Встроенные глобальные пользователи

В домене Windows существуют две встроенных учетных записи пользователя. Эти учетные записи могут быть переименованы, но не могут быть удалены:

Administrator

Является аналогом локальной учетной записи «Администратор» рабочей станции. По умолчанию включается в глобальную группу «Domain admins». Учетную запись «Administrator» нельзя удалить, отключить или вывести из группы «Domain admins». Данная учетная запись имеет все возможные права в пределах всего домена. Из соображений безопасности следует задавать достаточно сложный пароль для этой учетной записи, и переименовывать ее.

Guest

Учетная запись «Guest» используется теми, кто не имеет персональной учетной записи в домене. Учетная запись «Guest» не требует пароля. Учетная запись гостя по умолчанию отключена.

Учетной записи пользователя «Guest», как и любой другой учетной записи, можно предоставлять права и разрешения на доступ объектам. Учетная запись «Guest» по умолчанию входит во встроенную группу «Domain guests»(гости домена).

Встроенные глобальные группы

В домене Windows существуют несколько встроенных глобальных групп. Членство пользователя в глобальной группе определяет уровень его прав в домене и разрешений на доступ к ресурсам домена. Особым свойством встроенных глобальных групп является то, что они по умолчанию являются членами определенных локальных групп любого компьютера домена. Например, глобальная группа «Domain users» по умолчанию является членом локальной группы «Пользователи» любой рабочей станции. Именно это дает любому пользователю домена (глобальному пользователю), работающему на рабочей станции уровень прав, соответствующий локальной группе «Пользователи» данной рабочей станции. Ниже рассматриваются некоторые встроенные локальные группы и их свойства

Domain admins

Пользователи, входящие в группу «Domain admins», имеют полный доступ на управление доменом. Это единственная встроенная группа, которой автоматически предоставляются все встроенные права и возможности в домене. По умолчанию становится членом локальной группы «Администраторы» любой рабочей станции домена.

Domain users

Членом группы «Domain users» по умолчанию становится любой пользователь домена. Группа «Domain users»по умолчанию становится членом локальной группы «Пользователи» любой рабочей станции домена.

Domain guests

Членом группы «Domain guest» по умолчанию глобальная учетная запись «Guest». Группа «Domain guests»по умолчанию становится членом локальной группы «Гости» любой рабочей станции домена.

1.9.Стратегия администрирования домена с использованием глобальных групп

При использовании модели домена в сети пользователи регистрируются в системе и работают с использованием своих персональных глобальных учетных записей. Это позволяет пользователю выполнять регистрацию на любом компьютере домена. Глобальные учетные записи хранятся и администрируются централизованно на контроллере домена. При этом локальные учетные записи пользователей и групп существуют в локальных базах учетных записей и так же выполняют важную роль в системе безопасности. Обычно именно локальным учетным записям даются разрешения на доступ к ресурсам и права, хотя можно предоставлять права доступа для глобальных учетных записей.

Рис. 2.2. Стратегия администрирования с использованием глобальных групп

Пользователи домена могут (и должны) объединяться администратором в глобальные группы по какому либо общему признаку, например возможности работать за определенным компьютером, или иметь доступ к определенному сетевому принтеру. Самым простым примером такого объединения является объединение всех пользователей домена в глобальную группу «Domain users» по умолчанию. В дальнейшем, при подключении к домену нового компьютера глобальная группа «Domain users» включается в локальную группу «Пользователи» этого нового компьютера, причем автоматически, по умолчанию. Именно это обеспечивает возможность регистрации (входа) на этом компьютере всех пользователей домена (а точнее тех, кто входит в группу «Domain users»). Другим примером использования глобальных групп является объединение всех пользователей, которым необходимо иметь административный доступ компьютерам класса, в глобальную группу «Classadmin» (создается администратором домена), и последующим включением этой глобальной группы в локальную группу «Администраторы» всех рабочих станций класса.

Помимо разграничения уровня доступа к компьютерам домена глобальные группы могут объединять пользователей для организации их совместного доступа ресурсу, например папке на компьютере. В этом случае можно непосредственно дать права на доступ к этой папке глобальной группе, однако более грамотным будет следующий подход. Сначала создается локальная группа, которой дается право доступа к ресурсу, затем в эту локальную группу включается глобальная группа. Это можно представить в виде схемы (рис. 2.2).

В общем, полезно знать следующие простые правила:

1. Глобального пользователя или группу можно включить в локальную группу.

2. Локального пользователя или группу в глобальную группу включить нельзя.

3. Локальная группа не может быть членом другой локальной группы.

4. Глобальная группа не может быть членом другой глобальной группы.

5. Права на доступ к ресурсам могут определяться как для локальных, так и для глобальных пользователей и групп.

1.10.Средства администрирования пользователей и групп. Программа «Управление компьютером»

Программа «Управление компьютером» (Computer management) служит для управления локальным или удаленными компьютерами с помощью одной объединенной служебной программы рабочего стола. Она объединяет несколько средств администрирования Windows в одно дерево консоли, что обеспечивает легкий доступ к конкретным свойствам и средствам администрирования компьютера. Управление компьютером служит для:

§ отображения системных событий, например, времени входа в систему и ошибок приложений;

§ создания и управления общими ресурсами;

§ просмотра списка пользователей, подключенных к локальному или удаленному компьютеру;

§ запуска и остановки системных служб, таких как планировщик заданий или диспетчер очереди;

§ установки параметров запоминающих устройств;

§ просмотра конфигураций устройств и добавления новых драйверов устройств;

§ управления серверными приложениями и службами, такими как служба формирования имен узлов (DNS) или служба протокола динамической настройки узлов (DHCP).

В окне «Управление компьютером» имеется две области, как в проводнике Windows. В дереве консоли (используемой для поиска и выбора средств) содержатся средства администрирования, запоминающие устройства, а также службы и приложения, имеющиеся на локальном или удаленном компьютере. В этом дереве имеются три узла: Служебные программы, Запоминающие устройства и Службы и приложения.

Для выполнения задачи по администрированию выберите соответствующее средство в дереве консоли, а затем с помощью меню и панелей инструментов выполняйте действия в правой области (области результатов), в которой отображаются атрибуты средства, данные или доступные средства низшего уровня. Результатом может являться список содержимого выбранного объекта (например список сеансов пользователей при выборе средства «Сеансы» в разделе «Общие папки» узла «Служебные программы»), а также представление другого типа управления (например содержимое журнала приложений компьютера).

Рис. 2.3. Администрирование локальных учетных записей

Для использования всех средств управления компьютером необходимо быть членом группы администраторов. Права доступа для просмотра или изменения свойств администрирования, а также разрешения для выполнения задач администрирования имеются только у членов группы «Администраторы».

Программу «Управление компьютером» можно запустить нажав правую кнопку мыши на значке «Мой компьютер» и выбрав пункт контекстного меню «Управление», либо через меню «Пуск - Настройка - Панель управления - Администрирование - Управление компьютером».