Занятие 9. Управление пользователями и группами.
Курс "Системный администратор компьютерной сети".
vsit, Wednesday 10 May 2006 - 00:00:00
[newpage=Начало] Управление пользователями и группами.
В операционной системе Windows XP Professional для проверки подлинности (аутентификации) пользователя используются учетные записи. Они хранятся в специальной базе данных на локальных компьютерах и на сервере (для сети с выделенным сервером). Каждый раз при аутентификации пользователя, происходит сравнение введенных им данных с данными из базы, и при совпадении пользователь получает доступ к компьютеру или в локальную сеть. Windows XP Professional использует три типа учетных записей пользователей:
Локальные учетные записи пользователей для регистрации пользователей локального компьютера. Индивидуальная база учетных записей локальных пользователей хранится на каждом компьютере, и содержит информацию о пользователях данного компьютера.
*Встроенные учетные записи пользователей создаются автоматически при установке Windows XP Professional. В состав встроенных учетных записей входят две основные записи - Администратор и Гость. Встроенные учетные записи хранятся в той же базе, что и локальные учетные записи.
*Учетные записи пользователей домена хранятся на выделенном сервере и содержат личные данные о пользователях локальной сети.
Если пользователь, работая за компьютером, имеет доступ к локальной сети, он должен иметь две учетные записи, одну для доступа к компьютеру (локальная), другую для доступа к сети (пользователь домена). Эти записи могут отличаться (например, могут быть разные пароли), но для удобства работы лучше этого не делать.
Независимо от того, подключен ваш компьютер к локальной сети или нет, он содержит локальную базу данных безопасности. Это позволяет создавать на рабочих станциях локальные учетные записи пользователей и локальные группы, а так же управлять ими. Локальные пользователи - это люди, которые будут пользоваться вашим компьютером, либо работая непосредственно за ним, либо подключаясь по сети. Для каждого из них можно создать отдельную учетную запись, которая будет содержать индивидуальные сведения о пользователе и настройках операционной системы Windows XP Professional. Кроме того, администратор данного компьютера, может установить отдельно для каждого пользователя свою политику безопасности и предоставить индивидуальные права доступа к ресурсам компьютера.
Для удобства управления локальными пользователями, их можно объединять в группы и управлять группами, не устанавливая одни и те же настройки для каждого пользователя в отдельности.
Управление учетными записями пользователей и группами осуществляется при помощи консоли Управление компьютером. Вы можете вызвать ее, в меню Пуск, выбрав Панель управления -> Администрирование или щелкнув правой кнопки мыши пункт Мой компьютер ( в меню Пуск) и в контекстном меню выбрав пункт Управление.
[newpage=Управление локальными и встроенными учетными записями.]
Управление локальными и встроенными учетными записями.
Для управления учетными записями пользователей раскройте ветвь дерева Управление компьютером -> Локальные пользователи и группы -> Пользователи.
В списке справа отображаются локальные и встроенные учетные записи пользователей. Все операции по управлению учетными записями осуществляются с помощью контекстного меню, которое вызывается нажатием правой кнопки мышки, установив указатель на имя учетной записи. Также можно использовать пункт Действие строчного меню.
Локальные учетные записи создаются администратором данного компьютера или пользователем, имеющим определенные права.
Встроенные учетные записи необходимы как для работы самой операционной системы, так и для того, чтобы вы могли начать работать с ней. При установке Windows XP Professional, создается ряд стандартных встроенных учетных записей, приведенных в таблице:
[newpage=Создание новой учетной записи]
Создание новой учетной записи.
Что бы создать новую учетную запись пользователя, поместите указатель мышки на поле Пользователи и нажмите правую кнопку мышки. В контекстном меню выберите Новый пользователь.
В появившемся окне введите имя учетной записи (поле Пользователь), полное имя пользователя и описание учетной записи. При задании имени учетной записи рекомендуется использовать только латинские символы, цифры и некоторые знаки.
Поля Полное имя и Описание заполнять не обязательно. Достаточно удобно в качестве описания учетной записи указывать должность пользователя или кратко описывать выполняемые им функции.
В именах учетных записей желательно использовать не более 20 символов, хотя разрешается вводить больше. Windows XP Professional использует только первые 20 символов. Имена учетных записей не чувствительны к регистру, например, IvanovAP, ivanovap, IVANOVAP означают одно и тоже имя пользователя.
Не используйте в имени пользователя следующие спецсимволы: / \ < > | [ ] : ; ? * , = +
В целях безопасности, переименуйте учетные записи Администратор и Гость, чтобы избежать проникновение злоумышленника через локальную сеть.
Далее вы должны задать пароль для новой учетной записи. Допустимо использование пустого пароля, хотя это не рекомендуется из соображений безопасности, особенно для учетной записи администратора.
По умолчанию локальная политика безопасности не запрещает использование пустых паролей пользователей, однако это поведение может быть изменено как в самой локальной политике безопасности, так и при помощи политики домена. В любом случае пароль должен иметь длину не менее указанной в политике безопасности.
Максимальная длина пароля 128 символов, к тому же пароль не чувствителен к регистру. Рекомендуется использовать пароль длинной не менее 8 символов, содержащий символы верхнего и нижнего регистров, цифры и спецсимволы. На ряду с символами нижнего регистра, использовать хотя бы один символ верхнего регистра, одну цифру и один спецсимвол (например, f*4Wyz9c).
При необходимости можно изменить параметры создаваемой учетной записи.
Функция смены пароля при следующем входе в систему реализуется за счет установления срока устаревания пароля. При этом сразу после входа в систему пароль считается устаревшим и система предлагает его сменить. Этот механизм не может работать при установленном флажке Срок действия пароля не ограничен.
После заполнения всех свойств новой учетной записи щелкните кнопку Создать. Учетная запись будет создана, а консоль управления компьютером предложит вам ввести данные следующего пользователя. Если вы ввели всех пользователей, щелкните кнопку Закрыть.
[newpage=Изменение параметров учетной записи]
Изменение параметров учетной записи.
Чтобы изменить параметры существующей учетной записи, поместите указатель на нужную учетную запись и щелкните правой кнопки мыши. В контекстном меню выберите пункт Свойства.
На вкладке Общие вы можете изменять те же параметры, что и при создании новой учетной записи. Обратите внимание, что нельзя изменить имя учетной записи - это осуществляется при помощи операции переименования.
Кроме того, появился еще один флажок - Заблокировать учетную запись. Этот флажок не может быть установлен вручную. Он включается системой безопасности Windows XP при многократных попытках ввода неправильного пароля. Поведение системы безопасности в случае подбора пароля устанавливается локальной или доменной политикой безопасности. Администратор системы может только снять блокировку с учетной записи, уже заблокированной операционной системой.
Вы не можете отключить встроенную учетную запись администратора. Вы можете ограничить срок действия пароля учетной записи администратора, но даже при настроенной политике безопасности этот параметр не будет действовать.
На вкладке Членство в группах вы можете управлять членством пользователей в локальных группах. На вкладке выводится список групп, членом которых является пользователь.
Включение пользователя в ту или иную группу может потребоваться для предоставления ему доступа к определенному ресурсу или расширения его полномочий. По умолчанию все вновь создаваемые пользователи включаются в группу Пользователи.
Для включения пользователя в одну или более групп щелкните кнопку Добавить. В появившемся окне можно выбрать группы из списка или вписать их названия вручную в поле в нижней части окна. Имена нескольких групп разделяются точками с запятой.
Вы можете добавлять локальные учетные записи пользователей только в локальные группы. Добавление локальных учетных записей пользователей в любые группы домена невозможно.
На вкладке Профиль вы можете управлять параметрами профиля пользователя. Профиль хранится на локальном компьютере в папке %homedrive%\Documents and Settings. В папке профиля пользователя сохраняются его личные файлы, персонифицированные файлы приложений, временные файлы пользователя, его рабочий стол и сетевое окружение, данные системного реестра.
Windows XP Professional поддерживает три типа профилей:
Указав в поле Путь к профилю сетевой путь к перемещаемому или обязательному профилю, вы укажете Windows копировать профиль из указанной сетевой папки, а не создавать его на основании стандартного профиля пользователя.
В поле Сценарий входа можно указать имя файла сценария, который будет выполнен при входе пользователя в систему.
Даже в одноранговой сети вы можете хранить данные всех пользователей на одном компьютере, упрощая резервное копирование данных и доступ к ним с разных компьютеров. Если личные данные пользователя хранятся на другом компьютере в сети, вы можете автоматически подключить соответствующую папку другого компьютера при входе пользователя в систему. Для этого нужно задать букву диска и сетевой путь к подключаемому ресурсу. Если пользователь работает на локальном компьютере, но хранит свои данные не в одной из папок профиля, а, скажем, на другом диске, вы можете указать путь к соответствующей папке в поле Локальный путь. Если ни один из этих параметров не указан, то домашней папкой считается папка его локального профиля (%homedrive%\Documents and Settings\%username% или %userprofile%).
[newpage=Переименование учетной записи]
Переименование учетной записи.
Учетная запись любого пользователя, включая администратора, может быть переименована. Это возможно, т. к. Windows идентифицирует учетные записи не по имени, а по специальному уникальному коду, жестко привязанному к каждой учетной записи. Этот код называется идентификатор безопасности (Secure ID, SID) и используется не только для учетных записей, но и для имен компьютеров.
Переименовать учетную запись вы можете, выбрав соответствующий пункт контекстного меню или нажав клавишу F2. Для переименования укажите новое имя учетной записи пользователя и нажмите Enter. Дополнительного подтверждения при переименовании не требуется.
Изменение пароля учетной записи.
Ни один пользователь системы, даже ее администратор, не может получить пароль пользователя в открытом виде. При необходимости работать с данными пользователя от его имени, администратор может установить пользователю новый пароль и использовать его для входа в систему. Такая необходимость может возникнуть и при смене паролей пользователей, которые не могут сделать этого самостоятельно или просто забыли пароль.
Любой пользователь для смены своего собственного пароля обязан ввести сначала старый, а потом новый пароль. При использовании консоли для управления пользователями администратор может устанавливать новые пароли пользователей, не зная старых.
Для смены пароля выберите пункт Задать пароль контекстного меню. Дважды введите новый пароль и щелкните ОК. Новый пароль начинает действовать немедленно.
После смены пароля пользователя рекомендуется выйти и снова войти в систему. Иначе такая ситуация может привести к невозможности доступа к некоторым ресурсам сети после смены пароля.
При смене пароля пользователя в рабочей группе вы должны изменить пароль на всех компьютерах рабочей группы, которые содержат учетную запись этого пользователя. Это связано с тем, что каждый компьютер рабочей группы имеет свою собственную базу данных безопасности, не синхронизированную с базами данных других компьютеров.
Удаление учетной записи.
Чтобы удалить учетную запись, выберите соответствующий пункт контекстного меню или нажмите клавишу Delete (Del). После подтверждения учетная запись будет удалена.
Очень осторожно относитесь к удалению учетных записей пользователей. При удалении учетной записи также теряется ее идентификатор безопасности (SID), поэтому создание новой учетной записи после удаления пользователя с таким же именем учетной записи не вернет ему членство в группах и доступ к ресурсам, которые имела удаленная учетная запись. Поэтому рекомендуется сначала отключать учетные записи пользователей, а удалять их только при необходимости.
Системные учетные записи (Администратор и Гость) не могут быть удалены. Однако учетная запись гостя может быть отключена из соображений безопасности.
[newpage=Управление локальными группами.]
Управление локальными группами.
Для управления локальными группами раскройте ветвь дерева Управление компьютером -> Локальные пользователи и группы -> Группы.
В списке справа отображаются локальные и встроенные группы. Все операции по управлению группами осуществляются с помощью контекстного меню, которое вызывается нажатием правой кнопки мышки, установив указатель на имя группы. Также можно использовать пункт Действие строчного меню.
Локальные группы создаются администратором данного компьютера или пользователем, имеющим определенные права.
Встроенные группы необходимы для разграничения доступа к файлам, папкам, системным объектам и т. п. Для предоставления пользователям определенных прав в рамках системы рекомендуется включать их в соответствующие системные группы. Например, чтобы предоставить пользователю полномочия администратора системы, его достаточно включить в группу Администраторы. При установке Windows XP Professional, создается ряд стандартных встроенных учетных записей, приведенных в таблице:
Добавление группы.
Что бы создать новую группу, поместите указатель мышки на поле Группы и нажмите правую кнопку мышки. В контекстном меню выберите Создать группу.
В появившемся окне введите имя группы и ее описание. Поле описания не является обязательным, но желательно указать в нем сведения о том, для каких целей создается группа.
Щелкнув кнопку Добавить, можно сразу добавить пользователей в создаваемую группу.
Помимо пользователей, в локальные группы могут быть добавлены любые (локальные, глобальные и универсальные) группы домена.
Кроме пользователей в списке вы увидите ряд псевдогрупп, которые нельзя увидеть в оснастке Управление пользователями и группами, но можно использовать для назначения прав доступа и включения в другие группы.
После заполнения параметров новой группы щелкните кнопку Создать. Группа будет создана, а консоль управления компьютером предложит вам ввести данные следующей группы. Если вы не будете создавать новую группу, щелкните кнопку Закрыть..
Изменение свойств группы.
Чтобы изменить параметры группы, установите указатель на имя нужной группы и щелкните правой кнопкой мыши. В контекстном меню выберите Свойства
На вкладке Общие вы можете изменять те же параметры, что и при создании новой группы. Обратите внимание, что нельзя изменить имя группы, - это осуществляется только при помощи переименования.
Переименование группы.
Любая группа, включая встроенные, может быть переименована. Это возможно, т. к. Windows в качестве уникального идентификатора группы использует SID, а не ее имя. Переименовать группу вы можете, выбрав соответствующий пункт контекстного меню или нажав клавишу F2. Для переименования укажите новое имя группы и нажмите Enter. Дополнительное подтверждение при переименовании не требуется.
Удаление группы.
Чтобы удалить группу, выберите соответствующий пункт контекстного меню или нажмите клавишу Delete (Del). После подтверждения группа будет удалена.
Очень осторожно относитесь к удалению групп. При удалении группы также теряется ее идентификатор безопасности, поэтому создание новой группы с таким же именем (после удаления группы) не вернет ей права доступа к ресурсам, которые имела удаленная группа.
Встроенные группы не могут быть удалены.
[newpage=Использование утилит командной строки.]
Использование утилит командной строки.
Основные операции по управлению учетными записями пользователей и группами могут быть выполнены при помощи утилит командной строки. Этот способ незаменим при необходимости быстро создать большое количество учетных записей и групп.
При помощи утилиты net могут быть выполнены следующие операции:
Утилита net user имеет следующий синтаксис:
net user [username [пароль | *] [/ADD | /DELETE]
[/ACTIVE:{YES:NO}] [/COMMENT:"комментарий"] [/COUNTRYCODE:код]
[/EXPIRES:{дата | NEVER}] [/FULLNAME:"полное_имя"] [/HOMEDIR:путь]
[/PASSWORDCHG:{YES | NO}] [/PASSWORDREQ:{YES | NO}]
[/PROFILEPATH[:путь]] [/SCRIPTPATH:путь] [/TIMES:{время | ALL}]
[/USERCOMMENT:"комментарий"] [/WORKSTATIONS:{имя_компьютера[,...] | *}]]
[/DOMAIN]
Описание ключей утилиты net user приведено в таблице.
Если не указан ключ /ADD или /DELETE , утилита выводит или изменяет информацию об учетной записи пользователя. Информация выводится, если указано только имя учетной записи. Если указан один или более параметров, то производится изменение указанной учетной записи.
Параметры
/ACTIVE,
/COUNTRYCODE
/EXPIRES
/PASSWORDCHG
/PASSWORDREQ
/TIMES
/WORKSTATIONS
могут указываться только для учетных записей пользователей домена.
Утилита net group имеет следующий синтаксис:
net group [groupname [/ADD | /DELETE] [/COMMENT:"комментарий"]] [/DOMAIN]
net group groupname user [...] {/ADD | /DELETE} [/DOMAIN]
Описание ключей утилиты net group приведено в таблице.
Если не указан ключ /ADD или /DELETE, утилита выводит или изменяет информацию об указанной группе. Информация выводится, если указано только имя группы. Если указан один или более параметров, то производится изменение указанной группы.
Пример создания учетной записи пользователя с именем User1 и паролем 123456:
net user User1 123456 /ADD /COMMENT:"Тестовый пользователь"
Пример изменения срока действия учетной записи пользователя User1:
net user User1 /EXPIRES:31/12/2002
Пример просмотра информации об учетной записи пользователя User1:
net user User1
Пример создания группы с именем TestGroup:
net group TestGroup /COMMENT:"Тестовая группа" /ADD
Пример добавления пользователей Администратор и User1 в группу TestGroup:
net group TestGroup Администратор User1 /ADD
Пример просмотра информации о группе TestGroup:
net group TestGroup
[newpage=Контроль сетевых пользователей.]
Контроль сетевых пользователей.
Используя консоль Управление компьютером, вы можете контролировать пользователей, подключенных к вашему компьютеру в данный момент, а так же какими ресурсами они пользуются. Для этого откройте раздел Общие папки и выберите пункт Сеансы.
Правая часть окна содержит список пользователей, подключенных к вашему компьютеру. Вы можете узнать имя пользователя, имя компьютера, с которого он подключился, тип операционной системы его компьютера, количество открытых файлов и прочую информацию. Вы можете отключить пользователя, используя контекстное меню (щелкните правой кнопкой мышки) или выбрав пункт Действие строчного меню.
Если вы хотите отключить сразу всех подключенных пользователей, установите указатель мышки на пункт Сеансы и используя контекстное или строчное меню (пункт Действие), выберите Отключить все сеансы.
Операционная система Windows автоматически восстанавливает прерванное подключение к общей папке, поэтому после отключения пользователя он автоматически подключится снова. Что бы окончательно отключить пользователя от вашего компьютера, вам придется отменить доступ пользователя к данному ресурсу или отменить общий доступ к ресурсу, но тогда он будет недоступен всем пользователям.
Чтобы посмотреть какие именно файлы открыл подключившийся пользователь, откройте раздел Общие папки и выберите пункт Открытые файлы. Так же, как и сеанс пользователя, открытые файлы можно отключить.
Вы можете отправить сообщение пользователям, например, предупреждение о завершении работы вашего компьютера. Для этого установите указатель мышки на раздел Общие папки и используя контекстное или строчное меню (пункт Действие), выберите Отправка сообщения консоли. Затем напишите текст сообщения и из списка выберите пользователей, которым это сообщение отправить.
эта статья с Компьютерные сети и технологии
( http://xnets.ru/plugins/content/content.php?content.115 )
Курс "Системный администратор компьютерной сети".
vsit, Wednesday 10 May 2006 - 00:00:00
[newpage=Начало] Управление пользователями и группами.
В операционной системе Windows XP Professional для проверки подлинности (аутентификации) пользователя используются учетные записи. Они хранятся в специальной базе данных на локальных компьютерах и на сервере (для сети с выделенным сервером). Каждый раз при аутентификации пользователя, происходит сравнение введенных им данных с данными из базы, и при совпадении пользователь получает доступ к компьютеру или в локальную сеть. Windows XP Professional использует три типа учетных записей пользователей:
Локальные учетные записи пользователей для регистрации пользователей локального компьютера. Индивидуальная база учетных записей локальных пользователей хранится на каждом компьютере, и содержит информацию о пользователях данного компьютера.
*Встроенные учетные записи пользователей создаются автоматически при установке Windows XP Professional. В состав встроенных учетных записей входят две основные записи - Администратор и Гость. Встроенные учетные записи хранятся в той же базе, что и локальные учетные записи.
*Учетные записи пользователей домена хранятся на выделенном сервере и содержат личные данные о пользователях локальной сети.
Если пользователь, работая за компьютером, имеет доступ к локальной сети, он должен иметь две учетные записи, одну для доступа к компьютеру (локальная), другую для доступа к сети (пользователь домена). Эти записи могут отличаться (например, могут быть разные пароли), но для удобства работы лучше этого не делать.
Независимо от того, подключен ваш компьютер к локальной сети или нет, он содержит локальную базу данных безопасности. Это позволяет создавать на рабочих станциях локальные учетные записи пользователей и локальные группы, а так же управлять ими. Локальные пользователи - это люди, которые будут пользоваться вашим компьютером, либо работая непосредственно за ним, либо подключаясь по сети. Для каждого из них можно создать отдельную учетную запись, которая будет содержать индивидуальные сведения о пользователе и настройках операционной системы Windows XP Professional. Кроме того, администратор данного компьютера, может установить отдельно для каждого пользователя свою политику безопасности и предоставить индивидуальные права доступа к ресурсам компьютера.
Для удобства управления локальными пользователями, их можно объединять в группы и управлять группами, не устанавливая одни и те же настройки для каждого пользователя в отдельности.
Управление учетными записями пользователей и группами осуществляется при помощи консоли Управление компьютером. Вы можете вызвать ее, в меню Пуск, выбрав Панель управления -> Администрирование или щелкнув правой кнопки мыши пункт Мой компьютер ( в меню Пуск) и в контекстном меню выбрав пункт Управление.
[newpage=Управление локальными и встроенными учетными записями.]
Управление локальными и встроенными учетными записями.
Для управления учетными записями пользователей раскройте ветвь дерева Управление компьютером -> Локальные пользователи и группы -> Пользователи.
В списке справа отображаются локальные и встроенные учетные записи пользователей. Все операции по управлению учетными записями осуществляются с помощью контекстного меню, которое вызывается нажатием правой кнопки мышки, установив указатель на имя учетной записи. Также можно использовать пункт Действие строчного меню.
Локальные учетные записи создаются администратором данного компьютера или пользователем, имеющим определенные права.
Встроенные учетные записи необходимы как для работы самой операционной системы, так и для того, чтобы вы могли начать работать с ней. При установке Windows XP Professional, создается ряд стандартных встроенных учетных записей, приведенных в таблице:
| Учетная запись | Описание |
| Администратор | Учетная запись администратора системы. Необходима для выполнения многих административных задач, решаемых на данном компьютере. Запись не может быть удалена! |
| Гость | Гостевая учетная запись. Обладает минимальными правами и предназначена для регистрации анонимных пользователей. Отключена по умолчанию . Запись не может быть удалена! |
| HelpAssistant | Учетная запись для предоставления удаленной помощи |
| SUPPORT_388945a0 | Это учетная запись поставщика для службы справки и поддержки |
[newpage=Создание новой учетной записи]
Создание новой учетной записи.
Что бы создать новую учетную запись пользователя, поместите указатель мышки на поле Пользователи и нажмите правую кнопку мышки. В контекстном меню выберите Новый пользователь.
В появившемся окне введите имя учетной записи (поле Пользователь), полное имя пользователя и описание учетной записи. При задании имени учетной записи рекомендуется использовать только латинские символы, цифры и некоторые знаки.
Поля Полное имя и Описание заполнять не обязательно. Достаточно удобно в качестве описания учетной записи указывать должность пользователя или кратко описывать выполняемые им функции.
В именах учетных записей желательно использовать не более 20 символов, хотя разрешается вводить больше. Windows XP Professional использует только первые 20 символов. Имена учетных записей не чувствительны к регистру, например, IvanovAP, ivanovap, IVANOVAP означают одно и тоже имя пользователя.
Не используйте в имени пользователя следующие спецсимволы: / \ < > | [ ] : ; ? * , = +
В целях безопасности, переименуйте учетные записи Администратор и Гость, чтобы избежать проникновение злоумышленника через локальную сеть.
Далее вы должны задать пароль для новой учетной записи. Допустимо использование пустого пароля, хотя это не рекомендуется из соображений безопасности, особенно для учетной записи администратора.
По умолчанию локальная политика безопасности не запрещает использование пустых паролей пользователей, однако это поведение может быть изменено как в самой локальной политике безопасности, так и при помощи политики домена. В любом случае пароль должен иметь длину не менее указанной в политике безопасности.
Максимальная длина пароля 128 символов, к тому же пароль не чувствителен к регистру. Рекомендуется использовать пароль длинной не менее 8 символов, содержащий символы верхнего и нижнего регистров, цифры и спецсимволы. На ряду с символами нижнего регистра, использовать хотя бы один символ верхнего регистра, одну цифру и один спецсимвол (например, f*4Wyz9c).
При необходимости можно изменить параметры создаваемой учетной записи.
Параметр | Описание |
| Потребовать смену пароля при следующем входе в систему | Для входа пользователя в систему используется пароль, заданный при создании учетной записи. Сразу после успешной аутентификации пользователь получает запрос на смену пароля, в ответ на который он должен задать новый пароль. Этот подход необходимо использовать в тех случаях, когда администратор системы не должен знать пароли пользователей. Если установлен этот флажок, вы не можете установить флажки Запретить смену пароля пользователем и Срок действия пароля не ограничен |
| Запретить смену пароля пользователем | Пользователь не имеет права изменять пароль своей учетной записи. Обычно этот параметр устанавливается для учетных записей пользователей, работающих удаленно, или учетных записей, используемых для запуска различных служб. В обоих случаях владелец учетной записи все равно не может изменить пароль |
| Срок действия пароля не ограничен | По умолчанию срок действия пароля не ограничивается, но такое ограничение может быть установлено (и чаще всего устанавливается) через локальную или доменную политику безопасности. Данный параметр позволяет обойти это ограничение и используется обычно для учетных записей, от имени которых запускаются различные службы или для удаленных пользователей, не имеющих технической возможности сменить пароль по истечению срока его действия. Если срок действия пароля истек, пользователь не сможет войти в систему |
| Отключить учетную запись | Отключает учетную запись пользователя, запрещая ему вход в систему. Отключенная учетная запись не может быть использована ни для входа в систему, ни для доступа к компьютеру по сети, ни для запуска служб. Включать и отключать учетные записи может только администратор |
Функция смены пароля при следующем входе в систему реализуется за счет установления срока устаревания пароля. При этом сразу после входа в систему пароль считается устаревшим и система предлагает его сменить. Этот механизм не может работать при установленном флажке Срок действия пароля не ограничен.
После заполнения всех свойств новой учетной записи щелкните кнопку Создать. Учетная запись будет создана, а консоль управления компьютером предложит вам ввести данные следующего пользователя. Если вы ввели всех пользователей, щелкните кнопку Закрыть.
[newpage=Изменение параметров учетной записи]
Изменение параметров учетной записи.
Чтобы изменить параметры существующей учетной записи, поместите указатель на нужную учетную запись и щелкните правой кнопки мыши. В контекстном меню выберите пункт Свойства.
На вкладке Общие вы можете изменять те же параметры, что и при создании новой учетной записи. Обратите внимание, что нельзя изменить имя учетной записи - это осуществляется при помощи операции переименования.
Кроме того, появился еще один флажок - Заблокировать учетную запись. Этот флажок не может быть установлен вручную. Он включается системой безопасности Windows XP при многократных попытках ввода неправильного пароля. Поведение системы безопасности в случае подбора пароля устанавливается локальной или доменной политикой безопасности. Администратор системы может только снять блокировку с учетной записи, уже заблокированной операционной системой.
Вы не можете отключить встроенную учетную запись администратора. Вы можете ограничить срок действия пароля учетной записи администратора, но даже при настроенной политике безопасности этот параметр не будет действовать.
На вкладке Членство в группах вы можете управлять членством пользователей в локальных группах. На вкладке выводится список групп, членом которых является пользователь.
Включение пользователя в ту или иную группу может потребоваться для предоставления ему доступа к определенному ресурсу или расширения его полномочий. По умолчанию все вновь создаваемые пользователи включаются в группу Пользователи.
Для включения пользователя в одну или более групп щелкните кнопку Добавить. В появившемся окне можно выбрать группы из списка или вписать их названия вручную в поле в нижней части окна. Имена нескольких групп разделяются точками с запятой.
Вы можете добавлять локальные учетные записи пользователей только в локальные группы. Добавление локальных учетных записей пользователей в любые группы домена невозможно.
На вкладке Профиль вы можете управлять параметрами профиля пользователя. Профиль хранится на локальном компьютере в папке %homedrive%\Documents and Settings. В папке профиля пользователя сохраняются его личные файлы, персонифицированные файлы приложений, временные файлы пользователя, его рабочий стол и сетевое окружение, данные системного реестра.
Windows XP Professional поддерживает три типа профилей:
- локальный - создается на основе стандартного профиля пользователя при первом входе в систему и хранится в указанной выше папке. Применяется в основном для настольных компьютеров;
- перемещаемый - создается путем преобразования локального профиля и хранится в папке на сервере. Копируется в локальную папку при входе пользователя в систему и возвращается обратно при выходе из системы. Применяется для перемещаемых пользователей (например, пользователей переносных компьютеров, пользователей, не имеющих постоянного рабочего места, или при переустановке операционной системы на рабочей станции);
- обязательный - создается путем преобразования перемещаемого профиля и хранится в папке на сервере, как и перемещаемый; копируется в локальную папку при входе пользователя в систему, но не копируется обратно при выходе.
Указав в поле Путь к профилю сетевой путь к перемещаемому или обязательному профилю, вы укажете Windows копировать профиль из указанной сетевой папки, а не создавать его на основании стандартного профиля пользователя.
В поле Сценарий входа можно указать имя файла сценария, который будет выполнен при входе пользователя в систему.
Даже в одноранговой сети вы можете хранить данные всех пользователей на одном компьютере, упрощая резервное копирование данных и доступ к ним с разных компьютеров. Если личные данные пользователя хранятся на другом компьютере в сети, вы можете автоматически подключить соответствующую папку другого компьютера при входе пользователя в систему. Для этого нужно задать букву диска и сетевой путь к подключаемому ресурсу. Если пользователь работает на локальном компьютере, но хранит свои данные не в одной из папок профиля, а, скажем, на другом диске, вы можете указать путь к соответствующей папке в поле Локальный путь. Если ни один из этих параметров не указан, то домашней папкой считается папка его локального профиля (%homedrive%\Documents and Settings\%username% или %userprofile%).
[newpage=Переименование учетной записи]
Переименование учетной записи.
Учетная запись любого пользователя, включая администратора, может быть переименована. Это возможно, т. к. Windows идентифицирует учетные записи не по имени, а по специальному уникальному коду, жестко привязанному к каждой учетной записи. Этот код называется идентификатор безопасности (Secure ID, SID) и используется не только для учетных записей, но и для имен компьютеров.
Переименовать учетную запись вы можете, выбрав соответствующий пункт контекстного меню или нажав клавишу F2. Для переименования укажите новое имя учетной записи пользователя и нажмите Enter. Дополнительного подтверждения при переименовании не требуется.
Изменение пароля учетной записи.
Ни один пользователь системы, даже ее администратор, не может получить пароль пользователя в открытом виде. При необходимости работать с данными пользователя от его имени, администратор может установить пользователю новый пароль и использовать его для входа в систему. Такая необходимость может возникнуть и при смене паролей пользователей, которые не могут сделать этого самостоятельно или просто забыли пароль.
Любой пользователь для смены своего собственного пароля обязан ввести сначала старый, а потом новый пароль. При использовании консоли для управления пользователями администратор может устанавливать новые пароли пользователей, не зная старых.
Для смены пароля выберите пункт Задать пароль контекстного меню. Дважды введите новый пароль и щелкните ОК. Новый пароль начинает действовать немедленно.
После смены пароля пользователя рекомендуется выйти и снова войти в систему. Иначе такая ситуация может привести к невозможности доступа к некоторым ресурсам сети после смены пароля.
При смене пароля пользователя в рабочей группе вы должны изменить пароль на всех компьютерах рабочей группы, которые содержат учетную запись этого пользователя. Это связано с тем, что каждый компьютер рабочей группы имеет свою собственную базу данных безопасности, не синхронизированную с базами данных других компьютеров.
Удаление учетной записи.
Чтобы удалить учетную запись, выберите соответствующий пункт контекстного меню или нажмите клавишу Delete (Del). После подтверждения учетная запись будет удалена.
Очень осторожно относитесь к удалению учетных записей пользователей. При удалении учетной записи также теряется ее идентификатор безопасности (SID), поэтому создание новой учетной записи после удаления пользователя с таким же именем учетной записи не вернет ему членство в группах и доступ к ресурсам, которые имела удаленная учетная запись. Поэтому рекомендуется сначала отключать учетные записи пользователей, а удалять их только при необходимости.
Системные учетные записи (Администратор и Гость) не могут быть удалены. Однако учетная запись гостя может быть отключена из соображений безопасности.
[newpage=Управление локальными группами.]
Управление локальными группами.
Для управления локальными группами раскройте ветвь дерева Управление компьютером -> Локальные пользователи и группы -> Группы.
В списке справа отображаются локальные и встроенные группы. Все операции по управлению группами осуществляются с помощью контекстного меню, которое вызывается нажатием правой кнопки мышки, установив указатель на имя группы. Также можно использовать пункт Действие строчного меню.
Локальные группы создаются администратором данного компьютера или пользователем, имеющим определенные права.
Встроенные группы необходимы для разграничения доступа к файлам, папкам, системным объектам и т. п. Для предоставления пользователям определенных прав в рамках системы рекомендуется включать их в соответствующие системные группы. Например, чтобы предоставить пользователю полномочия администратора системы, его достаточно включить в группу Администраторы. При установке Windows XP Professional, создается ряд стандартных встроенных учетных записей, приведенных в таблице:
| Группа | Описание |
| Администраторы | Пользователи этой группы имеют неограниченные права в рамках локального компьютера. Большими правами обладает только системная учетная запись ОС |
| Гости | Пользователи этой группы обладают минимальными правами в рамках локального компьютера |
| Операторы архива | Пользователи этой группы могут обходить ограничения прав доступа при резервном копировании и восстановлении данных |
| Опытные пользователи | Пользователи этой группы могут устанавливать ПО и выполнять ряд операций, недоступных обычным пользователям |
| Пользователи | Пользователи этой группы обладают правами, достаточными для нормальной работы на компьютере, однако члены этой группы не могут устанавливать ПО и управлять компьютером |
| Репликатор | Пользователи этой группы могут осуществлять репликацию файлов в пределах домена |
| HelpServicesGroup | Группа для центра справки и поддержки |
| Пользователи удаленного рабочего стола | Члены этой группы имеют право на выполнение удаленного входа |
| Операторы настройки сети | Члены этой группы могут иметь некоторые административные права для управления настройкой сетевых параметров |
Добавление группы.
Что бы создать новую группу, поместите указатель мышки на поле Группы и нажмите правую кнопку мышки. В контекстном меню выберите Создать группу.
В появившемся окне введите имя группы и ее описание. Поле описания не является обязательным, но желательно указать в нем сведения о том, для каких целей создается группа.
Щелкнув кнопку Добавить, можно сразу добавить пользователей в создаваемую группу.
Помимо пользователей, в локальные группы могут быть добавлены любые (локальные, глобальные и универсальные) группы домена.
Кроме пользователей в списке вы увидите ряд псевдогрупп, которые нельзя увидеть в оснастке Управление пользователями и группами, но можно использовать для назначения прав доступа и включения в другие группы.
После заполнения параметров новой группы щелкните кнопку Создать. Группа будет создана, а консоль управления компьютером предложит вам ввести данные следующей группы. Если вы не будете создавать новую группу, щелкните кнопку Закрыть..
Изменение свойств группы.
Чтобы изменить параметры группы, установите указатель на имя нужной группы и щелкните правой кнопкой мыши. В контекстном меню выберите Свойства
На вкладке Общие вы можете изменять те же параметры, что и при создании новой группы. Обратите внимание, что нельзя изменить имя группы, - это осуществляется только при помощи переименования.
Переименование группы.
Любая группа, включая встроенные, может быть переименована. Это возможно, т. к. Windows в качестве уникального идентификатора группы использует SID, а не ее имя. Переименовать группу вы можете, выбрав соответствующий пункт контекстного меню или нажав клавишу F2. Для переименования укажите новое имя группы и нажмите Enter. Дополнительное подтверждение при переименовании не требуется.
Удаление группы.
Чтобы удалить группу, выберите соответствующий пункт контекстного меню или нажмите клавишу Delete (Del). После подтверждения группа будет удалена.
Очень осторожно относитесь к удалению групп. При удалении группы также теряется ее идентификатор безопасности, поэтому создание новой группы с таким же именем (после удаления группы) не вернет ей права доступа к ресурсам, которые имела удаленная группа.
Встроенные группы не могут быть удалены.
[newpage=Использование утилит командной строки.]
Использование утилит командной строки.
Основные операции по управлению учетными записями пользователей и группами могут быть выполнены при помощи утилит командной строки. Этот способ незаменим при необходимости быстро создать большое количество учетных записей и групп.
При помощи утилиты net могут быть выполнены следующие операции:
- создание, изменение и удаление учетной записи пользователя (net user);
- изменение пароля пользователя (net user);
- создание, изменение и удаление локальной группы (net group);
- изменение состава локальной группы (net group).
Утилита net user имеет следующий синтаксис:
net user [username [пароль | *] [/ADD | /DELETE]
[/ACTIVE:{YES:NO}] [/COMMENT:"комментарий"] [/COUNTRYCODE:код]
[/EXPIRES:{дата | NEVER}] [/FULLNAME:"полное_имя"] [/HOMEDIR:путь]
[/PASSWORDCHG:{YES | NO}] [/PASSWORDREQ:{YES | NO}]
[/PROFILEPATH[:путь]] [/SCRIPTPATH:путь] [/TIMES:{время | ALL}]
[/USERCOMMENT:"комментарий"] [/WORKSTATIONS:{имя_компьютера[,...] | *}]]
[/DOMAIN]
Описание ключей утилиты net user приведено в таблице.
Ключ | Описание |
username | Имя учетной записи пользователя для добавления, удаления, изменения или просмотра. Максимальная длина имени учетной записи - 20 символов |
пароль | Устанавливает или изменяет пароль для указанной учетной записи пользователя. Максимальная длина пароля - 14 символов. Если вместо пароля указан символ *, то утилита выдаст запрос на ввод пароля |
/ADD | Добавляет учетную запись пользователя |
/DELETE | Удаляет учетную запись пользователя |
/ACTIVE:{YES:NO} | Включает или выключает учетную запись пользователя. Пользователь с отключенной учетной записью не может пользоваться ресурсами компьютера. По умолчанию учетная запись включена |
/COMMENT:"комментарий" | Устанавливает комментарий к учетной записи пользователя. Текст комментария должен быть заключен в кавычки. Максимальная длина - 40 символов |
/COUNTRYCODE:код | Устанавливает региональный код учетной записи пользователя. Этот код будет использован для отображения справочной информации и сообщений об ошибках. Для указания кода по умолчанию используйте 0 |
/EXPIRES:{дата | NEVER} | Устанавливает срок действия учетной записи пользователя. Учетная запись будет отключена в 23:59:59 дня, предшествующего указанному. Значение NEVER означает, что учетная запись будет действовать неограниченное время. Дата задается в формате dd/mm/yy или mm/dd/yy (зависит от региональных параметров ОС). Месяц может задаваться числами или трехбуквенными аббревиатурами. Год может задаваться двумя или четырьмя цифрами. Для разделения частей даты используйте символы / без пробелов |
/FULLNAME:"полное_имя" | Устанавливает полное имя пользователя. Имя должно быть заключено в кавычки |
/HOMEDIR:путь | Устанавливает путь к домашней папке пользователя. Указанная папка должна существовать. Если в пути встречаются пробелы, весь путь должен быть заключен в кавычки |
/PASSWORDCHG:{YES | NO} | Указывает, может ли пользователь изменять свой пароль. Значение по умолчанию - YES |
/PASSWORDREQ:{YES | NO} | Указывает, должна ли учетная запись пользователя иметь пароль. Значение по умолчанию - YES |
/PROFILEPATH[:путь] | Устанавливает путь к папке профиля пользователя. Указанная папка должна существовать. Если в пути встречаются пробелы, весь путь должен быть заключен в кавычки |
/SCRIPTPATH:путь | Указывает имя и путь сценария входа |
/TIMES:{время | ALL} | Устанавливает разрешенные часы входа пользователя в систему. Время указывается в формате день-[день] [,день-[день]], время-[время] [,время-[время]]. Время может указываться с шагом в один час. Часы могут указываться как в 24-, так и в 12-часовой нотации. В последнем случае используйте модификаторы AM и PM для указания времени суток. Дни могут указываться в виде трехсимвольных аббревиатур или полностью. Значение ALL указывает, что пользователь может входить в систему в любое время. Пустое значение указывает, что пользователь не может входить в систему. Для разделения дня и времени используйте запятые, для разделения нескольких записей - точки с запятой |
/USERCOMMENT:"комментарий" | Позволяет администратору установить комментарий к учетной записи пользователя. Текст комментария должен быть заключен в кавычки |
/WORKSTATIONS:{имя_компьютера[,...] | *}] | Указывает до восьми компьютеров, с которых пользователь может осуществлять вход в систему. Если не указано ни одного имени компьютера или указана *, то пользователю разрешается вход в систему с любого компьютера |
/DOMAIN | Осуществляет указанную операцию на контроллере домена, а не на локальном компьютере |
Если не указан ключ /ADD или /DELETE , утилита выводит или изменяет информацию об учетной записи пользователя. Информация выводится, если указано только имя учетной записи. Если указан один или более параметров, то производится изменение указанной учетной записи.
Параметры
/ACTIVE,
/COUNTRYCODE
/EXPIRES
/PASSWORDCHG
/PASSWORDREQ
/TIMES
/WORKSTATIONS
могут указываться только для учетных записей пользователей домена.
Утилита net group имеет следующий синтаксис:
net group [groupname [/ADD | /DELETE] [/COMMENT:"комментарий"]] [/DOMAIN]
net group groupname user [...] {/ADD | /DELETE} [/DOMAIN]
Описание ключей утилиты net group приведено в таблице.
Ключ | Описание |
groupname | Имя группы для добавления, удаления или изменения |
/ADD | Создает указанную группу или добавляет учетные записи пользователей в существующую группу |
/DELETE | Удаляет указанную группу или удаляет учетные записи пользователей из существующей группы |
/COMMENT:"комментарий" | Устанавливает комментарий группы. Текст комментария должен быть заключен в кавычки. Максимальная длина - 48 символов |
user [...] | Указывает одно или более имен учетных записей пользователей для добавления или удаления из группы. Несколько имен разделяются пробелами |
/DOMAIN | Осуществляет указанную операцию на контроллере домена, а не на локальном компьютере |
Если не указан ключ /ADD или /DELETE, утилита выводит или изменяет информацию об указанной группе. Информация выводится, если указано только имя группы. Если указан один или более параметров, то производится изменение указанной группы.
Пример создания учетной записи пользователя с именем User1 и паролем 123456:
net user User1 123456 /ADD /COMMENT:"Тестовый пользователь"
Пример изменения срока действия учетной записи пользователя User1:
net user User1 /EXPIRES:31/12/2002
Пример просмотра информации об учетной записи пользователя User1:
net user User1
Пример создания группы с именем TestGroup:
net group TestGroup /COMMENT:"Тестовая группа" /ADD
Пример добавления пользователей Администратор и User1 в группу TestGroup:
net group TestGroup Администратор User1 /ADD
Пример просмотра информации о группе TestGroup:
net group TestGroup
[newpage=Контроль сетевых пользователей.]
Контроль сетевых пользователей.
Используя консоль Управление компьютером, вы можете контролировать пользователей, подключенных к вашему компьютеру в данный момент, а так же какими ресурсами они пользуются. Для этого откройте раздел Общие папки и выберите пункт Сеансы.
Правая часть окна содержит список пользователей, подключенных к вашему компьютеру. Вы можете узнать имя пользователя, имя компьютера, с которого он подключился, тип операционной системы его компьютера, количество открытых файлов и прочую информацию. Вы можете отключить пользователя, используя контекстное меню (щелкните правой кнопкой мышки) или выбрав пункт Действие строчного меню.
Если вы хотите отключить сразу всех подключенных пользователей, установите указатель мышки на пункт Сеансы и используя контекстное или строчное меню (пункт Действие), выберите Отключить все сеансы.
Операционная система Windows автоматически восстанавливает прерванное подключение к общей папке, поэтому после отключения пользователя он автоматически подключится снова. Что бы окончательно отключить пользователя от вашего компьютера, вам придется отменить доступ пользователя к данному ресурсу или отменить общий доступ к ресурсу, но тогда он будет недоступен всем пользователям.
Чтобы посмотреть какие именно файлы открыл подключившийся пользователь, откройте раздел Общие папки и выберите пункт Открытые файлы. Так же, как и сеанс пользователя, открытые файлы можно отключить.
Вы можете отправить сообщение пользователям, например, предупреждение о завершении работы вашего компьютера. Для этого установите указатель мышки на раздел Общие папки и используя контекстное или строчное меню (пункт Действие), выберите Отправка сообщения консоли. Затем напишите текст сообщения и из списка выберите пользователей, которым это сообщение отправить.
эта статья с Компьютерные сети и технологии
( http://xnets.ru/plugins/content/content.php?content.115 )