Лабораторная работа 6. Основы администрирования в ОС Windows ХР

Цель работы: научиться администрировать в ОС Windows ХР.

Теоретические сведения. ОС Windows ХР имеет широкий набор средств управления компьютером. Для работы пользователей в системе создаются учетные записи, которые наделяются правами на выполнение тех или иных действий. В процессе установки Windows ХР создается учетная запись с именем Администратор, которая обладает максимальными правами. Администраторы наделены всеми правами для настройки системы. Они также могут управлять правами других пользователей. На завершающем этапе инсталляции система предложит создать одну или несколько учетных записей для обычных пользователей, которые по умолчанию тоже будут наделены правами администратора. Пользователь с правами администратора может создавать, изменять и удалять учетные записи других пользователей, а также наделять их теми или иными правами.

Можно создать пользователей с ограниченными учетными записями. Пользователь с такой учетной записью может запускать программы, создавать, редактировать и удалять документы, но у него будут существенно ограничены возможности изменения системных настроек.

Для каждой учетной записи система создает конфигурацию пользователя — набор папок, в которых хранится личная информация пользователя. По умолчанию конфигурации хранятся в папках с именами учетных записей, которые находятся в папке Documents and Settings системного раздела. Каждая конфигурация содержит личные папки пользователя: Рабочий стол, Мои документы, Главное меню и Избранное.

Изменение параметров учетных записей. Для изменения параметров учетных записей можно выполнить команду Пуск ► Панель управления и щелкнуть на ссылке Учетные записи пользователей.

Пользователи с ограниченной учетной записью могут изменять только свой пароль и рисунок, а администраторы компьютера могут создавать, удалять и изменять любые учетные записи.

Существуют следующие основные особенности выполнения операций с учетными записями:

· При создании пароля система предложит защитить Ваши личные папки, если Windows ХР установлена на раздел с системой NTFS.

· Чтобы изменить пароль своей учетной записи, обязательно нужно указать текущий пароль.

· При создании пароля можно ввести подсказку, которая позволит вспомнить забытый пароль.

Среди учетных записей присутствует особая учетная запись Гость, которая служит для входа пользователей без создания учетной записи. Запись Гость по умолчанию отключена, и для ее включения щелкните на ее значке и в следующем окне нажмите на кнопку Включить учетную запись Гость. После этого можете разрешить другим пользователям работать на компьютере, используя эту учетную запись. Она обладает жесткими ограничениями, не позволяющими изменять системные настройки.

Задание:

1. Создайте учетную запись пользователя с правами администратора.

2. Создайте учетную запись пользователя с ограниченными правами.

3. Измените изображение учетной записи.

4. Результат работы покажите преподавателю.

5. Удалите учетную запись.

Управление учетными записями в Windows ХР Professional. ОС Windows ХР Professional ориентирована на работу в сети, поэтому в ней имеются дополнительные средства для управления правами пользователей. Эти средства предназначены, в первую очередь, для системных администраторов.

Локальные пользователи и группы. Это оснастка консоли управления, входящей в состав средства Управление компьютером. Щелкните правой кнопкой на значке Мой компьютер и выберите команду Управление. В окне Управление компьютером раскройте узел Служебные программы ► Локальные пользователи и группы.

В оснастке Локальные пользователи и группы имеются две папки Пользователи и Группы. Папка Пользователи содержит всех пользователей, имеющих учетные записи, а также специальные системные учетные записи.

Для облегчения управления правами пользователей их объединяют в группы. В папке Группы можно просмотреть список имеющихся групп, а дважды щелкнув на выбранной группе, можно узнать, какие пользователи включены в нее.

Использование групп позволяет назначить права доступа один раз для группы, а затем включать в нее выбранных пользователей. Например, в системе имеется встроенная группа Администраторы, которой назначен полный доступ ко всем системным объектам. Когда создаете нового пользователя и назначаете его администратором, его учетная запись помещается в группу Администраторы и он автоматически получает все установленные для этой группы права.

Основное применение этой оснастки — помещение пользователей в одну из групп для назначения им соответствующих прав. Можно поместить пользователя в несколько групп, в этом случае он получит права всех групп, членом которых он является.

Задание:

1. Просмотрите список пользователей с правами администратора.

2. Просмотрите список пользователей той или иной группы.

3. Создайте нового пользователя и поместите его в одну из групп.

Локальные параметры безопасности. Для запуска этого окна откройте Панель управления и в категории Производительность и обслуживание дважды щелкните на значке Администрирование, после этого откройте значок Локальная политика безопасности. Здесь можно изменять различные административные параметры, которые разделены на несколько групп.

Задание: Просмотрите административные параметры безопасности.

Групповая политика. Это средство разработано специально для администраторов компьютерных сетей и позволяет централизованно управлять множеством различных параметров работы компьютера. При подключении компьютера к домену нельзя использовать групповую политику, этим правом будут обладать только администраторы сети.

Чтобы запустить средство Групповая политика, выберите Пуск ► Выполнить, введите gpedit. msc и нажмите ОК.

При анализе возможностей настроек Windows ХР с помощью системного реестра обнаруживается, что почти все настройки можно выполнить с помощью групповой политики.

Перед редактированием параметров групповой политики создайте контрольную точку восстановления или выполните архивацию состояния системы, чтобы иметь возможность вернуться к прежнему состоянию системы после неудачного изменения параметров.

Чтобы узнать назначение большинства параметров групповой политики, дважды щелкните на названии выбранного параметра и в появившемся окне вы сможете найти вкладку с объяснениями.

Задание: Посмотрите назначение параметров групповой политики Административные шаблоны в Конфигурации пользователя (Панель задач и меню Пуск, Рабочий стол, Панель управления).

Разграничение доступа к файлам. Практически к каждому компьютеру могут иметь доступ несколько человек. Возникает необходимость защиты своих файлов от несанкционированного доступа.

При использовании разделов с файловой системой NTFS можно управлять правами доступа к файлам и папкам для различных пользователей. Эта возможность реализована в самой файловой системе в виде списка управления доступом, который хранится для каждого файла или папки вместе с именем, размером, датой и другими атрибутами. При выполнении каких-либо операций с файлом или папкой сначала проверяется список имеющихся для него (нее) разрешений, и если для текущего пользователя разрешение на выполнение конкретного действия отсутствует, то пользователю будет отказано в выполнении данного действия.

В Windows ХР применен способ управления разрешениями под названием простой общий доступ к файлам.

Простой общий доступ к файлам. После установки Windows ХР в раздел с файловой системой NTFS автоматически включается режим простого общего доступа к файлам, который позволяет защитить личные папки и файлы, не вдаваясь в тонкости работы механизма разграничений.

При включенном простом общем доступе каждый пользователь может либо разрешить, либо запретить использование другими пользователями только своих личных папок, таких, как Рабочий стол, Мои документы, Главное меню и Избранное. Личные папки каждого пользователя находятся в его конфигурации, которая хранится по адресу: Documents and Settings\Имя_пользователя. Пользователь не может изменять права доступа для объектов, которые находятся вне его личной конфигурации.

Есть два способа включить защиту личных папок и файлов от других пользователей:

· При создании пароля для Вашей учетной записи система предложит защитить личные папки и файлы.

· Вы можете установить защиту только для одной или нескольких личных папок. Для этого щелкните правой кнопкой на значке выбранной папки, выберите команду Свойства и перейдите на вкладку Доступ. Здесь можете установить флажок Отменить общий доступ к этой папке, что сделает эту папку недоступной для других пользователей. Чтобы защитить таким образом всю конфигурацию, откройте папку Documents and Settings и выполните описанные действия для папки с именем вашей конфигурации.

Кроме конфигураций пользователей с их личными папками, в системе автоматически будет создана конфигурация All Users с соответствующими папками Рабочий стол, Документы, Главное меню и Избранное.

К этим папкам администраторы имеют полный доступ, а пользователи с ограниченными учетными записями могут создавать в них свои файлы, но не могут изменять файлы других пользователей. Любой объект, помещенный в папку Рабочий стол или Главное меню конфигурации All Users, будет виден на Рабочем столе или в Главном меню всех пользователей. Папка Документы отображается в папке Мой компьютер каждого пользователя с именем Общие документы.

По умолчанию новая учетная запись создается с правами администратора без пароля и защиты личных папок.

Любой пользователь может запретить доступ к своим личным папкам для всех других пользователей. Однако если учетная запись пользователя не защищена паролем, то любой другой пользователь может использовать ее для входа в систему и получения доступа к файлам.

Пользователь с правами администратора имеет доступ ко всем папкам и файлам, в том числе и к личным папкам других пользователей, за исключением тех папок, которые защищены их владельцами.

Пользователь с ограниченной учетной записью не имеет доступа к личным папкам всех других пользователей, даже если они не защищали свои папки. Кроме этого, запрещено изменение содержимого системных папок, например Windows или Program Files.

Пользователь с ограниченной учетной записью может создавать и изменять свои файлы в папке Общие документы, файлы других пользователей он может только просматривать.

Пользователь с правами администратора может изменить свойства любой другой учетной записи, в том числе и пароль, что позволит ему получить доступ к защищенным файлам. Однако об этом сразу же станет известно владельцу этих файлов, так как администратор не сможет вернуть прежний пароль.

Все сказанное выше справедливо только при установке Windows ХР на раздел с файловой системой NTFS.

Задание:

1. Установите защиту для одной из своих личных папок.

2. Установите защиту для папки с именем Вашей конфигурации.

3. Создайте файл и поместите его в папку Рабочий стол конфигурации All Users.

4. Убедитесь, что файл виден на Вашем Рабочем столе.

Смена разрешений для отдельных папок и файлов. В Windows ХР имеется система разрешений для разграничения доступа к папкам, находящимся вне конфигураций пользователей или вообще на другом разделе или разграничения доступа к файлу нескольким пользователям, например, первому пользователю нужно открыть полный доступ, второму — только для чтения, а третьему — запретить вообще все действия.

Получить доступ к средствам изменения разрешений можно как в Windows ХР Home Edition, так и в Windows ХР Professional, однако делать это придется по-разному:

· Windows ХР Professional. Нужно отключить простой общий доступ к файлам. Для этого в окне Мой компьютер выполните команду Сервис ► Свойства папки и на вкладке Вид снимите флажок Использовать простой общий доступ.

· Windows ХР Home Edition. В этой системе невозможно отключить простой общий доступ, поэтому для управления разрешениями нужно загрузить компьютер в безопасном режиме. Для этого во время старта системы нажмите F8 и выберите в меню дополнительных вариантов загрузки строку Безопасный режим, после чего войдите в систему с использованием учетной записи администратора.

В обоих случаях после выполнения указанных действий можно увидеть вкладку Безопасность в окне свойств любой папки или файла.

С помощью этой вкладки можно разрешать или запрещать выполнение отдельных действий с конкретным объектом. В верхней части вкладки Безопасность содержится список пользователей и групп, для которых установлены разрешения или запреты. Выбрав из этого списка любое имя пользователя или группы, можно увидеть его разрешения.

При задании разрешений с более высоким приоритетом автоматически устанавливаются флажки зависимых разрешений. Например, установка флажка Полный доступ автоматически устанавливает флажки всех остальных разрешений. Установка флажка Запретить всегда имеет более высокий приоритет.

Значения разрешений доступа:

· Полный доступ – разрешено выполнение всех операций, в том числе можно изменять разрешения и становиться владельцем объекта.

· Изменить – разрешено выполнение всех основных операций: просмотр, чтение, изменение, создание и удаление объектов. Изменять имеющиеся разрешения и становиться владельцем объекта не разрешается.

· Чтение и выполнение – разрешен просмотр файлов и запуск программ.

· Список содержимого папки – применяется только для папок ианалогично разрешению Чтение и выполнение.

· Чтение – разрешено чтение содержимого файлов и папок.

· Запись – разрешено создание файлов и запись данных.

· Особые разрешения – при установке этого флажка к объекту применяются особые разрешения, просмотреть которые можно, нажав кнопку Дополнительно.

Кнопка Дополнительно открывает окно установки дополнительных параметров безопасности, состоящее из нескольких вкладок.

Вкладка Владелец окна Дополнительные параметры безопасности позволяет узнать текущего владельца объекта и при необходимости сменить его. Смена владельца может понадобиться для получения доступа к файлам пользователя, учетная запись которого была удалена.

Рекомендуется устанавливать разрешения не для отдельных пользователей, а для групп.

Не изменяйте разрешения для учетной записи SYSTEM, это может нарушить работу операционной системы.

В качестве примера рассмотрим следующую ситуацию. Допустим, есть пользователь с учетной записью Юрий, которому нужно установить следующие разрешения доступа к его папке Мои документы:

· для себя установить Полный доступ;

· всем другим пользователям с учетными записями администратора дать доступ для чтения и выполнения;

· обеспечить также доступ для чтения и выполнения пользователю Виктор, учетная запись которого является ограниченной.

Для решения этих задач пользователь с именем Юрий может поступить следующим образом:

· Щелкнуть правой кнопкой мыши на значке папки Мои документы, выбрать команду Свойства и перейти на вкладку Безопасность. Полный доступ имеет группа Администраторы и учетная запись Юрий (Учетную запись SYSTEM не трогать!). Значит, для решения задачи нужно добавить разрешения для учетной записи пользователя Виктор и отменить некоторые разрешения для группы Администраторы.

· Чтобы добавить в список разрешений пользователя Виктор, нужно щелкнуть на кнопке Добавить, в появившемся окне ввести его имя и нажать кнопку Проверить имена. Если сообщение об ошибке ввода имени не появится, то можно закрыть это окно щелчком на кнопке ОК.

· Установите для пользователя Виктор разрешение Чтение и выполнение (автоматически будут установлены зависящие разрешения) и нажмите ОК.

· Чтобы ограничить разрешения для группы Администраторы, можно попробовать установить флажок Запретить для разрешения Запись. Но это решение будет ошибочным: несмотря на то, что пользователю Юрий явно разрешен Полный доступ, он в то же время является членом группы Администраторы, и выполнение записи ему будет также запрещено, поскольку установки запрета всегда имеют более высокий приоритет.

· Пользователь Юрий не сможет убрать разрешения для группы Администраторы, поскольку они наследуются от родительской папки. Для отмены наследования следует нажать кнопку Дополнительно и снять флажок «Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне». После этого нужно нажать ОК, в появившемся окне выбрать кнопку Копировать, и повторно щелкнуть на ОК.

· После отмены наследования можно сбросить разрешения полного доступа, изменения и записи для группы Администраторы, после чего проверить их действие.

С помощью средств простого общего доступа или разрешений NTFS можете запретить доступ к Вашим личным файлам, но это не может гарантировать полную конфиденциальность при применении злоумышленниками специальных средств. Однако можно значительно усложнить доступ к важным файлам, если принять следующие меры:

· Позволяйте другим пользователям использовать для входа только ограниченные учетные записи.

· Установите в BIOS вашего компьютера первоочередную загрузку с винчестера и защитите BIOS от изменений с помощью пароля. Это не позволит загрузить компьютер с гибкого или компакт-диска и использовать утилиты для доступа к разделам NTFS.

· Обеспечьте физическую сохранность компьютера. Разобрав системный блок, злоумышленник практически всегда может получить доступ к разделам NTFS.

Если же есть необходимость хранить информацию с высоким уровнем секретности, то следует подумать об использовании шифрования файлов и папок.

Задание:

1. Отключите простой общий доступ к файлам.

2. Посмотрите права доступа пользователей и групп.

3. Установите разрешение Чтение и выполнение для Вашего файла.

4. Установите разрешение Особые разрешения для Вашей папки.

5. Щелкните правой кнопкой на значке папки Мои документы, выберите команду Свойства и перейдите на вкладку Безопасность. Посмотрите содержимое вкладки Безопасность.

6. Посмотрите текущего владельца в окне Дополнительные параметры безопасности.

Вопросы к защите лабораторной работы:

1. Что такое Панель Управления? Где она расположена и какие функции выполняет?

2. Что такое Учетная запись? Какими правами наделяются пользователи с ограниченными учетными записями?

3. Что такое конфигурация пользователя?

4. Как измененить параметры учетных записей?

5. Как включить учетную запись Гость?

6. Как посмотреть папки Пользователи и Группы?

7. Как запустить окно Локальные параметры безопасности?

8. Как запустить средство Групповая политика?

9. Как отключить режим простого общего доступа к файлам и папкам?

10. Какие действия с объектами разрешаются или запрещаются пользователям и группам?

11. Как узнать текущего владельца объекта?