Группы пользователей в Windows — локальные пользователи и группы

Это первая из двух статей, посвященных группам пользователей в Windows. Сегодня поговорим о локальных пользователях и группах, вторая статья будет посвящена группам в Active Directory.

Как и операционные системы семейства Linux, операционные системы Windows также поддерживают объединение пользователей в группы. Это позволяет удобно управлять пользовательскими правами. На каждом компьютере с Windows существуют локальные группы, присутствие или отсутствие пользователей в которых определяет права, которыми наделены пользователи.

По умолчанию в Windows уже есть перечень групп, в которые могут входить как учётные записи пользователей, так и другие группы. Хотя в заголовке этой статьи говорится о локальных пользователях и группах, в локальные группы могут входить и доменные учётные записи и группы. Различные программы могут добавлять свои группы. Создать новую группу может и пользователь, наделённый правами локального администратора. Рассмотрим основные группы в Windows.

Посмотреть перечень существующий в системе групп можно через консоль Управление компьютером. Она находится в Панели управления, раздел Администрирование.

Администраторы — группа локальных администраторов, способных управлять конкретным компьютером. Локальные администраторы не являются администраторами домена;

Администраторы Hyper-V — группа пользователей, имеющий полный доступ к функциям Hyper-V. Не являются локальными администраторами и администраторами домена;

Гости — по умолчанию члены этой группы имеют те же права, что и пользователи, за исключением учетной записи Гость, которая ещё больше ограничена в правах;

Операторы архива — имеют права на создание резервных копий и восстановления из них даже тех объектов, к которым не имеют доступа;

Операторы настройки сети — имеют административные права для настройки сетевых параметров операционной системы;

Опытные пользователи — на текущий момент оставлена для совместимости с предыдущими версиями Windows. Может быть использована для разграничения прав пользователей. Например, если одним пользователям на компьютере нужно больше прав, чем другим;

Пользователи — основная пользовательская группа. Пользователи могут изменять крайне ограниченное число настроек, но, как правило, могут запускать большинство приложений в системе;

Пользователи DCOM — члены этой группы могут запускать, активизировать и использовать объекты DCOM;

Пользователи журналов производительности — по функционалу похожа на группу Пользователи системного монитора, но имеет куда больший доступ к Системному монитору, который позволяет отследить использование ресурсов компьютера;

Пользователи удаленного рабочего стола — состоящие в данной группе пользователи могут подключаться к указанному компьютеру через удалённый рабочий стол;

Читатели журнала событий — входящие в эту группу пользователи могут просматривать журналы событий компьютера;

IIS_IUSRS — группа, появившаяся в IIS 7.0 как замена группе IIS_WPG. Операционная система автоматически заносит в данную группу учётные записи, когда они назначаются в качестве удостоверения для пула приложений. Как правило, эта группа не требует действий со стороны администратора.

Просмотреть содержимое групп могут и пользователи, а вот для работы с ними нужно быть администратором. Откройте интересующую вас группу. Вы увидите её описание, содержимое (группы могут включать в себя не только пользователей, но и другие группы) и кнопки Добавить и Удалить. С их помощью мы и можем управлять членством в группе.

Допустим, что мы хотим добавить в группу нового пользователя (или группу пользователей). Нажимаем кнопку Добавить и видим окно добавления пользователя или группы.

Если вы знаете имя пользователя/группы, просто введите его в большое поле и нажмите Проверить имена. Обратите внимание также на кнопки Типы объектов и Размещение. Нажав на первую, можно выбрать объекты, которым мы ищем. Нажав на вторую, указать место поиска объектов (локальный компьютер или домен). Внизу ещё есть кнопка Дополнительно, она открывает окно с более удобным интерфейсом поиска.

Даже если вы не знаете имя пользователя/группы, вы можете указать место поиска, а потом просто нажать кнопку Поиск, чтобы посмотреть список имеющихся пользователей и групп.

Удалить пользователя/группу из группы ещё проще. Просто откройте свойства интересующей вас группы, выделите пользователя/группу и нажмите кнопку Удалить.

Помните: изменять членство в группах нужно только тогда, когда вы понимаете, что делаете. В противном случае это может сказаться на работоспособности системы или отдельных программ в ней. Кроме того, раздавая права всем подряд, вы можете спровоцировать инциденты, относящиеся к области информационной безопасности.

Что ещё можно сделать с группами? Щёлкнем по группе правой кнопкой мыши, чтобы вызвать контекстное меню (альтернатива — выделить группу и открыть меню Действие).

Как видим, группу ещё можно переименовать и удалить. Естественно, можно создать и новую группу. Для этого, не выделяя никакую из существующих групп, либо воспользуйтесь меню Действие → Создать группу, либо щёлкните правой кнопкой мыши по пустой области, чтобы вызвать контекстное меню с этим пунктом.

Создание группы в Windows.

Введите название группы, описание, чтобы другим пользователям было удобнее понимать для чего эта группа (или чтобы самому потом не забыть), наполните группу пользователями/группами и нажмите кнопку Создать.

Как видите, наша группа появилась в перечне групп.

Теперь поговорим о том, для чего можно использовать группы в Windows. Как уже было сказано, главное предназначение групп — разграничение прав в системе. Для нас важно понимать как группы используются для назначения прав на уровне файловой системы.

Группы позволяют гибко настраивать права на файлы и каталоги. В конечном счёте, таким образом мы можем определять, кому разрешено запускать исполняемые файлы (а значит и программы), кто может добавлять, удалять, читать файлы в папках. Это может быть не так важно на домашнем компьютере, где небольшое число пользователей. А вот в корпоративном сегменте важно.

Если в организации несколько структурных подразделений, которым требуются разные права, выдавать права каждому пользователю утомительно. Проще объединять пользователей в группы и выдавать права группе.

Добавим разрешения на каталог primer для нашей только что созданной группы. Можно нажать кнопку Изменить, а можно Дополнительно. Второй способ более гибкий, поэтому лучше использовать его.

Нажмите кнопку Добавить.

Сперва нужно выбрать субъект, на который будут распространяться новые права.

Впишите название группы и нажмите кнопку Проверить имена.

Теперь можно выбрать, хотим мы установить разрешающее правило или запрещающее, будет ли оно применяться к подпапкам и файлам, а также суть даваемых разрешений или запретов.

Наша группа появилась в перечне других групп, которым даны разрешения на этот каталог. Не забудьте нажать Применить для сохранения настроек.

Итак, мы познакомились с локальными группами в Windows. Во второй статье о группах в Windows мы поговорим про группы в Active Directory.

DATAENGINER

Добрый день! Сегодня мы продолжаем настройку нашего ftp-servera на ОС Windows Server 2019. В данной статье мы рассмотрим создание группы для пользователей ОС Windows Server 2019.

Если вам интересно, для чего создавать группу пользователей?

То пользователи группируются, для объединения и разделения пользователей по набору прав и разграничения доступа.

Итак, приступим к созданию группы.

Шаг 1. Откроем консоль управления сервером и перейдем во вкладку computer manager.

Шаг 2. Далее в левом боковом меню открываем вкладку локальных пользователей и групп, и переходим в папку Groups.

Шаг 3. В папке уже находятся стандартные группы windows server 2019. Добавим свою группу, которую назовем ftp-test. Для этого в списке групп на свободном пространстве нажмем правой кнопкой мыши и нажмем New Group.

Шаг 4. Далее в окне создания новой группы укажем имя и зададим простое описание, для уточнения информации о группе пользователей.

Шаг 5. Далее мы сразу можем добавить членов, для новой группы для этого нажмем Add. Если вы помните название всех необходимых пользователей, вы можете их перечислить в текстовом поле.

Если же вы не знаете точное название пользователей, то нажмем advanced и перейдем к расширенному окну для поиска пользователей. Нажмем Find Now и в списке пользователей отобразятся все существующие пользователи.

Шаг 6. Найдем ранее созданного нами пользователя test. Далее нажмем ОК. Пользователь появится в текстовом поле.

Шаг 7. Нажмем ОК и пользователь появится как член новой группы windows server.

Шаг 8. Нажмем create и списке групп появится наша новая группа пользователей, членом которой является наш тестовый пользователь, созданный ранее.

Создание группы безопасности пользователей в системе Windows

Учетная запись пользователя Windows может входить в несколько групп. Наиболее распространенные группы пользователей – это стандартная группа и группа администраторов, существуют и другие.

Для обозначения учетной записи часто используется название группы пользователей, в которую он входит. Например, учетная запись входит в стандартную группы пользователей, называется стандартной учетной записью.

С помощью учетной записи администратора можно создать собственные группы пользователей, переместить учетные записи из одной группы в другую, а также добавить или удалить учетные записи, которые входят в разные группы.

Создав собственную группу пользователей, можно определять, какие права ей назначить.

Создание группы пользователей

Эти шаги нельзя выполнить в версиях Windows 7 Starter, Windows 7 Home Basic и Windows 7 Home Premium.

1. Откройте консоль управления MMC.
2. В левой области выберите пункт Локальные пользователи и группы.

Если оснастка Локальные пользователи и группы не отображается, возможно, эту оснастку не включили в консоли управления ММС.

Чтобы добавить её, выполните следующие действия:

1. В окне консоли управления MМС меню Файл выберите команду Добавить / удалить оснастку.
2. Выберите Локальные пользователи и группы и нажмите кнопку Добавить .
3. Щелкните Локальный компьютер и нажмите кнопку Готово .
4. Нажмите кнопку ОК .

Нажмите кнопку Добавить и введите имя учетной записи пользователя.

Нажмите кнопку Проверить имена и нажмите кнопку ОК .

Нажмите кнопку Создать .

Сведения о добавлении учетной записи к определенной группе, см. Добавление учетной записи в группу.

Запуск раздела Локальные пользователи и группы на ОС Windows 10 и как добавить

Внутренние настройки операционной системы предполагают отдельный блок для работы с определенной группой профайлов. Раздел в Windows 10 называется «Локальные группы и пользователи». Инструмент позволяет регулировать деятельность и количество возможностей участников, добавлять или убирать функции, распределять права. Существует несколько ключевых особенностей, которые важно учитывать при настройке.

Запуск «Локальных пользователей и групп»

Функциональный комплекс, связывающий внутренние профили персонального компьютера, запускается быстро. Специальных навыков и знаний не потребуется. Этапы действий:

• кликнуть одновременно сочетание горячих кнопок «Windows» и «R» (русская раскладка – «Win» и «К»);
• в открывшемся поле «Выполнить» напечатать lusrmgr.msc;

• подтвердить запрос клавишей «Enter» на клавиатуре или «ОК» в поле окна;
• откроется дополнительный интерфейс – группы и пользователи операционной системы в локальном обозначении.

Открытое поле разделено на несколько активных блоков. В верхней части – возможные действия и настройки (стандартные – файл, справка, вид и другие). В основной части – требуемые разделы и профайлы.

Каталог «Пользователи»

В левой части интерфейса отображается название подгрупп – пользователи и, непосредственно, группы из них. В первом блоке отображаются следующие наименования профилей:

• Администратор – профиль, который устанавливается разработчиком, по умолчанию является неактивным (дополнительный пункт безопасности операционки), особенности аккаунта: невозможно удалить или перепрошить, имеет расширенный функционал и доступ к системным файлам (настройкам) персонального устройства;
• Гость – дополнительный акк, также сформированный разработчиками компании Microsoft, второй после административного профиля, права ограничены (основное – просмотр, использование стандартных групп программ). Внимание! Профиль типа «Гость» используется разово. Ограниченное время работы и небольшой набор функций предусмотрены для защиты внутренних данных компьютера или ноутбука;
• WDAGUyilityAccount – аккаунт, возможности которого использует Защитник операционки Windows, если пользователь пытается перейти по небезопасной ссылке или открыть папки (документы, архивы, фото и иные), угрожающие безопасности ПК.

Кроме указанных, отображаются учетки с наименованием «Пользователь» (появляется во время первой активации системы) и HelpAssistent (временный аккаунт, применяется разово приложением Remote Desktop Help Session Manager).

Каталог «Группы»

Список с наименованием «Группы» включает большее количество пунктов. Пользователи разграничиваются по возможностям, набору используемых приложений. В перечень обычно входят следующие группы:

• администраторы – блок считается основным среди представленных, участники имеют право изменять внутренние показатели операционной системы Windows Внимание! Изменять состав участников данной группы нужно осторожно. Аккаунты раздела имеют доступ к системным настройкам, исправлять ошибки в которых достаточно сложно;
• админы Hyper-V – аккаунты имеют доступ к виртуальному механизму компании Microsoft (гипервизор для работы с системами на 64 бита);
• владельцы ПК – папка, по функционалу дублирующая раздел «Администраторы»;
• гости – вход для гостевых профилей персонального устройства;
• криптографические операторы – пользователи работают с криптографическими параграфами устройства (например, использование и настройка цифровых подписей);
• архивные операторы – отдельная группа пользователей, собственники аккаунтов, способны обходить некоторые системные ограничения, создавать или восстанавливать точки соединения и копии резервного типа;
• операторы сети – профили имеют доступ к подключениям сети;
• опытные юзеры – отдельный тип пользователей, используется для оптимизации внутренних процессов операционной системы персонального компьютера. Внимание! В ранних версиях операционки этот класс профилей был ограничен в некоторых наборах функций. В «десятке» предусмотрели запрет на редакцию списка и функционала пользователей данной группы.

Самый большой – раздел пользовательских профайлов, в перечень включают все учетки, которые созданы на персональном устройстве. Обычные пользователи редко сталкиваются с большей частью подгрупп, представленных в списках левой части окна.

Добавление нового пользователя и присоединение его к группе

Чтобы начать использование отдельных функций операционки, необходимо добавить новую запись учетного профиля. Существует несколько способов создания дополнительного локального аккаунта. Инструкция:

• открыть раздел «Учетные записи пользователей»;
• затем – блок «Управление учетными записями»;
• выбрать тип профиля, который нужно создать.

При создании новой учетки следует учитывать несколько ключевых нюансов. В противном случае могут возникнуть неполадки.

Причины и методы решения отсутствия локальных пользователей и групп

В некоторых ситуациях профиль может оказаться неактивным – операционка не реагирует на попытки изменить или скорректировать функционал аккаунта. Это значит, что в управлении персональным компьютером установлен строгий регламент по работе с профайлами (UAC).

Если система после активации нового акка по умолчанию запускает прежний профиль, необходимо исправить некоторые настройки. В окне «Выполнить» ввести «regedit» и «ОК». Затем переключить в пункте «UserSwitch» отдельный параметр «Enabled» (сменить значение на единицу). Затем устройство перезагружают.

Локальные группы и пользователи – это специальный функциональный раздел операционной системы, который позволяет применить дополнительные корректировки к различным профилям. С большей частью групп обычный юзер не сталкивается, поэтому просто менять параметры без специальных навыков и знаний не стоит. Лучше обратиться к мастеру.