Учетная запись гостя и вирусы

Ограничиваем полномочия наиболее уязвимых приложений.

Специалисты по безопасности давно рекомендуют администраторам использовать две учетные записи - одну повседневную, другую для административных задач. При работе с административными полномочиями повышается уязвимость к атакам от вредных программ. Более того, пользователь с административными полномочиями получает широкие возможности, в том числе назначать пароли, права владения для файлов, пользователей и групп, и многие другие. Администраторы должны ограничивать применение административных полномочий и одновременно предоставлять пользователям достаточные права для обычной работы. Один из способов совместить два этих требования - разрешить некоторым пользователям работать с административными полномочиями и настроить наиболее уязвимые приложения - электронной почты, IM, и браузер - на работу с учетными записями Guest, имеющими малые полномочия. Рассмотрим ситуации, в которых выгодно применять учетную запись Guest, и способы организации такой учетной записи.

Для выполнений повседневных служебных функций некоторым пользователям необходим привилегированный доступ, поэтому неудобно подходить ко всем пользователям с одной меркой - налагать строгие ограничения на всех пользователей или предоставлять полные административные права всем сотрудникам. Например, озабоченный безопасностью сетевой администратор одной компании, которую я посетил несколько лет назад, заставил всех служащих, даже разработчиков, выполнять повседневные задачи на собственных рабочих станциях с неадминистративными полномочиями. Такая политика казалась всем чрезмерной, сотрудники жаловались, а если имели соответствующие знания, то избавлялись от ограничений на своих машинах, присваивая себе административные права.

Когда этот сетевой администратор ушел из компании, то сменивший его специалист столкнулся с таким сопротивлением пользователей и руководителей, что решил полностью отказаться от такой политики. К сожалению, после этого все начали работать на локальных машинах с административными полномочиями. В этом случае риск значительно выше, чем если бы роль локальных администраторов выполняли несколько опытных пользователей.

Более удачное решение - совместно с пользователями найти лучший баланс между безопасностью и производительностью, чтобы сотрудники охотнее участвовали в обеспечении безопасности. С помощью учетных записей Guest можно удовлетворить потребности квалифицированных пользователей, нуждающихся в привилегированном доступе, и одновременно предоставить им защиту, необходимую для определенных задач.

Учетные записи Guest - пример использования минимальных полномочий: каждому пользователю предоставляются только права, необходимые для выполнения должностных обязанностей. Познакомиться с минимальными полномочиями и способами их реализации можно в статье "Большие возможности малых полномочий" на нашем сайте.

Как уже отмечалось, в ходе некоторых нападений используются пробелы безопасности в конкретных прикладных программах. Обычно эти атаки проводятся через вирусы, распространяемые по электронной почте, или уязвимые места браузера, которые служат проводником для вирусов и "трояниских коней" в системе. Если пользователь не зарегистрирован в качестве администратора, то у вредных программ меньше возможностей нанести ущерб системе.

К сожалению, на практике минимальные полномочия часто причиняют пользователям неудобства, и они начинают искать способы обойти их. Попытки обхода могут привести к большей опасности, нежели полный отказ от минимальных полномочий. Действительно, многие администраторы и специалисты по безопасности, убежденные в полезности минимальногох подхода, испытывают трудности, и сами отказываются от политики минимальных полномочий. С помощью учетных записей Guest можно применять минимальные полномочия таким образом, чтобы помешать пользователям полностью обойти меры безопасности.

Как правило, следует работать с неадминистративными полномочиями и использовать такие инструменты, как утилита Runas (runas.exe) для выполнения конкретных задач в качестве администратора. При данном подходе, определенные пользователи могут регистрироваться в качестве администраторов для большинства операций, но выполнять некоторые особенно рискованные действия как гости. Недостаток Runas - необходимость обслуживать две учетные записи для пользователей (пользовательскую и Administrator), для каждой из которых приходится помнить пароль, управлять двумя наборами разрешений и профилями. Более того, возможности обычных учетных записей пользователей достаточны, чтобы причинить серьезный вред, и как правило, обеспечивают доступ к сети и другим уязвимым ресурсам.

Однако, для многих операций в Internet не нужны уровень полномочий и даже обычная учетная запись пользователя. Идеальный выбор в такой ситуации -- встроенная учетная запись Guest. Она уже настроена на ограниченный доступ, и как локальная учетная запись, не имеет доступа к домену. Кроме того, защита учетной записи с ограниченными полномочиями - менее трудоемкая задача для администратора. Например, можно позволить пользователям работать до 6 месяцев без смены пароля.

Прежде, чем приступить к работе с учетной записью Guest, необходимо провести предварительную подготовку. По умолчанию, учетная запись блокирована и не имеет пароля. Могут также существовать ограничения Group Policy, которые отключают и переименовывают эту учетную запись.

Во-первых, следует настроить или отменить любые политики безопасности, которые могут воздействовать на учетную запись Guest. Затем следует настроить основные параметры учетной записи, выполнив из командной строки следующую команду:

Из-за недостатка места данная команда напечатана на нескольких строках, но вводить ее следует одной строкой. После нажатия на клавишу Enter на экране появляется приглашение ввести новый пароль для учетной записи. Следует указать подходящий пароль, а затем повторно ввести пароль, чтобы подтвердить его.

Пользователям часто требуется загружать файлы из Internet, поэтому удобно создать совместную папку для учетных записей Administrator и Guest. Этой папке следует назначить ограниченные полномочия, разрешив только минимальный доступ, необходимый для загрузки файлов. Например, можно запретить Guest запускать любые файлы из этой папки.

Существует несколько способов запуска приложений из учетной записи Guest. Самый быстрый способ - просто ввести команду Runas или активизировать runas.exe из командного файла. Чтобы воспользоваться командой Runas, следует щелкнуть правой кнопкой мыши на пиктограмме приложения и выбрать из меню пункт Run as. В Windows 2000 необходимо нажать и удерживать клавишу Shift, и щелкнуть правой кнопкой мыши. В диалоговом окне следует щелкнуть на переключателе The following user и ввести имя пользователя (Guest) и пароль (Экран 1).

Экран 1. Ввод данных учетной записи Guest для команды Runas.

Runas можно запустить из командной строки, указав параметр /savecred, чтобы сохранить пароль и не вводить его каждый раз. Как правило, это рискованный прием, но поскольку в данном случае Runas используется для активизации учетной записи Guest из учетной записи Administrator, сохранение пароля не связано с серьезным риском. Вряд ли имеет смысл запускать программы в качестве локального гостя, уже располагая доступом к привилегированной учетной записи.

Если пользователю требуется более широкая функциональность, чем обеспечивается встроенной командой Runas, то можно применить один из многочисленных инструментов сторонних поставщиков. Например, компания Wingnut Software (http://www.wingnutsoftware.com) предоставляет утилиту Encrypted RunAs, которая позволяет сохранить данные учетной записи в зашифрованном формате.

Другой инструмент, бесплатная утилита SUperior SU (http://www.stefankuhr.de/supsu/main.php3), позволяет не только запустить процесс от имени другого пользователя, но и активизирует особый "рабочий стол" для этого пользователя в целях дополнительной защиты.

Лучший способ напомнить пользователям о необходимости использовать учетную запись Guest для опасных операций, таких как просмотр подозрительных сайтов в Internet - заменить обычные пиктограммы "рабочего стола" и меню Start новыми значками для запуска приложений из учетной записи Guest. При этом пользователи не забудут зарегистрироваться в качестве Guest. В свойствах ярлыка можно щелкнуть на кнопке Advanced и установить флажок Run with different credentials. В результате пользователь, дважды щелкнувший на ярлыке, чтобы запустить приложение, будет всегда получать приглашение ввести другие учетные данные(Экран 2). Данный метод требует, чтобы пользователь вводил пароль каждый раз при запуске приложения, поэтому удобнее использовать одну из упомянутых выше утилит. С их помощью можно сохранить пользовательские учетные данные и предоставить больше вариантов для запуска приложения.

Экран 2. Создание ярлыка "рабочего стола" для работы с другим мандатом пользователя.

Следует помнить, что использование учтеной записи Guest - лишь одна составная часть стратегии безопасности. С ее помощью нельзя полностью устранить угрозы; она только минимизирует эти опасности. Использование учетной записи Guest - одна из реализаций подхода использоания минимальных полномочий, которая, как часть более широкой политики безопасности, может значительно сократить площадь атаки. С целью повышения безопасности следует подключать рабочие станции пользователей только к доверенным сетям и использовать такие средства, как персональный брандмауэр, программы борьбы с вирусами и шпионажем для ограничения сетевого трафика, фильтрации входящих почтовых сообщений и блокирования загрузки и установки вредного программного обеспечения. Самое важное - активно просвещать пользователей об опасностях и методах самозащиты.

Mark Burnett (mburnett@xato.net) - независимый программный консультант по безопасности и автор, специализирующийся на безопасности Windows. Он обладатель сертификата IIS MVP и автор книги Hacking the Code (издательство Syngress).

Поделитесь материалом с коллегами и друзьями

Зря тут речь идет про Windows 7. Под такое дело хорошо работает Debian, проверено.
Более того, буквально парой строчек в конфиге можно ограничить браузер одним сайтом.
А в винде дыры так или иначе все равно найдутся.

Конфиг киоска на Debian:
/etc/rc.local :

Запускается Хром прямо под иксами, без оболочек, и открывает нужную страницу. Ни на какие другие сайты доступа нет. Возможности вызвать какие-то другие программы, не имея пароля администратора - тоже ;)

Вам верно написали про политики ограничения запуска программ (Software Restriction Policy или SRP / App Locker). Попробую немного прояснить суть решения проблемы.

Главное что нужно сделать это при помощи NTFS ACL заблокировать пользователям возможность запускать программы отовсюду куда они могут записать файлы и при помощи SRP ограничить операционке права запускать программы только каталогами каталогами в которые пользователи не могут писать. В общем случае должно быть разрешено запускать программы только из Program Files и Windows, но запрещено запускать из systemdrive:\Windows\tmp и systemdrive:\Windows\blablabla\spooler

Для этого нужно понимать, что такое права NTFS их наследование. Все диски в системе на которых есть программы которые можно запускать программы — сделать NTFS. Лучше всего всегда чтобы запускаемые программы были только в Program Files при этом пользователи этих программ никогда не должны иметь прав записи в системные каталоги.

Любые манипуляции с NTFS и ACL должен проводить человек который понимает что делает!

Несколько замечаний.
SRP и/или AppLocker есть не во всех дистрибутивах Windows. Понятно, что MS это машина по зарабатыванию денег. Но SRP напрямую затрагивает основу основ компьютерной безопасности операционных систем Windows и для меня выглядит не совсем логичным добавить UAC но не дать возможность защищать систему при помощи SRP на самой дешёвой OEM Windows системе. До появления SRP я пользовался замечательной программой TrustNoExe. Она бесплатна ставится в виде сервиса имеет белые и чёрные списки. На новых дистрибутивах Windows я её не испытывал, но она могла бы закрыть брешь в безопасности Windows где есть NTFS но нет SRP.

SRP это не панацея. К сожалению программы умеющие исполнять скрипты например Word, Excel и т д можно использовать для инжекции постороннего исполняемого кода, а значит можно пытаться поднять привилегии используя известные и не очень уязвимости.

Дополнительные рекомендации:
При установке всяких программ типа Google Chrome, Mozilla Firefox, Skype, FoxItReader и т д (их количество будет продолжать расти). следить чтобы они не наставили своих сервисов. С появлением UAC в Windows, всем есть дело и все явно (есть птичка отказаться) или подло (нет выбора) ставят такие сервисы. Если программа ставит такой сервис — удалить его sc delete имя_сервиса. Назначение этих сервисов — скрытая установка своих программ. Отвратительные побочные явления — внезапная поломка системы после неудачного обвноления (включая обновления Windows) У нас был случай когда на клиентских серверах Win2008 после автоматического обновления тотально (у большого числа клиентов) перестал работать терминальный сервер, в результате чего пришлось удалять часть обновлений и ставить другие. После этогого все автообновления были отключены и заблокированы. Нехотите таких сюрпризов — пресекайте все попытки программ установить свои сервисы. Есть программы которые после своей установки хамским образом меняют NTFS acl таким образом что разрешают писать всем в каталог этой программы в Program Files — это сведёт к нулю все ваши старания ограничить запуск программ. Избавляйтесь от таких программ используйте нормальные которые не пишут в Program Files.

Кроме этого такой подход позволит вам отказаться от антивирусов если не будете бездумно ставить всякий неизвестный и даже известный софт.

Примечание: для ограничения пользователя единственным приложением используйте Режим киоска Windows 10.

Включение пользователя Гость Windows 10 с помощью командной строки

Самый простой способ сделать это — использовать командную строку. Шаги по включению записи Гость будут выглядеть следующим образом:

Готово, на этом учетная запись Гость (а точнее — созданная вами учетная запись с правами Гостя) будет создана, и вы сможете войти в Windows 10 под ней (при первом входе в систему некоторое время будут настраиваться параметры пользователя).

Дополнительная информация

После входа в учетную запись Гостя вы можете заметить два нюанса:

На этом всё, надеюсь, информация была достаточной. Если же остались какие-то дополнительные вопросы — можно задать их ниже в комментариях, буду стараться отвечать. Также, в плане ограничения прав пользователей может оказаться полезной статья Родительский контроль Windows 10.

А вдруг и это будет интересно:

Почему бы не подписаться?

Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)

23.03.2017 в 13:17

Сделав все по этой схеме у меня получилось. Спасибо за мануалы!

04.02.2018 в 10:01

Добавил гостевого пользователя с помощью командной строки — всё получилось. Спасибо! Но остался вопрос. Этот гостевой пользователь может открыть папку с документами другого пользователя на этом компьютере, хотя та учётная запись закрыта паролем. Как можно защитить доступ к файлам от гостевой учётки?

17.11.2019 в 22:02

Алексей: Панель управления- -> Все элементы панели управления —> Администрирование —> Управление компьютером —> Локальные пользователи и группы -> Пользователи —> Щелчок по нужной учётной записи —>(в открывшемся контекстном меню выбираете —> Задать пароль…. (Будет ещё и диалоговое окно с предупреждением)
PS Я один не понимаю зачем нужен этот абсолютно не нужный хвост в встроенных учётных записях (профилях и путях к профилям) Windows 10 в виде доменного имени компьютера после точки за именем пользователя? Вечно меломягкие всё усложняют что бы жизнь мёдом не казалась.

04.02.2018 в 10:14

У меня была проблема — гостевая учётка видела файлы учётки, защищённой паролем. Но в тот раз я защитил паролем основную учётку уже после того, как создал гостевую учётку и один раз открыл доступ к тем файлам. После того, как закрыл основную учётку паролем, из гостевой оставался доступ к файлам, перезагрузка не помогала.

Помогло удалить гостевую учётку и создать заново — теперь, когда основная учётка уже была защищена паролем. Теперь из гостевой учётки нет доступа к файлам основной учётки.

04.02.2018 в 10:16

А зачем вообще активировать учётную запись Гость командой
net user Гость /active:yes
если этой учётной записью нельзя пользоваться и мы создаём другую новую гостевую учётку в группе Гости?

05.02.2018 в 10:24

23.03.2020 в 18:49

16.07.2018 в 10:40

Если нужно активировать Гостя для доступа к шаре, то можно сделать проще.
Запустить командную строку от администратора, ввести команду:
net user Гость /active:yes
net user Гость *
после ввода второй команды нужно будет установить пароль на Гостя. После этого можно заходить на общие ресурсы другого ПК под этими данными.

03.06.2019 в 10:31

03.06.2019 в 10:46

А отключение учетной записи с помощью: net user Гость /active:no не работает?

17.11.2019 в 22:27

18.11.2019 в 12:44

По заданному имени пользователя найду.

05.12.2019 в 15:18

Dmitry: Так Вы пропустили заданное имя оставив не заполненными поля :-)
PS Вся проблема с встроенной учётной записью Гость состоит в том что при создании записи не корректно создаются файлы в домашней папке %systdrive%\users\Гость и записи в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList подправляешь и вход становиться возможным хотя и с ошибками т.к в домашней папке содержание файлов конфигурации не корректно.

04.11.2019 в 12:23

Здравствуйте, Дмитрий!
Хочу сделать так, чтобы жена получила статус гостя на моём компьютере с Виндовз 10, могла изучать офисные программы, работать со своими документами, печатать их на wi-fi принтере. Хотелось бы, чтобы при входе в систему отображались два пользователя — Администратор и Гость, можно было бы выбрать соответствующего. Учётных записей Микрософт нет, делать их бы не хотелось.

05.11.2019 в 10:35

06.11.2019 в 18:51

Дмитрий, большое спасибо! Попробую последовать Вашему совету. А будет ли новый пользователь виден на экране входа в систему, можно ли так сделать, А то можно ненароком
лишиться важных файлов

07.11.2019 в 09:27

Здравствуйте.
Файлы в любом случае никуда не денутся.
Пользователь будет виден, при условии, что вы не включили автоматический вход без пароля в учетную запись администратора (а если включили — просто отключите автоматический вход)

17.11.2019 в 22:40

Смысл изобретать велосипед и городить огород создавая нового пользователя с правами и состоящего в группе Гости, когда уже есть встроенная но отключенная учётная запись Гость которую нужно всего лишь включить?
PS Абсолютно тоже самое с группой Администраторы и встроенной но отключённой учётной записью Администратор (Профиль которой кстати создаётся при установке операционной системе в %Systemdrve%\Users\Администратор.%domenname%

18.11.2019 в 12:37

05.12.2019 в 15:54

Смотря какую цель Вы поставили.
Использовать встроенную учётную запись Администратор удобно когда Вам необходимо выполнить задачу с правами администратора не сталкиваясь с запросами на повышение привилегий от системы контроля учетных записей (User Access Control). Использование встроенной учетки — не самый лучший метод? В чем ведь вы можете отключить удалённое управление включив в Локальной политике ->Назначение прав пользователя(правило) -> Доступ к компьютеру из сети (удалив встроенную учётную запись Администратор). imho:

18.11.2019 в 08:51

Здравствуйте. Подскажите пожалуйста, как добавить язык ввода для клавиатуры в гостевом профиле?

25.11.2019 в 23:41

26.11.2019 в 15:10

27.11.2019 в 17:31

28.11.2019 в 09:46

29.11.2019 в 03:23

29.11.2019 в 10:40

29.02.2020 в 23:35

Здравствуйте! При переименовании Имени компьютера произошло следущее. При запуске (включении) Windows 10 сперва появляется откуда не пойми взявшаяся учётная запись Гость и пишет что не верно введён пароль. Я могу выбрать свою основную учётную запись ввести пароль и войти на рабочий стол. Я ни как не могу убрать эту учётную запись Гость при входе. Я хочу чтобы просто сразу после включения компьютера я попадал на рабочий стол без выбора учётной записи и введения пароля. Как это сделать? у меня ни как не получается(. Помогите пожалуйста
скопировал и опубликовал ранее заданный вопрос только по тому, что и сам столкнулся с такой же проблемой, а решения этой проблемы тут не увидел. Через СМД гость не отключается и не удаляется — пишет что такого нету… Что делать и как бороться?

01.03.2020 в 10:29

Здравствуйте.
Попробуйте такой метод:
1. Включите запрос пароля для своего основного пользователя (тем же методом как раньше отключали) и обязательно выполните перезагрузку.
2. Зайдите под своим пользователем, заново отключите запрос пароля — перезагрузка.

Здесь решают различные задачи сообща. Присоединяйтесь!

Темы без ответов
Активные темы
Поиск

учетные записи пользователей

vovamen82 , рас после удаления у вас снова появляется учетка значит она создается какой-то программой\службой. Рекомендую посмотреть автозагрузку утилитой вроде AutoRuns (https://www.youtube.com/watch?v=I0BwOufWGoA).

Отправлено спустя 1 минуту 8 секунд:
PS: Вопрос задан не в том разделе. Переношу тему. И кстати вы не указали что у вас за ОС.

[Конфигурация компьютера]
Процессор: Intel Core i5-3317U, 1.70GHz (Ядер: 2)
Оперативная память: 10 Гбайт
Видео: Intel HD Graphics 4000 (1984 Мбайт)
Видео: AMD Radeon HD 7670M (1024 Мбайт)
Диск: WDC WD10JPVT-75A1YT0 (932 Гбайт)
Операционная система: Майкрософт Windows 8.1 для одного языка (64-разрядная)

Отправлено спустя 2 часа 42 секунды:
уважаемый будьте любезны направьте в нужное русло что нужно искать в AutoRuns.

Скрипт один только vbs от Майкрософт,хоть и не подписан.люди написали целую тему,о том как подписывать скрипт,а Майкрософт не считает нужным.вообще ничего стороннего не обнаружил

Отправлено спустя 6 минут 9 секунд:
На смарт тв отображается аж три сетевых устройств,одно из них подписано учетной записью админа,и две одинаковые локальные fvdccnzyr,меня это приводит в недоумении,ведь 8,1 Windows не поддерживает сетевую передачу данных,по крайней мере так было раньше.

Отправлено спустя 3 минуты 59 секунд:
Возможно ли в самой Windows как либо определить кем создана локальная учетка. вроде ранее не наблюдал эту локальную учетку

vovamen82 , раз не удается удалить учетку попробуйте ее просто отключить командой выполненной в командной строке запущенной с правами администратора: net user fvdccnzyr /active:no

После перезагрузки проверьте активна-ли запись снова или-же не активна (это можно сделать выполнив net user fvdccnzyr )

PS: Поищу на досуге как можно отследить кто создает учетки с помощью журнала событий (вроде как-то это можно сделать)

C:\WINDOWS\system32>net user fvdccnzyr
Имя пользователя fvdccnzyr
Полное имя fvdccnzyr
Комментарий
Комментарий пользователя
Код страны или региона 000 (Стандартный системный)
Учетная запись активна Yes
Учетная запись просрочена Никогда

Последний пароль задан 07.05.2016 14:30:58
Действие пароля завершается Никогда
Пароль допускает изменение 07.05.2016 14:30:58
Требуется пароль Yes
Пользователь может изменить пароль No

Разрешенные рабочие станции Все
Сценарий входа
Конфигурация пользователя
Основной каталог
Последний вход Никогда

Разрешенные часы входа Все

Членство в локальных группах *HomeUsers
*Пользователи
Членство в глобальных группах *Отсутствует
Команда выполнена успешно.

Отправлено спустя 9 минут 55 секунд:
Панель управления\Все элементы панели управления\Диспетчер учетных данных\учетные данные windows\общие учетные данные там учетка microsoft account user(она же учетка админа),и virtualapp/didlogical изменено 1.04.2016 тоесть когда я с командировки приехал,и подключился в инет.может её удалить virtualapp/didlogical.

Отправлено спустя 4 минуты 30 секунд:
не помню точно но вроде windows 10 сразу пыталась установиться,делал откат системы так как драйвера интернета не стали авто,не знал что делать.да и прочитал инфу что win 10 автоматически следит за системой.вот что было

Цель работы:Ознакомиться с процедурами создания ученых записей пользователей и управления их правами.

В операционной системе Windows XP на одном и том же компьютере могут работать разные пользователи, каждый под своим именем. При входе в ОС запрашиваются имя и пароль, на основе которых происходит аутентификация пользователя.

Компьютер может работать автономно, а может быть рабочей станцией в сети. Если компьютер загружается для автономной работы или для работы в одноранговой сети , то пользователь регистрируется, используя внутренний (локальный) список имен пользователей системы.

Если компьютер загружается для работы в сети с выделенным сервером , то пользователь регистрируется, используя имя, которое ему выдал администратор сети. Список с этими именами хранится на сервере.

Данные о пользователе находятся в специальной базе данных на локальных компьютерах и на сервере. На каждого пользователя заводится отдельная учетная карточка, которая носит название учетная запись.

Windows XP использует три типа учетных записей пользователей:

Локальные учетные записи для регистрации пользователей локального компьютера. База локальных учетных записей хранится на каждом компьютере своя, и содержит информацию о пользователях только данного компьютера. Создаются учетные записи администратором этого компьютера.
Встроенные учетные записи пользователей создаются автоматически при установке Windows XP. Встроенных учетных записей две — Администратор и Гость. Встроенные учетные записи хранятся в той же базе, что и локальные учетные записи.
Учетные записи пользователей домена хранятся на выделенном сервере и содержат данные о пользователях локальной сети.

Локальная учетная запись - это учетная запись, которой могут быть предоставлены разрешения и права на вашем компьютере. Для удобства управления локальными пользователями, их можно объединять в группы и управлять группами, чтобы не устанавливать одни и те же настройки для каждого пользователя в отдельности. Ограничения, установленные для группы, распространяются на всех пользователей этой группы.

Домен или глобальные пользователи и группы управляются сетевым администратором . Имеется возможность добавить локальных пользователей, глобальных пользователей и глобальные группы в локальные группы. Однако невозможно добавить локальных пользователей и локальные группы в глобальные группы.

Пользователи и группы важны для безопасности Windows XP поскольку позволяют ограничить возможность пользователей и групп выполнять определенные действия путем назначения им прав и разрешений. Право дает возможность пользователю выполнять на компьютере определенные действия, такие как архивирование файлов и папок или завершение работы компьютера. Разрешение представляет собой правило, связанное с объектом (например, файлом, папкой или принтером), которое определяет, каким пользователям и какого типа доступ к объекту разрешен.

Операционная система содержит несколько встроенных учетных записей пользователей и групп, которые не могут быть удалены:

Учетная запись администратора

Учетная запись пользователя с именем "Администратор" используется при первой установке рабочей станции или рядового сервера. Эта учетная запись позволяет выполнять необходимые действия до того, как пользователь создаст свою собственную учетную запись. Администратор является членом группы администраторов на рабочей станции или рядовом сервере.

Учетную запись "Администратор" нельзя удалить, отключить или вывести из группы администраторов, что исключает возможность случайной потери доступа к компьютеру после уничтожения всех учетных записей администраторов. Это свойство отличает пользователя "Администратор" от остальных членов локальной группы "Администраторы".

Учетная запись гостя предназначена для тех, кто не имеет реальной учетной записи на компьютере. Учетную запись "Гость" нельзя удалить, но можно переименовать или отключить. Учетной записи пользователя "Гость", как и любой другой учетной записи, можно предоставлять права и разрешения на доступ к объектам. Учетная запись "Гость" по умолчанию входит во встроенную группу "Гости", что позволяет пользователю войти в систему с рабочей станции или рядового сервера. Дополнительные права, как любые разрешения, могут быть присвоены группе "Гости" членом группы администраторов.

К стандартным группам Windows XP относятся следующие группы:

Администраторы

Пользователи, входящие в группу "Администраторы", имеют полный доступ на управление компьютером. Это единственная встроенная группа, которой автоматически предоставляются все встроенные права и возможности в системе. По умолчанию туда входит учетная запись "Администратор".

Члены группы "Операторы архива" могут архивировать и восстанавливать файлы на компьютере, независимо от всех разрешений, которыми защищены эти файлы. Также они могут входить на компьютер и выключать его, но не могут изменять параметры безопасности.

Члены группы опытных пользователей могут создавать учетные записи пользователей, но могут изменять и удалять только созданные ими учетные записи. Они могут создавать локальные группы и удалять пользователей из локальных групп, которые они создали. Они также могут удалять пользователей из групп "Опытные пользователи", "Пользователи" и "Гости".

Они не могут изменять группы "Администраторы" и "Операторы архива", не могут являться владельцами файлов, не могут выполнять архивирование и восстановление каталогов, не могут загружать и выгружать драйверы устройств или управлять журналами безопасности и аудита.

Члены группы пользователей могут выполнять наиболее распространенные задачи, например запуск приложений, использование локальных и сетевых принтеров , завершение работы и блокировка рабочих станций. Пользователи могут создавать локальные группы, но изменять могут только те, которые они создали. Пользователи не могут организовывать общий доступ к каталогам или создавать локальные принтеры .

Группа "Гости" позволяет случайным или разовым пользователям войти в систему со встроенной учетной записью гостя рабочей станции и получить ограниченные возможности. Члены группы "Гости" могут только прекратить работу компьютера.

Управление учетными записями пользователей и группами осуществляется пользователями, входящими в группу Администраторы.

Читайте также: