Порядок выполнения:

Первым шагом при создании пользовательской консоли администрирования является придание ей функций контроля и управления учетными записями пользователей и групп. В среде ОС Windows XP учетные записи локальных пользователей и групп управляются одноименной оснасткой «Локальные пользователи и группы».

Учетная запись пользователя содержит все сведения, определяющие пользователя. К этим сведениям относятся имя пользователя и пароль, требуемые для входа в систему, имена групп, членом которых он является, а также права и разрешения, которые он имеет при работе и доступе к системным ресурсам системы.

Существует два основных типа учетных записей пользователей, доступных на компьютере с ОС Windows XP: учетная запись администратора и учетная запись с ограниченными правами. Кроме того, штатная учетная запись гостя доступна для пользователей, не имеющих собственных учетных записей в системе.

Учетная запись администратора предназначена для тех уполномоченных пользователей, кто может вносить изменения на уровне системы, устанавливать приложения и иметь полный доступ ко всем файлам и другим учетным записям. Она позволяет:

· создавать, изменять и удалять любые учетные записи,

· создавать и изменять имена и пароли пользователей,

· обеспечить наличие, по крайней мере, одного пользователя с учетной записью администратора, когда уже нет других учетных записей с подобными правами.

Учетная запись с ограниченными правами предназначена для пользователей, которым запрещается изменять большинство настроек системы, а также удалять важные файлы. Пользователь с такой учетной записью:

· не может изменять имя и тип собственной учетной записи,

· может создавать, изменять или удалять собственный пароль,

Необходимо помнить, что некоторые приложения могут работать некорректно для пользователей с ограниченными правами. В этом случае следует сменить тип учетной записи на администратора.

Учетная запись гостя предназначена для пользователей, не имеющих собственных учетных записей в системе. У записи гостя нет пароля, что позволяет быстро входить в систему, в частности, для проверки электронной почты или просмотра Интернета. Пользователь с учетной записью гостя:

· не может устанавливать приложения и оборудование, но имеет доступ к уже существующим программам в системе,

· не может изменить собственной тип учетной записи,

· может изменять рисунок, назначенный учетной записи.

Совокупность пользователей, компьютеров и контактов называется группой. Существуют группы безопасности, которые используются для управления доступом или в качестве списков рассылки и группы распространения, применяемые только в электронной почте.

Набор учетных записей пользователей представляет собой учетную запись группы. При включении учетной записи пользователя в определенную группу соответствующий пользователь получает все права и разрешения, предоставленные этой группе.

1. Создайте пользовательскую консоль администрирования одним из изученных в предыдущем учебном задании способов и сконфигурируйте ее должным образом, приняв во внимание ее целевую принадлежность.

2. Добавьте оснастку «Локальные пользователи и группы» в корень консоли администрирования.

3. Создайте две учетные записи для двух разных пользователей. Имена, описание и пароли выберите самостоятельно.

4. Установите флажки «Потребовать смену пароля при следующем входе в систему» для первого пользователя и «Запретить смену пароля пользователем» для второго.

5. Создайте локальную группу, имя и описание которой выберите самостоятельно.

6. Поместите в новую локальную группу созданных ранее пользователей, воспользовавшись диалоговым окном Свойства каждого из них.

7. Поместите в новую локальную группу пользователя Администратор, воспользовавшись диалоговым окном Свойства этой группы (см. пункт 5 секции). Обратите внимание на то, что в этой локальной группе уже присутствуют учетные записи двух созданных ранее пользователей.

8. Выбрав самостоятельно имя и путь к месту расположения, сохраните и закройте консоль администрирования MMC.

При выполнении заданий секции используйте следующие инструкции:

· дважды войдите в систему под именами пользователей, соответствующих созданным учетным записям,

· обратите внимание на то, каким образом осуществляется влияние установленных в пункте 4 флажков на работу компьютера при смене пользователя,

Задание 6. Взаимосвязь утилиты «Учетные записи пользователей» с оснасткой «Локальные пользователи и группы» при смене типа учетной записи

1. В Панели управления загрузите утилиту «Учетные записи пользователей», позволяющую изменять параметры и пароли учетных записей пользователей непосредственно в ОС Windows XP.

2. Загрузите пользовательскую консоль администрирования, созданную в Секции А текущего задания, с возможностью ее редактирования.

3. Создайте новую ограниченную учетную запись, воспользовавшись утилитой «Учетные записи пользователей».

4. Перейдите в оснастку «Локальные пользователи и группы» загруженной консоли администрирования и отметьте, в какую из локальных групп была по умолчанию определена вновь созданная учетная запись.

5. В окне утилиты «Учетные записи пользователей» измените тип данной учетной записи с ограниченного на административный.

6. Снова перейдите в оснастку «Локальные пользователи и группы» загруженной консоли администрирования и убедитесь в том, что смена типа учетной записи привела к перемещению пользователя из группы Пользователи в Администраторы, тем самым, расширяя его права.

7. Удалите этого пользователя из групп Пользователи и Администраторы.

8. Сохраните и закройте консоль администрирования MMC.

При выполнении заданий используйте следующие инструкции:

· перенесите последовательность выполняемых действий по каждому из пунктов 1-8 в отчет (возможно приведение графических фрагментов, сделанных с экрана, в качестве демонстрационного материала),

· обратите внимание на то, каким образом осуществляется взаимосвязь утилиты «Учетные записи пользователей» с оснасткой «Локальные пользователи и группы» при смене типа учетной записи,

· сделайте вывод о проделанной работе и запишите его в отчет.

Перед началом работы произвести запуск виртуальной машины Oracle VM VirtualBox . Для этого воспользуйтесь либо ярлыком программы Oracle VM VirtualBox на рабочем столе. После запуска программы выбрать необходимый образ виртуальной машины и нажать кнопку Start . В результате этого будет запущен процесс эмуляции персональной ЭВМ (рис. 2).

4.2.1. Назначение и состав оснастки “Локальные пользователи и группы”

Оснастка “Локальные пользователи и группы” – это основной инструмент

консоли управления MMC, с помощью которого выполняется управление ло-

кальными учётными записями пользователей и групп – как на локальном, так и на удалённом компьютере. Запускать оснастку может любой пользователь, однако выполнять администрирование учётных записей могут только администраторы и члены группы “Опытные пользователи”.

Запустить оснастку можно добавив её стандартным способом в консоли

управления, либо введя команду “lusrmgr.msc” в окне запуска программ (Пуск> Выполнить… ). На экране появится окно, представленное на рис 3.

Рис. 3. Оснастка “Локальные пользователи и группы”

Оснастка “Локальные пользователи и группы” позволяет выполнять сле-

дующие административные функции:

– создание и изменение учетных записей пользователей;

– создание и изменение групп;

– определение политики учетных записей;

– предоставление прав пользователям;

– настройка аудита пользователей;

– создание и изменение доверительных отношений.

4.2.2. Выбор пользователей

Чтобы выбрать одну запись, необходимо просто щелкнуть на ней левой

кнопкой “мыши”. Если же нужно выделить несколько учетных записей (что позволит внести изменения сразу во все выделенные записи), необходимо щелкнуть на первой из них, затем нажать клавишу <Ctrl > и, не отпуская ее, поочередно щелкнуть на остальных

4.3. Создание учетных записей

Создавая учетную запись, необходимо ввести такие общие данные, как имя

пользователя и пароль, а также задать разрешения и определить другие ограничения на вход в систему.

4.3.1. Ввод общих данных.

Чтобы начать создание новой учетной записи, выберете каталог Пользова-

тели (Users), войдите в меню Действие (Action ) и щелчком на пункте Новый пользователь (New User ) вызовите диалоговое окно, изображенное на рис. 4. В графе Пользователь (Username ) введите имя учетной записи, которое пользователь должен будет указать при регистрации на компьютере или в домене.

Рис. 4. Ввод имени пользователя и пароля

В графе Полное имя (Full Name ) укажите реальное имя владельца учетной

записи, а в графе Описание (Description ) – дополнительные данные в произ-

вольной форме (например, должность владельца или местоположение его офиса). Теперь нужно назначить пароль, который пользователь должен будет указать вместе с именем учетной записи при входе в систему. Это делается в два этапа. Сначала введите его в графе Пароль (Password ), а затем – в графе Подтверждение (Confirm Password ).

Под текстовыми полями диалогового окна Новый пользователь (New User )

находятся четыре переключателя, определяющие общие свойства учетной записи.

“Потребовать смены пароля при следующем входе в систему” (User

Must Change Password At Next Logon). Пометьте эту кнопку флажком, если

хотите, чтобы пользователь сменил свой пароль. При очередном его входе в

систему Windows XP потребует назначить новый пароль.

“Запретить смену пароля пользователем” (User Cannot Change Password).

Если пометить флажком эту кнопку, пользователь не сможет менять

свой пароль самостоятельно.

“Срок действия пароля не ограничен” (Password Never Expires). Пометьте эту кнопку флажком, если хотите, чтобы пароль пользователя имел неограниченный срок действия. Ни вам, ни пользователю это не помешает; если возникнет такая необходимость, сменить пароль.

“Отключить учетную запись” (Account Disabled). Пометьте эту кнопку флажком, если хотите заблокировать учетную запись. Например, можно создать учетную запись-шаблон, которую будет применяться для создания других учетных записей, а чтобы ею не воспользовался недоброжелатель – отключить ее.

Лучше заблокировать и те учетные записи, которые не будут использоваться в течение некоторого времени.

При настройке безопасности различных видов объектов операционной системы Windows(папок, файлов, принтеров, сканеров и т.п.), возникает потребность в управлении локальными группами безопасности.

В состав таких групп могут входить локальные или доменные пользователи, другие доменные группы.

Все манипуляции с группами безопасности выполняются с помощью оснастки «Локальные пользователи и группы».

!!!Пользователи домена, которые работаю с правами «Пользователь» , не могут управлять локальными группами безопасности. Для этого им нужно обращаться к администраторам домена!

Получить доступ к оснастке можно несколькими способами:

• Через консоль «Управление компьютером» ;
• Через создание персональной консоли;

Доступ к оснастке «Локальные пользователи и группы» через консоль «Управление компьютером».

Для Windows XP

Нажимаем кнопку «Пуск» , на пункт меню «Мой компьютер» «Управление»

В открывшейся консоли «Управление компьютером» раскрываем оснастку «Локальные пользователи и группы» и нажимаем на пункт меню «Группы»

Для Windows 7

Нажимаем кнопку «Пуск» , на пункт меню «Компьютер» нажимаем правой клавишей мышки и выбираем пункт меню «Управление»

В открывшейся консоли «Управление компьютером» раскрываем оснастку «Локальные пользователи и группы» и нажимаем на пункт меню «Группы»

Доступ к оснастке «Локальные пользователи и группы» через создание персональной консоли.

Для Windows XP

Нажимаем кнопку «Пуск» —«Выполнить» , в открывшемся окне вручную набираем mmc и нажимаем «ОК»

CTRL+M

Открывается окно с текущим списком установленных консолей, в данном случае он пуст. Затем нажимаем кнопку «Добавить»

«Локальные пользователи и группы» , выделяем и нажимаем кнопку «Добавить»

И нажимаем кнопку «Готово»

«ОК» для выхода

«Консоль» —«Сохранить как…»

«Консоль ГРУППЫ»

Для Windows 7

Нажимаем кнопку «Пуск» , в строке «Найти программы и файлы» набираем mmc , нажимаем на строку с найденной строкой

Открывается окно со списком консолей, в данном случае он пуст

Добавляем оснастку через меню, либо через нажатие комбинации клавиш CTRL+M

Открывается список доступных оснасток, в котором находим нужную нам «Локальные пользователи и группы» , выделяем и нажимаем кнопку «Добавить»

Так как мы собираемся настраивать локальные группы безопасности на данном компьютере, то выбираем пункт «Локальный компьютер: (на котором запущено окно этой программы-консоли)» и нажимаем кнопку «Готово»

Опять попадаем в окно добавления, удаления оснасток, просто нажимаем «ОК» для выхода

Добавленная оснастка появляется в списке установленных оснасток

Теперь наша задача сохранить созданную нами консоль, делаем это через меню «Файл» —«Сохранить как…»

Открывается стандартное окно сохранения файла, в котором необходимо указать место, где будет размещаться консоль и имя. В данном случае я назвал консоль «Консоль ГРУППЫ» и поместил ее на рабочий стол

Все, теперь доступ к оснастке «Локальные группы и пользователи» можно получить просто открыв сохраненную нами консоль

Настройка локальных групп безопасности.

Теперь, когда все инструменты под рукой, переходим к управлению локальными группами безопасности. Дальнейшие действия я буду показывать на примере окон Windows 7, так как они практически идентичны с окнами Windows XP.

Итак, открываем любым способом оснастку «Локальные пользователи и группы» , раскрываем дерево оснастки и нажимаем на «Группы» . В правом окне мы видим текущие локальные группы.

Создание новой группы.

Создать новую локальную группу безопасности можно несколькими способами:

Открывается окно создания новой группы, в котором необходимо обязательно заполнить «Имя группы:» и желательно «Описание:»

Имя локальной группы не должно совпадать с любым другим именем группы или пользователя на данном компьютере. Оно может содержать до 256 символов верхнего и нижнего регистров, за исключением следующих: » / \ : ; | = , + * ? < > @ Имя группы не может состоять только из точек (.) или пробелов.

Добавить членов группы можно прямо сейчас, а можно и отложить на потом.

Для завершения создания группы нажимаем кнопку «Создать» . При этом окно остается, но поля очищаются. Это сделано для множественного добавления групп. Просто закрываем это окно, если не будем добавлять другие группы.

Вновь созданную группу можно увидеть в списке групп

Изменение состава локальной группы безопасности.

Чтобы изменить список группы нажимаем двойным щелчком мыши на нужную группу в окне групп, или нажимаем правой клавишей мышки на нужную группу и выбираем пункты меню «Добавить в группу…» или «Свойства»

Открывается окно, в котором можно увидеть текущий состав группы

Чтобы добавить в группу пользователя или другую группу нажимаем кнопку «Добавить» . Открывается стандартное окно выбора различных объектов. Подчёркиваю, именно объектов, так как данное окно выбора абсолютно универсально, и в различных ситуациях предоставляет возможность выбора не только пользователей или групп, а также и других объектов операционной системы Windows, таких как принтеры, компьютеры и т.д..

Стандартное окно выбора позволяет вам выбрать типы объектов, из которых вы хотите сделать выбор. Нажимая кнопку «Типы объектов…» вы можете включить или выключить соответствующие типы объектов.


В данном случае можно отключить выбор из групп и учетных записей служб, а оставить только пользователей.

Вторым важным параметром в окне выбора является место выбора. Если компьютер принадлежит какому-либо домену, то в поле «В следующем месте:» изначально стоит имя домена, к которому подключен компьютер. Нажав кнопку «Размещение…» можно попасть в окно, в котором можно выбрать локальный компьютер или другие домены в лесу(домены могут объединяться в лес — древовидную структуру, на вершине которой находится начальный домен). Если искать надо сразу во всех доменах, то можно выбрать пункт «Весь каталог» . Если же ваш домен огромен и в нем очень много контейнеров Подразделений, то в качестве места поиска можно выбрать нужный контейнер Подразделение. Выделив нужное нажимаем кнопку «ОК»

Третьим полем в окне выбора является поле, в котором можно с помощью контекстного поиска сразу найти нужный объект по его имени или по начальным символам имени. Например, я хочу выбрать несколько доменных пользователей, имена которых начинаются с «Пользователь». В окне проверки имен я набираю несколько начальных символов имени и нажимаю Enter на клавиатуре, или нажимаю кнопку «Проверить имена»

В результате я увижу окно, в котором мне будут показаны все группы и пользователи, имена которых начинаются с слова «Польз»


Понять где в списке пользователь а где группа поможет иконка (группы выделены на рисунке выше).

Остается только выделить нужных пользователей или группы и нажать «ОК» CTRL+A SHIFT CTRL .

В результате выбора в поле проверки имен будут перечислены все выбранные пользователи и группы

Если вы не помните точное написание имени пользователя или группы, то можно воспользоваться кнопкой «Дополнительно» в окне выбора. При этом открывается окно поиска вот такого вида,

в котором можно установить множество различных параметров поиска, или просто нажать кнопку «Поиск» и получить ПОЛНЫЙ список всех пользователей и групп.

Обратите внимание на положение ползунка, он показывает что список очень большой, и иногда очень трудно в этом списке найти нужного пользователя или группу. Но когда другого выхода нет, тогда это единственный способ найти нужное. Для облегчения поиска можно воспользоваться несколькими полями-фильтрами: «Имя:» и «Описание:» . Но исходя из практики в этом нет никакого облегчения, так как искать проверкой имен быстрее, а при использовании сравнения «Совпадает» необходимо знать точное имя группы или пользователя.

Итак, в окне выбора в поле проверки имен нужные пользователи добавлены, нажимаем кнопку «ОК» . Если какие-либо пользователи или группы уже были в составе группы, то вы это увидите в открывшихся окнах

В результате всех добавлений список группы увеличился.

Чтобы удалить пользователя или группу из группы безопасности, нужно в списке выделить нужное и нажать «Удалить» . Как и везде в этом окне работают стандартные способы выделения: CTRL+A – выделить все, выделение от первого до последнего при нажатой клавише SHIFT , и «торшерное» выделение при нажатой клавише CTRL

В ходе данной лабораторной работы Вы познакомитесь с механизмами безопасности Windows, основанных на использовании понятий пользователя и группы. Пользователи и группы пользователей являются объектами системы безопасности Windows, для которых имеется возможность назначения прав и разрешений. Право дает возможность пользователю выполнять на компьютере определенные действия, такие как регистрация (вход в систему) архивирование файлов и папок или завершение работы компьютера. Разрешение представляет собой правило, связанное с ресурсом (например, файлом, папкой или принтером), которое определяет, каким пользователям и какого типа доступ к объекту разрешен. Учетная записьпользователя представляет в системе безопасности субъекта, работающего с системой. Учетная записьгруппы может объединять в себе любое количество учетных записей пользователей, а может оставаться пустой. Существуютлокальные иглобальные учетные записи, первые хранятся в базе учетных записей компьютера (рабочей станции), вторые хранятся в базе учетных записей контроллера домена.

1. Локальные пользователи и группы

Локальные пользователи и группы создаются в базе данных локального компьютера.

Учетная запись локального пользователя может быть использована при регистрации (входе) пользователя локально. Это происходит либо в том случае, если компьютер не является членом домена, либо тогда, когда в качестве домена при входе указывается имя рабочей станции. Даже если компьютер является членом домена, регистрация с использованием учетной записи локального пользователя может быть полезна, например, когда недоступен контроллер домена, или когда настройка системы безопасности локального компьютера выполнена неправильно и не позволяет регистрироваться в домене.

Локальные группы - объекты в локальной базе данных, которые могут включать в себя локальных пользователей, глобальных пользователей, а так же глобальные группы. Принадлежность пользователя к той или иной локальной группе дает ему возможность выполнять на компьютере те или иные задачи.

Встроенные локальные пользователи

В системе безопасности Windows существуют две встроенных учетных записи пользователя. Эти учетные записи могут быть переименованы, но не могут быть удалены.

Учетная запись администратора

Учетная запись пользователя с именем «Администратор» используется при первой установке рабочей станции или рядового сервера. Эта учетная запись позволяет выполнять необходимые действия до того, как пользователь создаст свою собственную учетную запись. Учетная запись администратора является членом встроенной локальной группы «Администраторы» на рабочей станции или рядовом сервере.

Учетную запись «Администратор» нельзя удалить, отключить или вывести из группы администраторов, что исключает возможность случайной потери доступа к компьютеру после уничтожения всех учетных записей администраторов. Это свойство отличает пользователя «Администратор» от остальных членов локальной группы «Администраторы».

Учетная запись гостя

Учетная запись гостя используется теми, кто не имеет реальной учетной записи на компьютере. Если учетная запись пользователя отключена (но не удалена), он также может воспользоваться учетной записью «Гость». Учетная запись гостя не требует пароля. Учетная запись гостя по умолчанию отключена.

Учетной записи пользователя «Гость», как и любой другой учетной записи, можно предоставлять права и разрешения на доступ к объектам. Учетная запись «Гость» по умолчанию входит во встроенную группу «Гости», что позволяет пользователю войти в систему с рабочей станции или рядового сервера. Дополнительные права, как любые разрешения, могут быть присвоены группе «Гости» членом группы администраторов.

Это инструмент, предназначенный для управления локальными пользователями и группами. Локальный пользователь или группа — это учетная запись, которой могут быть предоставлены разрешения и права на вашем компьютере.

Оснастка "Локальные пользователи и группы" является важным средством безопасности, поскольку позволяет ограничить возможные действия пользователей и групп путем назначения им прав и разрешений. Одна учетная запись пользователя может входить в несколько групп.

Доступ к этой оснастке можно получить, набрав в командной строке lusrmgr.msc . В левой части открывшегося окна можно видеть две папки - Пользователи и Группы.

Папка Пользователи отображает две встроенные учетные записи пользователей - Администратор и Гость, которые создаются автоматически при установке Windows XP, а также все созданные учетные записи пользователей.

Учетная запись Администратор используется при первой установке операционной системы. Эта учетная запись позволяет выполнять необходимые действия до того, как пользователь создаст свою собственную учетную запись. Учетную запись "Администратор" нельзя удалить, отключить или вывести из локальной группы Администраторы, благодаря чему исключается возможность случайной потери доступа к компьютеру после уничтожения всех учетных записей администраторов. Это свойство отличает учетную запись "Администратор" от остальных членов локальной группы "Администраторы".

Учетная запись Гость используется теми, кто не имеет реальной учетной записи на компьютере. Если учетная запись пользователя отключена (но не удалена), он также может воспользоваться учетной записью "Гость". Учетная запись гостя не требует пароля. По умолчанию она отключена, но ее можно включить.

Чтобы добавить учетную запись нового пользователя, щелкните правой кнопкой мыши на папке Пользователи и выберите из выпадающего меню команду Новый пользователь... В открывшемся окне введите данные для создания новой учетной записи. Чтобы удалить учетную запись пользователя, щелкните правой кнопкой мыши на названии учетной записи в правом окне программы и выберите из выпадающего меню Удалить.

Также для конкретной учетной записи можно назначить путь к профилю и сценарию входа (подробнее смотрите в справке).

В папке Группы отображаются все встроенные группы и группы, созданные пользователем. Встроенные группы создаются автоматически при установке Windows XP. Принадлежность к группе предоставляет пользователю права и возможности для выполнения различных задач на компьютере. Далее рассмотрены свойства некоторых встроенных групп:

Администраторы

Членство в этой группе по умолчанию предоставляет самый широкий набор разрешений и возможность изменять собственные разрешения. Администраторы имеют полные, ничем неограниченные права доступа к компьютеру или домену. Работа в Windows XP в качестве администратора делает систему уязвимой для троянских коней и других программ, угрожающих безопасности. Простое посещение веб-узла может очень сильно повредить систему. На незнакомом веб-узле может находиться троянская программа, которая будет загружена в систему и выполнена. Если в это время находиться в системе с правами администратора, такая программа может переформатировать жесткий диск, стереть все файлы, создать новую учетную запись пользователя с административным доступом и т. д.

• установки операционной системы и ее компонентов (например, драйверов устройств, системных служб и так далее);
• установки пакетов обновления;
• обновления операционной системы;
• восстановления операционной системы;
• настройки важнейших параметров операционной системы (политики паролей, управления доступом, политики аудита, настройки драйверов в режиме ядра и так далее);
• вступления во владение файлами, ставшими недоступными;
• управления журналами безопасности и аудита;
• архивирования и восстановления системы.

На практике учетные записи администраторов часто должны использоваться для установки и запуска программ, написанных для предыдущих версий Windows.

Опытные пользователи

Эта группа поддерживается, в основном, для совместимости с предыдущими версиями для выполнения несертифицированных приложений. Разрешения по умолчанию, предоставленные этой группе, позволяют членам группы изменять параметры компьютера. Если необходима поддержка несертифицированных приложений, конечные пользователи должны быть членами группы "Опытные пользователи".

Члены группы "Опытные пользователи" имеют больше разрешений, чем члены группы "Пользователи", и меньше, чем члены группы "Администраторы". Опытные пользователи могут выполнять любые задачи с операционной системой, кроме задач, зарезервированных для группы "Администраторы".

Опытные пользователи могут:

• выполнять приложения, сертифицированные для Windows 2000 и Windows XP Professional, а также устаревшие приложения;
• устанавливать программы, не изменяющие файлы операционной системы, и системные службы;
• настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления;
• создавать и управлять локальными учетными записями пользователей и групп;
• останавливать и запускать системные службы, не запущенные по умолчанию.

Опытные пользователи не могут добавлять себя в группу "Администраторы". Они не имеют доступа к данным других пользователей на томе NTFS, если соответствующие разрешения этих пользователей не получены. Поскольку опытные пользователи могут устанавливать и изменять программы, работа под учетной записью группы "Опытные пользователь" при подключении к Интернету может сделать систему уязвимой для троянских коней и других программ, угрожающих безопасности.

Пользователи

Члены этой группы не могут организовывать общий доступ к каталогам или создавать локальные принтеры. Группа "Пользователи" предоставляет самую безопасную среду для выполнения программ. На томе с файловой системой NTFS параметры безопасности по умолчанию только что установленной (не обновленной) системы разработаны, чтобы предотвратить нарушение целостности операционной системы и установленных программ членами этой группы. Пользователи не могут изменять параметры реестра на уровне системы, файлы операционной системы или программы. Пользователи могут выключать рабочие станции, но не серверы. Пользователи могут создавать локальные группы, но управлять могут только теми, которые они создали. Пользователи имеют полный доступ к своим файлам данных и своей части реестра (HKEY_CURRENT_USER). Однако разрешения на уровне пользователя часто не допускают выполнение пользователем устаревших приложений. Участники группы «Пользователи» гарантированно могут запускать только сертифицированные для Windows приложения.

Операторы архива

Члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от всех разрешений, которыми защищены эти файлы. Они могут также входить в систему и завершать работу компьютера, но не могут изменять параметры безопасности. Для архивирования и восстановления файлов данных и системных файлов требуются разрешения на чтение и запись. Разрешения по умолчанию для операторов архива, позволяющие им архивировать и восстанавливать файлы, делают для них возможным использование разрешений группы для других целей, например для чтения файлов других пользователей и установки программ с троянскими вирусами.

Гости

Члены этой группы по умолчанию имеют те же права, что и пользователи, за исключением учетной записи "Гость", еще более ограниченной в правах.

Операторы настройки сети

Члены этой группы могут иметь некоторые административные права для управления настройкой сетевых параметров.

Пользователи удаленного рабочего стола

Члены этой группы имеют право на выполнение удаленного входа в систему.

Для того, чтобы добавить учетную запись пользователя в ту или иную группу, щелкните правой кнопкой мыши на названии группы и из выпадающего меню выберите Добавить в группу. Более подробную справку по выполнению этих и других задач, связанных с учетными записями пользователей и групп, а также более полное описание учетных записей пользователей и групп читайте в справке оснастки "Локальные пользователи и группы".