščitena s temi datotekami. Lahko se tudi prijavijo in zaprejo računalnik, vendar ne morejo spremeniti varnostnih nastavitev. Za arhiviranje in obnovitev podatkovnih datotek in sistemskih datotek potrebujete dovoljenja za branje in pisanje. Privzeta dovoljenja za arhivske operaterje, ki jim omogočajo arhiviranje in obnovitev datotek, omogočajo, da uporabljajo dovoljenja skupine za druge namene, na primer za branje datotek drugih uporabnikov in namestitev programov s Trojanskimi virusi.

Gostje v tej skupini imajo privzeto enake pravice kot uporabniki, razen računa gosta, ki je še bolj omejen na pravice.

Operaterji omrežne konfiguracije - člani te skupine imajo lahko nekatere upravne pravice za upravljanje konfiguracije omrežnih nastavitev.

Uporabniki oddaljenih namizij - Članom te skupine se lahko prijavite na daljavo.

Če želite dodati uporabniški račun določeni skupini, z desno tipko miške kliknite ime skupine in v spustnem meniju izberite Dodaj v skupino.

Za dodatno pomoč pri izvajanju teh in drugih težav, povezanih z uporabniškimi računi in skupinami, kot tudi bolj popolni opis uporabniških in skupinskih računov, glejte pomoč snap "Lokalni uporabniki in skupine«.

Snap-in se nahaja v komponenti "Upravljanje računalnika", ki je nabor skrbniških orodij, s katerimi lahko upravljate en računalnik, lokalni ali oddaljeni. Orodje "Lokalni uporabniki in skupine"   služi za zaščito in upravljanje uporabniških računov in skupin, gostujočih lokalno na računalniku. Dovoljenja in dovoljenja za lokalni uporabniški ali skupinski račun lahko dodelite določenemu računalniku (in samo v tem računalniku).

Uporaba zaslona "Lokalni uporabniki in skupine"   omogoča omejitev možnih dejanj uporabnikov in skupin tako, da jim dodelite pravice in dovoljenja. Pravica omogoča uporabniku, da na računalniku izvaja določene ukrepe, na primer arhiviranje datotek in map ali zaustavitev računalnika. Dovoljenje je pravilo, ki je povezano z objektom (ponavadi z datoteko, mapo ali tiskalnikom), ki določa, kateri uporabniki in kakšen dostop do predmeta je dovoljen.

Če želite s pomočjo zaslona ustvariti lokalni uporabniški račun "Lokalni uporabniki in skupine", morate storiti naslednje:

1. Odprite snap-in "Lokalni uporabniki in skupine"   na enega od naslednjih načinov:

o Pritisnite gumb "Začni"   da odprete meni, odprite "Nadzorna plošča" in s seznama komponent nadzorne plošče, izberite "Uprava", nato odprite komponento "Upravljanje računalnika". V Ljubljani "Upravljanje računalnika"   odprto "Lokalni uporabniki in skupine";

o Odprte MMC Management Console. Če želite to narediti, kliknite na gumb "Začni", v iskalno polje vnesite mmcin nato kliknite gumb «Vstopi». Odpre se prazna konzola MMC. V meniju Konzola   izberite ukaz »Dodaj ali odstranite zaskočen«   ali uporabite bližnjico na tipkovnici Ctrl + M. V dialogu "Dodajanje in odstranjevanje zaskočkov"   izberite snap-in "Lokalni uporabniki in skupine"   in kliknite na gumb "Dodaj". Nato kliknite na gumb «Končano», nato pa - gumb "OK". V drevesu konzole odprite vozlišče "Lokalni uporabniki in skupine (lokalno)";

o Če želite odpreti pogovor, uporabite kombinacijo tipk + R "Zaženi". V pogovornem oknu "Zaženi", na terenu "Odpri"   vnesite lusrmgr.msc   in kliknite na gumb "OK";

2. Odprite vozlišče "Uporabniki"   in bodisi v meniju "Dejanje", ali izberite ukaz iz kontekstnega menija "Nov uporabnik";


3. V pogovornem oknu "Nov uporabnik"   vnesite ustrezne podatke. Poleg zgornjih podatkov lahko uporabite tudi naslednja potrditvena polja: Ob naslednjem prijavi se zahteva spreminjanje gesla, Ne dovolite uporabniku spremeniti gesla, Geslo ni poteklo, Prekini povezavo   in kliknite na gumb "Ustvari", in potem «Zapri».


Če želite uporabniku dodati skupino, dvokliknite uporabniško ime za dostop do strani z lastnostmi uporabnika. Na jezičku "Članstvo v skupinah"   kliknite na gumb "Dodaj".

V dialogu "Izbira skupine"   lahko izberete skupino za uporabnika na dva načina:

1. Na polju "Vnesite imena izbranih predmetov"   vnesite ime skupine in pritisnite gumb "Preveri imena", kot je prikazano na naslednji sliki zaslona:

2. V dialogu "Izbira skupine"   kliknite na gumb "Napredno"da odprete pogovorno okno "Izbira skupine". V tem oknu kliknite na gumb "Iskanje"Če želite prikazati seznam vseh razpoložljivih skupin, izberite ustrezno skupino in dvokliknite gumb "OK".

To orodje je namenjeno upravljanju lokalnih uporabnikov in skupin. Lokalni uporabnik ali skupina je račun, ki mu lahko dodelite dovoljenja in pravice v računalniku.

Snap-in lokalnih uporabnikov in skupin je pomembna varnostna funkcija, saj omogoča omejitev možnih dejanj uporabnikov in skupin z dodeljevanjem pravic in dovoljenj. En uporabniški račun je lahko v več kot eni skupini.

Do zaslona lahko dostopate tako, da vnesete v ukazno vrstico lusrmgr.msc. V levem delu okna, ki se odpre, si lahko ogledate dve mapi - Uporabniki in Skupine.

V mapi »Uporabniki« so prikazana dva vgrajena uporabniška računa - skrbnik in gost, ki se samodejno ustvarita ob namestitvi operacijskega sistema Windows XP in ustvarjenih vseh uporabniških računov.

Račun Administrator   se uporablja prvič, ko je nameščen operacijski sistem. Ta račun vam omogoča, da izvedete potrebne ukrepe, preden uporabnik ustvari svoj račun. Račun "Administrator" ni mogoče izbrisati, onemogočiti ali umakniti iz lokalne skupine skrbnikov, s čimer se odpravi možnost nenamerne izgube dostopa do računalnika po uničenju vseh skrbniških računov. Ta lastnost ločuje skrbniški račun od drugih članov lokalne skupine skrbnikov.

Račun Gost   ki jih uporabljajo tisti, ki nimajo resničnega računa na računalniku. Če je uporabniški račun onemogočen (vendar ni izbrisan), lahko uporablja tudi gostov račun. Račun gosta ne zahteva gesla. Privzeto je onemogočen, vendar ga lahko vklopite.

Če želite dodati nov uporabniški račun, z desno miškino tipko kliknite mapo Uporabniki in v spustnem meniju izberite Nov uporabnik ... V oknu, ki se odpre, vnesite podatke za ustvarjanje novega računa. Če želite izbrisati uporabniški račun, z desno miškino tipko kliknite ime računa v desnem oknu programa in v spustnem meniju izberite Izbriši.

Tudi za določen račun lahko določite pot do profila in prijavnega skripta (za podrobnosti glejte Pomoč).

V mapi Skupine so prikazane vse vgrajene skupine in skupine, ki jih je ustvaril uporabnik. Vgrajene skupine se samodejno ustvarijo, ko namestite Windows XP. Pripadajoči skupini daje uporabniku pravice in zmožnosti za opravljanje različnih nalog na računalniku. V nadaljevanju so lastnosti nekaterih vgrajenih skupin:


   Administratorji

Članstvo v tej skupini privzeto zagotavlja najširši nabor dovoljenj in možnost spreminjanja lastnih dovoljenj. Skrbniki imajo polno neomejene pravice do dostopa do računalnika ali domene. Delo v operacijskem sistemu Windows XP kot skrbnik naredi sistem ranljivim za trojanske konje in druge programe, ki ogrožajo varnost. Preprost obisk spletnega mesta lahko resno poškoduje sistem. Neznana spletna stran lahko vsebuje trojan, ki bo prenesen v sistem in izvršen. Če ste trenutno prijavljeni kot skrbnik, lahko ta program preoblikuje trdi disk, izbriše vse datoteke, ustvari nov uporabniški račun z administrativnim dostopom in tako naprej.

  • namestitev operacijskega sistema in njegovih komponent (na primer gonilnikov naprav, sistemskih storitev in tako naprej);
  • namestitev servisnih paketov;
  • posodabljanje operacijskega sistema;
  • obnovitev operacijskega sistema;
  • konfigurirajte najpomembnejše nastavitve operacijskega sistema (politika gesla, nadzor dostopa, revizijska politika, konfigurirate gonilnike v načinu jedra in tako naprej);
  • lastništvo datotek, ki so postale nedostopne;
  • upravljanje varnostnih in revizijskih dnevnikov;
  • arhiviranje in obnavljanje sistema.

V praksi se računi administratorjev pogosto uporabljajo za namestitev in zagon programov, napisanih za prejšnje različice sistema Windows.


   Napredni uporabniki

Ta skupina je podprta predvsem z združljivostjo s prejšnjimi različicami za izvajanje neproverjenih aplikacij. Privzeta dovoljenja, dodeljena tej skupini, omogočajo članom skupine, da spremenijo nastavitve računalnika. Če potrebujete podporo za neproverjene aplikacije, morajo biti končni uporabniki člani skupine Power Users.

Člani skupine Advanced User imajo več pravic kot člani skupine uporabnikov in manj kot člani skupine skrbnikov. Napredni uporabniki lahko izvajajo katera koli opravila z operacijskim sistemom, razen nalog, rezerviranih za skupino »Skrbniki«.

Napredni uporabniki lahko:

  • ki so certificirani za Windows 2000 in Windows XP Professional, pa tudi starejše aplikacije;
  • namestite programe, ki ne spreminjajo datotek operacijskega sistema in sistemskih storitev;
  • konfigurirate vire na ravni sistema, vključno s tiskalniki, datumom in časom, nastavitvami napajanja in drugimi viri nadzorne plošče;
  • ustvarjanje in upravljanje lokalnih računov uporabnikov in skupin;
  • zaustavite in zaženite sistemske storitve, ki se ne zaženejo privzeto.

Napredni uporabniki se ne morejo pridružiti skupini skrbnikov. Nimajo dostopa do podatkov drugih uporabnikov v zvezku NTFS, če ustrezna dovoljenja teh uporabnikov niso prejeta. Ker izkušeni uporabniki lahko namestijo in spreminjajo programe, ki delajo pod skupino »Izkušeni uporabnik« pri povezovanju z internetom, lahko sistem postane občutljiv na trojanske konje in druge programe, ki ogrožajo varnost.


   Seznam članov

Člani te skupine ne morejo deliti map ali ustvariti lokalnih tiskalnikov. Skupina Uporabniki zagotavlja najbolj varno okolje za izvajanje programov. Na nosilcu z uporabo varnostnih sistem privzete nastavitve NTFS datoteke za sisteme, ki na novo nameščeni (ne nadgraditi) so zasnovani za preprečevanje kršitev integritete operacijskega sistema in nameščenih programov, članov skupine. Uporabniki ne morejo spremeniti nastavitev registra na sistemski ravni, operacijskem sistemu ali programskih datotekah. Uporabniki lahko zaprejo delovne postaje, ne pa tudi strežnike. Uporabniki lahko ustvarijo lokalne skupine, vendar lahko upravljajo samo tiste, ki so jih ustvarili. Uporabniki imajo popoln dostop do njihovih podatkovnih datotek in njihovega dela registra (HKEY_CURRENT_USER). Vendar pa dovoljenja na ravni uporabnika pogosto ne dovoljujejo uporabniku zaganjati zastarelih aplikacij. Člani skupine "Uporabniki" bodo lahko zagnali samo aplikacije, certificirane za Windows.


   Arhiv operaterji

Člani te skupine lahko arhivirajo in obnovijo datoteke v računalniku, ne glede na vsa dovoljenja, ki so zaščitena s temi datotekami. Lahko se tudi prijavijo in zaprejo računalnik, vendar ne morejo spremeniti varnostnih nastavitev. Za arhiviranje in obnovitev podatkovnih datotek in sistemskih datotek potrebujete dovoljenja za branje in pisanje. Privzeta dovoljenja za Backup operaterjev, ki jim omogočajo, da varnostno kopiranje in obnavljanje datotek, ki omogoča, da njihovo uporabo dovoljenj skupine za druge namene, na primer za branje datotek drugih uporabnikov in namestiti programsko opremo s Trojan virus.


   Gostje

Člani te skupine imajo privzeto enake pravice kot uporabniki, razen računa gosta, kar je še bolj omejeno.


   Operaterji za konfiguracijo omrežja

Člani te skupine imajo lahko nekatere upravne pravice za upravljanje konfiguracije omrežnih nastavitev.


   Uporabniki oddaljenih namizij

Članom te skupine se lahko prijavite na daljavo.

Če želite dodati uporabniški račun določeni skupini, z desno tipko miške kliknite ime skupine in v spustnem meniju izberite Dodaj v skupino. Za dodatno pomoč pri izvajanju teh in drugih težav, povezanih z uporabniškimi računi in skupinami, kot tudi bolj popolni opis uporabniških in skupinskih računov, glejte pomoč snap "Lokalni uporabniki in skupine«.

Uporabniške pravice so dodeljene prek vozlišča Lokalne politike pravilnikov skupine. Na podlagi imena je jasno, da lokalne politike pripadajo lokalnemu računalniku. Te lokalne politike lahko nastavite tudi kot del obstoječega pravilnika skupine za spletno mesto, domeno ali organizacijsko enoto. Ko to storite, lokalni pravilniki veljajo za računalniške račune na spletnem mestu, domeni ali organizacijski enoti.

Če želite upravljati pravilnike o pravicah uporabnikov, sledite tem korakom:

1. Odprite posodo skupine pravilnika, s katero morate delati, nato odprite vozlišče tako, da gremo po drevesu konzole. Razširite vozlišča Konfiguracija računalnika, Nastavitve sistema Windows, Varnostne nastavitve,   potem Lokalne politike.
2. Razširi Dodelitev pravic uporabnikov (dodeljevanje pravic uporabnikov), kot je prikazano na sliki 8-5. Zdaj lahko upravljate uporabniške pravice.
3. Če želite dodeliti uporabniške pravice, dvokliknite ali z desno miškino tipko kliknite uporabnikovo pravico in izberite Lastnosti. Odpre se pogovorno okno Properties.
4. Zdaj lahko nastavite pravice uporabnika, kot je opisano v korakih 1-4 razdelka "" ali korakih 1-7 naslednjega razdelka ""

Slika 8-5. Uporabite vozlišče za pravice uporabniških pravic, da konfigurirate uporabniške pravice trenutnega vsebnika pravilnika skupine.

Nastavitve globalnih pravic uporabnikov

Nastavite lahko posamezne uporabniške pravice za spletno mesto, domeno ali organizacijsko enoto, tako da sledite tem korakom:

1. Odprite pogovorno okno Properties za uporabniško pravico, kot je prikazano na sliki 8-6.

Opomba: Vse politike so lahko definirane ali ne. To pomeni, da so nastavljene za uporabo ali ne. Pravilo, ki ni definirano v tem vsebniku, lahko podedujete iz drugega vsebnika.
2. Izberite " V predlogi določite naslednje nastavitve pravilnika (Določite te nastavitve pravilnika)»Če želite določiti pravilnik
3. Če želite uporabiti pravico do uporabnika ali skupine, kliknite gumb Dodajanje uporabnika ali skupine (Dodaj). Prikaže se pogovorno okno, prikazano na sliki 8-7. V tem oknu se uporabljajo naslednja polja:

Išči v. Če želite dostopati do računov iz drugih domen, razširite seznam Iskanje v iskalnem omrežju. Prikazali boste seznam, ki vsebuje: trenutno domeno, zaupanja vredne domene in druge vire, ki so vam na voljo.

Slika 8-6. Določite uporabnikovo pravico in jo dodelite uporabniku ali skupini.

Opomba: Na seznamu »Poglej« so na voljo samo domene, s katerimi so vzpostavljeni zaupni odnosi. Štetje vseh domen iz drevesa ali gozda domene je možno zaradi prisotnosti tranzitivnih odnosov zaupanja v operacijskem sistemu Windows 2000. Odnosi zaupanja niso izrecno določeni. Namesto, zaupanja razmerja se samodejno določijo na podlagi strukture gozda in niza dovoljenj v njem.

Ime. V tem stolpcu so navedeni razpoložljivi računi za izbrano domeno ali vir.

Dodaj. Če želite dodati uporabnike na izbirni seznam, uporabite Dodaj.

Preverite imena.   Potrdite imena uporabnikov in skupin, ki so vnesene v izbirno polje. To je uporabno, če imena vnesete ročno in želite, da se prepričate, ali so na voljo.

4. Ko izberete račune, ki jih želite dodati v skupino, kliknite V redu. V pogovornem oknu Ime skupine   bodo prikazani izbrani računi. Znova kliknite OK.
5. V pogovornem oknu s posodobljenimi lastnostmi so prikazani izbrani uporabniki. Če naredite napako, izberite ime in ga izbrišite s klikom na gumb Odstrani.
6. Če ste končali dodeljevanje dovoljenj uporabnikom in skupinam, kliknite V redu.

Lokalna konfiguracija pravic uporabnikov

Dodelitev pravic uporabnikov do lokalni računalnik, sledite tem korakom:

1. Odprite pogovorno okno Properties za konfiguriranje pravic, prikazanih na sliki 8-8.
2. Prikazan je trenutni pravilnik za računalnik, vendar ga ne morete spremeniti. Vendar lahko s posebnimi polji spremenite nastavitve lokalne politike. Ne pozabite, da imajo lokalni, domenski in organizacijski politiki nadpovprečnost nad lokalnimi politikami.

Slika 8-7. Za dodeljevanje pravic uporabnikom ali skupinam uporabite pogovorno okno Select: Users or Groups.
3. Count Dodeljeno   prikazuje trenutne uporabnike in skupine, ki jim je bila dodeljena pravica.

Potrdite ali počistite ustrezno okence pod poljem Nastavitev lokalne politikedodeliti ali preklicati uporabnikovo pravico.

Lahko dodelite to pravico   dodatne uporabnike in skupine, tako da kliknete gumb Dodaj. Odpre se pogovorno okno. Izbira: uporabniki ali skupine (izbira: uporabniki ali skupine), prikazano na sliki 8-7 prej. Zdaj lahko dodate uporabnike in skupine.

Dodajanje uporabniškega računa

Za vsakega uporabnika, ki ga želite uporabiti, morate ustvariti račun omrežnih virov. Uporabniški računi domene se ustvarjajo s pomočjo zaslona Active Directory Users and Computers. Lokalni računi se ustvarijo s snap-inom lokalnih uporabnikov in skupin.

Ustvarjanje računov domenskih uporabnikov

Obstajajo dva načina za ustvarjanje novih uporabniških računov v domeni:

Ustvarite povsem nov uporabniški račun. Če želite ustvariti popolnoma nov račun, z desno tipko miške kliknite vsebnik, v katerega želite postaviti račun, izberite Novo, Uporabnik. Odpre se okno čarovnika, prikazano na sliki 8-9. Ko ustvarite nov račun, se uporabijo privzete nastavitve sistema.

Slika 8-8. Določite pravico uporabnika, nato jo dodelite uporabnikom ali skupinam.
Ustvarite nov račun na podlagi obstoječega računa. Z desno miškino tipko kliknite uporabniški račun, ki ga želite kopirati v snap-in, in kliknite Kopiraj. Čarovnik se odpre. Kopiraj predmet - uporabnik (predmet kopiranja - uporabnik), podobno kot mojster Nov predmet - Uporabnik (Nov objekt - uporabnik). Čeprav ustvarjate kopijo računa, bo novi račun prejel večino nastavitev iz obstoječega računa. Za več informacij o kopiranju računov glejte " Kopiranje domenskih računov"(" Kopiranje računov domenskih uporabnikov ") Poglavje 9.

Z zagonom enega od čarovnikov, novega Object-User ali Copy Object-User, lahko ustvarite račun, tako da sledite tem korakom:

1. Prvo čarovnikovo pogovorno okno se uporablja za konfiguriranje prikazanega uporabniškega imena in uporabniškega imena, kot je prikazano na sliki 8-9.
2. V polja, predvidena za to, vnesite uporabnikovo ime in priimek. Ime in priimek se uporabljajo za ustvarjanje polnega imena, kar je prikazno ime uporabnika.
3. Vnesite v polje Polno ime   potrebne spremembe. Na primer, boste morda morali vnesti ime v obliki »Ime priimka« ali v formatu »Ime priimka«. Polno ime mora biti edinstveno znotraj domene in ne daljše od 64 znakov.
4. Na polju Uporabniško ime za prijavo   vnesite svoje uporabniško ime za prijavo. Nato izberite domeno, iz katere želite povezati račun s spustnega seznama. To enotno identificira ime za prijavo.
5. Če želite ustvariti ime za prijavo, združljivo z operacijskim sistemom Windows NT 4.0 ali starejšimi različicami operacijskega sistema Windows, se uporabijo prvih 20 znakov imena za prijavo v sistem Windows 2000. Ime za prijavo mora biti edinstveno znotraj domene. Če je potrebno, spremenite ime operacijskega sistema Windows NT 4.0 ali prejšnje prijave.

Slika 8-9. Konfigurirajte prijavno in prikazno ime uporabnika.
6. Kliknite gumb Naprej. Konfigurirajte uporabniško geslo z uporabo pogovornega okna, prikazanega na sliki 8-10. Polja v tem pogovornem oknu so navedena spodaj:




Če je označeno, geslo za ta račun ni omejeno. Ta nastavitev prekliče politiko računa domene. Običajno ni priporočljivo, da nastavite gesla brez datuma poteka, ker je to v nasprotju s samim pojmom uporabe gesel.


7. Kliknite Naprej in nato Dokončaj, da ustvarite račun. Če med ustvarjanjem računa naletite na težave, boste videli opozorilo in uporabili boste gumb »Nazaj«, če želite ponovno vnesti podatke o uporabniškem imenu in geslu v ustrezna pogovorna okna, če je potrebno.

Ko ustvarite račun, lahko za to nastavite dodatne lastnosti, ki so opisane kasneje v tem poglavju.

Slika 8-10. Nastavitev uporabniškega gesla.

Ustvarite lokalne uporabniške račune

Lokalni uporabniški računi se ustvarijo s snap-inom lokalnih uporabnikov in skupin. Če želite dostopiti do tega pripomočka in ustvariti račun, morate opraviti naslednje korake:

1.   , ali pa samo izberite Računalniško vodenje   v mapi.
2. Računalniško vodenje iz kontekstnega menija. Zdaj lahko izberete računalnik, katerega uporabniški računi potrebujete za upravljanje. Nadzorniki domen nimajo lokalnih uporabnikov in skupin.
3. Razširite vozlišče, tako da kliknete znak plus (+) zraven njega in izberete.
4. Z desno miškino tipko kliknite mapo Uporabniki (uporabniki)   in izberite. Odpre se pogovorno okno. Nov uporabnik, prikazano na sliki 8-11. Polja v tem pogovornem oknu so navedena spodaj:

Uporabnik.   Ime za prijavo za uporabniški račun. To ime mora ustrezati pravilom vašega lokalnega pravilnika o imenu.

Polno ime.   Polno uporabniško ime, kot je William R. Stanek

Opis (opis).   Opis uporabnika. Običajno je v tem polju zabeleženo ime uporabnika, kot je »spletni skrbnik« ali naslov delovnega mesta in oddelka.

Geslo. Geslo za račun. To geslo mora ustrezati pravilom vaše politike gesla.

Potrdite geslo. Polje je namenjeno preverjanju gesla računa. Ponovno vnesite geslo, da ga potrdite.

Slika 8-11. Nastavitev lokalnega uporabniškega računa se razlikuje od nastavitve računa domene.


Pri naslednjem vpisu zahtevajte spremembo gesla (uporabnik mora spremeniti geslo pri naslednji prijavi). Če je izbrano to potrditveno polje, bo moral uporabnik spremeniti geslo pri prijavi.

Zavrni spremembo uporabniškega gesla (uporabnik ne more spremeniti gesla). Če je označeno, uporabnik ne more spremeniti gesla.

Geslo ni poteklo (Geslo Nikoli ne poteče).   Če je označeno, geslo za ta račun ni omejeno. Ta nastavitev prekliče politiko računa domene.

Onemogoči račun (račun je onemogočen).   Če je izbrano to potrditveno polje, je račun onemogočen in ga ni mogoče uporabiti. To potrditveno polje uporabite za začasno zaklepanje računa.

5. Ko končate nastavitev novega računa, kliknite gumb »Ustvari«.

Ustvarite skupinski račun

Skupine se uporabljajo za upravljanje pravic več uporabnikov. Računi v skupni rabi (Prevajalec za obvestilo: varnostne skupine Active Directory, ki vsebujejo račune samo iz svoje domene), se ustvarijo z uporabo snap-in računov Active Directory Users and Computers, računov lokalnih skupin z uporabo lokalnih uporabnikov in skupino (Lokalni uporabniki in skupine).

Pri ustvarjanju računov v skupini ne pozabite, da so skupine ustvarjene za podobne vrste uporabnikov. Nekatere vrste skupin, ki jih boste morda morali ustvariti, so navedeni spodaj:

Skupine za oddelke organizacije. Običajno uporabniki, ki delajo v istem oddelku, potrebujejo dostop do istih virov. Zato lahko ustvarite skupine za oddelke, kot so razvojni oddelek, prodajna služba, oddelek za trženje ali inženirski oddelek.
Skupine za uporabnike posebnih aplikacij. Uporabniki pogosto potrebujejo dostop do aplikacije in virov, povezanih s to aplikacijo. Če ustvarite skupine za uporabnike določene aplikacije, ste lahko prepričani, da imajo uporabniki dostop do potrebnih virov in datotek aplikacij.
Skupine, ki temeljijo na uporabniških odgovornostih . Skupine lahko ustvarite tudi po načelu delitve nalog uporabnikov. Na primer, upravitelj, opazovalec in navaden uporabnik   potrebujete dostop do različnih virov. Če ustvarite skupine po tem načelu, ste lahko prepričani, da imajo pravice do dostopa do potrebnih virov uporabnikom, ki jih potrebujejo.

Ustvarite globalno skupino

Če želite ustvariti globalno skupino, morate izvesti naslednje korake:

1. Začnite snap-in Active Directory - uporabniki in računalniki (uporabniki Active Directory in računalniki). Z desno tipko miške kliknite vsebnik, v katerega želite postaviti skupinski račun. Nato izberite Nova -\u003e Skupina. Odpre se pogovorno okno. Nov predmet - Skupina (Nov objekt - skupina), prikazano na sliki 8-12.
2. Vnesite ime za skupino. Imena globalnih skupin v skupini morajo biti v skladu s pravili za prikaz imena uporabniških računov. Niso občutljivi in ​​ne smejo biti daljši od 64 znakov.
3. Ko ustvarite ime skupine za združljivost z Windows NT 4.0 ali starejšimi različicami operacijskega sistema Windows, se uporabijo prvih 20 znakov imena skupine Windows 2000. Ime skupine mora biti edinstveno znotraj domene. Po potrebi spremenite ime skupine Windows NT 4.0 ali starejše.

Slika 8-12. Pogovorno okno Nova skupina objektov vam omogoča dodajanje novih globalnih skupin domeni.
4. Izberite obseg skupine: lokalna domena, globalna ali univerzalna.
5. Izberite vrsto skupine: varnostna skupina ali skupina za distribucijo.
6. Kliknite OK, da ustvarite skupino. Zdaj lahko v skupino dodate uporabnike in nastavite dodatne lastnosti, ki so opisane kasneje v tem poglavju.

Ustvarite lokalno skupino in dodajte člane

Lokalne skupine so ustvarjene s snap-inom lokalnih uporabnikov in skupin. To lahko odprete tako, da sledite tem korakom:

1. Kliknite Start, programi, Upravna orodja, Računalniško vodenje   ali pa samo izberite Računalniško vodenje   v mapi Upravna orodja.
2. Z desno miškino tipko kliknite vozlišče Računalniško vodenje   V drevesu konzole izberite Povežite se z drugim računalnikom (povežite se z drugim računalnikom)   iz kontekstnega menija. Zdaj lahko izberete računalnik, katerega račune morate upravljati. Nadzorniki domen nimajo lokalnih uporabnikov in skupin.
3. Odprite vozlišče Sistemska orodjas klikom na znak plus (+), ki ustreza temu vozlišču, in izberite Lokalni uporabniki in skupine.
4. Z desno miškino tipko kliknite mapo Skupine in izberite Nova skupina. Odpre se pogovorno okno. Nova skupina, prikazano na sliki 8-13.
5. Ko vnesete ime in opis skupine, kliknite gumb Dodaj, da dodate uporabnike v to skupino. Odpre se pogovorno okno. Izberite: Uporabniki ali skupine (izberite uporabnike ali skupine), prikazano na sliki 8-7. Zdaj lahko v skupino dodate člane. Polja tega pogovornega okna so opisana spodaj:

Poiščite (Poišči). Če želite dostopati do računov drugih računalnikov in domen, kliknite na seznam Look In. Prikazali boste seznam, v katerem so navedeni trenutni računalnik, zaupanja vredna domena in drugi viri, do katerih lahko dostopate.

Ime. Ta graf prikazuje razpoložljive račune izbrane domene ali vira.

Dodaj (Dodaj). Dodajte izbrana imena na izbirni seznam.

Preverite imena (Preverite imena).   Potrdite imena uporabnikov in skupin, ki so vnesene v izbirno polje. To je uporabno, če imena vnesete ročno in želite zagotoviti, da so na voljo.

6. Ko izberete imena računov, ki jih želite dodati v skupino, kliknite V redu.
7. Pogovorno okno Nova skupina   posodobljena, da odraža vašo izbiro. Če naredite napako, izberite ime in ga izbrišite s klikom na gumb Odstrani.
8. Ko končate dodajanje ali odstranjevanje članov skupine, kliknite gumb Ustvari.

Slika 8-13. Pogovorno okno Nova skupina vam omogoča dodajanje nove lokalne skupine.

Upravljajte članstvo v globalni skupini

Če želite konfigurirati članstvo v skupini, uporabite zaskočni uporabniški vmesnik Active Directory in računalniki. Delo s skupinami, upoštevajte naslednje točke:

Snap-in v računalniku Active Directory ponuja več načinov za upravljanje članstva v skupini. Lahko:

Upravljanje članstva posameznih uporabnikov in računalnikov

Članstvo v skupini lahko dodate ali odstranite za katero koli vrsto računov tako, da izvedete naslednje korake:

1. V snap-in dvokliknite uporabnik, računalnik ali skupino Active Directory - uporabniki in računalniki (uporabniki Active Directory in računalniki)
2. Izberite jeziček Član.
3. Če želite, da član računa v skupini, kliknite gumb Dodaj. Pojavi se isto pogovorno okno Izberite: Skupine (izberite skupine), kot pogovorno okno Izberite: Uporabniki ali skupine (izberite uporabnike ali skupine), opisane v prejšnjih primerih.
4. Če želite izbrisati račun iz skupine, izberite skupino in kliknite Odstrani.
5. Kliknite V redu.

Upravljanje članstva več uporabnikov ali računalnikov

Pogovorno okno »Lastnosti« vam omogoča tudi upravljanje članstva v skupini. Če želite dodati ali odstraniti račune, sledite tem korakom:

1. V snap-in dvokliknite uporabnik ali računalnik Active Directory - uporabniki in računalniki (uporabniki Active Directory in računalniki). Pojavi se pogovorno okno Lastnosti računa.
2. Izberite kartico Člani.
3. Kliknite Dodaj, če želite v skupino dodati račune. Odpre se pogovorno okno. Izberite: uporabnike ali skupine (izberite uporabnike ali skupine). Izberite uporabnike, računalnike in skupine, ki morajo biti člani te skupine.
4. Če želite člane odstraniti iz skupine, izberite račun in kliknite Odstrani.
5. Kliknite V redu.

Nastavitev članstva v osnovni skupini za uporabnike in računalnike

Core skupine uporabljajo uporabniki, ki delajo z operacijskim sistemom Windows 2000 prek storitev, združljivih z Macintosh. Ko uporabnik Mac ustvari datoteke ali mape v računalniku, ki teče pod windows Management   2000, je glavna skupina dodeljena tem datotekam in mapam.

Vsi uporabniški in računalniški računi morajo imeti osnovno skupino, ne glede na to, ali delajo z operacijskim sistemom Windows 2000 prek sistema Macintosh ali ne. Ta skupina mora biti globalna ali univerzalna, na primer skupina globalnih uporabnikov domene ali skupina globalnih domenskih računalnikov.

Če želite nastaviti primarno skupino, sledite tem korakom:

Vsi uporabniki morajo biti člani vsaj ene osrednje skupine. Članstva uporabnika ne morete preklicati v glavni skupini, razen če uporabniku dodelite drugo osnovno skupino. To storite tako:

Gradivo je vzeto iz knjige "Windows 2000 Administrator's Guide". Avtor William R. Stanek (William R. Stanek). © Microsoft Corporation, 1999. Vse pravice pridržane.

1 zvezda2 zvezdice3 zvezdice4 zvezdice5 zvezdic 5,00 / 3
Domov Windows 10 Konfiguriranje politik upravljanja pravic uporabnikov. Ustvarite račun s snap-inom Lokalni uporabniki in skupine
Sorodni članki: