Обзор оснастки «Локальные пользователи и группы»

Посетителей: 30544 | Просмотров: 37159 (сегодня 1) Шрифт:

Оснастка «Локальные пользователи и группы» является важным средством безопасности, поскольку позволяет ограничить возможные действия пользователей и групп путем назначения им прав и разрешений. Одна учетная запись пользователя может входить в несколько групп.

Доступ к этой оснастке можно получить, набрав в командной строке lusrmgr.msc

В левой части открывшегося окна можно видеть две папки — Пользователи и Группы

Папка Пользователи отображает две встроенные учетные записи пользователей — Администратор и Гость , которые создаются автоматически при установке Wundows XP, а также все созданные учетные записи пользователей.

Учетная запись Администратор используется при первой установке операционной системы. Эта учетная запись позволяет выполнять необходимые действия до того, как пользователь создаст свою собственную учетную запись. Учетную запись «Администратор» нельзя удалить, отключить или вывести из локальной группы Администраторы , благодаря чему исключается возможность случайной потери доступа к компьютеру после уничтожения всех учетных записей администраторов. Это свойство отличает учетную запись «Администратор» от остальных членов локальной группы «Администраторы».Учетная запись Гость используется теми, кто не имеет реальной учетной записи на компьютере. Если учетная запись пользователя отключена (но не удалена), он также может воспользоваться учетной записью «Гость». Учетная запись гостя не требует пароля. По умолчанию она отключена, но ее можно включить.

Чтобы добавить учетную запись нового пользователя, щелкните правой кнопкой мыши на папке Пользователи и выберите из выпадающего меню команду Новый пользователь. В открывшемся окне введите данные для создания новой учетной записи. Чтобы удалить учетную запись пользователя, щелкните правой кнопкой мыши на названии учетной записи в правом окне программы и выберите из выпадающего меню Удалить .

Также для конкретной учетной записи можно назначить путь к профилю и сценарию входа (подробнее смотрите в справке).

В папке Группы отображаются все встроенные группы и группы, созданные пользователем. Встроенные группы создаются автоматически при установке Windows XP. Принадлежность к группе предоставляет пользователю права и возможности для выполнения различных задач на компьютере. Далее рассмотрены свойства некоторых встроенных групп:

Администраторы — членство в этой группе по умолчанию предоставляет самый широкий набор разрешений и возможность изменять собственные разрешения. Администраторы имеют полные, ничем неограниченные права доступа к компьютеру или домену. Работа в Windows XP в качестве администратора делает систему уязвимой для троянских коней и других программ, угрожающих безопасности. Простое посещение веб-узла может очень сильно повредить систему. На незнакомом веб-узле может находиться троянская программа, которая будет загружена в систему и выполнена. Если в это время находиться в системе с правами администратора, такая программа может переформатировать жесткий диск, стереть все файлы, создать новую учетную запись пользователя с административным доступом и т. д.

Рекомендуется использовать административный доступ только для выполнения следующих действий:

установки операционной системы и ее компонентов (например драйверов устройств, системных служб и так далее);

установки пакетов обновления;

обновления операционной системы;

восстановления операционной системы;

настройки важнейших параметров операционной системы (политики паролей, управления доступом, политики аудита, настройки драйверов в режиме ядра и так далее);

вступления во владение файлами, ставшими недоступными;

управления журналами безопасности и аудита;

архивирования и восстановления системы.
На практике учетные записи администраторов часто должны использоваться для установки и запуска программ, написанных для предыдущих версий Windows.

Опытные пользователи — эта группа поддерживается, в основном, для совместимости с предыдущими версиями для выполнения несертифицированных приложений. Разрешения по умолчанию, предоставленные этой группе, позволяют членам группы изменять параметры компьютера. Если необходима поддержка несертифицированных приложений, конечные пользователи должны быть членами группы «Опытные пользователи».
Члены группы «Опытные пользователи» имеют больше разрешений, чем члены группы «Пользователи», и меньше, чем члены группы «Администраторы». Опытные пользователи могут выполнять любые задачи с операционной системой, кроме задач, зарезервированных для группы «Администраторы».

Опытные пользователи могут:

выполнять приложения, сертифицированные для Windows 2000 и Windows XP Professional, а также устаревшие приложения;

устанавливать программы, не изменяющие файлы операционной системы, и системные службы;

настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления;

создавать и управлять локальными учетными записями пользователей и групп;

останавливать и запускать системные службы, не запущенные по умолчанию.
Опытные пользователи не могут добавлять себя в группу «Администраторы». Они не имеют доступа к данным других пользователей на томе NTFS, если соответствующие разрешения этих пользователей не получены. Поскольку опытные пользователи могут устанавливать и изменять программы, работа под учетной записью группы «Опытные пользователь» при подключении к Интернету может сделать систему уязвимой для троянских коней и других программ, угрожающих безопасности.

Читайте также:  Kali linux создать каталог

Пользователи — члены этой группы не могут организовывать общий доступ к каталогам или создавать локальные принтеры. Группа «Пользователи» предоставляет самую безопасную среду для выполнения программ. На томе с файловой системой NTFS параметры безопасности по умолчанию только что установленной (не обновленной) системы разработаны, чтобы предотвратить нарушение целостности операционной системы и установленных программ членами этой группы. Пользователи не могут изменять параметры реестра на уровне системы, файлы операционной системы или программы. Пользователи могут выключать рабочие станции, но не серверы. Пользователи могут создавать локальные группы, но управлять могут только теми, которые они создали. Пользователи имеют полный доступ к своим файлам данных и своей части реестра (HKEY_CURRENT_USER). Однако разрешения на уровне пользователя часто не допускают выполнение пользователем устаревших приложений. Участники группы «Пользователи» гарантированно могут запускать только сертифицированные для Windows приложения.

Операторы архива — члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от всех разрешений, которыми защищены эти файлы. Они могут также входить в систему и завершать работу компьютера, но не могут изменять параметры безопасности. Для архивирования и восстановления файлов данных и системных файлов требуются разрешения на чтение и запись. Разрешения по умолчанию для операторов архива, позволяющие им архивировать и восстанавливать файлы, делают для них возможным использование разрешений группы для других целей, например для чтения файлов других пользователей и установки программ с троянскими вирусами.

Гости — члены этой группы по умолчанию имеют те же права, что и пользователи, за исключением учетной записи «Гость», еще более ограниченной в правах.

Операторы настройки сети — члены этой группы могут иметь некоторые административные права для управления настройкой сетевых параметров.

Пользователи удаленного рабочего стола — члены этой группы имеют право на выполнение удаленного входа в систему.

Для того, чтобы добавить учетную запись пользователя в ту или иную группу, щелкните правой кнопкой мыши на названии группы и из выпадающего меню выберите Добавить в группу .

Более подробную справку по выполнению этих и других задач, связанных с учетными записями пользователей и групп, а также более полное описание учетных записей пользователей и групп читайте в справке оснастки «Локальные пользователи и группы».

Для чего нужна рабочая группа Windows или WORKGROUP

Рабочая группа Windows (на английском языке Workgroup) является функцией операционных систем Microsoft. На практике это набор компьютеров, подключенных к сети, и его функция заключается в том, чтобы заложить основы, необходимые для обмена файлами и принтерами между ПК.

Компьютер, являющийся членом рабочей группы, может разрешить другому компьютеру, являющемуся членом той же группы, доступ к своим общим ресурсам. Компьютеры, которые являются членами разных рабочих групп, но принадлежащих к одной локальной сети, могут напрямую получать доступ к общим ресурсам в группе, к которой они принадлежат.

Рабочая группа присутствует на всех компьютерах с Windows 10, Windows 8.1/8, Windows 7 и Windows Vista.

Разница между рабочей группой и доменом

По умолчанию каждый компьютер с операционной системой Microsoft, присутствующей в сети, должен обязательно принадлежать либо к рабочей группе, либо к домену.

Разница между рабочей группой и доменом заключается в способе управления компьютерами и сетевыми ресурсами. Обычно компьютеры корпоративной или большой сети являются частью домена, в то время как компьютеры домашней сети являются частью рабочей группы, а часто и домашней группы (→ что такое домашняя группа).

Как понять, принадлежит ли компьютер рабочей группе или домену?

Давайте сначала посмотрим, как понять, принадлежит ли ПК рабочей группе или домену.

1. Нажмите на клавиатуре компьютера клавиши Win (клавиша с логотипом Windows) и R . Откроется окно «Выполнить».
2. В поле Открыть: введите control и нажмите кнопку ОК .
3. Откроется панель управления Windows.
4. В поле поиска панели управления (вверху справа) введите система.
5. В списке полученных результатов нажмите «Система».
6. В окне «Система» найдите раздел «Имя компьютера, имя домена и параметры рабочей группы».

• Если компьютер принадлежит к рабочей группе, будет отображаться рабочая группа: WORKGROUP (или другое имя).
• Если компьютер принадлежит к домену появится домен.

Функции рабочей группы Windows

Теперь посмотрим, каковы характеристики рабочей группы Windows:

• в рабочей группе все компьютеры являются пирами. Это означает, что ни один компьютер не может контролировать других. С другой стороны, в Домене только один или несколько компьютеров являются серверами, которые используются для управления безопасностью и авторизацией всех компьютеров, принадлежащих домену.
• Рабочая группа, как правило, состоит максимум из 20 ПК.
• Все ПК рабочей группы должны находиться в одной локальной сети.
• Рабочая группа не защищена паролем доступа.

Для доступа к общим элементам на компьютере рабочей группы Windows у вас должна быть учетная запись на том же компьютере.

Предположим, что пользователь Boris с White PC (принадлежащего Рабочей группе: WORKGROUP) хочет получить доступ к файлу с именем Person на Black PC (также принадлежащему Рабочей группе: WORKGROUP). Чтобы получить доступ к личному файлу, как на белом ПК, так и на черном ПК, должна присутствовать учетная запись пользователя Boris.

Рабочая группа WORKGROUP

Рабочая группа всегда идентифицируется по имени.

По умолчанию на этапе установки операционной системы Windows автоматически создает рабочую группу с именем WORKGROUP.

Как создать рабочую группу Windows

Давайте посмотрим, как создать рабочую группу Windows или как изменить членство ПК с члена домена на члена рабочей группы.

Важно: если компьютер является членом домена, перед добавлением в рабочую группу он будет удален из домена и соответствующая учетная запись будет деактивирована.

1. Нажмите на клавиатуре компьютера клавиши Win (клавиша с логотипом Windows) и R . Откроется окно «Выполнить».
2. В поле Открыть: введите sysdm.cpl и нажмите OK . Это откроет Свойства системы.
3. На вкладке Имя компьютера нажмите на Изменить.
4. В разделе «Является членом» с выбором рабочей группы введите имя для рабочей группы, которую мы хотим создать.

Нажмите ОК и ещё раз ОК , чтобы закрыть окно «Свойства системы».

Перезапустите систему Windows, чтобы изменения вступили в силу.

Добавить компьютер в рабочую группу Windows

Процедура добавления компьютера в существующую рабочую группу идентична описанной созданию новой рабочей группы.

1. На вкладке Имя компьютера в окне «Свойства системы» нажмите Изменить.
2. В поле «Рабочая группа»: введите имя рабочей группы, к которой вы хотите добавить ПК.
3. Наконец, перезапистите Windows, чтобы изменения вступили в силу.

Изменить имя рабочей группы Windows

В заключение давайте посмотрим, как изменить название рабочей группы Windows.

1. Открываем окно Свойства системы.
2. На вкладке Имя компьютера нажимаем Изменить.
3. В поле Рабочая группа: мы вводим имя, которое мы хотим использовать.

Важно: имя Рабочей группы может быть длиной до 15 символов и не должно содержать символов * () = + _ [] <> \ | /; : ‘», <>?

Нажимаем ОК , чтобы закрыть окно «Свойства системы».

Перезапускаем Windows, чтобы изменения вступили в силу.

Работа с учётными записями Windows в оснастке «Локальные группы и пользователи»

В Windows есть несколько возможностей работы с пользовательскими учётными записями: в Win7 это панель управления, а в Win8.1 и Win10 это и панель управления, и современное системное приложение «Параметры». И также во всех этих трёх версиях есть ещё один инструмент работы с «учётками» Windows – оснастка из числа классического функционала для системного администрирования «Локальные пользователи и группы», она же оснастка lusrmgr.msc .

Доступна она только в редакциях системы от Pro и выше, и она предлагает большие возможности по управлению учётными записями, нежели иные системные инструменты. Не каждому пользователю нужны все возможности lusrmgr.msc , но отдельные из них могут пригодиться. Давайте рассмотрим, что нам предлагает эта оснастка.

Оснастка lusrmgr.msc доступна в числе прочих инструментов администрирования в системной консоли «Управление компьютером». Можем запустить её с помощью внутрисистемного поиска.

Здесь в древе слева раскрываем «Локальные пользователи и группы». В оснастке будет два раздела, один из них – это «Группы», где можно оперировать группами, т.е. категориями пользователей с набором определённых прав в операционной системе. Группы можно переименовывать, удалять, применять к пользователям Windows.

И таких групп здесь почти два десятка. Какие возможности есть у пользователей этих групп, кратко изложено в их описании. При необходимости в контекстном меню каждой из групп можем запустить справку и на сайте Microsoft узнать более детальную информацию о предназначении и возможностях этой конкретной группы. А вот с использованием иного функционала Windows мы можем создавать «учётки» с принадлежностью только к двум основным группам — «Администраторы» и «Стандартные пользователи». Ну и в панели управления Win8.1 и Win7 можем ещё активировать учётную запись с принадлежностью к группе «Гости». Хотя даже двух основных пользовательских групп более чем достаточно для разграничения пользовательских прав в большей части случаев.

Другой раздел – «Пользователи», здесь, соответственно, можно управлять пользователями. Детально о возможностях этого раздела мы и будем говорить далее.

Оснастку lusrmgr.msc , кстати, мы также можем открыть в отдельном окне, введя её название в поле команды «Выполнить», либо же во внутрисистемный поиск.

Добавление локальных пользователей

Оснастка lusrmgr.msc примечательна простотой и быстротой создания новых локальных пользователей. Так, в Win8.1 и Win10 новые пользователи создаются только в современных системных параметрах, где этот процесс сопровождается волокитой с отказом от способа входа нового пользователя в систему с подключением к аккаунту Microsoft, если мы хотим создать для него локальную «учётку». Новый пользователь сам может решить, хочет ли он подключать аккаунт Microsoft или нет, и если хочет, то он сам может это сделать в системных настройках, даже если у него будут только права стандартного пользователя. В оснастке же lusrmgr.msc всё делается на раз-два: на пустом месте в разделе «Пользователи» жмём контекстное меню, выбираем «Новый пользователь».

Вписываем имя пользователя. Далее можем установить для него пароль, а можем ничего не устанавливать, активная по умолчанию опция требования смены пароля при первом заходе этого пользователя даст ему возможность самому установить себе пароль. Мы также можем убрать галочку этой опции, тогда новая «учётка» будет незапаролена, и пользователь в любой момент позднее, если посчитает нужным, установит себе пароль в системных настройках.

Вот, собственно, и все телодвижения, если нам надо создать локального пользователя со стандартными правами. Если же учётную запись пользователю надо создать с правами администратора, тогда делаем на этом пользователе двойной клик. Откроется окошко свойств пользователя, в нём переходим на вкладку членства в группах. Удаляем группу «Пользователи».

Жмём «Добавить». В появившемся окошке выбора групп нажимаем «Дополнительно».

Далее – «Поиск». И кликаем «Администраторы».

Жмём «Ок».

Всё: у пользователя есть администраторские права. Теперь просто нажимаем «Применить».

Управление пользователями

Какие возможности по управлению учётными записями локальных пользователей нам доступны в lusrmgr.msc? Как и в других системных настройках Windows, сами обладая правами администратора, можем пользователей удалять, переименовывать, менять им пароль, менять тип «учётки» со стандартного пользователя на администратора и наоборот. Для использования этих возможностей жмём контекстное меню на нужном пользователе и выбираем что нам надо.

Оснастка lusrmgr.msc позволяет удалять самого пользователя, но она не производит удаление файлов его пользовательского профиля на диске С. Эти файлы продолжают храниться в его профильной папке по пути «C:\Users» . Если удалённому пользователю ничего не нужно из содержимого его профильной папки, можем зайти по этому пути и удалить эту папку, дабы она не занимала место на диске С.

Есть в lusrmgr.msc и такие функции, которые нам недоступны при использовании иных системных настроек Windows. В свойствах пользователя, в первой вкладке «Общие» у нас будут такие возможности как: установка требования смены пароля при новом заходе пользователя в систему, установка запрета смены пароля (для локальных «учёток») , задействование срока ограничения пароля, отключение и разблокировка «учётки».

С первыми двумя возможностями всё и так ясно, а что значат три последние? Если не будет активна опция неограниченного срока действия пароля, пользователь вынужден будет его менять через каждые 42 дня. При необходимости эти 42 дня можно сменить на любой иной срок, но делается это уже в локальных групповых политиках, в их редакторе gpedit.msc .

Отключение «учётки» — это её временное удаление с экрана блокировки, из меню «Пуск», из видимости прочего системного функционала и сторонних программ. Но отключённый пользователь на удаляется навсегда: его профильная папка хранится на диске С, а учётная запись может быть включена в любой нужный момент.