Какие встроенные группы пользователей предусмотрены в операционной системе Microsoft Windows XP
Обновлено: 03.07.2024
В этом справочном разделе для ИТ-специалистов описываются группы безопасности Active Directory по умолчанию.
В Active Directory есть две формы общих участников безопасности: учетные записи пользователей и учетные записи компьютеров. Эти учетные записи представляют физическое лицо (человека или компьютер). Учетные записи пользователей также могут использоваться в качестве выделенных учетных записей служб для некоторых приложений. Группы безопасности используются для объединения учетных записей пользователей, учетных записей компьютеров и других групп в управляемые единицы.
В операционной системе Windows Server имеется несколько встроенных учетных записей и групп безопасности, предварительно настроенных с соответствующими правами и разрешениями для выполнения определенных задач. Для Active Directory существует два типа административных обязанностей:
Администраторы служб. Отвечают за обслуживание и предоставление доменных служб Active Directory (AD DS), включая управление контроллерами домена и настройку AD DS.
Администраторы данных. Отвечают за обслуживание данных, хранящихся в доменных службах Active Directory, а также на рядовых серверах и рабочих станциях домена.
О группах Active Directory
Группы используются для объединения учетных записей пользователей, учетных записей компьютеров и других групп в управляемые единицы. Работа с группами, а не с отдельными пользователями, упрощает обслуживание и администрирование сети.
В Active Directory есть два типа групп:
Группы рассылки. Используется для создания списков рассылки электронной почты.
Группы безопасности. Используются для назначения разрешений общим ресурсам.
Группы рассылки
Группы рассылки можно использовать только с почтовыми приложениями (такими как Exchange Server) для отправки электронной почты группам пользователей. Группы рассылки не защищены, что означает, что они не могут быть перечислены в списках управления доступом на уровне пользователей (DACL).
Группы безопасности
Группы безопасности позволяют эффективно назначать доступ к ресурсам в вашей сети. Используя группы безопасности, вы можете:
Назначьте права пользователей группам безопасности в Active Directory.
Права пользователя назначаются группе безопасности, чтобы определять, что члены этой группы могут делать в рамках домена или леса. Права пользователей автоматически назначаются некоторым группам безопасности при установке Active Directory, чтобы помочь администраторам определить административную роль человека в домене.
Например, пользователь, добавленный в группу операторов резервного копирования в Active Directory, может выполнять резервное копирование и восстановление файлов и каталогов, расположенных на каждом контроллере домена в домене. Это возможно благодаря тому, что по умолчанию права пользователя Резервное копирование файлов и каталогов и Восстановление файлов и каталогов автоматически закреплены за группой Операторы резервного копирования. Таким образом, члены этой группы наследуют права пользователя, назначенные этой группе.
Вы можете использовать групповую политику для назначения прав пользователей группам безопасности для делегирования определенных задач. Дополнительные сведения об использовании групповой политики см. в разделе Назначение прав пользователя.
Назначить разрешения группам безопасности для ресурсов.
Разрешения отличаются от прав пользователя. Разрешения назначаются группе безопасности для общего ресурса. Разрешения определяют, кто может получить доступ к ресурсу, и уровень доступа, например Полный доступ. Некоторые разрешения, установленные для объектов домена, автоматически назначаются для обеспечения различных уровней доступа к группам безопасности по умолчанию, таким как группа «Операторы учетных записей» или группа «Администраторы домена».
Группы безопасности перечислены в списках DACL, которые определяют разрешения для ресурсов и объектов. При назначении разрешений для ресурсов (общих файловых ресурсов, принтеров и т. д.) администраторы должны назначать эти разрешения группе безопасности, а не отдельным пользователям. Разрешения назначаются один раз группе, а не несколько раз каждому отдельному пользователю. Каждая учетная запись, добавляемая в группу, получает права, назначенные этой группе в Active Directory, а пользователь получает разрешения, определенные для этой группы.
Как и группы рассылки, группы безопасности можно использовать в качестве объекта электронной почты. При отправке сообщения электронной почты группе оно отправляется всем членам группы.
Групповой охват
Группы характеризуются областью действия, определяющей степень применения группы в дереве доменов или лесу. Область действия группы определяет, где группе могут быть предоставлены разрешения. Следующие три группы определяются Active Directory:
В дополнение к этим трем областям, группы по умолчанию в контейнере Builtin имеют область действия встроенной локальной группы. Область действия и тип группы нельзя изменить.
В следующей таблице перечислены три области групп и дополнительная информация о каждой области для группы безопасности.
Групповые области
Глобальные группы из любого домена в одном лесу
Локальный домен домена, если группа не является членом других универсальных групп
Локальные группы в одном лесу или доверяющие леса
Другие глобальные группы из того же домена
Глобальные группы из любого домена или любого доверенного домена
Универсальные группы из любого домена в одном лесу
Другие локальные группы домена из того же домена
Специальные группы идентификации
Особые удостоверения обычно называются группами. Специальные группы удостоверений не имеют конкретного членства, которое можно изменить, но они могут представлять разных пользователей в разное время, в зависимости от обстоятельств. Некоторые из этих групп включают в себя Creator Owner, Batch и Authenticated User.
Информацию обо всех специальных группах удостоверений см. в разделе Особые удостоверения.
Группы безопасности по умолчанию
Группы по умолчанию, такие как группа «Администраторы домена», — это группы безопасности, которые создаются автоматически при создании домена Active Directory. Вы можете использовать эти предопределенные группы, чтобы контролировать доступ к общим ресурсам и делегировать определенные административные роли на уровне домена.
Многим группам по умолчанию автоматически назначается набор прав пользователей, которые разрешают членам группы выполнять определенные действия в домене, например вход в локальную систему или резервное копирование файлов и папок. Например, член группы «Операторы резервного копирования» имеет право выполнять операции резервного копирования для всех контроллеров домена в домене.
Когда вы добавляете пользователя в группу, он получает все права пользователя, назначенные группе, и все разрешения, назначенные группе для любых общих ресурсов.
Группы по умолчанию расположены в контейнере «Встроенные» и в контейнере «Пользователи» в разделе «Пользователи и компьютеры Active Directory». Контейнер Builtin включает в себя группы, определенные с областью действия "Локальный домен". Включает пользователей содержит группы, которые определены с глобальной областью действия, и группы, которые определены с локальной областью домена. Вы можете перемещать группы, расположенные в этих контейнерах, в другие группы или организационные подразделения (OU) внутри домена, но вы не можете перемещать их в другие домены.
Некоторые из административных групп, перечисленных в этом разделе, и все члены этих групп защищены фоновым процессом, который периодически проверяет и применяет определенный дескриптор безопасности. Этот дескриптор представляет собой структуру данных, содержащую информацию о безопасности, связанную с защищенным объектом. Этот процесс гарантирует, что любая успешная несанкционированная попытка изменить дескриптор безопасности в одной из административных учетных записей или групп будет перезаписана защищенными настройками.
Дескриптор безопасности присутствует в объекте AdminSDHolder. Это означает, что если вы хотите изменить разрешения для одной из групп администраторов службы или для любой из ее учетных записей, вы должны изменить дескриптор безопасности в объекте AdminSDHolder, чтобы он применялся последовательно. Будьте осторожны при внесении этих изменений, потому что вы также изменяете настройки по умолчанию, которые будут применяться ко всем вашим защищенным административным учетным записям.
Группы безопасности Active Directory по умолчанию в зависимости от версии операционной системы
В следующих таблицах приведены описания групп по умолчанию, которые находятся в контейнерах Builtin и Users в каждой операционной системе.
| Группа безопасности по умолчанию | Windows Server 2016 | Windows Server 2012 R2 | Windows Server 2012 | Windows Server 2008 R2 |
|---|---|---|---|---|
| Операторы управления доступом | Да | Да | Да | |
| Операторы счетов | Да | Да | Да | Да |
| Администраторы | Да | Да | Да | Да |
| Разрешенная группа репликации паролей RODC | Да | Да | Да | Да |
| Операторы резервного копирования | Да | Да | Да | Да |
| Доступ к службе сертификатов DCOM | Да | Да | Да | Да |
| Издатели сертификатов | Да | Да | Да | Да |
| Клонируемые контроллеры домена | Да | Да | Да | |
| Криптографические операторы | Да | Да | < td>ДаДа | |
| Отказано в группе репликации пароля RODC | Да | Да | Да | Да |
| Владельцы устройств | Да | Да | Да | Да |
| Пользователи распределенного COM | Да | Да | Да | Да |
| DnsUpdateProxy | Да | Да | Да | Да |
| DnsAdmins | Да | Да | Да | < td>Да|
| Администраторы домена | Да | Да | Да | Да |
| Компьютеры домена | Да | Да | Да | Да< /td> |
| Контроллеры домена | Да | Да | Да | Да |
| Гости домена | Да | Да | Да | Да | < /tr>
| Пользователи домена | Да | Да | Да | Да |
| Администраторы предприятия | Да | Да | Да | Да |
| Ключевые администраторы предприятия | Да | |||
| Контроллеры домена предприятия только для чтения | Да< /td> | Да | Да | Да |
| Считыватели журнала событий | Да | Да | Да | Да |
| Владельцы-создатели групповой политики | Да | Да | Да | Да |
| Гости | Да | < td>ДаДа | Да | |
| Администраторы Hyper-V | Да | < td>ДаДа | ||
| IIS_IUSRS | Да | Да | Да | Да |
| Входящие формирователи доверия леса | Да | Да | Да | Да |
| Ключевые администраторы | Да | |||
| Операторы настройки сети< /td> | Да | Да | Да | Да |
| Пользователи журнала производительности | Да | Да | Да | Да |
| Пользователи монитора производительности | Да | Да | Да | Да |
| Доступ, совместимый с Windows 2000 | Да | Да | Да | Да |
| Операторы печати | Да | Да | Да | Да |
| Защищенные пользователи | Да | Да | ||
| Серверы RAS и IAS | Да | Да | Да | Да |
| Конечные серверы RDS | Да | Да | Да | |
| Серверы управления RDS | Да | Да | Да | |
| Серверы удаленного доступа RDS | Да | Да | Да | |
| Контроллеры домена только для чтения | Да< /td> | Да | Да | Да |
| Пользователи удаленного рабочего стола | Да | Да | Да | Да |
| Пользователи удаленного управления | Да | Да | Да | |
| Репликатор | Да | Да | Да | Да |
| Объявление схемы мин | Да | Да | Да | Да |
| Операторы серверов< /td> | Да | Да | Да | Да |
| Администраторы реплики хранилища | Да | |||
| Группа системных управляемых учетных записей | Да | |||
| Серверы лицензий серверов терминалов | Да | Да | Да | Да |
| Пользователи | Да | Да | Да | Да |
| Группа доступа авторизации Windows | Да | Да | Да | Да |
| WinRMRemoteWMIUsers_ | Да | Да |
Операторы помощи в управлении доступом
Члены этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на компьютере.
Группа «Операторы помощи в управлении доступом» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Эта группа безопасности не менялась со времен Windows Server 2008.
| Атрибут | Значение |
|---|---|
| Общеизвестный SID/RID | S-1-5-32-579 |
| Тип | Встроенный Локальный |
| CN=BuiltIn, DC= , DC= | |
| Элементы по умолчанию | Нет |
| Член по умолчанию | Нет |
| Защищено ADMINSDHOLDER? | Нет | < /tr>
| Безопасно перемещать из контейнера по умолчанию? | Невозможно переместить |
| Безопасно делегировать управление этой группой другим -Администраторы службы? | |
| Права пользователя по умолчанию | Нет |
Операторы аккаунта
Группа «Операторы учетной записи» предоставляет пользователю ограниченные права на создание учетной записи. Члены этой группы могут создавать и изменять большинство типов учетных записей, включая учетные записи пользователей, локальных групп и глобальных групп, а также могут локально входить в контроллеры домена.
Члены группы «Операторы учетных записей» не могут управлять учетной записью администратора, учетными записями пользователей администраторов или группами «Администраторы», «Операторы сервера», «Операторы учетных записей», «Операторы резервного копирования» или «Операторы печати». Члены этой группы не могут изменять права пользователей.
Группа «Операторы учетных записей» относится к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
По умолчанию в этой встроенной группе нет участников, и она может создавать и управлять пользователями и группами в домене, включая собственное членство и членство в группе «Операторы сервера». Эта группа считается группой администраторов службы, поскольку она может изменять операторов сервера, которые, в свою очередь, могут изменять параметры контроллера домена. Рекомендуется оставить членство в этой группе пустым и не использовать его для какого-либо делегированного администрирования. Эту группу нельзя переименовать, удалить или переместить.
Эта группа безопасности не менялась со времен Windows Server 2008.
| Атрибут | Значение |
|---|---|
| Общеизвестный SID/RID | S-1-5-32-548 |
| Тип | Встроенная локальная |
| CN=BuiltIn, DC= , DC= | |
| Элементы по умолчанию | Нет |
| Член по умолчанию | Нет |
| Защищено ADMINSDHOLDER? | Да | < /tr>
| Безопасно перемещать из контейнера по умолчанию? | Невозможно переместить |
| Безопасно делегировать управление этой группой другим -Администраторы службы? | Нет |
| Права пользователя по умолчанию | Разрешить локальный вход: SeInteractiveLogonRight |
Администраторы
Члены группы «Администраторы» имеют полный и неограниченный доступ к компьютеру, или, если компьютер повышен до контроллера домена, члены имеют неограниченный доступ к домену.
Группа администраторов применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Группа «Администраторы» имеет встроенные возможности, которые дают ее членам полный контроль над системой. Эту группу нельзя переименовать, удалить или переместить. Эта встроенная группа управляет доступом ко всем контроллерам домена в своем домене и может изменять членство во всех административных группах.
Членство может быть изменено членами следующих групп: администраторы службы по умолчанию, администраторы домена в домене или администраторы предприятия. Эта группа имеет особые права владения любым объектом в каталоге или любым ресурсом на контроллере домена. Эта учетная запись считается группой администраторов службы, поскольку ее члены имеют полный доступ к контроллерам домена в домене.
Эта группа безопасности включает следующие изменения по сравнению с Windows Server 2008:
Изменения в правах пользователя по умолчанию: Разрешить вход через службы терминалов, существовавший в Windows Server 2008, был заменен на Разрешить вход через службы удаленных рабочих столов.
Удаление компьютера с док-станции было удалено в Windows Server 2012 R2.
Windows 10, версия 2004, все выпуски Windows Server, версия 2004, все выпуски Windows Server, версия 1909, все выпуски Windows Server, версия 1903, все выпуски Windows Server, версия 1809 Windows Server, версия 1803 Windows Server, версия 1709 Windows Server 2019 , все выпуски Windows Server 2016 Version 1803 Windows Server 2016 Version 1709 Windows Server 2016, все выпуски Windows Server 2012 Standard Windows Server 2012 Foundation Windows Server 2012 Essentials Windows Server 2012 Datacenter Windows Server 2008 R2 Standard Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Datacenter Windows Server 2008 Standard Windows Server 2008 Enterprise Windows Server 2008 Datacenter Windows 10, версия 1909 (Домашняя, Pro, Pro для образовательных учреждений, Pro для рабочих станций) Windows 10, версия 1909 (Enterprise, Education, IoT Enterprise) Windows 10, версия 1909, все выпуски Windows 10, версия 1903, все выпуски Windows 10, версия 1809, все выпуски Windows 10, версия 1803, все выпуски Win dows 10, версия 1709, все выпуски Windows 10, версия 1703, все выпуски Windows 10, версия 1607, все выпуски Windows 10, версия 1511, все выпуски Windows 10 Standard, версия 1709 Windows 10 Standard, версия 1703 Windows 10 S, версия 1709 Windows 10 S, версия 1703 Windows 10 S Windows 10 Pro, версия 1909 Windows 10 Pro, версия 1903 Windows 10 Pro, версия 1809 Windows 10 Professional, версия 1803 Windows 10 Professional, версия 1709 Windows 10 Professional, версия 1703 Windows 10 Professional, версия 1607 Windows 10 Pro для рабочих станций, версия 1909 Windows 10 Pro для рабочих станций, версия 1903 Windows 10 Pro для рабочих станций, версия 1809 Windows 10 Pro для рабочих станций, версия 1803 Windows 10 Pro для рабочих станций, версия 1709 Windows 10 Pro для рабочих станций Windows 10 Pro для образовательных учреждений, версия 1909 Windows 10 Pro для образовательных учреждений, версия 1903 Windows 10 Pro для образовательных учреждений, версия 1809 Windows 10 Pro для образовательных учреждений, версия 1803 Windows 10 Pro для образовательных учреждений, версия 1709 Windows 10 Pro для образовательных учреждений , версия 1703 Windows 10 Pro для образовательных учреждений, версия 1607 Windows 10 Pro Windows 10 на Surface Hub Windows 10 Домашняя, версия 1909 Windows 10 Домашняя, версия 1903 Windows 10 Домашняя, версия 1809 Windows 10 Домашняя, версия 1803 Windows 10 Домашняя v1703 Windows 10 Домашняя , версия 1709 Windows 10 Домашняя v1607 Windows 10 Домашняя v1511 Windows 10 Домашняя Windows 10 Корпоративная, версия 1909 Windows 10 Корпоративная, версия 1903 Windows 10 Корпоративная, версия 1809 Windows 10 Корпоративная, версия 1803 Windows 10 Корпоративная, версия 1709 Windows 10 Корпоративная, версия 1703 Windows 10 Enterprise, версия 1607 Windows 10 Enterprise, версия 1511 Windows 10 Education Windows 10 Consumer Windows 10 Business Windows 10 Enterprise 2019 LTSC Windows 10 Enterprise 2016 LTSB Windows 10 Enterprise 2015 LTSB Windows 8.1 Подробнее. Меньше
Обзор
Идентификатор безопасности (SID) — это уникальное значение переменной длины, которое используется для идентификации субъекта безопасности (например, группы безопасности) в операционных системах Windows. SID, которые идентифицируют общих пользователей или общие группы, особенно хорошо известны. Их значения остаются неизменными во всех операционных системах.
Эта информация полезна для устранения проблем, связанных с безопасностью. Это также полезно для устранения проблем с отображением в редакторе списка управления доступом (ACL) Windows. Windows отслеживает участника безопасности по его SID. Чтобы отобразить участника безопасности в редакторе ACL, Windows преобразует SID в связанное с ним имя участника безопасности.
Примечание. В этой статье описаны обстоятельства, при которых редактор ACL отображает SID участника безопасности вместо имени участника безопасности.
Со временем этот набор известных идентификаторов безопасности расширился. Таблицы в этой статье упорядочивают эти SID в соответствии с версией Windows, в которой они представлены.
Это почти тот же уровень доступа, что и у членов группы "Пользователи", за исключением некоторых дополнительных ограничений.
Члены группы "Пользователи" имеют доступ только к определенным ресурсам, для которых им были назначены явные разрешения, и могут выполнять только определенные задачи, для которых им были назначены явные права.
Когда новый пользователь создается в системе Windows XP Professional, он по умолчанию добавляется в группу "Пользователи".
[ПРИМЕЧАНИЯ С ПОЛЕВЫХ ПОМЕЩЕНИЙ] - Встроенная учетная запись администратора включена по умолчанию и не может быть удалена из системы. Однако имя учетной записи, а также пароль можно изменить, и это рекомендуется. Также рекомендуется, чтобы учетная запись администратора по умолчанию никогда не использовалась или использовалась как можно реже и только тогда, когда задачи должны выполняться на административном уровне. Если на рабочей станции имеется более одного администратора, для каждого из них должна быть создана учетная запись. Если вам необходимо регистрировать административные события, было бы проще создать несколько разных учетных записей администратора, а не одну.
Гостевая учетная запись также не может быть удалена из системы, однако по умолчанию она ОТКЛЮЧЕНА, и если нет какой-либо оперативной необходимости, она должна оставаться отключенной. Единственной «необходимостью» для гостевой учетной записи может быть терминал типа киоска в вестибюле офисного здания или отеля, и в этом случае его можно использовать. Если на короткое время возникает необходимость предоставить временному пользователю доступ к системе, всегда стоит «осложнить» создание учетной записи.
Кроме того, не рекомендуется изменять какие-либо разрешения по умолчанию и другие настройки для встроенных групп. Если вам нужно повысить или понизить разрешения для всех пользователей во встроенной группе, почти всегда лучше создать новую группу, поместить всех предполагаемых пользователей в эту группу и внести в нее соответствующие настройки.
Использование оснастки «Локальные пользователи и группы»
Группы используются в Windows XP Professional (и других операционных системах Microsoft) в качестве точки сбора учетных записей пользователей, чтобы упростить администрирование системы, позволяя назначать разрешения и права группе пользователей, а не каждой учетной записи пользователя в отдельности.
Локальные группы используются в отдельных системах для назначения разрешений ресурсам на этом конкретном компьютере. Локальные группы создаются и администрируются в локальной базе данных безопасности в системах Windows XP Professional.
Обычно вам нужно быть локальным администратором, чтобы выполнять большинство функций настройки системы (даже просто просматривать текущие параметры конфигурации в некоторых случаях) в системе Windows XP Professional, а в некоторых случаях может быть локальный администратор. политика, установленная каким-либо другим администратором, или, если ваша система находится в домене, параметр политики домена, который может помешать вам выполнять некоторые действия.
Для управления локальными пользователями и группами вы можете использовать MMC «Локальные пользователи и группы», и вы можете получить доступ к этому инструменту различными способами.
Один из способов — выбрать «Пуск», щелкнуть правой кнопкой мыши «Мой компьютер», а затем выбрать «Управление». Откроется консоль MMC «Управление компьютером». Под значком «Системные инструменты» нажмите «Локальные пользователи и группы», чтобы открыть MMC «Локальные пользователи и группы».
Вы также можете ввести compmgmt.msc в поле RUN или в командной строке, чтобы запустить консоль управления компьютером.
[ПРИМЕЧАНИЯ С ПОЛЕВЫХ УСЛОВИЙ] - Как выглядят параметры меню «Пуск», все зависит от того, как вы настроили меню. Если вы используете классическое меню «Пуск», вы не увидите «Мой компьютер» в качестве выбора, чтобы щелкнуть правой кнопкой мыши. Вы можете нажать «Пуск», выбрать «Администрирование», а затем выбрать «Управление компьютером». Не сильно отличается, но, возможно, достаточно, чтобы сбить вас с толку.
Кажется, я постоянно повторяю это из статьи в статью, но важно подчеркнуть, что экзамен по Windows XP Professional редко проверяет вас на что-либо в Classic. Вам нужно знать, как перейти от настроек Windows XP Professional к Classic и обратно, но в 90% случаев вы найдете инструкции, изложенные в духе Windows XP Professional. Я сделаю все возможное, чтобы указать на альтернативы в разделе [ПРИМЕЧАНИЯ ИЗ ПОЛЕВЫХ УСЛОВИЙ] , как я сделал здесь.
Если вы хотите напрямую открыть MMC «Локальные пользователи и группы», вы можете ввести lusrmgr.msc из поля «Выполнить» или из командной строки. Это запустит инструмент независимо от MMC управления компьютером.
Добавление ГРУПП с помощью MMC «Локальные пользователи и группы»
В отношении локальных групп в системах Windows XP Professional, которые не являются членами домена, следует помнить следующее: локальные группы могут содержать только локальные учетные записи пользователей из локальной базы данных безопасности, а локальные группы не могут принадлежать ни к какой другой группе. (Локальные группы не могут быть вложены друг в друга.) Например, учетные записи пользователей могут быть членами как группы РАБОЧИЕ, так и группы КОФЕ, и даже если каждый отдельный пользователь одной группы является членом другой, вы не будете можно добавить всех пользователей в группу WORKERS, а затем взять группу WORKERS и поместить ее в группу COFFEE.
Чтобы добавить новую группу, достаточно выбрать "Группы" на левой панели, щелкнуть ее правой кнопкой мыши и выбрать "Новая группа". Вы также можете выделить группы, щелкнув их левой кнопкой мыши и выбрав ДЕЙСТВИЕ в строке меню и выбрав Новая группа.
В зависимости от ваших текущих настроек все, что вам нужно указать для создания новой группы, — это имя. В большинстве случаев описание и добавление пользователей во время по умолчанию не требуется.
[ПРИМЕЧАНИЯ В ПОЛЕ] - Есть определенные символы, которые нельзя использовать в имени какой-либо группы в системе Windows XP Professional. Это;
Нажмите здесь, чтобы просмотреть изображение.
Использование АККАУНТОВ ПОЛЬЗОВАТЕЛЯ в Панели управления для добавления пользователей в СУЩЕСТВУЮЩИЕ группы.
[ПРИМЕЧАНИЯ С ПОЛЕВЫХ ПОМЕЩЕНИЙ] - Вы не можете создать новую группу с помощью этого инструмента. Вам нужно использовать Управление компьютером для создания новых групп. С помощью этого метода вы можете добавлять пользователей в существующие группы ограниченным образом.
Функции УЧЕТНЫХ ЗАПИСЕЙ ПОЛЬЗОВАТЕЛЕЙ в Панели управления зависят от того, находится ли ваша система Windows XP Professional в домене или нет. Кроме того, внешний вид зависит от того, используете ли вы представление Windows XP по умолчанию или классический интерфейс. Это представление Windows XP по умолчанию.
Нажмите здесь, чтобы просмотреть изображение.
Ниже представлен классический вид.
Когда вы находитесь в домене и открываете значок АККАУНТЫ ПОЛЬЗОВАТЕЛЯ на панели управления, вы видите представление учетных записей пользователей, как показано ниже на вкладке ПОЛЬЗОВАТЕЛЬ.
ПРИМЕЧАНИЯ ИЗ ПОЛЕТОВ] - «Домен» BUCKAROO в этом примере — это локальная система, а не домен. NORTHAMERICA — это домен. Значки для локальной учетной записи имеют значок компьютера/пользователя. На изображении выше в разделе «Пароль для резервного копирования» это видно. Значок ДОМЕНА в разделе «Пользователи для этого компьютера» будет иметь комбинацию значков планеты и пользователя, как показано ниже.
Чтобы просмотреть свойства учетной записи, выберите ее и нажмите кнопку свойств, чтобы открыть следующее окно.
На вкладке "Членство в группе" страницы свойств ПОЛЬЗОВАТЕЛЯ вы увидите три варианта выбора членства в группе.
В раскрывающемся окне ДРУГИЕ перечислены все ЛОКАЛЬНЫЕ группы, к которым может принадлежать пользователь.
В раскрывающемся списке ДРУГИЕ перечислены только локальные группы, независимо от того, выбрали ли вы учетную запись пользователя в базе данных локальных учетных записей или доменную учетную запись, которая находится в домене.
Выбор параметра РАСШИРЕННЫЙ в разделе «Расширенное управление пользователями» просто запускает MMC «Локальные пользователи и группы», как если бы вы набрали lusrmgr.msc из поля «Выполнить» или из командной строки.
В разделе безопасного входа локальные пользователи должны нажать CTRL+ALT+DEL, чтобы начать сеанс.
Когда вы не находитесь в домене и открываете значок АККАУНТЫ ПОЛЬЗОВАТЕЛЯ на панели управления, вы видите представление учетных записей пользователей, как показано ниже.
Опция СОЗДАТЬ НОВУЮ УЧЕТНУЮ ЗАПИСЬ позволяет сделать именно это.
Параметр ИЗМЕНИТЬ СПОСОБ ВХОДА ИЛИ ВЫКЛЮЧЕНИЯ ПОЛЬЗОВАТЕЛЕЙ позволяет выбрать либо БЫСТРОЕ ПЕРЕКЛЮЧЕНИЕ ПОЛЬЗОВАТЕЛЕЙ (что не допускается, когда рабочая станция является членом домена), либо использование стандартного параметра ИСПОЛЬЗОВАТЬ ЭКРАН ПРИВЕТСТВИЯ.
ПРИМЕЧАНИЯ С ПОЛЕТОВ] - Быстрое переключение пользователей нельзя использовать, если включена опция «Автономные файлы». Кроме того, как только ваша система будет добавлена в домен, вы больше не сможете использовать быстрое переключение пользователей, даже если вы войдете на рабочую станцию, используя локальную базу данных учетных записей пользователей.
Как видите, здесь нет места для создания новой группы. Как я упоминал ранее, это должно быть обработано через Управление компьютером.
Вам потребуется использовать оснастку «Управление компьютером», чтобы удалить локальные группы из системы. Windows XP Professional использует значение уникального идентификатора для идентификации групп и назначенных им разрешений, поэтому, если вы удалите группу из локальной системы, а затем решите, что это произошло по ошибке, повторное создание группы с тем же именем не позволит автоматически все те же разрешения и уровни доступа для его участников.
При удалении группы вы удаляете только группу и связанные с ней разрешения и права, но не учетные записи пользователей, входящих в ее состав.
Чтобы удалить группу, щелкните правой кнопкой мыши имя группы в оснастке "Управление компьютером" и выберите "Удалить". Пользователи по-прежнему будут в системе.Если их удаление также требуется как часть удаления группы летних пользователей или стажеров, например, отдельные пользователи все равно должны быть удалены.
Встроенные системные группы
В системах Windows XP Professional существуют встроенные системные группы, и, хотя они имеют определенное членство, которое вы можете изменить, вы не можете администрировать группы напрямую, они доступны для изменения, когда вы назначаете права пользователя и разрешения для ресурсов. Встроенное членство в системных группах зависит от того, как осуществляется доступ к компьютеру, а не от того, кто его использует. В приведенном ниже списке показаны основные встроенные системные группы, а также их свойства и характеристики по умолчанию.
| Группа «Встроенная система» | Описание |
| Все | Группа «Все» содержит всех пользователей, имеющих доступ к компьютеру. Разрешение «Полный доступ» назначается группе «Все» (и, следовательно, всем пользователям в ней) всякий раз, когда в локальной системе есть тома, отформатированные с помощью NTFS. |
| Прошедшие проверку пользователи | Все пользователи с действующими учетными записями в локальной системе включаются в группу «Прошедшие проверку». Когда ваша система Windows XP является членом домена (или нескольких доменов), она включает всех пользователей в базе данных Active Directory для данного домена. Рекомендуется использовать группу «Прошедшие проверку» для доступа к ресурсам и системе вместо группы «Все». воспроизводиться, когда член группы администраторов создает ресурс (или становится владельцем ресурса), потому что, даже если это действие выполнил отдельный член, группа администраторов владеет ресурсом. |
| Сеть | Группа Network Built-in System содержит любого пользователя с текущим подключением из удаленной системы в сети к общему ресурсу в локальной системе. | Интерактивный | Члены группы интерактивной встроенной системы «добавляются» при локальном входе в систему. |
| Анонимно Вход в систему | Учетная запись пользователя для анонимного входа, которую Windows XP Professional не может аутентифицировать, помещается в эту встроенную системную группу. |
| Коммутируемый доступ | Пользователи "добавляются" в Dialup Built-in Системная группа, как только они установят модемное соединение с системой.. |
Вы можете установить или отозвать разрешения для этих встроенных системных групп на ресурсе. (например, общий ресурс, папка NTFS, принтер и т. д.)
[ПРИМЕЧАНИЯ С ПОЛЕВЫХ ПОМЕЩЕНИЙ] - Группа "Встроенная система коммутируемого доступа" не отображается в системах, в которых не установлены модемы и не настроены конфигурации коммутируемого доступа.
Подведение итогов на этой неделе. А пока желаю удачи в учебе. Пожалуйста, не стесняйтесь обращаться ко мне с любыми вопросами в моей колонке и помните,
Windows 7 Домашняя базовая Windows 7 Домашняя расширенная Windows 7 Корпоративная Windows 7 Профессиональная Windows 7 Максимальная Windows Vista Домашняя базовая Windows Vista Домашняя расширенная Windows Vista Business Windows Vista Enterprise Windows Vista Ultimate Microsoft Windows XP Starter Edition Microsoft Windows XP Home Edition Microsoft Windows XP Профессиональное Подробнее. Меньше
Обзор
Эта статья поможет определить, настроена ли ваша текущая учетная запись Windows как обычный пользователь или как учетная запись администратора.
Дополнительная информация
В операционных системах на базе Windows тип вашей учетной записи пользователя определяет, какие задачи вы можете выполнять на своем компьютере. В некоторых случаях вам могут потребоваться права администратора для выполнения некоторых задач или использования некоторых приложений. Далее описываются три типа учетных записей на компьютерах под управлением Windows, а затем помогает определить тип вашей учетной записи пользователя.
Стандартные учетные записи пользователей предназначены для повседневного использования.
Учетные записи администратора обеспечивают максимальный контроль над компьютером, и их следует использовать только при необходимости.
Гостевые учетные записи предназначены в первую очередь для людей, которым требуется временное использование компьютера.
Примечание. Если ваша учетная запись является учетной записью домена, существует несколько дополнительных типов учетных записей. Возможно, вам придется обратиться к сетевому администратору, чтобы изменить разрешения.
Чтобы определить текущий тип учетной записи пользователя, выполните следующие действия для вашей версии Windows:
Для Windows 7
Чтобы определить тип учетной записи пользователя в Windows 7, выполните следующие действия:
Нажмите "Пуск" и введите "Учетные записи пользователей" в поле поиска
Нажмите «Учетные записи пользователей» в списке результатов (откроется окно «Учетные записи пользователей»)
Тип вашей учетной записи пользователя указан рядом с изображением вашей учетной записи
Примечание. Если вы используете учетную запись домена, вам нужно будет нажать «Управление учетными записями пользователей» в появившемся окне.Тип вашей учетной записи пользователя будет указан в столбце Группа.
Для выполнения некоторых задач в Windows требуются права администратора. Чтобы изменить тип учетной записи пользователя, щелкните ссылку ниже и выполните действия, описанные в этой статье:
Для Windows Vista
Чтобы определить тип учетной записи пользователя в Windows Vista, выполните следующие действия:
Нажмите "Пуск" и введите "Учетные записи пользователей" в поле поиска
Нажмите «Учетные записи пользователей» в списке результатов (откроется окно «Учетные записи пользователей»)
Примечание. Если вы используете учетную запись домена, вам нужно будет нажать «Управление учетными записями пользователей» в появившемся окне. Тип вашей учетной записи пользователя будет указан в столбце Группа.
Для выполнения некоторых задач в Windows требуются права администратора. Чтобы изменить тип учетной записи пользователя, щелкните ссылку ниже и выполните действия, описанные в этой статье:
Для Windows XP
Чтобы определить тип учетной записи пользователя в Windows XP, выполните следующие действия:
Нажмите «Пуск», «Панель управления» и нажмите «Учетные записи пользователей».
Для выполнения некоторых задач в Windows требуются права администратора. Чтобы изменить тип учетной записи пользователя, щелкните ссылку ниже и выполните действия, описанные в этой статье:
Читайте также: