Огляд оснастки "локальні користувачі та групи"

Це інструмент, призначений для управління локальними користувачами і групами. Локальний користувач або група - це обліковий запис, якій можуть бути надані дозволи і права на вашому комп`ютері.

Оснастка "Локальні користувачі та групи" є важливим засобом безпеки, оскільки дозволяє обмежити можливі дії користувачів і груп шляхом призначення їм прав і дозволів. Одна обліковий запис користувача може входити в кілька груп.

Доступ до цієї оснащенні можна отримати, набравши в командному рядку lusrmgr.msc. У лівій частині вікна можна бачити дві папки - Користувачі і Групи.

Папка Користувачі відображає дві вбудовані облікові записи користувачів - Адміністратор і Гість, які створюються автоматично при установці Windows XP, а також всі створені облікові записи користувачів.

Обліковий запис Адміністратор використовується при першій установці операційної системи. Цей обліковий запис дозволяє виконувати необхідні дії до того, як користувач створить свою власну обліковий запис. Обліковий запис "Адміністратор" не можна видалити, відключити або вивести з локальної групи Адміністратори, завдяки чому виключається можливість випадкової втрати доступу до комп`ютера після знищення всіх облікових записів адміністраторів. Це властивість відрізняє обліковий запис "Адміністратор" від інших членів локальної групи "Адміністратори".

Обліковий запис Гість використовується тими, хто не має реальної облікового запису на комп`ютері. Якщо обліковий запис користувача відключена (але не очищено), він також може скористатися обліковим записом "Гість". Обліковий запис гостя не вимагає пароля. За замовчуванням вона відключена, але її можна включити.

Щоб додати обліковий запис нового користувача, клацніть правою кнопкою миші на папці Користувачі і виберіть з меню, що випадає команду Новий користувач ... У вікні, введіть дані для створення нового облікового запису. Щоб видалити обліковий запис користувача, клацніть правою кнопкою миші на назві облікового запису в правому вікні програми і виберіть з меню, що випадає Видалити.

Також для конкретної облікового запису можна призначити шлях до профілю і сценарієм входу (докладніше дивіться в довідці).

В папці Групи відображаються всі вбудовані групи і групи, створені користувачем. Вбудовані групи створюються автоматично при установці Windows XP. Належність до групи надає користувачеві права та можливості для виконання різних завдань на комп`ютері. Далі розглянуті властивості деяких вбудованих груп:

адміністратори

Членство в цій групі за замовчуванням надає найширший набір дозволів і можливість змінювати власні дозволу. Адміністратори мають повні, нічим необмежені права доступу до комп`ютера або домену. Робота в Windows XP в якості адміністратора робить систему вразливою для троянських коней та інших програм, які загрожують безпеці. Просте відвідування веб-сайту може дуже сильно зашкодити систему. На незнайомому веб-сайті може перебувати троянська програма, яка буде завантажена в систему і виконана. Якщо в цей час перебувати в системі з правами адміністратора, така програма може переформатувати жорсткий диск, стерти всі файли, створити новий обліковий запис користувача з адміністративним доступом і т. Д.

Рекомендується використовувати адміністративний доступ тільки для виконання наступних дій:

• установки операційної системи і її компонентів (наприклад, драйверів пристроїв, системних служб і так далі);
• установки пакетів оновлень;
• оновлення операційної системи;
• відновлення операційної системи;
• настройки найважливіших параметрів операційної системи (політики паролів, управління доступом, політики аудиту, настройки драйверів в режимі ядра і так далі);
• вступу у володіння файлами, що стали недоступними;
• управління журналами безпеки та аудиту;
• архівування та відновлення системи.

На практиці облікові записи адміністраторів часто повинні використовуватися для установки і запуску програм, написаних для попередніх версій Windows.

досвідчені користувачі

Ця група підтримується, в основному, для сумісності з попередніми версіями для виконання несертифікованих додатків. Дозволи за замовчуванням, надані цій групі, дозволяють членам групи змінювати параметри комп`ютера. Якщо необхідна підтримка несертифікованих додатків, кінцеві користувачі повинні бути членами групи "Досвідчені користувачі".

Члени групи "Досвідчені користувачі" мають більше дозволів, ніж члени групи "Користувачі", і менше, ніж члени групи "Адміністратори". Досвідчені користувачі можуть виконувати будь-які завдання з операційною системою, крім завдань, зарезервованих для групи "Адміністратори".

Досвідчені користувачі можуть:

• запускати програми, сертифіковані для Windows 2000 і Windows XP Professional, а також застарілі додатки;
• встановлювати програми, що не змінюють файли операційної системи, і системні служби;
• налаштовувати ресурси на рівні системи, включаючи принтери, дату і час, параметри електроживлення та інші ресурси панелі управління;
• створювати і управляти локальними обліковими записами користувачів і груп;
• зупиняти і запускати системні служби, які не запущені за замовчуванням.

Досвідчені користувачі не можуть відправляти повідомлення себе в групу "Адміністратори". Вони не мають доступу до даних інших користувачів на томі NTFS, якщо відповідні дозволи цих користувачів не отримані. Оскільки досвідчені користувачі можуть встановлювати і змінювати програми, робота під обліковим записом групи "Досвідчені користувач" при підключенні до Інтернету може зробити систему вразливою для троянських коней та інших програм, які загрожують безпеці.

користувачі

Члени цієї групи не можуть організовувати загальний доступ до каталогів або створювати локальні принтери. Група "Користувачі" надає саму безпечне середовище для виконання програм. На томі з файловою системою NTFS параметри безпеки за замовчуванням тільки що встановленої (не оновленої) системи розроблені, щоб запобігти порушенню цілісності операційної системи і встановлених програм членами цієї групи. Його користувачі не можуть змінювати параметри реєстру на рівні системи, файли операційної системи або програми. Користувачі можуть вимикати робочі станції, але не сервери. Користувачі можуть створювати локальні групи, але управляти можуть тільки тими, які вони створили. Користувачі мають повний доступ до своїх файлів даних і своєї частини реєстру (HKEY_CURRENT_USER). Однак дозволу на рівні користувача часто не допускають виконання користувачем застарілих додатків. Учасники групи «Користувачі» гарантовано можуть запускати тільки сертифіковані для Windows додатки.

Оператори архіву

Члени цієї групи можуть архівувати і відновлювати файли на комп`ютері незалежно від усіх дозволів, якими захищені ці файли. Вони можуть також входити в систему і завершувати роботу комп`ютера, але не можуть змінювати параметри безпеки. Для архівування та відновлення файлів даних і системних файлів потрібні дозволи на читання і запис. Дозволи за замовчуванням для операторів архіву, що дозволяють їм архівувати і відновлювати файли, роблять для них можливим використання дозволів групи для інших цілей, наприклад для читання файлів інших користувачів і установки програм з троянськими вірусами.

гості

Члени цієї групи за замовчуванням мають ті ж права, що і користувачі, за винятком облікового запису "Гість", ще більш обмеженою в правах.

Оператори настройки мережі

Члени цієї групи можуть мати деякі адміністративні права для управління налаштуванням мережевих параметрів.

Користувачі віддаленого робочого стола

Члени цієї групи мають право на виконання віддаленого входу в систему.

Для того, щоб додати обліковий запис користувача в ту чи іншу групу, клацніть правою кнопкою миші на назві групи і з меню, що випадає виберіть Додати до групи. Більш докладну довідку щодо виконання цих та інших завдань, пов`язаних з обліковими записами користувачів і груп, а також більш повний опис облікових записів користувачів і груп читайте в довідці оснастки "Локальні користувачі та групи".