>>> Перейти на мобильный размер сайта >>>

Учебное пособие

Самоучитель системного администратора

4.4. Создание и удаление учетных записей

После установки операционной системы вы начинаете работу с правами учетной записи Администратор (Administrator — для интернациональных версий ОС). Пользователь Администратор обладает максимальными правами в данной операционной системе; используя права администратора можно создавать, модифицировать, удалять другие учетные записи, выполнять любые операции по настройке системы и т. п.

Примечание

Обратите внимание, что после использования мастера установки Windows XP в режиме отображения страницы приветствий во время входа в систему название учетной записи администратора не показано на экране. Однако эта учетная запись может быть применена для работы с системой, причем обычно администраторы забывают о необходимости установки для нее пароля, что позволяет легко локально зайти в систему с правами администратора, предъявив "пустой" пароль.

Целесообразно назначить этой учетной записи длинный и сложный пароль, состоящий из цифр и символов только английского алфавита. Это упростит возможные операции по восстановлению операционной системы. Кроме того, в целях безопасности рекомендуется переименовать учетные записи администраторов (сделать это в домене можно централизованно, используя групповую политику) и запретить для анонимных пользователей просмотр базы идентификаторов безопасности.

Для управления учетными записями используются специальные оснастки (рис. 4.11): управления компьютером в локальном случае и оснастка управления AD Пользователи и компьютеры при создании доменных пользователей.

Рис. 4.11.
Добавление нового пользователя локальной системы

При создании новых пользователей домена рекомендуется устанавливать для них требование смены пароля при первом входе в сеть.

Управлять учетной записью можно из командной строки. Так, добавить пользователя можно командой NET USER <имя> <пароль> /add, а удалить — net user <имя> /DELETE.

Примечание

В домене Windows учетные записи создаются и для компьютеров с операционными системами Windows 200x/Windows XP. Эти учетные записи можно использовать для контроля доступа к сетевым ресурсам.

Если в организации используются дополнительные параметры учетной записи (название отдела, адрес и т. п.), то более удобно при создании нового пользователя перенести в его учетную запись максимум настроек, которые имеют аналогичные пользователи. Для этих целей можно воспользоваться операцией копирования учетной записи. При копировании программа создает новую учетную запись, в настройки которой будут перенесены те параметры, которые не являются личными характеристиками. Например, новая учетная запись будет уже включена в те группы, в которые входила исходная учетная запись, но такой параметр, как номер телефона (который также может являться одной из характеристик пользователя) скопирован не будет.

Дополнительные параметры учетной записи

Каждая учетная запись имеет существенное количество дополнительных параметров, значения которых могут быть использованы в работе организации. Это дает администратору возможность объединять пользователей в группы, учитывая содержимое того или иного поля. Например, можно создать группу, объединяющую пользователей, находящихся в определенном офисе, и присвоить ей почтовый адрес.

Поля учетной записи могут заполняться с помощью окна свойств, вызываемого из оснастки управления службой каталогов (или управления компьютером — при правке локальных пользователей). Эти свойства можно запрашивать и устанавливать с помощью достаточно простых сценариев, однако более удобно выполнять соответствующие операции поиска и изменения данных на основе протокола LDAP (см. разд. "LDAP-управление"ранее в данной главе), при этом администратору доступны практически любые критерии поиска необходимых записей.

Права учетной записи

Кроме разрешений доступа к файлам, пользователь может быть ограничен в выполнении ряда операций. Например, проверяется наличие у пользователя разрешения на локальный вход в систему и на завершение работы компьютера, на установку нового оборудования и на удаление учетной записи, право на доступ к компьютеру по сети или право на отладку программ и т. д. Причем основная масса прав после установки системы даже не задействована: администратор может использовать имеющиеся параметры при последующей точной настройке системы.

Права пользователей в системе назначаются через оснастку Локальная политика безопасности, расположенную в группе административных задач (рис. 4.12). В случае работы в составе домена администраторы регулируют права пользователей с помощью соответствующих групповых политик. Использование этих инструментов достаточно очевидно, и мы не будем подробно описывать такие операции.

Рис. 4.12.
Окно настройки прав пользователя в системе

Восстановление параметров безопасности по умолчанию

В случае смены администраторов новому специалисту обычно не известны, например, те изменения прав доступа, которые выполнил прежний сотрудник. В некоторых случаях некорректное назначение прав может повлиять на стабильность работы системы.

В Windows существуют специальные средства, которые позволяют вернуть параметры безопасности к тем значениям, которые определены для вновь устанавливаемой операционной системы. С этой целью используется оснастка Анализ и настройка безопасности. По умолчанию эта оснастка не включена в меню. Чтобы начать работу с ней, следует открыть консоль управления (команда mmc) и выполнить операцию добавления оснастки. В окне Добавить изолированную оснастку следует отметить строку Анализ и настройка безопасности и закрыть все последующие окна, нажимая на кнопки подтверждения операции.

В операционной системе хранятся шаблоны безопасности (шаблоны по умолчанию размещены в папке %windir%\Security\Templates), разработанные поставщиком, для нескольких типовых конфигураций компьютера. Это шаблон настроек безопасности, соответствующий установке системы, шаблоны безопасности для компьютеров (отдельно для рабочих станций, серверов и контроллеров домена), соответствующие различным уровням защищенности: совместимого с программным обеспечением предыдущих версий и т. д.

Программа позволяет сравнить значения, определенные в этих шаблонах, с фактическими параметрами настройки системы. Полученные результаты сохраняются в виде базы данных, которая может быть проанализирована пользователем: все отличия настроек специально выделены в отчете программы.

Строго говоря, можно проанализировать следующие параметры:

• Политики учетных записей: политика паролей, политика блокировки учетных записей и политика Kerberos;
• Локальные политики: политика аудита, назначение прав пользователя и параметры безопасности;
• Журнал событий: параметры журналов приложений, системы и событий безопасности;
• Группы с ограниченным доступом: членство в чувствительных к безопасности группах пользователей;
• Системные службы: запуск системных служб и разрешения для них;
• Реестр: разрешения для разделов реестра;
• Файловая система: разрешения для папок и файлов.

Если администратор сочтет необходимым, то он может с помощью данной оснастки применить один из шаблонов безопасности — применение шаблона фактически означает установку соответствующих параметров системы (разрешений, прав) в те значения, которые определены в данном шаблоне.

Для анализа или применения настроек необходимо выполнить следующие действия:

1. Создать пустую базу данных.
2. Загрузить в нее желаемый шаблон.
3. Провести анализ и/или настройку системы.

Для применения шаблона следует выполнить команду Настроить компьютер. В завершение желательно проанализировать результаты операции.

Примечание

Обратите внимание на шаблон compatws.inf, который позволяет перейти в режим совместимости с предыдущей версией ОС. В этом режиме учетным записям пользователей даются дополнительные права на доступ к ресурсам системы. В результате появляется возможность запуска программ, не в полной мере совместимых с последними версиями операционной системы. Эта операция в новых ОС разрешена только администраторам, но после применения данного шаблона необходимые разрешения будут предоставлены.

Автоматически создаваемые учетные записи

При установке операционной системы автоматически создается несколько учетных записей пользователей. Ранее мы упоминали учетную запись Администратор. Эта учетная запись особая. Ранее ее нельзя¹ было даже удалить или исключить из группы администраторов. Сделано это было из соображений безопасности, чтобы пользователь случайно не удалил всех администраторов и система не стала неуправляемой.

В Windows 7 учетная запись Администратор как бы разделилась на две: одна учетная запись соответствует той, с которой вы входите в систему, другая — учетная запись, которая используется, если вызывается команда Запустить от имени администратора. С этим связаны некоторые ошибки, когда пользователи не могут понять, почему не выполняется сценарий, исполняемый от имени Администратор. А потому, что фактически учетных записей две и права у них отличаются.

Другая автоматически создаваемая учетная запись — это Гость (Guest). Она не имеет пароля и предназначена для обеспечения возможности работы с данным компьютером пользователя, у которого в системе нет учетной записи. К примеру, вы приезжаете со своим ноутбуком в другую организацию и хотите распечатать документ. Если в той организации принтер предоставлен в совместное использование и действует учетная запись Гость, то вы можете подключиться к принтеру и выполнить печать, в противном случае вам должны сообщить имя входа и пароль, которые можно использовать для подключения к серверу печати.

Учетная запись Гость по соображениям безопасности заблокирована. Однако если ваша сеть полностью автономна и объединяет немного компьютеров, то для облегчения использования сетевых ресурсов вы можете ее разблокировать.

Так делает, например, мастер конфигурирования домашней сети: если вы определили, что компьютер используется в рамках домашней сети, то мастер разрешает использование учетной записи Гость. В этом случае, если вы разрешите совместное использование ресурсов компьютера, то к ним будет возможно подключение любых пользователей, независимо от того, существуют ли для них учетные записи на вашем компьютере или нет.

Учетная запись HelpAssisstant применяется в случаях обращения к удаленному помощнику. Удаленный пользователь подключается к компьютеру с правами, предоставленными данной учетной записи.

Учетная запись SUPPORT_номер используется службами технической поддержки Microsoft. Обычно рекомендуют просто удалить эту учетную запись.

Если на компьютере устанавливается информационный сервер Интернета (Internet Information Server, IIS), то создаются две учетных записи. Это IUSR_имя_ компьютера и IWAM_имя_компьютера. Учетная запись IUSR_имя_компьютера применяется при предоставлении Web-ресурсов анонимному пользователю. Иными словами, если информационный сервер Интернета не использует аутентификацию пользователя (предоставляет ресурсы анонимно), то в системе такой пользователь регистрируется под именем IUSR_имя_компьютера. Вы можете, например, запретить анонимный доступ к каким-либо ресурсам информационного сервера, если исключите чтение таких файлов данным пользователем. Пароль пользователя IUSR_имя_компьютера создается автоматически и синхронизируется между операционной системой и информационным сервером.

Пароли учетных записей IUSR_имя_компьютера и IWАМ_имя_компьютера легко можно узнать при помощи сценария, имеющегося на компьютере. Найдите файл Adsutil.vbs (обычно он расположен в папке административных сценариев IIS, например, InetPub\AdminScripts), замените в текстовом редакторе строку сценария (иначе сценарий покажет пароль в виде звездочек)

на

и выполните:

для отображения пароля IUSR-пользователя или

для показа пароля IWAM-пользователя.

Учетная запись IWAM_имя_компьютера используется для запуска процессов информационного сервера (например, для обработки сценариев на страницах с активным содержанием). Если вы случайно удалите какую-либо из этих записей и вновь создадите одноименную, то, скорее всего, столкнетесь с неработоспособностью информационного сервера. Конечно, можно обратиться к справочной базе разработчика, правильно настроить службы компонентов на использование новой учетной записи, синхронизовать с помощью специальных сценариев пароли учетных записей и т. п. Но гораздо эффективнее в этой ситуации будет просто удалить службу информационного сервера и вновь добавить этот компонент, предоставив программе установки выполнить все эти операции.

Кроме перечисленных учетных записей новые пользователи системы часто создаются прикладными программами в процессе их установки. Обычно создаваемые таким образом учетные записи имеют необходимое описание в своих свойствах.

Учетная запись Система

При необходимости можно настроить службы для старта от имени любого пользователя. Однако в этом случае вам необходимо установить соответствующей учетной записи постоянный пароль и предоставить ей достаточно большие права по отношению к локальному компьютеру. Из такого сочетания требований очевидно вытекает настоятельная рекомендация: не использовать учетные записи пользователей для запуска служб по соображениям безопасности.

Учетная запись Система (Local System) предназначена для запуска служб компьютера. Она обладает полными правами по отношению к локальному компьютеру и фактически является частью операционной системы. Ее права существенно выше, чем права любой учетной записи пользователя. Для учетной записи Система выполняется обход проверок безопасности, поэтому для нее не существует пароля, который можно было бы дешифровать или взломать. Учетная запись Система не может быть использована для доступа к сетевым ресурсам.

Использования учетной записи Система для запуска служб компьютера без особых на то причин следует избегать, поскольку данное решение понижает уровень безопасности. Например, если пользователю удастся подменить запускаемый файл службы на пакетный файл и затем прервать выполнение этого пакетного файла нажатием комбинации клавиш <Ctrl>+<C>, то он получит возможность запуска в этом командном окне задач с приоритетом Системы. Поэтому для использования при запуске служб введены еще две учетных записи. Это Local Service и Network Service. Так же, как и учетная запись Система, эти учетные записи являются частью самой операционной системы и не имеют паролей. При этом они обладают гораздо меньшими правами, чем учетная запись Система. Но большими правами, чем пользователь. Обе учетные записи по умолчанию имеют права пользователя и аутентифицированного пользователя и привилегии SE_AUDIT_NAME, SE_CHANGE_ NOTIFY_NAME, SE_UNDOCK_NAME. Если учетная запись Local Service используется также только при запуске локальных программ, то Network Service может осуществлять доступ к сетевым ресурсам. При этом данная учетная запись аутентифицируется в удаленной системе как учетная запись соответствующего компьютера.

Примечание

Следует быть внимательным при назначении прав доступа к локальным ресурсам компьютера. Автор неоднократно сталкивался с ситуацией, когда недостаточно опытные пользователи, желая ограничить доступ к ресурсам своего компьютера, работающего в составе сети, запрещали доступ к файлам на диске всем, кроме самого себя. Исключив специальных пользователей, они сделали невозможным запуск многих служб, необходимых для работы операционной системы.

Встроенные группы

При установке операционной системы на компьютере автоматически создается несколько групп. Для большинства случаев персонального использования этих групп достаточно для безопасной работы и управления системой.

Администраторы (Administrators).

Члены этой группы имеют все права на управление компьютером. После установки в системе присутствуют только пользователи-члены этой группы (в Windows XP в ходе установки можно создать несколько администраторов системы, в предыдущих версиях создается только одна запись).

Пользователи (Users).

Это основная группа, в которую надо включать обычных пользователей системы. Членам этой группы запрещено выполнять операции, которые могут повлиять на стабильность и безопасность работы компьютера.

Опытные пользователи (Power Users).

Эти пользователи могут не только выполнять приложения, но и изменять некоторые параметры системы. Например, создавать учетные записи пользователей, редактировать и удалять учетные записи (но только те, которые были ими созданы), предоставлять в совместный доступ ресурсы компьютера (и управлять созданными ими ресурсами). Но опытные пользователи не смогут добавить себя в число администраторов системы, не получат доступ к данным других пользователей (при наличии соответствующих ограничений в свойствах файловой системы NTFS, у опытных пользователей отсутствует право становиться владельцем объекта), кроме того, они не смогут выполнять операции резервного копирования, управлять принтерами, журналами безопасности и протоколами аудита системы.

Операторы резервного копирования (Backup Operators).

В эту группу следует включить ту учетную запись, от имени которой будет осуществляться резервное копирование данных компьютера. Основное отличие этой группы в том, что ее члены могут "обходить" запреты доступа к файлам и папкам при операции резервного копирования данных. Независимо от установленных прав доступа в резервную копию данных будут включены все отмеченные в операции файлы, даже если у оператора резервного копирования нет права чтения такого файла.

Примечание

Учетная запись с правами оператора резервного копирования является достаточно серьезной брешью в системе безопасности организации. Как правило, особое внимание "безопасников" уделяется пользователям, имеющим административные права. Да, они могут стать владельцами любой информации, доступ к которой для них явно запрещен. Но при этом такие действия протоколируются и контролируются службой безопасности предприятия. Пользователь, на которого возложена рутинная вроде бы обязанность резервного копирования, легко может выполнить резервную копию всех данных и восстановить секретную информацию из этой копии на другой компьютер, после чего говорить о наличии установленных прав доступа к файлам и папкам уже бессмысленно. Но есть и более простые способы копирования информации, право доступа к которой запрещено на уровне файловой системы. В Windows имеется утилита для массового копирования файлов — robocopy.exe. Эта программа может выполнять копирование данных в режиме использования права резервного копирования (естественно, что она должна быть запущена пользователем, состоящим в группе операторов резервного копирования). В результате в новую папку будут скопированы все файлы, причем пользователю даже не нужно становиться владельцем файлов — все запреты будут уже сняты.

Примечание

Программа Robocopy предназначена для того, чтобы скопировать структуру файлов из одной папки в другую. Если на файлы наложены ограничения доступа, то выполнять такую операцию штатными средствами (через резервное копирование и восстановление данных) не всегда удобно. Robocopy позволяет переместить данные, сохранив всю структуру прав. Возможность "снятия" ограничений, описываемая в настоящем разделе, просто является одной из функций данной утилиты.

Гости (Guests).

Эта группа объединяет пользователей, для которых действуют специальные права для доступа "чужих" пользователей. По умолчанию в нее включена только одна заблокированная учетная запись Гость.

HeplSevicesGroup.

Группа предоставляет типовой набор прав, необходимый специалистам службы техподдержки. Не следует включать в нее других членов, кроме учетной записи, созданной по умолчанию.

Remote Desktop Users.

Ее члены могут осуществлять удаленное подключение к рабочему столу компьютера. Иными словами, если вы хотите иметь возможность удаленно подключиться к своему компьютеру, то необходимо включить в эту группу соответствующую учетную запись. По умолчанию членами этой группы являются администраторы локального компьютера.

DHCP Administrators.

Группа создается только при установке DHCP. Пользователи группы имеют право на конфигурирование службы DHCP (например, с помощью графической оснастки управления или командой netsh). Используется при делегировании управления DHCP-службой.

DHCP Users и WINS Users.

Группы создаются только при установке соответствующих служб. Пользователи групп имеют право только на просмотр параметров настройки служб DHCP (или WINS). Применяются при делегировании прав техническому персоналу (например, для сбора информации о состоянии сервисов).

Network Configuration Operators.

Пользователи группы имеют право изменения TCP/IP-параметров. По умолча-нию группа не содержит членов.

Print Operators.

Члены группы могут управлять принтерами и очередью печати.

В системе присутствуют и другие группы, на описании которых мы не будем особо останавливаться (Account Operators, Pre-Windows 2000 Compatible Access, Server Operators и т. д.).

Специальные группы

В операционной системе существуют так называемые специальные группы, членством в которых пользователь компьютера управлять не может. Они не отображаются в списке групп в оснастках управления группами, но доступны в окнах назначения прав доступа.

Это группы Все (Everyone), Интерактивные пользователи (Local Users), Сетевые пользователи (Network Users), Пакетные файлы (Batch), Прошедшие проверку (Authenticated) и т. д. Предназначение групп ясно уже по их названию. Так, в группу Интерактивные пользователи автоматически включаются все пользователи, осуществившие вход в систему с консоли (клавиатуры). Сетевые пользователи — это те пользователи, которые используют ресурсы данного компьютера через сетевое подключение и т. п.

Данные группы предназначены для более точного распределения прав пользователей. Например, если вы хотите, чтобы с каким-либо документом была возможна только локальная работа, то можно просто запретить доступ к нему сетевых пользователей.

Заострим внимание читателей на группе Все, поскольку именно с ней связано наибольшее количество ошибок в предоставлении прав доступа. Эта группа включает не любых пользователей, а только тех, кто имеет учетную запись на данном компьютере. Иными словами, если вы предоставили ресурс в общий доступ с правами чтения для группы Все, то использовать его могут только те, кто "прописан" на данном компьютере. Если вы предпочитаете, чтобы ресурс мог использовать действительно "кто угодно", то для этого нужно разрешить использование учетной записи Гость.

Примечание

В последних версиях Windows пересматривался состав группы Все. Во избежание ошибок следует уточнить состав данной группы в каждом конкретном случае.

Рекомендации по использованию операции Запуск от имени...

По соображениям безопасности не рекомендуется использовать для текущей работы учетную запись, обладающую административными правами. Смысл этого требования очень прост. Если на компьютере работает неопытный пользователь, то он не сможет что-либо испортить в настройках системы и привести ее в нерабочее состояние. Кроме того, в повседневной практике очень легко встретиться с какой-либо скрытой вредоносной программой. Если при запуске такой программы она не будет обладать административными правами, то возможностей нанести вред компьютеру у нее будет существенно меньше.

Однако на практике пользователям периодически приходится выполнять различные административные действия. Например, установить драйвер для нового внешнего устройства хранения информации, на котором вы принесли для просмотра взятый у приятеля видеофильм, и т. п. Понятно, что несмотря на все рекомендации, большинство пользователей для удобства работали с правами учетной записи администратора.

В операционных системах Windows 7 по умолчанию максимальные права не предоставлены и администратору. Чтобы выполнить действия, меняющие системные настройки, предусмотрен специальный механизм для быстрого запуска программ с использованием административных прав. Это операция Запуск от имени Администратора.

Эта команда доступна в динамическом меню соответствующего ярлыка. Кроме того, если при запуске программы система обнаружила попытку выполнения действий, для которых требуется подобная эскалация прав, то пользователь увидит на экране запрос на продолжение, который он должен подтвердить (или отказаться, если подобная операция не планировалась).

Примечание

Обратите внимание, что учетная запись Администратор и учетная запись, которая используется при запуске от имени администратора, — это различные учетные записи. Если не учитывать данный момент, то это может привести к неожиданным результатам, например, при выполнении сценариев входа в домен.

¹В версиях, более ранних чем Windows XP. В новых версиях Windows упомянутые операции допустимы.