Пятница, 29.03.2024, 00:57
Приветствую Вас Гость

SYSTEM ADMINISTRATOR

Меню
Разделы
Друзья
Реклама
Наша кнопка
Опрос
Нужен ли нам форум?
Всего ответов: 64
Главная » 2011 » Апрель » 12 » Администрирование пользовательских учетных записей
13:24
Администрирование пользовательских учетных записей

Добавление учетных записей с помощью оснастки "Управление пользователями".

Для того чтобы добавить новую учетную запись в меню Действие выберите команду Новый пользователь и укажите следующие данные:

  • - Имя пользователя – это и будет именем учетной записи (ЛОГИН); Имя может содержать до 20 символов. Имя не зависит от регистра. При входе можно набирать Vasya или vasya. В имени нельзя использовать символы.
  • - Полное имя – это поле не обязательное для заполнения. Здесь вы можете указать реальные имя и фамилию пользователя. Обратите внимание - именно запись в этом поле и выводится вместе со значком пользователя в Windows XP. С одной стороны это красиво, а с другой, вносит путаницу.
  • - Описание – также не обязательное для заполнения поле, в котором можно указать дополнительные сведения о пользователе (отдел, должность и т.д.);
  • - Пароль – здесь указывается пароль для входа в систему;
  • - Подтверждение пароля – необходимо для того, чтобы гарантировать, что при вводе пароля не произошла ошибка (случайное нажатие или недожатие клавиш) иначе пользователь будет пытаться ввести пароль который задумал, а не тот который реально получился при вводе.

Теперь давайте рассмотрим назначение чекбоксов, находящихся ниже.

Первый – указывает на необходимость сменить пароль при первом входе пользователя в систему. Это требование позволяет сделать так, чтобы даже администратор не знал пароля пользователя. Вы видите, что при создании пользователя, необходимо назначить ему пароль или оставить поля для пароля пустыми. В любом случае, создающий сможет воспользоваться учетной записью пользователя, а значит войти в систему от его имени и совершать определенные действия. А это, как вы понимаете, не правильно.
Поэтому корректно при создании пользователя затребовать, чтобы он сменил пароль при первом входе в систему. В этом случае пользователю гарантируется, что только он один может воспользоваться своей учетной записью.

Следующий параметр запрещает пользователю смену пароля. Этот пункт становится активным в случае, если нет требования смены пароля при первом входе. Иначе возникает явное противоречие. Необходимость в таком пункте возникает, когда с одной учетной записью работает несколько пользователей или если учетная запись создается для сервиса (т.е. специальной служебной программы, которая будет выполняться независимо от учетной записи, с помощью которой произведен вход в систему).

Следующий параметр включается, если необходимо, чтобы пароль имел неограниченный срок действия. Срок действия пароля может задаваться политиками безопасности. Если для пароля устанавливают срок действия, это значит, что по истечении указанного времени пользователю необходимо будет сменить пароль. Чуть ниже мы коротко рассмотрим вопросы обеспечения безопасной работы и назначение этого элемента станет более понятным.
Включается этот пункт чаще для специальных учетных записей служб или в случае, если администратор желает сам контролировать пароли. Служба это программа обеспечивающая некоторые сервисные функции. Работать такая программа должна вне зависимости от того какой пользователь вошел в систему и вошел ли вообще. А как мы знаем ни один процесс не может быть запущен ни от чьего имени. Соответственно для запуска служба должна пользоваться учетной записью, а поскольку программа не может поменять себе пароль сама, то для такой учетной записи пароль устанавливают с неограниченным сроком действия.

Параметр «Отключить учетную запись» позволяет временно заблокировать учетную запись без ее удаления. Это может понадобиться в случае длительного отсутствия сотрудника или когда необходимо временно запретить ему доступ в систему. Как вы знаете каждая учетная запись имеет уникальный SID. Если запретить пользователю вход в систему посредством удаления учетной записи, то в дальнейшем уже невозможно будет создать такую же учетную запись если будет необходимо опять дать пользователю возможность входа в систему. Для временной приостановки действия учетной записи и используется этот элемент.

После создания пользователя в этом меню появится еще один параметр «Заблокировать учетную запись» Этот пункт станет активным в случае, если пользователь несколько раз введет неправильно свой пароль. Количество попыток определяется политикой безопасности. Через этот параметр можно разблокировать учетную запись.

Теперь, когда мы разобрались со всеми пунктами, можно нажать кнопку «Создать» и в системе появится новый пользователь или правильнее сказать новая учетная запись.

Теперь, когда мы создали пользователя давайте более детально разберем на что влияют рассмотренные выше настройки. Как видите затрагивая тему учетных записей приходится сразу обращать внимание на вопросы безопасности. И это понятно - учетная запись является пропуском к информации. Наша задача научиться защищать свою информацию. Что не позволяет посторонним воспользоваться вашей учетной записью? Правильно - незнание пароля. Пароль является неизвестным в этом уравнении для злоумышленника.

Поэтому о правилах работы с паролями поговорить стоит детально.

Заполучив пароль пользователя, злоумышленник сможет получить доступ ко всем ресурсам, на которые у данной учетной записи есть разрешения. Более того, можно совершить определенные действия от чужого имени. Представьте, что человек потерял свою кредитку, а пин-код (пароль) был написан на ней маркером. Наверное, он не будет удивляться, тому, что с его счета сняли деньги. Зато я часто видел удивленные лица пользователей, утверждающих: «Это сделал не я». Правильно, это сделал не он, а его болтливый язык и его учетная запись, но кому от этого легче. Может нужно пожурить клавиатуру за то, что она впустила в систему Петю под Васиным именем? Да, приходится признать, что на данный момент клавиатура не особо интеллектуальное устройство, хотя, на мой взгляд, у неё мозгов не меньше, чем у того, кто пишет свой пароль на мониторе, чтоб не забыть, а потом удивляется «Куда делся мой годовой отчет?». Запомните: пароль это святое. Желательно иметь сложный пароль, состоящий из символов, букв в верхнем и нижнем регистрах и цифр. Старайтесь использовать пароль хотя бы из восьми символов. Пароль может содержать до 128 символов, поэтому не стесняйтесь, чем больше, тем лучше.

Зачем такие сложности с паролем. Опять же хочу подчеркнуть, что имя и пароль это самая главная преграда на пути злоумышленника к вашим конфиденциальным данным. Зная ваш пароль злоумышленник представляется системе вами. И уже никакое шифрование или настройка доступа не спасут ваши данные. Система не будет защищать ваши данные от вас самих.

Какие средства может использовать злоумышленник для получения пароля пользователя?

  • 1. Обманом выяснить у пользователя его пароль.
  • 2. Угадать пароль пользователя.
  • 3. Подсмотреть, как пользователь вводит пароль.
  • 4. Получив файл, в котором хранятся зашифрованные пароли пользователей, попытаться расшифровать их, пользуясь специальными программами.

Рассмотрим основные правила, которыми должен руководствоваться пользователь для обеспечения безопасной работы.

Проведем краткий анализ опасностей и мер, направленных на устранение этих опасностей:

  • 1. Злоумышленник может позвонить пользователю, представиться администратором и попросить сказать свой пароль якобы для того, чтобы исправить настройки системы или для какой либо другой цели. Но администратор, как мы уже говорили, не должен знать паролей пользователей, он не имеет права задавать пользователю подобного вопроса! Необходимо разъяснять пользователю, что на подобные вопросы категорически запрещено отвечать, при этом необходимо ставить в известность об этом факте службу безопасности предприятия (или администратора). Нечего и говорить о том, что сам администратор не должен никогда задавать пользователю подобного вопроса. Также злоумышленник может узнать пароль пользователя, если тот пишет свой пароль на бумажке, которую кладет под клавиатуру или поступает каким либо подобным образом. Необходимо разъяснять пользователю недопустимость такого поведения.
  • 2. Злоумышленник может попробовать угадать пароль пользователя, перебирая некоторые простые пароли, например 111, 123456, qwerty, имя пользователя, кличка собаки пользователя etc.
    С одной стороны необходимо требовать, чтобы пользователи не назначали такие простые легко угадываемые пароли, с другой стороны имеет смысл отслеживать попытки злоумышленника подбирать пароли.
    Было бы неверно позволить злоумышленнику подбирать пароль сколь угодно долго. Тем более, что для таких целей можно использовать специальные программы, которые делают это с огромной скоростью.
    Предотвратить возможность угадывания пароля можно если заблокировать учетную запись в случае превышения заранее установленного количества неверных попыток входа. Такая возможность в Windows XP/2000 есть и реализуется она с помощью оснастки "Групповая политика". В этой оснастке присутствует группа настроек, задающих правила блокировки учетных записей.

    Здесь можно задать пороговое значение неправильных попыток входа, при котором учетная запись будет автоматически блокирована. Так же можно задать время на которое блокируется учетная запись или задать этот параметр так, что запись будет заблокирована до тех пор пока администратор не разблокирует ее вручную.

    Еще один таймер устанавливает время, по истечении которого счетчик неверных попыток входа в систему сбрасывается, если еще не наступила блокировка. Например пороговое значение неудачных попыток установлено в три, а сброс счетчика в десять минут. Если пользователь дважды введет пароль неверно, а затем переждет пять минут, то у него снова будет три попытки. Это вроде как ослабляет безопасность, но с другой стороны программой подбора тут уже не воспользуешься, да и у злоумышленника вряд-ли будет время делать себе перерыв на кофе. Мало того нужно еще и знать время таймаута на сброс счетчика.

    Выше мы отметили, что флаг «Заблокировать учетную запись» неактивен после создания пользователя, то есть администратор не может заблокировать учетную запись пользователя, только разблокировать ее, если произошла блокировка.

    Сейчас нам достаточно знать, что существуют средства направленные на предотвращение угадывания пароля. Итак, подытожим - средства борьбы с подбором пароля злоумышленником - это выбор не легко угадываемых (сложных) паролей и использование политики блокировки учетных записей.

  • 3. Пользователь должен заботиться о том, чтобы кто бы то ни было не смотрел ему через плечо когда он вводит свой пароль, кроме того если пароль достаточно сложен то и подсмотреть его не получится, а простой пароль, напротив, легко подсмотреть.
  • 4. Злоумышленник, получивший возможность даже на краткое время получить неограниченный физический доступ к компьютеру может украсть файл, в котором Windows хранит зашифрованные пароли пользователей с целью дальнейшего взлома паролей методом подбора.  Для того чтобы свести к минимуму шансы злоумышленника завладеть паролями учетных записей необходимо применить ряд мер, рассмотрим их.

    4.1. Необходимо ограничивать физический доступ к компьютеру посторонних лиц, устанавливать пароль на BIOS, ограничивать для пользователей возможность загрузить систему со сменного носителя. Но таким образом порой трудно ограничить доступ пользователя к собственному компьютеру, хотя тоже возможно: установить в BIOS загрузку с жесткого диска, установить пароль на BIOS Setup и периодически контролировать наличие этого пароля и его идентичность установленному администратором, так как пользователь может сбросить этот пароль, но не может узнать его, чтобы установить впоследствии точно такой же. Кроме того, имеет смысл опечатывать системный блок компьютера, что сделает невозможным сбрасывание пароля на BIOS Setup.

    4.2. Если же злоумышленнику все же удалось получить файл с зашифрованными паролями, необходимо сделать расшифровку паролей как можно более сложной задачей. Рассмотрим, что для этого необходимо сделать. Злоумышленник с помощью специального программного обеспечения будет перебирать пароли, поэтому, чем длиннее пароль и чем больше различных знаков (большие буквы, малые буквы, цифры, специальные символы) будет использоваться, тем более сложным будет подобрать пароль последовательным перебором всех возможных вариантов. Кроме того, чем длиннее будет пароль, тем сложнее его подобрать.

    Давайте, прикинем сколько комбинаций нужно перебрать если пароль состоит только из цифр и имеет длину 4 символа. Поскольку цифр всего десять, то вариантов будет десять в четвертой степени, то есть 10000. По опыту скажу, что программа взломщик тратит на такой пароль одну, две секунды (зависит от мощности компьютера на котором она запущена).
    Тепрь возьмем все малые буквы английского алфавита и тоже четыре знака. Количество комбинаций будет 26 в четвертой степени или 456976. На такой пароль опять же тратятся секунды. Обратите внимание, как резко возрастает количество комбинаций при увеличении длины пароля. Возьмем предыдущий случай с длиной пароля 8 символов. Количество комбинаций будет уже 208827064576. А это уже дни, а не секунды.
    Прикинем, что получится если использовать цифры, символы, большие и малые буквы и зададим длину хотя бы 7 знаков, получится что-то около 60170087060757, а если к этому добавить различные байтовые комбинации, то число трудно себе представить.

    Понятно, что длинный пароль тяжело взломать, но пользователи неохотно используют такие пароли, их трудно запоминать. Для того чтобы принудить пользователя выбирать длинные пароли, в Windows XP/2000 есть специальная настройка политики, кроме того, для того чтобы принудить пользователей выбирать пароли из различных символов снова таки есть специальная настройка политики.

    Злоумышленник может перебирать пароли не тупым перебором комбинаций, а воспользоваться словарем. Очевидно, что слов в языке гораздо меньше, чем произвольных комбинаций знаков, поэтому недопустимо выбирать в качестве пароля слово. Вспомните размер приличного словаря, где-то до 55000 слов. Сравните это число с тем что мы прикинули при использовании сочетания символов, букв и цифр.

    4.3. Из предыдущего следует, что за обозримое время злоумышленник все же может взломать пароль пользователя, следовательно, было бы правильно, если бы пользователь периодически менял свой пароль. Это снова таки можно потребовать в Windows с помощью механизма политики, при чем можно настроить, как часто пользователь должен менять пароль. Если пользователь не сменит свой пароль за установленный срок, его пароль устареет, и пользователя не пустят в систему, пока он не сменит свой пароль. Мы на самом деле уже сталкивались с устареванием пароля - создавая пользователю пароль и говоря, что он обязан его сменить, мы просто, по сути говоря, помечаем его пароль как устаревший. Устаревание нельзя назначить для каждого пользователя в отдельности гибко, одно правило касается всех пользователей. Но при создании пользователя для него можно было отметить флаг "пароль пользователя не истекает", впрочем, это можно сделать в любое время - это означает, что данный пользователь не должен менять свои пароли по принуждению.

    Но что, если пользователь ленится запоминать новый пароль, а его заставляют его сменить? Естественно, пользователь введет свой старый пароль в качестве нового, таким образом, формально выполнив смену, но, по сути, пароль не изменится. Чтобы избежать этого в Windows есть политика, позволяющая вести историю паролей каждого пользователя (до 24 старых паролей). Этой политикой можно запретить пользователю выбирать один из своих старых паролей. Но у пользователей остается еще одна хитрость - сменить последовательно несколько разных паролей один за другим, а после всего выбрать все то же привычный для пользователей, но не вполне безопасный пароль. Для того чтобы избежать этого в Windows есть еще одна политика - запрет на частую смену пароля, она не позволяет пользователю менять пароль чаще, чем назначено администратором.

Таким образом лишь комплексное применение всех этих политик и названных выше правил позволяет обеспечить защиту пользовательских паролей от взлома.

Вернемся к вопросу создания и управления пользователями.

Напомню, что оснастку «Локальные пользователи и группы вы можете получить через сохраненную консоль «compmgmt.msc» или «lusrmgr.msc». Для этого последовательно выберите: Пуск - Выполнить – «Имя сохраненной консоли».

Управление пользователями через апплет «Панели управления»

Некоторые интересные функции по управлению пользователями доступны так же через апплет «Пользователи и пароли» в «Панели управления» Windows 2000 и апплет «Учетные записи пользователей» в Windows XP. Здесь есть некоторые отличия для Windows XP и Windows 2000. Давайте сначала рассмотрим, какие функции нам доступны в Windows XP. Делаем двойной щелчок на иконке «Учетные записи пользователей» и получаем следующее окно.

Все действия выполняются с помощью мастера. Вам необходимо выбрать требуемую задачу и ответить на ряд вопросов, которые задаст Мастер.

Здесь мы имеем следующие возможности:

  • 1. Создание учетной записи. Тут вам предложат ввести имя пользователя, пароль, выбрать иконку для новой учетной записи и тип учетной записи. Доступны два типа учетной записи: администраторы и пользователи. Выбирая тип учетной записи, мы определяем, к какой группе будет принадлежать пользователь. Группы мы разберем в следующей теме.
  • 2. Изменение учетной записи, что включает в себя:

    - изменение имени может понадобиться в случае, если на место одного сотрудника приходит другой и необходимо, чтобы новый сотрудник обладал тем же уровнем полномочий, что и предыдущий. Естественно, новому сотруднику необходимо сменить пароль. Также здесь пользователь может поменять свое имя, если старое ему надоело.

    - изменение пароля необходимо, например, для реализации вышеописанного случая. Администратор может изменить пароль пользователю. При этом он не узнает текущий пароль пользователя. Если администратор изменит пароль для пользовательской учетной записи, то пользователь потеряет свои зашифрованные файлы. В случае если пользователь решил сам себе сменить пароль в целях безопасности, то ему необходимо будет указать свой текущий пароль, а затем ввести и подтвердить новый. При этом потери данных не будет.

    - удаление пароля. Если пользователь удаляет пароль для своей учетной записи, то это равносильно изменению пароля на пустой пароль. Опять же необходимо будет указать текущий пароль. Если администратор удаляет пароль для пользовательской учетной записи, то пользователь может потерять свои зашифрованные файлы, поэтому здесь нужно быть очень осторожным.

    - изменение изображения предполагает изменение иконки, ассоциированное с пользовательской учетной записью.

    - изменение типа учетной записи. Можно выбрать, к какой группе будет принадлежать пользователь: администраторы или пользователи.

    - удаление учетной записи. Удалить учетную запись может администратор. Пользователь не может удалить свою или чужую учетную запись. В случае, если администратор удаляет учетную запись, ему будет предложено сохранить содержимое рабочего стола и папки «Мои документы» на своем рабочем столе. Помните, что, удалив пользователя, вы не сможете создать абсолютно идентичную учетную запись, а если у пользователя были зашифрованные файлы, то доступ к ним может быть потерян навсегда.


  • 3. Изменение входа пользователей в систему.

    В Windows XP возможны два типа входа в систему. Один – через обычное окно приветствия, где необходимо указывать имя и пароль пользователя. Второй – упрощенный, где необходимо кликнуть на иконку, ассоциированную с учетной записью пользователя, и ввести пароль. В контексте безопасности первый тип более предпочтительный. В случае если вы выбираете второй тип, то необходимо отключить использование автономных файлов.

    Рассмотрим как отключить их использование. Дважды щелкните на иконке «Мой компьютер», в панели инструментов выберите меню «Сервис» -«Свойства папки» и перейдите на вкладку «Автономные файлы». Снимите птичку с чекбокса «Использовать автономные файлы».

    После этого вы сможете настроить систему на использование входа в систему простым щелчком на иконке учетной записи. Здесь же вы можете включить такую возможность как быстрое переключение пользователей. При этом при смене пользователя программы текущего пользователя не будут закрыты. Такая возможность отсутствует при использовании процедуры классического входа.

В Windows 2000 через апплет «Пользователи и пароли» доступны следующие возможности:

  • Установка автологона или требования ввода имени и пароля пользователя при входе. В случае выбора автологона, будет предложено ввести имя и пароль учетной записи, с помощью которой будет автоматически загружаться система.
  • Добавление пользователя. Процедура, аналогичная рассмотренной в Windows XP. В Windows 2000 есть возможность добавить пользователя в любую из существующих в системе групп.
  • Удаление пользователя. Полностью аналогично с Windows XP. При этом доступ к зашифрованным данным пользователя будет утерян.
  • Через меню свойств пользователя доступно переименование учетной записи, изменение полного имени и описания.
  • Смена пароля пользователя. Через это меню администратор может поменять пароль пользователя. При этом потери зашифрованных данных не происходит в отличие от Windows XP. Сам пользователь может поменять свой пароль через окно «Безопасность Windows», которое можно получить, нажав Ctrl+Alt+Del.

Через вкладку «дополнительно» запускается уже знакомая нам оснастка «lusrmgr.msc».

Теперь, когда мы рассмотрели процесс создания пользователя и многие связанные с этим вопросы, давайте зайдем в систему с новой учетной записью. Для этого выбираем в меню «Пуск» завершение текущего сеанса, получаем окно входа в систему.

Нам будет предложено сменить пароль при первом входе.

После удачной регистрации мы можем полноценно работать в системе.

Дискета сброса пароля.

Давайте обсудим, что делать в случае, если пользователь забыл свой пароль. Можно попросить администратора сменить пароль пользователя и в свойствах учетной записи установить требование смены пароля при первом входе. Как мы видели в Windows ХР, если администратор сменит пользователю пароль, пользователь потеряет доступ к своим зашифрованным файлам. Есть в Windows ХР одно средство, которое помогает обойтись без вмешательства администратора. Это средство – дискета сброса пароля. Для ее создания пользователь должен зайти в Панель управления и запустить компонент «Учетные записи пользователей». Далее выбрать свою учетную запись и среди доступных действий выбрать пункт меню «Подсказка о пароле». Запустится Мастер, который проведет вас через процедуру создания такой дискеты.

Теперь в случае если вы неправильно введете свой пароль при входе, то вам предложат воспользоваться дискетой сброса пароля.

Остается только ввести и подтвердить новый пароль.


Понятно, что такую дискету нужно хранить в безопасном месте. На мой взгляд, это нововведение вносит дополнительные сложности и ослабляет безопасность. Но это - лично мое мнение.

Настройка учетных записей с помощью оснастки "Управление пользователями".

Вернемся к оснастке «Локальные пользователи и группы» и посмотрим, какие настройки пользователя нам доступны отсюда. Выбираем нужную ученую запись и видим, что нам доступно через меню «Действие».

Здесь можно сменить пароль пользователя, удалить пользователя или переименовать учетную запись. Выбрав пункт меню «Свойства», мы получим окно, очень похожее на то, что мы видели при создании пользователя, где мы можем изменить полное имя, описание. Также нам доступны все пункты, которые мы разбирали при создании пользователя и новый пункт, позволяющий разблокировать учетную запись.

Вы видите еще две вкладки. Первая «Членство в группах» позволяет добавить или удалить пользователя в существующую в системе группу.

Для этого необходимо нажать кнопку «Добавить» и в новом окне нажать кнопку «Дополнительно» и указать, в какую группу вы хотите добавить пользователя.

Еще одна вкладка, которую мы видим – это «Профиль».

Профили пользователей.

Что же такое профиль пользователя?

Профиль пользователя – это набор значений, присваиваемых параметрам, отвечающим за настройку рабочей среды пользователя.

Вероятно, вы уже заметили, что, входя в систему с различными учетными записями, мы получаем разные настройки рабочего окружения (настройки рабочего стола, папка «Мои документы» и т.д.). При этом, если пользователь что-либо изменил в рабочем окружении, то при следующем входе он опять получит эти настройки. Эти изменения будут касаться только этого конкретного пользователя, не затрагивая остальных. Таким образом, каждый пользователь может настроить свое рабочее окружение с учетом индивидуальных потребностей для максимально комфортной работы.

Что же включает в себя профиль пользователя, какие параметры в нем сохраняются?

Профиль пользователя содержит:

  • 1. настройки интерфейса панели управления;
  • 2. настройки проводника Windows;
  • 3. постоянные сетевые подключения, включая подключения к принтерам;
  • 4. расположение и размер панели задач, программные группы и ярлыки;
  • 5. параметры стандартных программ Windows (калькулятор, блокнот...);
  • 6. данные приложений. Параметры, относящиеся к различным программам (офисные приложения, Internet Explorer, Outlook Express...)
  • 7. рабочий стол. Файлы и ярлыки, находящиеся на рабочем столе.
  • 8. Cookies. Файлы, использующиеся для идентификации пользователей в Web.
  • 9. избранные. Ярлыки, указывающие на часто используемые ресурсы.
  • 10. «Мои документы». Документы пользователя.
  • 11. ярлыки, располагающиеся в папке «Сетевое окружение» и в папке «Принтеры»;
  • 12. недавно использованные документы. Ярлыки на документы, к которым пользователь обращался последнее время.
  • 13. содержимое меню «Отправить»;
  • 14. главное меню. Содержит структуру и содержимое меню, появляющееся при нажатии кнопки «Пуск».

Где же хранятся все эти данные и настройки? Понятно, что «Мои документы», различные ярлыки могут храниться в каталогах на жестком диске. Так оно и есть. Информация, перечисленная в пунктах с шестого по четырнадцатый, сохраняется в каталоге %SystemDrive%\Documents and Settings\%USERNAME%.  Профили всех пользователей сохраняются в каталоге %SystemDrive%\Documents and Settings\. Это может быть не всегда так, поскольку при обновлении с Windows NT профили остаются в папке Profiles на загрузочном разделе.

Остальные настройки сохраняются в файле NTUSER.DAT, который так же находится в каталоге профиля пользлвателя. Давайте зайдем в какой-нибудь каталог содержащий профиль пользователя. Обращаю внимание на то, что войдя в систему с правами пользователя вам будет доступен для просмотра и редактирования профиль только текущего пользователя. С административными полномочиями доступны все профили.

В директории с профилем отображаются не все перечисленные каталоги и нет файла NTUSER.DAT. Это потому, что они являются скрытыми. Заодно включите отображение расширений для хорошо известных типов файлов, чтобы не перепутать ntuser.dat с ntuser.dat.LOG.

Добавление элементов в каталоги и их изменение происходит автоматически при изменении рабочей среды пользователя. Однако вожможно редактирование рабочего окружения и наоборот через папку профиля. Например если в папке Desktop создать ярлык, то он появится на рабочем столе пользователя, для которого редактируется профиль.

Поставим вопрос, а откуда изначально берется профиль пользователя. как вы догадываетесь, после инсталляции существует некий профиль по умолчанию. Если вы уже успели создать несколько пользователей и зайти с новыми учетными записями в систему, то заметили, что рабочее окружение каждого нового пользователя одинаковое. Это говорит о том, что пользователю задается некий профиль-шаблон, который он в процессе работы уже редактирует под себя. А хранится этот профиль там же где и все профили в прпке %SystemDrive%\Documents and Settings\ и называется "Default User".

Итак, при первом входе пользователя в систему в каталоге %SystemDrive%\Documents and Settings\ создается папка с именем входящего пользователя и туда копируется все содержимое каталога "Default User". Таким образом у пользователя появляется личный профиль. Теперь понятно почему у всех новых пользователей одинаковый профиль и почему первый вход обычно продолжительнее, чем последующие.При выходе пользователя из системы все изменения, внесенные в заданные по умолчанию параметры настройки, сохраняются в новой папке профиля. При этом профиль в папке Default User остается неизменным.

Обратите внимание на каталог "All Users". Параметры в этом каталоге применяются ко всем пользователям системы. Это значит, что при редактировании содержимого этого каталога изменения затронут всех пользователей. Это очень удобно, если администратор у необходимо произвести редактирование всех уже существующих в системе пользователей.

А можно ли настроить профиль для создаваемых в будущем пользователей. Да, конечно. Для этого нужно отредактировать содержимое каталога "Default User". Как это сделать проще всего?

1. Создайте новую учетную запись пользователя, которая будет использована как шаблон для предварительно настроенного профиля пользователя.
2. Войдите в систему под новым учетным именем, произведите настройку рабочего стола и установите приложения для настройки профиля этого пользователя как шаблона профилей пользователей.
3. Выйдите из системы, а затем снова войдите как администратор.
4. Щелкните значок Система на панели управления.
5. На вкладке Дополнительно в группе Профили пользователей нажмите кнопку "Параметры".
6. В группе Профили, хранящиеся на этом компьютере выберите учетную запись пользователя, созданную на шаге 1, и нажмите кнопку Копировать. скопируйте профиль в папку %SystemDrive%\Documents and Settings\Default User.
7. В диалоговом окне Копирование профиля в группе Разрешить использование нажмите кнопку Изменить.
8. В диалоговом окне Выбор: пользователь или группа в группе Введите имена выбираемых объектов введите Все.

Теперь настроенный профиль, который вы скопировали в папку "Default User" будет применяться ко всем вновь создаваемым пользователям.

Вернемся к настройкам учетной записи. Зачем здесь строка в которую нужно прописывать путь к профилю пользователя, если он итак известен по умолчанию. Дело в том, что профиль не обязательно должен храниться по рассмотренному нами пути. Профиль можно расположить и в другом месте, но при этом для его использования нужно будет в настройках учетной записи указать путь к профилю.

С такой возможностью связаны еще два типа профилей - перемещаемый и обязательный. Тот тип профиля,что мы рассмотрели называют локальным профилем.

Перемещаемый профиль пользователя — Перемещаемый профиль пользователя создается системным администратором и хранится на сервере. Этот профиль доступен пользователю при входе на любой компьютер в сети. При любых изменениях перемещаемый профиль обновляется на сервере.

Обязательный профиль пользователя — Обязательный профиль пользователя является перемещаемым профилем определенных параметров для отдельных пользователей или всей группы пользователей. Только системные администраторы могут вносить изменения в обязательный профиль.

Сущствует еще один тип профиля - временный. Временный профиль предоставляется в случае, если из-за ошибки не удается загрузить профиль пользователя. Временные профили удаляются в конце каждого сеанса. Изменения, внесенные пользователем в параметры рабочего стола и файлы, при выходе из системы теряются. Чаще всего временный профиль предоставляется, если используемый профиль находится в сети и неполадки сети не позволяют загрузить профиль на локальную машину.

Рассмотрение возможностей, доступных при размещении профиля в сети, требует дополнительных знаний по предоставлению ресурсов в общий доступ. Поэтому мы разберем эти возможности после рассмотрения темы «Предоставление ресурсов в общий доступ».

Сценарий входа.

Еще одно поле на вкладке "Профили" позволяет задать сценарий входа пользователя.

В отличие от поля "Путь к профилю" в поле "Сценарий" нужно указать только имя файла сценария, а путь уже известен. Что же это за путь и где размещаются файлы сценария? Чтобы ответить на этот вопрос необходимо определиться с тем, что такое сценарий входа.

Cценарий входа пользователя это программа, которая передается на компьютер пользователя и запускается автоматически при входе пользователя в сеть.

Сценарии входа не являются обязательными. Они могут применяться для настройки рабочей среды пользователя, создания сетевых соединений или запуска приложений. Сценарии входа очень удобны, если необходимо изменить некоторые параметры рабочей среды пользователя без выполнения ее полной настройки.

Положим, Вы как администратор, хотите, чтобы при входе пользователя на его компьютере запускался ... ну положим MS Word. Это можно осуществить с помощью сценариев входа. Но, разумеется, не стоит в качестве сценария (программы для запуска на компьютере пользователя) использовать файл winword.exe!!! Это бы означало, что Вы передаете на компьютер пользователя файл winword.exe размером 5Мбайт! Это совершенно бессмысленно - таким образом Вы во-первых перегружаете сеть, передавая по ней большие объемы информации, а во-вторых, сам по себе файл winword.exe это еще не полноценная программа, ей для запуска необходимы еще дополнительные библиотеки: итого таким образом Вам НЕ запустить Word на машине пользователя. Можно поступить иначе: если на компьютере пользователя установлен Word, то можно создать такой сценарий, который будет запускать Word прямо с машины пользователя. Для этого необходимо в качестве сценария пользователя создать запускаемый пакетный файл с расширением .bat, в котором указать строку вида

C:\Program Files\Office\winword.exe

Обратите внимание - в качестве сценария пользователя ему на компьютер при входе в сеть будет передан .bat файл размером в несколько байт(!). После того, как этот файл будет передан на компьютер пользователя, он будет запущен на компьютере пользователя как обычный файл, и, следовательно, это приведет к запуску MS Word с локального диска пользователя! Строк в .bat - файле может быть много - Вы можете выполнить на компьютере пользователя при его входе в сеть произвольное количество приложений или давать различные команды.

Соответственно, если Вы хотите настроить пользователя на использование сценария входа, необходимо создать файл сценария (обычно с расширением .bat), указав в нем все программы и команды, которые Вы собираетесь запускать на компьютере пользователя при его входе в сеть. Когда файл сценария создан, необходимо еще разместить его в нужном месте и настроить пользователя на использование созданного сценария. Настроить пользователя на использование некоторого сценария проще простого - в оснастке Локальные пользователи и группы в свойствах пользователя необходимо нажать кнопку Профиль и заполнить соответствующее поле.

Один сценарий может быть назначен нескольким пользователям.

Хочу обратить внимание на то, что удобно использовать сценарий входа в доменной структуре. Администратор может в любой момент переназначить пользователю сценарий входа. Чаще всего в сценарий помещают команды подключения сетевых ресурсов, принтеров, выполнения настроек. При этом пользователь не может повлиять на сценарий а в отличие от папки "автозагрузка".

На локальном компьютере использование сценария практически лишено смысла. Для изменения сценария администратору нужно будет обойти все машины, где нужно изменит сценарий. Но мы все же рассмотрим такую возможность. Главное определиться с тем, где располагать файлы сценария. А располагаются они в следующих местах:
В домене Windows NT 4.0 в сетевой папке NETLOGON на контроллере домена.
В домене Windows 2000 в папке SYSVOL контроллера домена.
На локальной машине это папка по пути %Windir%\system32\repl\import\scripts

Итак, после того, как Вы создали сценарий для пользователя, дайте ему некоторое имя, разместите в указанном выше месте (местах), а затем настройте пользователя в на использования сценария с данным именем и ... все!

Домашняя папка.

Нам осталось рассмотреть еще одну настройку пользователя - домашнюю папку.

Здесь все очень просто - пусть пользователь сохраняет свой файл из некоторой программы, в какую папку по умолчанию будет предложено пользователю сохранить файл? Для того чтобы пользователь всегда при попытке сохранить файл из приложения получал одну и ту же папку в качестве места сохранения своих документов, необходимо выполнить настройку домашней папки пользователя. Домашняя папка пользователя может быть локальной - это значит, что она располагается на компьютере пользователя и будет всегда меняться в зависимости от того, на каком компьютере работает пользователь. Для того, чтобы сделать некоторую локальную папку домашней для данного пользователя, необходимо просто указать на эту папку в свойствах учетной записи пользователя с помощью оснастки Локальные пользователи и группы для данного пользователя:

Разумеется было бы удобно настроить пользователю одну единственную домашнюю папку, которая бы не зависела от того, за каким компьютером пользователь работает. Вполне естественно, что такая домашняя папка должна быть сетевой - ведь иначе к ней нельзя было бы иметь доступ с любой машины. Соответственно, с помощью оснастки Локальные пользователи и группы можно настроить пользователю в качестве домашней папки сетевую общую папку:

При настройке сетевой домашней папки есть одна особенность, относительно локальной домашней папки: при настройке сетевой домашней папки необходимо указать букву диска, с которой будет подключена домашняя папка. Фактически это означает, что когда пользователю назначена сетевая домашняя папка, то эта папка на компьютере пользователя будет представлена как "раздел жесткого диска", этой папке будет присвоена буква диска. Это связано с тем, что не все приложения могут напрямую обращаться к сетевым ресурсам, а ставя сетевому ресурсу в соответствие некоторое локальное имя (букву диска) Windows 2000 гарантирует, что любое приложение сможет обратиться к домашней папке пользователя.

Категория: Настройки | Просмотров: 17652 | Добавил: AinCross | Теги: Администрирование пользовательских , пользовательские записи, учетные записи | Рейтинг: 3.5/2
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Регистрация
Поиск
Пользовательский поиск
Реклама
Архив записей
Календарь
«  Апрель 2011  »
ПнВтСрЧтПтСбВс
    123
45678910
11121314151617
18192021222324
252627282930
Считалки
Яндекс.Метрика

Онлайн всего: 1
Гостей: 1
Пользователей: 0