Текст книги "Самоучитель системного администратора"
Автор книги: Александр Кенин
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 14 (всего у книги 39 страниц) [доступный отрывок для чтения: 14 страниц]
разрешения безопасности.
146
Глава 4
ПРИМЕЧАНИЕ
Обратите внимание, что квоты использования дискового пространства рассчитывают-
ся согласно владельцам объектов, поэтому после того как для получения разрешения
безопасности администратор стал владельцем некоей папки, объем этой папки пере-
шел из квоты пользователя в квоту администратора.
Обход перекрестной проверки
Если пользователю запрещен доступ к текущей папке, но разрешен к вложенной, то
он сможет, например, открыть файл из последней, указав явным образом полный
путь к нему. Эту особенность принято называть обходом перекрестной проверки.
Настройкой параметров безопасности можно запретить данную возможность.
Однако такое решение должно применяться только в особых, специально аргумен-
тированных случаях, поскольку оно повлечет сбои в работе многих программ (на-
пример, невозможность работы в Outlook Web Access).
Администратору следует учитывать данный вариант предоставления прав доступа
и правильно настраивать соответствующие параметры.
Изменение атрибутов объектов
при операциях копирования и перемещения
При операциях копирования/перемещения файлов могут меняться их атрибуты.
Неточное понимание вариантов изменения разрешений может привести к незапла-
нированному результату. Так, если при копировании файла он перестанет1 быть
зашифрованным, а вы по-прежнему считаете информацию, содержащуюся в нем,
защищенной, то такой факт может привести к неприятным последствиям.
ПРИМЕЧАНИЕ
Описываемые далее правила изменения атрибутов имеют смысл только при файло-
вых операциях на дисках с системой NTFS. Если файл копируется/перемещается
на диск с файловой системой FAT32 (FAT), то он теряет атрибуты шифрования, сжа-
тия и т. п. Иными словами, после копирования шифрованного файла на дискету он
не будет оставаться зашифрованным. Следует учитывать это и при копировании фай-
лов на сетевые ресурсы, поскольку они могут размещаться на дисках с файловыми
системами FAT.
Что необходимо учитывать при выполнении файловых операций? По умолчанию
вновь создаваемые объекты наследуют те разрешения, которые присвоены их ро-
дителям. Так, файл будет иметь те же параметры безопасности, что и папка, в кото-
рой он создается. Иными словами, если вы создаете новый файл в папке, которой
присвоен атрибут "зашифрованный", то этот файл также будет зашифрованным.
Или если вы создаете файл в папке, к которой нет доступа пользователю Иванов , то
и к файлу этот пользователь доступа не получит.
При операциях копирования файл создается заново. Поэтому по новому месту он
всегда будет иметь атрибуты той папки, в которую скопирован. В результате если
1 Такое поведение было свойственно Windows XP, в последующих версиях система выдает предупре-
ждение, что файл после копирования или перемещения будет уже незашифрованным.
Информационные системы предприятия
147
вы скопируете зашифрованный файл в незашифрованную папку, то файл в этой
папке после завершения операции окажется незашифрованным. Если вы копируете
обычный файл в папку с атрибутом "сжатый", то новый файл будет подвергнут ди-
намическому сжатию.
Операции перемещения имеют некоторые особенности. Если файл перемещается
с одного диска на другой, то операция фактически будет состоять из двух этапов:
копирования файла, а потом его удаления с прежнего места расположения. Поэто-
му атрибуты файлу будут присвоены по правилам операции копирования. Файл
будет иметь атрибут той папки, в которую он помещен.
Если файл перемещается в пределах одного диска, то операционная система не вы-
полняет операцию копирования. Файл остается на прежнем месте, только в таблице
размещения файлов для него меняется соответствующий указатель. Иными слова-
ми, все атрибуты файла остаются неизменными. Таким образом при перемещении
незашифрованного файла в зашифрованную папку на том же диске информация в
файле останется незашифрованной.
Результирующие права и утилиты
Как правило, в организации существует достаточно сложная структура групп поль-
зователей с отличающимися правами доступа к информации. При этом часть прав
наследуется от родительских групп, некоторые права прописываются за пользова-
телями или группами явно. А для доступа по сети к совместно используемым ре-
сурсам необходимо интегрировать как права доступа, заданные для файловой сис-
темы, так и права доступа совместного использования.
Поскольку обычно пользователь одновременно входит в несколько групп, то опре-
делить, получит ли он в итоге право доступа к данному объекту, часто бывает
очень сложно. Поэтому в системе введена возможность отображения результи-
рующего права пользователя.
Для того чтобы узнать, какие права пользователь (группа) будет иметь по отноше-
нию к некоторому объекту, достаточно открыть свойства объекта, на вкладке Безо-
пасность нажать кнопку Дополнительно и выбрать вкладку Действующие раз-
решения. После чего необходимо выбрать пользователя, для которого будут опре-
деляться действующие права, и посмотреть итоговый результат (рис. 4.10).
ПРИМЕЧАНИЕ
Средствами групповой политики администратор имеет возможность отключения про-
смотра результирующих прав.
Рекомендации по применению разрешений
Общая рекомендация при назначении прав доступа состоит в преимущественном
использовании групп по сравнению с назначением прав для отдельных пользовате-
лей. Такой подход упрощает администрирование, позволяет гораздо быстрее, про-
ще и понятнее устанавливать разрешения.
148
Глава 4
Рис. 4.10. Отображение действующих прав доступа к файлу
для выбранного пользователя
Например, для локального компьютера можно создать несколько локальных групп,
объединить в них как пользователей данной системы, так и доменные учетные
записи, после чего уже с использованием данных групп назначать разрешения на
доступ к тем или иным объектам.
В общем случае рекомендуется придерживаться следующего порядка назначения
разрешений. Необходимые учетные записи следует добавить в глобальные группы
домена, глобальные группы домена включить в локальные группы домена и уже
для этих локальных групп назначать желаемые разрешения.
Создание и удаление учетных записей
После установки операционной системы вы начинаете работу с правами учетной
записи Администратор (Administrator – для интернациональных версий ОС).
Пользователь Администратор обладает максимальными правами в данной операци-
онной системе; используя права администратора можно создавать, модифициро-
вать, удалять другие учетные записи, выполнять любые операции по настройке
системы и т. п.
ПРИМЕЧАНИЕ
Обратите внимание, что после использования мастера установки Windows XP в режи-
ме отображения страницы приветствий во время входа в систему название учетной
записи администратора не показано на экране. Однако эта учетная запись может быть
Информационные системы предприятия
149
применена для работы с системой, причем обычно администраторы забывают о необ-
ходимости установки для нее пароля, что позволяет легко локально зайти в систему
с правами администратора, предъявив "пустой" пароль.
Целесообразно назначить этой учетной записи длинный и сложный пароль, со-
стоящий из цифр и символов только английского алфавита. Это упростит возмож-
ные операции по восстановлению операционной системы. Кроме того, в целях
безопасности рекомендуется переименовать учетные записи администраторов (сде-
лать это в домене можно централизованно, используя групповую политику) и за-
претить для анонимных пользователей просмотр базы идентификаторов безопасно-
сти.
Для управления учетными записями используются специальные оснастки
(рис. 4.11): управления компьютером в локальном случае и оснастка управления
AD Пользователи и компьютеры при создании доменных пользователей.
Рис. 4.11. Добавление нового пользователя локальной системы
При создании новых пользователей домена рекомендуется устанавливать для них
требование смены пароля при первом входе в сеть.
Управлять учетной записью можно из командной строки. Так, добавить пользова-
теля можно командой NET USER < имя> < пароль> /ADD, а удалить – NET USER < имя>
/DELETE.
ПРИМЕЧАНИЕ
В домене Windows учетные записи создаются и для компьютеров с операционными
системами Windows 200 x/Windows XP. Эти учетные записи можно использовать для
контроля доступа к сетевым ресурсам.
Если в организации используются дополнительные параметры учетной записи (на-
звание отдела, адрес и т. п.), то более удобно при создании нового пользователя
перенести в его учетную запись максимум настроек, которые имеют аналогичные
пользователи. Для этих целей можно воспользоваться операцией копирования
150
Глава 4
учетной записи. При копировании программа создает новую учетную запись, в на-
стройки которой будут перенесены те параметры, которые не являются личными
характеристиками. Например, новая учетная запись будет уже включена в те груп-
пы, в которые входила исходная учетная запись, но такой параметр, как номер те-
лефона (который также может являться одной из характеристик пользователя) ско-
пирован не будет.
Дополнительные параметры учетной записи
Каждая учетная запись имеет существенное количество дополнительных парамет-
ров, значения которых могут быть использованы в работе организации. Это дает
администратору возможность объединять пользователей в группы, учитывая со-
держимое того или иного поля. Например, можно создать группу, объединяющую
пользователей, находящихся в определенном офисе, и присвоить ей почтовый
адрес.
Поля учетной записи могут заполняться с помощью окна свойств, вызываемого из
оснастки управления службой каталогов (или управления компьютером – при
правке локальных пользователей). Эти свойства можно запрашивать и устанавли-
вать с помощью достаточно простых сценариев, однако более удобно выполнять
соответствующие операции поиска и изменения данных на основе протокола LDAP
(см. разд. «LDAP-управление» ранее в данной главе), при этом администратору дос-
тупны практически любые критерии поиска необходимых записей.
Права учетной записи
Кроме разрешений доступа к файлам, пользователь может быть ограничен в вы-
полнении ряда операций. Например, проверяется наличие у пользователя разреше-
ния на локальный вход в систему и на завершение работы компьютера, на установ-
ку нового оборудования и на удаление учетной записи, право на доступ к компью-
теру по сети или право на отладку программ и т. д. Причем основная масса прав
после установки системы даже не задействована: администратор может использо-
вать имеющиеся параметры при последующей точной настройке системы.
Права пользователей в системе назначаются через оснастку Локальная политика
безопасности, расположенную в группе административных задач (рис. 4.12). В слу-
чае работы в составе домена администраторы регулируют права пользователей
с помощью соответствующих групповых политик. Использование этих инструмен-
тов достаточно очевидно, и мы не будем подробно описывать такие операции.
Восстановление параметров безопасности по умолчанию
В случае смены администраторов новому специалисту обычно не известны, напри-
мер, те изменения прав доступа, которые выполнил прежний сотрудник.
В некоторых случаях некорректное назначение прав может повлиять на стабиль-
ность работы системы.
В Windows существуют специальные средства, которые позволяют вернуть пара-
метры безопасности к тем значениям, которые определены для вновь устанавли-
Информационные системы предприятия
151
Рис. 4.12. Окно настройки прав пользователя в системе
ваемой операционной системы. С этой целью используется оснастка Анализ и на-
стройка безопасности. По умолчанию эта оснастка не включена в меню. Чтобы на-
чать работу с ней, следует открыть консоль управления (команда mmc) и выполнить
операцию добавления оснастки. В окне Добавить изолированную оснастку сле-
дует отметить строку Анализ и настройка безопасности и закрыть все последую-
щие окна, нажимая на кнопки подтверждения операции.
В операционной системе хранятся шаблоны безопасности (шаблоны по умолчанию
размещены в папке %windir%SecurityTemplates), разработанные поставщиком, для
нескольких типовых конфигураций компьютера. Это шаблон настроек безопасно-
сти, соответствующий установке системы, шаблоны безопасности для компьютеров
(отдельно для рабочих станций, серверов и контроллеров домена), соответствую-
щие различным уровням защищенности: совместимого с программным обеспече-
нием предыдущих версий и т. д.
Программа позволяет сравнить значения, определенные в этих шаблонах, с факти-
ческими параметрами настройки системы. Полученные результаты сохраняются
в виде базы данных, которая может быть проанализирована пользователем: все от-
личия настроек специально выделены в отчете программы.
Строго говоря, можно проанализировать следующие параметры:
Политики учетных записей: политика паролей, политика блокировки учетных
записей и политика Kerberos;
Локальные политики: политика аудита, назначение прав пользователя и пара-
метры безопасности;
152
Глава 4
Журнал событий: параметры журналов приложений, системы и событий безо-
пасности;
Группы с ограниченным доступом: членство в чувствительных к безопасности
группах пользователей;
Системные службы: запуск системных служб и разрешения для них;
Реестр: разрешения для разделов реестра;
Файловая система: разрешения для папок и файлов.
Если администратор сочтет необходимым, то он может с помощью данной оснаст-
ки применить один из шаблонов безопасности – применение шаблона фактически
означает установку соответствующих параметров системы (разрешений, прав) в те
значения, которые определены в данном шаблоне.
Для анализа или применения настроек необходимо выполнить следующие дей-
ствия:
1. Создать пустую базу данных.
2. Загрузить в нее желаемый шаблон.
3. Провести анализ и/или настройку системы.
Для применения шаблона следует выполнить команду Настроить компьютер.
В завершение желательно проанализировать результаты операции.
ПРИМЕЧАНИЕ
Обратите внимание на шаблон compatws.inf, который позволяет перейти в режим со-
вместимости с предыдущей версией ОС. В этом режиме учетным записям пользова-
телей даются дополнительные права на доступ к ресурсам системы. В результате по-
является возможность запуска программ, не в полной мере совместимых с последни-
ми версиями операционной системы. Эта операция в новых ОС разрешена только
администраторам, но после применения данного шаблона необходимые разрешения
будут предоставлены.
Автоматически создаваемые учетные записи
При установке операционной системы автоматически создается несколько учетных
записей пользователей. Ранее мы упоминали учетную запись Администратор. Эта
учетная запись особая. Ранее ее нельзя1 было даже удалить или исключить из груп-
пы администраторов. Сделано это было из соображений безопасности, чтобы
пользователь случайно не удалил всех администраторов и система не стала не-
управляемой.
В Windows 7 учетная запись Администратор как бы разделилась на две: одна учет-
ная запись соответствует той, с которой вы входите в систему, другая – учетная
запись, которая используется, если вызывается команда Запустить от имени ад-
1 В версиях, более ранних чем Windows XP. В новых версиях Windows упомянутые операции допус-
тимы.
Информационные системы предприятия
153
министратора. С этим связаны некоторые ошибки, когда пользователи не могут
понять, почему не выполняется сценарий, исполняемый от имени Администратор.
А потому, что фактически учетных записей две и права у них отличаются.
Другая автоматически создаваемая учетная запись – это Гость (Guest). Она не
имеет пароля и предназначена для обеспечения возможности работы с данным
компьютером пользователя, у которого в системе нет учетной записи. К примеру,
вы приезжаете со своим ноутбуком в другую организацию и хотите распечатать
документ. Если в той организации принтер предоставлен в совместное использова-
ние и действует учетная запись Гость, то вы можете подключиться к принтеру и
выполнить печать, в противном случае вам должны сообщить имя входа и пароль,
которые можно использовать для подключения к серверу печати.
Учетная запись Гость по соображениям безопасности заблокирована. Однако если
ваша сеть полностью автономна и объединяет немного компьютеров, то для облег-
чения использования сетевых ресурсов вы можете ее разблокировать.
Так делает, например, мастер конфигурирования домашней сети: если вы опреде-
лили, что компьютер используется в рамках домашней сети, то мастер разрешает
использование учетной записи Гость. В этом случае, если вы разрешите совместное
использование ресурсов компьютера, то к ним будет возможно подключение лю-
бых пользователей, независимо от того, существуют ли для них учетные записи на
вашем компьютере или нет.
Учетная запись HelpAssisstant применяется в случаях обращения к удаленному по-
мощнику. Удаленный пользователь подключается к компьютеру с правами, пре-
доставленными данной учетной записи.
Учетная запись SUPPORT_номер используется службами технической поддержки
Microsoft. Обычно рекомендуют просто удалить эту учетную запись.
Если на компьютере устанавливается информационный сервер Интернета (Internet
Information Server, IIS), то создаются две учетных записи. Это IUSR_имя_
компьютера и IWAM_имя_компьютера. Учетная запись IUSR_ имя_компьютера
применяется при предоставлении Web-ресурсов анонимному пользователю. Иными
словами, если информационный сервер Интернета не использует аутентификацию
пользователя (предоставляет ресурсы анонимно), то в системе такой пользователь
регистрируется под именем IUSR_ имя_компьютера. Вы можете, например, запре-
тить анонимный доступ к каким-либо ресурсам информационного сервера, если
исключите чтение таких файлов данным пользователем. Пароль пользователя
IUSR_ имя_компьютера создается автоматически и синхронизируется между опе-
рационной системой и информационным сервером.
Пароли учетных записей IUSR_ имя_компьютера и IWAM_ имя_компьютера легко
можно узнать при помощи сценария, имеющегося на компьютере. Найдите файл
Adsutil.vbs (обычно он расположен в папке административных сценариев IIS, на-
пример, InetPubAdminScripts), замените в текстовом редакторе строку сценария
(иначе сценарий покажет пароль в виде звездочек)
IsSecureProperty = True
154
Глава 4
на
IsSecureProperty = False
и выполните:
cscript.exe adsutil.vbs get w3svc/anonymoususerpass
для отображения пароля IUSR-пользователя или
cscript.exe adsutil.vbs get w3svc/wamuserpass
для показа пароля IWAM-пользователя.
Учетная запись IWAM_ имя_компьютера используется для запуска процессов ин-
формационного сервера (например, для обработки сценариев на страницах с актив-
ным содержанием). Если вы случайно удалите какую-либо из этих записей и вновь
создадите одноименную, то, скорее всего, столкнетесь с неработоспособностью
информационного сервера. Конечно, можно обратиться к справочной базе разра-
ботчика, правильно настроить службы компонентов на использование новой учет-
ной записи, синхронизовать с помощью специальных сценариев пароли учетных
записей и т. п. Но гораздо эффективнее в этой ситуации будет просто удалить
службу информационного сервера и вновь добавить этот компонент, предоставив
программе установки выполнить все эти операции.
Кроме перечисленных учетных записей новые пользователи системы часто созда-
ются прикладными программами в процессе их установки. Обычно создаваемые
таким образом учетные записи имеют необходимое описание в своих свойствах.
Учетная запись Система
При необходимости можно настроить службы для старта от имени любого пользо-
вателя. Однако в этом случае вам необходимо установить соответствующей учет-
ной записи постоянный пароль и предоставить ей достаточно большие права по
отношению к локальному компьютеру. Из такого сочетания требований очевидно
вытекает настоятельная рекомендация: не использовать учетные записи пользова-
телей для запуска служб по соображениям безопасности.
Учетная запись Система (Local System) предназначена для запуска служб компью-
тера. Она обладает полными правами по отношению к локальному компьютеру и
фактически является частью операционной системы. Ее права существенно выше,
чем права любой учетной записи пользователя. Для учетной записи Система вы-
полняется обход проверок безопасности, поэтому для нее не существует пароля,
который можно было бы дешифровать или взломать. Учетная запись Система не
может быть использована для доступа к сетевым ресурсам.
Использования учетной записи Система для запуска служб компьютера без особых
на то причин следует избегать, поскольку данное решение понижает уровень безо-
пасности. Например, если пользователю удастся подменить запускаемый файл
службы на пакетный файл и затем прервать выполнение этого пакетного файла на-
жатием комбинации клавиш
этом командном окне задач с приоритетом Системы. Поэтому для использования
Информационные системы предприятия
155
при запуске служб введены еще две учетных записи. Это Local Service и Network
Service. Так же, как и учетная запись Система, эти учетные записи являются частью
самой операционной системы и не имеют паролей. При этом они обладают гораздо
меньшими правами, чем учетная запись Система. Но большими правами, чем поль-
зователь. Обе учетные записи по умолчанию имеют права пользователя и аутенти-
фицированного пользователя и привилегии SE_AUDIT_NAME, SE_CHANGE_
NOTIFY_NAME, SE_UNDOCK_NAME. Если учетная запись Local Service ис-
пользуется также только при запуске локальных программ, то Network Service мо-
жет осуществлять доступ к сетевым ресурсам. При этом данная учетная запись ау-
тентифицируется в удаленной системе как учетная запись соответствующего ком-
пьютера.
ПРИМЕЧАНИЕ
Следует быть внимательным при назначении прав доступа к локальным ресурсам
компьютера. Автор неоднократно сталкивался с ситуацией, когда недостаточно опыт-
ные пользователи, желая ограничить доступ к ресурсам своего компьютера, рабо-
тающего в составе сети, запрещали доступ к файлам на диске всем, кроме самого се-
бя. Исключив специальных пользователей, они сделали невозможным запуск многих
служб, необходимых для работы операционной системы.
Встроенные группы
При установке операционной системы на компьютере автоматически создается не-
сколько групп. Для большинства случаев персонального использования этих групп
достаточно для безопасной работы и управления системой.
Администраторы (Administrators).
Члены этой группы имеют все права на управление компьютером. После уста-
новки в системе присутствуют только пользователи-члены этой группы
(в Windows XP в ходе установки можно создать несколько администраторов
системы, в предыдущих версиях создается только одна запись).
Пользователи (Users).
Это основная группа, в которую надо включать обычных пользователей систе-
мы. Членам этой группы запрещено выполнять операции, которые могут повли-
ять на стабильность и безопасность работы компьютера.
Опытные пользователи (Power Users).
Эти пользователи могут не только выполнять приложения, но и изменять неко-
торые параметры системы. Например, создавать учетные записи пользователей,
редактировать и удалять учетные записи (но только те, которые были ими соз-
даны), предоставлять в совместный доступ ресурсы компьютера (и управлять
созданными ими ресурсами). Но опытные пользователи не смогут добавить себя
в число администраторов системы, не получат доступ к данным других пользо-
вателей (при наличии соответствующих ограничений в свойствах файловой сис-
темы NTFS, у опытных пользователей отсутствует право становиться владель-
цем объекта), кроме того, они не смогут выполнять операции резервного копи-
156
Глава 4
рования, управлять принтерами, журналами безопасности и протоколами аудита
системы.
Операторы резервного копирования (Backup Operators).
В эту группу следует включить ту учетную запись, от имени которой будет осу-
ществляться резервное копирование данных компьютера. Основное отличие
этой группы в том, что ее члены могут "обходить" запреты доступа к файлам и
папкам при операции резервного копирования данных. Независимо от установ-
ленных прав доступа в резервную копию данных будут включены все отмечен-
ные в операции файлы, даже если у оператора резервного копирования нет права
чтения такого файла.
ПРИМЕЧАНИЕ
Учетная запись с правами оператора резервного копирования является достаточно
серьезной брешью в системе безопасности организации. Как правило, особое внима-
ние "безопасников" уделяется пользователям, имеющим административные права.
Да, они могут стать владельцами любой информации, доступ к которой для них явно
запрещен. Но при этом такие действия протоколируются и контролируются службой
безопасности предприятия. Пользователь, на которого возложена рутинная вроде бы
обязанность резервного копирования, легко может выполнить резервную копию всех
данных и восстановить секретную информацию из этой копии на другой компьютер,
после чего говорить о наличии установленных прав доступа к файлам и папкам уже
бессмысленно. Но есть и более простые способы копирования информации, право
доступа к которой запрещено на уровне файловой системы. В Windows имеется ути-
лита для массового копирования файлов – robocopy.exe. Эта программа может вы-
полнять копирование данных в режиме использования права резервного копирования
(естественно, что она должна быть запущена пользователем, состоящим в группе
операторов резервного копирования). В результате в новую папку будут скопированы
все файлы, причем пользователю даже не нужно становиться владельцем файлов —
все запреты будут уже сняты.
ПРИМЕЧАНИЕ
Программа Robocopy предназначена для того, чтобы скопировать структуру файлов
из одной папки в другую. Если на файлы наложены ограничения доступа, то выпол-
нять такую операцию штатными средствами (через резервное копирование и восста-
новление данных) не всегда удобно. Robocopy позволяет переместить данные, сохра-
нив всю структуру прав. Возможность "снятия" ограничений, описываемая в настоя-
щем разделе, просто является одной из функций данной утилиты.
Гости (Guests).
Эта группа объединяет пользователей, для которых действуют специальные
права для доступа "чужих" пользователей. По умолчанию в нее включена только
одна заблокированная учетная запись Гость.
HeplSevicesGroup.
Группа предоставляет типовой набор прав, необходимый специалистам службы
техподдержки. Не следует включать в нее других членов, кроме учетной записи,
созданной по умолчанию.
Remote Desktop Users.
Ее члены могут осуществлять удаленное подключение к рабочему столу компь-
ютера. Иными словами, если вы хотите иметь возможность удаленно подклю-
Информационные системы предприятия
157
читься к своему компьютеру, то необходимо включить в эту группу соответст-
вующую учетную запись. По умолчанию членами этой группы являются адми-
нистраторы локального компьютера.
DHCP Administrators.
Группа создается только при установке DHCP. Пользователи группы имеют
право на конфигурирование службы DHCP (например, с помощью графической
оснастки управления или командой netsh). Используется при делегировании
управления DHCP-службой.
DHCP Users и WINS Users.
Группы создаются только при установке соответствующих служб. Пользователи
групп имеют право только на просмотр параметров настройки служб DHCP (или
WINS). Применяются при делегировании прав техническому персоналу (напри-
мер, для сбора информации о состоянии сервисов).
Network Configuration Operators.
Пользователи группы имеют право изменения TCP/IP-параметров. По умолча-
нию группа не содержит членов.
Print Operators.
Члены группы могут управлять принтерами и очередью печати.
В системе присутствуют и другие группы, на описании которых мы не будем особо
останавливаться (Account Operators, Pre-Windows 2000 Compatible Access, Server
Operators и т. д.).
Специальные группы
В операционной системе существуют так называемые специальные группы, членст-
вом в которых пользователь компьютера управлять не может. Они не отображают-
ся в списке групп в оснастках управления группами, но доступны в окнах назначе-
ния прав доступа.
Это группы Все (Everyone), Интерактивные пользователи (Local Users), Сетевые
пользователи (Network Users), Пакетные файлы (Batch), Прошедшие проверку
(Authenticated) и т. д. Предназначение групп ясно уже по их названию. Так, в груп-
пу Интерактивные пользователи автоматически включаются все пользователи,
осуществившие вход в систему с консоли (клавиатуры). Сетевые пользователи —
это те пользователи, которые используют ресурсы данного компьютера через сете-
вое подключение и т. п.
Данные группы предназначены для более точного распределения прав пользовате-
лей. Например, если вы хотите, чтобы с каким-либо документом была возможна
только локальная работа, то можно просто запретить доступ к нему сетевых поль-
зователей.
Заострим внимание читателей на группе Все, поскольку именно с ней связано наи-
большее количество ошибок в предоставлении прав доступа. Эта группа включает
не любых пользователей, а только тех, кто имеет учетную запись на данном ком-
158
Глава 4
пьютере. Иными словами, если вы предоставили ресурс в общий доступ с правами
чтения для группы Все, то использовать его могут только те, кто "прописан" на
данном компьютере. Если вы предпочитаете, чтобы ресурс мог использовать дей-
ствительно "кто угодно", то для этого нужно разрешить использование учетной
записи Гость.
ПРИМЕЧАНИЕ
В последних версиях Windows пересматривался состав группы Все. Во избежание
ошибок следует уточнить состав данной группы в каждом конкретном случае.
Рекомендации по использованию операции
Запуск от имени...
По соображениям безопасности не рекомендуется использовать для текущей рабо-
ты учетную запись, обладающую административными правами. Смысл этого тре-
бования очень прост. Если на компьютере работает неопытный пользователь, то он
не сможет что-либо испортить в настройках системы и привести ее в нерабочее со-
стояние. Кроме того, в повседневной практике очень легко встретиться с какой-
либо скрытой вредоносной программой. Если при запуске такой программы она не
будет обладать административными правами, то возможностей нанести вред ком-
пьютеру у нее будет существенно меньше.
Однако на практике пользователям периодически приходится выполнять различ-
ные административные действия. Например, установить драйвер для нового внеш-
