Meniul
AcasăBios

Configurarea grupurilor locale de securitate. Administrarea utilizatorilor și a grupurilor în rețele Windows

În acest laborator, vă veți familiariza cu mecanismele de securitate Windows bazate pe conceptele de utilizator și grup. Utilizatorii și grupurile de utilizatori sunt obiecte de securitate Windows pentru care le puteți atribui drepturi și permisiuni. Dreapta permite utilizatorului să efectueze anumite acțiuni pe computer, cum ar fi înregistrarea (conectarea), arhivarea fișierelor și folderelor sau închiderea computerului. Permisiune este o regulă asociată cu o resursă (cum ar fi un fișier, un folder sau o imprimantă) care determină ce utilizatori și ce tipuri de acces la un obiect sunt permise. Cont utilizator reprezintă în sistemul de securitate subiectul care lucrează cu sistemul. Cont grupuri poate combina orice număr de conturi de utilizator sau poate rămâne necompletat. Exista localȘi global conturile, primele sunt stocate în baza de date de conturi de computer (stație de lucru), al doilea sunt stocate în baza de date a contului controlerului de domeniu.

    1. Utilizatori și grupuri locale

Utilizatorii și grupurile locale sunt create în baza de date a computerului local.

Cont utilizator local poate fi folosit la înregistrarea (autentificarea) unui utilizator la nivel local. Acest lucru se întâmplă fie dacă computerul nu este membru al unui domeniu, fie când numele stației de lucru este specificat ca domeniu la conectare. Chiar dacă computerul este membru al unui domeniu, conectarea cu un cont de utilizator local poate fi utilă, de exemplu, atunci când un controler de domeniu nu este disponibil sau când configurația de securitate a computerului local este incorectă și împiedică conectarea la domeniu.

Grupuri locale - obiecte din baza de date locală, care poate include utilizatori locali, utilizatori globali și grupuri globale. Calitatea de membru al unui utilizator într-un anumit grup local îi oferă acestuia capacitatea de a efectua anumite sarcini pe computer.

Utilizatori locali încorporați

Există două tipuri de securitate Windows: incorporat conturi de utilizator. Aceste conturi pot fi redenumite, dar nu pot fi șterse.

Cont de administrator

Un cont de utilizator numit „Administrator” este utilizat la instalarea unei stații de lucru sau a unui server membru pentru prima dată. Acest cont vă permite să efectuați acțiunile necesare înainte ca utilizatorul să-și creeze propriul cont. Contul de administrator este membru al grupului de administratori local încorporat pe o stație de lucru sau un server membru.

Contul de administrator nu poate fi șters, dezactivat sau eliminat din grupul Administratori, ceea ce elimină posibilitatea de a pierde accidental accesul la computer după ce toate conturile de administrator sunt distruse. Această proprietate distinge utilizatorul Administrator de alți membri ai grupului local Administratori.

Cont de invitat

Contul de invitat este folosit de cei care nu au un cont real pe computer. Dacă contul unui utilizator este dezactivat (dar nu este șters), acesta poate folosi și contul de invitat. Un cont de invitat nu necesită o parolă. Contul de invitat este dezactivat implicit.

Contului de utilizator Guest, ca orice alt cont, i se pot acorda drepturi și permisiuni pentru a accesa obiecte. Contul de invitat face parte în mod implicit din grupul de invitați încorporat, permițând utilizatorului să se conecteze de la o stație de lucru sau un server membru. Drepturi suplimentare, ca orice permisiuni, pot fi atribuite grupului Oaspeți de către un membru al grupului Administratori.

Echipamentul este amplasat în componentă "Managementul computerelor", care este un set de instrumente de administrare care poate fi folosit pentru a gestiona un computer, local sau la distanță. Echipamente „Utilizatori și grupuri locale” servește la protejarea și gestionarea conturilor de utilizator și de grup situate local pe computer. Puteți atribui permisiuni și drepturi unui cont de utilizator local sau unui grup de pe un anumit computer (și numai acel computer).

Folosind Snap „Utilizatori și grupuri locale” vă permite să limitați acțiunile posibile ale utilizatorilor și grupurilor prin atribuirea de drepturi și permisiuni. Dreptul permite utilizatorului să efectueze anumite acțiuni pe computer, cum ar fi arhivarea fișierelor și folderelor sau închiderea computerului. O permisiune este o regulă asociată cu un obiect (de obicei un fișier, un folder sau o imprimantă) care determină utilizatorilor cărora li se permite accesul la obiect.

Pentru a crea un cont de utilizator local folosind snap-in „Utilizatori și grupuri locale”, trebuie să faceți următoarele:

1. Deschideți snap-in „Utilizatori și grupuri locale”într-unul din următoarele moduri:

o Faceți clic pe butonul "Start" pentru a deschide meniul, deschide "Panou de control" iar din lista de componente ale panoului de control, selectați "Administrare", apoi deschideți componenta "Managementul computerelor". ÎN "Managementul computerelor" deschis „Utilizatori și grupuri locale”;

o Deschide „Consola de administrare MMC”. Pentru a face acest lucru, faceți clic pe butonul "Start", în câmpul de căutare introduceți mmc, apoi faceți clic pe butonul "Introduce". Se va deschide o consolă MMC goală. În meniu "Consolă" alege echipa „Adăugați sau eliminați snap-in” sau utilizați comanda rapidă de la tastatură Ctrl+M. În dialog „Adăugarea și eliminarea componentelor snap-in” selectați echipamentul „Utilizatori și grupuri locale”și faceți clic pe butonul "Adăuga". Apoi faceți clic pe butonul "Gata", iar după aceea - butonul "BINE". În arborele consolei, deschideți nodul „Utilizatori și grupuri locale (locale)”;

o Utilizați combinația de taste +R pentru a deschide dialogul "Alerga". În caseta de dialog "Alerga", în câmp "Deschis" introduce lusrmgr.mscși faceți clic pe butonul "BINE";

2. Deschideți nodul „Utilizatori”și fie în meniu "Acțiune", sau selectați comanda din meniul contextual "Utilizator nou";

3. În caseta de dialog "Utilizator nou" Introduceți informațiile corespunzătoare. În plus față de datele specificate, puteți utiliza următoarele steaguri: Solicitați schimbarea parolei data viitoare când vă conectați, Împiedicați utilizatorul să schimbe parola, Parola nu are o dată de expirare, Dezactivați Account-ulși apăsați butonul "Crea", și apoi "Închide".


Pentru a adăuga un utilizator la un grup, faceți dublu clic pe numele utilizatorului pentru a accesa pagina de proprietăți a utilizatorului. Pe fila "Membru al grupului" faceți clic pe butonul "Adăuga".

În dialog „Selectarea grupului” Puteți selecta un grup pentru un utilizator în două moduri:

1. În câmp „Introduceți numele obiectelor de selectat” introduceți numele grupului și faceți clic pe butonul „Verificați numele”, așa cum se arată în următoarea captură de ecran:

2. În dialog „Selectarea grupului” faceți clic pe butonul „În plus” pentru a deschide caseta de dialog „Selectarea grupului”. În această fereastră, faceți clic pe butonul "Căutare" pentru a afișa o listă cu toate grupurile disponibile, selectați grupul corespunzător și faceți dublu clic pe butonul "BINE".

Înainte de a începe lucrul, porniți mașina virtuală Oracle VM VirtualBox. Pentru a face acest lucru, utilizați fie comanda rapidă a programului Oracle VM VirtualBox pe desktop. După pornirea programului, selectați imaginea dorită a mașinii virtuale și faceți clic pe butonul start. Ca urmare a acestui fapt, va fi lansat procesul de emulare a unui computer personal (Fig. 2).

4.2.1. Scopul și componența snap-in-ului „Utilizatori și grupuri locale”.

Modulul de completare Utilizatori și grupuri locale este instrumentul principal

consola de management MMC, care este utilizată pentru a gestiona

conturi de utilizator și grup local – atât pe computerul local, cât și pe computerul de la distanță. Orice utilizator poate rula snap-in-ul, dar numai administratorii și membrii grupului Power Users pot administra conturile.

Puteți lansa snap-in-ul adăugându-l în mod standard în consolă

control sau introducând comanda „lusrmgr.msc” în fereastra de lansare a programului ( Start> A executa...). Pe ecran va apărea fereastra din figura 3.


Orez. 3. Componenta integrată „Utilizatori și grupuri locale”.

Modulul de completare Utilizatori și grupuri locale vă permite

functii administrative curente:

– crearea și modificarea conturilor de utilizator;

– crearea și schimbarea grupurilor;

– definirea politicilor de cont;

– acordarea de drepturi utilizatorilor;

– stabilirea auditului utilizatorului;

– crearea și schimbarea relațiilor de încredere.

4.2.2. Selectarea utilizatorului

Pentru a selecta o intrare, trebuie doar să faceți clic stânga pe ea

butonul mouse-ului. Dacă trebuie să selectați mai multe conturi (care vă vor permite să faceți modificări simultan la toate înregistrările selectate), trebuie să faceți clic pe primul dintre ele, apoi să apăsați tasta<Ctrl> și, fără a-l elibera, dați clic pe ceilalți unul câte unul

4.3. Crearea conturilor

Când creați un cont, trebuie să introduceți informații generale, cum ar fi numele dvs

utilizator și parola, precum și setați permisiuni și definiți alte restricții de conectare.

4.3.1. Introducerea datelor generale.

Pentru a începe să creați un cont nou, selectați un director Utilizator-

corpuri (Utilizatori), intra in meniu Acțiune(Acțiune) și făcând clic pe articol Utilizator nou(Utilizator nou) apelați caseta de dialog prezentată în Fig. 4. În coloană Utilizator(Nume de utilizator) introduceți numele contului pe care utilizatorul va trebui să îl furnizeze atunci când se înregistrează pe un computer sau domeniu.


Orez. 4. Introducerea numelui de utilizator și a parolei

În coloană Numele complet(Numele complet) indică numele real al proprietarului contului

înregistrări, iar în coloană Descriere(Descriere) – date suplimentare în producție

formă liberă (de exemplu, titlul proprietarului sau locația biroului acestuia). Acum trebuie să atribuiți o parolă, pe care utilizatorul va trebui să o furnizeze împreună cu numele contului atunci când se conectează. Acest lucru se face în două etape. Mai întâi introduceți-l în casetă Parola(Parola), și apoi în coloană Confirmare(Confirmă parola).

Sub câmpurile de text ale casetei de dialog Utilizator nou(Utilizator nou)

Există patru comutatoare care determină proprietățile generale ale contului.

Solicitați schimbarea parolei data viitoare când vă conectați” (Utilizator

Trebuie să schimbați parola la următoarea conectare). Bifați acest buton dacă

doresc ca utilizatorul să-și schimbe parola. Data viitoare când intră

Windows XP vă va cere să atribuiți o nouă parolă.

„Utilizatorul nu poate schimba parola”.

Dacă bifați acest buton, utilizatorul nu se va putea schimba

propria ta parolă.

Parola nu expira niciodata. Bifați acest buton dacă doriți ca parola utilizatorului să nu expire niciodată. Acest lucru nu va interfera nici cu dvs., nici cu utilizatorul; Dacă apare o astfel de nevoie, schimbați parola.

Dezactivați contul” (Cont dezactivat). Bifați acest buton dacă doriți să vă blocați contul. De exemplu, puteți crea un cont șablon care va fi folosit pentru a crea alte conturi și, pentru a preveni folosirea acestuia, dezactivați-l.

Este mai bine să blocați acele conturi care nu vor fi folosite de ceva timp.

Într-unul dintre articolele mele, am scris deja că puteți adăuga și modifica proprietățile conturilor de utilizator prin „Panou de control” - „Conturi de utilizator”. Cu toate acestea, această metodă este mai potrivită pentru utilizatorii obișnuiți. Dar va fi mai convenabil pentru administratorul de sistem să gestioneze conturile prin consola „Computer Management” – „Utilizatori și grupuri locale”.

Pentru a ajunge la consola „Computer Management”, faceți clic dreapta pe pictograma „My Computer” de pe desktop și selectați „Manage”. Apoi, extindeți secțiunea „Utilități” și selectați „Utilizatori și grupuri locale”.

Complementul „” este destinat creării de noi utilizatori și grupuri, gestionarea conturilor, setarea și resetarea parolelor utilizatorilor.
Utilizator local este un cont căruia i se pot acorda anumite permisiuni și drepturi pe computerul dvs. Un cont are întotdeauna propriul nume și parolă (parola poate fi goală). Este posibil să auziți, de asemenea, un alt nume de cont de utilizator – contT , iar în loc de „nume de utilizator” spun adesea log in .

Nodul snap-in Utilizatori și grupuri locale afișează o listă de conturi de utilizator: conturi încorporate (de exemplu, Administrator și Invitat), precum și conturi reale de utilizator PC pe care le-ați creat.
Conturile de utilizator încorporate sunt create automat când Windows este instalat și nu pot fi șterse. Când creați un utilizator nou, va trebui să îi atribuiți un nume și o parolă (opțional) și, de asemenea, să determinați din ce grup va aparține noul utilizator. Fiecare utilizator poate aparține unuia sau mai multor grupuri.

Nodul afișează atât grupurile încorporate, cât și cele create de administrator (adică dvs.). Grupurile încorporate sunt create automat când este instalat Windows.
Apartenența la un grup conferă utilizatorului anumite drepturi de a efectua diverse acțiuni pe computer. Grupați utilizatori Administratorii au drepturi nelimitate. Se recomandă să utilizați accesul administrativ numai pentru a face următoarele:

  • instalarea sistemului de operare și a componentelor acestuia (drivere de dispozitiv, servicii de sistem, pachete de service);
  • actualizarea și restaurarea sistemului de operare;
  • instalarea de programe și aplicații;
  • stabilirea celor mai importanți parametri ai sistemului de operare (politica parolelor, controlul accesului etc.);
  • gestionarea jurnalelor de securitate și audit;
  • arhivare și recuperare de sistem etc.

Dumneavoastră, în calitate de administrator de sistem, trebuie să aveți un cont care este membru al grupului Administratori. Toți ceilalți utilizatori de pe computer trebuie să aibă conturi care sunt membri fie ai grupului de utilizatori, fie ai grupului de utilizatori cu putere.

Adăugarea de utilizatori într-un grup UtilizatorȘi este cea mai sigură deoarece permisiunile acordate acestui grup nu permit utilizatorilor să modifice setările sistemului de operare sau datele altor utilizatori, să instaleze unele software, dar nici să nu permită executarea aplicațiilor vechi. Eu însumi am întâlnit în mod repetat o situație în care vechile programe DOS nu funcționau sub contul unui membru al grupului „Utilizatori”.

grup Utilizatori avansati acceptat în primul rând pentru compatibilitatea cu versiunile anterioare de Windows pentru a rula aplicații necertificate și vechi. Utilizatorii cu putere au mai multe permisiuni decât membrii grupului de utilizatori și mai puține decât administratorii. Permisiunile implicite acordate acestui grup permit membrilor grupului să modifice unele setări ale computerului. Dacă este necesar suport pentru aplicații care nu sunt certificate Windows, utilizatorii trebuie să fie membri ai grupului Power Users.

Cont Oaspete oferă acces la computer oricărui utilizator care nu are un cont. Pentru a crește securitatea computerului, se recomandă dezactivarea contului „Invitat” și configurarea accesului la resursele partajate de computer pentru utilizatorii existenți.

Acum să vedem cum se creează un cont prin consola „Computer Management” – „Utilizatori și grupuri locale”.

Creați un cont

Când instalați versiunea originală de Windows XP (asta nu înseamnă asamblarea din Zver sau altele asemenea) vi se solicită să creați conturi de utilizator de computer. Trebuie să creați cel puțin un cont sub care să vă puteți conecta prima dată când începeți. Dar, de regulă, în viața reală este necesar să se creeze mai multe conturi pentru fiecare utilizator care lucrează pe un computer sau pentru un grup de utilizatori uniți printr-o sarcină comună și permisiuni de acces.

Pentru a adăuga un cont nou, deschideți snap-in-ul „Utilizatori și grupuri locale” – selectați folderul „Utilizatori” – apoi, în fereastra din dreapta, faceți clic dreapta pe un spațiu gol și selectați „Utilizator nou”:
În fereastra care apare, introduceți un nume de utilizator și o descriere. Setați, de asemenea, o parolă pentru utilizator (puteți citi cum să găsiți o parolă puternică pentru contul dvs.).
Apoi configurați parametri suplimentari - bifați sau debifați casetele de lângă elementele necesare: Puteți debifa caseta de lângă „Solicitați o modificare a parolei la următoarea conectare” și puteți bifa casetele de lângă „Preveniți utilizatorul să schimbe parola” și „Parola nu expiră niciodată”. În acest caz, utilizatorul nu își va putea schimba singur parola contului. Acest lucru poate fi făcut numai dacă lucrați sub un cont de administrator.

După ce faceți clic pe butonul „Creați”, un cont nou va apărea în lista de utilizatori. Faceți dublu clic pe el și, în fereastra care se deschide, accesați fila „Afiliație la grup”. Aici, faceți clic pe butonul „Adăugați” – „Avansat” – „Căutare”. Apoi selectați grupul din care doriți să aparțină utilizatorul (recomandăm grupul Utilizatori sau Utilizatori cu putere) și faceți clic pe OK în toate ferestrele care apar. După aceea, aici, în fila „Abonament la grup”, eliminați toate grupurile din listă, cu excepția celui pe care tocmai l-ați selectat. Faceți clic pe „OK”: Astfel, ați creat un cont nou și l-ați inclus în grup.

Acum spuneți utilizatorului (în cazul nostru Ivanov) numele contului său ( iva) și parola pentru a se putea conecta. Pe toate computerele din rețea la ale căror resurse Ivanov are nevoie de acces, va trebui să creați același cont cu parametri similari. Dacă nu există niciun cont pentru Ivanov pe niciun computer din rețea și contul „Invitat” este dezactivat, atunci Ivanov nu va putea vedea resursele de rețea partajate ale acestui computer.

Dacă nu mai este necesar un cont de utilizator, acesta poate fi șters. Dar pentru a evita diverse tipuri de probleme, este recomandat să dezactivați mai întâi conturile de utilizator înainte de a le șterge. Pentru a face acest lucru, faceți clic dreapta pe numele contului - selectați „Proprietăți” - în fereastra proprietăților contului, bifați caseta de lângă „Dezactivați contul” și faceți clic pe „OK”. După ce vă asigurați că acest lucru nu a cauzat probleme (monitorizați rețeaua timp de câteva zile), puteți șterge contul în siguranță: faceți clic dreapta pe numele contului și selectați „Șterge” din meniul contextual. Un cont de utilizator șters și toate datele asociate cu acesta nu pot fi restaurate.

Controlul accesului

Deci, să presupunem că mai mulți utilizatori lucrează pe un computer și ți-ai creat propriul cont pentru fiecare conform regulilor descrise mai sus. Dar brusc a apărut necesitatea blocării accesului la anumite foldere sau fișiere de pe computer pentru anumiți utilizatori. Această problemă este rezolvată prin atribuirea unor drepturi de acces resurselor computerului.

Controlul accesului constă în acordarea utilizatorilor, grupurilor și computerelor anumitor drepturi de acces la obiecte (fișiere, foldere, programe etc.) prin rețea și pe mașina locală.

Controlul accesului utilizatorului calculator localA efectuată prin modificarea parametrilor din fila „ Siguranță” în fereastra „Proprietăți”:

Configurarea securității pentru folderul Documentele mele

Fila „ Acces” din aceeași fereastră este folosit pentru control acces la retea la obiecte partajate (fișiere, foldere și imprimante) de pe computerele din rețea.

În acest articol vom vorbi despre controlul accesului utilizatorii locali la obiecte calculator local. Această funcție este disponibilă numai în sistemul de fișiere NTFS. Dacă computerul are un sistem de fișiere NTFS, dar fila „Securitate” nu este afișată, accesați „Start” - „Panou de control” - „Opțiuni folder”. În fila Vizualizare, sub Opțiuni avansate, debifați „ Utilizați partajarea simplă a fișierelor (recomandat)” și faceți clic pe „OK”: Conceptul principal asociat cu controlul accesului este Permisiuni .

Permisiunile determină tipul de acces pe care un utilizator sau un grup îl are la un obiect sau la proprietățile acestuia. Permisiunile se aplică fișierelor, folderelor, imprimantelor și obiectelor de registry. Pentru a seta sau modifica permisiunile pentru un obiect, faceți clic dreapta pe numele acestuia și selectați „Proprietăți” din meniul contextual. În fila „Securitate”, puteți modifica permisiunile pentru un fișier sau folder bifând sau debifând casetele de lângă elementele dorite din lista de permisiuni.

Puteți seta propriile permisiuni pentru fiecare utilizator. Mai întâi trebuie să selectați un utilizator din listă și apoi să specificați permisiunile pentru acel utilizator. De exemplu, unui utilizator i se poate permite să citească numai conținutul unui anumit fișier (permisiune „ Citind"), altul - pentru a face modificări la fișier (permisiune " Schimbare"), și refuzați tuturor celorlalți utilizatori accesul la acest fișier (debifați toate casetele de sub „ Permite”, sau bifați toate casetele „ Interzice”).

Pentru a vizualiza toate permisiunile efective pentru fișiere și foldere de pe computerul local, selectați „Proprietăți” – „Securitate” – „Avansat” – „Permisiuni efective” – „Selectare” – „Avansat” – „Căutare”, evidențiați numele celui dorit. utilizator și faceți clic pe „OK” " Elementele marcate cu casete de selectare sunt permisiuni pentru acest utilizator:
În aceeași fereastră vă puteți familiariza cu filele „Permisiuni”, „Audit”, „Proprietar”. Nu mă voi opri asupra lor în detaliu în cadrul acestui articol, deoarece... Deja se dovedește prea voluminos.

Dacă lista de utilizatori din fila Securitate nu include utilizatorul căruia trebuie să îi atribui permisiuni, faceți clic pe următoarele butoane în secvență din fila Securitate: „ Adăuga” – “În plus” – “Căutare" Din listă, selectați numele contului de utilizator căruia doriți să îi atribuiți permisiuni și faceți clic pe „OK”. În loc de un utilizator individual, puteți selecta un grup - permisiunile se vor aplica tuturor utilizatorilor din acest grup. Amintiți-vă bine aceste butoane. Veți face această procedură în toate cazurile când trebuie să adăugați un nou utilizator la lista de permisiuni, auditare, proprietate, acces la rețea etc.

Controlul accesului nu se aplică doar utilizatorilor calculator local, dar și pentru accesarea fișierelor, folderelor și imprimantelor partajate prin rețea. Am vorbit deja despre diferențierea drepturilor de acces pentru utilizatorii de rețea în raport cu un folder în articol.

Acesta este un instrument conceput pentru a gestiona utilizatorii și grupurile locale. Un utilizator sau un grup local este un cont căruia i se pot acorda permisiuni și drepturi pe computer.

Modulul de completare Utilizatori și grupuri locale este un instrument de securitate important, deoarece vă permite să limitați ceea ce pot face utilizatorii și grupurile, alocandu-le drepturi și permisiuni. Un cont de utilizator poate aparține mai multor grupuri.

Puteți accesa acest snap-in tastând lusrmgr.msc. În partea stângă a ferestrei care se deschide puteți vedea două foldere - Utilizatori și Grupuri.

Dosarul Utilizatori afișează cele două conturi de utilizator încorporate, Administrator și Guest, care sunt create automat când instalați Windows XP, precum și orice conturi de utilizator care au fost create.

Cont Administrator utilizat la instalarea sistemului de operare pentru prima dată. Acest cont vă permite să efectuați acțiunile necesare înainte ca utilizatorul să-și creeze propriul cont. Contul de administrator nu poate fi șters, dezactivat sau eliminat din grupul de administratori local, împiedicându-vă să pierdeți accidental accesul la computer după ce toate conturile de administrator sunt șterse. Această proprietate distinge contul de administrator de alți membri ai grupului local de administratori.

Cont Oaspete folosit de cei care nu au un cont real pe computer. Dacă contul unui utilizator este dezactivat (dar nu este șters), acesta poate folosi și contul de invitat. Un cont de invitat nu necesită o parolă. Este dezactivat implicit, dar poate fi activat.

Pentru a adăuga un nou cont de utilizator, faceți clic dreapta pe folderul Utilizatori și selectați Utilizator nou... din meniul derulant. În fereastra care se deschide, introduceți informațiile pentru a crea un cont nou. Pentru a șterge un cont de utilizator, faceți clic dreapta pe numele contului în fereastra din dreapta a programului și selectați Ștergere din meniul derulant.

De asemenea, puteți atribui calea către profil și scriptul de conectare pentru un anumit cont (consultați ajutorul pentru mai multe detalii).

Dosarul Grupuri afișează toate grupurile încorporate și grupurile create de utilizator. Grupurile încorporate sunt create automat când instalați Windows XP. Apartenența la un grup oferă unui utilizator drepturile și abilitățile de a efectua diverse sarcini pe computer. Următoarele descriu proprietățile unor grupuri încorporate:


Administratorii

Apartenența la acest grup oferă în mod implicit cel mai larg set de permisiuni și posibilitatea de a vă schimba propriile permisiuni. Administratorii au drepturi de acces complete, nerestricționate la un computer sau domeniu. Lucrul ca administrator în Windows XP face sistemul vulnerabil la caii troieni și la alte amenințări de securitate. Simpla vizitare a unui site web poate provoca daune grave sistemului dumneavoastră. Un site web necunoscut poate conține un cal troian care va fi descărcat în sistem și executat. Dacă sunteți autentificat cu drepturi de administrator în acest moment, un astfel de program poate reformata hard disk-ul, șterge toate fișierele, poate crea un nou cont de utilizator cu acces administrativ etc.

  • instalarea sistemului de operare și a componentelor acestuia (de exemplu, drivere de dispozitiv, servicii de sistem și așa mai departe);
  • instalarea pachetelor de service;
  • actualizări ale sistemului de operare;
  • recuperarea sistemului de operare;
  • setări ale celor mai importanți parametri ai sistemului de operare (politica parolei, controlul accesului, politica de audit, setările driverului în modul kernel și așa mai departe);
  • intrarea în posesia unor dosare care au devenit inaccesibile;
  • gestionarea jurnalelor de securitate și audit;
  • arhivare și recuperare a sistemului.

În practică, conturile de administrator trebuie adesea folosite pentru a instala și rula programe scrise pentru versiunile anterioare de Windows.


Utilizatori avansati

Acest grup este menținut în primul rând pentru compatibilitatea anterioară pentru rularea aplicațiilor necertificate. Permisiunile implicite acordate acestui grup permit membrilor grupului să modifice setările computerului. Dacă este necesar suport pentru aplicații necertificate, utilizatorii finali trebuie să fie membri ai grupului Power Users.

Membrii grupului Power Users au mai multe permisiuni decât membrii grupului Users și mai puține decât membrii grupului Administrators. Utilizatorii cu putere pot efectua orice sarcină cu sistemul de operare, cu excepția sarcinilor rezervate grupului Administratori.

Utilizatorii avansați pot:

  • Rulați aplicații certificate pentru Windows 2000 și Windows XP Professional, precum și aplicații vechi;
  • instalați programe care nu modifică fișierele sistemului de operare și serviciile de sistem;
  • configurați resursele la nivel de sistem, inclusiv imprimantele, data și ora, setările de alimentare și alte resurse ale panoului de control;
  • creați și gestionați conturi locale de utilizator și grup;
  • opriți și porniți serviciile de sistem care nu rulează implicit.

Utilizatorii cu putere nu se pot adăuga la grupul Administratori. Ei nu pot accesa datele altor utilizatori pe un volum NTFS decât dacă li se acordă permisiunile acelor utilizatori. Deoarece utilizatorii cu putere pot instala și schimba programe, utilizarea unui cont de utilizator cu putere în timp ce sunteți conectat la Internet vă poate lăsa sistemul vulnerabil la caii troieni și la alte amenințări de securitate.


Utilizatori

Membrii acestui grup nu pot partaja directoare sau nu pot crea imprimante locale. Grupul Utilizatori oferă cel mai sigur mediu pentru rularea programelor. Pe un volum cu un sistem de fișiere NTFS, setările de securitate implicite ale unui sistem nou instalat (neactualizat) sunt concepute pentru a împiedica membrii acestui grup să compromită integritatea sistemului de operare și a programelor instalate. Utilizatorii nu pot modifica setările de registry la nivel de sistem, fișierele sistemului de operare sau programele. Utilizatorii pot închide stațiile de lucru, dar nu și serverele. Utilizatorii pot crea grupuri locale, dar le pot gestiona numai pe cele pe care le creează. Utilizatorii au acces deplin la fișierele lor de date și la porțiunea lor din registru (HKEY_CURRENT_USER). Cu toate acestea, permisiunile la nivel de utilizator îl împiedică adesea pe utilizator să ruleze aplicații vechi. Membrii grupului de utilizatori au garanția că vor rula numai aplicații certificate pentru Windows.


Operatori de arhivă

Membrii acestui grup pot face copii de rezervă și restaura fișiere de pe computer, indiferent de permisiunile care protejează fișierele respective. De asemenea, se pot conecta și închide computerul, dar nu pot modifica setările de securitate. Arhivarea și restaurarea fișierelor de date și a fișierelor de sistem necesită permisiuni de citire și scriere. Permisiunile implicite pentru operatorii de arhivă, care le permit să arhiveze și să restaureze fișiere, le permit să utilizeze permisiunile de grup în alte scopuri, cum ar fi citirea fișierelor altor utilizatori și instalarea de programe troiene.


Vizitatori

Membrii acestui grup au aceleași drepturi ca și utilizatorii în mod implicit, cu excepția contului de invitat, care are drepturi și mai limitate.


Operatori de configurare a rețelei

Membrii acestui grup pot avea unele drepturi administrative pentru a controla configurarea setărilor de rețea.


Utilizatori de desktop la distanță

Membrii acestui grup au permisiunea de a se conecta de la distanță.

Pentru a adăuga un cont de utilizator la un anumit grup, faceți clic dreapta pe numele grupului și selectați Adăugare la grup din meniul derulant. Pentru ajutor mai detaliat cu privire la efectuarea acestor și alte sarcini legate de conturile de utilizator și de grup și pentru o descriere mai completă a conturilor de utilizator și de grup, consultați ajutorul pentru Utilizatori și grupuri locale.