Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Настроювання прав користувача

Читайте также:
  1. ІНСТРУКЦІЯ КОРИСТУВАЧА
  2. Інтерфейс користувача
  3. Інтерфейси користувача
  4. Керівництво користувача
  5. Оцінка розвитку психічних процесів користувача послуг
  6. Робота користувача у середовищі програми Photoshop.

У розділі Локальні політики (Локальные политики або Local Policies) містяться три вузли:

Політики аудита (Политики аудита або Audit Policy),

Призначення прав користувача (Назначение прав пользователя або User Rights Assignment)

Параметри безпеки (Параметры безопасности або Security Options).

Вивчаючи цей матеріал, ви довідаєтесь, як використовувати оснащення Групова політика (Групповая политика або Group Policy) для призначення прав користувача.

Права користувача

Ви можете призначати необхідні права групам і окремим обліковим записам користувачів. Для спрощення адміністрування Microsoft рекомендує призначати права групам користувачів, а не обліковим записам окремих користувачів. Кожне право користувача дозволяє групам користувачів або окремим користувачам, яким призначене це право, виконувати визначені дії, такі, як розміщення в архів файлів чи зміна системного часу. Якщо користувач є членом декількох груп, права користувача підсумовуються так, що він одержує всі права, призначені кожній з груп.

Ви можете настроїти права користувача на комп'ютері, який працює під управлінням Windows XP Professional, застосувавши оснащення Групова політика (Групповая политика або Group Policy), як описано далі.

1. Натисніть Пуск (Start), потім — Виконати (Выполнить або Run). Введіть mmc у текстовому полі Відкрити ( Открыть або Open) і натисніть ОК, щоб відкрити порожню консоль ММС.

2. У меню Консоль (Консоль або File) натисніть пункт Додати або видалити оснащення (Добавить или удалить оснастку або Add/Remove Snap-In), а потім натисніть кнопку Додати (Добавить або Add).

3. У діалоговому вікні Додати ізольоване оснащення (Добавить изолированную оснастку або Add Standalone Snap-In) натисніть значок оснащення Групова політика (Групповая политика або Group Policy), а потім — кнопку Додати (Добавить або Add).

Відкриється вікно Вибір об'єкта для настроювання групової політики (Выбор объекта для настройки групповой политики або Select Group Policy Object), у якому можна настроїти фокус оснащення Групова політика (Групповая политика або Group Policy) на локальний чи на віддалений комп'ютер. Прапорець Дозволити зміну фокуса «Оснащення групової політики» (Разрешить изменение фокуса «Оснастки групповой политики» або AllowThe Focus Of The Group Policy Snap-In To Be Changed When Launching From The Command Line) дозволяє настроїти консоль ММС таким чином, щоб щораз при запуску консолі ММС буде з'являтися пропозиція вибрати фокус групової політики.

4. Натисніть кнопку Готово (Finish), щоб установити оснащення Групова політика (Групповая политика або Group Policy), залишивши обрану за замовчуванням прив'язку до локального комп'ютера, і збережіть створену консоль.

5. У дереві консолі розгорніть розділ Політика «Локальний комп'ютер» (Политика «Локальный компьютер» або Local Computer Policy), потім — Конфігурація комп'ютера (Computer Configuration), Конфігурація Windows (Конфигурация Windows або Windows Settings), Параметри безпеки (Параметры безопасности або Security Settings) і Локальні політики (Локальные политики або Local Policies), а потім натисніть вузол Призначення прав користувача

(Назначение прав пользователя або User Right Assignments).

6. У правій частині вікна виберіть одне з прав користувача, яке ви збираєтесь настроювати, і в меню Дія (Действие або Action) натисніть пункт Властивості (Свойства або Properties).

Консоль відобразить список груп і користувачів, для яких призначене це право (Рис. 15.4). Щоб додати групу чи обліковий запис користувача, натисніть кнопку Додати (Добавить або Add). Для видалення групи або користувача натисніть запис групи чи користувача, а потім— кнопку Видалити (Удалить або Remove)

Рис. 15.4. Оснащення Групова політика (Групповая политика або Group Policy) відображає призначені права користувачів

Існують два типи прав користувача: привілеї і права входу у систему.

Привілеї

Привілеєм (привилегия або privilege) називається право користувача, що дозволяє членам груп для яких воно призначено, виконувати певні дії, що звичайно впливають на всю систему, а не на один об'єкт. Привілеї, доступні в Windows XP Professional, описані в таблиці 15.3

 

Таблиця 15.3. Привілеї, доступні в Windows XP Professional

Привілеї Опис
Робота в режимі операційної системи (Работа в режиме операционной системы або Act As Part Of The Operating System) Дозволяє процесу аутентифікуватися подібно користувачу й одержувати доступ до ресурсів, так само як користувач. Не призначайте цей привілей, якщо немає впевненості в необхідності цього. Тільки низькорівневі служби аутентифікації можуть вимагати цього привілею. Процеси, що вимагають цього привілею, повинні виконуватися під обліковим записом LocalSystem, оскільки для неї дані привілеї уже призначений. Окремі облікові записи користувачів з цим привілеєм дозволяють користувачам або процесам одержувати маркер доступу, що надає більше прав, чим вони повинні мати, і не проходити ідентифікацію для збереження подій у журналах аудита.
Додавання робочих станцій до домену (Добавление рабочих станций к домену або Add Workstations Те Domain) Визначає, які групи і користувачі можуть додавати робочі станції в домен. Ця політика діє тільки на контролерах домена. За замовчуванням таким правом володіє будь-який користувач, що пройшов перевірку аутентифікації; він може створити до 10 облікових записів комп'ютерів у домені. Комп'ютер, обліковий запис якого додано в домен, може брати участь у виконанні мережних операцій, що використовують уміст Active Directory. Наприклад, робоча станція, додана в домен, отримує можливість розпізнавати облікові записи і групи, що існують у Active Directory. За замовчуванням: «Ті, що пройшли перевірку».
Розміщення в архів файлів і каталогів (Архивирование файлов и каталогов або Back Up Files And Directories) Дозволяє виконувати розміщення в архів, не призначаючи дозволів, що відкривають доступ до усіх файлів і папок системи. За замовчуванням на робочих станціях, рядових серверах і контролерах домену цей привілей призначається членам груп Адміністратори (Administrators) і Оператори архіву (Backup Operators). На контролерах домену цей привілей також призначається членам групи Оператори серверу (Server Operators)
Обхід перехресної перевірки (Обход перекрестной проверки або Bypass Traverse Checking) Дозволяє користувачу переміщуватися через папки, на доступ до яких у нього немає дозволу. Привілей не дозволяє переглядати вміст папок, а тільки лише рухатись через них по шляху до файлу. На робочих станціях і рядових серверах цей привілей за замовчуванням встановлюється для груп Адміністратори (Administrators), Оператори архіву (Backup Operators), Досвідчені користувачі (Power Users), Користувачі (Users) і Всі (Everyone).
Зміна системного часу (Изменение системного времени або Change The System Time) Дозволяє змінювати час внутрішніх годинників комп'ютера. На робочих станціях і рядових серверах цей привілей за замовчуванням встановлюється для груп Адміністратори (Administrators) і Досвідчені користувачі (Power Users), а також для облікових записів LocalSystem і NetworkService. На контролерах домену цей привілей за замовчуванням встановлюється для груп Адміністратори (Administrators) і Оператори серверу (Server Operators), а також для облікових записів LocalSystem і NetworkService.
Створення маркерного об'єкту (Создание маркерного объекта або Create A Token Object) Дозволяє процесу створювати маркер, що використовується для доступу до ресурсів локального комп'ютеру, коли процес використовує відповідний інтерфейс прикладного програмування (API). Microsoft рекомендує виконувати процеси, що вимагають цього привілею, під обліковим записом Local System, оскільки для нього привілей уже призначений.
Створення постійних об'єктів спільного використання (Создание постоянных объектов совместного использования або Create Permanent Shared Objects) Дозволяє процесу створювати об'єкт каталогу в диспетчері об'єктів Windows. Цей привілей використовується компонентами, що виконуються в режимі ядра і планують розширення простору імен об'єктів Windows. Компоненти, що працюють у режимі ядра, уже мають цей привілей, так що встановлювати його не потрібно.
Створення сторінкового файлу (Создание страничного файл або Create A Pagefile) Дозволяє створювати файли підкачування і змінювати розмір існуючих файлів підкачування. На робочих станціях, рядових серверах і контролерах домену цей привілей за замовчуванням встановлюється для групи Адміністратори (Administrators).
Налагодження програм (Отладка программ або Debug Programs). Дозволяє підключати налагоджувач до будь-якого процесу. Цей привілей відкриває доступ до критично важливих компонентів операційної системи. На робочих станціях, рядових серверах і контролерах домену цей привілей за замовчуванням встановлюється для групи Адміністратори (Administrators).
Дозвіл довіри до облікових записів при делегуванні (Разрешение доверия к учетным записям при делегировании або Enable Computer And User Accounts To Be Trusted For Delegation) Дозволяє користувачу встановлювати право Довіра при делегуванні (Trusted For Delegation) для об'єктів чи користувача комп’ютера. Серверний процес, що запущений на комп'ютері, для якого встановлена довіра при делегуванні, чи від імені користувача, для якого встановлена довіра при делегуванні, може одержати доступ до ресурсів іншого комп'ютера. He призначайте цей привілей без необхідності, оскільки установка параметра Довіра при делегуванні (Trusted For Delegation) робить вашу систему уразливої для атаки з боку троянських вірусів, що використовують клієнтські виклики для одержання доступу до мережних ресурсів. На робочих станціях і рядових серверах цей привілей не призначається нікому. На контролерах домену цей привілей за замовчуванням встановлюється для групи Адміністратори (Administrators). Дозволяє виключити комп'ютер з віддаленого комп'ютера в мережі. На робочих станціях і рядових серверах цей привілей за замовчуванням встановлюється для групи Адміністратори (Administrators).
Примусове віддалене завершення (Принудительное удаленное завершение або Force Shutdown From A Remote System) Дозволяє виключити комп'ютер з віддаленого комп'ютера в мережі. На робочих станціях і рядових серверах цей привілей за замовчуванням встановлюється для групи Адміністратори (Administrators). На контролерах домену цей привілей за замовчуванням встановлюється для груп Адміністратори (Administrators) і Оператори сервера (Server Operators).
Створення журналів безпеки (Создание журналов безопасности або Generate Security Audits) Дозволяє процес додавання елементів у журнал безпеки для об'єктів аудиту
Настроювання квот пам'яті для процесу (Настройка квот памяти для процесса або Adjust Memory Quotas For A Process) Дозволяє процесу змінювати виділену квоту ресурсів процесора для іншого процесу. Процес, що змінює квоту, повинен мати доступ на запис для процесу, якому змінюється квота.
Збільшення пріоритету диспетчування (Увеличение приоритета диспетчирования або Increase Scheduling Priority) Дозволяє процесу змінити пріоритет виконання іншого процесу. Процес, що змінює пріоритет, повинен мати доступ на запис для процесу, пріоритет якого змінюється. Дозволяє користувачу змінювати пріоритет процесів через Диспетчер завдань (Task Manager). На робочих станціях, рядових серверах і контролерах домену цей привілей за замовчуванням встановлюється для групи Адміністратори (Administrators).
Завантаження і вивантаження драйверів пристроїв (Загрузка и выгрузка драйверов устройств або Load And Unload Device Drivers) Дозволяє встановлювати і видаляти драйвера пристроїв Plug and Play. На пристрої, несумісні з Plug and Play, даний привілей ніяк не впливає. Будьте обережні, призначаючи цей привілей. Драйвери пристроїв виконуються як довірені програми, тому варто встановлювати драйвери тільки з коректним цифровим підписом. На робочих станціях, рядових серверах і контролерах домену цей привілей за замовчуванням встановлюється для групи Адміністратори (Administrators)
Закріплення сторінок у пам'яті (Закрепление страниц в памяти або Lock Pages In Memory) Дозволяє процесу закріплювати дані у фізичній пам'яті, що забороняє Windows ХР Professional переміщувати ці дані у віртуальну пам'ять (файл підкачування) на диску. За замовчуванням привілей нікому не призначений. Його мають деякі системні процеси
Керування аудитом і журналом безпеки (Управление аудитом и журналом безопасности або Manage Auditing And Security Log) Дозволяє користувачу задавати параметри аудита для окремих об'єктів, таких, як файли, об'єкти Active Directory і розділи реєстру. Користувачі з цим привілеєм також можуть переглядати й чистити журнал безпеки, використовуючи утиліту Перегляд подій (Event Viewer). На робочих станціях, рядових серверах і контролерах домену цей привілей за замовчуванням встановлюється для групи Адміністратори (Administrators)
Зміна параметрів середовища устаткування (Изменение параметров среды оборудования Modify Firmware Enviroment Values) Дозволяє використовувати програму Властивості системи(System Properties) для зміни системних змінних середовища. Дозволяє процесу, що використовує відповідний API, змінювати системні змінні середовища.
Запуск операцій з обслуговування тому (Запуск операций по обслуживанию тома або Perform Volume Maintenance Tasks) Дозволяє користувачу запускати інструментальні засоби обслуговування дисків, такі, як Очищення диску (Disk Cleanup) або Дефрагментація диску (Disk Defragmenter). На робочих станціях, рядових серверах і контролерах домену цей привілей за замовчуванням встановлюється для групи Адміністратори (Administrators).
Профілювання одного процесу (Профилирование одного процесса або Profile A Single Process) Дозволяє користувачу застосовувати інструментальні засоби профілювання продуктивності для контролю роботи несистемних процесів. На робочих станціях і рядових серверах цей привілей за замовчуванням встановлюється для груп Адміністратори (Administrators) і Досвідчені користувачі (Power Users). На контролерах домену тільки адміністратори мають цей привілей.
Профілювання завантаженості системи (Профилирование загруженности системы або Profile System Performance) Дозволяє користувачу застосовувати інструментальні засоби профілювання продуктивності для контролю продуктивності системних процесів. На робочих станціях, рядових серверах і контролерах домену цей привілей за замовчуванням встановлюється для групи Адміністратори (Administrators).
Витягання комп'ютера зі стикувального вузла (Извлечение компьютера из стыковочного узла або Remove Computer From Docking Station) Дозволяє відключати переносний комп'ютер від стикувальної станції. На робочих станціях і рядових серверах і контролерах домену цей привілей за замовчуванням встановлюється для груп Адміністратори (Administrators), Досвідчені користувачі (Power Users) і Користувачі (Users).
Заміна маркера рівня процесу (Замена маркера уровня процесса або Replace A Process-Level Token) Дозволяє батьківському процесу замінити маркер доступу, що асоційований з дочірнім процесом.
Відновлення файлів і каталогів (Восстановление файлов и каталогов або Restore Files And Directories) Дозволяє відновлювати файли і каталоги, поміщені в архів, не призначаючи користувачу дозволу для цих файлів і каталогів і дозволяючи даному користувачу діяти як власнику об'єктів. На робочих станціях, рядових серверах і контролерах домену цей привілей за замовчуванням встановлюється для груп Адміністратори (Administrators) і Оператори архіву (backup Operators). На контролерах домену цей привілей також призначається групі Оператори сервера (Server Operators).
Завершення роботи системи (Завершение работы системы або Shut Down The System) Дозволяє користувачу виключати локальний комп'ютер. На робочих станціях цей привілей за замовчуванням встановлюється для груп Адміністратори (Administrators), Оператори архіву (Backup operators), Досвідчені користувачі (Power Users) і Користувачі (Users). На рядових серверах цей привілей за замовчуванням встановлюється для груп Адміністратори (Administrators), Оператори архіву (Backup operators), Досвідчені користувачі (Power Users). На контролерах домену цей привілей за замовчуванням встановлюється для груп Адміністратори (Administrators), Оператори облікових записів (Account Operators), Оператори архіву (Backup operators), Оператори друку (Print operators) і Оператори сервера (Server Operators).
Синхронізація даних служби каталогів (Синхронизация данных службы каталогов або Synchronize Directory Service Data) Дозволяє процесу робити синхронізацію служби каталогів. Привілей використовується тільки на контролерах домену.
Оволодіння файлами чи іншими об'єктами (Овладение файлами или иными объектами або Take Ownership Of Files Or Other Objects) Дозволяє користувачу ставати власником системних об'єктів, у тому числі об'єктів Active Directory, файлів і папок принтерів, розділів реєстру, процесів і потоків. На робочих станціях, рядових серверах і контролерах домену цей привілей за замовчуванням встановлюється для групи Адміністратори (Administrators).

 

 

Примітка Користувачі, що володіють дозволом на створення об'єктів-комп'ютерів у контейнері Active Directory, також можуть створювати облікові записи комп'ютерів у домені. Але для них число створюваних облікових записів не обмежено значенням 10. Крім того, власником облікових записів комп'ютерів, створених відповідно до політики «Додавання робочих станцій у домен», є група «Адміністратори домена», а власником облікового запису, створеного на основі дозволу для контейнера, є її творець. Якщо користувач володіє одночасно дозволом на створення об'єктів у контейнері і правом «Додавання робочих станцій у домен», комп'ютер додається в домен відповідно до дозволів контейнера, а не правом користувача.

 


П

Права на вхід у систему

Права на вхід у систему (logon right) являють собою права користувача, що призначаються групі або окремому обліковому запису користувача. Вони визначають доступні для користувача способи реєстрації в системі. Права на вхід у систему, що ви можете призначити в Windows XP Professional, описані в таблиці 15.4.

 

Таблиця 15.4. Права на вхід у систему, доступні в Windows XP Professional

Право на вхід у систему Опис
Доступ до комп'ютера з мережі (Доступ к компьютеру из сети або Access This Computer From The Network) Дозволяє користувачу підключатися до комп'ютера через мережу На робочих станціях, рядових серверах і контролерах домену це право на вхід у систему за замовчуванням встановлюється для груп Адміністратори (Administrators), Досвідчені користувачі (Power Users) і Усі (Everyone)
Відмовлення в доступі до комп'ютера з мережі(Отказ в доступе к компьютеру из сети або Deny Access To This Computer From The Network) Не дає користувачу підключитися до комп'ютера через мережу За замовчуванням це право ні для кого не встановлюється
Вхід як пакетне завдання (Вход в качестве пакетного задания або Log On As A Batch Job) Дозволяє користувачу входити в систему з використанням пакетних засобів На робочих станціях, рядових серверах і контролерах домену це право на вхід за замовчуванням встановлюється для групи Адміністратори (Administrators). Якщо встановлений компонент Internet Information Services (IIS), право автоматично призначається вбудованому обліковому запису для анонімного доступу до IIS
Відмовлення у вході пакетного завдання (Отказ во входе в качестве пакетного задания або Deny Logon As A Batch Job) Не дає користувачу підключитися до комп'ютера з використанням пакетних засобів За замовчуванням це право не встановлюється
Вхід як служба(Вход в качестве службы або Log On As A Service) Дозволяє учасникам системи безпеки, що мають облікові записи, наприклад користувачам, комп'ютерам або службам, реєструватися в системі як служби. Служби можуть бути налагоджені для запуску під обліковими записами LocalSystem, LocalService чи NetworkService, що мають права на вхід як служби. Інші служби, що запускаються під окремими обліковими записами, вимагають явного призначення цього права. За замовчуванням це право не встановлюється
Відмовити у вході як служба (Отказать во входе в качестве службы або Deny Logon As A Service) Не дозволяє учаснику системи безпеки зареєструватися як служба. За замовчуванням це право ні для кого не встановлюється
Локальний вхід у систему (Локальный вход в систему або Log On Locally) Дозволяє користувачу реєструватися з клавіатури комп'ютера За замовчуванням це право на вхід дається членам груп Адміністратори (Administrators), Оператори облікових записів (Account Operators), Оператори архіву (Backup Operators), Оператори друку (Print Operators) і Оператори сервера (Server Operators)
Відхилити локальний вхід (Отклонить локальный вход або Deny Logon Locally) Не дає користувачу зареєструватися з клавіатури комп'ютера За замовчуванням це право ні для кого не встановлюється
Дозволяти вхід у систему через службу терміналів (Разрешать вход в систему через службу терминалов або Allow Logon Through Terminal Services) Дозволяє користувачу реєструватися з використанням Служби терміналів (Terminal services). На робочих станціях і рядових серверах це право на вхід за замовчуванням дається членам груп Адміністратори (Administrators) і Віддалений доступ (Remote Desktop Users). На контролерах домена це право на вхід за замовчуванням призначається тільки членам групи Адміністратори (Administrators)
Заборонити вхід у систему через службу терміналів(Запретить вход в систему через службу терминалов або Deny Logon Through Terminal Services) Забороняє користувачу вхід у систему з використанням Служби терміналів (Terminal Services). За замовчуванням це право не встановлюється.

 

 

Дата добавления: 2015-12-08; просмотров: 74 | Нарушение авторских прав

mybiblioteka.su - 2015-2024 год. (0.01 сек.)