Реферат: Адміністрування користувачів з використанням локальних і глобальних груп
Interactive (Інтерактивна)
Everyone (Кожен)
Creator Owner (Творець-Власник).
Будь-який користувач, який хоче отримати доступ до ресурсів, що розділяються по мережі, автоматично стає членом групи Network. Користувач, локально що ввійшов в комп'ютер, автоматично включається до групи Interactive. Один і той же користувач в залежності від того, як він працює з комп'ютером, буде мати різні права. Будь-який користувач мережі є членом групи Everyone. Адміністратор може призначити групі Everyone будь-які права. При цьому адміністратор може надати будь-які права користувачеві, не заводячи на нього облікової інформації на своєму комп'ютері. Група Creator Owner містить облікову інформацію користувача, який створив ресурс або володіє ним.
У файловій системі NTFS дозволу групі Creator Owner даються на рівні каталогу. Власник будь-якого каталогу чи файлу, створеного в цьому каталогі, отримує дозволи, дані групі Creator Owner. Наприклад, можна призначити будь-якому каталогу для членів групи Everyone дозволу Read (Читання), а групі Creator Owner надати доступ Full Control (Повне управління). Будь-який користувач, який створює файли або підкаталоги в цьому каталозі, буде мати до них доступ Full Control.
3. Вбудовані групи користувачів і їх права
Права визначаються для об'єктів типу група на виконання деяких системних операцій: створення резервних копій, вимикання комп'ютера (shutdown) і т.п. Права призначаються за допомогою User Manager for Domains.
Оператори облікової інформації (Accounts operators) не можуть змінювати облікову інформацію адміністраторів, або ж змінювати глобальну групу Domain Admins або локальні групи Administrators, Server Operators, Account Operators, Print Operators або Backup Operators.
2Хотя члени групи Users мають право створювати локальні групи домену, але вони не зможуть ним скористатися, якщо їм не дозволено входити локально в сервер або не дозволено користуватися утилітою User Manager for Domains.
3Хотя Everyone має право блокувати сервер, тільки користувачі, які можуть також входити локально в цей сервер можуть насправді його заблокувати.
Схожі права можна задати і по відношенню до Windows NT Server, не виконує роль PDC або BDC - за допомогою утиліти User Manager for Domains, а також до Windows NT Workstation за допомогою утиліти User Manager.
4. Можливості користувачів
Можливості користувачів - визначаються для окремих користувачів на виконання нечисленних дій, що стосуються реорганізації їх операційного середовища:
Включення нових програмних одиниць (іконок) до групи програм панелі Program Manager;
Створення програмних груп Program Manager;
Зміна складу програмних груп;
Зміна властивостей програмних одиниць (наприклад, включення в стартову групу);
Запуск програм з меню FILE в Program Manager;
Встановлення з'єднань з мережевим принтером, крім тих (які вже передбачені в профілі користувача).
Можливості користувача є частиною так званого профілю користувача (User Profile), який можна змінювати за допомогою утиліти User Profile Editor. Профіль поряд з описаними можливостями включає і встановлення середовища користувача на його робочому комп'ютері, такі як кольори, шрифти, набір програмних груп та їх складу.
5. Дозволи на доступ до каталогів і файлів
Адміністратор може керувати доступом користувачів до каталогів і файлів в розділах диска, відформатували під файлову систему NTFS. Розділи, відформатовані під FAT і HPFS, не підтримуються засобами захисту Windows NT. Однак можна захистити колективні по мережі каталоги незалежно від того, яка використовується файлова система.
Для захисту файлу або каталогу необхідно встановити для нього дозволу (permissions). Кожне встановлене дозвіл визначає вид доступу, який користувач або група користувачів мають по відношенню до даного каталогу або файлу. Наприклад, коли ви встановлюєте дозвіл Read до файлу MY IDEAS. DOC для групи COWORKERS, користувачі з цієї групи можуть переглядати дані цього файлу і його атрибути, але не можуть змінювати файл або видаляти його.
Windows NT дозволяє використовувати набір стандартних дозволів, які можна встановлювати для каталогів і файлів. Стандартними дозволами для каталогів є: No Access, Read, Add, Add & Read, Change і Full Control.
При встановленні стандартної чіткості поруч з ним у дужках відображаються великі літери встановлених індивідуальних дозволів. Наприклад, при встановленні для файлу стандартної чіткості Read поруч зі словом Read з'являється абревіатура RX, яка означає, що стандартного дозволу Read відповідає установка двох індивідуальних дозволів - Read і Execute.
Адміністратор може з допомогою утиліти File Manager встановлювати як стандартні, так і індивідуальні дозволу.
Для того, щоб ефективно користуватися можливостями механізмів безпеки NTFS, потрібно пам'ятати наступне:
Користувачі не можуть користуватися каталогом або файлом, якщо вони не мають дозволу на це, або ж вони не належать до групи, яка має відповідний дозвіл.
Дозволи мають накопичувальний ефект, за винятком дозволу No Access, яка скасовує всі інші наявні дозволу. Наприклад, якщо група CO-WORKERS має дозвіл Change для якогось файлу, а група Finance має для цього файлу тільки дозвіл Read, і Петров є членом обох груп, то в Петрова буде дозвіл Change. Однак, якщо дозвіл для групи Finance зміниться на No Access, то Петров не зможе використовувати цей файл, незважаючи на те, що він член групи, яка має доступ до файлу.
Коли ви створюєте в каталозі файли і підкаталоги, то вони успадковують дозволи, які має каталог.
Користувач, який створює файл чи каталог, є власником (owner) цього файлу або каталогу. Власник завжди має повний доступ до файлу або каталогу, тому що може змінювати дозволи для нього. Користувачі - члени групи Administrators - завжди можуть стати власниками будь-якого файлу або каталогу.
Найзручнішим шляхом управління захистом файлів і каталогів є установка дозволів для груп користувачів, а не для окремих користувачів. Зазвичай користувачу потрібен доступ до багатьох файлів. Якщо користувач є членом будь-якої групи, яка має доступ до цих файлів, то адміністратору простіше позбавити користувача цих прав, вилучивши його зі складу групи, а не змінювати дозволи для кожного файлу. Зауважимо, що установка дозволу для індивідуального користувача не скасовує дозволів, даних користувача як члену певної групи.