Группы пользователей в Windows — локальные пользователи и группы

Это первая из двух статей, посвященных группам пользователей в Windows. Сегодня поговорим о локальных пользователях и группах, вторая статья будет посвящена группам в Active Directory.

Как и операционные системы семейства Linux, операционные системы Windows также поддерживают объединение пользователей в группы. Это позволяет удобно управлять пользовательскими правами. На каждом компьютере с Windows существуют локальные группы, присутствие или отсутствие пользователей в которых определяет права, которыми наделены пользователи.

По умолчанию в Windows уже есть перечень групп, в которые могут входить как учётные записи пользователей, так и другие группы. Хотя в заголовке этой статьи говорится о локальных пользователях и группах, в локальные группы могут входить и доменные учётные записи и группы. Различные программы могут добавлять свои группы. Создать новую группу может и пользователь, наделённый правами локального администратора. Рассмотрим основные группы в Windows.

Посмотреть перечень существующий в системе групп можно через консоль Управление компьютером. Она находится в Панели управления, раздел Администрирование.

Администраторы — группа локальных администраторов, способных управлять конкретным компьютером. Локальные администраторы не являются администраторами домена;

Администраторы Hyper-V — группа пользователей, имеющий полный доступ к функциям Hyper-V. Не являются локальными администраторами и администраторами домена;

Гости — по умолчанию члены этой группы имеют те же права, что и пользователи, за исключением учетной записи Гость, которая ещё больше ограничена в правах;

Операторы архива — имеют права на создание резервных копий и восстановления из них даже тех объектов, к которым не имеют доступа;

Операторы настройки сети — имеют административные права для настройки сетевых параметров операционной системы;

Опытные пользователи — на текущий момент оставлена для совместимости с предыдущими версиями Windows. Может быть использована для разграничения прав пользователей. Например, если одним пользователям на компьютере нужно больше прав, чем другим;

Пользователи — основная пользовательская группа. Пользователи могут изменять крайне ограниченное число настроек, но, как правило, могут запускать большинство приложений в системе;

Пользователи DCOM — члены этой группы могут запускать, активизировать и использовать объекты DCOM;

Пользователи журналов производительности — по функционалу похожа на группу Пользователи системного монитора, но имеет куда больший доступ к Системному монитору, который позволяет отследить использование ресурсов компьютера;

Пользователи удаленного рабочего стола — состоящие в данной группе пользователи могут подключаться к указанному компьютеру через удалённый рабочий стол;

Читатели журнала событий — входящие в эту группу пользователи могут просматривать журналы событий компьютера;

IIS_IUSRS — группа, появившаяся в IIS 7.0 как замена группе IIS_WPG. Операционная система автоматически заносит в данную группу учётные записи, когда они назначаются в качестве удостоверения для пула приложений. Как правило, эта группа не требует действий со стороны администратора.

Просмотреть содержимое групп могут и пользователи, а вот для работы с ними нужно быть администратором. Откройте интересующую вас группу. Вы увидите её описание, содержимое (группы могут включать в себя не только пользователей, но и другие группы) и кнопки Добавить и Удалить. С их помощью мы и можем управлять членством в группе.

Допустим, что мы хотим добавить в группу нового пользователя (или группу пользователей). Нажимаем кнопку Добавить и видим окно добавления пользователя или группы.

Если вы знаете имя пользователя/группы, просто введите его в большое поле и нажмите Проверить имена. Обратите внимание также на кнопки Типы объектов и Размещение. Нажав на первую, можно выбрать объекты, которым мы ищем. Нажав на вторую, указать место поиска объектов (локальный компьютер или домен). Внизу ещё есть кнопка Дополнительно, она открывает окно с более удобным интерфейсом поиска.

Даже если вы не знаете имя пользователя/группы, вы можете указать место поиска, а потом просто нажать кнопку Поиск, чтобы посмотреть список имеющихся пользователей и групп.

Удалить пользователя/группу из группы ещё проще. Просто откройте свойства интересующей вас группы, выделите пользователя/группу и нажмите кнопку Удалить.

Помните: изменять членство в группах нужно только тогда, когда вы понимаете, что делаете. В противном случае это может сказаться на работоспособности системы или отдельных программ в ней. Кроме того, раздавая права всем подряд, вы можете спровоцировать инциденты, относящиеся к области информационной безопасности.

Что ещё можно сделать с группами? Щёлкнем по группе правой кнопкой мыши, чтобы вызвать контекстное меню (альтернатива — выделить группу и открыть меню Действие).

Как видим, группу ещё можно переименовать и удалить. Естественно, можно создать и новую группу. Для этого, не выделяя никакую из существующих групп, либо воспользуйтесь меню Действие → Создать группу, либо щёлкните правой кнопкой мыши по пустой области, чтобы вызвать контекстное меню с этим пунктом.

Создание группы в Windows.

Введите название группы, описание, чтобы другим пользователям было удобнее понимать для чего эта группа (или чтобы самому потом не забыть), наполните группу пользователями/группами и нажмите кнопку Создать.

Как видите, наша группа появилась в перечне групп.

Теперь поговорим о том, для чего можно использовать группы в Windows. Как уже было сказано, главное предназначение групп — разграничение прав в системе. Для нас важно понимать как группы используются для назначения прав на уровне файловой системы.

Группы позволяют гибко настраивать права на файлы и каталоги. В конечном счёте, таким образом мы можем определять, кому разрешено запускать исполняемые файлы (а значит и программы), кто может добавлять, удалять, читать файлы в папках. Это может быть не так важно на домашнем компьютере, где небольшое число пользователей. А вот в корпоративном сегменте важно.

Если в организации несколько структурных подразделений, которым требуются разные права, выдавать права каждому пользователю утомительно. Проще объединять пользователей в группы и выдавать права группе.

Добавим разрешения на каталог primer для нашей только что созданной группы. Можно нажать кнопку Изменить, а можно Дополнительно. Второй способ более гибкий, поэтому лучше использовать его.

Нажмите кнопку Добавить.

Сперва нужно выбрать субъект, на который будут распространяться новые права.

Впишите название группы и нажмите кнопку Проверить имена.

Теперь можно выбрать, хотим мы установить разрешающее правило или запрещающее, будет ли оно применяться к подпапкам и файлам, а также суть даваемых разрешений или запретов.

Наша группа появилась в перечне других групп, которым даны разрешения на этот каталог. Не забудьте нажать Применить для сохранения настроек.

Итак, мы познакомились с локальными группами в Windows. Во второй статье о группах в Windows мы поговорим про группы в Active Directory.

Опытные пользователи

Пользователи

Группа «Пользователи» предоставляет самую безопасную среду для выполнения программ. На томе с файловой системой NTFS параметры безопасности по умолчанию только что установленной (не обновленной) системы разработаны, чтобы предотвратить нарушение целостности операционной системы и установленных программ членами этой группы.

· выключать рабочие станции, но не серверы.

· создавать локальные группы, но управлять могут только теми, которые они создали.

· запускать сертифицированные программы для Windows 2000, которые были установлены или развернуты администраторами.

Пользователи имеют полный доступ к своим файлам данных (%userprofile%) и своей части реестра (HKEY_CURRENT_USER).

Пользователи не могут:

· изменять параметры реестра на уровне системы, файлы операционной системы или программы,

· устанавливать программы, которые могут быть запущены другими пользователями.

У них также нет доступа к личным данным и настройкам рабочего стола других пользователей.

Для обеспечения безопасности системы Windows 2000 администратор должен:

• убедиться, что конечные пользователи являются членами только группы «Пользователи»;
• внедрять программы, например сертифицированные для Windows 2000, которые будут успешно выполняться членами группы «Пользователи».

Пользователи не могут запускать большинство программ для предыдущих версий Windows, поскольку предыдущие версии Windows либо не поддерживают безопасность файловой системы и реестра (Windows 95 и Windows 98), либо параметры безопасности системы по умолчанию недостаточно строгие (Windows NT). Если у пользователей возникают сложности с выполнением устаревших приложений на только что установленных системах NTFS, выполните одно из следующих действий.

1. Установите новые версии приложений, сертифицированные для Windows 2000.
2. Переместите конечных пользователей из группы «Пользователи» в группу «Опытные пользователи».

3. Уменьшите разрешения безопасности по умолчанию для группы «Пользователи». Это можно сделать при помощи совместимого шаблона безопасности. За дополнительными сведениями обращайтесь к разделу справки «Стандартные шаблоны безопасности» в ссылке «См. также».

Члены группы «Опытные пользователи» имеют больше разрешений, чем члены группы «Пользователи», и меньше, чем члены группы «Администраторы».

Опытные пользователи могут выполнять любые задачи с операционной системой, кроме задач, зарезервированных для группы «Администраторы».

Параметры безопасности Windows 2000 по умолчанию для опытных пользователей очень похожи на стандартные параметры безопасности для пользователей Windows NT версии 4.0. Все программы, которые могут выполняться пользователями в Windows NT версии 4.0, в Windows 2000 могут выполнять опытные пользователи.

Опытные пользователи могут:

• выполнять приложения, сертифицированные для Windows 2000, а также устаревшие приложения;
• устанавливать программы, не изменяющие файлы операционной системы, и системные службы;
• настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления;
• создавать и управлять локальными учетными записями пользователей и групп;
• останавливать и запускать системные службы, не запущенные по умолчанию.

Опытные пользователи не могут добавлять себя в группу «Администраторы». Они не имеют доступа к данным других пользователей на томе NTFS, если соответствующие разрешения этих пользователей не получены.

Внимание!

• Для выполнения устаревших программ в Windows 2000 часто необходимо изменить доступ к некоторым параметрам системы. Разрешения по умолчанию, позволяющие опытным пользователям выполнять устаревшие программы, также позволяют им получать дополнительные привилегии в системе, даже полный административный контроль. Тем не менее, важно внедрять программы, сертифицированные для Windows 2000, чтобы обеспечить максимальную безопасность без снижения функциональности программ. Программы, сертифицированные для Windows 2000, могут успешно выполняться в безопасной конфигурации группы «Пользователи». Дополнительные сведения можно найти в разделе о безопасной установке Windows 2000 на веб-узле Microsoft Security Advisor.

· Поскольку опытные пользователи могут устанавливать и изменять программы, подключение к Интернету в качестве опытного пользователя может сделать систему уязвимой для троянских коней и других программ, угрожающих безопасности. Дополнительные сведения можно найти в разделе «Почему не следует работать на компьютере с учетной записью администратора».

Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет

Группа опытные пользователи windows

В папке «Группы», размещенной в оснастке «Локальные пользователи и группы» консоли управления (MMC), отображаются как локальные группы по умолчанию, так и локальные группы, создаваемые пользователем. Локальные группы по умолчанию автоматически создаются при установке операционной системы. Принадлежность к локальной группе дает пользователю права и возможности для выполнения различных задач на локальном компьютере.

В локальные группы можно добавлять учетные записи локальных пользователей, учетные записи пользователей домена, учетные записи компьютеров и учетные записи групп. Дополнительные сведения о добавлении участников в локальные группы см. в разделе Добавление участника в локальную группу.

Следующая таблица содержит описания групп по умолчанию, расположенных в папке «Группы». В таблице также перечислены права пользователя по умолчанию для каждой группы. Эти права пользователей назначаются в локальной политике безопасности.

Члены этой группы имеют полный доступ к управлению компьютером и могут при необходимости назначать пользователям права и разрешения на управление доступом. По умолчанию членом этой группы является учетная запись администратора. Если компьютер подключен к домену, группа «Администраторы домена» автоматически добавляется в группу «Администраторы». Эта группа имеет полный доступ к управлению компьютером, поэтому необходимо проявлять осторожность при добавлении пользователей в данную группу.

Настройка квот памяти для процесса

Разрешение на локальный вход

Разрешение на вход в систему с помощью служб удаленного рабочего стола

Архивация файлов и каталогов

Обход перекрестной проверки

Изменение системного времени

Изменение часового пояса

Создание файла подкачки

Создание глобальных объектов

Создание символических ссылок

Принудительное удаленное завершение работы

Имитация клиента после проверки подлинности

Увеличение приоритета выполнения

Загрузка и выгрузка драйверов устройств

Вход в качестве пакетного задания

Управление журналом аудита и безопасности

Изменение переменных сред встроенного ПО

Выполнение задач по обслуживанию томов

Профилирование одного процесса

Профилирование производительности системы

Отключение компьютера от стыковочного узла

Восстановление файлов и каталогов

Завершение работы системы

Смена владельцев файлов и других объектов

Члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от любых разрешений, которыми защищены эти файлы. Право создания архивной копии имеет приоритет над всеми разрешениями для файлов. Члены этой группы не могут настраивать параметры безопасности.

Разрешение на локальный вход

Архивация файлов и каталогов

Обход перекрестной проверки

Вход в качестве пакетного задания

Восстановление файлов и каталогов

Завершение работы системы

Членам этой группы разрешено выполнение операций криптографии.

Членам этой группы разрешено запускать, активировать и использовать объекты DCOM на компьютере.

В компьютере, присоединенном к домену, члены этой группы получают временный профиль, который создается при входе пользователя в систему и удаляется при выходе из нее. Профили в средах рабочей группы не удаляются. Учетная запись гостя (отключенная по умолчанию) также по умолчанию является членом этой группы.

Члены этой группы получат временный профиль, который создается при входе пользователя в систему и удаляется при выходе из нее. Учетная запись гостя (отключенная по умолчанию) также по умолчанию является членом этой группы.

Это встроенная группа, используемая службами IIS.

Операторы настройки сети

Члены этой группы могут вносить изменения в параметры TCP/IP, а также обновлять и освобождать адреса TCP/IP. По умолчанию в эту группу не входит ни один участник.

Пользователи журналов производительности

Члены этой группы могут управлять счетчиками производительности, журналами и оповещениями на локальном или удаленном компьютере, не являясь при этом членами группы «Администраторы».

Пользователи системного монитора

Члены этой группы могут наблюдать за счетчиками производительности на локальном или удаленном компьютере, не являясь при этом участниками групп «Администраторы» или «Пользователи журналов производительности».

По умолчанию члены этой группы имеют те же права пользователя и разрешения, что и учетные записи обычных пользователей. В предыдущих версиях Windows эта группа была создана для того, чтобы назначать пользователям особые административные права и разрешения для выполнения распространенных системных задач. В этой версии операционной системы Windows учетные записи обычных пользователей предусматривают возможность выполнения большинства типовых задач настройки, таких как смена часовых поясов. Для приложений прежних версий, требующих тех же прав и разрешений опытных пользователей, которые имелись в предыдущих версиях Windows, администраторы могут применять шаблон безопасности, который позволяет группе «Опытные пользователи» присваивать эти права и разрешения, как это было в предыдущих версиях Windows.

Пользователи удаленного рабочего стола

Члены этой группы имеют право удаленного входа в компьютер.

Эта группа поддерживает функции репликации. Единственным членом группы «Репликатор» должна быть учетная запись пользователя домена, используемая для входа в службы репликации на контроллере домена. Не добавляйте в эту группу учетные записи фактических пользователей.

Члены этой группы могут выполнять типовые задачи, такие как запуск приложений, использование локальных и сетевых принтеров, и блокировку компьютера. Члены этой группы не могут предоставлять общий доступ к папкам или создавать локальные принтеры. По умолчанию в эту группу входят группы «Пользователи домена», «Прошедшие проверку» и «Интерактивные». Таким образом, любая учетная запись пользователя, создаваемая в домене, становится членом этой группы.

Разрешение на локальный вход

Обход перекрестной проверки

Изменение часового пояса

Увеличение рабочего набора процесса

Удаление компьютера из стыковочного узла

Завершение работы системы

Группа удаленных помощников

Ч лены этой группы могут предлагать удаленную помощь пользователям данного компьютера.

Группа	Описание	Права пользователя по умолчанию