Вычислительные системы, сети и телекоммуникации Лекция 12 Пользователи и группы Группы Windows 2003/XP Основным инструментом для управления возможностями пользователей в Windows 2003 является понятие группы. Под группой понимается набор учетных записей пользователей. Использование групп упрощает управление ресурсами системы, когда права и разрешения присваиваются не одному, а сразу нескольким пользователям. Права (rights) дают возможность выполнять системную задачу, т.е. создавать новых пользователей или изменять системное время. Группы используются для объединения учетных записей пользователей, учетных записей компьютеров и учетных записей групп в управляемые элементы. Использование групп позволяет упростить обслуживание и администрирование сети. В настоящее время в доменах Windows известны группы распространения и группы безопасности. Основным инструментом управления возможностями пользователей в Windows 2003 является понятие группы: локальной, глобальной, встроенной системной. Такое разделение типов групп появляется в продуктах Микрософт, начиная с Windows 2000 и характерно для Active Directory. В Active Directory группы распространения могут быть использованы для создания списков рассылки электронной почты, а группы безопасности — для задания разрешений на использование общих ресурсов. Если группа создается для контроля доступа к общим ресурсам, эта группа должна быть только группой безопасности. При грамотном использовании группы безопасности обеспечивают эффективное управление доступом к ресурсам сети. Группы безопасности могут быть локальные, глобальные и системные. Встроенные локальные и глобальные группы порождаются при инсталляции СОС, другие создаются пользователями в зависимости от задач, которые те выполняют. Состав этих групп может изменяться, т.е. пользователи могут включать и удалять соответствующие бюджеты пользователей в группы. 1 Вычислительные системы, сети и телекоммуникации Состав и членство системных групп устанавливается в момент инсталляции СОС и изменяется только системой. Таблица 12_1. Характеристики групп Название Стандартные члены Назначение Основной режим домена Локальная группа домена Любые учетные записи пользователей и компьютеров, Доступ к ресурсам одного домена глобальные и универсальные группы Глобальная группа Учетные записи пользователей и компьютеров, глобальные группы из того же домена Универсальная группа Любые учетные записи Организация пользователей с одинаковыми требованиями к системе Доступ к ресурсам нескольких пользователей и компьютеров, доменов глобальные и универсальные группы Смешанный режим домена Локальная группа домена Любые учетные записи пользователей и компьютеров, Доступ к ресурсам одного домена глобальные группы Глобальная группа Учетные записи пользователей и компьютеров из того же домена Организация пользователей с одинаковыми требованиями к системе Универсальная недоступны ______ группа Локальные группы содержат набор учетных записей на локальном компьютере и предоставляют доступ к ресурсам именно этого компьютера. Windows 2000-2003 создает локальные группы в локальной базе данных безопасности. Локальные группы бывают доменные и изолированные. Созданные на локальном компьютере изолированные группы не отображаются в Active Directory. Локальные группы домена создаются в хранилище Active Directory и используются всеми контроллерами домена. Локальной группе домена можно предоставить разрешения к любому ресурсу на контроллерах домена. 2 Вычислительные системы, сети и телекоммуникации На контроллере домена 2000-2003 порождаются следующие доменные встроенные локальные группы: простые пользователи Users; гости Guests; репликаторы Replicator; операторы архива Backup operators; администраторы Administrators; операторы бюджетов Account Operators; операторы печати Print Operators; операторы сервера Server Operators; клиенты младших версий Pre_Windows. Состав локальных встроенных групп домена и их свойства доступны в оснастке Active Directory Users and Computers Built-in (рис. 12_1). Рис. 12_1. Встроенные локальные группы в оснастке Active Directory Windows Server 2003 Локальная группа домена используется для разрешения доступа к ресурсам. Эти группы обладают открытым членством, т.е. в нее можно добавлять членов из любого домена, а разрешить доступ только к ресурсам домена, где она была создана. При создании домена создаются встроенные глобальные группы в Active Directory. Чтобы присвоить глобальной группе права, ее нужно включить в локальную встроенную 3 Вычислительные системы, сети и телекоммуникации группу или сделать явное назначение. К наиболее распространенным глобальным встроенным группам относятся (рис. 12_2): администраторы домена Domain Admins; пользователи домена Domain Users; гости домена Domain Guests; администраторы сети в масштабе предприятия Enterprise Admins. Глобальная группа обладает ограниченным членством, т. е. в нее можно добавлять пользователей лишь из того домена, где она была создана. Но доступ к ресурсам для нее возможен в любом домене. Рис.12_2. Глобальные группы и пользователи домена При инсталляции, на рабочих станциях по умолчанию создаются десять встроенных изолированных локальных групп (рис.12_3): На рабочих станциях порождаются следующие встроенные локальные группы: Гости Пользователи Опытные пользователи Администраторы Операторы архива Репликатор Пользователи удаленного рабочего стола 4 Вычислительные системы, сети и телекоммуникации Операторы настройки сети Отладчики Центр справки и поддержки Встроенные локальные группы отображаются в оснастке Computer Management в окне Groups. Изначально, в них нет никаких членов, кроме стандартных. Возможности этих групп представлены в таблице 12_2. Рис. 12_3. Встроенные локальные группы Windows Professional Для создания новых локальных групп используется оснастка Computer Management . При создании новой локальной группы вводится имя, описание (рис. 4) и добавляются новые члены группы. Гости Группа «Гости» позволяет случайным или разовым пользователям войти в систему со встроенной учетной записью гостя рабочей станции и получить ограниченные возможности. Члены группы «Гости» могут только завершить работу системы на рабочей станции. Пользователи Группа «Пользователи» является наиболее безопасной, поскольку разрешения по умолчанию, предоставленные этой группе, не позволяют пользователям изменять параметры операционной системы или данные других пользователей. Группа «Пользователи» предоставляет самую безопасную среду для выполнения программ. На томе с файловой системой NTFS параметры безопасности по умолчанию только что 5 Вычислительные системы, сети и телекоммуникации установленной (не обновленной) системы разработаны, чтобы предотвратить нарушение целостности операционной системы и установленных программ членами этой группы Участники группы «Пользователи» могут: гарантированно запускать только сертифицированные для Windows приложения (т.е. для Windows 2000, Windows XP Professional; или системы из семейства Windows Server 2003, проходящие проверку на соответствие требованиям Windows, установленные или развернутые администраторами) выключать и блокировать рабочие станции, но не серверы имеют полный доступ к своим файлам данных и своей части реестра (HKEY_CURRENT_USER) Члены этой группы не могут организовывать общий доступ к каталогам создавать локальные принтеры. изменять параметры реестра на уровне системы, файлы операционной системы или программы. Несмотря на то, что по умолчанию пользователи имеют право создавать новые локальные группы, но в данной конфигурации такой возможности у них нет. Члены группы «Пользователи» ориентированы на выполнение наиболее распространенные задачи, т.е. запуск офисных приложений, использование локальных и сетевых принтеров для печати документов, завершение работы и блокировка рабочих станций и т.д. Опытные пользователи Эта группа поддерживается, в основном, для совместимости с предыдущими версиями операционных систем для выполнения не сертифицированных приложений и управления локальными ресурсами рабочей станции. Разрешения по умолчанию, предоставленные этой группе, позволяют членам группы изменять параметры компьютера. Если необходима поддержка не сертифицированных приложений, конечные пользователи должны быть членами группы "Опытные пользователи". Члены группы "Опытные пользователи" имеют больше разрешений, чем члены группы "Пользователи", и меньше, чем члены группы "Администраторы". Опытные пользователи могут выполнять любые задачи операционной системой, кроме задач, зарезервированных для группы "Администраторы". Опытные пользователи могут: 6 Вычислительные системы, сети и телекоммуникации выполнять приложения, сертифицированные для Windows 2000 и Windows XP Professional, а также устаревшие и не сертифицированные приложения; устанавливать программы, не изменяющие файлы операционной системы, и системные службы; настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления; создавать и управлять локальными учетными записями пользователей и групп; останавливать и запускать системные службы, не запущенные по умолчанию. Опытные пользователи не могут добавлять себя в группу «Администраторы». изменять системные файлы и службы не имеют доступа к данным других пользователей на томе NTFS, если соответствующие разрешения этих пользователей не получены. В силу того, что опытные пользователи могут устанавливать и изменять программы, работа под учетной записью группы "Опытные пользователь" при подключении к Интернету может сделать систему уязвимой для троянских коней и других программ, угрожающих безопасности. Администраторы Членство в этой группе по умолчанию предоставляет самый широкий набор разрешений и возможность изменять собственные разрешения. Администраторы имеют полные, ничем неограниченные права доступа к рабочей станции. Рекомендуется использовать административный доступ только для выполнения следующих действий: установки операционной системы и ее компонентов (например, драйверов устройств, системных служб и так далее); установки пакетов обновления; обновления операционной системы; восстановления операционной системы; настройки важнейших параметров операционной системы (политики паролей, управления доступом, политики аудита, настройки драйверов в режиме ядра и так далее); вступления во владение файлами, ставшими недоступными; управления журналами безопасности и аудита; архивирования и восстановления системы. 7 Вычислительные системы, сети и телекоммуникации На практике учетные записи администраторов часто должны использоваться для установки и запуска программ, написанных для предыдущих версий Windows. Работа в Windows XP в качестве администратора делает систему уязвимой для троянских коней и других программ, угрожающих безопасности. Простое посещение веб-узла может очень сильно повредить систему. На не знакомом веб-узле может находиться троянская программа, которая будет загружена в систему и выполнена. Если в это время находиться в системе с правами администратора, такая программа может переформатировать жесткий диск, стереть все файлы, создать новую учетную запись пользователя с административным доступом и т. д. Операторы архива Члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от всех разрешений, которыми защищены эти файлы. Они могут также входить в систему и завершать работу компьютера, но не могут изменять параметры безопасности. Для архивирования и восстановления файлов данных и системных файлов требуются разрешения на чтение и запись. Разрешения по умолчанию для операторов архива, позволяющие им архивировать и восстанавливать файлы, делают для них возможным использование разрешений группы для других целей, например для чтения файлов других пользователей и установки программ с троянскими вирусами. Пользователи удаленного рабочего стола Члены этой группы имеют право на выполнение удаленного входа в систему. В остальном они обладают теми же возможностями, что и члены группы «Пользователи» Операторы настройки сети Члены этой группы могут иметь некоторые административные права для управления настройкой сетевых параметров. Для того чтобы добавить учетную запись пользователя в ту или иную группу, щелкните правой кнопкой мыши на названии группы и из выпадающего меню выберите. Добавить в группу. Более подробную справку по выполнению этих и других задач, связанных с учетными записями пользователей и групп, а так же более полное описание учетных записей пользователей и групп читайте в справке оснастки "Локальные пользователи и группы". Репликатор Группа «Репликатор» поддерживает функции репликации каталога. Только член этой группы может иметь учетную запись пользователя домена, которая используется для входа в систему службы репликации контроллера домена. Пароль такой учетной записи не 8 Вычислительные системы, сети и телекоммуникации задается. Не рекомендуется добавлять в эту группу учетные записи реальных пользователей. Помимо рассмотренных встроенных локальных и глобальных групп, в Windows 2000 существуют еще встроенные системные группы, состав которых регулировать нельзя (так как к ним принадлежит любой бюджет, использующий компьютер определенным образом), а назначать полномочия доступа на объекты (например, файлы), можно. К наиболее распространенным встроенным системным группам относятся: Everyone – все пользователи, как локальные, так и сетевые, System – операционная система, Creator Owner – создатель ресурса, Network – пользователи, получившие доступ к ресурсу по сети, Interactive - пользователи, получившие доступ к ресурсу локально, Authenticated Users – аутентифицированные пользователи сети, которые прошли проверку, Anonymous Logon – все учетные записи, не аутентифицированные Windows; Dialup – пользователи по удаленному соединению. В таблице.12_2 рассмотрены возможности встроенных групп. Табл. 12_2. Возможности встроенных групп Название Стандартные члены Описание Встроенные изолированные локальные группы Administrators Administrator, Domain Admins Users Все локальные пользователи компьютера, Interactive, Полностью управляют ресурсами компьютера Имеют ограниченные права в пределах домена и своего компьютера. Могут создавать новые локальные группы. Authenticated Users, Domain Users Guests Guest Имеют ограниченные права в пределах домена. Не могут изменять установки компьютера. Не могут создавать новые локальные группы. 9 Вычислительные системы, сети и телекоммуникации Могут копировать файлы в домене. -нет- Replicator Используется только службой репликации системы. Нельзя устанавливать членам группы пароль. Могут создавать новые локальные группы. Могут -нет- Backup operators резервировать и восстанавливать любые файлы и каталоги, несмотря на установленные полномочия доступа. Могут создавать новые локальные группы. Могут создавать новые локальные -нет- Power Users группы и Могут локальных создавать пользователей. и управлять разделяемыми каталогами и принтерами, создавать общие программные группы, изменять переменные окружения. Встроенные доменные локальные группы Administrators Administrator, Domain Admins, Enterprise Admins Users Domain Users, Interactive, Authenticated Users Полностью управляют ресурсами своего домена Имеют ограниченные права в пределах домена. Могут создавать новые локальные группы. Доступ к серверу возможен только по сети. Guests Guest, Domain Guests Имеют ограниченные права в пределах домена. Не могут изменять установки компьютера. Не могут создавать новые локальные группы. Replicator - нет- Используется только службой репликации системы. Нельзя устанавливать членам группы пароль. Могут создавать новые локальные группы и копировать файлы в домене. Print Operators -нет- .Могут управлять разделяемыми принтерами, закрывать систему. Backup operators - нет- Могут резервировать и восстанавливать любые файлы и каталоги, несмотря на установленные полномочия доступа. Могут создавать новые локальные группы. 10 Вычислительные системы, сети и телекоммуникации Account Operators -нет- Могут управлять групповыми и индивидуальными бюджетами, кроме администраторских, операторов сервера, операторов бюджетов, операторов печати и операторов резервирования Server Operators -нет- .Могут управлять разделяемыми папками и принтерами, резервировать и восстанавливать файлы, форматировать диски, блокировать сервер и переопределять блокировку. Встроенные глобальные группы Domain Admins Administrator Администраторы домена. Автоматически включаются в локальную группу Administrators. Domain Guests Guest Все гости домена. Автоматически включаются в локальную группу Guests. По умолчанию, бюджет пользователя Guest заморожен. Domain Users Administrator Все пользователи домена. Автоматически включаются в локальную группу Users. Enterprise Admins Administrators, Administrator Администраторы масштаба предприятия. Автоматически включаются в локальную группу Administrators. Любому пользователю после создания можно явно назначить дополнительные права. Такое назначение можно сделать косвенно, включив этого пользователя в какую либо встроенную локальную группу. Все права по работе с системой пользователь получает, как член соответствующих встроенных локальных групп. Большую часть прав групп мы определяем с помощью User Manager в опции Policy/Users Rights. Остальные права получаем по умолчанию. Права пользователей и групп составляют следующее (рис. 12_4) . Сетевой вход Локальный вход Архивирование файлов и каталогов Восстановление файлов и каталогов Добавление рабочих станций к домену 11 Вычислительные системы, сети и телекоммуникации Завершение работы системы Загрузка и выгрузка драйверов Работа с системным временем Овладение объектами Принудительное удаленное завершение Управление аудитом и журналом безопасности Любому пользователю после создания можно явно назначить дополнительные права. Такое назначение можно сделать косвенно, включив этого пользователя в еще какую либо группу. Например, назначение пользователю с именем администратора возможно включением в состав группы New привилегий «Администраторы» (Administrators). Рис 12_4. Права пользователей и групп (Administrators). После создания группы и добавления в нее пользователей, группе присваиваются права на работу - например, право локального входа в систему. Учетные записи пользователей Любому пользователю, для того, что бы он получил возможность работы с сетевыми ресурсами Windows XP, присваивается учетная запись – бюджет пользователя. 12 Вычислительные системы, сети и телекоммуникации В Windows 2003 различается три типа учетных записей: локальные (local user account) позволяют, зарегистрироваться на конкретном компьютере и получить доступ к его ресурсам; доменные (domain user account) позволяют, подключится к домену и получить доступ к ресурсам сети; встроенные (built-in user account) позволяет, администрировать (Administrator) или получить доступ к сетевым или локальным ресурсам (Guest). При создании локальной учетной записи Windows XP создает ее только в локальной базе данных безопасности и не тиражирует ее на какой-либо другой компьютер. Доступ для этого бюджета возможен только к ресурсам данного компьютера. Локальные учетные записи создаются на Windows XP, выполняющих функции рабочих станций в доменах, и изолированных серверах. Доменные учетные записи позволяют подключиться из любого места в сети. Доменные учетные записи создаются на контроллерах домена, когда активирована Active Directory.В процессе регистрации пользователь вводит свое сетевое имя и пароль. Контролер домена Windows 2000 в Active Directory опознает пользователя и выделяет ему маркер безопасности, который содержит информацию о пользователе и параметры защиты. Этот маркер действителен до тех пор, пока пользователь не завершит данную сессию. При инсталляции Windows XP создает встроенные учетные записи, которые нельзя удалить: Administrator и Guest. Учетная запись Administrator предназначена для управления общей конфигурацией компьютера или домена, например, для создания и управления учетными записями пользователей и групп, управления политикой безопасности, создание принтеров и т.д. Для обеспечения большей безопасности, учетную запись Administrator стоит переименовать, что затруднит взлом системы. А затем, создайте новую учетную запись с именем Administrator, которая вообще не будет иметь прав в системе. Учетная запись Guest предназначена для случайных пользователей и временного доступа к ресурсам. По умолчанию, учетная запись Guest отключена. При ее включении необходимо назначить ей соответствующий пароль. При планировании новых учетных записей, следует определить правила именования и требования для паролей. В отношении правил именования, следует всегда помнить, что используемые имена должны быть уникальны, длина их не превышает 20 символов, не содержит символы типа « \ / [ ] ; : , = + ?< > и не чувствительны к регистру. 13 Вычислительные системы, сети и телекоммуникации Максимальная длина пароля –128 символов, рекомендуется использовать не менее 8 и всегда назначать пароль встроенным учетным записям. Пароль не должен быть связным контекстом, который легко подбирается программой – взломщиком по словарю. В этом смысле пароль типа белый@popygau считается очень удачным. Локальные учетные записи Создание новых локальных учетных записей производится с помощью окна Local Users and Groups оснастки Computer Manager в меню Start\Programs\Administrative Tools (рис.12_5.1, рис.12_5.2). При желании для управления пользователями и группами можно использовать Control Panel\Users and Passwords\ Properties Advanced (рис. 12_6). При создании нового пользователя используются следующие параметры (рис. 12_7): имя пользователя - необходимо для входа в систему, полное имя, включает имя и фамилию пользователя, описание, заполнять его необязательно, пароль, для повышения уровня защиты всегда назначайте пароль, длина не более 20 символов, подтверждение пароля, если он был назначен, потребовать смену пароля при следующем входе в систему, выставляется по умолчанию, может быть сброшен, запретить смену пароля пользователю, срок действия пароля не ограничен, учетная запись отключена. Далее, в диалоговом окне свойств локальной учетной записи пользователя имеются три вкладки: общие, членство в группах и профиль. В зависимости от функций, которые выполняет данный пользователь, можно определить его принадлежность к различным группам и установки профиля Рис. 12_5.1. Оснастка Computer Management 14 Вычислительные системы, сети и телекоммуникации Рис. 12_5.2. Оснастка Computer Management . Рис. 12_6. Консоль Local Users and Groups Каждый пользователь Windows работает в уникальном окружении, формируется из доступных ему разделяемых файлов и принтеров, которое значков Program Manager, автоматически устанавливаемых сетевых соединения, обоев, заставок, меню, личных данных и т.д. Пользовательское окружение формируется в первую очередь профилем (profile) пользователя, который можно создать и поддерживать на компьютере как локальный (local) или перемещаемый (roaming), пользовательский или обязательный (mandatory). Локальный профиль доступен только на том компьютере, на котором был создан, а перемещаемый профиль сохраняется в разделяемой папке и доступен с любого 15 Вычислительные системы, сети и телекоммуникации компьютера домена. Пользовательский профиль может быть изменен самим пользователем, а обязательный – нет. Если пользователь входил в сеть с данного компьютера, то операционная система создала для него локальный, кэшированный, профиль и сохранила в каталоге %systemroot%\Documents and Setttings\<Logon Username>. Профиль пользователя содержит папку, где пользователь может хранить свои файлы. Эта папка предлагается по умолчанию при выборе меню File команд Save As или Open. Windows 2000 помещает эту папку на рабочий стол пользователя, что упрощает поиск личных документов. Копировать, удалять и управлять пользовательскими профилями могут администраторы или операторы бюджетов Windows XP во вкладке System Properties (рис 12_9), они используются как средство, защищающее сетевые ресурсы от неумелых или злостных, недобросовестных пользователей. Помимо сценариев входа, большое значение для пользователей имеет домашний каталог. Домашний каталог пользователя может быть создан как на рабочей станции, так и на сервере. Удобно хранить все домашние папки пользователей на сервере, т. к. тогда они могут получить к ним доступ с любого компьютера в сети и под управлением любой операционной системы Микрософт, включая MS-DOS. Для этого, в соответствующее окно введите букву, идентифицирующую диск и полное имя UNC домашнего каталога пользователя на сервере, например, \\IT_SERVER\USERS\ANNA . При создании учетной записи пользователя, остальные свойства бюджета система берет из специальной политики учетных записей, которая доступна с помощью оснастки Group Policy и Local Security Policy. Рис. 12_7. Свойства локального пользователя 16 Вычислительные системы, сети и телекоммуникации Рис. 12_8. Изменение типов профилей Но некоторые элементы пользовательского окружения проще контролировать через сценарии входа (logon scripts), которые выполняются каждый раз, когда пользователь входит в сеть командой WINLOGON. Каждому пользователю можно присвоить свой собственный сценарий входа, а можно создать сценарий на множество пользователей. Назначение пользователю сценария входа, необходимо указать имя файла logon script в профиле пользовательского окружения. Доменные учетные записи Создание новых доменных учетных записей производится с помощью окна User and Groups оснастки Active Directory Users and Computers (рис. 12_9). В зависимости от того, для какой деятельности создается пользователь, Вы задаете следующие свойства учетной записи: First Name , имя, Last Name, фамилию. Full Name , полное имя, User Logon Name, уникальное имя для входа в систему, User Logon Name (pre-Windows 2000), уникальное имя для входа в систему клиентов низшего уровня , Password, пароль; Conform Password, подтверждение пароля; 17 Вычислительные системы, сети и телекоммуникации User Must Change Password At Next Logon, потребовать смену пароля при следующем входе в систему; User Cannot Change Password, запретить смену пароля; Password Never Expires, установить неограниченный срок действия пароля; Account Is Disable, отключить учетную запись. Рис. 12_9. Оснастка Active Directory Users and Computers Свойства, которые задаются для доменных пользователей, применяются для поиска в хранилище Active Directory. Поэтому, значение характеристик нужно задавать подробно. Такие вкладки, как General, Member of, Dial-In задаются таким же образом, как и для локальных пользователей. Но остальные свойства определяются только для пользователей доменов. К ним относятся (рис. 12_10): Account - свойства бюджета пользователя; Profile – можно задать путь в виде имени UNC, где находится профиль пользователя, домашний каталог, сценарий входа; Published Certificates – список сертификатов, т. е. набор данных для аутентификации и передачи данных по Интернет, Х.509 для учетной записи пользователя; Object - полное доменное имя пользователя и дополнительные сведения; Security – разрешения для объекта пользователя в Active Directory; 18 Вычислительные системы, сети и телекоммуникации Environment – начальная программа для работы с сервером Terminal; Sessions – задаются параметры ограничения длительности соединения с системой; Remote Control – удаленное управление службами терминала; Terminal Services Profile – профиль для терминального сеанса. Рис. 12_10. Свойства учетной записи домена Для пользователей домена, которые могут входить в систему с любого компьютера, большое значение имеет настройка профилей и домашних каталогов. Windows 2000 создает профиль локального пользователя в папке %systemroot%\Documents and Setttings\<Logon _Username> при первом входе в систему. Этот профиль обеспечивает индивидуальные настройки рабочего стола и сетевых соединений и доступ к папке с личными документами My Documents, независимо от количества работающих на этом компьютере пользователей. Для поддержки пользователей, работающих на разных компьютеров, или групп пользователей с одинаковыми требованиями к работе, создается перемещаемый профиль RUP (Roaming User Profile), который хранится на сервере. При входе сеть Windows 2000 копирует такой профиль с сервера на компьютер, с которого входит пользователь, при выходе происходит копирование измененной версии RUP обратно на сервер. Настройка перемещаемого профиля делается следующим образом. На сервере создайте общую папку и назначьте к ней полномочия на доступ тем пользователям, для которых вы 19 Вычислительные системы, сети и телекоммуникации задаете профиль. Создайте шаблон доменного пользователя и настройте переменные окружения, таким образом, каким вы считаете нужным. Войдите после этого в систему, как Administrator, и скопируйте шаблон в папку перемещаемого профиля на сервере с помощью приложения System Properties). Затем с помощью оснастки Active Directory Users and Computers назначьте профиль соответствующему пользователю, задав путь в поле Profile Path в формате UNC: \\<сервер> \<общая_папка> \<регистрационное_ имя>. Если вы хотите сделать профиль обязательным, т. е. лишить пользователей возможности изменять его, то в этом случае нужно переименовать скрытый файл Ntuser.dat в Ntuser.man на сервере. Помимо прав на работу, группе нужно присвоить какие-либо разрешения доступа к принтерам, папкам или файлам. Все права по работе с системой пользователь получает либо в виде явного назначения, либо как член соответствующих встроенных локальных групп. Большую часть прав групп мы определяем с помощью оснастки Local Security Settings. Остальные права получаем по умолчанию. При создании нового пользователя необходимо задать имя, полное имя, возможно, описание. Можно определит принадлежность пользователя к различным группам, его профиль и возможность удаленного доступа. При необходимости, пользователю можно задать пароль - не более 14 символов. Помимо этого, определите, нужно ли задавать смену пароля при каждом входе, можно ли вообще менять пароль, установите, бессрочный ли бюджет пользователя или Вы хотите этот бюджет заморозить 20