Стандартні і додаткові права користувачів в Windows NT/2000/ХР

Призначення прав користувачам

Користувачам, що реєструються на комп'ютері або в домені Windows NT/2000/ХР, можуть бути надані права їх адміністраторами. Права, визначені в обліковому записі окремого комп'ютера Windows NT, можуть використовуватися для доступу лише до ресурсів цього комп'ютера. Облікові записи, створені на контроллері домена, можуть використовуватися для доступу до ресурсів всього домена. Для надання прав користувачу використовується утиліта User Manager for Domains, що міститься в теці Administrative Tools.

При великій кількості користувачів необхідні їм права простіше всього надати шляхом створення груп користувачів. В таку групу можна помістити користувачів, яким потрібні одні і ті ж ресурси, а потім надати права і дозволи всій групі в цілому. В Windows NT/2000/ХР є два основні види груп: локальні і глобальні. Локальні групи можуть обмежуватися окремим комп'ютером або доменом. Глобальні групи використовуються для впорядкування користувачів всього домена, завдяки чому в іншому домені цими групами можна управляти як однією одиницею. В іншому домені для адміністративних цілей глобальну групу можна помістити в локальну групу цього домена. Загальноприйнятою практикою використовування груп є включення користувачів в глобальні групи, включення глобальних груп в локальні, а потім призначення дозволів на доступ до ресурсів локальним групам. В Windows 2000/XP пішли іще дальше, оскільки було реалізовано технологію Active Directory.

На комп'ютерах Windows NT/2000/ХР є декілька вбудованих груп користувачів, перелік яких залежить від ролі цього комп'ютера в мережі.

В Windows NT/2000/ХР призначені для користувача права діляться на стандартні і додаткові. Додаткові права покликані забезпечити можливість виконання програмістами або адміністраторами певних дій, які не можуть виконувати звичайні користувачі. Нижче представлений перелік основних прав, які можна привласнити користувачеві або групі, а також їх короткий опис.

■ Manages auditing and security log (Управління аудитом і журналом безпеки). Можливість ведення аудиту використовування мережних ресурсів і управління журналами за допомогою засобу Event Viewer.

■ Backup files and directories (Архівація файлів і каталогів). З такими правами користувачі можуть створювати резервні копії навіть тих даних, для читання яких вони не мають відповідних дозволів NTFS.

■ Restore files and directories (Відновлення файлів і каталогів). Аналогічно попередньому праву. Користувачі можуть відновлювати файли з резервних копій навіть в тому випадку, якщо для доступу до диска у них немає відповідних дозволів NTFS.

■ Log on locally using keyboard and mouse (Локальна реєстрація за допомогою клавіатури і миші). Надають можливість локальній реєстрації на робочій станції або сервері.

■ Change system time (Зміна системного часу). Дозволяє змінювати дату і час комп'ютера.

■ Access this computer from network (Доступ до комп'ютера з мережі). Дозволяє реєструватися на комп'ютері по мережі. Іншими словами, надає можливість встановити мережне з'єднання, наприклад, для доступу до файлу, що спільно використовується.

■ Shut down system on computer (Завершення роботи системи). Дозволяє завершити сеанс роботи системи.

■ Add workstations to а domain (Додавання робочих станцій до домена). Користувач з такими правами може додавати нові робочі станції в базу даних домена. Це право є вбудованою можливістю груп Administrators і Server Operators домена.

■ Take ownership files and other objects (Оволодіння файлами і іншими об'єктами). Дозволяє користувачу стати власником файлів або каталогів, що належать іншому користувачу.

■ Force shutdown from а remote system (Примусове віддалене завершення). Надає можливість завершити роботу системи з віддаленого комп'ютера.

■ Load and change device drivers (Завантаження і вивантаження драйверів пристроїв). Дозволяє встановлювати і видаляти драйвери пристроїв.

На додаток до базових є і додаткові права. Вони виявляються корисними для виконання деяких задач, наприклад запуску спеціальних програм як фонова служба або частина операційної системи.

■ Acts as part operating system (Робота в режимі операційної системи). Звичайно це право призначається підсистемам операційної системи. При цьому тека може використовуватися як захищена, довірена частина операційної системи.

■ Bypass traverse checking (Обхід перехресної перевірки). Користувач з таким правом може прочитувати дані з дерева каталога навіть у тому випадку, коли у нього немає доступу до всіх каталогів дерева.

■ Create а pagefile (Створення сторінкового файлу). Звичайно надається групі Administrators. При цьому за допомогою утиліти System панелі управління користувач може створювати додаткові файли віртуальних сторінок.

■ Create а token object (Створення маркерного об'єкту). Дозволяє створювати маркер реєстрації і звичайно не присвоюється окремим користувачам, а лише локальній системі безпеки комп'ютера Windows NT/2000/ХР.

■ Create реrmanent shared objects (Створення постійних об'єктів сумісного використовування). Дозволяє створювати спеціальні структури ресурсів, що використовуються усередині операційної системи. Як правило, це право користувачам не надається.

■ Debug programs (Відладка програм). Маючи таке право, програміст може виконувати відладку низького рівня. Така можливість корисна розробникам додатків і адміністраторам.

■ Generate security audits (Створення журналів безпеки). Необхідно для створення записів в журналі безпеки. Таке право звичайно користувачу не призначається.

■ Increase quotas (Збільшення квот). Дозволяє збільшувати квоти об'єкту операційної системи і звичайно надається обліковим записам адміністраторів.

■ Increase priority (Підвищення пріоритетності процесів). Надає можливість підвищення встановленого раніше пріоритету процесу. Обліковим записам адміністраторів це право за умовчанням не надається.

■ Load and unload device drivers (Завантаження і вивантаження драйверів пристроїв). Надає можливість установки і видалення драйверів пристроїв.

■ Lock pages in memory (Закріплення сторінок в пам'яті). Дозволяє блокувати сторінки фізичної пам'яті так, щоб при виконанні звичайних операцій з віртуальною пам'яттю вони не поміщалися у файли віртуальних сторінок. Така можливість виявляється корисною при роботі з додатком реального часу, проте це право звичайним користувачам не надається.

■ Log in as а batch job (Реєстрація пакетних задач). Користувач може поставити задачу за допомогою утиліти пакетного планування (такий, як команда AT).

■ Log in as а service (Реєстрація служби). Звичайно надається обліковим записам, створеним для запуску програми у фоновому режимі як служби. Управління службами здійснюється за допомогою утиліти Services (Служби) панелі управління. Використовуйте цю утиліту, щоб задати для служби ім'я користувача, після надайте користувачу це право.

■ Modify firmware environment variables (Зміна параметрів середовища устаткування). Дозволяє модифікувати системні змінні оточення і звичайно надається лише адміністраторам.

■ Profile system реrformance (Профілізація завантаженості системи). Дозволяє користувачу збирати інформацію про систему, яка використовується для оцінки її продуктивності. Звичайно це право надається лише адміністраторам.

■ Replace а process level token (Заміна маркера рівня процесу). Звичайно використовується операційною системою. Надає користувачу можливість модифікувати маркер захисту процесу.

Дата добавления: 2013-12-12; Просмотров: 682; Нарушение авторских прав?; Мы поможем в написании вашей работы!