Учетные записи пользователей (user accounts)

 

Учетная запись пользователя – основа защиты Windows NT. Это уникальный личный код, предоставляющий право на доступ к ресурсам. Каждый пользователь, работающий в домене должен иметь учетную запись. Учетная запись позволяет контролировать доступ пользователей к ресурсам домена.

Учетные записи бывают трех видов. Два из них встроенные, они создаются автоматически при установке Windows NT, третий вы создаете сами.

Встроенные учетные записи: Guest (гость) (предназначена для доступа К ресурсам компьютера случайных пользователей). Administrator (применяется при выполнении административных задач).

Учетные записи могут быть глобальными и локальными. Глобальная учетная запись содержит сведения о пользователе домена.

Она позволяет с помощью одного и того же имени и пароля зарегистрироваться в домене с любого компьютера сети и работать с ресурсами домена.

Локальная учетная запись содержит информацию о пользователе только данного компьютера. С ее помощью пользователь может получить доступ к ресурсам этого компьютера.

Учетные записи создаются и управляются программой User Manager for Domains.

Группы

Группа – это набор учетных записей пользователей с похожими служебными обязанностями или потребностями в ресурсах. Принадлежность к конкретной группе определяет значительную часть возможности пользователя, так как при этом он получает все права и разрешения группы.

Группы - очень удобный метод присвоения прав и разрешений сразу нескольким пользователям. Например, если нескольким пользователям необходим доступ к какому-то файлу, можно добавить их учетные записи в группу и присвоить право доступа к этому файлу группе, а не каждому пользователю в отдельности. Пользователь может быть членом нескольких групп одновременно. При этом он приобретает права и разрешения всех групп, в которых он состоит.

Группы бывают двух видов: глобальные и локальные. Локальные группы применяются для предоставления пользователям доступа к ресурсам локального компьютера. Обычно права доступа к ресурсу присваиваются локальной группе,а затем в эту группу включают учетные записи пользователей и глобальных групп. Глобальные группы организуют учетные; -записи пользователей домена по служебным обязанностям или географическому положению. В состав Windows NT Server входят несколько встроенных глобальных групп.

Разрешения и права

Разрешения определяют правомочность выполнения конкретными пользователями различных действий с ресурсами: папками, файлами и принтерами. Права регулируют возможности пользователей на выполнение системных операций, как-то: создание учетных записей, регистрацию на локальном компьютере или выключение сервера.

 

Разрешения NTFS

Разрешения NTFS - набор специальных свойств файла или папки, заданных для ограничения доступа пользователей к этим объектам.

Они доступны только на томах, где установлена файловая система NTFS.

Говоря о разрешениях NTFS, следует различать понятия индивидуальных, стандартных и специальных разрешений. Под индивидуальными разрешениями понимают набор прав, позволяющий предоставлять пользователю доступ того или иного вида.

Этих разрешений всего шесть: Read (Прочитать), Write (Записать), Execute (Выполнить), Delete (Удалить),Change Permissions (Изменить разрешения) и Take Ownership (Стать владельцем).

Индивидуальные разрешения по отдельности имеют весьма ограниченные возможности доступа и управления файлами и папками на NTFS-разделах.

 

 

Обычно для выполнения над файлами или папками действий

определенного уровня требуются наборы индивидуальных разрешений. Такие наборы называются стандартными разрешениями. Для файлов стандартных разрешений всего четыре.

    В скобках показано, из каких индивидуальных разрешений состоят стандартные разрешения. Для папок набор стандартных разрешений несколько шире. В первой паре скобок указаны индивидуальные разрешения на доступ к самой папке, во второй -на доступ к файлам, создаваемых в этой папке. Некоторые разрешения на папку не устанавливают разрешения для файлов (No Specified).

    При этом пользователь не сможет обращаться к файлам в этой папке, если только разрешения на доступ для него не заданы как-нибудь иначе (например, через разрешения, устанавливаемы на отдельные файлы).

Таким образом, удается дифференцированию управлять доступом пользователей к файлам и папкам на разделах с файловой системой NTFS.

Специальные разрешения это комбинация индивидуальных разрешений R, W, X, D, Р, О, не совпадающих ни с одним стандартным набором. Установить специальное разрешения NTFS в диалоговом окне File Permissions или Directory Permissions можно только правкой существующих разрешения для пользователей или группы. Иными словами, чтобы установить для кого-нибудь специальное разрешение NTFS, надо установить сначала какое либо из стандартных разрешений, а        потом преобразовать его в специальное. При этом для папок можно отдельно регулировать доступ как к самой папке (Special Directory Access), так и находящимся в ней файлам (Special File Access).

Таким образом, удается дифференцированию управлять доступом пользователей к файлам и папкам на разделах с файловой системой NTFS.