Windows Server 2019 часть два. Domain Admins, Пользователи, Подразделения, Группы.

Продолжаем настраивать сервер на Windows. Базовую настройку мы сделали в первой части, пришло теперь время добавить пользователей. Какой же домен без юзера )))

Конечно самым Первым и главным будет у нас Администратор Домена. Поехали.

Администраторы домена (Domain Admins) – находится в контейнере Users каждого домена. Эта группа входит в группу Администраторы своего домена. Поэтому она наследует все полномочия группы Администраторы. Кроме того, она по умолчанию входит в локальную группу Администраторы каждого рядового компьютера домена, в результате чего администраторы домена получают в свое распоряжение все компьютеры домена.

Заходим в Средства и выбираем Пользователи и компьютеры AD. Заходим в папку Users и создаем нового пользователя. Есть практика важных пользователей создавать именно в этой папке.

• 
• 
• 
• 

Выбираем нашего пользователя и добавляем его в группу Администратор Домена :

• 
• 
• 

Подразделения и Группы.

Что бы не создавать путаницу и беспорядок в AD, застраховаться от случайного удаления пользователей мы можем создать Подразделение. И в него уже добавлять пользователей и группы.

• 
• 

Группы.

Группы в AD самый важный инструмент. Группы мы можем добавлять в групповые политики и правила домена. Наследовать свойства от других групп, разделять сетевой доступ к ресурсам и т.д.

Создаются группы так же как и подразделения.

Область действия группы определяет диапазон, в котором применяется группа внутри домена. Помимо того, что группы могут содержать пользователей и компьютеры, они могут быть членами других групп.

• Локальная в домене. Группы с областью локальные группы в домене предназначены для управления разрешениями доступа к ресурсам и функционируют в том случае, если домен работает на функциональном уровне не ниже Windows 2000. В том случае, если домен работает на уровне Windows NT или в смешанном уровне, то эти группы будут использоваться лишь как локальные группы.
• Глобальная группа может содержать пользователей, компьютеры и другие глобальные группы только из одного домена. Несмотря на это, глобальные группы могут быть членами любых универсальных и локальных групп как в своем домене, так и доверяющем домене.
• Универсальная группа. Универсальные группы целесообразно задействовать только в лесах, состоящих из множества доменов для их объединения. Эти группы позволяют управлять ресурсами, распределенными на нескольких доменах, поэтому универсальные группы считаются самыми гибкими. Универсальные группы определяются в одном домене, но реплицируются в глобальный каталог.

Типы групп.

Группы безопасности относятся к принципалам безопасности с SID-идентификаторами. В связи с этим данный тип группы считается самым распространенным и группы такого типа можно использовать для управления безопасностью и назначения разрешений доступа к сетевым ресурсам в списках ACL. В общем, группу безопасности стоит использовать в том случае, если они будут использоваться для управления безопасностью.

Группа распространения изначально используется приложениями электронной почты, и она не может быть принципалом безопасности. Другими словами, этот тип группы не является субъектом безопасности. Так как эту группу нельзя использовать для назначения доступа к ресурсам, она чаще всего используется при установке Microsoft Exchange Server в том случае, когда пользователей необходимо объединить в группу с целью отправки электронной почты сразу всей группе.

Теперь добавляем члена группы. Им может быть как пользователь, так и компьютер.

Кликаем два раза на группу — Члены группы — Добавить

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Группы пользователей в Windows — локальные пользователи и группы

Это первая из двух статей, посвященных группам пользователей в Windows. Сегодня поговорим о локальных пользователях и группах, вторая статья будет посвящена группам в Active Directory.

Как и операционные системы семейства Linux, операционные системы Windows также поддерживают объединение пользователей в группы. Это позволяет удобно управлять пользовательскими правами. На каждом компьютере с Windows существуют локальные группы, присутствие или отсутствие пользователей в которых определяет права, которыми наделены пользователи.

По умолчанию в Windows уже есть перечень групп, в которые могут входить как учётные записи пользователей, так и другие группы. Хотя в заголовке этой статьи говорится о локальных пользователях и группах, в локальные группы могут входить и доменные учётные записи и группы. Различные программы могут добавлять свои группы. Создать новую группу может и пользователь, наделённый правами локального администратора. Рассмотрим основные группы в Windows.

Посмотреть перечень существующий в системе групп можно через консоль Управление компьютером. Она находится в Панели управления, раздел Администрирование.

Администраторы — группа локальных администраторов, способных управлять конкретным компьютером. Локальные администраторы не являются администраторами домена;

Администраторы Hyper-V — группа пользователей, имеющий полный доступ к функциям Hyper-V. Не являются локальными администраторами и администраторами домена;

Гости — по умолчанию члены этой группы имеют те же права, что и пользователи, за исключением учетной записи Гость, которая ещё больше ограничена в правах;

Операторы архива — имеют права на создание резервных копий и восстановления из них даже тех объектов, к которым не имеют доступа;

Операторы настройки сети — имеют административные права для настройки сетевых параметров операционной системы;

Опытные пользователи — на текущий момент оставлена для совместимости с предыдущими версиями Windows. Может быть использована для разграничения прав пользователей. Например, если одним пользователям на компьютере нужно больше прав, чем другим;

Пользователи — основная пользовательская группа. Пользователи могут изменять крайне ограниченное число настроек, но, как правило, могут запускать большинство приложений в системе;

Пользователи DCOM — члены этой группы могут запускать, активизировать и использовать объекты DCOM;

Пользователи журналов производительности — по функционалу похожа на группу Пользователи системного монитора, но имеет куда больший доступ к Системному монитору, который позволяет отследить использование ресурсов компьютера;

Пользователи удаленного рабочего стола — состоящие в данной группе пользователи могут подключаться к указанному компьютеру через удалённый рабочий стол;

Читатели журнала событий — входящие в эту группу пользователи могут просматривать журналы событий компьютера;

IIS_IUSRS — группа, появившаяся в IIS 7.0 как замена группе IIS_WPG. Операционная система автоматически заносит в данную группу учётные записи, когда они назначаются в качестве удостоверения для пула приложений. Как правило, эта группа не требует действий со стороны администратора.

Просмотреть содержимое групп могут и пользователи, а вот для работы с ними нужно быть администратором. Откройте интересующую вас группу. Вы увидите её описание, содержимое (группы могут включать в себя не только пользователей, но и другие группы) и кнопки Добавить и Удалить. С их помощью мы и можем управлять членством в группе.

Допустим, что мы хотим добавить в группу нового пользователя (или группу пользователей). Нажимаем кнопку Добавить и видим окно добавления пользователя или группы.

Если вы знаете имя пользователя/группы, просто введите его в большое поле и нажмите Проверить имена. Обратите внимание также на кнопки Типы объектов и Размещение. Нажав на первую, можно выбрать объекты, которым мы ищем. Нажав на вторую, указать место поиска объектов (локальный компьютер или домен). Внизу ещё есть кнопка Дополнительно, она открывает окно с более удобным интерфейсом поиска.

Даже если вы не знаете имя пользователя/группы, вы можете указать место поиска, а потом просто нажать кнопку Поиск, чтобы посмотреть список имеющихся пользователей и групп.

Удалить пользователя/группу из группы ещё проще. Просто откройте свойства интересующей вас группы, выделите пользователя/группу и нажмите кнопку Удалить.

Помните: изменять членство в группах нужно только тогда, когда вы понимаете, что делаете. В противном случае это может сказаться на работоспособности системы или отдельных программ в ней. Кроме того, раздавая права всем подряд, вы можете спровоцировать инциденты, относящиеся к области информационной безопасности.

Что ещё можно сделать с группами? Щёлкнем по группе правой кнопкой мыши, чтобы вызвать контекстное меню (альтернатива — выделить группу и открыть меню Действие).

Как видим, группу ещё можно переименовать и удалить. Естественно, можно создать и новую группу. Для этого, не выделяя никакую из существующих групп, либо воспользуйтесь меню Действие → Создать группу, либо щёлкните правой кнопкой мыши по пустой области, чтобы вызвать контекстное меню с этим пунктом.

Создание группы в Windows.

Введите название группы, описание, чтобы другим пользователям было удобнее понимать для чего эта группа (или чтобы самому потом не забыть), наполните группу пользователями/группами и нажмите кнопку Создать.

Как видите, наша группа появилась в перечне групп.

Теперь поговорим о том, для чего можно использовать группы в Windows. Как уже было сказано, главное предназначение групп — разграничение прав в системе. Для нас важно понимать как группы используются для назначения прав на уровне файловой системы.

Группы позволяют гибко настраивать права на файлы и каталоги. В конечном счёте, таким образом мы можем определять, кому разрешено запускать исполняемые файлы (а значит и программы), кто может добавлять, удалять, читать файлы в папках. Это может быть не так важно на домашнем компьютере, где небольшое число пользователей. А вот в корпоративном сегменте важно.

Если в организации несколько структурных подразделений, которым требуются разные права, выдавать права каждому пользователю утомительно. Проще объединять пользователей в группы и выдавать права группе.

Добавим разрешения на каталог primer для нашей только что созданной группы. Можно нажать кнопку Изменить, а можно Дополнительно. Второй способ более гибкий, поэтому лучше использовать его.

Нажмите кнопку Добавить.

Сперва нужно выбрать субъект, на который будут распространяться новые права.

Впишите название группы и нажмите кнопку Проверить имена.

Теперь можно выбрать, хотим мы установить разрешающее правило или запрещающее, будет ли оно применяться к подпапкам и файлам, а также суть даваемых разрешений или запретов.

Наша группа появилась в перечне других групп, которым даны разрешения на этот каталог. Не забудьте нажать Применить для сохранения настроек.

Итак, мы познакомились с локальными группами в Windows. Во второй статье о группах в Windows мы поговорим про группы в Active Directory.

Типы пользователей windows server

Учетные записи пользователей и групп

Учетные записи пользователей

В Windows Server 2003 определены пользовательские учетные записи двух типов:

• Доменные учетные записи ( domain user accounts ) определены в Active Directory . Посредством системы однократного ввода пароля такие учетные записи могут обращаться к ресурсам во всем домене. Они создаются в консоли Active Directory — пользователи и компьютеры ( Active Directory Users and Computers ).

• Локальные учетные записи ( local user accounts ) определены на локальном компьютере, имеют доступ только к его ресурсам и должны аутентифицироваться, прежде чем получат доступ к сетевым ресурсам. Локальные учетные записи пользователей создают в оснастке Локальные пользователи и группы ( Local Users and Groups ).

Локальные учетные записи пользователей и групп хранятся только на рядовых серверах и рабочих станциях. На первом контроллере домена они перемещаются в Active Directory и преобразуются в доменные учетные записи.

Имена для входа в систему, пароли и открытые сертификаты

Все учетные записи пользователей распознаются по имени для входа в систему. В Windows Server 2003 оно состоит из двух частей:

• имя пользователя — текстовое имя учетной записи;

• домен или рабочая группа , в которых находится учетная запись.

Для пользователя w e stanec , учетная запись которого создана в домене microsoft.com, полное имя для входа в WindowsServer 2003 выглядит так — we stane c @microsoft.com. При работе с Active Directory иногда требуется полное имя домена ( fully qualified domain name , FQDN ) пользователя, состоящее из DNS-имени домена в сочетании с именами контейнера (или ОП) и группы. У пользователя microsoft.со m \ Users\w e stane c , microsoft.com — DNS-имя домена, Users — имя контейнера, a w e stane c — имя пользователя.

С учетной записью пользователя могут сопоставляться пароль и открытый сертификат ( public certificate ). В открытом сертификате сочетаются открытый и закрытый ключ для идентификации пользователя. Вход в систему по паролю проходит интерактивно. При входе в систему с открытым сертификатом используются смарт-карта и считывающее устройство.

Идентификаторы безопасности и учетные записи пользователей

Хотя для назначения привилегий и разрешений в Windows Server 2003 применяются имена пользователей, ключевым идентификатором учетной записи является генерируемый при e ё создании уникальный идентификатор безопасности ( security identifier , SID). Он состоит из идентификатора безопасности домена и уникального относительного идентификатора, который был выделен хозяином относительных идентификаторов.

С помощью SID Windows Server 2003 способна отслеживать учетные записи независимо от имен пользователей. Благодаря наличию SID можно изменять имена пользователей и удалять учетные записи, не беспокоясь, что кто-то получит доступ к ресурсам, создав учетную запись с тем же именем.

Когда изменяется имя пользователя, Windows Server 2003 сопоставляет прежний SID с новым именем. При удалении учетной записи, Windows Server 2003 считает, что конкретный SID больше недействителен. Если затем создать учетную запись с тем же именем, она не получит привилегий предыдущей записи, так как у нее иной SID.

Учетные записи групп

Помимо учетных записей пользователя в Windows Server 2003 используются группы, позволяющие автоматически предоставлять разрешения схожим типам пользователей и упростить администрирование учетных записей. Если пользователь — член группы, которая вправе обращаться к ресурсу, то он тоже может к нему обратиться. Чтобы предоставить пользователю доступ к нужным ресурсам, достаточно просто включаете его в подходящую группу. Поскольку в разных доменах Active Directory могут быть группы с одинаковыми именами, на группы часто ссылаются по полному имени — домен\имя_группы , например, WORK\GMarketing соответствует группе GMarketing в домене WORK. При работе с Active Directory к группе иногда нужно обращаться по полному имени, состоящему из DNS-имени домена, имени контейнера или ОП и имени группы. В имени группы microsoft.com\Us e rs\GMarkcting , microsoft.com — DNS- имя домена, Users — контейнер или ОП, a GMarketing — имя группы.

Служащим отдела маркетинга скорее всего понадобится доступ ко всем ресурсам, связанным с маркетингом. Вместо того чтобы открывать доступ к ним индивидуально, стоит объединить пользователей в группу. Если позже пользователь перейдет в другой отдел достаточно будет его просто исключить из группы, и все разрешения доступа будут отозваны.

В Windows Server 2003 используются группы трех типов:

• локальные группы ( local groups ) определяются и используются только на локальном компьютере, создаются в оснастке Локальные пользователи и группы ( Local Users and Groups );

• группы безопасности ( security groups ) располагают дескрипторами защиты и определяются в доменах посредством консоли Active Directory — пользователи и компьютеры ( Active Directory Users and Computers );

• группы распространения ( distribution groups ) используются как списки рассылки электронной почты, не имеют дескрипторов безопасности и определяются в доменах посредством консоли Active Directory — пользователи и компьютеры ( Active Directory Users and Computers ).

Область действия группы

У групп возможны разные области действия — локальная доменная ( domain local ), встроенная локальная ( built — in local ), глобальная ( global ) и универсальная ( universal ). От этого зависит, в какой части сети они действительны.

• Локальные доменные группы предоставляют разрешения в одном домене, В состав локальных доменных групп входят лишь учетные записи (и пользователей, и компьютеров) и группы из домена, в котором они определены.

• Встроенные локальные группы обладают особыми разрешениями в локальном домене. Для простоты их часто называют локальными доменными группами, но в отличие от обычных групп, встроенные локальные группы нельзя создать или удалить — можно лишь изменить их состав. Как правило, говоря о локальных доменных группах, имеют в виду обычные, и встроенные локальные группы, если не указано обратное.

• Глобальные группы используются для назначения разрешений на доступ к объектам в любом домене дерева или леса. В глобальную группу входят только учетные записи и группы из домена, в котором они определены.

• Универсальные группы управляют разрешениями во всем дереве или лесе; в них входят учетные записи и группы из любого домена в дереве или лесе домена. Универсальные группы доступны только в Active Directory в основном режиме Windows 2000 или в режиме Windows Server 2003.

Универсальные группы очень полезны на больших предприятиях, имеющих несколько доменов. Состав универсальных групп не должен часто меняться, так как любое изменение надо реплицировать во все глобальные каталоги (ГК) в дереве или лесе.

Идентификаторы безопасности и учетные записи групп

В Windows Server 2003 учетные записи групп, как и учетные записи пользователей, различаются по уникальным идентификаторам безопасности (SID). Это значит, что нельзя удалить учетную запись группы, а затем создать группу с тем же именем, чтобы у нее появились прежние разрешения и привилегии. У новой группы будет новый SID, и все разрешения и привилегии старой группы будут утеряны.

Для каждого сеанса пользователя в системе Windows Server 2003 создает маркер безопасности, содержащий идентификатор учетной записи пользователя и SID всех групп безопасности, к которым относится пользователь. Размер маркера растет по мере того, как пользователь добавляется в новые группы безопасности. Это приводит к следующим последствиям:

• чтобы пользователь вошел в систему, маркер безопасности должен быть передан процессу входа в систему. Поэтому по мере увеличения членства пользователя в группах безопасности процесс входа требует все больше времени;

• чтобы выяснить разрешения доступа, маркер безопасности пересылается на каждый компьютер, к которому обращается пользователь. Поэтому чем больше маркер безопасности, тем выше сетевой трафик.

Когда использовать локальные доменные, глобальные и универсальные группы

Локальные доменные, глобальные и универсальные группы содержат множество параметров для настройки групп в масштабе предприятия. В идеале следует использовать области действия групп для создан ия ие рархий, схожих со структурой организации и обязанностями групп пользователей.

• Локальные доменные группы обладают наименьшей сферой влияния и хорошо подходят для управления доступом к таким ресурсам, как принтеры и общие папки.

• Глобальные группы оптимальны для управления учетными записями пользователей и компьютеров в отдельном домене.

• Универсальные группы обладают самой широкой сферой влияния. Они используются для централизации групп, определенных в нескольких доменах. Обычно для этого в универсальную группу добавляется глобальная группа. Тогда при изменении состава глобальных групп изменения не будут реплицироваться во все ГК, поскольку формально состав универсальных групп не меняется.

Если в организации всего один домен, универсальные группы не нужны; рекомендуется использовать структуру на локальных доменных и глобальных группах.

Стандартные учетные записи пользователей и групп

При установке Windows Server 2003 создаются стандартные учетные записи пользователей и группы. Они предназначены для начальной настройки, необходимой для развития сети, Вот три типа стандартных учетных записей:

• встроенные ( built-in ) учетные записи пользователей и групп устанавливаются вместе с ОС, приложениями и службами;

• предопределенные ( predefined ) учетные записи пользователей и групп устанавливаются вместе с ОС;

• неявные ( implicit ) — специальные группы, создаваемые неявно при обращении к сетевым ресурсам; их также называют специальными объектами ( special identities ).

Удалить пользователей и группы, созданные ОС, нельзя.

Встроенные учетные записи

У встроенных учетных записей пользователей в Windows Server 2003 есть особые цели. Все системы Windows Server 2003 обладают тремя встроенными учетными записями.

• Локальная система ( Local System ) — учетная псевдозапись для выполнения системных процессов и обработки задач системного уровня, доступная только па локальной системе. Эта запись обладает правом Вход в качестве службы ( Log on as a service ). Большинство служб работает под локальной системной учетной записью и имеет право взаимодействовать с рабочим столом.

Службы, которым требуются дополнительные привилегии или права входа, работают под учетными записями Local Service или Network Service .

• Local Service —учетная псевдозапись для запуска служб, которым необходимы дополнительные привилегии или права входа на локальной системе. Службы, которые работают под этой учетной записью, по умолчанию обладают правами и привилегиями на вход в качестве службы, на изменение системного времени и на создание журналов безопасности. К службам, работающим от имени учетной записи Local Service , относятся Оповещатель ( Alerter ), Служба сообщений ( Messenger ), Удаленный реестр ( Remote Registry ), Смарт-карта ( Smart Card ), Модуль поддержки смарт-карт ( Smart Card Helper ), Служба обнаружения SSDP (SSDP Discovery Service ), Модуль поддержки NetBIOS через TCP/IP (TCP/IP NetBIOS Helper ), Источник бесперебойного питания ( Uninterruptible Power Supply ) и Веб-клиент ( WebClient ).

• Network Service — учетная псевдозапись для служб, которым требуются дополнительные привилегии или права входа на локальной системе и в сети. Службы, которые работают под этой учетной записью, обладают правами на вход в качестве службы, изменение системного времени и создание журналов безопасности. Под учетной записью Network Service работают такие службы, как Координатор распределенных транзакций ( Distributed Transaction Coordinator ), DNS -клиент( DNS Client ), Журналы и оповещения производительности ( Performance Logs and Alerts ) и Локатор удаленного вызова процедур ( Remote Procedure Call Locator ). При устанавливке па сервере дополнений или других приложений, разрешается установить и другие учетные записи по умолчанию. Обычно их можно потом удалить. После установки IIS ( Internet Information Services ), появляются новые учетные записи: первая — встроенная учетная запись для анонимного доступа к IIS, а вторая служит IIS для запуска прикладных процессов. Эти учетные записи определяются в Active Directory , когда они настроены в домене, и как локальные учетные записи, когда они настроены на изолированном сервере или рабочей станции. Еще одна встроенная учетная запись, — TSInt e rnetUser — требуется службам терминала.

Предопределенные учетные записи пользователей

Вместе с Windows Server 2003 устанавливаются некоторые записи: Администратор ( Administrator ), Гость ( Guest ), ASPNET и Support . На рядовых серверах предопределенные учетные записи являются локальными для той системы, где они установлены. У предопределенных учетных записей есть аналоги в Active Directory , которые имеют доступ по всему домену и совершенно независимы от локальных учетных записей на отдельных системах.

Учетная запись Администратор ( Administrator )

Эта предопределенная учетная запись обладает полным доступом к файлам, папкам, службам и другим ресурсам; ее нельзя отключить или удалить. В Active Directory она обладает доступом и привилегиями во всем домене. В остальных случаях Администратор ( Administrator ) обычно имеет доступ только к локальной системе. Файлы и папки можно временно закрыть от администратора, но он имеет право в любой момент вернуть себе контроль над любыми ресурсами, сменив разрешения доступа.

Чтобы предотвратить несанкционированный доступ к системе или домену, у административной записи должен быть надежный пароль. Кроме того, стандартное имя этой записи всем известно, поэтому рекомендуется переименовать ее.

Обычно менять основные параметры учетной записи Администратор ( Administrator ) не требуется, однако иногда следует сменить такие дополнительные параметры, как ее членство в некоторых группах. По умолчанию администратор в домене включен в группы Администраторы ( Administrators ), Администраторы домена ( Domain Admins ), Пользователи домена ( Domain Users ), Администраторы предприятия ( Enterprise Admins ), Администраторы схемы ( Schema Admins ) и Владельцы-создатели групповой политики ( Group Policy Creator Owners ).

Учетная запись ASPNET

Учетная запись ASPNET используется в NET Framework и предназначена для запуска рабочих процессов ASP.NET. Она является членом группы Пользователи домена ( Domain Users ) и в этом качестве имеет те же привилегии, что и обычные пользователи в домене.

Учетная запись Гость ( Guest )

Эта учетная запись предназначена для пользователей, которым нужен разовый или редкий доступ к ресурсам компьютера или сети. Гостевая учетная запись обладает весьма ограниченными системными привилегиями, тем не менее применять ее нужно с осторожностью, поскольку она потенциально снижает безопасность. Поэтому запись Гость ( Guest ) при установке Windows Server 2003 изначально отключена.

Учетная запись Гость ( Guest ) по умолчанию является членом групп Гости домена ( Domain Guests ) и Гости ( Guests ). Важно отметить, что все гостевые учетные записи являются членами неявной группы В се ( Everyone ), которая обычно по умолчанию имеет доступ к файлам и папкам и располагает стандартным набором прав пользователя.

Учетная запись Support

Учетная запись Support применяется встроенной службой Справка и поддержка ( Help and Support ). Она является членом групп HelpServicesGroup и Пользователи домена ( Domain Users ) и имеет право входа в качестве пакетного задания. Это позволяет учетной записи Support выполнять пакетные задания, связанные с обновлением системы.

Встроенные и предопределенные группы

Встроенные группы устанавливаются со всеми системами Windows Server 2003. Чтобы предоставить пользователю привилегии и разрешения встроенной группы, достаточно включить его в ее состав.

Например, чтобы дать пользователю административный доступ к системе, его нужно включить в локальную группу Администраторы ( Administrators ). Чтобы дать пользователю административный доступ к домену, его нужно включить в локальную доменную группу Администраторы ( Administrators ) в Active Directory .

Неявные группы и специальные идентификаторы

В Windows NT неявные группы назначались автоматически при входе в систему, на основе того, как пользователь обращался к сетевому ресурсу. Так, если он обращался через интерактивный вход, то автоматически становился участником неявной группы Интерактивные ( Interactive ).

В Windows 2000 и Windows Server 2003 объектный подход к структуре каталога изменил первоначальные правила для неявных групп. Хотя по-прежнему нельзя просмотреть состав неявных системных групп, в них можно включать пользователей, группы и компьютеры.

Состав специальной встроенной группы может настраиваться неявно, например, при входе в систему, или явно — через разрешения доступа. Как и в случае других стандартных групп, доступность неявных групп зависит от конфигурации сети.

Возможности учетных записей

Чтобы назначить пользователю те или иные права, достаточно добавить его в группы, а чтобы лишить — удалить его из соответствующих групп.

В Windows Server 2003 учетной записи можно назначить следующие типы прав.

• Привилегия ( privilege ) позволяет выполнять определенную административную задачу, например отключать систему. Привилегии можно назначать как пользователям, так и группам.

• Права на вход в систему ( logon rights ) определяют возможность входа в систему, например, локально. Права на вход разрешается назначить и пользователям, и группам.

• Встроенные возможности ( built-in capabilities ) предназначены для групп. Они предопределены и неизменны, но их допустимо делегировать пользователям с разрешением управлять объектами, ОП или другими контейнерами. Например, возможность создавать и удалять учетные записи пользователей, а также управлять ими дается администраторам и операторам учета. Иными словами, пользователь, включенный в состав группы Администраторы ( Administrators ), получает право создавать и удалять учетные записи пользователей.

• Разрешения доступа ( access permissions ) определяют, какие действия можно выполнять с сетевыми ресурсами, например, создавать файл в папке. Можно назначать разрешения доступа пользователям, компьютерам и группам.

Нельзя менять встроенные возможности группы, но можно изменить ее стандартные права. Так, администратор может отменить сетевой доступ к компьютеру, удалив право группы па доступ к этому компьютеру из сети.

Стандартные учетные записи групп

Главное свойство стандартных групп — гибкость. Если назначить пользователей в правильные группы, управлять рабочими группами или доменами Windows Server 2003 будет гораздо легче. Однако в таком разнообразии групп понять назначение каждой из них непросто. Рассмотрим подробнее группы, используемые администраторами, и неявные группы.

Администратор обладает широким доступом к сетевым ресурсам. Администраторы могут создавать учетные записи, изменять права пользователя, устанавливать принтеры, управлять общими ресурсами и т. н. Основные группы администраторов: Администраторы ( Administrators ), Администраторы домена ( Domain Admins ) и Администраторы предприятия ( Enterprise Admins ).

Администраторы ( Administrators ) — локальная группа, в зависимости от ее расположения предоставляющая полный административный доступ к отдельному компьютеру или конкретному домену. Чтобы назначить кого-то администратором локального компьютера или домена, достаточно включить его в данную группу. Изменять эту учетную запись вправе только члены группы Администраторы ( Administrators ).

Глобальная группа Администраторы домена ( Domain Admins ) призвана помочь в администрировании всех компьютеров в домене. У этой группы есть административный контроль над всеми компьютерами в домене, поскольку по умолчанию она входит в группу Администраторы ( Administrators ).

Глобальная группа Администраторы предприятия ( Enterprise Admins ) позволяет администрировать все компьютеры в дереве или лесу. Она имеет административный контроль над всеми компьютерами на предприятии, так как по умолчанию включена в группу Администраторы ( Administrators ).

В Windows Server 2003 есть несколько встроенных системных групп, позволяющих назначить разрешения в конкретных ситуациях. Разрешения для таких групп обычно определяются неявно, но можно назначать их самостоятельно, при изменении объектов Active Directory .

• Self — содержит сам объект и позволяет ему изменять себя.

• Анонимный вход ( Anonymous Logon ) — пользователи, обращающиеся к системе через анонимный вход. Применяется для анонимного доступа к таким ресурсам, как Web-страницы на серверах предприятия.

• Все ( Everyone ) — все интерактивные, сетевые, коммутируемые и прошедшие проверку пользователи. Эта группа предоставляет широкий доступ к системным ресурсам.

• Группа-создатель ( Creator Group ) — группа, применяемая для автоматического предоставления разрешений доступа пользователям, которые являются членами той же группы (групп), что и создатель файла или папки.

• Интерактивные ( Interactive ) — пользователи, зарегистрировавшиеся локально. Позволяет разрешить доступ к ресурсу только локальным пользователям.

• Контроллеры домена предприятия ( Enterprise Domain Controllers ) — контроллеры домена с ролями и обязательствами, действующими на всем предприятии. Включение в эту группу позволяет контроллерам выполнять определенные задачи с использованием транзитивного доверия.

• Ограниченные ( Restricted ) — пользователи и компьютеры с ограниченным доступом. На рядовом сервере или рабочей станции в эту группу включается локальный пользователь из группы Пользователи ( Users ).

• Пакетные файлы ( Batch ) — пользователи или процессы, обращающиеся к системе как пакетное задание (или через пакетную очередь).

• Пользователь служб терминалов ( Terminal Server User ) — Пользователи, обращающиеся к системе через службы терминалов. Позволяет пользователям сервера терминалов обращаться к приложениям сервера и выполнять другие задачи.

• Прокси ( Proxy ) — пользователи и компьютеры, обращающиеся к ресурсам через прокси-сервер (применяется, когда в сети есть прокси-серверы ).

• Прошедшие проверку ( Authenticated Users ) — пользователи, обращающиеся к системе через процесс входа. Применяется для организации доступа к общим ресурсам и домене , например к файлам в общей папке, которые должны быть доступны всем сотрудникам организации.

• Сеть ( Network ) — пользователи, обращающиеся к системе через сеть. Позволяет разрешить доступ к ресурсу только удаленным пользователям.

• Система ( System ) — сама ОС Windows Server 2003. Используется, когда ОС нужно выполнить функцию системного уровня.

• Служба ( Service ) — службы, обращающиеся к системе. Предоставляет доступ к процессам, выполняемым службами Windows Server 2003.

• Создатель-владелец ( Creator Owner ) — пользователь, создавший данный файл или папку. Применяется для автоматического предоставления разрешений создателю файла или папки.

• Удаленный доступ ( Dial-Up ) — пользователи, обращающиеся к системе через коммутируемое соединение.