 |
Изучите состав и назначение встроенных рабочих групп.
|
|
|
|
В Windows ХР Professional предусмотрено две категории встроенных групп, локальные и системные, позволяющие упростить назначение прав и разрешений для часто выполняемых задач.
Группа (group) — это совокупность учетных записей пользователей. Группы упрощают администрирование, позволяя назначить разрешения и права для группы пользователей, а не индивидуально для каждой учетной записи (рис. 9).
Рис. 9. Группы упрощают администрирование
Посредством разрешений (permissions) можно определить права пользователей при работе с ресурсами типа папки, файла или принтера. Назначив разрешения, вы предоставляете пользователям доступ к ресурсу и определяете тип доступа, который они имеют. Например, если нескольким пользователям необходимо прочесть некий файл, то можно объединить их учетные записи в группу и затем предоставить этой группе разрешение на чтение этого файла. Права (rights) позволяют пользователям выполнять системные задачи, например изменять время, выполнять архивацию и восстановление файлов.
Локальные группы
Локальная группа (local group) — совокупность учетных записей пользователей на компьютере. Локальные группы используются при назначении разрешений на доступ к ресурсам, постоянно хранящимся на компьютере, где создана локальная группа. Windows ХР Professional создает локальные группы в базе данных локальных политик безопасности.
Подготовка к применению локальных групп
• Используйте локальные группы на компьютерах, которые не входят в домен.
Вы можете использовать локальные группы только на компьютере, где они создаются. Хотя локальные группы доступны на рядовых серверах и компьютерах домена на платформе Windows 2000 Server, не используйте локальные группы на компьютерах, которые являются частью домена. Применение локальных групп на компьютерах домена лишает вас возможности централизованного администрирования группы. Локальные группы недоступны в каталоге Active Directory, и вам придется управлять ими отдельно ни каждом компьютере.
|
|
|
• Разрешения локальных групп предоставляют доступ к ресурсам только на компьютере, где вы их создаете.
Примечание Нельзя создать локальные группы на контроллерах домена, потому что контроллеры домена не могут иметь независимой от Active Directory базы данных политик безопасности.
Правила членства в локальных группах включают следующее:
• локальные группы могут объединять только локальные учетные записи пользователей системы, где эти группы создаются;
• локальные группы не могут принадлежать никакой другой группе.
Удаление локальных групп
Для удаления локальных групп используйте оснастку Управление компьютером (Computer Management). Каждая создаваемая вами группа имеет уникальный идентификатор, который никогда повторно не используется. Windows XP Professional применяет его для идентификации группы и ее разрешений. При удалении группы Windows XP professional снова этот идентификатор не использует, даже если вы создаете новую группу с таким же, как у удаленной группы, именем. Поэтому не удастся восстановить доступ к ресурсам, повторно создав группу.
При удалении группы вы удаляете только группу и ее разрешения и права. При этом не удаляются учетные записи пользователей, которые являются членами группы. Чтобы удалить группу, щелкните правой кнопкой мыши имя группы в оснастке Управление компьютером, затем щелкните пункт меню Удалить.
Встроенные локальные группы
Все изолированные серверы, рядовые серверы и компьютеры на платформе Windows XP Professional имеют встроенные локальные группы (built-in local groups). Они дают право выполнять системные задачи на отдельно взятом компьютере — резервное копирование и восстановление файлов, изменение времени и управление системными ресурсами. Windows XP Professional хранит встроенные локальные группы в папке Группы (Groups) оснастки Управление компьютером.
|
|
|
В таблице 2.2 перечислены встроенные локальные группы и описаны их возможности. За исключением отдельно оговоренных случаев, эти группы не имеют исходных членов.
Встроенные системные группы
Встроенные системные группы существуют на всех компьютерах под управлением Windows XP Professional. Системные группы не имеют определенных членств, которые можно изменять, но в них входят различные пользователи в разное время, в зависимости от того, каким образом пользователь получает доступ к системе или ресурсам. Системные группы не видны, когда Вы администрируете группы, но они доступны при назначении прав и разрешений для ресурсов. Windows XP Professional организует членство в системных группах в зависимости от вида доступа к компьютеру, а не от личности пользователя. В таблице 2.3 перечислены встроенные системные группы и описаны их возможности.
Возможности встроенной локальной группы Таблица 2.2
| Локальная группа | Описание |
| Администраторы (Administrators) | Члены этой группы могут выполнять все административные задачи на компьютере. По умолчанию встроенная учетная запись администратора является членом этой группы. Когда к домену подключается рядовой сервер или компьютер на платформе Windows XP Professional, Windows 2000 Server добавляет группу Domain Admins (Администраторы домена) в локальную группу администраторов |
| Операторы архива(Backup Operators) | Члены этой группы могут выполнять резервное копирование и восстановление системных компонентов с помощью служебной программы Архивация Windows (Windows Backup) |
| Гости (Guests) | Члены этой группы могут: • выполнять только задачи, для которых им предоставлены права; • пользоваться только теми ресурсами, на доступ к которым они имеют разрешения. Члены этой группы не могут производить постоянные изменения конфигурации рабочего стола. По умолчанию встроенная гостевая учетная запись является членом этой группы. Когда рядовой сервер или компьютер на платформе Windows XP Professional присоединяется к домену, Windows 2000 Server добавляет группу Domain Guests (Гости домена) в локальную группу Гости (Guests) |
| Опытные пользователи (Power Users) | Члены этой группы могут создавать и изменять локальные учетные записи пользователей на компьютере и совместно использовать ресурсы |
| Репликатор (Replicator) | Занимается дублированием файлов в домене |
| Пользователи (Users) | Члены этой группы могут: • выполнять только задачи, для которых им были предоставлены права; • пользоваться только теми ресурсами, для которых они имеют разрешения. По умолчанию Windows XP Professional добавляет в группу Пользователи (Users) все локальные учетные записи пользователей, которые администратор создает на компьютере. Когда рядовой сервер или компьютер на платформе Windows XP Professional присоединяется к домену, Windows 2000 Server добавляет группу Domain Users (Пользователи домена) в локальную группу Пользователи (Users) |
|
|
|
Возможности встроенных системных групп Таблица 2.3
| Системная группа | Описание |
| Все (Everyone) | Все пользователи, которые имеют доступ к компьютеру. По умолчанию при форматировании тома в NTFS, группе Все (Everyone) предоставляется разрешение полного доступа. Это вызывало проблемы в более ранних версиях Windows, в том числе и Microsoft Windows 2000. В Windows XP Professional анонимный вход в систему теперь не включен в группу Все (Everyone). При переходе с Windows 2000 Professional на Windows XP Professional ресурсы с разрешениями для группы Все (Everyone), а не специально для группы анонимного входа в систему, недоступны группе анонимного входа в систему |
| Прошедшие проверку (Authenticated Users) | Все пользователи с действительными учетными записями пользователя на компьютере. (Если ваш компьютер — часть домена, все пользователи включаются в Active Directory) |
| Создатель-владелец (Creator Owner) | Эта учетная запись пользователя для тех, кто создал или владеет ресурсом. Если ресурс создает член группы администраторов, то ресурсом владеет группа администраторов. |
| Сеть (Network) | Любой пользователь с удаленным подключением к общему ресурсу на этом компьютере. |
| Интерактивные (Interactive) | Учетная запись для пользователя, вошедшего в систему. Члены интерактивной группы могут пользоваться физическими ресурсами системы. При входе в систему они получают доступ к ресурсам компьютера «интерактивно» |
| Анонимный вход (Anonymous Logon) | Любая учетная запись, подлинность которой Windows XP Professional подтвердить не может |
| Удаленный доступ (Dialup) | Любой пользователь, кто в настоящее время имеет удаленный доступ к компьютеру через модем |
|
|
|
ВОПРОСЫ К ДОМАШНИМ ЗАДАНИЯМ
1. Что представляет собой Рабочая группа Windows XP Professional?
2. В каких случаях применение рабочей группы нецелесообразно?
3. Что такое контроллер домена?
4. Какие действия можно произвести с учетной записью гостя?
5. Каково максимальное количество символов, которое Windows XP Professional признает в имени локальной учетной записи пользователя?
6. Если пользователи создают свои собственные пароли, каких рекомендаций они должны придерживаться?
7. Для чего предназначена категория Учетные записи пользователей (User Accounts)?
8. Какие свойства локальной учетной записи пользователя?
9. Для чего применяется профиль пользователя?
10. Что такое Локальные группы и зачем они нужны?
11. Можно ли управлять Локальными группами централизованно?
12. Что такое профили пользователей и зачем они нужны?
13. Можно ли восстановить доступ к ресурсам, заново создав группу?
14. При удалении группы удаляются ли ее разрешения и права?
15. При удалении группы удаляются ли учетные записи пользователей, которые являются членами этой группы?
16. Какая разница между встроенными системными группами и встроенными локальными группами в системах под управлением Windows XP Professional? Приведите хотя бы два примера каждого типа группы.
|
|
|
