Главная страница
Навигация по странице:

  • Все права на работу с системой пользователь получает как член соответствующих встроенных локальных групп. Большую часть прав групп мы определяем с помощью оснастки Local Security

  • Settings . Остальные права получаем по умолчанию.

  • Специальная группа Представление

  • Лабораторная работа №3 Создание учетной записи пользователя и управление группами

  • Создание учетной записи локального пользователя в домене

  • Имя, Фамилия, Имя входа пользователя, Описание

  • Срок действия пароля не ограничен и Запретить смену пароля пользователем. Переместить пользователя из подразделения, где он находится, в другое ( IT 7

  • Переместить

  • Администраторы

  • Добавить

  • и право на архивирование файлов и каталогов .

  • Создать пользователя . Создать новую учетную запись указав: Имя, Фамилия , Описание

  • Запретить смену пароля пользователем.

  • Закрепление материала Вопросы

    		•

    Методические указания к проведению лабораторных работ Специально. Методические указания к проведению лабораторных работ. Специальность 23. 01. 02 Автоматизированные системы обработки информации и управления


    Скачать 1.67 Mb.
    НазваниеМетодические указания к проведению лабораторных работ. Специальность 23. 01. 02 Автоматизированные системы обработки информации и управления
    Дата11.06.2022
    Размер1.67 Mb.
    Формат файлаdoc
    Имя файлаМетодические указания к проведению лабораторных работ Специально.doc
    ТипМетодические указания
    #584786
    страница5 из 9
    1   2   3   4   5   6   7   8   9

    Таблица.3.Возможности встроенных групп


    Группа
    Стандартные члены
    Описание

    Встроенные изолированные локальные группы

    Admini­strators
    Administrator, Domain Admins
    Полностью управляют ресурсами ком­пьютера ^

    Users
    Все локальные пользователи компьютера, Interactive, Authenticated Users, Domain Users
    Имеют ограниченные права в пределах домена и своего компьютера. Могут создавать новые локальные группы

    Guests
    Guest
    Имеют ограниченные права в пределах домена. Не могут изменять установки компьютера. Не могут создавать новые локальные группы

    Replicator
    Heт
    Могут копировать файлы в домене. Ис­пользуется только службой репликации системы. Нельзя устанавливать членам группы пароль. Могут создавать новые локальные группы

    Backup operators
    Heт
    Могут резервировать и восстанавливать любые файлы и каталоги, несмотря на установленные полномочия доступа. Могут создавать новые локальные группы

    Power Users
    Heт
    Могут создавать новые локальные группы и локальных пользователей. Могут создавать и управлять разделяе­мыми каталогами и принтерами,, создавать общие программные группы, изме­нять переменные окружения

    Встроенные доменные локальные группы

    Admini­strators
    Administrator, Domain Admins, Enterprise Admins
    Полностью управляют ресурсами сво­его домена

    Users
    Domain Users, Interactive, Authenticated Users
    Имеют ограниченные права в пределах домена. Могут создавать новые локаль­ные группы. Доступ к серверу возмо­жен только по сети

    Guests
    Guest, Domain Guests
    Имеют ограниченные права в пределах домена. Не могут изменять установки компьютера. Не могут создавать новые локальные группы

    Replicators
    Heт
    Могут копировать файлы в домене. Ис­пользуется только службой репликации системы. Нельзя устанавливать членам группы пароль. Могут создавать новые локальные группы

    Print Operators
    Heт
    Могут управлять разделяемыми прин­терами, закрывать систему

    Backup operators

    (Операторы архива)
    Heт
    Могут резервировать и восстанавливать любые файлы и каталоги, несмотря на установленные полномочия доступа. Могут создавать новые локальные группы

    Account Operators

    (Операторы бюджетов)
    Heт
    Могут управлять групповыми и инди­видуальными бюджетами, кроме адми­нистраторских, операторов сервера, операторов бюджетов, операторов печа­ти и операторов резервирования

    Server Operators

    (Операторы сервера)
    Heт
    Могут управлять разделяемыми папка­ми и принтерами, резервировать и вос­станавливать файлы, форматировать диски, блокировать сервер и переопре­делять блокировку

    Встроенные глобальные группы

    Domain Admins
    Administrator
    Назначенные администраторы домена. Автоматически включаются в локаль­ную группу Administrators

    Domain Guests
    Guest
    Все гости домена*: Автоматически включаются в локальную группу Guests. По умолчанию бюджет пользователя Guest заморожен

    Domain Users
    Administrator
    Все пользователи домена. Автоматически включаются в локальную группу Users

    Enterprise Admins
    Administrators, Administrator
    Администраторы масштаба предпри­ятия. Автоматически включаются в локальную группу Administrators


    Для создания новых локальных групп используется оснастка Computer Management. При создании новой локальной группы вводится имя, описание (рис.17) и добавляются новые члены группы. При попытке добавить членов открывается окно Select Users or Groups.

    Создав группу и добавив в эту группу пользователей, присвой­те группе какие-либо права на работу - например, право локаль­ного входа в систему.

    Помимо прав на работу, группе нужно присвоить какие-либо разрешения доступа к принтерам, папкам или файлам.

    На контроллере домена порождаются следующие доменные встроенные локальные группы:

    • простые пользователи - Users;

    • гости - Guests;

    • репликаторы - Replicator;

    • операторы архива - Backup operators;

    • администраторы - Administrators;

    • операторы бюджетов - Account Operators;

    • операторы печати - Print Operators;

    • операторы сервера - Server Operators;

    • клиенты младших версий - Pre_Windows

    ..

    Рис. 17. Добавление членов в локальную группу

    Состав локальных встроенных групп домена и их свойства дос­тупны в оснастке Active Directory Users and Computers Built-in обладают открытым членством, т. е. в них можно добавлять членов из любого домена, а разрешить дос­туп - только к ресурсам домена, где они были созданы.

    Все права на работу с системой пользователь получает как член соответствующих встроенных локальных групп. Большую часть прав групп мы определяем с помощью оснастки Local Security Settings. Остальные права получаем по умолчанию.

    Права пользователей и групп назначаются в окне User Rights Assignments оснастки Local Security Settings:

    • сетевой вход;

    • локальный вход;

    • архивирование файлов и каталогов;

    • восстановление файлов и каталогов;

    • добавление рабочих станций к домену;

    • завершение работы системы;

    • загрузка и выгрузка драйверов;

    • работа с системным временем;

    • овладение объектами;

    • управление аудитом и журналом безопасности и т. д.

    Любому пользователю после создания можно явно назначить дополнительные права. Такое назначение можно сделать косвен­но, включив этого пользователя в какую-либо встроенную ло­кальную группу. Например, назначение пользователю с именем New привилегий администратора возможно включением в состав группы "Администраторы" (Administrators).

    При создании домена Windows 2003 создает встроенные глобальные группы в Active Directory. Чтобы присвоить глобальной группе права, ее нужно включить в локальную встроенную группу или сделать явное назначение. К наиболее распространенным гло­бальным встроенным группам относятся :

    • администраторы домена - Domain Admins;

    • пользователи домена - Domain Users;

    • гости домена - Domain Guests;

    • администраторы сети в масштабе предприятия - Enterprise Admins.

    Глобальная группа обладает ограниченным членством, т.е. в нее можно добавлять пользователей из того домена, где она была создана. Но доступ к ресурсам для нее возможен в любом домене.

    Универсальные группы возможны только в основном (или WindowsServer2003) режиме домена, в смешанном (или промежуточном) они недоступны. Такие группы обладают открытым членством, для них возможен доступ к ресурсам любо­го домена.

    Специальные группы

    Существует также несколько специальных групп (special identity), которые управляются самой ОС. Их нельзя создать, удалить или изменить их состав. Специальные группы не отображаются в консоли ActiveDirectoryпользователи и компьютеры (Active Directory Users And Computers) и другими средствами управления компьютером, однако им мож­но назначить разрешения в ACL ресурса. Некоторые специальные группы Windows Server 2003 (их также называют особыми) перечислены в табл. 4.
    Табл. 4 Специальные группы и их представление

    Специальная группа

    Представление

    Все (Everyone)
    Представляет всех пользователей сети, в том числе вошедших под гостевой учетной записью, а также пользователей из других доменов. Каждый раз при входе в систему пользователь автоматически добавляется в группу Все (Everyone)

    Сеть (Network)
    Представляет пользователей, которые в настоящий момент обращаются к данному ресурсу по сети (в отличие от тех, кто обращается к ресурсу локально). При любом обращении к данному ресурсу по сети пользователь автоматически добавляется в группу Сеть (Network)

    Интерактивные (Interactive)
    Представляет всех пользователей, которые локально обращаются к ресурсу (в отличие от тех, что обращаются к ресурсу по сети). При любом обращении к данному ресурсу пользователь автоматически добавляется в группу Интерактивные (Interactive)

    Анонимный вход (Anonymous Logon)
    В эту группу зачисляются те, кто использует сетевые ресурсы, не пройдя проверку подлинности.

    Прошедшие проверку (Authenticated Users)
    В эту группу входят все пользователи, которые прошли проверку подлинности при входе в сеть, предоставив действительную учетную запись. При назначении разрешений можно вместо Все (Everyone) использовать группу Прошедшие проверку (Authenticated Users), чтобы избежать анонимного доступа к ресурсам

    Создатель-владелец (Creator Owner)
    В эту группу зачисляется пользователь, который создал ресурс или получил право владения им. Например, если пользователь создал ресурс, но Администратор (Administrator) получил право владения им, в группе Создатель-владелец (Creator Owner) будет указан Администратор

    Удаленный доступ (Dialup)
    В группу Удаленный доступ. (Dialup) зачисляют всех, кто подключен к сети через коммутируемое соединение


    Внимание! Этим группам можно назначить разрешения'на сетевые ресурсы, однако со­блюдайте при этом осторожность. Члены этих групп могут не всегда проходить проверку подлинности в домене. Например, если вы предоставите все права на общий ресурс группе Все (Everyone), пользователи, подключающиеся из других доменов, также полу­чат доступ к этому ресурсу.

    Лабораторная работа №3

    Создание учетной записи пользователя и управление группами

    Войдите в сеть, указав:

    labstudent


    пароль:111

    Создание учетной записи локального пользователя в домене

    1. При помощи оснастки Администрирование - Active Directory выбрать - Пользователи и компьютеры. Изучить иерархический список.

    2. Создать на объекте типа домен (lab) подразделение 1group (или 2group). Если такое подразделение существует перейти к пункту 3.

    3. Создать учетную запись домена. В окне диалога заполнить поля: Имя, Фамилия, Имя входа пользователя, Описание (обычный парень) и затем кнопку Далее. В следующем окне указать Пароль и его Подтверждение. Установите флажки Переместить_пользователя_из_подразделения,_где_он_находится,_в_другое_(_IT_7'>Срок действия пароля не ограничен и Запретить смену пароля пользователем.

    4. Переместить пользователя из подразделения, где он находится, в другое (IT7), нажав правую кнопку мыши и выбрав команду Переместить, и ОК.

    5. Изучите все встроенные локальные группы домена в папке Builtin объекта домена и встроенные глобальные группы в папке Users. Выпишите их. Создайте собственную новую группу, добавьте в группу вновь созданного пользователя и любую группу.

    6. Добавить вновь созданную группу в локальную группу Администраторы. Для этого указать группу, в которую вы хотите добавить пользователя и, нажав правую кнопку мыши, выбрать команду Свойства. Перейти на вкладку Члены группы и нажать кнопку Добавить. Выбрать имя добавляемого пользователя и нажать кнопку Добавить и ОК.

    7. С помощью оснастки Администрирование – Политика безопасности домена – Локальные назначения прав пользователя и групп) дать группе право добавления рабочих станций к домену и право на архивирование файлов и каталогов.

    Создание учетной записи локального пользователя

    1. При помощи оснастки Программы – Инструменты администрирования – Управление компьютером. Раскройте дерево Служебные документы – Локальные пользователи и группы.Нажав правую кнопку, выберите командуСоздать пользователя.

    2. Создать новую учетную запись указав: Имя, Фамилия, Описание (обычный парень), флажки Срок действия пароля не ограничен и Запретить смену пароля пользователем.

    3. Поместите вновь созданного пользователя в группу опытных пользователей.

    4. Выпишите свойства пользователя.

    5. Убедитесь в том, что пользователь создан.

    Закрепление материала

    Вопросы

    1. Вы используете универсальные группы в своем домене или в лесу, и вам нужно пре­доставить санкционированный доступ членам универсальной группы. Какая конфи­гурация (тип группы, область действия) необходима для использования универсальной группы?

    2. Какие участники безопасности могут быть членами глобальной группы в домене, работающем в режиме Windows Server 2003?

    3. На какой вкладке в окне свойств группы можно добавить в нее пользователей?

    4. Вы хотите, чтобы группа IT Administrators, члены которой администрируют участни­ков группы Sales, была вложена в Sales и имела доступ к тем же ресурсам (опреде­ленным разрешениями в ACL), что и Sales. На какой вкладке в окне свойств группы IT Administrators можно выполнить такую настройку?

    5. Если в вашей системе два домена (на базе Windows Server 2003 и Windows NT 4), группы какой области действия можно использовать, чтобы назначить разрешения для любого ресурса на любом компьютере в домене?



    1   2   3   4   5   6   7   8   9

    написать администратору сайта