Návod: Pouzivatelske ucty a skupiny

Diskuze výhradně o operačním systému Windows 7

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod t85m 24. 2. 2010 17:04

Windows 7 podporuje používateľské účty a účty skupín. Používateľské účty sú určené pre
jednotlivcov. Účty skupín, častejšie nazývané len skupinami, sú určené pre zjednodušenie
správy viacerých používateľov. Prihlásiť sa môžeme len pod účtom používateľa, nie pod
účtom skupiny.

Lokálne používateľské účty

Vo Windows 7 sú implementované 2 typy používateľských účtov:

• Lokálne používateľské účty – sú definované na lokálnom počítači. Fyzicky sú uložené
v Security Accounts Manager (SAM) databáze. Prístup týchto účtov je obmedzený
len na lokálne prostriedky. Pridať alebo odstrániť lokálneho používateľa môžeme
prostredníctvom položky Používatelia v Ovládacom paneli alebo pomocou konzoly
Správa počítača.

• Doménové používateľské účty – sú vytvorené v databáze Active Directory.
Prostredníctvom jedného prihlásenia (Single Sign On) môžu pristupovať
k prostriedkom nachádzajúcim sa kdekoľvek v lese alebo vo všetkých dôveryhodných
doménach. Pre vytváranie doménových používateľských účtov sa musíme dostatočne
overiť na doménovom radiči a potom použiť konzolu Active Directory Users And
Computers. Táto konzola MMC je dostupná ako súčasť Remote Server Administration
Tools balíka.

Oba typy používateľských účtov môžu byť konfigurované buď ako štandardný používateľ
alebo ako správca. Ako sme uviedli v kapitole 2, štandardní používatelia majú značne obmedzené
oprávnenia na lokálny systém, zatiaľ čo správcovia majú úplný prístup k danému
operačnému systému. Všetky používateľské účty sú identifikované prihlasovacím menom.
Vo Windows 7 sa tieto mená skladajú z dvoch častí:

• používateľské meno – textová menovka používateľského účtu;
• meno počítača alebo meno domény – počítač alebo doména, v ktorej používateľský
účet existuje.

Pre používateľa PETER, ktorého účet bol vytvorený na počítači DELLSAHA647, je plne kvalifikované
prihlasovacie meno DELLSAHA647\Peter. S týmto používateľským menom je
možné pristupovať iba lokálne k počítaču DELLSAHA647 (aj zo vzdialených počítačov),
ale pokiaľ by chcel používateľ PETER pristúpiť k doménovému prostriedku (napr. tlačiarni),
prístup bude zamietnutý.

Ak je počítač v doméne, môžeme špecifikovať prístup k lokálnym zdrojom alebo členstvo
v lokálnych skupinách aj doménovým používateľom. Plne kvalifikované doménové používateľské
prihlasovacie meno môže byť špecifikované dvoma spôsobmi:
• Používateľské meno a úplné meno domény separované znakom zavináč (@). Pre
používateľa PETER z domény slovak.microsoft.com bude meno definované ako
peter@slovak.microsoft.com.
• Používateľské meno a úplné meno domény separované znakom spätná lomka (\).
Pre používateľa PETER z domény slovak.microsoft.com bude meno definované ako
SLOVAK\Peter.
Hoci Windows 7 zobrazuje používateľské mená pri popise privilégií a prístupových práv,
kľúčovým identifikátorom je bezpečnostný identifikátor SID.

SID (Security Identifier) je alfanumerický reťazec generovaný pri vytváraní objektu účtu.
Pozostáva z predpony tvorenej ID počítača alebo domény a z jedinečného ID používateľa.
Windows 7 používa tieto identifikátory pri rozpoznávaní účtov používateľov.

Uplatnenie identifikátorov SID je široké, ale najdôležitejším účelom je asi to, že umožňujú
jednoducho premenovávať alebo vymazávať používateľské účty bez rizika, že neoprávnená
osoba zneužije oprávnenia triviálnym vytvorením používateľa s rovnakým menom. Ak
zmeníme používateľovi meno, notifikujeme systém Windows 7, aby naviazal príslušný SID
na nové meno. Pri vymazaní účtu oznamujeme systému Windows 7, že príslušný SID stratil
platnosť. Ak vytvoríme nový účet s totožným menom, aké mal vymazaný účet, nový účet
sa síce vytvorí, ale s nanovo generovaným SID. Tým pádom nebude preberať oprávnenia
pridelené vymazanému používateľskému účtu.

Používateľské účty využívajú heslá a certifikáty. Heslá sú autentifikačné reťazce spojené
s daným účtom. Certifikáty kombinujú verejný a privátny kľúč pre identifikáciu používateľa.
Heslom sa prihlasujeme interaktívne, zatiaľ čo prihlásenie certifikátom bude napr. realizované pomocou privátneho kľúča uloženého na čipovej karte použitím čítačky čipových
kariet.

Pri inštalácii operačného systému sa vytvoria 2 predvolené používateľské kontá. Okrem
nich existuje aj niekoľko skupinových vstavaných účtov, funkčne podobných tým, ktoré sa
vytvárajú v doménach. K základným používateľským účtom patria:

• Administrator – správca je preddefinovaným účtom, ktorý poskytuje prístup
k súborom, priečinkom, službám a všetkým ostatným funkciám. Účet môže byť
premenovaný, nie však vymazaný. Zakázať tento účet môžeme len na lokálnom
počítači, nie v doméne. V Active Directory doméne má účet správcu úplné doménové
oprávnenia a prístup.

• Guest – je hosťovský účet určený pre tých, ktorý potrebujú k počítaču iba jednorazový
alebo občasný prístup. Hoci má len minimálne privilégiá, je dobré si rozmyslieť,
či účet povolíme. Predstavuje jedno z podstatných bezpečnostných rizík. Preto je
v systémoch s Windows 7 štandardne zakázaný.
Pred akoukoľvek modifikáciou vstavaných účtov, by sme mali skontrolovať ich členstvo
v skupinách a nastavenia vlastností. Na nasledujúcom obrázku je zobrazené členstvo doménového
administrátora v skupinách v doméne.

Obrázek

Obdobne, aj lokálny správca patrí do rôznych lokálnych skupín. Je ich samozrejme oveľa
menej ako v doménovom prostredí a vidíme ich na obrázku.

Obrázek

Používatelia získavajú členstvom oprávnenia a prístupové práva. Za určitých podmienok
môžu používatelia členstvom v niektorej z obmedzených skupín oprávnenia aj stratiť.
Ďalšími vstavanými účtami sú tzv. servisné pseudoúčty používané na špecifické typy systémových
úkonov. Tieto pseudoúčty sú dostupné iba na lokálnych systémoch. Tieto účty nie
sú spravovateľné Nástrojmi pre správu. Používatelia sa pod týmito účtami nemôžu prihlasovať.
K týmto pseudoúčtom patria:

• LocalSystem – pseudoúčet s najvyššími správcovskými oprávneniami (s voliteľným
atribútom interakcie s pracovnou plochou). Má automaticky pridelené oprávnenie
Log On As A Service. Službám, ktoré nepožadujú takúto vysokú úroveň oprávnení,
môžeme nastaviť ako bezpečnostný kontext LocalService alebo NetworkService účty.
Pod účtom LocalSystem bežia napr. služby Background Intelligent Transfer Service,
Computer Browser, Klient skupinovej politiky, Netlogon, Sieťové pripojenia, Print
Spooler a User Profile Service.

• LocalService – pseudoúčet, ktorý má nižšie oprávnenia a prihlasovacie práva na
lokálnom systéme. Medzi oprávnenie tohto účtu patrí Log On As A Service, Adjust
Memory Quotas For A Process, Change The System Time, Change The Time Zone,
Generate Security Audits a Replace A Process Level Token. Pod účtom LocalService
bežia napr. služby: Brána Firewall, Remote Registry, Smart Card, SSDP Discovery, TCP/
IP NetBIOS Helper a WebClient.

• NetworkService – pseudoúčet vyžadujúci menej oprávnení na lokálnom systéme, ale
s nutným prístupom k sieťovým prostriedkom. Ako predošlé pseudoúčty má aj tento
oprávnenie Log On As A Service. K ďalším privilégiám patria: Adjust Memory Quotas
For A Process, Generate Security Audits a Replace A Process Level Token. Pod účtom
LocalService bežia napr. služby: Distributed Transaction Coordinator, DNS Client,
Performance Logs & Alerts a Remote Procedure Call (RPC) Locator. NetworkService sa
môže autentifikovať na vzdialených systémoch prostredníctvom účtu počítača.

Skupiny používateľov

Účelom skupiny používateľov je prideľovanie prístupových práv viacerým používateľom
súčasne, čím sa zjednodušuje ich správa. Ak je používateľ členom skupiny, ktorá má oprávnenie
na nejaký prostriedok, daný používateľ toto oprávnenie dedí. Správca prideľuje
oprávnenia jednoduchým vložením používateľa do konkrétnej skupiny. Pretože rôzne Active
Directory domény a lokálne počítače môžu mať skupiny s totožnými menami, úplné
mená skupín majú syntax Doména\Skupina alebo Počítač\Skupina (napríklad SLOVAK\G_
Admins pre skupinu G_Admins z domény SLOVAK alebo na počítači SLOVAK).
Vo Windows 7 existujú 3 typy skupín:

• Lokálne skupiny – sú vytvorené a spravované na lokálnom počítači. Vytváranie
a odstraňovanie týchto skupín je obvykle realizované pomocou konzoly Správa
počítača.

• Bezpečnostné skupiny (Security Groups) – majú asociovaný bezpečnostný
identifikátor. Sú to doménové objekty a ich správa sa najčastejšie realizuje
prostredníctvom konzoly Active Directory Users And Computers. Určené sú pre
prideľovanie oprávnení a privilégií v doménach.

• Distribučné skupiny – sú používané iba ako distribučné zoznamy pre e-mailové
aplikácie, ktoré dokážu načítavať informácie z adresárovej štruktúry Active Directory.
Ich správa sa takisto realizuje najmä prostredníctvom konzoly Active Directory Users
And Computers.

Podobne ako používatelia, aj skupiny sú rozpoznávané prostredníctvom SID. To znamená,
že ak vymažeme skupinu a vytvoríme novú s rovnakým menom, nemôžeme očakávať, že
prístupové práva skupiny zostanú zachované. Nová skupina bude mať nanovo vygenerovaný
SID, z čoho vyplýva, že všetky definované oprávnenia starej skupiny budú stratené.

Na pridelenie konkrétnej úrovne oprávnení používateľovi slúžia nasledovné preddefinované
skupiny:

Obrázek

• Administrators – skupina s najvyššími privilégiami na lokálnom počítači s úplným
prístupom k systémovým zdrojom. Členovia majú právo vytvárať iné používateľské
a skupinové účty, modifikovať členstvo vo všetkých skupinách, inštalovať tlačiarne,
predinštalovať ovládače, spravovať zdieľané zdroje, atď. Každé nové členstvo treba
starostlivo zvážiť, aby neprišlo k zneužitiu oprávnení.

• Backup Operators – členovia majú právo zálohovať a obnovovať súbory a priečinky
na pracovnej stanici. Okrem toho sa môžu prihlasovať na lokálne stanice a vypínať
systémy. Vďaka svojim oprávneniam môžu obchádzať niektoré bežne definované
prístupové práva na zväzkoch NTFS. Nemôžu však explicitne meniť prístup k súborom
a nemôžu vykonávať ďalšie administrátorské úkony. Štandardne je skupina prázdna.
To znamená, že správca musí členstvo explicitne definovať.

• Cryptographic Operators – členovia majú právo spravovať konfigurácie šifrovania, IP
bezpečnosti (IPSec), digitálne identifikátory a certifikáty.

• Guests – skupina s limitovanými privilégiami. Členovia majú právo pristupovať
k systému a k jeho prostriedkom vzdialene, ale nemôžu vykonávať väčšinu ostatných
úkonov.

• Network Configuration Operators – členovia majú právo nastavovať sieťové rozhrania
systému; môžu konfigurovať Transmission Control Protocol/Internet Protocol (TCP/IP)
nastavenia a vykonávať všeobecné sieťové konfiguračné úkony na pracovnej stanici.

• Performance Log Users – členovia majú právo prezerať a spravovať ukazovatele
výkonu a riadiť zaznamenávanie dát pochádzajúcich z monitorovania výkonu
počítača.

• Performance Monitor Users – členovia majú právo len prezerať ukazovatele výkonu
a záznamy monitorovania.

• Power Users – skupina je v systéme Windows 7 iba kvôli spätnej kompatibilite.
V predchádzajúcich verziách systémov Windows mala táto skupina na starosti “nižšie
správcovské oprávnenia”, ako napr. inštaláciu programov alebo zdieľanie adresárov.

• Remote Desktop Users – členovia majú právo prihlasovať sa na stanicu vzdialene
prostredníctvom terminálových služieb. Keď je používateľ prihlásený v terminálovej
relácii, oprávnenia na pracovnú stanicu sú determinované jeho členstvom
v ostatných skupinách alebo jeho individuálnymi právami. Ak je používateľ v skupine
Administrators, má právo pripojiť sa vzdialene automaticky pridelené (vzdialená
plocha však musí byť na stanici povolená).

• Replicator – skupina je určená pre podporu replikácií súborov v doméne.

• Users – skupina bežných používateľov. Majú viac obmedzení ako práv. K ich
najpoužívanejším oprávneniam patrí: lokálne prihlasovanie sa na stanicu, vytváranie
a ukladanie lokálneho používateľského profilu, uzamykanie a uspávanie pracovnej
stanice a vypínanie systému.

Pre bežnú prax plne postačujú len skupiny správcov a používateľov. V tomto prípade nebude
potrebné používať konzolu Správa počítača, pretože pri vytváraní používateľa pomocou
nástroja v Ovládacom paneli postačuje dichotomicky vybrať štandardného používateľa
alebo správcu.

Obrázek

// mod: Nakolko som v teme XP videl, ze niekto chcel podrobny opis tyhto nastaveni, tak to prosim vlozte aj do sekcie FAQ
***
t85m
Junior

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků