4.3.4. Створення груп.
Диспетчер користувачів дозволяє вам створювати та змінювати не тільки
облікові записи користувачів, але й групи, до яких можна додати
існуючі облікові записи.
Створення локальної групи.Для створення локальної групи виберіть
каталогГрупи (Groups),відкрийте менюДія(Action) і клацанням на
пунктіСтворити групу(New Groups) викличте діалогове вікно, зображене на рис. 9.
У текстовому поліІм'я групи(Group Name) вкажіть ім'я, яке ви
хочете присвоїти новій групі. У ньому можна використовувати будь-які літери верхнього та нижнього регістрів, а також усі символи, за винятком наступних:
У текстовій графіОпис(Description) ви можете охарактеризувати
створювану групу, хоча робити це обов'язково.
Мал. 9. Діалогове вікноНова група
Щоб включити користувачів до групи, натисніть кнопкуДодати…
(Add…), так само викликає діалогове вікноВибір: Користувачі (Select Users of Groups), показане під час створення групи (рис. 6).
4.3.5. Права доступу та їх присвоєння
У Windows XP під час захисту папок, файлів, принтерів та інших ресурсів
Дуже важливу роль грають дозволи, тісно пов'язані з обліковими записами.
Задавати дозволи можна двома різними способами. По-перше, кожному об'єкту можна призначити власний набір дозволів (їх часто називають об'єктними дозволами), які регулюють локальний доступ до ресурсу.
Крім локальних об'єктних дозволів, ви можете задати ідозволи
на загальний ресурс,дія яких поширюється на ресурси спільного використання, розміщені накомп'ютер. Ці дозволи визначають рівень доступу віддалених користувачів до такого ресурсу через мережу.
Прававизначають можливість користувача (або групи) виконувати
конкретні події. Увійшовши в систему, користувач може виконувати лише операції, визначені правами його облікового запису, які або були призначені їй безпосередньо, або отримані через членство групи. Нижче наведено список конкретних прав користувачів.
-Архівування файлів і каталогів (Back up files and directories).Це
розподіленому комп'ютері і є переважним у порівнянні з дозволами на ці файли та каталоги. Зверніть увагу, що це право не дає користувачеві можливості переглядати вміст файлів і каталогів, якщо у нього немає явного права на це.
–Відновлення файлів та каталогів (Restore files and directories).
Маючи таке право, користувач може відновлювати файли із резервних копій. Зверніть увагу: право на архівування не означає, що користувач може відновлювати файли і навпаки.
дає користувачеві можливість входити в систему як об'єкт пакетної черги.
цю можливість виконувати функції безпеки та призначено спеці-
ально для того, щоб процеси могли реєструватися в системі як служби.
–Додавання робочих станцій до домену(Add workstations to domain).
Маючи таке право, користувач може додавати в домен робочі станції,
завдяки чому вони починають визнавати облікові записи та глобальні групи домену (що відкриває можливість реєстрації з цих робочих станцій). Задати це право ви можете, лише працюючи з Диспетчером користувачів для доменів User Manager for Domain.
–Доступдокомп'ютерузмережі(Access this computer from network).Це
право дає користувачеві можливість підключатися до комп'ютера через мережу.
–Завершення роботи системи(Shut down the system).Це право дає
користувачеві можливість завершувати роботу системи.
–Завантаження та розвантаження драйверів пристроїв(Load and unload device
drivers).Володіючи цим правом, користувач може завантажувати та вивантажувати
драйвери пристроїв. Коли ви керуєте доменом, це право відноситься до ос-
новному та резервному (резервним) контролерам домену. За межами домену це право застосовується лише до комп'ютера, на якому воно встановлено.
–Закріплення сторінок у пам'яті(Lock pages in memory).Маючи таке
право, користувач може закріплювати сторінки в пам'яті, запобігаючи тим
найбільше їх скидання на диск.
–Заміна маркера рівня процесу(Replace a process level token).Бла-
Завдяки цьому праву користувач отримує можливість змінювати маркер доступу процесу.
–Вилучення комп'ютера зі стикувального вузла(Remove computer
from docking station).Визначає, чи може користувач відключати переносний комп'ютер від стикувального вузла, не входячи в систему. Якщо ця політика увімкнена, користувач повинен увійти в систему перед тим, як відключати комп'ютер від вузла стику. Якщо цю політику вимкнено, користувач може від'єднувати комп'ютер від стикувального вузла без входу в систему.
–Зміна параметрів середовища обладнання(Modify firmware environment
values).Це право дозволяє користувачеві змінювати змінні сис-
–Зміна системного часу(Change thesystem time).Маючи таке
право, користувач може налаштовувати системний годинник.
–Локальний вхід у систему(Log on locally).Це право дозволяє поль-
зовника локально входити в систему. З міркувань безпеки ви навряд чи захочете, щоб користувач локально реєструвався на сервері або на основному або резервних контролерах домену, хоча така можливість також не виключена.
–Налаштування квот пам'яті для процесу(Increase quotas).Визначає,
які облікові записи можуть використовувати процес, який має дозвіл «Запис властивості» для доступу до іншого процесу, з метою збільшити призначену останньому квоту ресурсів процесора. Дане право користувача визначено в об'єкті групової політики стандартного контролера домену, а також локальної політики безпеки робочих станцій і серверів.
–Обхід перехресної перевірки(Bypass traverse checking).Користувача-
–Опанування файлів або інших об'єктів(Take ownership of files or
other objects).Отримавши таке право, користувач може опановувати файли, каталоги та принтери. Коли ви керуєте доменом, це право відноситься до основного та резервного (резервних) контролерів домену. За межами домену воно застосовується лише до комп'ютера, на якому встановлено.
–Налагодження програм(Debug programs).Це право надає користувачеві
можливість налагоджувати програми.
–Відмова у доступі до комп'ютера з мережі(Deny access to this computer
from the network).Визначає, яким користувачам забороняється доступ до
даному комп'ютеру через мережу. Ця політика скасовує політику Доступ до
–Відмова у вході як пакетне завдання(Deny logon as a batch
–Відмовити у вході як службу(Deny logon as a service).Опре-
–Відхилити локальний вхід(Deny logon locally).Визначає, яким
–Примусове віддалене завершення(Force shutdown from a remote
system).Це право передбачає для користувача можливість при-
нудно завершувати роботу системи з віддаленого вузла (наприклад, з віддаленого підключення).
–Профілювання завантаженості системи(Profile system
performance).Користувач, наділений таким правом, має можливість
профілювати загальну продуктивність системи.
–Профілювання одного процесу(Profile single process).Це право
дозволяє користувачеві профільувати окремий процес.
–Роботаврежиміопераційноїсистеми(Act as part of the operating
system).Це право дає користувачеві можливість виступати як довірена частина операційної системи і автоматично надається деяким підсистем.
–Дозволяти вхід до системи через службу терміналів(Deny logon
through terminal services).Визначає, яким користувачам та групам
дозволяється входити в систему як клієнт служб терміналів.
–Дозвол довіри до облікових записів під час делегування(Enable
computer and user accounts to be trusted for delegation).Визначає, які
користувачі можуть встановлювати атрибутДовірен для делегуваннядля
об'єкта "Користувач" або "Комп'ютер". Користувач або об'єкт, наділений цим привілеєм, повинен мати право запису у прапори управління обліковоїзаписом об'єкта «Користувач» або «Комп'ютер». Серверний процес, який працює на комп'ютері (або в контексті користувача), довіреному для делегування, може отримувати доступ до ресурсів іншого комп'ютера, використовуючи делеговані облікові дані клієнта, за умови, що для облікового запису клієнта не встановлено прапор управлінняОбліковий запис не може бути делегована. Дане право користувача визначено в об'єкті групової політики стандартного контролера домену, а також локальної політики безпеки робочих станцій і серверів.
–Синхронізація даних служби каталогів(Synchronize directory service data).Визначає, які користувачі та групи мають повноваження синхронізувати дані, що стосуються служби каталогів. Ця процедура також називається синхронізацією Active Directory.
–Створення журналів безпеки(Generate security audits).Завдяки
цим правом користувач має можливість генерувати записи журналу
–Створення маркерного об'єкта(Create a token object).Маючи таке пра-
Во, користувач може створювати маркери безпечного доступу.
Створення постійних об'єктів спільного використання(Create
permanent shared objects).Це право дозволяє користувачеві створювати постійні об'єкти спільного використання, такі, як екземпляри пристроїв.
–Створення сторінкового файлу(Create a page file).Це право надає поль-
Ви можете створювати файл підкачки.
–Збільшення пріоритету диспетчування(Increase scheduling priority).
Це право дає користувачеві можливість підвищити пріоритет виконання.
–Управління аудитом та журналом безпеки(Manage auditingand
security log).Користувач, який має таке право, може керувати аудитом
файлів, каталогів та інших об'єктів.
У більшості випадків ви керуєте правами користувача, додавши-
ляя користувачів до групи, права якої вже визначено. Але права можна
надавати як групі, так і кожному обліковому запису окремо.
Щоб задати права, необхідно запустити диспетчерЛокальних пара-
метрів безпеки(Local Security Settings), представленого на рис. 10.
Для цього необхідно відкрити менюПуск(Start), виберітьВи-
повніти...і введіть «secpol.msc». Послідовно вибравши розділиЛокальні політики(Local Policies),Призначення прав користувача(User Rights Assignment), виводимо повний список локальних політик безпеки з списком певних параметрів (Користувачів, Груп, Вбудованих учасників безпеки).
Подвійним клацанням миші на будь-якій безпековій політиці викликається діалогове вікноВластивостей(Properties), приклад якого представлений на рис. 8.
Для додавання Користувачів, Груп, Вбудованих учасників безпечно-
У списку параметрів безпеки використовується кнопкаДодати користувача або групу(Add Users or Groups), що викликає стандартне діалогове вікно, представлене раніше на малюнку 6.
Мал. 7. Діалогове вікноПолітика прав користувачів
Мал. 8. Діалогове вікно Додавання користувачів та груп