Администрирование учетных записей виндовс, линукс. Учетные записи пользователей и групп Windows и Linux
Скачать 99.5 Kb.
|
Лабораторная работа № 3 Тема: «Учетные записи пользователей и групп Windows и Linux» Цель работы: Ознакомиться с системой разграничения доступа; изучить основные принципы управления учетными записями Теоретические сведения Учетные записи пользователей Основой системы разграничения доступа в ОС является понятие учетной записи. Для каждого зарегистрированного пользователя система создает свою учетную запись. Учетная запись – это запись в специальной базе данных системы, содержащая информацию о пользователе, а также данные для аутентификации пользователя. Каждый раз при аутентификации пользователя, происходит сравнение введенных им аутентификационных данных с данными из базы, и при совпадении пользователь получает соответствующий доступ к ОС. Примечание. Если рабочая станция входит в состав локальной вычислительной сети (ЛВС) на основе домена, то помимо локальных учетных записей, существуют доменные учетные записи, которые хранятся не на локальной системе, а на сервере (контроллере домена). Проверку аутентификационных данных таких учетных записей осуществляет контроллер домена. Все учетные записи пользователей ОС можно условно разделить на четыре категории: Системные (специальные) учетные записи создаются автоматически при установке ОС. Они отличаются от обычных пользовательских учетных записей, и возможности по управлению ими ограничены (например, их нельзя удалить). Такие учетные записи, как правило, играют особую роль в ОС и необходимы для выполнения различных специальных функций (например, загрузки критических системных процессов). Интерактивный вход под такими учетными записями чаще всего невозможен. Встроенные учетные записи пользователей создаются автоматически при установке ОС. Они практически не отличаются от обычных пользовательских учетных записей, но возможности по управлению ими, как правило, ограничены (например, их нельзя удалить). Такие учетные записи необходимы самой ОС для функционирования СРД «по умолчанию». Стандартные учетные записи пользователей также создаются автоматически при установке ОС. Однако они не являются обязательными и выполняют вспомогательные функции. Перечень таких учетных записей может сильно варьироваться в различных ОС линейки Windows и даже в рамках различных service packs. Возможности по управлению такими учетными записями не ограничены. Пользовательские учетные записи – зарегистрированные пользователи ОС. Такие учетные записи создаются и управляются администратором системы или пользователем, имеющим соответствующие права. Ниже приведены системные (специальные) учетные записи ОС Windows и их назначение:
Ниже приведены встроенные учетные записи ОС Windows и их назначение:
Ниже приведены примеры стандартных учетных записей ОС Windows и их назначение:
В ОС Linux не существует системных учетных записей и имеется лишь одна встроенная учетная запись - root. Встроенная учетная запись root является неограниченной учетной записью (т.е. аналогом SYSTEM в Windows), но доступна для интерактивного входа в систему. Под этой учетной записью, как правило, происходит загрузка критических системных сервисов (демонов в терминологии Linux), а также вход администратора системы для внесения изменений в конфигурацию ОС. Состав стандартных учетных записей сильно зависит от выбранного при установке состава ПО, т.к. серверное ПО в Linux, как правило, устанавливает в систему свою учетную запись. В Windows вся информация об учетных записях хранится в специальном разделе системного реестра. На жестком диске соответствующий раздел находится в файле %SystemRoot%\system32\config\sam. Доступ к данному файлу (и соответствующему разделу системного реестра) имеет только учетная запись SYSTEM. Даже Administrator не имеет прямого доступа к базе учетных записей ОС. В Linux по умолчанию информация об учетных записях хранится в файлах /etc/passwd (вспомогательная информация) и /etc/shadow (хеши паролей). Доступ к файлу с паролями shadow имеет лишь учетная запись root, доступ к файлу passwd на чтение, как правило, не ограничен. Группы пользователей Каждая учетная запись обладает определенными правами доступа и привилегиями в системе. Эти права могут выставляться администратором для каждой учетной записи отдельно. Однако это не всегда удобно, т.к. многие пользователи обладают одинаковыми правами доступа, и приходится для соответствующих учетных записей выставлять одни и те же права. Поэтому еще одним инструментом управления разграничением доступа в ОС являются группы. Группа – это совокупность учетных записей, обладающих одинаковыми правами. Каждая отдельная учетная запись может принадлежать к одной или нескольким группам, и, следовательно, обладать правами группы. Все группы можно условно разделить на две категории: Стандартные группы пользователей создаются автоматически при установке ОС. Пользовательские группы – зарегистрированные группы ОС. Такие группы создаются и управляются администратором или пользователем, имеющим соответствующие права. Далее перечислим и охарактеризуем основные стандартные группы ОС Windows. Администраторы - членство в этой группе по умолчанию предоставляет самый широкий набор прав и возможность изменять собственные права. По умолчанию членом этой группы является только встроенная учетная запись Администратора. Права Администратора в системе практически неограниченны, хотя учетная запись SYSTEM обладает еще более высокими привилегиями. В целях безопасности рекомендуется использовать административный доступ только для выполнения следующих действий: установки операционной системы и ее компонентов (например, драйверов устройств, системных служб и так далее); установки пакетов обновления; обновления операционной системы; восстановления операционной системы; настройки важнейших параметров операционной системы (политики паролей, управления доступом, политики аудита, настройки драйверов в режиме ядра и так далее); вступления во владение файлами, ставшими недоступными; управления журналами безопасности и аудита; архивирования и восстановления системы. Опытные пользователи - эта группа поддерживается, в основном, для совместимости с предыдущими версиями и для выполнения несертифицированных приложений. Разрешения по умолчанию, предоставленные этой группе, позволяют членам группы изменять параметры ОС. Члены группы Опытные пользователи имеют больше прав, чем члены группы Пользователи, и меньше, чем члены группы Администраторы. Опытные пользователи могут выполнять любые задачи с ОС, кроме задач, зарезервированных для группы Администраторы (например, установка служб и драйверов). Опытные пользователи могут: устанавливать программы, не изменяющие файлы операционной системы, и системные службы; настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления. Опытные пользователи не могут добавлять себя в группу Администраторы. Они не имеют доступа к данным других пользователей на томе NTFS, если соответствующие разрешения этих пользователей не получены. Пользователи - членами этой группы обычно являются рядовые пользователи системы. Группа Пользователи предоставляет самую безопасную среду для выполнения программ. На разделах с файловой системой NTFS параметры безопасности по умолчанию разработаны, чтобы предотвратить нарушение целостности операционной системы и установленных программ членами этой группы. Пользователи не могут изменять параметры реестра на уровне системы, файлы операционной системы или программы. Они не могут организовывать общий доступ к каталогам или создавать локальные принтеры. Пользователи имеют полный доступ только к своим файлам данных и только к своей части реестра (HKEY_CURRENT_USER). Права на уровне пользователя часто не допускают выполнение пользователем различных приложений. Учетные записи, входящие в группу Пользователи, не могут устанавливать новые приложения в систему и гарантированно могут запускать только сертифицированные приложения. Именно в эту группу по умолчанию попадают вновь созданные учетные записи. Операторы архива - члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от всех разрешений, которыми защищены эти файлы. Они могут также входить в систему и завершать работу компьютера. Гости - члены этой группы по умолчанию имеют минимальные права в системе. Операторы настройки сети - члены этой группы могут иметь некоторые административные права для управления настройкой сетевых параметров. Пользователи удаленного рабочего стола - члены этой группы имеют право на выполнение удаленного входа в систему. В ОС Linux гарантированно присутствует лишь группа root, в которую по умолчанию входит одноименная учетная запись. Состав остальных групп ОС сильно зависит от версии ОС и установленного ПО. Для каждой новой учетной записи по умолчанию создается группа с таким же названием. Управление учетными записями и группами Управление учетными записями в Windows можно осуществлять, используя следующие средства: Оснастка Локальные пользователи и группы (lusrmgr.msc) Оснастка Управление компьютером (compmgmt.msc) Панель управления > Учетные записи пользователей (nusrmgr.cpl) Команднаястрока (NET USER, NET LOCALGROUP) Наиболее мощным и удобным средством управления является оснастка «Локальные пользователи и группы». Однако средства командной строки незаменимы для автоматизации задач управления учетными записями. Управление учетными записями в Linux можно осуществлять, используя следующие средства: Административная графическая утилита users-admin (в Gnome) Командная строка (useradd, usermod, userdel, groupadd, groupmod, groupdel, passwd) Порядок выполнения работы Изучить теоретический материал лабораторной работы. Изучить управление учетными записями в Windows через оснастку Локальные пользователи и группы. Для вызова оснастки необходимо: Нажать Пуск > Выполнить Набрать lusrmgr.msc и нажать ОК Изучить управление учетными записями в Windows через консоль. Для управления учетными записями через консоль необходимо: Нажать Пуск > Выполнить Набрать cmd и нажать ОК Использовать команды net user и net localgroup Изучить управление учетными записями в Linux через консоль. Для управления учетными записями через консоль необходимо: В графическом режиме (например, в оболочке Gnome) выбрать Приложения -> Стандартные -> Root terminal Ввести пароль учетной записи root Использовать команды useradd, usermod, userdel, groupadd, groupmod, groupdel, passwd Создайте учетные записи, показанные в следующей таблице. Затем протестируйте процесс входа в систему, используя одну из созданных учетных записей
Создайте две локальные группы Group1 и Group2 и добавьте в них учетные записи пользователей.
Затем следует удалить пользователей из первой группы и добавить его во вторую группу Добавить пользователей с правами администратора в первую группу После этого удалить обе созданные группы. Контрольные вопросы: В чем разница между доменными и локальными учетными записями? Какие виды учетных записей вам известны? Какая информация необходима для создания локальной учетной записи? Как создать учетные записи пользователей в системе? Зачем нужно использовать группы? Как создать локальную группу? Каковы последствия удаления группы? Каковы различия между встроенными и обычными локальными группами? Перечислите встроенные группы пользователей Каким образом можно управлять учетными записями в системе Linux? Какие команды используются для управления учетными записями в Linux? |