ID: 6025

Название работы: Управління обліковими записами користувачів та групами користувачів у Windows NT

Категория: Лабораторная работа

Предметная область: Информатика, кибернетика и программирование

Описание: Управління обліковими записами користувачів та групами користувачів у WindowsNT. Мета роботи: навчитись створювати та видаляти обліковий запис користувача у Windows NT Server. Навчитись створювати групи користувачів у Windows NT...

Язык: Украинкский

Дата добавления: 2012-12-27

Размер файла: 98 KB

Работу скачали: 22 чел.

Управління обліковими записами користувачів та групами користувачів у Windows NT.

Мета роботи: навчитись створювати та видаляти обліковий запис користувача у Windows NT Server.Навчитись створювати групи користувачів у Windows NT Server, включати в групу облікові записи користувачів у Windows NT Server, видаляти з групи облікові записи користувачів у Windows NT Server.

Порядок виконання роботи.

1.  Ознайомитись з короткими теоретичними відомостями.
2.  Створити обліковий запис користувача.
3.  Видалити обліковий запис користувача.
4.  Створити групу користувачів.
5.  Включити користувача в групу.
6.  Видалити групу користувачів.
7.  Закінчити роботу і здати звіт.

1.Теоретичні відомості.

1.1. Управління мережею.

Мережа, яка може працювати сама по собі, ще не придумана. Час від часу необхідно підключати нових користувачів, а серед існуючих деяких інколи видаляти. Приходиться встановлювати нові ресурси і надавати їх в спільне використання, крім того, надавати відповідні права на доступ до них. Права доступу – це правила, асоційовані з ресурсом, здебільшого з каталогом, файлом або прінтером. Права регулюють доступ споживачів до ресурсів.

Все це означає, що після установки мережею необхідно керувати.

1.2. Області адміністрування.

Мережеве адміністрування розповсюджується на п’ять основних областей, з якими повинен бути добре знайомий адміністратор мережі:

•  управління користувачами – створення та підтримка облікових записів користувачів, управління доступом користувачів до ресурсів;
•  управління ресурсами – встановлення та підтримка мережевих ресурсів;
•  управління конфігурацією – планування конфігурації мережі, її розширення, а також ведення необхідної документації;
•  управління продуктивністю – моніторинг та контроль за мережевими операціями підтримки і покращення продуктивності системи;
•  підтримка – попередження, виявлення і вирішення проблем мережі.

1.3. Обов’язки адміністратора.

Враховуючи області мережевого управління, можна скласти список задач, за виконання яких відповідає адміністратор мережі:

•  утворення облікових записів користувачів і управління ними;
•  захист даних;
•  навчання та підтримка користувачів (при необхідності);
•  модернізація існуючого програмного забезпечення та встановлення нового;
•  архівування;
•  попередження втрат даних;
•  моніторинг і управління простором для збереження даних на сервері;
•  наладка мережі для досягнення максимальної продуктивності;
•  резервне копіювання даних;
•  захист мережі від вірусів;
•  вирішення мережевих проблем;
•  модернізація та заміна компонентів мережі (при необхідності);
•  включення в мережу нових комп’ютерів.

На цьому занятті ми зосередимося на задачах, які відносяться до управління користувачами. Інші задачі теми наступних занять.

1.4. Створення облікових записів користувачів.

Кожному, хто працює в мережі, необхідно виділити обліковий запис користувача. Обліковий запис складається з імені користувача і назначених йому параметрів входу в систему. Ця інформація вводиться адміністратором і зберігається мережевою операційною системою. При спробі користувача ввійти в мережу його ім’я використовується для перевірки облікового запису.

Всі мережі мають утиліти, які допомагають адміністраторам додати в базу даних безпеки мережі нові облікові записи. Цей процес деколи називають “створенням користувача”. В Microsoft Windows NT Server утиліта для створення облікових записів називається User Manager for Domains, вона знаходиться в групі програм Administrative Tools.

Запустивши утиліту User Manager, виберіть з меню User команду New User… Появиться одноіменне вікно, в яке можна ввести інформацію, необхідну для утворення нового облікового запису користувача.

1.5. Ввід даних про користувача.

Обліковий запис містить інформацію, яка визначає користувача в системі безпеки мережі, в тому числі:

•  ім’я та пароль користувача;
•  права користувача на доступ до ресурсів системи;
•  групи, до яких відноситься обліковий запис.

Ці дані необхідні адміністратору для створення нового облікового запису.

Пояснимо призначення деяких полів, які заповнюються при створенні нового облікового запису.

•  Username – ідентифікує обліковий запис користувача. Ім’я користувача не повинно співпадати з іменем іншого користувача, групи адміністрованого домена або комп’ютера. Воно може містити до 20 будь-яких символів будь-якого регістру, за виключенням наступних: / \ : ;  = , + *  < >
•  Full Name – містить повне ім’я користувача.
•  Description – містить текст, що описує обліковий запис або користувача.
•  Pasword та Confirm Pasword – містить пароль, максимальна довжина якого 14 символів. Регістр символів в даному випадку має значення: потрібно ввести однакові паролі в обидва поля.

Windows NT Server реалізує можливість, яка є у більшості утиліт управління користувачами – копіювання облікових записів. З її допомогою адміністратор утворює “модель” користувача, окремі параметри і характеристики якої можуть бути потрібні іншим користувачам. Для утворення нового облікового запису з цими характеристиками адміністратор просто копіює цей зразковий запис і дає йому нове ім’я.

1.6. Встановлення параметрів користувача.

Більшість мережевих операційних систем дає можливість адміністраторам присвоювати користувачам деякі додаткові параметри, в тому числі:

•  час реєстрації – щоб обмежити час, під час якого користувач може ввійти в мережу;
•  домашній каталог – щоб надати користувачу місце для збереження його власних файлів;
•  термін дії облікового запису – щоб обмежити “перебування” деяких користувачів у мережі.

1.7. Профілі.

Адміністратору стане у пригоді і інша можливість – побудувати для деяких користувачів мережеве оточення. Це необхідно, наприклад, для підтримки рівня безпеки або для підтримки користувачів, які не засвоїли комп’ютери та мережі на такому рівні, щоб самостійно працювати з цією технологією. Адміністратор може утворити профілі (profiles) для управління середовищем користувачів, в якому вони опиняться після входу в систему. До середовища відносяться мережеві підключення і доступні програми, а також:

•  підключення до принтерів;
•  налаштування Program Manager;
•  значки;
•  налаштування миші;
•  кольори екрану;
•  збереження налаштування екрану.

До параметрів профілів, крім того, інколи відносяться спеціальні умови входу в систему і інформація про те, де користувач може зберігати свої файли.

Ключові облікові записи користувачів

Мережеві операційні системи поставляються з наперед створеними користувацькими обліковими записами деяких типів, які автоматично активізуються при встановленні системи.

1.8 Адміністратор – початковий обліковий запис.

При встановленні мережевої операційної системи автоматично утворюється обліковий запис користувача, наділеного повною “владою” в мережі. Саме на нього покладені наступні функції:

•  формування мережі;
•  встановлення початкових параметрів захисту;
•  створення інших користувачів.

У мережевому середовищі Microsoft цей користувач носить ім’я Administrator (Адміністратор). В середовищі Novell він відомий як Supervisor (Супервізор).

Зазвичай, той, хто встановив мережеву операційну систему, першим входить в мережу. Ввійшовши в мережу з обліковим записом адміністратора, він має повний контроль над усіма мережевими функціями.

2. Облікові записи груп.

Мережі можуть підтримувати тисячі облікових записів (accounts). Бувають випадки, коли адміністратор повинен виконати одні і тіж дії над кожним із цих записів або над значною їх частиною.

Інколи адміністратор змушений посилати одне і теж повідомлення великій кількості користувачів (повідомляючи їх про яку-небудь подію) або визначати, які користувачі повинні мати доступ до визначених ресурсів. Для цього адміністратору необхідно модифікувати кожний обліковий запис, змінюючи в ньому права доступу конкретного користувача. Якщо 100 чоловік потребує дозвіл на використання якого-небудь ресурсу, адміністратор повинен по черзі надати це право кожному із ста.

Практично всі мережеві операційні системи вирішують цю проблему, пропонуючи об’єднати окремі користувацькі облікові записи в один обліковий запис спеціального типу, який називається групою. Група (group) – це обліковий запис, який містить інші облікові записи. Основна причина реалізації груп – спрощення адміністрування. Групи надають адміністраторам можливість оперувати великим числом користувачів як одним мережевим користувачем.

Якщо 100 облікових записів об’єднані в групу, адміністратор може послати групі одне повідомлення, і всі її члени автоматично одержать його. Аналогічно право на доступ до ресурсу можна присвоїти групі, і всі її члени одержать його.

2.1 Планування груп.

Оскільки групи – дуже потужний інструмент адміністрування, при плануванні мережі їм необхідно приділяти особливу увагу. Досвідчені адміністратори знають, що практично не повинно бути індивідуальних користувачів мережі. Кожний користувач буде розділяти з другими певні привілегії та обов’язки. Привілегії (rights) уповноважують користувача на виконання деяких дій в системі. Наприклад, він може мати привілегію проводити резервне копіювання системи. Привілегії відносяться до системи в цілому і в цьому їх відмінність від прав. Права (permissions) і привілегії повинні бути присвоєні групам так, щоб адміністратор міг обходитись з ними, як з одиночними користувачами.

Групи допомагають виконувати наступні дії:

•  Надати доступ до ресурсів (таким, як файли, каталоги і принтери). Права, надані групі, автоматично надаються її членам.
•  Надати привілегії для виконання системних задач (таких, як резервне копіювання, відновлення файлів (з резервних копій) або зміна системного часу). По замовчуванню ні одному з користувачів ні одна з привілегій не присвоюється. Користувачі дістають привілегії через членство в групах.
•  Спростити зв’язок за рахунок зменшення кількості повідомлень що передаються користувачам.

2.2 Типи груп

Microsoft Windows NT Server використовує групи чотирьох типів:

•  Локальні (local) групи.

Групи цього типу реалізуються в базі даних облікових записів окремого комп’ютера. Локальні групи складаються з облікових записів користувачів, які мають права і привілегії на локальному комп’ютері, і облікових записів глобальних груп.

•  Глобальні (global) групи.

Групи цього типу використовуються в межах всього домену. Глобальні групи реєструються на головному контролері домену (PDC) і можуть містити тільки тих користувачів, чиї облікові записи знаходяться в базі даних цього домену.

•  Спеціальні (special) групи.

Ці групи зазвичай використовуються Windows NT Server для внутрішньосистемних потреб.

•  Вбудовані (built-in) групи.

Деякі функції груп цього типу загальні для всіх мереж. До них відноситься більшість задач адміністрування і обслуговування. Щоб виконати деякі стандартні операції, адміністратори повинні утворювати облікові записи користувачів і групи з відповідними привілегіями, однак багато виробників мережевих систем звільняють адміністраторів від цих турбот, пропонуючи їм вбудовані локальні або глобальні групи. Вбудовані групи діляться на три категорії:

•  адміністратори – користувачі цих груп мають максимально можливі привілегії;
•  оператори – користувачі цих груп мають обмежені адміністративні можливості для виконання специфічних задач;
•  інші – користувачі цих груп виконують обмежені задачі.

2.3 Блокування.

Якщо обліковий запис заблокувати, він і надалі буде знаходитись в базі даних облікових записів мережі, однак ніхто не зможе використати його для входу в мережу. Блокований обліковий запис ніби не існує.

Адміністратору необхідно відключити обліковий запис відразу ж після того, як користувач закінчив з ним працювати. Якщо стане відомо, що обліковий запис взагалі більше не буде потрібний, його можна знищити.

Для блокування облікових записів користувачів в Windows NT Server використовується вікно User Properties програми User Manager. Щоб заблокувати користувача, двічі клацніть ім’я його облікового запису, встановіть вказівник Account Disabled, а після того натисніть ОК. Тепер обліковий запис заблокований.

2.4. Дозвіл на доступ до каталогів та файлів

В Windows NT адміністратор може управляти доступом користувачів до каталогів та файлів тільки в розділах диску, в якому встановлена файлова система NTFS. Розділи FAT не підтримуються засоби захисту Windows NT, тому що в FAT у файлів та каталогів відсутні атрибути для збереження списків управління доступом. Доступ до каталогів і файлів контролюється за рахунок встановлення відповідних дозволів.

Дозволи в Windows NT бувають індивідуальні і стандартні. Індивідуальні дозволи відносяться до елементарних операцій над каталогами і файлами, а стандартні дозволи є об’єднанням декількох індивідуальних дозволів.

В поданій нижче таблиці (табл.1) показані шість індивідуальних дозволів (елементарних операцій), зміст яких відмінний для каталогів та файлів.

Таблиця 1. Індивідуальні дозволи.

Дозвіл	Для каталога	Для файла
Read (R)	Читання імен файлів і каталогів, які входять в даний каталог, а також атрибутів і власника каталога	Читання даних, атрибутів, імені власника і дозволів файла
Write (W)	Дописування файлів і каталогів, зміна атрибутів каталога, читання власника і дозволів каталога	Читання власника і дозволів файла, зміна атрибутів файла, зміна і дописування даних файла
Execute (X)	Читання атрибутів каталога, виконан-ня змін в каталогах, які входять в да-ний каталог, читання імені власника і дозволів каталога	Читання атрибутів файла, іме-ні власника і дозволів. Вико-нання файла, якщо він зберігає код програми
Delete (D)	Знищення каталога	Знищення файла
Change Permission (P)	Зміна дозволів каталога	Зміна дозволів файла
Take Ownership (O)	Стати власником каталога	Стати власником файла

Для файлів в Windows NT визначено чотири стандартних дозволи: No Access, Read,Change і Full Control, які об’єднують індивідуальні дозволи, перераховані в наступній таблиці.

Таблиця 2. Стандартні дозволи

Стандартний дозвіл	Індивідуальний дозвіл
No Access	Ні одного
Read	RX
Change	RWXD
Full Control	Всі

Дозвіл Full Control відмінний від Change тим, що дає право на зміну дозволів (Сhange Permission) і набуття власності файлом (Take Ownership).

Для каталогів в Windows NT визначено сім стандартних дозволів: No Access, List, Read, Add, Add  Read, Change і Full Control. В наступній таблиці (табл.3.) показана відповідність стандартних дозволів індивідуальним дозволам для каталогів, а також те, яким чином ці стандартні дозволи перетворюються в індивідуальні дозволи для файлів, які входять в каталог в тому випадку, якщо файли успадковують дозволи каталога.

Таблиця 3. Відповідність дозволів.

Стандартні дозволи	Індивідуальні дозволи для каталога	Індивідуальні дозволи для файлів каталога при успадковуванні
No Access	Ні одного	Ні одного
List	RX	Не визначені
Read	RX	RX
Add	WX	Не визначені
Add  Read	RWX	RX
Change	RWXD	RWXD
Full Control	Всі	Всі

При утворенні файлу він успадковує дозволи від каталога вказаним способом тільки в тому випадку, якщо у каталога встановлений признак спадковості його дозволів. Стандартна оболонка Windows NT - Windows Explorer – не дозволяє встановити такий признак для кожного дозволу окремо (тобто задати маску успадкування), управляючи спадковістю по принципу “все або нічого”.

Існує ряд правил, які визначають дії дозволів.

•  Користувачі не можуть працювати з каталогом або файлом, якщо вони не мають явного дозволу на це або ж вони не відносяться до групи, яка має відповідний дозвіл.
•  Дозволи мають накопичувальний ефект, за винятком дозволу No Access, який відміняє усі решта дозволи. Наприклад, якщо група Engineering має дозвіл Change для якогось файлу, а група Finance має для цього файлу тільки дозвіл Read і Петров є членом обох груп, то у Петрова буде дозвіл Change. Однак якщо дозвіл для групи Finance зміниться на No Access, то Петров не зможе використати цей файл, незважаючи на те, що він член групи, яка має доступ до файлу.

По замовчуванню в вікнах Windows Explorer знаходять своє відображення стандартні права, а перехід до відображення індивідуальних прав відбувається тільки при виконанні деяких дій. Це стимулює адміністратора і користувача до використання таких наборів прав, які розробники операційних систем вважали найбільш прийнятними.

Хід роботи.

1.  Подвійним клацанням значка Lab 20A у групі програм Activity запустіть лабораторну роботу №20А.
2.  Двічі клацніть значок Administrative Tools.Відкриється група Administrative Tools.
3.  В групі Administrative Tools двічі клацніть значок User Manager for Domains. Запуститься програма User Manager for Domains. Зверніть увагу: відображаються два вікна.У верхньому –список імен облікових записів користувачів, зареєстрованих у системі.У нижньому –список існуючих груп.
4.  З меню User вибрати команду New User. Оскільки це імітація, команди меню сірого кольору, за винятком двох: New User і Delete. (Сірі команди недоступні і не можуть використовуватись в даній лабораторнй роботі.)
5.  Клацніть команду New User. Розкриється діалогове вікно New User .
6.  Використовуючи наші рекомендації, додайте в якості користувача самого себе:

Username - введіть своє ім’я (або декілька його початкових літер.)

Full Name - введіть своє повне ім’я.

Description - введіть будь-який опис, який несе інформаційне повідомлення про даного користувача.

Password-введіть довільний текст, проте запам’ятайте його, тому що в наступному полі Вам потрібно повторити абсолютно точно цей текст, підтверджуючи тим самим, що Ви пам’ятаєте свій пароль.

Confirm Password-знову введіть пароль.

Всі ці поля Ви можете використовувати в даній лабораторній роботі.Клацнувши Help, Ви дізнаєтись про значення інших полів, а саме:

•  User Must Change Password at Next Logon;
•  User Cannot Change Password;
•  Password Never  Expires;
•  Account Disabled.

Кнопки Groups і Profile в даній лабораторній роботі обговорюватись не будуть.

1.  Виберіть ОК, створення облікового запису буде закінчено.
2.  Параметри облікового запису користувача перепишіть у звіт.
3.  Виберіть ім’я користувача, створеного при виконанні попереднього завдання.
4.  З меню User виберіть Delete.
5.  Виконавши лабораторну роботу, з меню User виберіть Exit.
6.  З меню File виберіть File Lab 20A.
7.  Подвійним клацанням значка Lab 20В у групі програм Activity запустіть лабораторну роботу №20В.
8.  Двічі клацніть на значок Administrative Tools.Відкриється група Administrative Tools.
9.  В групі Administrative Tools двічі клацніть значок User Manager for  Domains. Запуститься програма User Manager for Domains.
10.  З меню User вибрати команду New Local Group. Розкриється діалогове вікно New Local Group
11.   Використовуючи наступні рекомендації,включіть в систему нову групу:

Group Name – наберіть Accounting.

Description – наберіть Accounting department.

1.   Для виклику списку користувачів, яких можна включити в групу, клацніть Add.
2.  Виберіть ім’я одного з користувачів, відображених в вікні Members. Тепер ім’я буде підсвічено.
3.  Клацніть Add. Зверніть увагу: це ім’я появилось в вікні Add Names.
4.   Одночасно можна включити декілька імен: у вікні Members виберіть ім’я, а після того, утримуючи клавішу CTRL, виберіть декілька інших імен.

Зверніть увагу:всі вони будуть підсвічені. Для включення всіх імен в вікно Add Names натисніть Add.

1.  Параметри створеної групи перепишіть у звіт.
2.  Коли Ви виберете всі імена, які потрібно включити в групу Accounting, виберіть OK. Ви повернетесь в вікно New Local Group.
3.   Знову виберіть OK, щоб повернутись у вікно User Manager for Domains.
4.  Виберіть ім’я групи, яку Ви хочете видалити. Із меню User виберіть Delete. Група буде видалена.
5.  Виконавши лабораторну роботу, із меню User виберіть Exit. Ця команда закриє програму User Manager for Domains.
6.  Із меню File виберіть Exit Lab 20В.
7.  Закінчіть роботу і здайте звіти.

Контрольні питання.

1.  Перерахуйте обов’язки системного адміністратора.
2.  Яку інформацію містить обліковий запис користувача?
3.  Поясніть призначення профілів.
4.  Які права на файли та каталоги системний адміністратор може надати

користувачу?

1.  Для чого використовується об’єднання користувачів в групи і що це забезпечує?
2.  Назвіть типи груп користувачів, які використовує Microsoft WindowsNT Server
3.  Яка різниця між глобальними та локальними групами користувачів?
4.  Назвіть переваги файлової системи NTFS?

Список літератури.

1.  Буров Є. Комп’ютерні мережі. Львів БаК, 1999р.-468с.
2.  Компьютерные сети. Учебный курс Microsoft. - М.: Издательский отдел "Русская Редакция". – 1997
3.  Сетевые операционные системы В.Г. Олифер, Н.А. Олифер. – СПб: Питер, 2001. 544с.
4.  Бэрри Нанс. Компьютерные сети. - М.: БИНОМ. - 1996.