Переименование и удаление ОП

1. В ActiveDirectoryUsers and Computers щелкните правой кнопкой папку ОП, с которым хотите работать. 2. Чтобы удалить ОП, выберите Delete (Удалить). Затем подтвердите действие, щелкнув Yes. 3. Чтобы переименовать ОП, выберите Rename (Переименовать). Введите новое имя для ОП и нажмите Enter. Перемещение ОП 1. В ActiveDirectoryUsers and Computers щелкните правой кнопкой папку ОП, которое хотите переместить, и выберите Move (Переместить). 2. В окне Move щелкните узел домена, а затем — контейнер, куда хотите переместить ОП. Щелкните ОК.

Впоследствии всякий раз, когда пользователь обращается к сетевым ресурсам, сетевая аутентификация позволяет определить, есть ли у него на то разрешение. Windows2000 поддерживает множество протоколов аутентификации. Вот ключевые протоколы.

• Kerberos V 5 — стандартный Интернет-протокол аутентификации пользователей и систем. Это основной механизм аутентификации в Windows2000.

• NT LAN Manager (NTLM) — основной протокол аутентификации в WindowsNT. Служит для аутентификации компьютеров в домене WindowsNT.

• Secure Socket Layer/Transport Layer Security (SSL/TLS) — осиоиной механизм аутентификации, используемый при входе на защищенные Web-серверы.

Главная особенность модели аутентификации Windows2000— поддержка однократного ввода пароля для входа в систему.

1. Пользователь входит в домен, вводя имя и пароль или вставляя смарт-карту в считывающее устройство. 2. ПРОЦЕССинтерактивного входа аутентифицирует доступ пользователя- Для локальной учетной записи реквизиты аутентифицируются локально, и пользователю предоставляется доступ к локальному компьютеру. Для доменной учетной записи реквизиты аутентифицируются в ActiveDirectory, и пользователь получает доступ к сетевым ресурсам. 3. Теперь пользователь может аутентифицироиаться на любом компьютере в домене посредством сетевой аутентификации. Для доменных учетных записей сетевая аутентификация проходит автоматически (пароль вводится лишь раз). Пользователи с локальными учетными записями должны предоставлять имя и пароль при каждом обращении к сетевому ресурсу.

Управление доступом

ActiveDirectoryоснована на объектах. Пользователи, компьютеры, группы, общие ресурсы и многие другие элементы — вес определены как объекты. Управление доступом к этим объектам основано на дескрипторах безопасности, которые:

• перечисляют пользователей и группы, имеющие доступ к объектам;

• указывают разрешения, назначенные пользователям и группам;

• записывают события, аудит которых включен для объектов;

• определяют владельцев объектов. Отдельные записи в дескрипторе безопасности называют записями управления доступом (access control entry, АСЕ). Объекты ActiveDirectoryмогут наследовать АСЕ от родительских объектов, т. е. разрешения родительского объекта могут применяться к дочернему. Например, все участники группы Domain Admins (Администраторы домена) наследуют разрешения, предоставленные этой группе. При работе с АСЕ помните следующее:

• АСЕ по умолчанию создаются с включенным наследованием;

• наследование происходит сразу после записи АСЕ;

• вес записи управления доступом содержат информацию, указывающую, было ли разрешение унаследовано или явно назначено соответстиующему объекту. Различия между учетными записями пользователей и групп Windows2000 содержит учетные записи пользователей и групп (в которые могут входить пользователи). Учетные записи пользователей предназначены отдельным лицам, а учетные записи групп — чтобы упростить управление множеством пользователе!!. Вы можете войти в систему по учетной'записи пользователя, но не по записи группы. Учетные записи групп обычно называют просто группами. Учетные записи пользователей В Windows2000 определены два тина учетных записей пользователя.

• Доменные учетные записи пользователей (domain user accounts) определены в ActiveDirectory. Благодаря однократному вводу пароля, такие учетные записи могут обращаться к ресурсам во всем домене. Они создаются воснастке ActiveDirectoryUsers And Computers (ActiveDirectory— пользователи и компьютеры).

• Локальные учетные записи пользователей (local user accounts) определены на локальном компьютере, имеют доступ только к локальному компьютеру и должны аутентифицировать себя, прежде чем смогут получить доступ к сетевым ресурсам. Локальные учетные записи пользователей создают в оснастке Local Users And Groups (Локальные пользователи и группы). Примечание Только рядовые серверы и рабочие станции хранят локальные учетные записи пользователей и групп. На первом контроллере домена они перемещаются из локального диспетчера безопасности в ActiveDirectoryи преобразуются в доменные учетные записи. Имена для входа в систему, пароли и открытые сертификаты Все учетные записи пользователей распознаются по имени для входа в систему. В Windows2000 это имя состоит из двух частей:

• имя пользователя — текстовая метка учетной записи;

• домен пользователя или рабочая группа — рабочая группа или домен, где находится пользователь. Для пользователя WRSTANEK, чья учетная запись создана в домене MICROSOFT.COM, полное имя для входа в Windows2000 — wrstanek@microsoft.com. Имя для предыдущих версий Windows— MICROSOFT\wrstanek. При работе с ActiveDirectoryвам также может понадобиться указать полное доменное имя пользователя. Полное доменное имя группы — это сочетание DNS-имени домена, местоположения контейнера или ОП и имени группы. У пользователя Microsoft.com\Users\wrstanek, Microsoft.com — DNSимя домена, Users — местоположение контейнера или ОП, а wrstanek — имя пользователя. Учетные записи пользователей могут обладать связанными паролями и открытыми сертификатами. Пароли — это строки аутентификации для учетной записи. Открытые сертификаты сочетают открытый и закрытый ключ для идентификации пользователя. Вход в систему по паролю проходит интерактивно, При входе в систему с открытым сертификатом используются смарт-карта и считывающее устройство.Идентификаторы безопасности и учетные записи пользователей Хотя Windows2000 отображает имена пользователей, чтобы описать привилегии и разрешения, ключевые идентификаторы учетных записей - - идентификаторы безопасности (security identifier, SID). SID — уникальные идентификаторы, генерируемые при создании учетных записей. SID состоит из префикса идентификатора безопасности домена и уникального относительного идентификатора, который был выделен хозяином относительных идентификаторов. С помощью SID Windows2000 отслеживает учетные записи независимо от имен пользователей. Два важнейших назначения SID: удобство изменения имен пользователей и возможность удаления учетных записей, не беспокоясь, что ктото получит доступ к ресурсам, создав учетную запись с тем же именем. Когда вы меняете имя пользователя, Windows2000 сопоставляет прежний SID новому имени. Когда вы удаляете учетную запись, Windows2000 считает, что конкретный SID больше недействителен. Если вы затем создадите учетную запись с тем же именем, она не будет иметь привилегий предыдущей записи, так как у нес будет иной SID.

Группы

Кроме учетных записей пользователя, в Windows2000 есть группы. Группы позволяют предоставить разрешения схожим типам пользователей и упростить администрирование учетных записей. Если пользователь — член группы, которая вправе обращаться к ресурсу, то он тоже может к нему обратиться. Поэтому вы можете предоставить пользователю доступ к нужным ресурсам, просто включии его в подходящую группу. Хотя вы входите в систему под учетной записью пользователя, пойти в ьее под учетной записью группы нельзя. Поскольку в разных доменах ActiveDirectoryмогут быть группы с одинаковыми именами, на группы часто ссылаются по полному имени -- домеп\имя_группы, например, WORK\GMarketmg соответствует группе GMarketing в домене WORK. При работе с ActiveDirectoryиногда нужно указывать полное доменное имя для группы — сочетание DNSимени домена, имени контейнера или ОП и имени группы. В имени группы Microsoft.com\Users\Gmarketing, Microsoft.com — DNS-имя домена, Users — местоположение контейнера или ОП, a GMarketing — имя группы. Примечание Служащим отдела маркетинга скорее всего понадобится доступ ко всем ресурсам, связанным с маркетингом. Вместо того чтобы открывать доступ к ним индивидуально, можно объединить пользователей в группу. Если позже пользователь перейдет в другой отдел, вы просто исключите его из группы, и все разрешения доступа будут отозваны.

Типы групп

В Windows2000 три типа групп:

• локальные группы определяются и используются только на локальном компьютере, создаются в оснастке Local Users And Groups (Локальные пользователи и группы);

• группы безопасности обладают дескрипторами защиты, определяются в доменах в оснастке ActiveDirectoryUsers And Computers (ActiveDirectory— пользователи и компьютеры);

• группы распространения используются как списки рассылки электронной почты, не имеют дескрипторов безопасности и определяются в доменах в оснастке ActiveDirectoryUsers And Computers.

Область действия группы

У групп могут быть разные области действия — локальная доменная (domain local), встроенная локальная (built-in local), глобальная (global) и универсальная (universal). От этого зависит, в какой части сети они действительны.

• Локальные доменные группы позволяют предоставить разрешения в одном домене. В состав локальных доменных групп входят лишь учетные записи (и пользователей, и компьютеров) и группы из домела, и котором они определены.

• Встроенные локальные группы обладают особыми разрешениями в локальном домене, и для простоты их часто называют локальными доменными группами (domain local groups). В отличие от других групп встроенные локальные нельзя создать или удалить — можно лишь изменить их состав. Ссылки на локальные доменные группы применяются к встроенным локальным группам, если не указано обратное.

• Глобальные группы обладают разрешениями для объектов в любом домене дерева или леса. В глобальную группу входят только учетные записи и группы из домена, в котором они определены.

• Универсальные группы имеют разрешения по всему дереву или лесу; в них входят учетные записи и группы из любого домена в дереве или лесу.Примечание Универсальные группы очень полезны на больших предприятиях, где есть несколько доменов. Состав универсальных групп не должен часто меняться, так как любое изменение надо реплицировать во все глобальные каталоги (ГК) в дереве или лесу. Чтобы уменьшить количество изменений, включайте в универсальную группу только группы, а не сами учетные записи. Подробнее см. раздел «Когда использовать локальные доменные, глобальные и универсальные группы». От области действия 1руппы зависит, что вы можете делать с группой (табл. 7-1). О создании групп см. главу 8. Табл. 7-1. Влияние области действия группы на ее характеристики. Возможности Состав В ОСНОВНОМ режиме Состав в смешанном режиме Участник других групп Локальная доменная область Учетные записи, глобальные и универсальные группы из любого домена. локальные доменные только из того же домена. Учетные записи и глобальные группы из любого доь-ена. Можно поместить в другие локальные доменные группы и назначить разреиения только в том же домене. Глобальная область Учетные записи и глобальные группы только из того же домена. Учетные записи только из того же домена. Можно поместить в другие группы и назначить разрешения в любом домене. Универсальная область Учетные записи и группы из любого домена независимо от области действия. Нельзя создать в домене смешанного режима. Можно поместить в другие группы и назначить разрешения в любом домене.

Участник ЛРУ1ИХ групп Смена области действия Локальная доменная область Можно поместить в другие локальные доменные группы и назначить разрешения только в том же домене. Можно преобразовать в универсальную область, если в их составе нет групп с локальной доменной областью. Глобальная область Можно поместить в другие группы и назначить разрешения в любом домене. Можно преобразовать в универсальную область, если они не являются участии ками другой группы с глобальной областью. Универсальная область Можно поместить в другие группы и назначить разрешения в любом домене. Нс-льзя преобразовать ни в какую другую область.

Идентификаторы безопасности и учетные записи групп

Как и для учетных записей пользователей, Windows2000 применяет уникальные идентификаторы безопасности (SID) для отслеживания учетных записей групп. Эта значит, что нельзя удалить учетную запись группы, а затем создать группу с тем же именем, чтобы у нее появились прежние разрешения и привилегии. У новой группы будет новый SID, и все разрешения и привилегии старой группы будут утеряны. Windows2000 создает маркер безопасности для каждого сеанса пользонателя в системе. Он содержит идентификатор учетной записи пользователя и S1D всех групп безопасности, к которым относится пользователь. Размер маркера растет по мере того, как пользователь добавляется в новые группы безопасности. Это влечет следующее.

• Чтобы пользователь вошел в систему, маркер безопасности должен быть передан ПРОЦЕССу входа в систему. Поэтому по мере увеличения членства пользователя R группах безопасности ПРОЦЕССвхода требует все больше времени.

• Чтобы выяснить разрешения доступа, маркер безопасности пересылается на каждый компьютер, к которому об-ращается пользователь. Поэтому чем больше маркер безопасности, тем выше сетевой трафик. Примечание Сведения о членстве в группах распространения не передаются в маркере безопасности, поэтому состав этих групп не влияет на размер маркера.

Когда использовать локальные доменные, глобальные и универсальные группы

Локальные доменные, глобальные и универсальные группы предоставляют множество параметров для конфигурирования групп в масштабе предприятия. В идеале следует использовать области групп для создания иерархий, схожих со структурой вашей организации и обязанностями групп пользователей.

• Локальные доменные группы обладают наименьшей сферой влияния и хорошо подходят для управления доступом к таким ресурсам, как принтеры и общие папки.

• Глобальные группы оптимальны для управления учетными записями пользователей и компьютеров в отдельном домене. Предоставляйте разрешения доступа к ресурсу, включая глобальную группу в локальную доменную.

• Универсальные группы обладают самой широкой сферой влияния. Используйте их для централизации групп, определенных в нескольких доменах. Обычно для этого в универсальную группу добавляется глобальная. Тогда при изменении состава глобальных групп изменения пе будут реплицироваться во все ГК, поскольку формально состав универсальных групп не меняется. Примечание Беги в вашей организации всего один домен, универсальные группы не нужны: стройте структуру групп на локальных доменных и глобальных. Если вы затем добавите другой домен в дерево или лес, вы легко расширите иерархию, чтобы она соответствовала новому состоянию сети. Рассмотрим сценарий. Пусть у вас есть представительства в Сиэтле, Чикаго и Нью-Йорке. У каждого офиса собственный домен, являющийся частью одного дерева или леса: SEATTLE, CHICAGO и NY. Вы хотите упростить для администраторов (из любого офиса) управление сетевыми ресурсами, поэтому создаете идентичную структуру групп. В компании есть отделы маркетинга, и инженерный, но мы рассмотримлишь структуру отдела маркетинга. В каждом представительстве сотрудникам этого отдела нужен доступ к общему принтеру MarketingPrinter и общей папке MarketingData. Вам нужно, чтобы сотрудники могли совместно использовать и печатать документы. Скажем, Бобу из Сиэтла нужно печатать документы для Ральфа в Нью-Йорке, поэтому Бобу нужен доступ к квартальному отчету в общей папке в пыойоркском офисе. Сконфигурируем группы для отделов маркетинга в трех офисах. 1. Начнем с создания глобальных групп для каждой маркетинговой группы. В домене SEATTLE создадим группу GMarkcting и добавим в нее сотрудников отдела маркетинга из Сиэтла. В домене CHICAGO создадим группу с тем же именем и добавим в нее сотрудников отдела маркетинга из Чикаго. В домене NY сделаем то же самое. 2. В каждом представительстве создадим локальные доменные группы, предоставив им доступ к общим принтерам и папкам. Назовем группу с доступом к принтеру LocalMarketingPrinter, а общую папку в домене Нью-Йорка - LocalMarketingData. Домены SEATTLE, CHICAGO и NY должны обладать собственными локальными группами. 3. Создадим универсальную группу UMarketing в домене каждого представительства. Добавим в нее группы SEATTLE\ GMarketing, CHICAGO\GMarkcting и NY\GMarketing. 4. Добаиим UMarketing и группы LocalMarketingPrinter и Local MarketingDaLa it каждом представительстве. Сотрудники отдела маркетинга теперь смогут совместно использовать данные и принтеры.

Стандартные учетные записипользователей и группы

При установке Windows2000 создаются стандартные учетные записи пользователей и группы. Они предназначены для начальной настройки, необходимой для развития сети. Вот три типа стандартных учетных записей:

• предопределенные учетные записи пользователей и групп устанавливаются вместе с ОС;

• встроенные учетные записи пользователей и групп устанавливаются вместе с ОС, приложениями и СЛУЖБАми;

• неявные — специальные группы, создаваемые неявно при обращении к сетевым ресурсам; их также называют специальными идентификаторами (special identities). Примечание Хотя вы можете изменять параметры стандартных пользователей и групп, нельзя удалить пользователей и группы, созданные ОС, поскольку их нельзя воссоздать. SID старой и новой учетных записей не будут совпадать, и разрешения и привилегии этих записей будут утеряны.

Встроенные учетные записи пользователей

У встроенных учетных записей пользователя в Windows2000 есть особое применение. Хотя все системы Windows2000 обладают встроенной учетной записью LocalSYSTEM, могут быть доступны и другие встроенные записи пользователей.

Учетная запись LocalSYSTEM

Это мнимая учетная запись для выполнения системных ПРОЦЕССов и обработки задач системного уровня, доступная только на локальной системе. Вы не можете менять параметры учетной записи LocalSystcm средствами администрирования, равно как и входить под ней в систему. Примечание Хотя пользователям нельзя войти в систему как LocalSYSTEM, определенные ПРОЦЕССы могут это делать. Например, службы Windows2000 можно настроить на вход с учетной записью SYSTEM(см. также главу 3).

Другие встроенные учетные записи

Когда вы устанавливаете дополнения или другие приложения на рабочей станции или сервере, можно установить и другие учетные записи по умолчанию. Обычно их можно потом удалить. При установке информационных служб Интернета (Internet Information Services, IIS), вы обнаружите новые учетные записи: Ш5К_#зел и 1\^АМ_узел, где узел — имя компьютера. IUSR^/зел — встроенная учетная запись для анонимного доступа к IIS, a 1№АМ_узел служит IIS для запуска прикладных ПРОЦЕССов. Эти учетные записи определяются вActiveDirectory, когда они настроены в домене. Но они определяются как локальные пользователи, когда настроены па изолированном сервере или рабочей станции. Еще одна учетная запись, которую вы можете увидеть, — TSInternetUser — требуется СЛУЖБАм терминала.

Предопределенные учетные записи пользователей

Вместе с Windows2000 устанавливаются две записи: Administrator (Администратор) и Guest (Гость). На рабочих станциях и рядовых серверах, предопределенные учетные записи являются локальными для той системы, где они установлены. У предопределенных учетных записей есть аналоги в ActiveDirectory, которые имеют доступ по всему домену и совершенно независимы от локальных учетных записей на отдельных системах.

Учетная запись Administrator

Эта предопределенная учетная запись обладает полным доступом к файлам, каталогам, СЛУЖБАм и другим ресурсам; ее нельзя отключить или удалить. В ActiveDirectoryона обладает доступом и привилегиями во всем домене. В остальных случаях Administrator обычно имеет доступ только к локальной системе. Хотя файлы и каталоги можно временно защитить от Administrator, эта запись всегда может получить контроль над любыми ресурсами, сменив разрешения доступа. &JJL Совет Чтобы предотвратить несанкционированный доступ к системе или домену, убедитесь, что у этой записи надежный пароль. Кроме того, поскольку это известная учетная запись Windows2000, переименуйте ее. Обычно не требуется менять основные параметры учетной записи Administrator, однако иногда следует сменить такие дополнительные параметры, как членство в некоторых группах. По умолчанию Administrator домена — участник групп Administrators (Администраторы), Domain Admins (Администраторы домена), Domain Users (Пользователи домена), Enterprise Admins (Администраторы предприятия), Schema Admins (Администраторы схемы) и Group Policy Creator Owners (Создатели-владельцы групповой политики). Подробнее об этих группах см. следующий раздел.Примечание В сети с доменами локальная учетная запись Administrator применяется в основном для управления системой сразу после установки. Это позволяет вам настраивать ОС, не опасаясь блокировки. Вероятно, вы не станете применять ее впоследствии — вместо этого включите ваших администраторов в группу Administrators. Это гарантирует, что вы сможете отозвать привилегии администраторов без изменения паролей для всех учетных записей

Administrator.

В системе, которая является частью рабочей группы, где каждый компьютер управляется независимо от других, эта запись часто требуется для выполнения административных задач. При этом не следует настраивать индивидуальные учетные записи дпя каждого лица, обладающего административным доступом к системе. Лучше используйте одну учетную запись Administrator на каждом компьютере.

Учетная запись Guest

Предназначена для пользователей, которым нужен разовый или редкий доступ. Хотя гости обладают ограниченными системными привилегиями, будьте осторожны, применяя эту запись, поскольку она потенциально снижает безопасность. Поэтому запись Guest изначально отключена при установке Windows2000. /Ц, Совет Решив задействовать запись Guest, убедитесь, что она наделена ограниченными правами, и регулярно меняйте для нее пароль.. Как и с учетной записью Administrator, для предосторожности переименуйте запись Guest. Встроенные группы Встроенные группы устанавливаются со всеми рабочими станциями и серверами Windows2000. Чтобы предоставить пользователю привилегии и разрешения встроенной группы, добавьте его в группу. Например, чтобы дать пользователю административный доступ к системе, включите его в локальную группу Administrators. Чтобы дать пользователю административный доступ к домену, включите его в локальную доменную группу Administrators в ActiveDirectory. Доступность определенных встроенных групп зависит от конфигурации системы (табл. 7-2).

Табл. 7-2. Доступность встроенных групп в зависимости от типа сетевого ресурса. Имя группы Тип группы Account Operators Встроенная (Операторы учета) локальная Administrators Встроенная локаль( Администраторы) пая, локальная Backup Operators Встроенная локаль(Операторы архива) пая, локальная Guests (Гости) Встроенная локальная, локальная Power Users (Опыт- Локальная ные пользователи) Pre- Windows2000 Встроенная Compatible Access локальная (Пред-Windows2000 доступ) Print Operators Встроенная (Операторы печати) локальная Replicator Встроенная локаль(Репликатор) ная, локальная SERVEROperators Встроенная (Операторы сервера) локальная Users Встроенная локаль( Пользователи) ная, локальная Домен ActiveDirectoryДа Да Да Да Нет Да Да [а Да Да Windows2000 Professional или рядовой сервер Нет Да Да Да Да Нет Нет Да He-j Да

Предопределенные группы

Предопределенные группы устанавливаются с доменами ActiveDirectoryи служат для назначения пользователям дополнительных разрешений. Предопределенные группы включают в себя локальные доменные, глобальные и универсальные группы. Доступность конкретных предопределенных групп зависит от конфигурации домена (табл. 7-3). Примечание Область действия групп Enterprise Admins и Schema Admins может быть универсальной либо глобальной в зависимости от рабочего режима домена: в смешанном они глобальные, а в основном — универсальные.Cert Publishers DHCPAdministrators (Администраторы DHCP) DHCPUsers (Пользователи DHCP) DNSAdmins DNSUpdateProxy Domain Admins ( Администраторы домена) Domain Computers (Компьютеры домена) Domain Controllers (Контроллеры домена) Domain Guests (Гости домена) Domain Users (Пользователи домена) Enterprise Admins Group Policy Creator Глобальная Локальная доменная Локальная доменная Локальная доменная Глобальная Глобальная Глобал ьная Глобальная Глобальная Глобальная Универсальная/ глобальная Глобальная По умолчанию Вместе с DHCPВместе с DHCPВместе с DNSВместе с DNSПо умолчанию По умолчанию По умолчанию По умолчанию По умолчанию По умолчанию По умолчанию Owners (Создатели-владельцы групповой политики) RAS and IAS SERVERs (Серверы RAS и IAS) Schema Admins (Администраторы схемы) WINS Users (Пользователи WINS) Локальная Вместе со служломенная бами удаленного доступа Универсальная/ По умолчанию глобальная Локальная доменная Вместе с WINS

Неявные группы и специальные идентификаторы

В WindowsNT неявные ipynnu назначались неявно при входе в систему, исходя из того, как пользователь обращался к сетевому ресурсу. Так, если он обращался к ресурсу через интерактивный вход, то автоматически становился участником неявной группы InterActive. Б Windows2000 объектный подход к структуре каталога изменил первоначальные пра-вила для неявных групп. Хотя по-прежнему нельзя просмотреть состав неявных системных групп, вы вправе включать в них пользователей, группы и компьютеры. Состав специальной встроенной группы может варьироваться неявно, например при входе в систему, или явно — через разрешения доступа. Как и для других стандартных групп, доступность неявных групп зависит от конфигурации (табл. 7-4). Табл. 7-4. Доступность неявных групп в зависимости от типа сетевого ресурса. Имя группы Anonymous Logon (Анонимный вход) Authenticated Users (Прошедшие проверку) Batch (Пакетное задание) Creator Group (Создатель труппы) Creator Owner (Создатель-владелец) Dialup (Удаленный доступ) Enterprise Domain Controllers (Контроллеры домена предприятия) Everyone (Все) InterActive(Интерактивные) Network (Сеть) Proxy (Прокси) Restricted (Ограниченные) Self Service (СЛУЖБА) SYSTEM(Система) Terminal SERVERUser (Пользователь служб терминалов) Домен ActiveDirectoryДа Да Да Да Да Да J Да Да Да Да Да Да Да Да Нет Windows2000 Professional или рядовой сервер Да Да Да Да Да Да Нет Да Да Да Нет Нет Нет Да Да Да

Возможности учетных записей

Чтобы назначить пользователю те или иные права, добавьте его в группы, а чтобы лишить — удалите из соответствующих групп. В Windows2000 учетной записи можно назначить следующие типы прав.

• Привилегия позволяет выполнять определенную административную задачу, например отключать систему. Можно назначать привилегии как пользователям, так и группам.

• Права на вход в систему предоставляют разрешения на вход в систему, например локально. Можно назначить права на вход и пользователям, и группам.

• Встроенные возможности назначаются группам и содержит их автоматические возможности. Встроенные возможности предопределены и неизменны, но их можно делегировать пользователям с разрешением управлять объектами, ОП или другими контейнерами. Так, способность создавать, удалять и управлять учетными записями пользователей дается администраторам и операторам учета. Член группы Administrators может создавать, удалять и управлять учетными записями пользователей.

• Разрешения доступа определяют, какие действия можно выполнять над сетевыми ресурсами, например возможность создать файл в каталоге. Можно назначать разрешения доступа пользователям, компьютерам и группам (см. также главу 13). Хотя вы не вправе менять встроенные возможности группы, вы можете изменить et; стандартные права. Так, администратор может отменить сетевой доступ к компьютеру, удалив право группы на доступ к этому компьютеру из сети.

Привилегии

Привилегии назначаются через групповые политики, применяемые к отдельным компьютерам, ОП и доменам. Хотя привилегии можно назначать и пользователям, и группам, их обычно назначают группам. Так, пользователям автоматически назначаются соответствующие привилегии, когда они становятся членами группы. Назначение привилегий группам упрощает управление учетными записями пользователей. Ниже кратко описаны привилегии, назначаемые пользователям и группам (табл. 7-5) (см. также главу 8).

Табл. 7-5. Привилегии Windows2000 для пользователей и групп. Привилегия Описание Act as part of the operating SYSTEM(Работа в режиме операционной системы) Add workstations to domain (Добавление рабочих станций к домену) Back up files and directories (Архивирование файлов и каталогов) Bypass traverse checking (Обход перекрестной проверки) Change the SYSTEMtime (Изменение системного времени) Create я pagefile (Создание страничного файла) Create a token object (Создание маркерного объекта) Create permanent shared objects (Создание постоянных объектов совместного использования) Debug programs (Отладка программ) Позволяет ПРОЦЕССу аутентифицироваться как любому пользователю и получать доступ к ресурсам как любому пользователю. ПРОЦЕССы, которым требуется эта привилегия, должны использовать учетную запись LocalSYSTEM, у которой уже есть эта привилегия. Позволяет пользователям добавлять компьютеры в домен. Позволяет пользователям архивировать систему независимо от разрешений, заданных для файлов и каталогов. Позволяет пользователям проходить через каталоги при навигации но пути объекта независимо от разрешений, заданных для каталогов; не позволяет пользователям просматривать содержимое каталога. Позволяет пользователям задавать время на системных часах. Позволяет пользователям создавать и изменять размер страничного файла для виртуальной памяти. Позволяет ПРОЦЕССам создавать объекты-маркеры, через которые можно получять доступ к локальным ресурсам. ПРОЦЕССы, которым требуется эта привилегия, должны использовать учетную запись LocalSYSTEM, у которой уже есть эта привилегия. Позволяет ПРОЦЕССам создавать объекты каталога в диспетчере объектов Windows2000. У большинства компонентов уже есть эта привилегия, и нет необходимости специально назначать ее. Позволяет пользователям выполнять отладку.

Табл. 7-5. (продолжение] Привилегия Описание Enable user and computer accounts to be trusted tor delegation (Разрешение доверия к учетным записям при делегировании) Force shutdown of a remote SYSTEM(Принудительное удаленное завершение) Generate security audits (Создание журналов безопасности) Increase quotas (Увеличение квот) Increase scheduling priority (Увеличение приоритета диспетчирования) Load and unload device drivers (Загрузка и выгрузка драйверов устройства) Lock pages in memory (Закрепление страниц в памяти) Manage auditing and security log (Управление аудитом и журналом безопасности) Modify firmware environment values (Изменение параметров среды оборудования) Profile a single process (Профилирование одного ПРОЦЕССа) Разрешает пользователям или компьютерам изменять или применять параметр Trusted For Delegation при условии, что у них есть право на запись объекта. Разрешает пользователям выключать компьютер из удаленной точки в сети. Позволяет ПРОЦЕССам записывать в журнал безопасности для аудита доступа к объектам. Позволяет ПРОЦЕССам повышать квоты ПРОЦЕССора, назначенные другому ПРОЦЕССу, при условии, что у них есть право на запись для ПРОЦЕССа. Разрешает ПРОЦЕССам повышать приоритет, назначенный другим ПРОЦЕССам при условии, что у них есть право на запись для ПРОЦЕССа. Позволяет пользователям устанавливать и удалять драйверы устройств Plug and Play. He влияет на драйверы остальных устройств, которые могут быть установлены только администраторами. В WindowsNT позволяет ПРОЦЕССам хранить данные в физической памяти, запрещая системе выгружать страницы данных в виртуальную память на диске. В Windows2000 не используется. Позволяет пользователям задавать параметры аудита и просматривать журнал безопасности (сначала нужно включить аудит в групповой политике). Разрешает пользователям и ПРОЦЕССам изменять переменные системной среды. Разрешает пользователям контролировать быстродействие несистемных ПРОЦЕССов.

Табл. 7-5. (продолжение) Привилегия Описание Profile SYSTEMperformance (Профилирование загруженности системы) Remove computer from docking station (Извлечение компьютера из стыковочного узла) Replace a process-level token (Замена маркера уровня ПРОЦЕССа) Restore files and directories (Восстановление файлов и каталогов) Shut down the SYSTEM(Завершение работы системы) Synchronize Directoryservice data (Синхронизация данных службы каталогов) Take ownership of files Or Other Objects (Овладение файлами или иными объектами) Разрешает пользователям контролировать быстродействие системных ПРОЦЕССов. Позволяет пользователям извлечь переносной компьютер из стыковочной станции. Позволяет ПРОЦЕССам перемещать метку по умолчанию для второстепенных ПРОЦЕССов. Разрешает пользователям восстанавливать из архива файлы и каталоги независимо от разрешений, заданных для файлов и каталогов, Разрешает пользователям выключать локальный компьютер. Разрешает пользователям синхронизировать данные службы каталогов на контроллерах доменов. Разрешает пользователям завладевать любыми объектами ActiveDirectory. Права на вход в систему Право на вход в систему — тип права пользователя, который предоставляет разрешения для входа в систему. Вы можете назначать права на вход в систему и пользователям, и группам. Как и с привилегиями, права на вход в систему назначаются через групповые политики; назначайте их группам, а не пользователям. Ниже описаны права на вход в систему, которые можно назначить пользователям и группам, (табл. 7-6) (см. также главу 8).

Табл. 7-6. Права на вход в систему для пользователей и групп. Право на вход в систему Описание Access this computer from the network (Доступ к компьютеру из сети) Deny access to this computer from the network (Отказ в доступе к компьютеру из сети) Deny logon as batch job (Отказ во входе в качестве пакетного задания) Deny logon as service (Отказать во входе в качестве службы) Deny logon locally (Отклонить локальный вход) Log on as a batch job (Вход в качестве пакетного задания) Log on as a service (Вход в качестве службы) Log on locally (Локальный вход в систему) Разрешает пользователям связываться с компьютером по сети. По умолчанию предоставляется группам Administrators, Everyone и Power Users. Запрещает доступ к этому компьютеру. Отказывает в праве на вход в систему через пакетное задание или сценарий. Отказывает в праве на вход в систему службе. Отказывает в праве на вход в систему с клавиатуры компьютера. Позволяет пользователям входить в систему через пакетную очередь. Не поддерживается в текущем выпуске Windows2000. По умолчанию эта привилегия предоставлена группе Administrators. Разрешает участникам безопасности входить в систему как СЛУЖБА(как вариант установления контекста безопасности). Учетная запись LocalSystera всегда сохраняет за собой право на вход в систему как СЛУЖБА. Любые службы, выполняющиеся под отдельными учетными записями, должны обладать этим правом. По умолчанию не предоставляется всем СЛУЖБАм. Позволяет пользователям войти в систему с клавиатуры компьютера. По умолчанию предоставляется группам Administrators, Account Operators, Backup Operators, Print Operators и SERVEROperators.

Встроенные возможности групп в ActiveDirectory

Б следующих двух таблицах описаны самые распространенные возможности, назначаемые по умолчанию. В табл. 7-7

перечислены стандартные права для групп в доменах ActiveDirectory, в том числе привилегии и права на вход в систему. Учтите, любое действие, доступное группе Everyone, доступно все группам, включая Guests (Гости), т. е. хотя у группы Guests нет явного разрешения на обращение к компьютеру из сети, Guests сможет получить доступ к системе, так как группа Everyone имеет это право. Табл. 7-7. Стандартные права пользователей для групп в ActiveDirectory. Право пользователя Назначено группам Access this computer from the network Add workstations to domain Back up files and directories Backup Operators Bypass traverse checking Change the SYSTEMtime Create a pagefile Debug programs Force shutdown from a remote SYSTEMIncrease quotas Increase scheduling priority Load and unload device drivers Log on locally Manage auditing and security log Modify firmware environment variables Profile a single process Profile SYSTEMperformance Remove computer from docking station Restore files and directories Shut down the SYSTEMTake ownership of files or other objects Everyone Administrators Administrators, SERVEROperators, Everyone Administrators, SERVEROperators Administrators Administrators Administrators, SERVEROperators Administrators Administrators Administrators Administrators. SERVEROperators, Account Operators, Backup Operators, Print Operators Administrators Administrators Administrators Administrators Administrators Administrators, SERVEROperators, Backup Operators Administrators. SERVEROperators, Account Operators. Backup Operators, Print Operators Administrators

В табл. 7-8 перечислены стандартные права для локальных групп на рядовых серверах и рабочих станциях; здесь также приведены и привилегии, и права на вход. Учтите, что на этих системах группа Power Users обладает привилегиями, которых нет у обычных пользователей. Табл. 7-8. Стандартные права пользователей для локальных групп. Право пользователя Назначено группам Access this computer from the network Back up files and directories Bypass traverse checking Change the SYSTEMtime Create a pagefile Debug programs Force shutdown from a remote SYSTEMIncrease quotas Increase scheduling priority Load and unload device drivers Log on locally Manage auditing and security log Modify firmware environment variables Profile a single process Profile SYSTEMperformance Remove computer from docking station Restore files and directories Shut down the SYSTEMTake ownership of files or other objects Administrators, Power Users, Everyone Administrators. Backup Operators Everyone Administrators, Power Users Administrators Administrators Administrators Administrators Administrators Administrators Administrators, Backup Operators. Power Users, Users, Everyone, Guests Administrators Administrators Administrators, Power Users Administrators Administrators, Power Users, Users Administrators, Backup Operators Administrators, Backup Operators, Power Users, Users Administrators В табл. 7-9 перечислены возможности, которые можно делегировать другим пользователям и группам. Заметьте: в числе записей с ограниченным доступом запись Administrator, учетные записи администраторов и учетные записи групп

Administrators, SERVEROperators, Account Operators, Backup Operators и Print Operators. Поэтому группа Account Operators не может создавать или изменять их. Табл. 7-9. Другие возможности встроенных и локальных групп. Задача Разрешает пользователям Обычно назначается группам Assign user rights (Назначение прав пользователей) Create, delete, and manage user accounts (Создание, удаление и управление учетными записями пользователей) Modify the membership of a group (Изменение членства в группе) Create and delete groups (Создание и удаление групп) Reset passwords on user accounts (Смена паролей для пользователей) Read all user information (Чтение всей информации пользователя) Manage group policy links (Управление связями групповой политики) Manage printers (Управление принтерами) Create and delete printers (Создание и удаление принтеров) Назначать права для других пользователей Администрировать доменные учетные записи пользователей Добавлять и удалять пользователей из доменных групп Создавать/удалять группы Сбрасывать пароли учетных записей Просматривать информацию учетной записи пользователя Применять существующие групповые политики к сайтам, доменам и ОП, для которых у них есть право на запись соответствующих объектов Настраивать принтер и управлять очередями печати Создавать/удалять принтеры Administrators Administrators, Account Operators Administrators, Account Operators Administrators, Account Operators Administrators. Account Operators Administrators, SERVEROperators, Account Operators Administrators Administrators, SERVEROperators, Printer Operators Administrators, SERVEROperators, Printer Operators

Стандартные учетные записи групп

Стандартные группы сЕроектированы универсальными. Если назначить пользователей в правильные группы, управлять рабочими группами или доменами Windows2000 будет гораздо легче. Однако в таком разнообразии групп понять назначение каждой из них не просто. Для этого поделим группы на пять категорий: группы администраторов, операторов, пользователей, компьютеров и неявные группы. Группы администраторов Администратор обладает широким доступом к сетевым ресурсам. Администраторы могут создавать учетные записи, изменять права пользователя, устанавливать принтеры, управлять общими ресурсами и т. п. Основные группы администраторов; Administrators, Domain Admins и Enterprise Admins (табл. 7-10). Примечание Локальный пользователь Administrator и глобальные группы Domain Admins и Enterprise Admins являются членами группь Administrators. Членство в Administrator необходимо для доступа к локальному компьютеру, Членство в группе Domain Admins позволяет другим администраторам обращаться к системе из любой точки домена. Членство в Enterprise Admins позволяет другим администраторам обращаться к системе из других доменов в том же дереве или лесу. Чтобы предотвратить широкий административный доступ к домену из любой точки предприятия, удалите Enterprise Admins из этой группы. Табл. 7-10- Обзор групп администраторов. Тип группы администраторов Administrators \ 1 I ГН rators Сетевая среда Д ОМОНЫ ActiveDirectoryРабочие станции, компьютеры вне домена Область действия группы Локальная доменная /[скальная Участники Administrator, группы Domain Admins, Enterprise Admins Administrator Администрирование учетной записи группы Группа Administrators Группа Administrators

Табл. 7-10. (продолжение) Тип группы админист- Сетевая раторов среда Domain Домены Admins ActiveDirectoryОбласть Администриродействия вание учетной группы Участники записи группы Глобальная Administrator Группа Administrators Enterprise Домены Глобальная Administrator Группа Admins Activeили у ни- Administrators Directoryверсальная Administrators — локальная группа, предоставляющая полный административный доступ к отдельному компьютеру или одному домену в зависимости от ее расположения. Поскольку у этой учетной записи полный доступ, осторожно добавляйте пользователей в эту группу. Чтобы назначить кого-то администратором локального компьютера или домена, нужно лишь включить этого человека в данную группу. Только члены группы Administrators могут изменять эту учетную запись. Глобальная группа Domain Admins призвана помочь в администрировании всех компьютеров в домене. У этой группы есть административный контроль над всеми компьютерами в домене, поскольку по умолчанию она входит в группу Administrators. Чтобы назначить кого-то администратором домена, добавьте его в эту группу. Совет В домене Windows2000 локальный пользователь Administrator по умолчанию является членом группы Domain Admins, т. е. если кто-то войдет на компьютер как администратор и этот компьютер является частью домена, то получит полный доступ ко всем ресурсам в домене. Чтобы избежать этого, удалите локальную учетную запись Administrator из группы Domain Admins. Глобальная группа Enterprise Admins позволяет администрировать все компьютеры в дереве или лесу. Она имеет административный контроль над всеми компьютерами на предприятии, так как по умолчанию включена в группу Administrators. Чтобы назначить кого-то администратором предприятия, добавьте его в эту группу. Л1 Совет В домене Windows2000 локальный пользователь Administrator по умолчанию является членом группы Enterprise Admins, т. е. если кто-то войдет на компьютер как администратор и этот компьютер является частью домена, то получит полный доступ к дереву или лесу. Чтобы избежать этого, удалите локальную учетную запись Adminislrator из группы Enterprise Admins.

Группы операторов

Операторы — это пользователи, у которых есть привилегии на выполнение очень специфичных административных задач типа создания учетных записей или архивирования файловых систем. По умолчанию никакие учетные записи групп или пользователей не включены л группы операторов. Эта функциональность задумана, чтобы вы могли явно предоставлять доступ к этим учетным записям. Кроме того, поскольку эти группы — локальные, операторы могут выполнять задания только на определенном компьютере (табл. 7-11). Account Operators — локальная группа, предоставляющая пользователю ограниченные привилегии по созданию учетной записи. Члены этой группы могут создавать и изменять большинство типов учетных записей, включая записи пользователей, локальных и глобальных групп. Они также могут локально входить на контроллеры домена. Впрочем, группа Account Operators не может управлять учетной записью пользователя Administrator, записями администраторов и групп Administrators, SERVEROperators. Account Operators, Backup Operators и Print Operators. Члены этой группы также не могут изменять права пользователя. Табл. 7-11. Обзор групп операторов. Тип группы операторов Account Operators Backup Operators Print Operators SERVEROperators Сетевая среда Домены ActiveDirectoryЛюбой сервер или рабочая станция Домены ActiveDirectoryДомены ActiveDirectoryОбласть действия группы Встроенная локальная Встроенная локальная, Локальная Встроенная локальная Встроенная локальная Участники Нет Нет Нет Нет Администрирование учетной записи группы Группа Administrators Группа Administrators Группа Administrators Группа Administrators

Табл. 7-11. Обзор групп операторов. Тип группы операторов Replicator Сетевая среда Любой сервер или рабочая станция Область действия группы Встроенная локальная, локальная Администрирование учетной Участники записи группы Нет Группы Administrators, Account Operators, SERVEROperators Члены локальной группы Backup Operators могут архивировать и восстанавливать файлы/каталоги на рабочих станциях и серверах в домене Windows2000. Они могут входить на компьютер, архивировать или восстанавливать файлы и завершать работу компьютера. В зависимости от настройки члены этой группы могут архивировать файлы независимо от того, есть ли у них право на чтение или запись этих файлов. Впрочем, они не могут менять разрешения доступа к файлам или выполнять другие административные задачи. Print Operators — локальная группа для управления сетевыми принтерами. Ее члены могут управлять принтерами в домене Windows2000. Они могут открывать доступ к принтерам и задавать связанные с ними привилегии. Члены группы Print Operators могут также локально входить на сервер и завершать его работу. Члены локальной группы SERVEROperators могут выполнять основные задачи администратора, включая открытие доступа к ресурсам сервера, архивирование и восстановления файлов и т. п. Как и остальные записи операторов, SERVEROperators также вправе локально входить в сервер и завершить его работу. Члены этой группы могут выполнять типичные задачи администрирования сервера. Специальная учетная запись Replicator используется со службой репликации каталога. Администраторы и операторы могут настраивать эту службу для управления репликацией файлов и каталогов в домене. Вы можете настроить специальную учетную запись пользователя для работы со службой репликации и добавить ее в эту группу.

Группы пользователей

Windows2000 предоставляет несколько типов учетных записей пользователя согласно требованиям разных сетевых

сред: Users, Domain Users, Power Users, Guests и Domain Guests (табл. 7-12). Табл. 7-12. Обзор групп пользователей. Тип группы пользователей Users Users Domain Users Power Users Power Users Guest Guest Сетевая среда Домены ActiveDirectory, рядовой сервер домена или рабочая станция Изолированная рабочая станция или сервер Домены ActiveDirectoryРядовой сервер домена или рабочая станция Изолированная рабочая станция или сервер Домены ActiveDirectoryРядовой сервер домена или рабочая Область действия группы Встроенная .локальная, локальная Локальная Глобальная Локальная Локальная Встроенная локальная Локальная Члены Authenticated Users, Domain Users Учетная запись пользователя, выбранная во время установки ОС Administrators, Guest InterActive; учетная запись пользователя, выбранная во время установки ОС Учетная запись пользователя, выбранная во время установки ОС Domain Guests, Guest Guest Администрирование учетной записи группы Группы Administrators, Account Operators Группа Administrators Группы Administrators, Account Operators Группа Administrators Группа Administrators Группы Administrators, Account Operators Группа Administrators

Табл. 7-12. (продолжение) Тип группы пользователей Domain Guest Сетевая среда Область действия группы Члены станция; изолированная рабочая станция или сервер Домены Глобальная Guest ActiveDirectoryАдминистрирование учетной записи группы Группа Administrators, Account Operators Пользователи выполняют большую часть своей работы на одной рабочей станции Windows2000. Поэтому у членов группы Users больше ограничений, чем привилегий. По умолчанию они не могут локально войти на сервер Windows2000, действующий как контроллер домена, но они могут обратиться к ресурсам контроллера через сеть. На рабочих станциях Windows2000 члены этой группы могут локально войти на рабочую станцию, сохранить локальный профиль, блокировать рабочую станцию и отключать ее, а также создать локальные группы и управлять ими. В доменах Windows2000 неявно аутентифицированпые пользователи и глобальная группа Domain Users по умолчанию включены в эту группу. Для рабочих групп или изолированных рабочих станций нет предопределенных членов этой группы. Domain Users — глобальная группа для пользователей в доменах ActiveDirectory. Создаваемые пользователи домена автоматически добавляются в нее. По умолчанию локальные записи Administrator и Guest — члены этой группы. Группа Power Users существует только на компьютерах, которые не являются контроллерами домена. Она обладает всеми привилегиями Users, а также некоторыми дополнительными, например, ее члены способны изменять параметры компьютера и устанавливать программы. Чтобы дать пользователям рабочих станций Windows2000 дополнительный контроль, добавьте их в группу Power Users. Гости — пользователи с весьма ограниченными привилегиями. Они могут удаленно обратиться к системе и ее ресур-

сам, но не вправе выполнять большинство остальных задач. В доменах ActiveDirectory, членами этой группы являются группа Domain Guests и локальный пользователь Guest. На контроллерах вне домена единственный член — Guest. Примечание Любое действие, доступное группе Everyone, доступно и группе Guests, т. е. член локальной группы Guests может выполнять любые задачи, которые разрешены пользователям из группы Everyone. Члены группы Domain Guests являются пользователями с привилегиями гостя во всем домене. По умолчанию локальный пользователь Guesi; — член этой группы. Поэтому каждый раз, когда вы создаете локальную учетную запись гостя в домене Windows2000, этот гость получает доступ ко всему домену,

Группы компьютеров

Windows2000 предоставляет два типа учетных записей компьютеров, чтобы настраивать разрешения для рядовых серверов, рабочих станций и контроллеров домена: Domain Computers и Domain Controllers (табл, 7-13). Табл. 7-13. Обзор групп компьютеров. Тип группы компьютеров Domain Computers Domain Controllers Сетевая среда Домены ActiveDirectoryДомены ActiveDirectoryОбласть действия группы Глобальная Глобальная Члены Все рядовые серверы и рабочие станции в домене; Все контроллеры домена Администрирование учетной записи группы Группы Administrators. Account Operators Группы Administrators, Account Operators Группа Domain Computers служит для стандартной настройки разрешений для рядовых серверов и рабочих станций в домене. По умолчанию у Domain Computers больше ограничений, чем возможностей, что отражает их роль в среде домена. Группа Domain Controllers служит для настройки разрешений для контроллеров домена. По умолчанию у Domain Controllers больше возможностей, чем ограничений, что отражает их высокоприоритетную роль в среде домена.

Встроенные системные группы

В Windows2000 есть несколько встроенных системных групп, позволяющих назначить разрешения в конкретных ситуациях. Разрешения для таких групп обычно определяются неявно, но вы вправе назначать их самостоятельно, когда изменяете объекты ActiveDirectory.

• Anonymous Logon (Анонимный вход) Любой пользователь обращающийся к системе через анонимный вход, обладает идентификатором Anonymous Logon. Он применяется для анонимного доступа к таким ресурсам, как Webстраницы на серверах предприятия.

• Authenticated Users (Прошедшие проверку) Любой пользователь, обращающийся к системе через ПРОЦЕССвхода, включается в группу Authenticated Users. Эта группа применяется для разрешения доступа к общим ресурсам н домене, таким как файлы в общей панке, которые должны быть доступны всем сотрудникам организации.

• Batch (Пакетное задание) Любой пользователь или ПРОЦЕСС, обращающийся к системе как пакетное задание (или через пакетную очередь), включается в эту группу. С ее помощью пакетные задания выполняются по расписанию,

• Creator Group (Создатель группы) Windows2000 использует эту группу для автоматического предоставления разрешений доступа пользователям, которые являются членами той же группы (групп), что и создатель файла или каталога.

• Creator Owner (Создатель-владелец) Пользователь, создавший файл или каталог, является членом этой группы. Б Windows2000 эта группа применяется для автоматического предоставления разрешений создателю файла или каталога.

• Dial-Up (Удаленный доступ) Каждый пользователь, обращающийся к системе через коммутируемое соединение, обладает идентификатором Dial-Up. Этот идентификатор помогает отличить таких пользователей от других.

• Enterprise Domain Controllers (Контроллеры домена предприятия) Контроллеры домена с ролями и обязательствами, действующими на всем предприятии, включаются в группу Enterprise Domain Controllers. Это по-зволяет им выполнять определенные задачи на предприятии с использованием транзитивного доверия.

• Everyone (Все) Все интерактивные, сетевые, коммутируемые и прошедшие проверку пользователи — члены группы Everyone. Э-а группа служит для предоставления широкого доступа к системным ресурсам.

• InterActive(Интерактивные) Каждый пользователь, вошедший в локальную систему, включается в группу InterActive. Она позволяет разрешить доступ к ресурсу только локальным пользователям.

• Network (Сеть) Каждый пользователь, обращающийся к системе через сеть, включается в эту. Она позволяет разрешить доступ к ресурсу только удаленным пользователям.

• Proxy (Прокси) Содержит пользователей и компьютеры, обращающихся к ресурсам через прокси-сервер (используется, когда в сети есть прокси-серверы).

• Restricted (Ограниченные) Содержит пользователей и компьютеры с ограниченным доступом. На рядовом сервере или рабочей станции в эту группу включается локальный пользователь из группы Users (но не группы Power Users).

• Self Содержит сам объект и позволяет ему изменять себя.

• Service (СЛУЖБА) Представляет службы, обращающиеся к системе. Предоставляет доступ к ПРОЦЕССам, выполняемым СЛУЖБАми Windows2000.

• SYSTEM(Система) Сама ОС Windows2000 состоит в этой группе; используется, когда ОС нужно выполнить функцию системного уровня.

• Terminal SERVERUser (Пользователь служб терминалов) Каждый пользователь, обращающийся к системе через службы терминалов, состоит в группе Terminal SERVERUser. Это позволяет пользователям сервера терминалов обращаться к приложениям сервера и выполнять другие задачи со СЛУЖБАми терминала.