Как создать новую локальную группу в Windows XP

Обновлено: 21.11.2024

Это почти тот же уровень доступа, что и у членов группы "Пользователи", за исключением некоторых дополнительных ограничений.

Члены группы "Пользователи" имеют доступ только к определенным ресурсам, для которых им были назначены явные разрешения, и могут выполнять только определенные задачи, для которых им были назначены явные права.

Когда новый пользователь создается в системе Windows XP Professional, он по умолчанию добавляется в группу "Пользователи".

[ПРИМЕЧАНИЯ С ПОЛЕВЫХ ПОМЕЩЕНИЙ] - Встроенная учетная запись администратора включена по умолчанию и не может быть удалена из системы. Однако имя учетной записи, а также пароль можно изменить, и это рекомендуется. Также рекомендуется, чтобы учетная запись администратора по умолчанию никогда не использовалась или использовалась как можно реже и только тогда, когда задачи должны выполняться на административном уровне. Если на рабочей станции имеется более одного администратора, для каждого из них должна быть создана учетная запись. Если вам необходимо регистрировать административные события, было бы проще создать несколько разных учетных записей администратора, а не одну.

Гостевая учетная запись также не может быть удалена из системы, однако по умолчанию она ОТКЛЮЧЕНА, и если нет какой-либо оперативной необходимости, она должна оставаться отключенной. Единственной «необходимостью» для гостевой учетной записи может быть терминал типа киоска в вестибюле офисного здания или отеля, и в этом случае его можно использовать. Если на короткое время возникает необходимость предоставить временному пользователю доступ к системе, всегда стоит «осложнить» создание учетной записи.

Кроме того, не рекомендуется изменять какие-либо разрешения по умолчанию и другие настройки для встроенных групп. Если вам нужно повысить или понизить разрешения для всех пользователей во встроенной группе, почти всегда лучше создать новую группу, поместить всех предполагаемых пользователей в эту группу и внести в нее соответствующие настройки.

Использование оснастки «Локальные пользователи и группы»

Группы используются в Windows XP Professional (и других операционных системах Microsoft) в качестве точки сбора учетных записей пользователей, чтобы упростить администрирование системы, позволяя назначать разрешения и права группе пользователей, а не каждой учетной записи пользователя в отдельности.

Локальные группы используются в отдельных системах для назначения разрешений ресурсам на этом конкретном компьютере. Локальные группы создаются и администрируются в локальной базе данных безопасности в системах Windows XP Professional.

Обычно вам нужно быть локальным администратором, чтобы выполнять большинство функций настройки системы (даже просто просматривать текущие параметры конфигурации в некоторых случаях) в системе Windows XP Professional, а в некоторых случаях может быть локальный администратор. политика, установленная каким-либо другим администратором, или, если ваша система находится в домене, параметр политики домена, который может помешать вам выполнять некоторые действия.

Для управления локальными пользователями и группами вы можете использовать MMC «Локальные пользователи и группы», и вы можете получить доступ к этому инструменту различными способами.

Один из способов — выбрать «Пуск», щелкнуть правой кнопкой мыши «Мой компьютер», а затем выбрать «Управление». Откроется консоль MMC «Управление компьютером». Под значком «Системные инструменты» нажмите «Локальные пользователи и группы», чтобы открыть MMC «Локальные пользователи и группы».

Вы также можете ввести compmgmt.msc в поле RUN или в командной строке, чтобы запустить консоль управления компьютером.

[ПРИМЕЧАНИЯ С ПОЛЕВЫХ УСЛОВИЙ] - Как выглядят параметры меню «Пуск», все зависит от того, как вы настроили меню. Если вы используете классическое меню «Пуск», вы не увидите «Мой компьютер» в качестве выбора, чтобы щелкнуть правой кнопкой мыши. Вы можете нажать «Пуск», выбрать «Администрирование», а затем выбрать «Управление компьютером». Не сильно отличается, но, возможно, достаточно, чтобы сбить вас с толку.

Кажется, я постоянно повторяю это из статьи в статью, но важно подчеркнуть, что экзамен по Windows XP Professional редко проверяет вас на что-либо в Classic. Вам нужно знать, как перейти от настроек Windows XP Professional к Classic и обратно, но в 90% случаев вы найдете инструкции, изложенные в духе Windows XP Professional. Я сделаю все возможное, чтобы указать на альтернативы в разделе [ПРИМЕЧАНИЯ ИЗ ПОЛЕВЫХ УСЛОВИЙ] , как я сделал здесь.

Если вы хотите напрямую открыть MMC «Локальные пользователи и группы», вы можете ввести lusrmgr.msc из поля «Выполнить» или из командной строки. Это запустит инструмент независимо от MMC управления компьютером.

Добавление ГРУПП с помощью MMC «Локальные пользователи и группы»

В отношении локальных групп в системах Windows XP Professional, которые не являются членами домена, следует помнить следующее: локальные группы могут содержать только локальные учетные записи пользователей из локальной базы данных безопасности, а локальные группы не могут принадлежать ни к какой другой группе. (Локальные группы не могут быть вложены друг в друга.) Например, учетные записи пользователей могут быть членами как группы РАБОЧИЕ, так и группы КОФЕ, и даже если каждый отдельный пользователь одной группы является членом другой, вы не будете можно добавить всех пользователей в группу WORKERS, а затем взять группу WORKERS и поместить ее в группу COFFEE.

Чтобы добавить новую группу, достаточно выбрать "Группы" на левой панели, щелкнуть ее правой кнопкой мыши и выбрать "Новая группа". Вы также можете выделить группы, щелкнув их левой кнопкой мыши и выбрав ДЕЙСТВИЕ в строке меню и выбрав Новая группа.

В зависимости от ваших текущих настроек все, что вам нужно указать для создания новой группы, — это имя. В большинстве случаев описание и добавление пользователей во время по умолчанию не требуется.

[ПРИМЕЧАНИЯ В ПОЛЕ] - Есть определенные символы, которые нельзя использовать в имени какой-либо группы в системе Windows XP Professional. Это;

Нажмите здесь, чтобы просмотреть изображение.

Использование АККАУНТОВ ПОЛЬЗОВАТЕЛЯ в Панели управления для добавления пользователей в СУЩЕСТВУЮЩИЕ группы.

[ПРИМЕЧАНИЯ С ПОЛЕВЫХ ПОМЕЩЕНИЙ] - Вы не можете создать новую группу с помощью этого инструмента. Вам нужно использовать Управление компьютером для создания новых групп. С помощью этого метода вы можете добавлять пользователей в существующие группы ограниченным образом.

Функции УЧЕТНЫХ ЗАПИСЕЙ ПОЛЬЗОВАТЕЛЕЙ в Панели управления зависят от того, находится ли ваша система Windows XP Professional в домене или нет. Кроме того, внешний вид зависит от того, используете ли вы представление Windows XP по умолчанию или классический интерфейс. Это представление Windows XP по умолчанию.

Нажмите здесь, чтобы просмотреть изображение.

Ниже представлен классический вид.

Когда вы находитесь в домене и открываете значок АККАУНТЫ ПОЛЬЗОВАТЕЛЯ на панели управления, вы видите представление учетных записей пользователей, как показано ниже на вкладке ПОЛЬЗОВАТЕЛЬ.

ПРИМЕЧАНИЯ ИЗ ПОЛЕТОВ] - «Домен» BUCKAROO в этом примере — это локальная система, а не домен. NORTHAMERICA — это домен. Значки для локальной учетной записи имеют значок компьютера/пользователя. На изображении выше в разделе «Пароль для резервного копирования» это видно. Значок ДОМЕНА в разделе «Пользователи для этого компьютера» будет иметь комбинацию значков планеты и пользователя, как показано ниже.

Чтобы просмотреть свойства учетной записи, выберите ее и нажмите кнопку свойств, чтобы открыть следующее окно.

На вкладке "Членство в группе" страницы свойств ПОЛЬЗОВАТЕЛЯ вы увидите три варианта выбора членства в группе.

В раскрывающемся окне ДРУГИЕ перечислены все ЛОКАЛЬНЫЕ группы, к которым может принадлежать пользователь.

В раскрывающемся списке ДРУГИЕ перечислены только локальные группы, независимо от того, выбрали ли вы учетную запись пользователя в базе данных локальных учетных записей или доменную учетную запись, которая находится в домене.

Выбор РАСШИРЕННЫЙ в разделе «Расширенное управление пользователями» просто запускает MMC «Локальные пользователи и группы», как если бы вы набрали lusrmgr.msc из поля «Выполнить» или из командной строки.

В разделе безопасного входа локальные пользователи должны нажать CTRL+ALT+DEL, чтобы начать сеанс.

Когда вы не находитесь в домене и открываете значок АККАУНТЫ ПОЛЬЗОВАТЕЛЯ на панели управления, вы видите представление учетных записей пользователей, как показано ниже.

Опция СОЗДАТЬ НОВУЮ УЧЕТНУЮ ЗАПИСЬ позволяет сделать именно это.

Параметр ИЗМЕНИТЬ СПОСОБ ВХОДА ИЛИ ВЫКЛЮЧЕНИЯ ПОЛЬЗОВАТЕЛЕЙ позволяет выбрать либо БЫСТРОЕ ПЕРЕКЛЮЧЕНИЕ ПОЛЬЗОВАТЕЛЕЙ (что не допускается, когда рабочая станция является членом домена), либо использование стандартного параметра ИСПОЛЬЗОВАТЬ ЭКРАН ПРИВЕТСТВИЯ.

ПРИМЕЧАНИЯ С ПОЛЕТОВ] - Быстрое переключение пользователей нельзя использовать, если включена опция «Автономные файлы».Кроме того, как только ваша система будет добавлена ​​в домен, вы больше не сможете использовать быстрое переключение пользователей, даже если вы войдете на рабочую станцию, используя локальную базу данных учетных записей пользователей.

Как видите, здесь нет места для создания новой группы. Как я упоминал ранее, это должно быть обработано через Управление компьютером.

Вам потребуется использовать оснастку «Управление компьютером», чтобы удалить локальные группы из системы. Windows XP Professional использует значение уникального идентификатора для идентификации групп и назначенных им разрешений, поэтому, если вы удалите группу из локальной системы, а затем решите, что это произошло по ошибке, повторное создание группы с тем же именем не позволит автоматически все те же разрешения и уровни доступа для его участников.

При удалении группы вы удаляете только группу и связанные с ней разрешения и права, но не учетные записи пользователей, входящих в ее состав.

Чтобы удалить группу, щелкните правой кнопкой мыши имя группы в оснастке "Управление компьютером" и выберите "Удалить". Пользователи по-прежнему будут в системе. Если их удаление также требуется как часть удаления группы летних пользователей или стажеров, например, отдельные пользователи все равно должны быть удалены.

Встроенные системные группы

В системах Windows XP Professional существуют встроенные системные группы, и, хотя у них есть определенное членство, которое вы можете изменить, вы не можете администрировать группы напрямую, они доступны для изменения, когда вы назначаете права пользователя и разрешения для ресурсов. Встроенное членство в системных группах зависит от того, как осуществляется доступ к компьютеру, а не от того, кто его использует. В приведенном ниже списке показаны основные встроенные системные группы, а также их свойства и характеристики по умолчанию.

< tr>
Группа «Встроенная система» Описание
Все Группа «Все» содержит всех пользователей, имеющих доступ к компьютеру. Разрешение «Полный доступ» назначается группе «Все» (и, следовательно, всем пользователям в ней) всякий раз, когда в локальной системе есть тома, отформатированные с помощью NTFS.
Прошедшие проверку пользователи Все пользователи с действующими учетными записями в локальной системе включаются в группу «Прошедшие проверку». Когда ваша система Windows XP является членом домена (или нескольких доменов), она включает всех пользователей в базе данных Active Directory для данного домена. Рекомендуется использовать группу «Прошедшие проверку» для доступа к ресурсам и системе вместо группы «Все». воспроизводиться, когда член группы администраторов создает ресурс (или становится владельцем ресурса), потому что, даже если это действие выполнил отдельный член, группа администраторов владеет ресурсом.
Сеть Группа Network Built-in System содержит любого пользователя с текущим подключением из удаленной системы в сети к общему ресурсу в локальной системе.
Интерактивный Члены группы интерактивной встроенной системы «добавляются» при локальном входе в систему.
Анонимно Вход в систему Учетная запись пользователя для анонимного входа, которую Windows XP Professional не может аутентифицировать, помещается в эту группу встроенной системы.
Коммутируемый доступ Пользователи "добавляются" в Dialup Built-in Системная группа, как только они установят модемное соединение с системой..

Вы можете установить или отозвать разрешения для этих встроенных системных групп на ресурсе. (например, общий ресурс, папка NTFS, принтер и т. д.)

[ПРИМЕЧАНИЯ В ПОЛЕВЫХ УСЛОВИЯХ] - Группа "Встроенная система коммутируемого доступа" не отображается в системах, в которых не установлены модемы и не настроены конфигурации коммутируемого доступа.

Подведение итогов на этой неделе. А пока желаю удачи в учебе. Пожалуйста, не стесняйтесь обращаться ко мне с любыми вопросами в моей колонке и помните,

Цели: научиться создавать и удалять группы и управлять членством в группах. Также вы познакомитесь со встроенными локальными группами в XP.

Предварительные требования: вы должны знать, как управлять учетными записями пользователей в XP.

Ключевые термины: группа, членство, пользователь, локальный, учетная запись, член, права, доступ.

Оснастка «Локальные пользователи и группы»

Мы можем управлять группами с помощью оснастки «Локальные пользователи и группы» в консоли управления компьютером. Мы можем создавать свои собственные группы или изменять существующие группы. Мы также можем изменить некоторые группы, которые система создала для нашего использования (мы не можем изменить группу SYSTEM, INTERACTIVE, Everyone и NETWORK). Допустим, у нас есть общая папка в сети. Мы хотим, чтобы некоторые люди могли управлять файлами в этой общей папке, а другие люди могли только читать файлы в общей папке. В этой ситуации мы можем создать разные группы пользователей и поместить наших пользователей, которым необходимо иметь права на чтение, в одну группу, а тех, кому необходимо иметь права на чтение, в другую группу.Затем мы можем назначить права доступа к ресурсам для этих конкретных групп пользователей.

Изображение 171.1 — оснастка «Локальные пользователи и группы»

На этом конкретном экране у нас есть возможность добавлять новые группы пользователей, изменять членство в существующих группах, а также удалять или переименовывать группы пользователей. Чтобы управлять членством в группе, мы должны отредактировать свойства группы. Чтобы изменить свойства группы, просто щелкните правой кнопкой мыши нужную группу и выберите "Свойства".

Изображение 171.2. Щелкните правой кнопкой мыши группу

Когда мы попадаем в свойства группы, мы можем использовать кнопку «Добавить…» или «Удалить», чтобы изменить членство в группе. Например, давайте добавим пользователя в группу Helpdesk. Нам нужно нажать на кнопку «Добавить…» и появятся следующие окна:

Изображение 171.3 — Выбор пользователя

Здесь мы нажмем кнопку «Дополнительно…», чтобы создать список пользователей. Этот компьютер не входит в домен, поэтому мы можем искать пользователей только на локальной машине (в данном случае на ADMIN-8268F4658). Когда мы будем готовы, мы можем нажать кнопку «Найти сейчас». Появится список локальных пользователей, как показано ниже.

Изображение 171.4 — Список пользователей

В этом случае мы выберем двух пользователей — Kim Verson и wdelmonte. Когда мы закончим выбор, мы нажмем кнопку «ОК», а затем в следующем окне снова нажмите «ОК». Теперь мы видим двух наших пользователей в списке участников группы Helpdesk.

Изображение 171.5 — Группа службы поддержки

Мы также можем управлять членством в группах для отдельных пользователей. Для этого мы можем перейти к списку пользователей, щелкнуть правой кнопкой мыши конкретного пользователя и выбрать «Свойства». Затем нам нужно перейти на вкладку «Член» и добавить или удалить группы, к которым принадлежит пользователь.

Изображение 171.7 — Индивидуальное членство пользователя

Создать новую группу

Чтобы создать новую группу, нам нужно щелкнуть правой кнопкой мыши окно списка групп и выбрать опцию «Новая группа…». Мы должны указать имя группы (в нашем случае «Разработчики») и, необязательно, описание группы. Мы также можем сразу добавить участников в группу, нажав кнопку «Добавить…». В этом случае мы добавим учетную запись пользователя anderson. Когда мы закончим, нам нужно нажать кнопку «Создать», чтобы создать группу.

Изображение 171.6 — Новая группа

Удалить существующую группу

Чтобы удалить группу пользователей, нам нужно выбрать группу, которую мы хотим удалить, а затем нажать кнопку «Удалить». Когда мы удаляем группу с компьютера, мы не удаляем пользователей, которые были членами группы. Мы удаляем только группу, а пользователи остаются на локальной машине. Удаление учетной записи пользователя из группы не приводит к удалению группы или учетной записи пользователя. Мы не можем удалить учетную запись локального администратора из группы администраторов и учетную запись гостя из группы гостей.

Встроенные группы

  • Администраторы. Участники имеют полный и неограниченный доступ к компьютеру, включая все системные права. Учетная запись администратора и любая учетная запись, обозначенная как «администратор компьютера», является членом этой группы.
  • Операторы резервного копирования. Участники могут создавать резервные копии и восстанавливать файлы (независимо от разрешений), входить в систему локально и выключать систему. Участники не могут изменять настройки безопасности.
  • Гости — участники имеют ограниченные права (аналогично членам группы «Пользователи»). Участники могут закрыть систему.
  • Пользователи. Участники могут использовать компьютер, но не могут выполнять задачи системного администрирования и могут не иметь возможности запускать устаревшие приложения.Участники не могут совместно использовать каталоги или устанавливать принтеры, если драйвер еще не установлен. Участники не могут просматривать или изменять системные файлы. Любой пользователь, созданный с помощью локальных пользователей и групп, автоматически становится членом этой группы. Учетные записи пользователей, обозначенные как учетные записи «ограниченных пользователей», являются членами этой группы. Учетная запись пользователя, созданная как «администратор компьютера», становится членом этой группы.
  • Опытные пользователи. Участники могут создавать и изменять учетные записи пользователей и локальные группы. Они могут удалять пользователей из групп «Опытные пользователи», «Пользователи» и «Гости». Они могут изменять системную дату и время и устанавливать приложения. Они не могут изменять членство в группах администраторов или операторов резервного копирования, становиться владельцами файлов, создавать резервные копии или восстанавливать файлы, загружать или выгружать драйверы устройств и управлять настройками безопасности.

Windows XP также включает следующие локальные группы:

Чтобы участвовать в одной из групп, пользователь должен быть добавлен в определенную группу, и они автоматически наследуют определенные привилегии.

Специальные встроенные группы

Есть и другие специальные встроенные группы пользователей, например группа "Все". Членство в группе «Все» — все. Он создан для упрощения доступа к ресурсам. Мы не можем изменить членство в группе «Все», потому что все принадлежат к ней. Изучая исходные разрешения и параметры безопасности в Windows XP, мы заметим, что по умолчанию всегда используется группа «Все». Первое, что мы, вероятно, захотим сделать, это удалить группу «Все» из списка и добавить свои собственные группы пользователей, чтобы иметь доступ к определенным ресурсам.

Мы также должны упомянуть две группы: группу INTERACTIVE и группу NETWORK. Допустим, у нас есть два компьютера, которые связаны через компьютерную сеть. Один пользователь вошел в систему на конкретной машине и активно использует клавиатуру, мышь и смотрит на монитор этого конкретного компьютера. В этом случае мы считаем, что этот пользователь является членом группы INTERACTIVE, потому что он интерактивен с этим компьютером. Важно знать, откуда пришел пользователь. Если этот пользователь получает доступ к ресурсам на каком-либо компьютере в сети (общая папка), он становится членом группы NETWORK.

  • АНОНИМНЫЙ ВХОД – членство достигается путем входа в систему без имени пользователя и пароля (анонимный вход обычно разрешен, если компьютер действует как веб-сервер)
  • АУТЕНТИФИКИРОВАННЫЕ ПОЛЬЗОВАТЕЛИ. Членство можно получить, войдя в систему с именем пользователя и паролем.
  • CREATOR GROUP — членство достигается путем создания объекта
  • ВЛАДЕЛЕЦ-СОЗДАТЕЛЬ. Членство можно получить, создав объект (например, файл)
  • DIALUP — членство можно получить, подключившись к компьютеру через коммутируемое соединение.
  • Все — членство можно получить, получив доступ к компьютеру, за исключением анонимного входа в систему.
  • ИНТЕРАКТИВНЫЙ. Членство можно получить путем интерактивного входа в систему (также называемого локальным входом) через консоль компьютера.
  • СЕТЬ — членство можно получить, войдя на компьютер через сетевое подключение.
  • УДАЛЕННЫЙ ИНТЕРАКТИВНЫЙ ВХОД. Членство можно получить, войдя на компьютер через подключение к удаленному рабочему столу.

За исключением группы "Все", мы можем распознать эти группы, потому что все их имена написаны заглавными буквами.

Запомнить

Мы можем управлять группами с помощью оснастки «Локальные пользователи и группы». Мы можем создавать свои собственные группы или изменять существующие группы. Чтобы управлять членством в группе, мы должны отредактировать свойства группы. Чтобы создать новую группу, нам нужно щелкнуть правой кнопкой мыши окно списка групп и выбрать опцию «Новая группа…». Чтобы удалить группу пользователей, нам нужно выбрать группу, которую мы хотим удалить, а затем нажать кнопку «Удалить». По возможности следует использовать встроенные группы для назначения прав и разрешений. Администраторы имеют полный и неограниченный доступ к компьютеру. Члены группы «Пользователи» могут использовать компьютер, но не могут выполнять задачи системного администрирования. Членство в АНОНИМНОМ ВХОДЕ достигается путем входа в систему без имени пользователя и пароля. Членство в NETWORK достигается путем входа на компьютер через сеть. ИНТЕРАКТИВНОЕ членство можно получить, войдя в систему в интерактивном режиме.

Как создать локальных пользователей в Windows XP? Как открыть апплет «Локальные пользователи» (из панели управления) в Windows XP?

Для управления локальными пользователями и некоторыми их настройками с компьютера с Windows XP Pro можно использовать оснастку MMC LUSRMGR.MSC (запустите lusrmgr.msc из команды «Выполнить»).

Кроме того, вы можете использовать апплет "Учетные записи пользователей" в панели управления.

Чтобы открыть только апплет «Учетные записи пользователей», не заходя в панель управления, откройте команду «Выполнить» и введите

управление паролями пользователей2

Этот апплет (вместе с оснасткой MMC LUSRMGR.MSC) следует использовать только для локального администрирования пользователей. Также обратите внимание, что эти приложения недоступны в Windows XP Home Edition.

Еще от Даниэля Петри

Ошибка Microsoft: перейти на Office 2016 и потерять Skype для бизнеса

Windows 10 игнорирует файл hosts для разрешения определенного имени

Устранение ошибки групповой политики «Пространство имен уже определено» в Windows 10

Будь то безопасность или облачные вычисления, у нас есть ноу-хау для вас. Подпишитесь на наши информационные бюллетени здесь.

Как установить Hyper-V на Windows Server Core

16 марта 2022 г. | Майкл Рейндерс

Как загрузить и установить шрифты в Windows 10

21 февраля 2022 г. | Майкл Рейндерс

Microsoft выпускает первое крупное обновление Windows 11 с улучшениями панели задач и многим другим

15 февраля 2022 г. | Рабия Нурин

Защитник Microsoft по умолчанию блокирует кражу учетных данных на ПК с Windows

15 февраля 2022 г. | Рабия Нурин

Вторник исправлений, февраль 2022 г. — Microsoft Teams, Outlook и Windows получают важные обновления

Сколько рабочих столов Windows поддерживает ваша компания? Сколько серверов в вашей компании для размещения приложений, файлов, принтеров и т. д.? Теперь учтите, что на всех этих рабочих столах и серверах вы должны контролировать находящиеся на них локальные группы. Я уверен, что большинство из вас ответили более чем на 1000 рабочих столов и серверов. Это ошеломляющая цифра, учитывая, что некоторые из серверов могут находиться в удаленных местах, а некоторые из настольных компьютеров могут быть ноутбуками, которые перемещаются по США или миру. Если бы вы захотели создать локальную группу на всех этих компьютерах, как бы вы это сделали? Скрипт? Что, если вы хотите, чтобы локальная группа администраторов имела определенные группы домена, такие как администраторы домена? Сколько времени потребуется, чтобы убедиться, что эти настройки завершены? Благодаря новым предпочтениям групповой политики эти задачи легко и надежно применимы ко всем рабочим столам и серверам, предназначенным для получения параметров.

Основные сведения о настройках групповой политики

Предпочтения групповой политики — это новый тип параметра объекта групповой политики, который доступен, если у вас есть сервер Windows Sever 2008 или компьютер с Windows Vista SP1. Чтобы не утомлять вас деталями настроек групповой политики, но при этом дать вам достаточно для управления вашими локальными группами, позвольте мне подытожить, что вам нужно иметь, чтобы все заработало.

Для администрирования предпочтений групповой политики необходим сервер Windows Server 2008 ИЛИ рабочий стол Windows Vista с установленным пакетом обновления 1 (SP1) и установленным RSAT. В обеих этих средах установлена ​​новая консоль управления групповыми политиками (GPMC), которая требуется для администрирования предпочтений групповой политики. См. мою статью о Vista и RSAT в Microsoft Remote Server Administration Tools for Windows Vista.

Затем вам необходимо установить клиентское расширение (CSE) на компьютерах с Windows XP SP2, Windows Server 2003 SP1 и Windows Vista SP1. Вы можете загрузить их с сайта Microsoft и установить вручную (домашняя страница групповой политики Windows Server) или получить их со своего сервера WSUS.После установки CSE эти компьютеры (и ваши серверы Windows Server 2008, на которых CSE установлена ​​по умолчанию) готовы к получению настроек предпочтения групповой политики.

Наконец, вам просто нужно создать, связать и настроить объект групповой политики, который связан с организационным подразделением, содержащим компьютер или пользователя, которого вы хотите настроить. Настройте предпочтение групповой политики, которое вы хотите установить, и это все.

Дополнительную информацию о предпочтениях групповой политики см. на главной странице групповой политики Windows Server.

Создание новых локальных групп

Создание новой локальной группы на нескольких рабочих столах может оказаться непростой задачей. Предпочтения групповой политики предоставляют простой способ сделать это почти для всех ваших настольных компьютеров и серверов Windows. Вы можете создать новую локальную группу на сервере или рабочем столе, нацелившись на объект компьютера или объект пользователя. В большинстве случаев, когда вы хотите создать новую локальную группу, вы будете ориентироваться на компьютерные объекты.

Для выполнения этой задачи создайте объект групповой политики и свяжите его с подразделением, которое содержит объект компьютера, на который вы хотите настроить таргетинг. Отредактируйте объект групповой политики и разверните Конфигурация компьютера|Настройки|Настройки панели управления|Локальные пользователи и группы. Щелкните правой кнопкой мыши «Локальные пользователи и группы», затем выберите «Создать — локальная группа». Откроется диалоговое окно «Новая локальная группа», показанное на рис. 1.


Рис. 1. Диалоговое окно "Новая локальная группа" при выборе учетной записи компьютера

Чтобы создать новую группу, выберите параметр "Создать" в раскрывающемся списке "Действие". Затем введите имя локальной группы, описание локальной группы и т. д. На рис. 2 показан пример создания новой локальной группы с именем LocalHelpDesk.


Рисунок 2. Новая локальная группа с именем LocalHelpDesk, созданная с помощью настроек групповой политики

Изменение членства в локальной группе с помощью настроек групповой политики

Независимо от того, создаете ли вы новые локальные группы или изменяете существующие группы, вы можете управлять членством в локальной группе с помощью настроек групповой политики. Хотя эту задачу можно выполнить с помощью групп с ограниченным доступом, которые некоторое время были в групповой политике (Конфигурация компьютера|Параметры Windows|Параметры безопасности|Локальные политики|Группы с ограниченным доступом), для выполнения задачи используйте настройки групповой политики. обеспечивает более детальный контроль.

Группы с ограниченным доступом — это элемент управления «удалить и заменить», который берет текущий список членов группы и удаляет их, а затем заменяет их списком пользователей и групп, настроенным в политике.

Предпочтения групповой политики для локальных групп сильно отличаются. Здесь у вас есть возможность контролировать, какие учетные записи пользователей и групп добавляются, какие удаляются, и даже управляют удалением всех пользователей и/или групп, прежде чем получить детальный контроль. На рис. 3 показано, как может выглядеть конфигурация после того, как вы начнете управлять новой группой LocalHelpDesk.


Рисунок 3. Членами локальных групп можно детально управлять

Обратите внимание, что флажки "Удалить все учетные записи пользователей" и "Удалить все групповые учетные записи" можно не устанавливать или настроить. Если вы настроите оба этих флажка, политика локальной группы будет вести себя так же, как и группа с ограниченным доступом.

Еще одним важным моментом является возможность контролировать добавление или удаление нового пользователя или группы. На рис. 4 показано, как выглядит этот параметр при добавлении новой группы в список участников, что дает вам возможность добавлять или удалять группу из локальной группы, которой вы управляете.


Рисунок 4. Членов настроенной группы можно добавлять или удалять

Управление локальными администраторами или другой локальной группой

Если вы хотите управлять существующей локальной группой, это тоже легко сделать. Мы только что рассмотрели ситуацию, когда мы изменили членство в группе. Однако есть еще кое-что. Здесь я хочу сосредоточиться на локальной группе администраторов, которая необходима для управления локальным компьютером. Если пользователь имеет членство в этой группе, этот пользователь может делать с компьютером все, что угодно, независимо от желаний и настроек домена. Поэтому крайне важно, чтобы вы управляли членством в этой группе.

В большинстве случаев администраторы хотят, чтобы группа администраторов домена и учетная запись локального администратора были членами локальной группы администраторов. В дополнение к этому, администраторы обычно не хотят, чтобы пользователь компьютера имел свою учетную запись членства в локальной группе администраторов.

Чтобы все это произошло в течение нескольких минут после настройки предпочтения групповой политики, настройте новую локальную групповую политику в узле Конфигурация пользователя|Настройки|Панель управления|Локальные пользователи и группы, а не в узле Конфигурация компьютера. На рис. 5 показано, почему вы хотите настроить политику в узле «Конфигурация пользователя».


Рис. 5. Локальная групповая политика в узле "Конфигурация пользователя"

Обратите внимание, что в локальной групповой политике на рис. 5 появился новый флажок «Удалить текущего пользователя». Это удалит учетную запись пользователя, которая использовалась для входа на компьютер, из локальной группы администраторов. Как видите, это чрезвычайно мощная настройка. Объедините это с добавлением администраторов домена и локального администратора, что также показано на рис. 5, и вы добились того, на что у вас могут уйти недели всего за несколько минут.

Обзор

Создание, управление и общий контроль над локальными группами никогда не были усовершенствованы в среде Windows. Теперь, когда доступны настройки групповой политики, локальные группы теперь можно очень жестко контролировать. Можно создавать локальные группы и контролировать членство в группе. Членством в группе можно управлять, добавляя или удаляя локальные или доменные учетные записи пользователей или групп. Это делается без нарушения целостности других членов группы, как это делают Restricted Groups. Вы также можете убедиться, что все рабочие столы защищены и правильно настроены, удалив локальную учетную запись пользователя, вошедшего в систему, и добавив учетную запись администратора домена и локального администратора. В целом, использование предпочтений групповой политики для управления локальными группами на серверах и настольных компьютерах даст вам полный контроль над локальными группами на этих компьютерах.

Читайте также: