Как разрешить доступ к компьютеру пользователям сети, которым разрешено работать в системе

Обновлено: 21.11.2024

Сеть состоит из двух или более компьютеров, которые связаны между собой для совместного использования ресурсов (например, принтеров и компакт-дисков), обмена файлами или обеспечения электронной связи. Компьютеры в сети могут быть связаны кабелями, телефонными линиями, радиоволнами, спутниками или лучами инфракрасного света.

Два очень распространенных типа сетей включают:

Вы также можете увидеть ссылки на городские сети (MAN), беспроводную локальную сеть (WLAN) или беспроводную глобальную сеть (WWAN).

Локальная сеть

Локальная вычислительная сеть (LAN) – это сеть, ограниченная относительно небольшой территорией. Как правило, это ограничено географической областью, такой как письменная лаборатория, школа или здание.

Компьютеры, подключенные к сети, обычно классифицируются как серверы или рабочие станции. Серверы, как правило, не используются людьми напрямую, а работают непрерывно, предоставляя «услуги» другим компьютерам (и их пользователям-людям) в сети. Предоставляемые услуги могут включать в себя печать и отправку факсов, хостинг программного обеспечения, хранение и совместное использование файлов, обмен сообщениями, хранение и извлечение данных, полный контроль доступа (безопасность) к сетевым ресурсам и многое другое.

Рабочие станции называются так потому, что на них обычно есть человек, который через них взаимодействует с сетью. Рабочими станциями традиционно считались настольные компьютеры, состоящие из компьютера, клавиатуры, дисплея и мыши, или ноутбуки со встроенными клавиатурой, дисплеем и сенсорной панелью. С появлением планшетных компьютеров и устройств с сенсорным экраном, таких как iPad и iPhone, наше определение рабочей станции быстро расширилось и включает эти устройства из-за их способности взаимодействовать с сетью и использовать сетевые службы.

Серверы, как правило, более мощные, чем рабочие станции, хотя конфигурация определяется потребностями. Например, группа серверов может быть расположена в безопасном месте, вдали от людей, и доступ к ним возможен только через сеть. В таких случаях серверы обычно работают без специального дисплея или клавиатуры. Однако размер и скорость серверного процессора (процессоров), жесткого диска и оперативной памяти могут значительно увеличить стоимость системы. С другой стороны, рабочей станции может не требоваться столько места для хранения или оперативной памяти, но для удовлетворения потребностей пользователя может потребоваться дорогостоящий дисплей. Каждый компьютер в сети должен быть соответствующим образом настроен для его использования.

В одной локальной сети компьютеры и серверы могут быть соединены кабелями или по беспроводной сети. Беспроводной доступ к проводной сети возможен благодаря точкам беспроводного доступа (WAP). Эти устройства WAP обеспечивают мост между компьютерами и сетями. Типичная точка доступа может иметь теоретическую пропускную способность для подключения к сети сотен или даже тысяч беспроводных пользователей, хотя практическая пропускная способность может быть намного меньше.

Почти всегда серверы будут подключаться к сети кабелями, потому что кабельные соединения остаются самыми быстрыми. Стационарные рабочие станции (настольные) также обычно подключаются к сети кабелем, хотя стоимость беспроводных адаптеров снизилась до такой степени, что при установке рабочих станций в существующем помещении с неадекватной проводкой может быть проще и дешевле подключиться к сети. использовать беспроводную связь для рабочего стола.

Дополнительную информацию о настройке локальной сети см. в разделах «Топология», «Кабели» и «Оборудование» этого руководства.

Глобальная сеть

Глобальные сети (WAN) соединяют сети в более крупных географических регионах, таких как Флорида, США или по всему миру. Для подключения этого типа глобальной сети можно использовать выделенные трансокеанские кабельные или спутниковые каналы связи.

Используя глобальную сеть, школы Флориды могут связываться с такими местами, как Токио, за считанные секунды, не оплачивая огромные счета за телефон. Два пользователя на расстоянии полмира с рабочими станциями, оборудованными микрофонами и веб-камерами, могут проводить телеконференции в режиме реального времени. WAN — это сложно. Он использует мультиплексоры, мосты и маршрутизаторы для подключения местных и городских сетей к глобальным коммуникационным сетям, таким как Интернет. Однако для пользователей глобальная сеть не будет сильно отличаться от локальной сети.

Преимущества установки школьной сети

Управление доступом пользователей. Современные сети почти всегда имеют один или несколько серверов, что позволяет централизованно управлять пользователями и сетевыми ресурсами, к которым у них есть доступ. Учетные данные пользователя в частной и управляемой сети могут быть такими же простыми, как имя пользователя и пароль, но с постоянно растущим вниманием к проблемам компьютерной безопасности эти серверы имеют решающее значение для обеспечения того, чтобы конфиденциальная информация была доступна только авторизованным пользователям. Хранение и обмен информацией. Компьютеры позволяют пользователям создавать и манипулировать информацией. Информация в сети живет своей собственной жизнью.Сеть предоставляет как место для хранения информации, так и механизмы для обмена этой информацией с другими пользователями сети. Соединения. Администраторы, преподаватели и даже студенты и гости могут быть подключены к сети кампуса. Услуги. Школа может предоставлять такие услуги, как регистрация, школьные справочники, расписания курсов, доступ к исследованиям, учетные записи электронной почты и многие другие. (Помните, что сетевые службы обычно предоставляются серверами). Интернет. Школа может предоставить пользователям сети доступ к Интернету через интернет-шлюз. Вычислительные ресурсы. Школа может предоставить доступ к специализированным вычислительным устройствам, которыми отдельные пользователи обычно не владеют. Например, школьная сеть может иметь высокоскоростные высококачественные принтеры, стратегически расположенные по территории кампуса для использования инструкторами или учащимися. Гибкий доступ. Школьные сети позволяют учащимся получать доступ к своей информации с подключенных устройств по всей школе. Учащиеся могут начать задание в своем классе, сохранить часть его в общедоступной зоне сети, а после уроков пойти в медиацентр, чтобы закончить работу. Студенты также могут работать совместно через сеть. Вычисление рабочей группы. Программное обеспечение для совместной работы позволяет многим пользователям одновременно работать над документом или проектом. Например, преподаватели, работающие в разных школах округа, могут одновременно вносить свои идеи о новых стандартах учебной программы в один и тот же документ, электронные таблицы или веб-сайт.

Дорогая установка. Крупные сети кампусов могут иметь высокие цены. Кабели, сетевые карты, маршрутизаторы, мосты, брандмауэры, точки беспроводного доступа и программное обеспечение могут стоить дорого, а для установки, безусловно, потребуются услуги технических специалистов. Но благодаря простоте настройки домашних сетей простую сеть с доступом в Интернет можно настроить для небольшого кампуса за полдня. Требуется административное время. Надлежащее обслуживание сети требует значительного времени и опыта. Многие школы установили сеть только для того, чтобы обнаружить, что в бюджете не предусмотрена необходимая административная поддержка. Серверы выходят из строя. Хотя сетевой сервер не более подвержен сбоям, чем любой другой компьютер, когда файловый сервер «выходит из строя», вся сеть может остановиться. Хорошие методы проектирования сети говорят о том, что критически важные сетевые службы (предоставляемые серверами) должны быть избыточными в сети, когда это возможно. Кабели могут порваться. В главе «Топология» представлена информация о различных конфигурациях кабелей. Некоторые конфигурации предназначены для сведения к минимуму неудобств, связанных с оборванным кабелем; при других конфигурациях один оборванный кабель может остановить всю сеть. Безопасность и соответствие. Безопасность сети стоит дорого. Это также очень важно. Школьная сеть, возможно, будет подвергаться более строгим требованиям безопасности, чем корпоративная сеть аналогичного размера, из-за вероятности хранения личной и конфиденциальной информации пользователей сети, опасность которой может усугубляться, если какие-либо пользователи сети являются несовершеннолетними. Большое внимание необходимо уделять сетевым службам, чтобы обеспечить соответствие всего сетевого контента сетевому сообществу, которое он обслуживает.

4202 E. Fowler Ave., EDU162

Тампа, Флорида 33620

Доктор. Рой Винкельман, директор

Эта публикация была подготовлена в рамках гранта Министерства образования Флориды.

Информация, содержащаяся в этом документе, основана на информации, доступной на момент публикации, и может быть изменена. Несмотря на то, что были предприняты все разумные усилия для включения точной информации, Флоридский центр учебных технологий не дает никаких гарантий в отношении точности, полноты или пригодности информации, представленной здесь, для какой-либо конкретной цели. Ничто в данном документе не может быть истолковано как рекомендация использовать какой-либо продукт или услугу в нарушение существующих патентов или прав третьих лиц.

Описывает рекомендации, расположение, значения, управление политиками и рекомендации по безопасности для параметра политики "Доступ к этому компьютеру из сети".

Если используется Windows Server или отказоустойчивая кластеризация Azure Stack HCI, не удаляйте пользователей, прошедших проверку, из параметра «Доступ к этому компьютеру из сетевой политики». Это может привести к неожиданному останову производства. Это связано с локальной учетной записью пользователя CLUSR, которая используется для запуска службы кластера. CLUSR не является членом локальной группы администраторов, и если группа «Прошедшие проверку» будет удалена, служба кластера не будет иметь достаточных прав для правильной работы или запуска.

Ссылка

Параметр политики «Доступ к этому компьютеру из сети» определяет, какие пользователи могут подключаться к устройству из сети. Эта возможность требуется для ряда сетевых протоколов, включая протоколы на основе блока сообщений сервера (SMB), NetBIOS, Common Internet File System (CIFS) и Component Object Model Plus (COM+).

Пользователи, устройства и учетные записи служб получают или теряют право доступа к этому компьютеру из сети, будучи явно или неявно добавленными или удаленными из группы безопасности, которой предоставлено это право пользователя. Например, учетная запись пользователя или учетная запись компьютера может быть явно добавлена в настраиваемую группу безопасности или встроенную группу безопасности, или она может быть неявно добавлена Windows в вычисляемую группу безопасности, такую как «Пользователи домена», «Прошедшие проверку» или «Предприятие». Контроллеры домена. По умолчанию учетным записям пользователей и учетным записям компьютеров предоставляется право доступа к этому компьютеру из сети, когда вычисляемые группы, такие как «Прошедшие проверку», и для контроллеров домена группа «Контроллеры домена предприятия» определены в объекте групповой политики (GPO) контроллеров домена по умолчанию. .

Возможные значения

Определяемый пользователем список аккаунтов
Не определено

Местоположение

Конфигурация компьютера\Настройки Windows\Настройки безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

В следующей таблице перечислены фактические и действующие значения политики по умолчанию для самых последних поддерживаемых версий Windows. Значения по умолчанию также перечислены на странице свойств политики.

Тип сервера объекта групповой политики	Значение по умолчанию
Политика домена по умолчанию< /td>	Не определено
Политика контроллера домена по умолчанию	Все, администраторы, прошедшие проверку пользователи, контроллеры домена предприятия, доступ, совместимый с версиями до Windows 2000
Настройки автономного сервера по умолчанию	Все, администраторы, пользователи, операторы резервного копирования
Домен действующие настройки контроллера по умолчанию	Все, администраторы, прошедшие проверку пользователи, контроллеры домена предприятия, доступ, совместимый с пред-Windows 2000
действующие настройки рядового сервера по умолчанию	Все, Администраторы, Пользователи, Операторы резервного копирования
Действующие настройки по умолчанию для клиентского компьютера	Все, Администраторы, Пользователи, Операторы резервного копирования

Управление политикой

При изменении этого права пользователя следующие действия могут привести к тому, что у пользователей и служб возникнут проблемы с доступом к сети:

Удаление группы безопасности Enterprise Domain Controllers
Удаление группы «Прошедшие проверку» или явной группы, которая предоставляет пользователям, компьютерам и учетным записям служб право на подключение к компьютерам по сети.
Удаление всех учетных записей пользователей и компьютеров.

Для вступления в силу этого параметра политики перезапуск устройства не требуется.

Любое изменение назначения прав пользователя для учетной записи вступает в силу при следующем входе владельца учетной записи.

Групповая политика

Параметры применяются в следующем порядке через объект групповой политики (GPO), который перезапишет параметры на локальном компьютере при следующем обновлении групповой политики:

Настройки локальной политики
Настройки политики сайта
Настройки политики домена
Настройки политики подразделения

Если локальная настройка выделена серым цветом, это означает, что объект групповой политики в настоящее время управляет этой настройкой.

Соображения безопасности

В этом разделе описывается, как злоумышленник может использовать функцию или ее конфигурацию, как реализовать контрмеру и возможные негативные последствия реализации контрмеры.

Уязвимость

Пользователи, которые могут подключаться со своего устройства к сети, могут получать доступ к ресурсам на целевых устройствах, для которых у них есть разрешение. Например, право доступа к этому компьютеру из сети требуется пользователям для подключения к общим принтерам и папкам. Если это право пользователя назначено группе «Все», любой член группы может читать файлы в этих общих папках. Эта ситуация маловероятна, поскольку группы, созданные при установке по умолчанию как минимум Windows Server 2008 R2 или Windows 7, не включают группу «Все». Однако, если устройство обновлено и исходное устройство включает группу «Все» как часть определенных пользователей и групп, эта группа преобразуется в рамках процесса обновления и присутствует на устройстве.

Контрмеры

Ограничить право доступа к этому компьютеру из сети только теми пользователями и группами, которым требуется доступ к компьютеру. Например, если вы настраиваете этот параметр политики для групп «Администраторы» и «Пользователи», пользователи, которые входят в домен, могут получать доступ к ресурсам, которые совместно используются с серверов в домене, если члены группы «Пользователи домена» включены в локальную группу «Пользователи».< /p>

Примечание. Если вы используете IPsec для защиты сетевых соединений в своей организации, убедитесь, что это право предоставлено группе, включающей учетные записи компьютеров. Это право необходимо для успешной аутентификации компьютера. Назначение этого права аутентифицированным пользователям или компьютерам домена соответствует этому требованию.

Потенциальное влияние

Откройте Проводник Windows, нажав клавишу Windows и выбрав Компьютер; затем перейдите к папке, разрешениями которой вы хотите управлять.

Щелкните правой кнопкой мыши папку, которой хотите управлять, и выберите "Свойства" в контекстном меню.

Появится диалоговое окно свойств папки.

Перейдите на вкладку "Общий доступ"; затем нажмите «Расширенный доступ».

Появится диалоговое окно "Расширенный доступ".

Появится показанное диалоговое окно. В этом диалоговом окне перечислены все пользователи и группы, которым вы предоставили разрешение на доступ к папке. Изначально разрешения на чтение предоставляются группе Все, что означает, что любой может просматривать файлы в общей папке, но никто не может создавать, изменять или удалять файлы в общей папке.

Когда вы выбираете пользователя или группу из списка, флажки в нижней части списка меняются, чтобы указать, какие конкретные разрешения вы назначили каждому пользователю или группе.

Нажмите кнопку "Добавить".

Появится показанное диалоговое окно.

Введите имя пользователя или группы, которым вы хотите предоставить разрешение, и нажмите OK.

Если вы не уверены в названии, нажмите кнопку "Дополнительно". Это действие вызывает диалоговое окно, в котором вы можете искать существующих пользователей.

Нажав кнопку "ОК", вы вернетесь на вкладку "Разрешения общего доступа" с добавленным новым пользователем или группой.

Установите соответствующие флажки Разрешить и Запретить, чтобы указать, какие разрешения разрешить пользователю или группе.

Повторите шаги 5–7 для любых других разрешений, которые вы хотите добавить.

Когда закончите, нажмите OK.

Если вы хотите предоставить полный доступ к этой папке всем, не утруждайте себя добавлением другого разрешения. Вместо этого выберите группу «Все», а затем установите флажок «Разрешить» для каждого типа разрешений.

Вы можете удалить разрешение, выбрав его и нажав кнопку "Удалить".

Если вы не хотите возиться с консолью управления общими ресурсами и хранилищем, вы можете установить разрешения в разделе "Мой компьютер". Щелкните правой кнопкой мыши общую папку, выберите «Общий доступ и безопасность» в контекстном меню, а затем нажмите «Разрешения». Затем вы можете выполнить предыдущую процедуру, начиная с шага 5.

Разрешения, назначенные в этой процедуре, применяются только к самой общей папке. Базовой папке также могут быть назначены разрешения. Если это так, всегда применяется то из ограничений, которое является наиболее строгим. Если разрешения общего доступа предоставляют пользователю разрешение «Полный доступ», а разрешение папки предоставляет пользователю только разрешение «Чтение», например, у пользователя есть только разрешение «Чтение» для папки.

Об этой статье

Эта статья взята из книги:

Об авторе книги:

Дуг Лоу — автор бестселлеров Networking For Dummies и Networking All-in-One Desk Reference For Dummies. Его более 50 книг включают более 30 из серии Для чайников. Он пролил свет на все, от Microsoft Office и управления памятью до клиент-серверных вычислений и создания веб-страниц.

Во многих случаях вам потребуется изменить права доступа к файлу или папке, которые есть у определенной группы или отдельного пользователя. Например, вы можете назначить специальную папку на диске W: в области вашего отдела под названием «Входящие» в качестве места, куда студенты могут сдать свою работу. Для этого вам сначала нужно создать новую папку на диске W:.По умолчанию новая папка будет иметь те же разрешения, что и родительская папка, что не позволит учащимся отправлять свои работы и даже не позволит учащимся получить доступ к папке. Затем вам нужно будет разрешить учащимся доступ к новой папке и установить разрешения для папки. Когда вы устанавливаете разрешения, вы указываете, какой уровень доступа у учащихся к папке и ее файлам, а также то, что учащиеся могут делать в этой папке, например сохранять, удалять или читать файлы.
ПРИМЕЧАНИЕ. Большинство эти инструкции относятся к разделу «Компьютер» в меню «Пуск».

Контент

Стандартные типы разрешений

Существует шесть стандартных типов разрешений, которые применяются к файлам и папкам в Windows:

Полный доступ
Изменить
Прочитать и выполнить
Список содержимого папки
Читать
Написать

Каждый уровень представляет собой отдельный набор действий, которые могут выполнять пользователи. Дополнительную информацию см. в таблице ниже.

Для папок вы также можете установить свои собственные уникальные разрешения или создать вариант любого из стандартных уровней разрешений. Внутри каждого из уровней разрешений существует множество возможных вариаций. Информацию о некоторых из этих расширенных параметров см. в разделе Дополнительные разрешения на уровне папок ниже.

В следующей таблице представлены доступные стандартные типы разрешений.

просмотреть имя файла и вложенные папки.
переход к подпапкам.
просмотреть данные в файлах папки.
добавить файлы и подпапки в папку.
изменить файлы в папке.
удалить папку и ее файлы.
изменить разрешения.
получить право собственности на папку и ее файлы.

просмотреть имена файлов и вложенные папки.
переход к подпапкам.
просмотреть данные в файлах папки.
добавить файлы и подпапки в папку.
изменить файлы в папке.
удалить папку и ее файлы.
открывать и изменять файлы.

просмотреть имена файлов и имена вложенных папок.
переход к подпапкам.
просмотреть данные в файлах папки.
запускать приложения.

просмотреть имена файлов и имена вложенных папок.
переход к подпапкам.
просмотреть папки.
не разрешает доступ к файлам папки.

просмотреть имена файлов и имена вложенных папок.
переход к подпапкам.
открыть файлы.
копировать и просматривать данные в файлах папки.

создавать папки.
добавить новые файлы.
удалить файлы.

Создать новую папку

Во многих случаях вам потребуется создать новую папку. Если вы используете существующую папку и не хотите создавать новую, перейдите к Доступ к диалоговому окну свойств.

Доступ к диалоговому окну свойств

При работе с разрешениями в Windows 7 необходимо работать в диалоговом окне Свойства. Это диалоговое окно для файла или папки, с которыми вы работаете, можно открыть, выполнив несколько шагов.

Нажмите на меню "Пуск".
Нажмите "Компьютер".
Выберите папку или файл, для которого вы хотите настроить/просмотреть разрешения.
Щелкните правой кнопкой мыши папку или файл.
Выберите Свойства.
Откроется диалоговое окно Свойства.

Предоставление доступа к файлу или папке

После создания новой папки или даже если вы будете использовать существующую папку, вам необходимо определить, кто будет иметь к ней доступ. Также имейте в виду, что по умолчанию те же лица, которые имеют доступ к «родительской» (исходной) папке, также имеют доступ к новой папке, и наоборот. Это может быть не идеально. Предоставить доступ определенным пользователям к любой папке, которую вы создали, очень просто.

Откройте диалоговое окно Свойства.
Выберите вкладку Безопасность.
Нажмите "Изменить".
Вкладка безопасность откроется в новом окне.
Нажмите «Добавить».
Появится диалоговое окно Выберите пользователей, компьютеры, илигруппы.
В текстовом поле Введите имена объектов для выбора введите имя пользователя или группы, которые будут иметь доступ к папке (например, 2125.engl.498.001 или username@uwec.edu). ).
СОВЕТ. Вы можете ввести начало имени, а затем нажать «Проверить имена». Имя будет либо разрешено, либо отобразится список пользователей, начинающихся с этих символов, из которых вы сможете выбрать.
Нажмите "ОК".
Снова появится диалоговое окно Свойства.
Нажмите "ОК" в окне Безопасность.
Продолжите с Настройка разрешений ниже.

Настройка разрешений

После того как вы предоставили группе или отдельному пользователю доступ к папке, вам нужно будет установить разрешения для новых пользователей.Когда вы устанавливаете разрешения, вы указываете, какой уровень доступа у пользователя (пользователей) к папке и файлам в ней. Будьте осторожны, проверяя Запретить для каких-либо разрешений, так как разрешение Запретить имеет приоритет над любыми другими разрешениями, связанными с разрешениями Разрешить.

Права доступа к папке могут быть изменены только владельцем папки (т. е. создателем) или лицом, которому владелец предоставил разрешение. Если вы не являетесь владельцем папки или владелец не предоставил вам разрешения, все флажки будут серыми. Поэтому вы не сможете вносить какие-либо изменения, пока владелец не предоставит вам разрешение.

Откройте диалоговое окно Свойства.
Выберите вкладку Безопасность.
В верхней части диалогового окна перечислены пользователи и/или группы, у которых есть доступ к файлу или папке.
Нажмите "Изменить"
В разделе Группа или имя пользователя выберите пользователей, для которых вы хотите установить разрешения
В разделе Разрешения установите флажки, чтобы выбрать соответствующий уровень разрешений.
Нажмите "Применить".
Нажмите "ОК".
Новые разрешения будут добавлены к файлу или папке.

Расширенные разрешения на уровне папки

Когда вы устанавливаете разрешения, вы указываете, что пользователям разрешено делать в этой папке, например сохранять и удалять файлы или создавать новую папку. Вы не ограничены выбором одного из стандартных параметров разрешений (Полный доступ, Изменение, Чтение и выполнение, Список содержимого папки, Чтение или Запись). Вместо того, чтобы выбирать один из этих параметров, вы можете установить свои собственные уникальные разрешения в зависимости от того, что вы хотите, чтобы пользователи могли делать. Чтобы понять, как можно комбинировать параметры, см. Типы разрешений: обзор.

Помните, что права доступа к папке могут быть изменены только владельцем папки (т. е. создателем) или лицом, получившим разрешение от владельца. Если вы не являетесь владельцем папки или владелец не предоставил вам разрешения, флажки будут недоступны. Поэтому вы не сможете вносить какие-либо изменения, пока владелец не предоставит вам разрешение.

Доступ к диалоговому окну Свойства
Выберите вкладку Безопасность.
В правом нижнем углу диалогового окна Свойства нажмите Дополнительно
Появится диалоговое окно Дополнительные параметры безопасности.

< /li>
(Необязательно) Если вы не хотите, чтобы новая папка имела те же разрешения, что и «родительская» (исходная) папка, и хотите установить уникальные разрешения для новой папки, нажмите кнопку «Изменить разрешение» внизу. Это вызовет аналогичное окно.
1. Снимите флажок Включить наследуемые разрешения от родительского объекта
  Появится диалоговое окно с предупреждением Безопасность Windows.
2. Нажмите "Удалить", если вы хотите, чтобы кому-то сразу было запрещено разрешение.
  ПРИМЕЧАНИЕ. Внимательно прочитайте инструкции и выберите действие, которое вы хотите выполнить для получения разрешений.