Группы пользователей в Windows — локальные пользователи и группы

Это первая из двух статей, посвященных группам пользователей в Windows. Сегодня поговорим о локальных пользователях и группах, вторая статья будет посвящена группам в Active Directory.

Как и операционные системы семейства Linux, операционные системы Windows также поддерживают объединение пользователей в группы. Это позволяет удобно управлять пользовательскими правами. На каждом компьютере с Windows существуют локальные группы, присутствие или отсутствие пользователей в которых определяет права, которыми наделены пользователи.

По умолчанию в Windows уже есть перечень групп, в которые могут входить как учётные записи пользователей, так и другие группы. Хотя в заголовке этой статьи говорится о локальных пользователях и группах, в локальные группы могут входить и доменные учётные записи и группы. Различные программы могут добавлять свои группы. Создать новую группу может и пользователь, наделённый правами локального администратора. Рассмотрим основные группы в Windows.

Посмотреть перечень существующий в системе групп можно через консоль Управление компьютером. Она находится в Панели управления, раздел Администрирование.

Администраторы — группа локальных администраторов, способных управлять конкретным компьютером. Локальные администраторы не являются администраторами домена;

Администраторы Hyper-V — группа пользователей, имеющий полный доступ к функциям Hyper-V. Не являются локальными администраторами и администраторами домена;

Гости — по умолчанию члены этой группы имеют те же права, что и пользователи, за исключением учетной записи Гость, которая ещё больше ограничена в правах;

Операторы архива — имеют права на создание резервных копий и восстановления из них даже тех объектов, к которым не имеют доступа;

Операторы настройки сети — имеют административные права для настройки сетевых параметров операционной системы;

Опытные пользователи — на текущий момент оставлена для совместимости с предыдущими версиями Windows. Может быть использована для разграничения прав пользователей. Например, если одним пользователям на компьютере нужно больше прав, чем другим;

Пользователи — основная пользовательская группа. Пользователи могут изменять крайне ограниченное число настроек, но, как правило, могут запускать большинство приложений в системе;

Пользователи DCOM — члены этой группы могут запускать, активизировать и использовать объекты DCOM;

Пользователи журналов производительности — по функционалу похожа на группу Пользователи системного монитора, но имеет куда больший доступ к Системному монитору, который позволяет отследить использование ресурсов компьютера;

Пользователи удаленного рабочего стола — состоящие в данной группе пользователи могут подключаться к указанному компьютеру через удалённый рабочий стол;

Читатели журнала событий — входящие в эту группу пользователи могут просматривать журналы событий компьютера;

IIS_IUSRS — группа, появившаяся в IIS 7.0 как замена группе IIS_WPG. Операционная система автоматически заносит в данную группу учётные записи, когда они назначаются в качестве удостоверения для пула приложений. Как правило, эта группа не требует действий со стороны администратора.

Просмотреть содержимое групп могут и пользователи, а вот для работы с ними нужно быть администратором. Откройте интересующую вас группу. Вы увидите её описание, содержимое (группы могут включать в себя не только пользователей, но и другие группы) и кнопки Добавить и Удалить. С их помощью мы и можем управлять членством в группе.

Допустим, что мы хотим добавить в группу нового пользователя (или группу пользователей). Нажимаем кнопку Добавить и видим окно добавления пользователя или группы.

Если вы знаете имя пользователя/группы, просто введите его в большое поле и нажмите Проверить имена. Обратите внимание также на кнопки Типы объектов и Размещение. Нажав на первую, можно выбрать объекты, которым мы ищем. Нажав на вторую, указать место поиска объектов (локальный компьютер или домен). Внизу ещё есть кнопка Дополнительно, она открывает окно с более удобным интерфейсом поиска.

Даже если вы не знаете имя пользователя/группы, вы можете указать место поиска, а потом просто нажать кнопку Поиск, чтобы посмотреть список имеющихся пользователей и групп.

Удалить пользователя/группу из группы ещё проще. Просто откройте свойства интересующей вас группы, выделите пользователя/группу и нажмите кнопку Удалить.

Помните: изменять членство в группах нужно только тогда, когда вы понимаете, что делаете. В противном случае это может сказаться на работоспособности системы или отдельных программ в ней. Кроме того, раздавая права всем подряд, вы можете спровоцировать инциденты, относящиеся к области информационной безопасности.

Что ещё можно сделать с группами? Щёлкнем по группе правой кнопкой мыши, чтобы вызвать контекстное меню (альтернатива — выделить группу и открыть меню Действие).

Как видим, группу ещё можно переименовать и удалить. Естественно, можно создать и новую группу. Для этого, не выделяя никакую из существующих групп, либо воспользуйтесь меню Действие → Создать группу, либо щёлкните правой кнопкой мыши по пустой области, чтобы вызвать контекстное меню с этим пунктом.

Создание группы в Windows.

Введите название группы, описание, чтобы другим пользователям было удобнее понимать для чего эта группа (или чтобы самому потом не забыть), наполните группу пользователями/группами и нажмите кнопку Создать.

Как видите, наша группа появилась в перечне групп.

Теперь поговорим о том, для чего можно использовать группы в Windows. Как уже было сказано, главное предназначение групп — разграничение прав в системе. Для нас важно понимать как группы используются для назначения прав на уровне файловой системы.

Группы позволяют гибко настраивать права на файлы и каталоги. В конечном счёте, таким образом мы можем определять, кому разрешено запускать исполняемые файлы (а значит и программы), кто может добавлять, удалять, читать файлы в папках. Это может быть не так важно на домашнем компьютере, где небольшое число пользователей. А вот в корпоративном сегменте важно.

Если в организации несколько структурных подразделений, которым требуются разные права, выдавать права каждому пользователю утомительно. Проще объединять пользователей в группы и выдавать права группе.

Добавим разрешения на каталог primer для нашей только что созданной группы. Можно нажать кнопку Изменить, а можно Дополнительно. Второй способ более гибкий, поэтому лучше использовать его.

Нажмите кнопку Добавить.

Сперва нужно выбрать субъект, на который будут распространяться новые права.

Впишите название группы и нажмите кнопку Проверить имена.

Теперь можно выбрать, хотим мы установить разрешающее правило или запрещающее, будет ли оно применяться к подпапкам и файлам, а также суть даваемых разрешений или запретов.

Наша группа появилась в перечне других групп, которым даны разрешения на этот каталог. Не забудьте нажать Применить для сохранения настроек.

Итак, мы познакомились с локальными группами в Windows. Во второй статье о группах в Windows мы поговорим про группы в Active Directory.

Fedoseyev.ru

Группы безопасности Windows

Все нижеописанное относится к Windows 2003, являющейся членом домена Active Directory. Итак, по умолчанию в ней существуют следующие группы безопасности:

1) Administrators (Администраторы) — члены группы обладают полным доступом ко всем ресурсам системы. По умолчанию содержит встроенную учетную запись Administrator.

2) Backup Operators (Операторы архива) — члены этой группы имеют право архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Backup Operators могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности. По умолчанию пуста.

3) Guests (Гости) — эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Guest и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы. По умолчанию содержит пользователя Guest.

4) Power Users (Опытные пользователи) — члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Users, Guests и Power Users. По умолчанию пуста.

5) Replicator (Репликатор) — членом группы Replicator должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи. По умолчанию пуста.

6) Users (Пользователи) — члены этой группы могут выполнять большинство пользовательских функций. Могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер. По умолчанию содержит служебные учетные записи NT AUTHORITYAuthenticated Users (S-1-5-11) и NT AUTHORITYINTERACTIVE (S-1-5-4).

7) Network Configuration Operators (Операторы настройки сети) — группа, члены которой имеют некоторые права по настройке сетевых служб и параметров. По умолчанию пуста.

8) Remote Desktop Users (Удаленные пользователи рабочего стола) — эта группа содержит имена пользователей, которым разрешен удаленный доступ к рабочему столу.

9) HelpSenicesGroup (Группа служб поддержки) — группа для поддержки справочной службы Help and Support Service. По умолчанию содержит учетную запись SUPPORT_388945aO.

10) Performance Log Users (Пользователи журналов производительности) — члены этой группы могут просматривать журналы производительности. По умолчанию содержит служебную учетную запись NT AUTHORITYNETWORK SERVICE (S-l-5-20).

11) Performance Monitor Users (Пользователи системного монитора) — группа, члены которой могут выполнять мониторинг производительности системы. По умолчанию пуста.

12) Print Operators (Операторы принтеров) — члены этой группы могут администрировать принтеры в домене. По умолчанию пуста.

13) TelnetClients (Клиенты telnet) — группа, члены которой имеют доступ к службе Telnet Server на данном компьютере. По умолчанию пуста.

Управление доступом пользователей к средам: группы безопасности и лицензии

С ноября 2020 г.:

• Common Data Service переименована в Microsoft Dataverse. Подробнее
• В Microsoft Dataverse изменена часть терминов. Например, сущность стала таблицей, а поле — столбцом. Подробнее

Эта статья вскоре будет обновлена с учетом новой терминологии.

Если у вашей компании несколько сред Microsoft Dataverse, вы можете использовать группы безопасности, чтобы управлять тем, кто из лицензированных пользователей может быть участником того той или иной среды.

Рассмотрим следующий сценарий в качестве примера:

среда	Группа безопасности	Назначение
ВинПромТорг — продажи	Sales_SG	Предоставить доступ к среде, создающей возможные сделки, обрабатывающей предложения и совершающей сделки.
ВинПромТорг — маркетинг	Marketing_SG	Предоставить доступ к среде, которая управляет маркетингом посредством маркетинговых кампаний и рекламы.
ВинПромТорг — обслуживание	Service_SG	Предоставить доступ к среде, занимающейся обработкой обращений клиентов.
ВинПромТорг — разработка	Developer_SG	Предоставить доступ к среде в песочнице, используемой для разработки и тестирования.

В этом примере четыре группы безопасности обеспечивают контролируемый доступ к определенной среде.

О группах безопасности необходимо помнить следующее:

• Вложенные группы безопасности не поддерживаются. Если в группе безопасности среды есть вложенная группа безопасности, участники вложенной группы безопасности будут проигнорированы.
• При добавлении пользователей в группу безопасности они добавляются в среду Dataverse.
• При удалении пользователей из группы они отключаются в среде Dataverse.
• Когда группа безопасности связывается с существующей средой с пользователями, все пользователи в среде, которые не являются участниками этой группы, будут отключены.
• Если среда Dataverse не имеет связанной группы безопасности, все пользователи с лицензией Dataverse (приложения для взаимодействия с клиентами (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing и Dynamics 365 Project Service Automation), Power Automate, Power Apps и т. д.) будут созданы как пользователи и включены в среду.
• Когда группа безопасности связывается со средой, только пользователи с лицензиями Dataverse или по плану приложения, которые являются участниками группы безопасности среды, будут созданы как пользователи в среде Dataverse.
• Когда вы назначаете группу безопасности среде, эта среда не будет отображаться в home.dynamics.com для пользователей, не входящих в группу.
• Если не назначить группу безопасности среде, среда отобразится в home.dynamics.com, даже для пользователей, которым не назначена роль безопасности в этой среде Dataverse.
• Если вы не укажете группу безопасности, все пользователи, у которых есть лицензия Dataverse (приложения Customer Engagement (такие как Dynamics 365 Sales и Customer Service)) или на план приложения будут добавлены в новую среду.
• Создать : группам безопасности нельзя назначать типам среды по умолчанию и типам среды разработки. Если вы уже назначили группу безопасности своей среде по умолчанию или среде разработчика, мы рекомендуем удалить ее, поскольку среда по умолчанию предназначена для общего доступа всем пользователям в клиенте, а среда разработчика предназначена для использования только владельцем среды.
• Среды Dataverse поддерживают связывание следующих типов групп: Безопасность и Microsoft 365. Связь других типов групп не поддерживается.

Всем лицензированным пользователям, являются они участниками группы безопасности или нет, должны быть назначены роли безопасности для доступа к средам. Роли безопасности назначаются в веб-приложении. Пользователи не могут получать доступ к средам, пока им не будет назначена хотя бы одна роль безопасности для этой среды. Дополнительные сведения см. в разделе Настройка безопасности среды.

Создание группы безопасности и добавление участников в группу безопасности

Выберите Группы > Группы.

Выберите + Добавить группу.

Измените тип на Группа безопасности и добавьте Имя и Описание группы. Выберите Добавить > Закрыть.

Выберите созданную группу, затем рядом с Участники, выберите Изменить.

Выберите + Добавить участников. Выберите пользователи для добавления в группу безопасности, затем выберите Сохранить > Закрыть, чтобы вернуться в список Группы.

Чтобы удалить пользователя из группы безопасности, выберите группу безопасности и рядом с пунктом Участники выберите Изменить. Выберите — Удалить участников, затем выберите X для каждого участника, которого требуется удалить.

Если пользователи, которых нужно добавить в группу безопасности, не созданы, создайте пользователей и назначьте их лицензиям Dataverse.

Создание пользователя и назначение лицензии

В Центр администрирования Microsoft 365 выберите Пользователи > Активные пользователи > + Добавить пользователя. Введите сведения о пользователе, выберите лицензии, затем выберите Добавить.

Или приобретите и назначьте для пропусков приложения: О Power Apps на планы приложения

Связывание группы безопасности со средой Dataverse

Войдите в центр администрирования Power Platform в https://admin.powerplatform.microsoft.com в качестве администратора (администратора Dynamics 365, глобального администратора или администратора Microsoft Power Platform).

В области навигации выберите Среды, выберите среду, а затем выберите Изменить.

На странице Изменить сведения выберите Изменить ( ).

Только первые 200 групп безопасности будут возвращены и доступны для выбора по умолчанию. Чтобы выбрать дополнительные группы безопасности, используйте Поиск, чтобы найти определенную группу безопасности.

Выберите группу безопасности, выберите Готово, а затем выберите Сохранить.

Группа безопасности связана со средой.

Удалить связь группы безопасности с средой Dataverse

Войдите в центр администрирования Power Platform в https://admin.powerplatform.microsoft.com в качестве администратора (администратора Dynamics 365, глобального администратора Microsoft 365 или администратора Microsoft Power Platform).

В области навигации выберите Среды, выберите среду, а затем выберите Изменить.

На странице Параметры выберите страницу удалить ().


Подтвердите удаление, выбрав Удалить, а затем выберите Сохранить.

Группа безопасности, связанная со средой, будет удалена, и доступ к среде больше не будет ограничиваться только пользователями, которые являются участниками этой группы.

См. также

Каковы ваши предпочтения в отношении языка документации? Пройдите краткий опрос (обратите внимание, что этот опрос представлен на английском языке).

Опрос займет около семи минут. Личные данные не собираются (заявление о конфиденциальности).