Важно! Рассматриваемая оснастка присутствует только в редакциях Pro и Enterprise!
Запуск «Локальных пользователей и групп»
Доступ к рассматриваемому элементу можно получить следующим образом:
Вызовите инструмент «Выполнить» сочетанием клавиш Win+R, введите в нём запрос lusrmgr.msc и щёлкните «ОК».
Запустится нужный инструмент.
Теперь взглянем подробнее на особенности приложения.
«Пользователи»
В данном каталоге присутствуют такие категории:
«Администратор» – встроенный аккаунт, который используется в процессе инсталляции ОС перед тем, как юзер создаст свой собственный. Полномочия данной учётки весьма обширны, плюс её нельзя никаким образом удалить. Она пригодится в случае, когда в систему необходимо внести серьёзные изменения, но обычного пользователя-администратора для этой цели недостаточно.
Читайте также: Использование встроенной учётной записи администратора Windows 10
«Гость» — второй аккаунт по умолчанию, присутствующий в указанном каталоге. Из названия элемента ясно, каково его предназначение – это гостевая учётка, ограниченная в правах. Данный аккаунт задействуется для разового использования, и по умолчанию отключен из-за возможной угрозы безопасности.
«WDAGUtilityAccount» — это запись, используемая Защитником Windows при открытии небезопасных сайтов или приложений, чтобы не подвергать опасности основное пространство. Если вы не совершали никаких манипуляций со встроенным в «десятку» антивирусом, WDAGUtilityAccount активен и задействуется.
Читайте также: Отключение Защитника в Windows 10
«Пользователь» — учётка, созданная при первичной настройке системы.
«HelpAssistant» — временная запись, которая используется для создания сеанса удаленной помощи. Ею управляет служба Remote Desktop Help Session Manager.
«Группы»
В каталоге «Группы» записей намного больше – они обозначают категории, разграниченные в правах и выполняемых функциях. В этой директории обычно присутствуют следующие элементы:
«Администраторы» – основная группа, члены которой имеют полный доступ к управлению операционной системой, соответственно, добавлять к ней новые учётки стоит с осторожностью.
«Администраторы Hyper-V» – здесь находятся записи, которым разрешен доступ к виртуальной машине Hyper-V.
Читайте также: Виртуальная машина в Windows 10
«Владельцы устройства» – аккаунты из этой категории по своим полномочиям дублируют вариант «Администраторы».
«Гости» – название говорит само за себя: сюда входят гостевые учётные записи.
«Криптографические операторы» – пользовательские аккаунты из этого раздела способны выполнять связанные с криптографией действия, например, с цифровыми подписями.
«Операторы архива» – интересная категория, поскольку записи, которые в неё входят, способны обходить системные ограничения доступа, но только в целях создания точек восстановления или резервного копирования.
Читайте также: Создание точек восстановления Windows 10
«Операторы настройки сети» – записям из этой категории разрешено управлять подключениями к сетям.
«Опытные пользователи» – специфичный вариант, который существует для обеспечения совместимости. Дело в том, что эта категория в предыдущих версиях Виндовс обладала ограниченными административными правами для работы с некоторыми приложениями. В десятой редакции, в целях безопасности, редактирование этой группы запрещено, однако учётки в неё помещаются автоматически, если используется одно из тех самых специфичных приложений.
«Пользователи» – самый большой раздел, в который входят все пользовательские учётные записи.
Остальные позиции представляют собой системные категории, с которыми рядовой юзер навряд ли столкнётся.
Добавление нового пользователя
Посредством рассматриваемой оснастки можно добавить новую учётную запись. Процедура описана одним из наших авторов, рекомендуем прочитать статью по ссылке далее.
Присоединение пользователя к группе
Редактирование группы происходит по похожему алгоритму:
Выделите одиночным кликом ЛКМ категорию, после чего воспользуйтесь вариантами «Действие» – «Добавить пользователя в группу».
В окне свойств группы кликните по кнопке «Добавить».
Укажите имя аккаунта в блоке «Введите имена выбираемых объектов», после чего щёлкните «Проверить имена».
Под названием должно появиться подчёркивание – это означает, что объект распознан и будет присоединён.
По возвращении в окно свойств вы увидите имя добавленной учётки.
Как видим, действительно ничего сложного.
Теперь вам известно, что собой представляет оснастка «Локальные пользователи и группы» в Windows 10.
Описание групп пользователей windows
В папке «Группы», размещенной в оснастке «Локальные пользователи и группы» консоли управления (MMC), отображаются как локальные группы по умолчанию, так и локальные группы, создаваемые пользователем. Локальные группы по умолчанию автоматически создаются при установке операционной системы. Принадлежность к локальной группе дает пользователю права и возможности для выполнения различных задач на локальном компьютере.
В локальные группы можно добавлять учетные записи локальных пользователей, учетные записи пользователей домена, учетные записи компьютеров и учетные записи групп. Дополнительные сведения о добавлении участников в локальные группы см. в разделе Добавление участника в локальную группу.
Следующая таблица содержит описания групп по умолчанию, расположенных в папке «Группы». В таблице также перечислены права пользователя по умолчанию для каждой группы. Эти права пользователей назначаются в локальной политике безопасности.
Группа
Описание
Права пользователя по умолчанию
Члены этой группы имеют полный доступ к управлению компьютером и могут при необходимости назначать пользователям права и разрешения на управление доступом. По умолчанию членом этой группы является учетная запись администратора. Если компьютер подключен к домену, группа «Администраторы домена» автоматически добавляется в группу «Администраторы». Эта группа имеет полный доступ к управлению компьютером, поэтому необходимо проявлять осторожность при добавлении пользователей в данную группу.
Настройка квот памяти для процесса
Разрешение на локальный вход
Разрешение на вход в систему с помощью служб удаленного рабочего стола
Архивация файлов и каталогов
Обход перекрестной проверки
Изменение системного времени
Изменение часового пояса
Создание файла подкачки
Создание глобальных объектов
Создание символических ссылок
Принудительное удаленное завершение работы
Имитация клиента после проверки подлинности
Увеличение приоритета выполнения
Загрузка и выгрузка драйверов устройств
Вход в качестве пакетного задания
Управление журналом аудита и безопасности
Изменение переменных сред встроенного ПО
Выполнение задач по обслуживанию томов
Профилирование одного процесса
Профилирование производительности системы
Отключение компьютера от стыковочного узла
Восстановление файлов и каталогов
Завершение работы системы
Смена владельцев файлов и других объектов
Члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от любых разрешений, которыми защищены эти файлы. Право создания архивной копии имеет приоритет над всеми разрешениями для файлов. Члены этой группы не могут настраивать параметры безопасности.
Разрешение на локальный вход
Архивация файлов и каталогов
Обход перекрестной проверки
Вход в качестве пакетного задания
Восстановление файлов и каталогов
Завершение работы системы
Членам этой группы разрешено выполнение операций криптографии.
Членам этой группы разрешено запускать, активировать и использовать объекты DCOM на компьютере.
В компьютере, присоединенном к домену, члены этой группы получают временный профиль, который создается при входе пользователя в систему и удаляется при выходе из нее. Профили в средах рабочей группы не удаляются. Учетная запись гостя (отключенная по умолчанию) также по умолчанию является членом этой группы.
Члены этой группы получат временный профиль, который создается при входе пользователя в систему и удаляется при выходе из нее. Учетная запись гостя (отключенная по умолчанию) также по умолчанию является членом этой группы.
Это встроенная группа, используемая службами IIS.
Операторы настройки сети
Члены этой группы могут вносить изменения в параметры TCP/IP, а также обновлять и освобождать адреса TCP/IP. По умолчанию в эту группу не входит ни один участник.
Пользователи журналов производительности
Члены этой группы могут управлять счетчиками производительности, журналами и оповещениями на локальном или удаленном компьютере, не являясь при этом членами группы «Администраторы».
Пользователи системного монитора
Члены этой группы могут наблюдать за счетчиками производительности на локальном или удаленном компьютере, не являясь при этом участниками групп «Администраторы» или «Пользователи журналов производительности».
По умолчанию члены этой группы имеют те же права пользователя и разрешения, что и учетные записи обычных пользователей. В предыдущих версиях Windows эта группа была создана для того, чтобы назначать пользователям особые административные права и разрешения для выполнения распространенных системных задач. В этой версии операционной системы Windows учетные записи обычных пользователей предусматривают возможность выполнения большинства типовых задач настройки, таких как смена часовых поясов. Для приложений прежних версий, требующих тех же прав и разрешений опытных пользователей, которые имелись в предыдущих версиях Windows, администраторы могут применять шаблон безопасности, который позволяет группе «Опытные пользователи» присваивать эти права и разрешения, как это было в предыдущих версиях Windows.
Пользователи удаленного рабочего стола
Члены этой группы имеют право удаленного входа в компьютер.
Эта группа поддерживает функции репликации. Единственным членом группы «Репликатор» должна быть учетная запись пользователя домена, используемая для входа в службы репликации на контроллере домена. Не добавляйте в эту группу учетные записи фактических пользователей.
Члены этой группы могут выполнять типовые задачи, такие как запуск приложений, использование локальных и сетевых принтеров, и блокировку компьютера. Члены этой группы не могут предоставлять общий доступ к папкам или создавать локальные принтеры. По умолчанию в эту группу входят группы «Пользователи домена», «Прошедшие проверку» и «Интерактивные». Таким образом, любая учетная запись пользователя, создаваемая в домене, становится членом этой группы.
Разрешение на локальный вход
Обход перекрестной проверки
Изменение часового пояса
Увеличение рабочего набора процесса
Удаление компьютера из стыковочного узла
Завершение работы системы
Группа удаленных помощников
Ч лены этой группы могут предлагать удаленную помощь пользователям данного компьютера.
Группы пользователей в Windows — локальные пользователи и группы
Это первая из двух статей, посвященных группам пользователей в Windows. Сегодня поговорим о локальных пользователях и группах, вторая статья будет посвящена группам в Active Directory.
Как и операционные системы семейства Linux, операционные системы Windows также поддерживают объединение пользователей в группы. Это позволяет удобно управлять пользовательскими правами. На каждом компьютере с Windows существуют локальные группы, присутствие или отсутствие пользователей в которых определяет права, которыми наделены пользователи.
По умолчанию в Windows уже есть перечень групп, в которые могут входить как учётные записи пользователей, так и другие группы. Хотя в заголовке этой статьи говорится о локальных пользователях и группах, в локальные группы могут входить и доменные учётные записи и группы. Различные программы могут добавлять свои группы. Создать новую группу может и пользователь, наделённый правами локального администратора. Рассмотрим основные группы в Windows.
Посмотреть перечень существующий в системе групп можно через консоль Управление компьютером. Она находится в Панели управления, раздел Администрирование.
Администраторы — группа локальных администраторов, способных управлять конкретным компьютером. Локальные администраторы не являются администраторами домена;
Администраторы Hyper-V — группа пользователей, имеющий полный доступ к функциям Hyper-V. Не являются локальными администраторами и администраторами домена;
Гости — по умолчанию члены этой группы имеют те же права, что и пользователи, за исключением учетной записи Гость, которая ещё больше ограничена в правах;
Операторы архива — имеют права на создание резервных копий и восстановления из них даже тех объектов, к которым не имеют доступа;
Операторы настройки сети — имеют административные права для настройки сетевых параметров операционной системы;
Опытные пользователи — на текущий момент оставлена для совместимости с предыдущими версиями Windows. Может быть использована для разграничения прав пользователей. Например, если одним пользователям на компьютере нужно больше прав, чем другим;
Пользователи — основная пользовательская группа. Пользователи могут изменять крайне ограниченное число настроек, но, как правило, могут запускать большинство приложений в системе;
Пользователи DCOM — члены этой группы могут запускать, активизировать и использовать объекты DCOM;
Пользователи журналов производительности — по функционалу похожа на группу Пользователи системного монитора, но имеет куда больший доступ к Системному монитору, который позволяет отследить использование ресурсов компьютера;
Пользователи удаленного рабочего стола — состоящие в данной группе пользователи могут подключаться к указанному компьютеру через удалённый рабочий стол;
Читатели журнала событий — входящие в эту группу пользователи могут просматривать журналы событий компьютера;
IIS_IUSRS — группа, появившаяся в IIS 7.0 как замена группе IIS_WPG. Операционная система автоматически заносит в данную группу учётные записи, когда они назначаются в качестве удостоверения для пула приложений. Как правило, эта группа не требует действий со стороны администратора.
Просмотреть содержимое групп могут и пользователи, а вот для работы с ними нужно быть администратором. Откройте интересующую вас группу. Вы увидите её описание, содержимое (группы могут включать в себя не только пользователей, но и другие группы) и кнопки Добавить и Удалить. С их помощью мы и можем управлять членством в группе.
Допустим, что мы хотим добавить в группу нового пользователя (или группу пользователей). Нажимаем кнопку Добавить и видим окно добавления пользователя или группы.
Если вы знаете имя пользователя/группы, просто введите его в большое поле и нажмите Проверить имена. Обратите внимание также на кнопки Типы объектов и Размещение. Нажав на первую, можно выбрать объекты, которым мы ищем. Нажав на вторую, указать место поиска объектов (локальный компьютер или домен). Внизу ещё есть кнопка Дополнительно, она открывает окно с более удобным интерфейсом поиска.
Даже если вы не знаете имя пользователя/группы, вы можете указать место поиска, а потом просто нажать кнопку Поиск, чтобы посмотреть список имеющихся пользователей и групп.
Удалить пользователя/группу из группы ещё проще. Просто откройте свойства интересующей вас группы, выделите пользователя/группу и нажмите кнопку Удалить.
Помните: изменять членство в группах нужно только тогда, когда вы понимаете, что делаете. В противном случае это может сказаться на работоспособности системы или отдельных программ в ней. Кроме того, раздавая права всем подряд, вы можете спровоцировать инциденты, относящиеся к области информационной безопасности.
Что ещё можно сделать с группами? Щёлкнем по группе правой кнопкой мыши, чтобы вызвать контекстное меню (альтернатива — выделить группу и открыть меню Действие).
Как видим, группу ещё можно переименовать и удалить. Естественно, можно создать и новую группу. Для этого, не выделяя никакую из существующих групп, либо воспользуйтесь меню Действие → Создать группу, либо щёлкните правой кнопкой мыши по пустой области, чтобы вызвать контекстное меню с этим пунктом.
Создание группы в Windows.
Введите название группы, описание, чтобы другим пользователям было удобнее понимать для чего эта группа (или чтобы самому потом не забыть), наполните группу пользователями/группами и нажмите кнопку Создать.
Как видите, наша группа появилась в перечне групп.
Теперь поговорим о том, для чего можно использовать группы в Windows. Как уже было сказано, главное предназначение групп — разграничение прав в системе. Для нас важно понимать как группы используются для назначения прав на уровне файловой системы.
Группы позволяют гибко настраивать права на файлы и каталоги. В конечном счёте, таким образом мы можем определять, кому разрешено запускать исполняемые файлы (а значит и программы), кто может добавлять, удалять, читать файлы в папках. Это может быть не так важно на домашнем компьютере, где небольшое число пользователей. А вот в корпоративном сегменте важно.
Если в организации несколько структурных подразделений, которым требуются разные права, выдавать права каждому пользователю утомительно. Проще объединять пользователей в группы и выдавать права группе.
Добавим разрешения на каталог primer для нашей только что созданной группы. Можно нажать кнопку Изменить, а можно Дополнительно. Второй способ более гибкий, поэтому лучше использовать его.
Нажмите кнопку Добавить.
Сперва нужно выбрать субъект, на который будут распространяться новые права.
Впишите название группы и нажмите кнопку Проверить имена.
Теперь можно выбрать, хотим мы установить разрешающее правило или запрещающее, будет ли оно применяться к подпапкам и файлам, а также суть даваемых разрешений или запретов.
Наша группа появилась в перечне других групп, которым даны разрешения на этот каталог. Не забудьте нажать Применить для сохранения настроек.
Итак, мы познакомились с локальными группами в Windows. Во второй статье о группах в Windows мы поговорим про группы в Active Directory.
Это первая из двух статей, посвященных группам пользователей в Windows. Сегодня поговорим о локальных пользователях и группах, вторая статья будет посвящена группам в Active Directory.
Создание группы в Windows.
