Свойства учетных записей пользователей в Windows xp

Каждый пользователь в системе имеет свою учетную запись и профиль. Профиль пользователя определяет параметры конфигурации рабочей среды. Профили могут быть трех типов:

1. Локальный профиль – создается при первом входе пользователя в систему и хранится на его локальном жестком диске.

2. Перемещаемый профиль – хранится на сервере, создается системным администратором. Он доступен пользователю при входе на любой компьютер сети. Все изменения, вносимые в перемещаемый профиль, также сохраняются на сервере.

3. Обязательный профиль – перемещаемый профиль, в котором можно задавать конкретные параметры для отдельных пользователей или целой группы пользователей. Такой профиль может иметь только системный администратор.

Пользователи обычно для удобства администрирования включаются в группы. В Windowsесть несколько предопределенных групп («Администраторы», «Опытные пользователи», «Пользователи», «Гости», «Операторы архива», «Операторы настройки сети», «Пользователи удаленного рабочего стола», «Прошедшие проверку», «Все»). Пользователь в любом случае входит в какую-либо группу (хотя бы в группу «Все»). Система тоже имеет свою учетную запись, также учетные записи созданы для локальных и сетевых служб.

Домашним путем пользователя на локальном узле является по умолчанию %systemdrive%\Documents and Settings\%username%. Также каждый профиль включает в себя одну из ветвей реестра вHKU, которая хранится в файлеntuser.datв домашнем каталоге. Профиль (перемещаемый) также может храниться на сервереWindowsв каталоге\\logonserver\homedir.

При попытке использования общего ресурса одного узла другим узлом запрашивается имя учетной записи (от имени которой будет использоваться ресурс) и соответствующий пароль. Учетная запись должна существовать на узле, который в данном случае играет роль сервера (т.е. предоставляет ресурс). Однако узел-клиент сначала пытается использовать для входа учетную запись активного пользователя. Если она совпадает с какой-либо учетной записью на целевом узле, вход производится автоматически, без запроса пароля.

Всякий раз, когда пользователь входит в систему, проходит проверка на наличие локального профиля для этого пользователя под ключом: HKLM\Software\Microsoft\WindowsNT\Current Version\ProfileList.

Для моздания на узле userpc-virtualучетных записей двух пользователейuser1иuser2. будет использоваться командаnet(в принципе, можно использовать и соответствующую оснастку консоли «Управление компьютером» или «Панель управления», но последний вариант менее предпочтителен, т.к. не предоставляет нужных настроек, как то: изменение группы пользователя, отличной от «Пользователь» и «Администратор», указание пути к локальному профилю и домашней папке, что в полной мере может предоставить оснастка «Управление компьютером»). Первый пользователь будет состоять в группе опытных пользователей.

C:\>net user

Учетные записи пользователей для \\USERPC-VIRTUAL

------------------------------------------------------------------------

- ASPNET HelpAssistant

SUPPORT_388945a0 user1 user2

Гость

Команда выполнена успешно.

C:\>net user

Учетные записи пользователей для \\USERPC-VIRTUAL

-------------------------------------------------------------------------

- ASPNET HelpAssistant

SUPPORT_388945a0 user1 user2

Гость

Команда выполнена успешно.

C:\>net user user1

Имя пользователя user1

Полное имя

Комментарий this user should be power user...

Комментарий пользователя

Код страны 000 (Стандартный системный)

Учетная запись активна Yes

Учетная запись просрочена Никогда

Последний пароль задан 9/30/2011 10:16 PM

Действие пароля завершается Никогда

Пароль допускает изменение 9/30/2011 10:16 PM

Требуется пароль Yes

Пользователь может изменить пароль Yes

Разрешенные рабочие станции Все

Сценарий входа

Конфигурация пользователя

Основной каталог

Последний вход Никогда

Разрешенные часы входа Все

Членство в локальных группах *Опытные пользователи

*Пользователи

Членство в глобальных группах *Отсутствует

Команда выполнена успешно.

Затем для проверки управления доступом разрешу к ранее созданному ресурсу sharedполный доступ любому пользователю группы «Опытные пользователи» и доступ только для чтения остальным.

Теперь на узле userpcвыполню следующие команды:

C:\Documents and Settings\Администратор>net use v: \\userpc-virtual\shared1 * /use

r:user1

Введите пароль для \\userpc-virtual\shared1:

Команда выполнена успешно.

C:\Documents and Settings\Администратор>echo Also test file > v:\test2.txt

C:\Documents and Settings\Администратор>dir v:

Том в устройстве V не имеет метки.

Серийный номер тома: B410-123C

Содержимое папки V:\

30.09.2011 22:24 <DIR> .

30.09.2011 22:24 <DIR> ..

30.09.2011 20:58 28 1.txt

30.09.2011 22:24 17 test2.txt

2 файлов 45 байт

2 папок 1 072 590 848 байт свободно

C:\Documents and Settings\Администратор>net use v: /delete

v: успешно удален.

C:\Documents and Settings\Администратор>net use v: \\userpc -virtual\shared1 * /use

r:user2

Введите пароль для \\userpc-virtual\shared1:

Команда выполнена успешно.

C:\Documents and Settings\Администратор>echo This is test file too > v:\test3.tx

T

Очень странный результат. Доступ должен быть запрещен, но у меня нет возможности проверить разрешения на эту папку по причине прихоти системы.

C:\Documents and Settings\Администратор>net use v: /delete

v: успешно удален.

Пользователю user1был предоставлен доступ на запись, и пользователюuser2– тоже, что очень странно.

Удалить учетные записи можно с помощью панели управления или той же команды net:

C:\>net user user1 /delete

Команда выполнена успешно.

C:\>net user user2 /delete

Команда выполнена успешно.

Управление доступом может строиться по-разному: на уровне пользователей и на уровне ресурсов. В первом случае (который в основном используется в WindowsсемействаNT) пользователь входит в систему от имени нужной учетной записи и получает доступ к некоторым или всем ресурсам в соответствии со своими привилегиями. При этом пароль ему достаточно ввести один раз – пароль учетной записи. Во втором случае на каждый ресурс устанавливается свой пароль, который нужно ввести для получения доступа к ресурсам (какWindows9x).

4. Рассмотреть и сравнить методы управления пользователями и ресурсами в одноранговой сети:

- полностью децентрализованное управление,

- управление от имени одного административного лица,

- распределение полномочий.

Реализовать доступ различных пользователей userN к сетевым ресурсам с различыми правами. Сравнить с методом доступа от имени общей учетной записи.

Сравнить метод сквозной и явной аутентификации пользователя при подключении по сети.

Составить и привести в отчете варианты схем сети с указанием конкретных узлов, сетевых ресурсов и учетных записей.