Создание учетных записей пользователей

Учётная запись пользователя – это запись, которая содержит сведения, необходимые для идентификации пользователя при подключении к системе, а также информацию для авторизации и учёта. Это имя пользователя и пароль (или другое аналогичное средство аутентификации — например, биометрические характеристики). Пароль или его аналог, как правило, хранится в зашифрованном или хешированном виде (в целях его безопасности).

Для повышения надёжности могут быть, наряду с паролем, предусмотрены альтернативные средства аутентификации — например, специальный секретный вопрос (или несколько вопросов) такого содержания, что ответ может быть известен только пользователю. Такие вопросы и ответы также хранятся в учётной записи.

Учётная запись может содержать следующие дополнительные анкетные данные о пользователе:

• имя;
• фамилию;
• отчество;
• псевдоним (ник);
• пол;
• национальность;
• расовую принадлежность;
• вероисповедание
• группу крови;
• резус-фактор;
• возраст;
• дату рождения;
• адрес электронной почты;
• домашний адрес;
• рабочий адрес;
• номер домашнего телефона;
• номер рабочего телефона;
• номер мобильного телефона;
• номер ICQ;
• идентификатор Skype, ник в IRC;
• другие контактные данные систем обмена мгновенными сообщениями;
• адрес домашней страницы и/или блога в Интернете или интернете;
• сведения о хобби;
• сведения о круге интересов;
• сведения о семье;
• сведения о перенесённых болезнях;
• сведения о политических предпочтениях;
• и многое другое.

Конкретные категории данных, которые могут быть внесены в такую анкету, определяются администраторами системы.

Учётная запись может также содержать одну или несколько фотографий пользователя. Учётная запись пользователя также может учитывать различные статистические характеристики поведения пользователя в системе: давность последнего входа в систему, продолжительность последнего пребывания в системе, адрес использованного при подключении компьютера, интенсивность использования системы, суммарное и (или) удельное количество определённых операций, произведённых в системе, и так далее.

В операционной системе Windows 7 можно создавать несколькими способами как учетные записи пользователей для компьютеров, состоящих в рабочих группах, так и учетные записи пользователей для компьютеров, которые входят в состав домена. Домены, рабочие группы и домашние группы представляют разные методы организации компьютеров в сети. Основное их различие состоит в том, как осуществляется управление компьютерами и другими ресурсами.

1.1.1 Создание учетной записи при помощи диалога «Управление учетными записями пользователей»

Для того чтобы создать учетную запись при помощи диалога «Учетные записи пользователей», нужно сделать следующее:

1. Нажмите на кнопку Пуск для открытия меню, откройте Панельуправления и из списка компонентов панели управления выберите Учетные записи пользователей(рис.78).

Рис. 78. Окно «Внесение изменений в учетные записи пользователя»

2. В диалоге Учетные записипользователей перейдите по ссылке Управлениедругой учетной записью, а затем нажмите на Создание учетной записью(рис.79).

Рис. 79. Окно «Управление учетными записями»

1. Здесь нужно будет ввести имя для учетной записи, выбрать тип учетной записи и нажать на кнопку Создание учетной записи(рис.80).

Рис. 80. Окно «Создание учетной записи»

Имя пользователя не должно совпадать с любым другим именем пользователя или группы на данном компьютере. Оно может содержать до 20 символов верхнего или нижнего регистров, за исключением следующих: " / \ [ ] : ; | = , + * ? <> @, а также имя пользователя не может состоять только из точек и пробелов.

В этом диалоге, можно выбрать одну из двух типов учетных записей: обычные учетные записи пользователей, которые предназначены для повседневной работы или учетные записи администратора, которые предоставляют полный контроль над компьютером и применяются только в необходимых случаях.

1.1.2 Создание учетной записи при помощи диалога «Учетные записи пользователей»

Доступный через панель управления диалог Управление учетными записями пользователей имеет очень серьезное ограничение: оно предлагает на выбор только учетные записи типа Обычный доступ или Администратор. Для того чтобы при создании нового пользователя его можно было поместить в какую-либо определенную группу, нужно сделать следующее:

1. Воспользоваться комбинацией клавиш +R для открытия диалога Выполнить;
2. В диалоговом окне Выполнить, в поле Открыть введите control userpasswords2 и нажмите на кнопку ОК(рис. 81);

Рис. 81. Окно «Учетные записи пользователей»

1. В диалоговом окне Учетные записи пользователей нажмите на кнопку Добавить для запуска мастера добавления нового пользователя (рис.82);

Рис. 82. Окно «Добавление нового пользователя»

4. В появившемся диалоговом окне Добавление нового пользователя введите имя пользователя. Поля Полное имя и Описание не являются обязательными, то есть их можно заполнять при желании. Нажимаем на кнопку Далее(рис.83);

Рис. 83. Окно «Добавление нового пользователя»

5. В диалоге Введите и подтвердите пароль этого пользователя введите пароль для данной учетной записи, а затем продублируйте его в поле Подтверждение, после чего нажмите на кнопку Далее (рис.84);

Рис. 84. Окно «Добавление нового пользователя»

6. Это последний диалог мастера добавления нового пользователя. Здесь необходимо установить переключатель, определяющий группу безопасности, к которой должна относиться данная учетная запись пользователя. Можно выбрать одну из следующих групп: Обычный доступ, Администратор илиДругой. Последний переключатель стоит использовать в том случае, если нужно отнести пользователя к какой-то другой группе, созданной по умолчанию в операционной системе Windows 7.

В следующем списке перечислены 14 встроенных групп операционной системы Windows 7. Эти права назначаются в рамках локальных политик безопасности:

• Administrators (Администраторы). Пользователи, входящие в эту группу, имеют полный доступ на управление компьютером и могут при необходимости назначать пользователям права пользователей и разрешения на управление доступом. По умолчанию членом этой группы является учетная запись администратора. Если компьютер подключен к домену, группа Администраторы домена автоматически добавляется в группу Администраторы. Эта группа имеет полный доступ к управлению компьютером, поэтому необходимо проявлять осторожность при добавлении пользователей в данную группу;
• Backup Operators (Операторы архива). Пользователи, входящие в эту группу, могут архивировать и восстанавливать файлы на компьютере независимо от любых разрешений, которыми защищены эти файлы. Это обусловлено тем, что право выполнения архивации получает приоритет над всеми разрешениями. Члены этой группы не могут изменять параметры безопасности.
• Cryptographic Operators (Криптографические операторы). Членам этой группы разрешено выполнение операций криптографии.
• Distributed COM Users (Пользователи DCOM). Членам этой группы разрешено запускать, активировать и использовать объекты DCOM на компьютере.
• Event Log Readers (Читатели журнала событий). Членам этой группы разрешается запускать журнал событий Windows.
• Guests (Гости). Пользователи, входящие в эту группу, получают временный профиль, который создается при входе пользователя в систему и удаляется при выходе из нее. Учетная запись Гость (отключенная по умолчанию) также является членом данной встроенной группы.
• IIS_IUSRS. Это встроенная группа, используемая службами IIS.
• Network Configuration Operators (Операторынастройкисети). Пользователи, входящие в эту группу, могут изменять параметры TCP/IP, а также обновлять и освобождать адреса TCP/IP. Эта группа не имеет членов по умолчанию.
• Performance Log Users (Пользователи журналов производительности). Пользователи, входящие в эту группу, могут управлять счетчиками производительности, журналами и оповещениями на локальном или удаленном компьютере, не являясь при этом членами группы «Администраторы».
• Performance Monitor Users (Пользователи системного монитора). Пользователи, входящие в эту группу, могут наблюдать за счетчиками производительности на локальном или удаленном компьютере, не являясь при этом участниками групп Администраторы или Пользователижурналов производительности.
• Power Users (Опытные пользователи). По умолчанию, члены этой группы имеют те же права пользователя и разрешения, что и учетные записи обычных пользователей. В предыдущих версиях операционной системы Windows эта группа была создана для того, чтобы назначать пользователям особые административные права и разрешения для выполнения распространенных системных задач. В этой версии операционной системы Windows учетные записи обычных пользователей предусматривают возможность выполнения большинства типовых задач настройки, таких как смена часовых поясов. Для старых приложений, требующих тех же прав опытных пользователей, которые имелись в предыдущих версиях операционной системы Windows, администраторы могут применять шаблон безопасности, который позволяет группе Опытныепользователи присваивать эти права и разрешения, как это было в предыдущих версиях операционной системы Windows.
• Remote Desktop Users (Пользователи удаленного рабочего стола). Пользователи, входящие в эту группу, имеют право удаленного входа на компьютер.
• Replicator (Репликатор). Эта группа поддерживает функции репликации. Единственный член этой группы должен иметь учетную запись пользователя домена, которая используется для входа в систему службы репликации контроллера домена. Не добавляйте в эту группу учетные записи реальных пользователей.
• Users (Пользователи). Пользователи, входящие в эту группу, могут выполнять типовые задачи, такие как запуск приложений, использование локальных и сетевых принтеров и блокировку компьютера. Члены этой группы не могут предоставлять общий доступ к папкам или создавать локальные принтеры. По умолчанию членами этой группы являются группы Пользователи домена, Проверенные пользователи и Интерактивные. Таким образом, любая учетная запись пользователя, созданная в домене, становится членом этой группы.

1.1.3 Создание учетной записи при помощи оснастки «Локальные пользователи и группы»

Оснастка Локальные пользователи и группы расположена в компоненте Управление компьютером, представляющем собой набор средств администрирования, с помощью которых можно управлять одним компьютером, локальным или удаленным. Оснастка Локальные пользователи и группы служит для защиты и управления учетными записями пользователей и групп, размещенных локально на компьютере. Можно назначать разрешения и права для учетной записи локального пользователя или группы на определенном компьютере (и только на этом компьютере).

Использование оснастки Локальные пользователи и группы позволяет ограничить возможные действия пользователей и групп путем назначения им прав и разрешений. Право дает возможность пользователю выполнять на компьютере определенные действия, такие как архивирование файлов и папок или завершение работы компьютера. Разрешение представляет собой правило, связанное с объектом (обычно с файлом, папкой или принтером), которое определяет, каким пользователям, и какой доступ к объекту разрешен.

Для того чтобы создать локальную учетную запись пользователя при помощи оснастки Локальные пользователи и группы, нужно сделать следующее:

1. Откройте оснастку Локальные пользователи и группы (рис. 85) одним из следующих способов:

· Нажмите на кнопку Пуск для открытия меню, откройте Панельуправления и из списка компонентов панели управления выберите Администрирование, затем откройте компонент Управлениекомпьютером. В Управлении компьютером откройте Локальныепользователи и группы;

· Открыть Консоль управления MMC. Для этого нажмите на кнопку Пуск, в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню Консольвыберите команду Добавитьилиудалить оснастку или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге Добавление и удаление оснасток выберите оснастку Локальные пользователи и группы и нажмите на кнопку Добавить. Затем нажмите на кнопку Готово, а после этого - кнопку ОК. В дереве консоли откройте узел Локальные пользователи и группы (локально);

· Воспользоваться комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне Выполнить, в поле Открыть введите lusrmgr.msc и нажмите на кнопку ОК;

Рис. 85. Оснастка «Локальные пользователи и группы»

2. Откройте узел Пользователи и либо в меню Действие, либо из контекстного меню выбрать команду Новый пользователь;

1. В диалоговом окне Новый пользователь (рис. 86) введите соответствующие сведения. Помимо указанных данных, можно воспользоваться следующими флажками: Требовать смену пароля при следующем входе в систему, Запретить смену пароля пользователем, Срок действия пароля не ограничен, Отключить учетную запись и нажать на кнопку Создать, а затем Закрыть.

Рис. 86. Диалоговое окно «Новый пользователь»

Для того чтобы добавить пользователя в группу, дважды щелкните имя пользователя для получения доступа к странице свойств пользователя. На вкладке Членство в группах нажмите на кнопку Добавить.

В диалоге Выбор группы можно выбрать группу для пользователя двумя способами:

1. В поле Введите имена выбираемых объектов введите имя группы и нажмите на кнопку Проверить имена (рис. 87):

Рис. 87. Диалоговое окно «Выбор: “Группы”»

2. В диалоговом окне Выбор группы нажмите на кнопку Дополнительно, чтобы открыть диалоговое окно Выбор группы. В этом окне нажмите на кнопку Поиск, чтобы отобразить список всех доступных групп, выберите подходящую группу и нажмите два раза на кнопку ОК.

1.1.4 Создание учетной записи при помощи командной строки

Помимо вышеперечисленных способов, учетные записи пользователей можно создавать, изменять и удалять при помощи командной строки. Для этого нужно выполнить следующие действия:

1. Запустите командную строку от имени администратора;
2. Для создания учетной записи при помощи командной строки используйте команду net user.

Команда net user используется для добавления пользователей, установки паролей, отключения учетных записей, установки параметров и удаления учетных записей. При выполнении команды без параметров командной строки отображается список учетных записей пользователей, присутствующих на компьютере. Информация об учетных записях пользователей хранится в базе данных учетных записей пользователей.

Пример команды:

net user User /add /passwordreq:yes /times:monday-friday,9am-6pm/fullname:"New user"

Используемые параметры:

/add – этот параметр указывает, что необходимо создать новую учетную запись;

/passwordreq – этот параметр отвечает за то, чтобы при первом входе в систему пользователь сменил свой пароль;

/times – этот параметр определяет, сколько раз пользователю разрешено входить в систему. Здесь можно указывать как единичные дни, так и целые диапазоны (например Sa или M-F). Для указания времени допускается как 24-часовый формат, так и 12-часовый формат;

/fullname – этот параметр идентичен полю «Полное имя» при создании пользователя предыдущими способами.

Контроль учетных записей

Контроль учетных записей - это компонент Windows, предназначенный для управления компьютером и уведомления о внесении программами изменений, требующих прав администратора. Контроль учетных записей основан на применении различных уровней разрешений для учетной записи пользователя. При выполнении задач, доступных обычному пользователю, таких как чтение электронной почты, прослушивание музыки и создание документов, применяются разрешения обычного пользователя даже при входе в систему с учетными данными администратора.

При попытке внесения изменений, требующих прав администратора, выводится соответствующее уведомление контроля учетных записей. Если вы являетесь администратором, нажмите кнопку Да для продолжения. Если вы не являетесь администратором, для продолжения требуется ввести пароль пользователя с учетной записью администратора. При подтверждении действия пользователь получает права администратора на время выполнения задачи, а затем снова получает права обычного пользователя. В этом случае даже при использовании учетной записи администратора не допускается внесение изменений без уведомления пользователя. Это позволяет предотвратить установку вредоносных и шпионских программ, а также изменение ими параметров компьютера.

Если для выполнения задачи требуется подтверждение пользователя или ввод пароля, выводится диалоговое окно контроля учетных записей одного из четырех типов. В таблице 1 описываются различные типы диалоговых окон уведомления, а также соответствующие ответные действия пользователя.

Таблица 1. Типы диалоговых окон уведомления

Значок	Тип	Описание
	Программе или компоненту, являющимся частью Windows, требуется разрешение для запуска.	Этот элемент имеет действительную цифровую подпись, подтверждающую, что его издателем является корпорация Майкрософт. При выводе такого диалогового окна обычно можно продолжить работу без опасений. Если вы не уверены, проверьте название программы или компонента и решите, следует ли их выполнять.
	Программе, не являющейся частью Windows, требуется разрешение для запуска.	Эта программа имеет действительную цифровую подпись, подтверждающую ее подлинность и достоверность ее издателя. При выводе такого диалогового окна убедитесь, что выполняется нужная программа, издателю которой вы доверяете.
	Программе, издатель которой неизвестен, требуется разрешение для запуска.	Эта программа не имеет действительной цифровой подписи издателя. Это не обязательно означает опасность, так как во многих старых легальных программах отсутствуют подписи. Однако необходимо внимательно изучить программу и разрешить ее запуск только в том случае, если она получена из надежного источника, такого как оригинальный компакт-диск или веб-сайт издателя. Если вы не уверены, поищите имя программы в Интернете, чтобы определить, является ли она известной программой или вредоносным ПО.
	Запуск этой программы заблокирован системным администратором.	Запуск этой программы заблокирован, поскольку она не имеет доверия. Для запуска этой программы следует обратиться к системному администратору.

В большинстве случаев рекомендуется входить в систему, используя учетную запись обычного пользователя. Не имея прав администратора, можно работать в Интернете, отправлять электронную почту и работать с текстовыми редакторами. Также нет необходимости переключаться на учетную запись администратора во время выполнения административного задания, которое повлияет на других пользователей, такого как установка новой программы или изменение параметров. Перед выполнением такого задания в ОС Windows будет запрошено подтверждение или пароль администратора. Рекомендуется создавать обычные учетные записи для всех пользователей компьютера.

Доступ к параметрам контроля учетных записей упростился - их можно открыть из элементов панели управления Центр поддержки и Учетные записи пользователей, а также из командной строки, запустив UserAccountControlSettings.exe (рис. 88).

Рис. 88. Диалоговое окно «UserAccountControlSettings»

В настройках UAC имеется четыре уровня:

• "Уведомлять при установке программ или попытке внесения ими изменений, а также при изменении параметров Windows пользователем". Это максимальный уровень контроля учетных записей.
• "Уведомлять при установке программ или попытке внесения ими изменений". Этот уровень используется по умолчанию.
• "Уведомлять при попытке установке программ или попытке внесения ими изменений, но не затемняет рабочий стол". Затемнение рабочего стола (так называемый безопасный рабочий стол, Secure Desktop) - это своего рода подтверждение подлинности окна UAC, позволяющее визуально отличить поддельные запросы UAC от настоящих.
• "Не уведомлять ни при установке программ или попытке внесения ими изменений, ни при изменении параметров Windows пользователем". Контроль учетных записей отключен.

1.2.1 Настройка контроля учетных записей пользователей

В корпоративной среде Контроль учетных данных пользователей (UAC) управляется централизованно, при помощи групповых политик. За настройку UAC отвечает 10 политик. Все они находятся в узлеПуск – Панель управления – Администрирование – Локальная политика безопасности (или запустить secpol.msc) – Параметры безопасности (вверху слева в окне) – Локальные политики (слева в окне) – Параметры безопасности (слева в окне - надо по этому пункту щелкнуть мышью) – 10 параметров (справа в окне), начинающихся со слов Контроль учетных записей (рис. 89).

Рис. 89. Окно «Локальная политика безопасности»

Рассмотрим более подробно эти политики и их влияние на контроль учетных записей: