Лабораторын Дист. Лабораторная работа Управление пользователями в ос windows
Скачать 79.23 Kb.
|
Лабораторная работа 1. Управление пользователями в ОС Windows 1. Цель работы Получить навыки управления локальными пользователями в операционных системах семейства Windows. Научиться создавать, удалять и модифицировать учетные записи пользователей в операционных системах семейства Windows, задавать пароли, добавлять пользователей в группы или удалять из групп. 2. Теоретические сведения. Методические рекомендации Учетные записи пользователей Основой системы разграничения доступа в ОС является понятие учетной записи. Для каждого зарегистрированного пользователя система создает свою учетную запись. Учетная запись – это запись в специальной базе данных системы, содержащая информацию о пользователе, а также данные для аутентификации пользователя (способ и место хранения учетных записей будут подробнее рассмотрены далее). Каждый раз при аутентификации пользователя, происходит сравнение введенных им аутентификационных данных с данными из базы, и при совпадении пользователь получает соответствующий доступ к ОС. Примечание. Если компьютер входит в состав локальной вычислительной сети (ЛВС) на основе домена Windows, то помимо локальных учетных записей, существуют доменные учетные записи, которые хранятся не на локальной системе, а на сервере Windows (контроллере домена). Проверку аутентификационных данных таких учетных записей осуществляет контроллер домена. В данной лабораторной работе этот случай не рассматривается. Все учетные записи пользователей ОС можно условно разделить на три категории: Встроенные учетные записи пользователей создаются автоматически при установке ОС. Они являются системными учетными записями, и возможности по управлению ими ограничены (например, их нельзя удалить). Такие учетные записи необходимы самой ОС для разграничения доступа системных процессов. Стандартные учетные записи пользователей также создаются автоматически при установке ОС. Однако они не являются системными и выполняют вспомогательные функции. Возможности по управлению такими учетными записями не ограничены. Пользовательские учетные записи – зарегистрированные пользователи ОС. Такие учетные записи создаются и управляются Администратором или пользователем, имеющим соответствующие права. Все перечисленные категории учетных записей хранятся в специальном разделе системного реестра. На жестком диске соответствующий раздел находится в файле %WINDOWS%/system32/config/sam. Доступ к данному файлу (и соответствующему разделу системного реестра) имеет только системная учетная запись. Даже Администратор не имеет прямого доступа к базе учетных записей ОС. Ниже приведены встроенные учетные записи ОС и их назначение:
Ниже приведены стандартные учетные записи ОС и их назначение:
Группы пользователей Каждая учетная запись обладает определенными правами доступа и привилегиями в системе. Эти права могут выставляться Администратором для каждой учетной записи отдельно. Однако это не всегда удобно, т.к. многие пользователи обладают одинаковыми правами доступа, и приходится для соответствующих учетных записей выставлять одни и те же права. Поэтому еще одним инструментом управления разграничением доступа в ОС являются группы. Группа – это совокупность учетных записей, обладающих одинаковыми правами. Каждая отдельная учетная запись может принадлежать к одной или нескольким группам, и, следовательно, обладать правами группы. Все группы можно условно разделить на две категории: Стандартные группы пользователей создаются автоматически при установке ОС. Однако, они не являются системными, поэтому возможности по управлению такими группами не ограничены (можно удалять, переименовывать, изменять права и т.д.). Пользовательские группы – зарегистрированные группы ОС. Такие группы создаются и управляются Администратором или пользователем, имеющим соответствующие права. Возможности по управлению такими группами не ограничены. Далее перечислим и охарактеризуем основные стандартные группы ОС. Администраторы - членство в этой группе по умолчанию предоставляет самый широкий набор прав и возможность изменять собственные права. По умолчанию членом этой группы является только встроенная учетная запись Администратора. Права Администратора в системе практически неограниченны, хотя учетная запись SYSTEM обладает еще более высокими привилегиями. В целях безопасности рекомендуется использовать административный доступ только для выполнения следующих действий: установки операционной системы и ее компонентов (например, драйверов устройств, системных служб и так далее); установки пакетов обновления; обновления операционной системы; восстановления операционной системы; настройки важнейших параметров операционной системы (политики паролей, управления доступом, политики аудита, настройки драйверов в режиме ядра и так далее); вступления во владение файлами, ставшими недоступными; управления журналами безопасности и аудита; архивирования и восстановления системы. Опытные пользователи - эта группа поддерживается, в основном, для совместимости с предыдущими версиями и для выполнения несертифицированных приложений. Разрешения по умолчанию, предоставленные этой группе, позволяют членам группы изменять параметры ОС. Члены группы Опытные пользователи имеют больше прав, чем члены группы Пользователи, и меньше, чем члены группы Администраторы. Опытные пользователи могут выполнять любые задачи с ОС, кроме задач, зарезервированных для группы Администраторы (например, установка служб и драйверов). Опытные пользователи могут: устанавливать программы, не изменяющие файлы операционной системы, и системные службы; настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления; останавливать и запускать системные службы, не запущенные по умолчанию. Опытные пользователи не могут добавлять себя в группу Администраторы. Они не имеют доступа к данным других пользователей на томе NTFS, если соответствующие разрешения этих пользователей не получены. Пользователи - членами этой группы обычно являются рядовые пользователи системы. Группа Пользователи предоставляет самую безопасную среду для выполнения программ. На томе с файловой системой NTFS параметры безопасности по умолчанию разработаны, чтобы предотвратить нарушение целостности операционной системы и установленных программ членами этой группы. Пользователи не могут изменять параметры реестра на уровне системы, файлы операционной системы или программы. Они не могут организовывать общий доступ к каталогам или создавать локальные принтеры. Пользователи имеют полный доступ только к своим файлам данных и только к своей части реестра (HKEY_CURRENT_USER). Права на уровне пользователя часто не допускают выполнение пользователем различных приложений. Учетные записи, входящие в группу Пользователи, не могут устанавливать новые приложения в систему и гарантированно могут запускать только сертифицированные приложения. Операторы архива - члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от всех разрешений, которыми защищены эти файлы. Они могут также входить в систему и завершать работу компьютера, но не могут изменять параметры безопасности. Гости - члены этой группы по умолчанию имеют те же права, что и пользователи, за исключением учетной записи Гость, еще более ограниченной в правах. Операторы настройки сети - члены этой группы могут иметь некоторые административные права для управления настройкой сетевых параметров. Пользователи удаленного рабочего стола - члены этой группы имеют право на выполнение удаленного входа в систему. Инструментарий управления учетными записями и группами в ОС семейства windows Управление учетными записями можно осуществлять, используя следующие средства: Оснастка Локальные пользователи и группы (lusrmgr.msc) Оснастка Управление компьютером (compmgmt.msc) Команднаястрока (NET USER, NET LOCALGROUP) Наиболее мощным и удобным средством управления является оснастка «Локальные пользователи и группы» - она обладает рядом преимуществ перед всеми остальными способами: Нет ничего лишнего (в отличие от оснастки «Управление компьютером»); Имеет интуитивно понятный графический интерфейс (в отличие от командной строки); Обладает полными возможностями по управлению учетными записями (в отличие от апплета Панели управления «Учетные записи пользователей»). Использование команды «net user»1 Команда net user предназначена для создания и изменения учетных записей пользователей на компьютерах. При выполнении команды без параметров командной строки отображается список учетных записей пользователей, присутствующих на компьютере. Информация об учетных записях пользователей хранится в базе данных учетных записей пользователей. Данная команда выполняется только на серверах. Приведенный ниже пример иллюстрирует синтаксис команды net user: net user [имя_пользователя [пароль | *] [дополнительные_параметры]] [/domain] имя_пользователя {пароль | *} /add [дополнительные_параметры] [/domain] имя_пользователя [/delete] [/domain] С командой net user используются следующие параметры: имя_пользователя - Имя пользователя учетной записи, которую необходимо добавить, удалить, изменить или просмотреть. Имя учетной записи пользователя может включать до 20 символов. Пароль - Определяет или изменяет пароль учетной записи пользователя. Длина пароля должна быть не меньше минимального допустимого значения, определяемого параметром /minpwlen команды net accounts, и не больше 14 символов. * - Отображает приглашение на ввод пароля. При вводе пароль не отображается. /domain - Операция выполняется для основного контроллера домена текущего домена. Этот параметр применим только для компьютеров под управлением Windows NT Workstation, которые являются членами домена Windows NT Server. Компьютеры под управлением Windows NT Server выполняют операции для основного котроллера домена по умолчанию. /add - Добавляет учетную запись пользователя в базу данных учетных записей пользователей. /delete - Удаляет учетную запись пользователя из базы данных учетных записей пользователей. |