Untitled Document

Занятие 4. Встроенные группы

(Продолжительность занятия 30 минут)

Встроенные группы Windows NT — это предварительно созданные группы с заранее заданным набором привилегий. Напомним, что привилегии определяют круг системных задач, которые может решать пользователь (и, в частности, член встроенной группы). На этом занятии Вы познакомитесь со свойствами и назначением встроенных групп.

Изучив материал этого занятия, вы сможете:

определить привелегии, присвоенные всироенным группам;
перечислить состав встроенных групп по умолчанию.

Встроенные группы Windows NT

На компьютере под управлением Windows NT возможны три типа встроенных групп.

Локальные группы предоставляют пользователям привилегии, необходимые для решения различных системных задач, как-то: резервное копирование и восстановление данных, изменение системного времени, администрирование ресурсов и т.п.
Глобальные группы облегчают администрирование пользователей домена.
Системные группы автоматически подразделяют пользователей на категории в соответствие с объемом прав доступа к системе. Администратору не надо включать пользователей в состав этих групп — это делается автоматически при создании учетной записи пользователя или при подключении по сети.

Примечание Встроенные группы нельзя ни удалить, ни переименовать.

Определение привилегий встроенных групп

Права, присвоенные встроенным группам, отображаются в диалоговом окне User Rights Policy (Привилегии пользователя).

> Выясните, какие группы имеют доступ к компьютеру

Запустите User Manager for Domains (Диспетчер пользователей доменов) и выберите команду User Rights (Привилегии пользователя) в меню Policies (Политики).
На экране появится диалоговое окно User Rights Policy (Привилегии пользователя). В списке Right (Привилегия) по умолчанию выбрана строка Access this computer from network (Доступ к компьютеру по сети).

Каким встроенным группам дана эта привилегия?

ответ

> Выясните, какие группы имеют право локальной регистрации

В списке Right (Привилегия) выберите строку Log on Locally (Локальная регистрация).
Каким встроенным группам дана эта привилегия?

ответ

Примечание На контроллерах доменов Windows NT Server группа Everyone (Все) по умолчанию лишена привилегии Log on Locally (Локальная регистрация). На Вашем компьютере эта привилегия присвоена группе Everyone (Все) при установке материалов учебного курса (см. раздел «Об этой книге»); это сделано исключительно в учебных целях.

> Выясните, какие группы имеют право изменять системное время

В списке Right (Привилегия) выберите строку Change the system time (Изменение системного времени).
Каким встроенным группам дана эта привилегия?

ответ

> Выясните, какие группы имеют право завершить работу системы

В списке Right (Привилегия) выберите строку Shut down the system (Завершение работы системы).
Каким встроенным группам дана эта привилегия?

ответ

> Выясните, какие группы имеют право архивирования файлов и каталогов

В списке Right (Привилегия) выберите строку Backup files and directories (Архивирование файлов и каталогов).
Каким встроенным группам дана эта привилегия?

ответ

> Выясните, какие группы имеют право восстановления файлов и каталогов

В списке Right (Привилегия) выберите строку Restore files and directories (Восстановление файлов и каталогов).
Каким встроенным группам дана эта привилегия?

ответ

> Выясните встроенные привилегии группы Administrators

Просмотрите элементы списка Right (Привилегия) и выясните, какие привилегии даны только группе Administrators (Администраторы). Отметьте соотетствующие пункты в приведенном ниже списке.
- Access this computer from network (Доступ к компьютеру по сети) Q Back up files and directories (Архивирование файлов и каталогов)
- Change the system time (Изменение системного времени)
- Force shutdown from a remote system (Принудительное завершение работы системы с удаленного компьютера)
- Load and unload device drivers (Загрузка и выгрузка драйверов устройств)
- Log on locally (Локальная регистрация)
- Manage auditing and security log (Управление аудитом и журналом безопасности)
- Restore files and directories (Восстановление файлов и каталогов)
- Shut down the system (Завершение работы системы)
- Take ownership of files or other objects (Смена владельца файлов и других объектов)

Обязательные встроенные группы

Все компьютеры под управлением Windows NT снабжены встроенными группами Users (Пользователи), Guests (Гости), Administrators (Администраторы) и Backup Operators (Операторы архива). На серверах — не контроллерах домена — и рабочих

станциях под управлением Windows NT Workstation кроме перечисленных выше имеется еще одна встроенная группа — Power Users (Опытные пользователи).

Встроенная группа контроллера домена определяет полномочия своих членов в домене, а встроенная группа на сервере или рабочей станции — права входящих в нее учетных записей локального компьютера.

В таблице перечислены встроенные группы на компьютерах под управлением Windows NT и полномочия их членов.

Встроенная группа

Полномочия членов группы

Users (Пользователи)

Решение задач, разрешенных предоставленными привилегиями, и использование ресурсов, к которым им разрешен доступ. По умолчанию в состав этой группы входят все учетные записи локальной базы данных учетных записей

Administrators (Администраторы)

Решение всех административных задач на локальном компьютере. Если компьютер — контроллер домена, члены этой группы имеют административные полномочия в домене. По умолчанию в состав группы Administrators входит только локальная учетная запись Administrator (Администратор)

Guests (Гости)

Решение задач, разрешенных предоставленными привилегиями, и использование ресурсов, к которым им разрешен доступ. Члены этой группы не имеют права на изменение рабочей среды. По умолчанию в состав группы Guests входит только локальная учетная запись Guest (Гость)

Backup Operators (Операторы архива)

Архивирование и восстановление файлов локального компьютера с помощью программы Windows NT Backup. По умолчанию эта группа пуста

Power Users (Опытные пользователи)

Создание и изменение учетных записей на локальном компьютере и предоставление его ресурсов в общее пользование. Эта группа существует только на серверах, не являющихся контроллерами домена, и на рабочих станциях под управлением Windows NT Workstation

Примечание Еще одна встроенная группа — Replicator (Репликация) — используется сервисом репликации каталогов. Она не применяется в административных целях и поэтому не обсуждается в настоящем курсе.

Встроенные группы контроллера домена

Контроллеры доменов располагают помимо перечисленных выше локальных встроенных групп тремя дополнительными: Account Operators (Операторы учетных записей), Server Operators (Операторы сервера) и Print Operators (Операторы печати). Кроме того, на контроллере домена имеется три встроенные глобальные группы:

Domain Users (Пользователи домена), Domain Admins (Администраторы домена) и Domain Guests (Гости домена).

Локальные группы

В приведенной ниже таблице перечислены встроенные локальные группы, имеющиеся только на контроллерах доменов. Первоначально (после установки Windows NT Server) все эти группы пусты.

Встроенная группа

Полномочия членов группы

Account Operators (Операторы учетных записей)

Создание, изменение и удаление учетных записей пользователей и групп за исключением групп Server Operators (Операторы сервера) и Administrators (Администраторы)

Server Operators (Операторы сервера)

Предоставление дисковых ресурсов в общее пользование, а также архивирование и восстановление файлов сервера

Print Operators (Операторы печати)

Установка и настройка сетевых принтеров

Глобальные группы

При установке на контроллере домена операционной системы Windows NT Server в локальной базе данных каталогов создаются три глобальные группы: Domain Users (Пользователи домена), Domain Admins (Администраторы домена) и Domain Guests (Гости домена). По умолчанию встроенные глобальные группы не обладают никакими привилегиями — они приобретают их по мере включения в локальные группы или когда администратор явным образом присваивает глобальной группе права доступа или привилегии.

В таблице описано, какие права приобретают встроенные глобальные группы при добавлении к домену компьютера под управлением Windows NT.

Группа

Автоматически добавляется в ...

Domain Admins (Администраторы домена)

локальную группу Administrators (Администраторы), после чего члены группы Domain Admins приобретают локальные административные полномочия. Учетная запись Administrator (Администратор) входит в эту группу по умолчанию

Domain Users (Пользователи домена)

локальную группу Users (Пользователи). Каждая новая учетная запись домена автоматически добавляется к этой группе. Учетная запись Administrator (Администратор) входит в эту группу по умолчанию

Domain Guests (Гости домена)

локальную группу Guests (Гости). Учетная запись Guest (Гость) входит в эту группу по умолчанию

> Выясните, кто по умолчанию входит в состав группы Domain Admins

Зарегистрируйтесь в системе по учетной записи Administrator (Администратор).
Запустите User Manager for Domains (Диспетчер пользователей доменов).
В списке Groups (Группы) дважды щелкните строчку Domain Admins.
Какие встроенные учетные записи пользователей и глобальных групп по умолчанию входят в состав группы Domain Admins (Администраторы домена)?

ответ
Щелкните кнопку Cancel (Отмена), чтобы вернуться в окно утилиты User Manager for Domains.

> Выясните, кто по умолчанию входит в состав локальной группы Administrators

В списке Groups (Группы) дважды щелкните строчку Administrators.

Какие встроенные учетные записи пользователей и глобальных групп по умолчанию входят в состав группы Administrators (Администраторы)?

ответ

> Выясните, кто по умолчанию входит в состав других встроенных глобальных групп

В списке Groups (Группы) дважды щелкните каждую из перечисленных ниже глобальных групп.
Какие учетные записи входят в группу Domain Users (Пользователи домена)?
ответ
Какие учетные записи входят в группу Domain Guests (Гости домена)?
ответ

> Выясните, кто по умолчанию входит в состав локальной группы Guests

В списке Groups (Группы) дважды щелкните строчку Guests.
Какие учетные записи пользователей и групп входят в состав группы Guests (Гости)?
ответ

> Выясните, кто по умолчанию входит в состав локальной группы Users

В списке Groups (Группы) дважды щелкните строчку Users.
Какие учетные записи пользователей и групп входят в состав группы Users (Пользователи) ?
ответ

Встроенные системные группы

Системные группы устанавливаются на всех компьютерах под управлением Windows NT. В отличие от других встроенных групп членство в системных группах определяется не администратором, а системными (и, в частности, сетевыми) действиями пользователя. Состав системных групп нельзя изменить.

В таблице описаны основные системные группы, используемые при администрировании сети.

Системная группа

Описание

Everyone (Все)

В состав этой группы входят все локальные и удаленные пользователи, подключенные к компьютеру, включая зарегистрировавшихся по учетной записи Guest (Гость). Администратор не может управлять членством в этой группе, однако в его распоряжении есть другой метод контроля — присвоение привилегий и прав этой группе. Группа Everyone полезна, если нет необходимости ограничивать доступ к ресурсу

Creator Owner (Создатель/владелец)

Включает пользователя, который создал соответствующий ресурс или стал его владельцем при смене такового. Если новый владелец — член группы Administrators (Администраторы), фактическим владельцем ресурса становится вся административная группа. Группа Creator Owner полезна для управления доступом к файлам на разделах NTFS

В следующей таблице описаны системные группы, не применяемые для администрирования сети.

Системная группа

Описание

Network (Сетевые пользователи)

В состав этой группы входят удаленные пользователи, подключенные к сетевым ресурсам локального компьютера

Interactive (Интерактивные пользователи)

В состав этой группы автоматически попадает каждый зарегистрированный пользователь компьютера

Примечание. Группы Everyone (Все) и Creator Owner (Создатель/владелец) более подробно обсуждаются в следующих главах настоящего курса.

Системные группы не появляются в соответствующем окне утилиты User Manager for Domains (Диспетчер пользователей доменов) — их можно увидеть только в окне свойств дискового ресурса NTFS.

> Изучите системные группы

Запустите Windows NT Explorer (Проводник).
Щелкните правой кнопкой мыши любой том NTFS.
В меню объекта выберите команду Properties (Свойства).
На экране появится диалоговое окно диск: Properties (диск: Свойства).
Щелкните вкладку Security (Защита).
Щелкните кнопку Permissions (Права доступа).
На экране появится диалоговое окно Directory Permissions (Права доступа к каталогу).
Щелкните кнопку Add (Добавить).
Появится диалоговое окно Add Users and Groups (Добавление пользователей и групп).

В списке Names (Имена) среди прочих перечислены следующие системные группы (если список велик, Вам придется прокрутить его, чтобы найти их):

Creator Owner (Создатель/владелец);
Interactive (Интерактивные пользователи);
Network (Сетевые пользователи);
System (Система).

Закройте все диалоговые окна и Windows NT Explorer.

Применение встроенных групп для локального администрирования

Любому пользователю можно присвоить привилегии администратора, включив его учетную запись в локальную группу Administrators (Администраторы). Это дает ему административные полномочия на локальном компьютере. Такой подход удобен, например, когда нужно предоставить пользователю право администрирования собственного компьютера.

Примечание Пользователь, чья учетная запись включена в группу Administrators (Администраторы) главного контроллера домена, приобретает административные полномочия на всех компьютерах домена.

> Как добавить пользователя в локальную группу Administrators

В этом упражнении Вы присвоите административные полномочия вице-президенту компании «Разноимпорт».

Зарегистрируйтесь в системе по учетной записи Administrator (Администратор).
Запустите User Manager for Domains (Диспетчер пользователей доменов) и добавьте учетную запись VicePresident3 в группу Administrators (Администраторы).
Выйдите из системы.

> Проверка административных полномочий пользователя

Зарегистрируйтесь в системе по учетной записи VicePresident3.
Запустите User Manager for Domains (Диспетчер пользователей доменов) и попробуйте создать учетную запись пользователя.
Удалось ли Вам создать новую учетную запись? Почему?

ответ
Выйдите из системы.

Применение встроенных групп для централизованного администрирования

Членам группы Administrators (Администраторы) одного домена можно предоставить право администрировать ресурсы другого домена. Это делается с помощью глобальной группы Domain Admins (Администраторы домена).

Добавьте группу Domain Admins (Администраторы домена) домена, администраторы которого будут заниматься удаленным администрированием, в локальную группу Administrators (Администраторы) главного контроллера домена, подлежащего удаленному администрированию. В результате члены глобальной группы Domain Admins (Администраторы домена) приобретут право администрировать учетные записи и защищать ресурсы на всех контроллерах домена.

На приведенной ниже схеме группа Domain Admins домена Домен2 включена в состав группы Administrators главного контроллера домена Домен1. В результате члены группы Domain Admins домена Домен2 приобретают административные полномочия в домене Домен1.

Группа Domain Admins (Администраторы домена) локального домена автоматически включается в состав локальных групп Administrators (Администраторы) на всех рабочих станциях (компьютерах под управлением Windows NT Workstation) и серверах (компьютерах под управлением Windows NT Server, не выполняющих функций контроллера) домена. Если нужно предоставить административные полномочия на таком компьютере администраторам другого домена, включите соответствующую группу Domain Admins (Администраторы домена) в локальную группу Administrators (Администраторы) компьютера.

> Как включить пользователя в глобальную группу Domain Admins

Зарегистрируйтесь в системе по учетной записи Administrator (Администратор).
Запустите User Manager for Domains (Диспетчер пользователей доменов) и исключите учетную запись VicePresident3 из локальной группы Administrators (Администраторы).
Добавьте эту учетную запись в глобальную группу Domain Admins (Администраторы домена).

> Проверка привилегий учетной записи члена группы Domain Admins

Выйдите из системы и зарегистрируйтесь по учетной записи VicePresident3.
Запустите User Manager for Domains (Диспетчер пользователей доменов) и попробуйте создать еще одну учетную запись.
Удалось ли Вам создать новую учетную запись? Почему?

ответ
Закройте User Manager for Domains и выйдите из системы.

Резюме

Встроенные группы контроллера домена определяют полномочия своих членов в домене.
Встроенные группы компьютера, не являющегося контроллером домена, определяют полномочия своих членов на локальном компьютере.
Встроенные локальные группы имеются на всех компьютерах под управлением Windows NT. Они определяют круг системных задач, которые может решать пользователь — член группы. Встроенным локальным группам заранее присвоен набор привилегий.
Встроенные глобальные группы имеются только на компьютерах — контроллерах домена. Они предоставляют администратору средства управления пользователями домена. Встроенные глобальные группы не обладают никакими заранее присвоенными привилегиями.
Системные группы устанавливаются на всех компьютерах под управлением Windows NT. Членство в системных группах определяется системными (и, в частности, сетевыми) действиями пользователя. Состав системных групп нельзя изменить.

Дополнительную информацию о ...

Вы найдете в...

встроенных группах

главе 2, «Working with User and Group Accounts», документа' Microsoft Windows NT Server Concepts and Planning

томах NTFS

главе 4, «Managing Shared Resources and Resource Security», документа Microsoft Windows NT Server Concepts and Planning

Используются технологии uCoz

Встроенная группа	Полномочия членов группы
Users (Пользователи)	Решение задач, разрешенных предоставленными привилегиями, и использование ресурсов, к которым им разрешен доступ. По умолчанию в состав этой группы входят все учетные записи локальной базы данных учетных записей
Administrators (Администраторы)	Решение всех административных задач на локальном компьютере. Если компьютер — контроллер домена, члены этой группы имеют административные полномочия в домене. По умолчанию в состав группы Administrators входит только локальная учетная запись Administrator (Администратор)
Guests (Гости)	Решение задач, разрешенных предоставленными привилегиями, и использование ресурсов, к которым им разрешен доступ. Члены этой группы не имеют права на изменение рабочей среды. По умолчанию в состав группы Guests входит только локальная учетная запись Guest (Гость)
Backup Operators (Операторы архива)	Архивирование и восстановление файлов локального компьютера с помощью программы Windows NT Backup. По умолчанию эта группа пуста
Power Users (Опытные пользователи)	Создание и изменение учетных записей на локальном компьютере и предоставление его ресурсов в общее пользование. Эта группа существует только на серверах, не являющихся контроллерами домена, и на рабочих станциях под управлением Windows NT Workstation

Встроенная группа	Полномочия членов группы
Account Operators (Операторы учетных записей)	Создание, изменение и удаление учетных записей пользователей и групп за исключением групп Server Operators (Операторы сервера) и Administrators (Администраторы)
Server Operators (Операторы сервера)	Предоставление дисковых ресурсов в общее пользование, а также архивирование и восстановление файлов сервера
Print Operators (Операторы печати)	Установка и настройка сетевых принтеров

Группа	Автоматически добавляется в ...
Domain Admins (Администраторы домена)	локальную группу Administrators (Администраторы), после чего члены группы Domain Admins приобретают локальные административные полномочия. Учетная запись Administrator (Администратор) входит в эту группу по умолчанию
Domain Users (Пользователи домена)	локальную группу Users (Пользователи). Каждая новая учетная запись домена автоматически добавляется к этой группе. Учетная запись Administrator (Администратор) входит в эту группу по умолчанию
Domain Guests (Гости домена)	локальную группу Guests (Гости). Учетная запись Guest (Гость) входит в эту группу по умолчанию

Системная группа	Описание
Everyone (Все)	В состав этой группы входят все локальные и удаленные пользователи, подключенные к компьютеру, включая зарегистрировавшихся по учетной записи Guest (Гость). Администратор не может управлять членством в этой группе, однако в его распоряжении есть другой метод контроля — присвоение привилегий и прав этой группе. Группа Everyone полезна, если нет необходимости ограничивать доступ к ресурсу
Creator Owner (Создатель/владелец)	Включает пользователя, который создал соответствующий ресурс или стал его владельцем при смене такового. Если новый владелец — член группы Administrators (Администраторы), фактическим владельцем ресурса становится вся административная группа. Группа Creator Owner полезна для управления доступом к файлам на разделах NTFS

Системная группа	Описание
Network (Сетевые пользователи)	В состав этой группы входят удаленные пользователи, подключенные к сетевым ресурсам локального компьютера
Interactive (Интерактивные пользователи)	В состав этой группы автоматически попадает каждый зарегистрированный пользователь компьютера

Дополнительную информацию о ...	Вы найдете в...
встроенных группах	главе 2, «Working with User and Group Accounts», документа' Microsoft Windows NT Server Concepts and Planning
томах NTFS	главе 4, «Managing Shared Resources and Resource Security», документа Microsoft Windows NT Server Concepts and Planning