1 как windows различает пользователей

Обновлено: 04.07.2024

Цель работы:Ознакомиться с процедурами создания ученых записей пользователей и управления их правами.

Теоретическая часть

В операционной системе Windows XP на одном и том же компьютере могут работать разные пользователи, каждый под своим именем. При входе в ОС запрашиваются имя и пароль, на основе которых происходит аутентификация пользователя.

Компьютер может работать автономно, а может быть рабочей станцией в сети. Если компьютер загружается для автономной работы или для работы в одноранговой сети , то пользователь регистрируется, используя внутренний (локальный) список имен пользователей системы.

Если компьютер загружается для работы в сети с выделенным сервером , то пользователь регистрируется, используя имя, которое ему выдал администратор сети. Список с этими именами хранится на сервере.

Данные о пользователе находятся в специальной базе данных на локальных компьютерах и на сервере. На каждого пользователя заводится отдельная учетная карточка, которая носит название учетная запись.

Windows XP использует три типа учетных записей пользователей:

  1. Локальные учетные записи для регистрации пользователей локального компьютера. База локальных учетных записей хранится на каждом компьютере своя, и содержит информацию о пользователях только данного компьютера. Создаются учетные записи администратором этого компьютера.
  2. Встроенные учетные записи пользователей создаются автоматически при установке Windows XP. Встроенных учетных записей две — Администратор и Гость. Встроенные учетные записи хранятся в той же базе, что и локальные учетные записи.
  3. Учетные записи пользователей домена хранятся на выделенном сервере и содержат данные о пользователях локальной сети.

Локальная учетная запись - это учетная запись, которой могут быть предоставлены разрешения и права на вашем компьютере. Для удобства управления локальными пользователями, их можно объединять в группы и управлять группами, чтобы не устанавливать одни и те же настройки для каждого пользователя в отдельности. Ограничения, установленные для группы, распространяются на всех пользователей этой группы.

Домен или глобальные пользователи и группы управляются сетевым администратором . Имеется возможность добавить локальных пользователей, глобальных пользователей и глобальные группы в локальные группы. Однако невозможно добавить локальных пользователей и локальные группы в глобальные группы.

Пользователи и группы важны для безопасности Windows XP поскольку позволяют ограничить возможность пользователей и групп выполнять определенные действия путем назначения им прав и разрешений. Право дает возможность пользователю выполнять на компьютере определенные действия, такие как архивирование файлов и папок или завершение работы компьютера. Разрешение представляет собой правило, связанное с объектом (например, файлом, папкой или принтером), которое определяет, каким пользователям и какого типа доступ к объекту разрешен.

Операционная система содержит несколько встроенных учетных записей пользователей и групп, которые не могут быть удалены:

Учетная запись пользователя с именем "Администратор" используется при первой установке рабочей станции или рядового сервера. Эта учетная запись позволяет выполнять необходимые действия до того, как пользователь создаст свою собственную учетную запись. Администратор является членом группы администраторов на рабочей станции или рядовом сервере.

Учетную запись "Администратор" нельзя удалить, отключить или вывести из группы администраторов, что исключает возможность случайной потери доступа к компьютеру после уничтожения всех учетных записей администраторов. Это свойство отличает пользователя "Администратор" от остальных членов локальной группы "Администраторы".

Учетная запись гостя предназначена для тех, кто не имеет реальной учетной записи на компьютере. Учетную запись "Гость" нельзя удалить, но можно переименовать или отключить. Учетной записи пользователя "Гость", как и любой другой учетной записи, можно предоставлять права и разрешения на доступ к объектам. Учетная запись "Гость" по умолчанию входит во встроенную группу "Гости", что позволяет пользователю войти в систему с рабочей станции или рядового сервера. Дополнительные права, как любые разрешения, могут быть присвоены группе "Гости" членом группы администраторов.

К стандартным группам Windows XP относятся следующие группы:

Пользователи, входящие в группу "Администраторы", имеют полный доступ на управление компьютером. Это единственная встроенная группа, которой автоматически предоставляются все встроенные права и возможности в системе. По умолчанию туда входит учетная запись "Администратор".

Члены группы "Операторы архива" могут архивировать и восстанавливать файлы на компьютере, независимо от всех разрешений, которыми защищены эти файлы. Также они могут входить на компьютер и выключать его, но не могут изменять параметры безопасности.

Члены группы опытных пользователей могут создавать учетные записи пользователей, но могут изменять и удалять только созданные ими учетные записи. Они могут создавать локальные группы и удалять пользователей из локальных групп, которые они создали. Они также могут удалять пользователей из групп "Опытные пользователи", "Пользователи" и "Гости".

Они не могут изменять группы "Администраторы" и "Операторы архива", не могут являться владельцами файлов, не могут выполнять архивирование и восстановление каталогов, не могут загружать и выгружать драйверы устройств или управлять журналами безопасности и аудита.

Члены группы пользователей могут выполнять наиболее распространенные задачи, например запуск приложений, использование локальных и сетевых принтеров , завершение работы и блокировка рабочих станций. Пользователи могут создавать локальные группы, но изменять могут только те, которые они создали. Пользователи не могут организовывать общий доступ к каталогам или создавать локальные принтеры .

Группа "Гости" позволяет случайным или разовым пользователям войти в систему со встроенной учетной записью гостя рабочей станции и получить ограниченные возможности. Члены группы "Гости" могут только прекратить работу компьютера.

Управление учетными записями пользователей и группами осуществляется пользователями, входящими в группу Администраторы.

В этой статье рассмотрим права и привилегии пользователей в системе. Вы узнаете где они устанавливаются и чем права отличаются от привилегий.

Назначение прав и привилегий

Привилегии – это возможность выполнять связанные с системой операции, например выключение компьютера или изменение системного времени.

Право – разрешает или запрещает выполнять конкретный тип входа в систему, например локальный или вход по сети.

Для того чтобы управлять привилегиями и правами, нужно использовать ММС-оснастку “Локальная политика безопасности” (secpol.msc). В этой оснастке можно настроить и права и привилегии для пользователей или групп. Вы можете различить права от привилегий тем, что права связаны со входом в систему, а привилегии не связаны.

Назначение прав пользователей через редактор локальной политики безопасности

Права учетной записи

Права хоть и находятся в одной и той же оснастке с привилегиями, но технически отличаются т привилегий. Они не связаны с монитором безопасности SRM и не хранятся в маркерах доступа в отличие от привилегий.

Возможные права:

  • право локального входа в систему (logon locally);
  • возможность входить в систему по сети (logon over the network);
  • право входить в систему через службу терминалов (logon through Terminal Services);
  • возможность входить в систему в качестве службы (logon as a service);
  • возможность входить в систему в качестве пакетного задания (logon as a batch job).

Привилегии

Привилегии пользователя находятся в маркере доступа. А вот не полный список привилегий:

  • Резервное копирование файлов и каталогов. Заставляет NTFS предоставлять некоторый доступ к файлам, даже если дескриптор безопасности не дает таких разрешений.
  • Восстановление файлов и каталогов. Заставляет NTFS предоставлять некоторый доступ к файлам, даже если дескриптор безопасности не дает таких разрешений.
  • Повышение приоритета планирования. Требуется для повышения приоритета процесса.
  • Загрузка и выгрузка драйверов устройств.
  • Добавление рабочих станций в домен.
  • Выполнение операций сопровождения с томом. Например, выполнение дефрагментации или проверка диска.
  • Изменение маркера объекта. Например, разрешает запуск программ от имени администратора.
  • Управление аудитом и журналом безопасности. Необходимо для обращения к списку SACL.
  • Выключение системы.
  • Изменение системного времени.
  • Получение прав владения. Для файлов и других объектов.

Включение привилегий по требованию

Привилегии включаются по требованию, чтобы понять это, проведем эксперимент.

Запустите Process Explorer с повышенными привилегиями. А затем щелкните правой кнопкой мыши на часах в области уведомлений и выберите команду “Настройка даты и времени“. После чего найдите и откройте свойства процесса “SystemSettings.exe” в “Process Explorer“.

Далее, перейдите на вкладку “Security” и там вы увидите, что привилегия “SeTimeZonePrivilege” отключена:

Внутреннее устройство Windows. Права доступа и привилегии, изображение №2

Затем измените часовой пояс, закройте и снова откройте окно свойств процесса ” SystemSettings.exe “. И вы увидите, что привилегия “SeTimeZonePrivilege” включилась:

Внутреннее устройство Windows. Права доступа и привилегии, изображение №3

Получается что процесс может иметь какую-то привилегию, но пока он ей не воспользуется, привилегия будет в выключенном состоянии.

Привилегия обхода промежуточных проверок NTFS

А теперь разберём ещё одну интересную привилегию. Она позволяет получить доступ к файлу, даже если у вас нет доступа к папке в которой этот файл находится. Такая привилегия называется SeNotifyPrivilege.

Во-первых создайте папку, а внутри этой папки создайте новый текстовый документ. Затем перейдите в Проводнике к этому файлу, откройте его свойства и перейдите на вкладку “Безопасность“. Там щелкните на кнопке “Дополнительно” и снимите флажок “Наследование“. А затем примените изменения. Когда появится предложение удалить или скопировать права наследования, выберите “Копировать“.

Теперь измените безопасность новой папки, чтобы у вашей учетной записи не было никакого доступа к ней. Для этого выберите свою учетную запись, а затем выберите все флажки “Запретить” в списке разрешений.

Запустите программу “Блокнот“. В меню “Файл” выберите команду “Открыть” и перейдите к новому каталогу. Вы не сможете открыть его, так как доступ быть запрещен. Но вы можете в поле “Имя файла” диалогового окна “Открыть” набрать полный путь к новому файлу. После чего файл должен открыться.

Если бы у вашей учетной записи не было “Привилегии обхода промежуточных проверок“, то NTFS выполнял бы проверки доступа к каждому каталогу пути при попытке открыть файл. Что в данном примере привело бы к запрещению доступа к файлу.

Супер привилегии

Это очень серьёзные привилегии и при включенной системе UAC они будут предоставляться только приложениям запущенным на высоком уровне целостности ( high или выше). Ну и конечно учетная запись должна обладать этими привилегиями.

Вот список таких супер привилегий:

  • Проводить отладку программ. Пользователь с этой привилегией может открывать любой процесс в системе, не обращая внимания на имеющийся у процесса дескриптор безопасности. И может не только смотреть содержимое памяти процесса, но и выполнить свой код от имени этого процесса.
  • Приобретать права владения. Эта привилегия позволяет приобретать права владения любым объектом в системе.
  • Восстанавливать файлы и каталоги. Пользователь, получивший эту привилегию, может заменять любые файлы в системе своими собственными файлами.
  • Загружать и выгружать драйверы устройств. Такая привилегия позволит загрузить в систему любой драйвер, который будет работать в режиме ядра.
  • Создавать объект маркера. Эта привилегия может использоваться, чтобы запустить приложение с любым маркером доступа.
  • Действовать в качестве части операционной системы. Эта привилегия позволяет устанавливать доверенное подключение к LSASS, что даст возможность создавать новые сеансы входа в систему.

Помимо всего прочего, следует помнить, что привилегии не выходят за границы одной машины и не распространяются на сеть.

Мы уже обсуждали возможности Windows по настройке прав доступа пользователей к определенным объектам. Данными объектами выступали папки или файлы. Соответственно, мы могли дать некоторым пользователям доступ к выбранным объектам, а некоторым запретить. Права доступа к файлам это одно, а вот как настроить права доступа к определенным компонентам и возможностям операционной системы Windows? Как одному пользователю разрешить пользоваться удаленным рабочим столом, а второму запретить изменять настройки сети или времени? Тут уже обычными правами доступа NTFS не обойтись.

Как изменить права доступа пользователя?

  1. Консоль Управление компьютером.
  2. Редактор локальной групповой политики.

Рассмотрим оба варианта.

Настройка групп пользователей Windows через консоль Управление компьютером

Как добавить пользователя в группу пользователей Windows:

  1. Выполните клик правой кнопкой компьютерной мышки по пункту Мой компьютер.
  2. В контекстном меню выберите пункт Управление.
  3. В открывшемся окне раскройте узел Локальные пользователи и группы.
  4. Выберите узел Группы.
  5. В центральном окне выберите необходимую группу и откройте ее.
  6. В открывшемся окне выберите пункт Добавить.
  7. В следующем окне введите имя пользователя Windows, которого Вы хотите добавить в данную группу. При необходимости воспользуйтесь кнопкой Проверить имена.
  8. После выбора пользователя или сразу нескольких пользователей, жмите кнопку ОК.

Как удалить пользователя из группы:

  1. Проделайте первые 5 пунктов описанные выше.
  2. В открывшемся окне выберите нужного пользователя и нажмите кнопку Удалить.
  3. Нажмите ОК.

Работа с группами пользователей Windows в Редакторе локальной групповой политики

Как добавить/удалить пользователя в/из группу/группы пользователей WIndows:

Разница политик от консоли Управление компьютера в том, что они позволяют настроить права доступа по винтикам. Если группы пользователей Windows в Управлении компьютером имеют довольно обширные права и запреты, то политики позволяют настроить права пользователей Windows до такой мелочи, как возможность изменения времени или часового пояса.

Группы пользователей в Windows и их права доступа

А вот и долгожданный список основных групп пользователей Windows:

Данный список может быть намного шире. Тут приведены только основные группы пользователей Windows, которые встречаются практически на всех машинах под управлением операционной системы от Microsoft.


Контроль учетных записей пользователей Windows является функцией , которая позволяет предотвращать и блокировать несанкционированные изменения в компьютере. Также известна как UAC, она интегрирован во все операционные системы Microsoft, начиная с Windows Vista.

UAC позволяет вам контролировать компьютер путём запроса разрешения, прежде чем вносить изменения, требующие административного доступа.

Контроль учётных записей включен по умолчанию (→ как отключить UAC) для предотвращения запуска вредоносных программ обычными пользователями Windows или изменения настроек, которые влияют на других пользователей компьютера.

Давайте попробуем понять, что такое контроль учетных записей Windows, объяснив, как он работает.

Как работает контроль учетных записей

Когда пользователь Windows пытается выполнить операцию, требующую прав администратора, появляется окно контроля учетных записей. Действия, требующие административного разрешения, обозначены маленьким сине-желтым щитом рядом с заголовком.

Для продолжения требуется подтверждение в окне контроля учетных записей. Если пользователь, который хочет выполнить операцию, имеет учетную запись администратора, он может продолжить. Если у пользователя стандартная учетная запись, он может продолжить, только если введёт пароль пользователя-администратора.

После ввода пароля права администратора будут временно присвоены стандартной учетной записи. Это позволит вам завершить операцию. По окончании операции права обычного пользователя будут восстановлены.

Окно контроля учетных записей Windows также может появиться, если программа пытается внести изменения без какого-либо запроса от пользователя.

Если вы не совершали каких-либо действий и появляется окно UAC, то должны тщательно проверить отображаемую информацию, прежде чем выбирать, разрешать или не разрешать изменение, чтобы не допустить того, что вредоносное ПО или другое программное обеспечение нарушит безопасность компьютера.

Токены и процессы контроля учетных записей

Чтобы лучше понять, как работает контроль учетных записей Windows, нам нужно объяснить, что такое токен доступа и как работает процесс, который регулирует UAC.

Токен доступа – это объект операционной системы, который содержит различную информацию. Он используется для определения типа пользователя, его привилегий и группы, к которой он принадлежит. В Windows токен связан с процессом, выполняемым пользователем. Система анализирует токен, чтобы определить, есть ли у пользователя необходимые привилегии для запуска процесса. Если у пользователя нет необходимых привилегий, вмешивается контроль учетных записей.

Если контроль учетных записей пользователей включен, Windows запросит согласие или учетные данные действительной учетной записи администратора, прежде чем приступить к выполнению задачи или программы, для которых требуется токен доступа администратора. Этот запрос сделан для предотвращения установки стандартных невидимых вредоносных программ.

Информация, отображаемая в окне контроля учетных записей Windows

Если окно контроля учетной записи пользователя отображается без запроса пользователя, стоит обратить пристальное внимание на информацию, относящуюся к автору программы.

Если автор подтвержден, соответствующая программа имеет цифровую подпись. Цифровая подпись является своего рода «знаком качества», который подтверждает оригинальность программного обеспечения. Благодаря этому вы всегда можете проверить производителя приложения или программы.

Программа с неизвестным автором не обязательно означает, что это вредоносное ПО, но это означает, что программа могла быть изменена и может быть менее безопасной. Кроме того, старое программное обеспечение почти всегда не подписано.

Контроль учетных записей Windows может помочь нам защитить ваш компьютер, но не забывайте всегда внимательно следить за программами, которые запускаете. Используйте только те приложения и программное обеспечение, которые поступают из надежных источников или с сайта производителя.

Читайте также: