Системные группы. Шаблоны учетных записей.
Кроме групп, перечисленных в оснастке dsa в систему встроен еще ряд групп, которые используются для управления доступом в системе. Но не все из них могут использоваться администратором для настройки доступа непосредственно. Некоторые используются системой автоматически.
Встроенные системные группы
Everyone (Все) | входят все локальные и удаленные пользователи, подключенные к компьютеру, включая зарегистрировавшихся по учетной записи Guest (Гость). Администратор не может управлять членством в этой группе. |
Creator/Owner (Создатель / владелец) | Включает пользователя, который создал соответствующий ресурс или стал его владельцем. Если новый владелец — член группы Administrators(Администраторы), то владельцем ресурса становится вся административная группа. Группа CreatorOwner полезна для управления доступом к файлам на разделах NTFS |
Authenticated Users(зарегистрированные пользователи) | В эту группу входят только зарегистрированные в системе пользователи. Это более безопасная альтернатива группе Everyone |
Network (Сетевые пользователи) | В состав этой группы входят удаленные пользователи, подключенные к сетевым ресурсам локального компьютера в данный момент времени. |
Interactive (Интерактивные пользователи) | В состав этой группы автоматически попадает каждый зарегистрированный пользователь компьютера в данный момент времени. |
System(система) | Группа, в которую входит только сама операционная система |
Bath(пакетные задания) | В эту группу входят все учетные записи, вошедшие в систему как пакетные задания в данный момент времени |
Dialup(удаленный вход) | Входят все пользователи. Получившие доступ к системе через удаленное соединение (через коммутируемый канал связи …) в данный момент времени |
Service(служба) | Учетная запись, вошедшая в систему как служба. |
Anonymous Logon(анонимный вход) | Все пользователи, получившие анонимный вход в систему (например, анонимные пользователи FTP) в данный момент времени. |
Системные группы не появляются в соответствующем окне утилиты dsa — их можно увидеть только в окне свойств дискового ресурса NTFS.
|
|
Следующий список содержит практические рекомендации по использованию локальных и глобальных групп.
q Используйте глобальную группу «Authenticated Users» вместо группы «Everyone». Группа «Authenticated Users» содержит только созданные вами учетные записи, а не все учетные записи, подключенные к сети.
q Чтобы позволить группе «Administrators» выполнять задачи администрирования в других доменах, добавьте глобальную группу «Domain Admins» в локальную группу «Administrators» на компьютере в домене, который необходимо администрировать или включите администратора в группу Enterprise Admins.
|
|
q Если права встроенной группы удовлетворяют вашим нуждам, добавьте учетную запись пользователя в эту группу. В противном случае, создайте локальную группу, а затем предоставьте ей соответствующие права пользователя. Например, если по соображениям безопасности необходимо, чтобы пользователь имел права архивирования, но не восстановления файлов, создайте локальную группу «Только архивирование» и предоставьте ей права «Backup Files and Directories» (Архивирование файлов и каталогов).
q Всегда добавляйте пользователей во встроенные группы, которые накладывают наибольшие ограничения и позволяют выполнить лишь необходимые задачи.