Методические указания по лабораторной работе
«Управление учетными записями
и общий доступ к файлам и папками».
Цель работы: Целью работы является приобретение навыков администрирования учетных записей и управления общим доступам к файлам и папкам в операционной системе Windows 2000.
При разработке операционных систем класса Windows NT/2000/XP уделялось пристальное внимание обеспечению информационной безопасности. При этом была разработана отличная от семейства Windows 9x модель безопасности, делающая операционную систему более надежной и в то же время достаточной простой в управлении.
Вообще, под моделью безопасности понимают формальное выражение политики безопасности. А под политикой безопасности понимается совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое условие безопасности системы [1]. Однако в отечественной литературе зачастую не делают отличий в понятиях политики безопасности и модели безопасности, называя неформальное описание особенностей систем, связанных с защитой информацией, моделью безопасности. В дальнейшем и мы будем следовать этой путанной традиции.
Модель безопасности Windows NT предполагает глубокую интеграцию средств защиты с операционной системой. Подсистема безопасности осуществляет контроль за тем, кто и какие действия совершает в процессе работы, к каким объектам пытается получить доступ. Все действия пользователя, в том числе и обращения ко всем объектам, как нетрудно догадаться, на самом деле могут быть совершены только через соответствующие запросы к операционной системе. Операционная система использует этот факт и имеет все необходимые механизмы для тотального контроля всех запросов к ней. Запрашиваемые у операционной системы операции и обращения к конкретным объектам разрешаются, только если у пользователя для этого имеются необходимые права и/или разрешения. При этом обязательно следует различать эти понятия.
Права (rights) определяют уровень полномочий при работе в системе. Например, если нет права форматировать диск, то выполнить это действие пользователь не сможет. Кстати, конкретно таким правом при работе с Windows NT/2000/XP обладают только члены группы администраторов. Можно говорить и о праве изменения настроек дисплея, и о праве работать на компьютере. Очевидно, что перечень прав является достаточно большим. Права могут быть изменены посредством применения соответствующих политик.
Термин разрешение (permission) обычно применяют по отношению к конкретным объектам, таким как файлы и каталоги, принтеры и некоторые другие. Можно говорить о разрешениях на чтение, на запись, на исполнение, на удаление и проч. Например, можно иметь разрешения на чтение и запуск некоторой программы, но не иметь разрешений на ее переименование и удаление.
Важно, что права имеют преимущество перед разрешениями. Например, если у некоторого пользователя нет разрешения «стать владельцем» того или иного файлового объекта, но при этом мы дадим ему право стать владельцем любого объекта, то он, дав запрос на владение упомянутым объектом, получит его в свою собственность.
Модель безопасности Windows NT гарантирует, что не удастся получить доступ к ее объектам без того, чтобы предварительно пройти аутентификацию и авторизацию.
Для того чтобы иметь право работать на компьютере, необходимо иметь учетную запись (account). Учетные записи хранятся в базе данных учетных записей, которая представлена файлом SAM (Security Account Management).
Каждая учетная запись в базе данных идентифицируется не по имени, а по специальному системному идентификатору. Такой идентификатор в Windows NT называется идентификатором безопасности (Security IDentifier, SID). Подсистема безопасности этих операционных систем гарантирует уникальность идентификаторов безопасности. Они генерируются при создании новых учетных записей и никогда не повторяются. Идентификаторы несут в себе информацию о типе учетной записи. Учетные записи могут быть объединены в группы, поэтому помимо учетных записей пользователей имеются учетные записи групп. Имеются встроенные учетные записи, но они тоже уникальны. Учетные записи имеют и компьютеры.
К встроенным учетным записям относятся записи администратора и гостя, а также учетные записи для следующих групп:
Администраторы (Administrators) – имеют полные, ничем не ограниченные права доступа к компьютеру
Пользователи (Users) – пользователи не имеют прав на изменение параметров системы. Они не могут запускать многие несертифицированные приложения, однако они могут иметь свои личные настройки параметров рабочего стола и папку Мои документы.
Опытные[1] пользователи (Power Users) – обладают большинством прав, но с некоторыми ограничениями. В частности, они могут запускать любые, а не только сертифицированные приложения, создавать учетные записи и управлять ими, управлять сетевым доступом.
Гости (Guests) – имеют минимальные права при работе на компьютере, не могут иметь свои настройки рабочего стола.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.