ĆWICZENIE NR 5

ĆWICZENIE NR 6 – Użytkownicy i grupy
1 Proces logowania
Rozpoczynając prace z systemem na komputerze lokalnym Windows 2000 musimy podać w
oknie logowania identyfikator użytkownika oraz prawidłowe hasło dostępu. Windows
sprawdza czy podane informacje są zgodne z danymi o autoryzowanych użytkownikach,
zapisanymi w wewnętrznej bazie danych. Jeśli wszystko jest prawidłowe użytkownik zostanie
wpuszczony. Jeżeli poda błędne dane na ekranie pojawi się komunikat o błędzie i należy
zalogować się jeszcze raz.
Stosując takie rozwiązanie :
• Chronimy dane przechowywane na dyskach przed dostępem osób niepowołanych, które
nie znają prawidłowego identyfikatora użytkownika oraz hasła dostępu.
• Pozwalamy na korzystanie z tego samego komputera kilku autoryzowanym
użytkownikom bez konieczności współdzielenia obszaru danych, bądź korzystania ze
wspólnych ustawień.
Natomiast logując się do sieci domenowej oprócz nazwy użytkownika i hasła należy podać
nazwę serwera lub nazwę domeny.( w polu nazwa użytkownika wpisujemy
Identyfikator użytkownika@nazwa domeny ).
Chcąc się zalogować naciska się klawisze Ctrl+Alt+Del.
2 Konta użytkowników
Konta użytkowników służą do identyfikacji poszczególnych użytkowników w systemie i
uzyskania dostępu do zasobów. Nazwa konta użytkownika musi być niepowtarzalna, może
składać się maksymalnie z 64 znaków (jednak zalecane jest używanie nazw krótszych niż 15
znaków) i może zawierać dowolną kombinację liter, cyfr oraz większości symboli (z
wyjątkiem znaku @ , /, \, <, >, [, ], : , ; , +, =, *, |, , , ? , . ). Windows dopuszcza stosownie
spacji w nazwie konta.
Windows 2000 Professional po zainstalowaniu ma dwa wbudowane konta użytkowników
Administrator oraz Gość.
Konto Administrator ma pełną kontrolę, posiada specjalne uprawnienia: nie można go
wyłączyć, usunąć, czy zablokować. Konto to umożliwia np.
• tworzenie nowych kont użytkowników i zarządzanie nimi
• instalację oprogramowania i sprzętu
• tworzenie praw dostępu do folderów, plików i drukarek
• tworzenie lokalnych grup domeny i zarządzanie nimi
Konto Gość jest jednym z predefiniowanych kont systemu operacyjnego Windows 2000.
Logując się jako Gość, można uzyskać dostęp do systemu przez podanie dowolnego
identyfikatora użytkownika oraz dowolnego hasła dostępu.
3 Domena Windows 2000
jest zbiorem komputerów w sieci, których zasoby i bezpieczeństwo są kontrolowane przez
wyznaczony serwer, nazwany głównym kontrolerem domeny. W Windows 2000
wprowadzono usługi Active Directory ( ADS – Active Directory Services) w takiej
strukturze konta użytkowników, grup i komputerów są grupowane w jednostkach
organizacyjnych, co ułatwia administrację. Użytkownicy Windows 2000 Professional mogą
logować się do kontrolera domeny, który sprawdza istnienie konta danego użytkownika w
bazie danych katalogu ADS, poprawność podanego hasła, a następnie pozwala na
zalogowanie się do domeny. W Windows 2000 żaden komputer nie pełni roli podstawowego
kontrolera domeny. Tylko serwery Windows 2000 mogą działać jako kontrolery domeny.
Administratorzy domeny mogą definiować zasady bezpieczeństwa dla wszystkich
komputerów w domenie. Nie jest możliwe dodanie komputera do domeny bez zgody jej
administratora
4 Grupa robocza
To połączenie grupy komputerów, umożliwiające wymianę danych, współużytkowanie
drukarek i innych zasobów. W grupie każdy komputer z osobna jest odpowiedzialny za
bezpieczeństwo zgromadzonych w nim danych. Aby udostępnić innym członkom grupy
roboczej swoje zasoby należy utworzyć konta lokalne oraz przydzielić im odpowiednie prawa
dostępu. Do takiej grupy może podłączyć się każdy, kto zna nazwę i odpowiednio
skonfiguruje ustawienia sieciowe swojego komputera.
5 Zadania Grupy
Konta użytkowników korzystający z tych samych uprawnień można organizować w grupy.
Ułatwia to pracę administratora gdyż nie musi nadawać uprawnień pojedynczym kontom
tylko jednorazowo grupie kont użytkowników. Stając się członkiem grupy, nowy użytkownik
dziedziczy wszystkie jej uprawnienia.
Na poziomie domeny są dwa typy grup kont użytkowników: grupy zabezpieczeń oraz grupy
dystrybucyjne. Każdy z tych typów dzieli się na Grupy uniwersalne, globalne oraz grupy
domeny
Windows 2000 Professional posługuje się grupami zabezpieczeń, które służą do nadawania
uprawnień kontom użytkowników. Administrator może organizować konta użytkowników w
lokalne grupy domeny w sieciach domenowych lub w grupy lokalne w środowiskach grup
roboczych.
5.1 Grupy wbudowane
W omawianym systemie jest sześć wbudowanych grup lokalnych :
• Administratorzy
• Goście
• Użytkownicy - członkowie tej grupy mogą uruchamiać oprogramowanie już
zainstalowane, nie mogą instalować nowego oprogramowania oraz zmieniać konfiguracji
systemu.
• Użytkownicy zaawansowani – nie mają dostępu do plików innych użytkowników, nie
mogą zmieniać konfiguracji systemu natomiast mogą instalować oprogramowanie i
sterowniki
• Operatorzy kopii zapasowych – użytkownicy do niej należący mają dostęp do wszystkich
plików przechowywanych w danym komputerze, ale tylko jeśli posiadają
oprogramowanie do wykonywania kopii zapasowych.
• Replikator – grupa ta ściśle służy replikacji i nie powinna zawierać żadnych
użytkowników z wyjątkiem konta używanego do wykonywania usługi replikacji.
Standardowo grupa ta jest używana przy replikacji domeny.
5.2 Grupy specjalne
System Windows 2000 automatycznie tworzy kilka dodatkowych grup.
• Interakcyjna. Grupa ta zawiera użytkownika, który jest aktualnie zalogowany na
komputerze. Podczas uaktualniania do systemu Windows 2000, członkowie grupy
Interakcyjna zostaną dodani do grupy Użytkownicy zaawansowani, dzięki czemu starsze
aplikacje będą działać tak samo, jak przed uaktualnieniem.
•
•
Sieć. Ta grupa zawiera wszystkich użytkowników, którzy mają aktualnie dostęp do
systemu przez sieć.
Użytkownik serwera terminali. Kiedy serwery terminali są instalowane w trybie obsługi
aplikacji, grupa ta zawiera wszystkich użytkowników, którzy są aktualnie zalogowani w
systemie za pomocą serwera terminali. Każdy program uruchamiany przez użytkownika w
systemie Windows NT 4.0 będzie działał dla użytkownika serwera terminali w systemie
Windows 2000. Domyślne uprawnienia przypisane do grupy umożliwiają użytkownikowi
serwera terminali uruchamianie większości starszych programów.
6 Profile użytkownika
Zastosowano w celu zachowania środowiska konkretnego użytkownik nawet wtedy kiedy
loguje się poprzez różne systemy w sieci.. Kiedy dany użytkownik loguje się po raz pierwszy
do systemu tworzony jest profil użytkownika zawierający zestaw plików i folderów
przeznaczonych do wyłącznej dyspozycji tego użytkownika. Czyli jest to miejsce gdzie
system zapisuje wszystkie osobiste dane użytkownika i informacje o różnych ustawieniach
(np. zawartość folderu Moje dokumenty) w folderze Documents and Settings.
Windows 2000 pozwala na stosowanie trzech rodzajów profilu użytkownika :
• Profil lokalny – jest automatycznie tworzony podczas pierwszego logowania użytkownika
w danym komputerze. Jest umieszczony w podfolderze Documents and Settings i ma taką
samą nazwę, jak nazwa konta użytkownika.
• Profil mobilny – tworzony przez administratora sieci i przechowywany na serwerze
Windows 2000 lub Windows NT. Każda zmiana profilu jest więc zapisywana na serwerze
i dlatego jeżeli użytkownik loguje się w różnych komputerach, otrzymuje zawsze ten sam
profil użytkownika.
• Profil obowiązkowy – jest odmianą profilu mobilnego. Zawiera ustawienia, których
użytkownik nie może zmienić. Stosowany w dużych sieciach w których użytkownicy
mogą tylko wykonywać operacje i uruchamiać programy zatwierdzone przez
administratorów.
Za każdym razem kiedy użytkownik loguje się do systemu, jego profil jest lokalnie
buforowany tzn. że gdy następnym razem użytkownik zaloguje się do tego samego systemu,
poprzez sieć zostaną pobrane jedynie te elementy profilu, które uległy zmianie.
Jedynym kontem użytkownika, które nie ma i nie posiada własnego unikalnego profilu jest
konto Gość. Kiedy ktoś loguje się na takie konto to użytkownikowi takiemu jest przypisany
domyślny profil użytkownika. Nie są zapisywane żadne zmiany dokonywane przez
użytkownika Gość i nie jest tworzona kartoteka dla nowego profilu.
7 Katalog macierzysty
To katalog użytkownika, zawierający jego własne dane. Zatem jest obszarem przydzielonym
każdemu użytkownikowi, w którym może on przechowywać swoje pliki. Użytkownik może
przydzielać uprawnienia do swojego katalogu macierzystego. Aby utworzyć miejsce
katalogów macierzystych, wpisz ich położenie, stosując jeden z następujących parametrów:
Ścieżka lokalna np. : c:\użytkownicy\iwona
Ścieżka sieciowa np. \\nazwa_komputera\użytkownicy\tomek
Podstawienie zmiennych, np. %username% zamiast nazwy użytkownika
8 Mapowanie dysków
To technika która pozwala na przypisanie literek dysków poszczególnym udziałom
sieciowym czyli komputerom, folderom, dyskom. Ma za zadanie traktowanie udziałów
sieciowy tak jakby to były dyski lokalne.
Jak dokonujemy mapowania?
Otwieramy Eksploratora Windows, z menu głównego wybieramy polecenie Narzędzia /
Mapuj dysk sieciowy. Na ekranie pojawi się kreator mapowania dysków
Rozwiń listę Dysk i wybierz literkę, jaką będzie oznaczony wybrany udział sieciowy.
W polu Folder wpisz nazwę udziału w formacie UNC ( czyli \\nazwa_serwera\nazwa udziału)
lub naciśnij przeglądaj, aby wyszukać i zaznaczyć żądany udział.
9 Zabezpieczenia w Windows 2000
Windows 2000 współpracuje z trzema systemami plików : FAT, FAT32, NTFS. Dwa
pierwsze nie zawierają mechanizmów zabezpieczających. Nadają się jedynie dla systemów
operacyjnych, przeznaczonych dla stacji roboczych Windows 3.x, Windows 95, czy
Windows 98. NTFS jest systemem bezpiecznym pozwalającym nadawać pozwolenia
dostępu dla plików i katalogów.
9.1 Pozwolenia dostępu do katalogów
Pozwolenia dostępu służą ograniczeniu dostępu użytkowników do takich katalogów jak
%SystemRoot%, %SystemRoot%\System czy %SystemRoot%\Repair. Sterują również
poziomem dostepu użytkowników do plików i katalogów
Tabela Uprawnienia do katalogów
UPRAWNIENIE
Pełna kontrola
Wyświetlenie zawartości folderu
Odczyt
Zapis
Czytanie i wykonanie
Modyfikacja ( Modify)
OPIS
Użytkownik posiadający to prawo może
zmienić właściciela katalogu oraz usuwania
wszystkich plików i katalogów.
Zezwala użytkownikowi przeglądać
zawartość katalogu
Pozwala na oglądanie zawartości katalogów,
włącznie z pozwoleniami dostępu, nazwami
właścicieli oraz atrybutami.
Pozwala tworzyć pliki i foldery, zmieniać
atrybuty katalogu oraz przeglądać pozwolenia
dostępu do folderu i nazwę właściciela.
Umożliwia przeglądanie wszystkich
katalogów podrzędnych, obejmuje prawo
Przeglądanie zawartości folderu oraz Czytanie
Obejmuje uprawnienia Czytanie i Wykonanie,
Pisanie, a także pozwala na usunięcie
katalogu.
9.2 Pozwolenia dostępu do plików
Umożliwiają sterowanie dostępem do takich plików jak BOOT.INI, NTLDR,
NTDETECT.COM.
Tabela Uprawnienia do plików
UPRAWNIENIE
Pełna kontrola (Full Control)
Czytanie
Pisanie
Czytanie i wykonanie
Modyfikowanie
OPIS
Użytkownik posiadający to prawo może
zmienić właściciela pliku. Obejmuje ono
wszystkie uprawnienia zamieszczone poniżej
Pozwala na odczytanie zawartości plików
Pozwala nadpisywać plik
Umożliwia uruchamianie plików
wykonywalnych, obejmuje wszystkie
uprawnienia związane z pozwoleniem
czytanie
Obejmuje uprawnienia Czytanie i Wykonanie,
Pisanie, a także pozwala na zmianę i
usunięcie pliku.
9.3 Pozwolenia do katalogów współdzielonych
Uprawnienia tej grupy dotyczą jedynie katalogów. Współdzielonych katalogów używamy aby
udostępnić zasoby sieciowe użytkownikom, grupom oraz obiektom specjalnym.
Uprawnienia do katalogów współdzielonych
Czytanie (Read)
Zmiana (Change)
Pełna kontrola (Full Control)
Pozwala użytkownikom wyświetlić nazwę
katalogu, nazwy plików oraz ich atrybuty,
uruchomić pliki wykonywalne, zmieniać
katalogi wewnątrz wspólnego folderu.
Pozwala na tworzenie katalogów, dodawanie
plików do katalogów, dodawanie danych do
plików, zmienianie danych w plikach,
modyfikacje atrybutów plików a także
usuwanie plików i katalogów. Obejmuje
wszystkie przywileje określone pozwoleniem
Czytanie
Zezwala na zmianę pozwoleń dostępu do
plików oraz przejęcie ich własności.
Obejmuje wszystkie uprawnienia określone
pozwoleniem Zmiana
Zagadnienia do przemyślenia
1. Co to są uprawnienia i do czego służą?
2. Do jakiego celu wykorzystujemy prawa dostępu dla plików i katalogów?
3. Co to jest domena, wymień jej cechy charakterystyczne
4. Co jest bezpieczniejsze zgromadzenie komputerów w domenie czy grupie roboczej
5. Różnica między kontem Użytkownik i Użytkownik zaawansowany
6. Po co tworzone są grupy?
7. Co to jest dziedziczenie uprawnień?
8. Jakie zalety ma mapowanie
9. Wymagania stawiane kontom użytkowników
10. Zdefiniuj pojęcie autoryzacji użytkowników
Zadania do samodzielnego wykonania
1. Sprawdź czy twój komputer należy do domeny Windows 2000
2. Załóż konto nowemu użytkownikowi ( np. o nazwie miś, pełnej nazwie Miś Puchatek
oraz haśle miodek) korzystając z narzędzia Narzędzia administracyjne \ Zarządzanie
komputerem \ Narzędzia systemowe \ Użytkownicy i grupy lokalne.
3. Sprawdź do jakiej grupy należy nowo założony użytkownik.
4. Przetestuj skrypt logowania dla nowo założonego użytkownika miś ( skrypt logowania
zamieszczony jest w ćwiczeniu nr.2 poświęconym skryptom.).
5. Należy wylogować się i zalogować jako użytkownik nowo założonego konta. Co
spowodował skrypt logowania.
6. Zaloguj się ponownie jako członek grupy Administratorzy. Usuń nowo założonego
użytkownika Miś.
7. Sprawdź właściwości konta Gość.
8. Utwórz folder z dowolną zawartością. Udostępnij do w sieci. Nadaj uprawnienie tylko do
odczytu. Inni użytkownicy mają sprawdzić czy twój folder jest widoczny w sieci i czy
można coś do niego zapisać.
9. Za pomocą usługi Telnet podłącz się na inny komputer i stworzony przez twojego sąsiada
katalog spróbuj usunąć. Jakie wnioski Ci się nasuwają, do czego służy ta usługa?
(Start / Uruchom wpisz Telnet nazwa komputera lub adres IP komputera zdalnego)
10. Zamapuj katalog udostępniony studentom ..........