когда допустимо дублирование локальных учетных записей в сети на платформе windows xp professional
Управление сохраненными именами пользователей и паролями на компьютере под управлением Windows XP, который не входит в домен
В ЭТОЙ ЗАДАЧЕ
Аннотация
В этой статье описывается управление сохраненными именами пользователей и паролями на компьютере, который не входит в состав домена.
При входе на компьютер под управлением Windows XP можно указать имя пользователя и пароль, которые станут контекстом безопасности по умолчанию для подключения к Интернету или к другим компьютерам в сети. Однако эти учетные данные могут открывать доступ не ко всем нужным ресурсам. Функция сохранения имен пользователей и паролей позволяет сохранять дополнительные имена и пароли как часть профиля.
Функция «Сохранение имен пользователей и паролей» предоставляет безопасное хранилище для паролей. Благодаря ей имена пользователей и пароли для доступа к разнообразным сетевым ресурсам и приложениям (например, к электронной почте) можно ввести один раз, а затем Windows автоматически, без вмешательства пользователя, будет подставлять учетные данные при последующих посещениях этих ресурсов.
При первом входе на сервер или посещении веб-узла вам предлагается указать имя пользователя и пароль. При вводе имени пользователя и пароля для доступа к определенному ресурсу и установке флажка Сохранить пароль учетные данные сохраняются в учетной записи пользователя. При последующем подключении к этому ресурсу Windows автоматически выполняет проверку подлинности учетной записи, используя сохраненные учетные данные.
В случае установки флажка в поле Сохранить пароль в диалоговом окне ввода имени пользователя и пароля (оно появляется при подключении к ресурсу) учетные данные сохраняются в наиболее общей форме. Например, при доступе к определенному серверу в домене учетные данные могут быть сохранены как *. домен.com (где домен — это имя домена). Сохранение других учетных данных для другого сервера в этом домене не приводит к их перезаписи. Новые учетные данные сохраняются с использованием более подробной информации.
При доступе к ресурсу пакет проверки подлинности выполняет в хранилище функции «Сохранение имен пользователей и паролей» поиск наиболее подробных учетных данных, соответствующих ресурсу. Если такие данные найдены, они будут использованы пакетом проверки подлинности без участия пользователя. Если же данные не найдены, программе, которая пыталась получить доступ к ресурсу, будет выдана ошибка проверки подлинности. В этом случае пользователю будет предложено ввести имя и пароль.
Сохраненными учетными данными можно управлять вручную. Для этого необходимо щелкнуть Управление сетевыми паролями в учетной записи пользователя, которую вы хотите изменить. В диалоговом окне Сохранение имен пользователей и паролей можно добавить новую запись, удалить существующую запись или просмотреть свойства существующей записи и отредактировать ее. Для этого нажмите кнопки Добавить, Изменить или Свойства.
Для управления сохраненными именами пользователей и паролями выполните следующие действия.
Войдите на компьютер как пользователь, учетные данные которого необходимо изменить.
Нажмите кнопку Пуск и выберите Панель управления.
В разделе Выберите категорию щелкните Учетные записи пользователей, чтобы открыть диалоговое окно Учетные записи пользователей.
Откройте диалоговое окно Сохранение имен пользователей и паролей. Для этого сделайте следующее.
Если вы входите в систему с ограниченными правами:
В разделе Родственные задачи щелкните Управление сетевыми паролями.
Если вы входите в систему с правами администратора:
В разделе или выберите изменяемую учетную запись щелкните свою учетную запись, чтобы открыть диалоговое окно Что вы хотите изменить в своей учетной записи?.
В разделе Родственные задачи щелкните Управление сетевыми паролями.
Будет показан список сохраненных имен пользователей и паролей, аналогичный приведенному ниже:
Чтобы добавить учетные данные вручную:
В диалоговом окне Сохранение имен пользователей и паролей щелкните Добавить, чтобы открыть диалоговое окно Свойства личных данных для входа.
В поле Сервер введите имя необходимого сервера или общего ресурса. В качестве подстановочного символа используйте звездочку. Ниже приведены примеры правильных имен серверов:
*.Microsoft.com
\\ Сервер\ Общий ресурс
В поле Имя пользователя введите имя учетной записи пользователя с правами доступа к ресурсу. Вводите имя пользователя в формате Сервер\ Пользователь или Пользователь@ домен.com. Следующие примеры иллюстрируют правильные имена пользователей (в данном примере Microsoft — это имя домена, а Пользователь — имя пользователя):
Microsoft\ Пользователь
Пользователь@microsoft.com
В поле Пароль введите пароль пользователя, указанный на шаге 3, и нажмите кнопку ОК.
В диалоговом окне Сохранение имен пользователей и паролей нажмите кнопку Закрыть.
Чтобы удалить учетные данные
В диалоговом окне Сохранение имен пользователей и паролей выберите необходимые учетные данные и щелкните Удалить. На экране появится следующее сообщение:
Выбранные сведения о входе в систему будут удалены.
В диалоговом окне Сохранение имен пользователей и паролей нажмите кнопку Закрыть.
Чтобы изменить учетные данные
В диалоговом окне Сохранение имен пользователей и паролей выберите необходимые учетные данные и щелкните Свойства, чтобы открыть диалоговое окно Свойства личных данных для входа.
Измените необходимые данные и нажмите кнопку ОК.
Если вы хотите изменить пароль к домену для учетной записи, указанной в поле Имя пользователя, нажмите Изменить. В полях Старый пароль и Новый пароль введите соответствующие данные, затем введите новый пароль еще раз в поле Подтверждение и нажмите кнопку ОК. Пароль к домену будет изменен.
В диалоговом окне Сохранение имен пользователей и паролей нажмите кнопку Закрыть.
При таком способе сохранения учетных данных пользователя для удаленных ресурсов любой, кто получает доступ к этой учетной записи, также может получить доступ к таким ресурсам, защищенным паролем. Поэтому рекомендуется использовать надежный пароль для учетной записи Windows XP.
Для получения дополнительных сведений о создании надежных паролей нажмите кнопку Пуск и выберите команду Справка и поддержка. В поле Поиск введите «создание надежных паролей»и нажмите кнопку Начать поиск.
Ссылки
Дополнительные сведения об управлении сохраненными именами пользователей и паролями см. в следующих статьях базы знаний Майкрософт:
306992 Управление сохраненными именами пользователей и паролями на компьютере в домене
281660 Описание работы функции «Сохранение имен пользователей и паролей»
Администрирование учетными записями в Windows XP
Оснастка “Локальные пользователи и группы” предназначена для создания новых пользователей и групп, управления учетными записями, задания и сброса паролей пользователей
В одной из своих статей я уже писал о том, что добавлять и изменять свойства учетных записей пользователей можно через “Панель управления” – “Учетные записи пользователей”. Однако данный способ больше подходит для простых пользователей. А вот системному администратору будет удобнее управлять учетными записями через консоль “Управление компьютером” – “Локальные пользователи и группы”.
Чтобы попасть в консоль “Управление компьютером” щелкните правой клавишей мыши по значку “Мой компьютер” на рабочем столе и выберите пункт “Управление”. Далее раскройте раздел “Служебные программы” и выберите пункт “Локальные пользователи и группы”.
Оснастка “Локальные пользователи и группы” предназначена для создания новых пользователей и групп, управления учетными записями, задания и сброса паролей пользователей.
Локальный пользователь – это учетная запись, которой могут быть предоставлены определенные разрешения и права на вашем компьютере. Учетная запись всегда имеет свое имя и пароль (пароль может быть пустым). Вы также можете услышать другое название учетной записи пользователя – аккаунт, а вместо “имя пользователя” часто говорят логин.
Узел Пользователи оснастки “Локальные пользователи и группы” отображает список учетных записей пользователей: встроенные учетные записи (например, “Администратор” и “Гость”), а также созданные вами учетные записи реальных пользователей ПК.
Встроенные учетные записи пользователей создаются автоматически при установке Windows и не могут быть удалены. При создании нового пользователя вы должны будете присвоить ему имя и пароль (желательно), а также определить, в какую группу будет входить новый пользователь. Каждый пользователь может входить в одну или несколько групп.
В узле Группы отображаются как встроенные группы, так и созданные администратором (т.е. вами). Встроенные группы создаются автоматически при установке Windows.
Принадлежность к группе предоставляет пользователю определенные права на выполнение различных действий на компьютере. Пользователи группы Администраторы обладают неограниченными правами. Рекомендуется использовать административный доступ только для выполнения следующих действий:
Вы, как системный администратор, должны иметь учетную запись, входящую в группу “Администраторы”. Все остальные пользователи компьютера должны иметь учетные записи, входящие либо в группу “Пользователи”, либо в группу “Опытные пользователи”.
Добавление пользователей в группу Пользователи является наиболее безопасным, поскольку разрешения, предоставленные этой группе, не позволяют пользователям изменять параметры операционной системы или данные других пользователей, установки некоторого ПО, но также не допускают выполнение устаревших приложений. Я сам неоднократно сталкивался с ситуацией, когда старые DOSовские программы не работали под учетной записью участника группы “Пользователи”.
Группа Опытные пользователи поддерживается, в основном, для совместимости с предыдущими версиями Windows, для выполнения не сертифицированных и устаревших приложений. “Опытные пользователи” имеют больше разрешений, чем члены группы “Пользователи”, и меньше, чем “Администраторы”. Разрешения по умолчанию, предоставленные этой группе, позволяют членам группы изменять некоторые параметры компьютера. Если необходима поддержка не сертифицированных под Windows приложений, пользователи должны быть членами группы “Опытные пользователи”.
Учетная запись Гость предоставляет доступ на компьютер любому пользователю, не имеющему учетной записи. Для повышения безопасности компьютера рекомендуют отключать учетную запись “Гость” и настраивать доступ к общим ресурсам ПК существующим пользователям.
Теперь давайте посмотрим, как происходит создание учетной записи через консоль “Управление компьютером” – “Локальные пользователи и группы”.
Создание учетной записи
При установке оригинальной версии Windows XP (имеется в виду не сборка от Zver или т.п.) предлагается создать учетные записи пользователей компьютера. Необходимо создать как минимум одну учетную запись, под которой вы сможете войти в систему при первом запуске. Но, как правило, в реальной жизни требуется создавать несколько учетных записей для каждого пользователя, работающего за компьютером, либо для группы пользователей, объединенных общей задачей и разрешениями доступа.
Для добавления новой учетной записи раскройте оснастку “Локальные пользователи и группы” – выделите папку “Пользователи” – затем в правом окне щелкните на пустом месте правой кнопкой мыши – выберите пункт “Новый пользователь”:
В появившемся окне задайте имя пользователя и описание. Также задайте для пользователя пароль (как придумать надежный пароль для учетной записи можете прочитать здесь).
Затем настройте дополнительные параметры – поставьте или снимите флажки напротив нужных пунктов:
Можно снять флажок напротив пункта “Потребовать смену пароля при следующем входе в систему” и поставить флажки напротив “Запретить смену пароля пользователем” и “Срок действия пароля не ограничен”. В этом случае пользователь не сможет сам сменить пароль своей учетной записи. Это можете делать только вы, работая под администраторской учетной записью.
После нажатия кнопки “Создать” в списке пользователей появится новая учетная запись. Щелкните по ней дважды мышкой и в открывшемся окне перейдите на вкладку “Членство в группах”. Здесь нажмите кнопку “Добавить” – “Дополнительно” – “Поиск”. Затем выберите группу, в которую должен входить пользователь (рекомендуется группа “Пользователи” или “Опытные пользователи”) и нажмите “ОК” во всех отобразившихся окнах. После этого здесь же во вкладке “Членство в группах” удалите из списка все группы, кроме той, которую только что выбрали. Нажмите “ОК”:
Таким образом, вы создали новую учетную запись и включили ее в группу.
Теперь сообщите пользователю (в нашем случае Иванову) имя его учетной записи (iva) и пароль, чтобы он смог войти в систему. На всех компьютерах сети, к ресурсам которых Иванову необходим доступ, нужно будет создать такую же учетную запись с аналогичными параметрами. Если же на каком-либо компьютере сети не будет учетной записи для Иванова и при этом будет отключена учетная запись “Гость”, то Иванов не сможет просмотреть общие сетевые ресурсы данного компьютера.
Если учетная запись пользователя больше не нужна, ее можно удалить. Но во избежание различного рода проблем учетные записи пользователей перед удалением рекомендуется сначала отключить. Для этого щелкните правой кнопкой мыши по имени учетной записи – выберите “Свойства” – в окне свойств учетной записи установите флажок напротив “Отключить учетную запись” и нажмите “ОК”. Убедившись, что это не вызвало неполадок (понаблюдайте за сетью несколько дней), можно безопасно удалить учетную запись: щелкните правой кнопкой мыши по имени учетной записи и в контекстном меню выберите “Удалить”. Удаленную учетную запись пользователя и все данные, связанные с ней, восстановить невозможно.
Управление доступом
Итак, допустим, за одним компьютером работает несколько пользователей, и вы создали для каждого свою учетную запись по описанным выше правилам. Но вдруг появилась необходимость закрыть доступ к некоторым папкам или файлам на компьютере для тех или иных пользователей. Данная задача решается путем назначения определенных прав доступа к ресурсам компьютера.
Управление доступом заключается в предоставлении пользователям, группам и компьютерам определенных прав на доступ к объектам (файлам, папкам, программам и т.д.) по сети и на локальной машине.
Управление доступом для пользователей локального компьютера осуществляется путем изменения параметров на вкладке “Безопасность” в окне “Свойства”:
Настройка безопасности для папки «Мои документы»
Вкладка “Доступ” того же окна используется для управления сетевым доступом к общим объектам (файлам, папкам и принтерам) на компьютерах сети.
Разрешения определяют тип доступа пользователя или группы к объекту или его свойствам. Разрешения применяются к файлам, папкам, принтерам, объектам реестра. Чтобы установить или изменить разрешения для объекта, щелкните по его названию правой кнопкой мыши и в контекстном меню выберите команду “Свойства”. На вкладке “Безопасность” можно изменить разрешения для файла или папки, устанавливая или снимая флажки напротив нужных пунктов в списке разрешений.
Для каждого пользователя можно задать свои разрешения. Сначала нужно выделить пользователя в списке, а затем указать разрешения для этого пользователя. Например, одному пользователю можно разрешить только читать содержимое некоторого файла (разрешение “Чтение”), другому – вносить изменения в файл (разрешение “Изменить”), а всем остальным пользователям вообще запретить доступ к этому файлу (снять все флажки под пунктом “Разрешить”, либо поставить все флажки “Запретить”).
Чтобы просмотреть все действующие разрешения для файлов и папок локального компьютера, выберите “Свойства” – “Безопасность” – “Дополнительно” – “Действующие разрешения” – “Выбрать” – “Дополнительно” – “Поиск”, выделите имя нужного пользователя и нажмите “ОК”. Пункты, отмеченные флажками, и есть разрешения для данного пользователя:
В этом же окне вы можете ознакомиться с вкладками “Разрешения”, “Аудит”, “Владелец”. Я не буду останавливаться на них подробно в рамках данной статьи, т.к. она и так получается слишком объемной.
Если в списке пользователей на вкладке “Безопасность” нет пользователя, которому необходимо назначить разрешения, последовательно нажмите следующие кнопки на вкладке “Безопасность”: “Добавить” – “Дополнительно” – “Поиск”. Из списка выберите имя учетной записи пользователя, которому необходимо назначить разрешения и нажмите “ОК”. Вместо отдельного пользователя можно выбрать группу – разрешения будут применяться ко всем пользователям, входящим в эту группу. Хорошо запомните эти кнопки. Такую процедуру вы будете проделывать во всех случаях, когда необходимо добавить нового пользователя в список разрешений, аудита, владения, сетевого доступа и т.п.
Управление правами пользователей в Windows XP
Цель работы:Ознакомиться с процедурами создания ученых записей пользователей и управления их правами.
Теоретическая часть
В операционной системе Windows XP на одном и том же компьютере могут работать разные пользователи, каждый под своим именем. При входе в ОС запрашиваются имя и пароль, на основе которых происходит аутентификация пользователя.
Данные о пользователе находятся в специальной базе данных на локальных компьютерах и на сервере. На каждого пользователя заводится отдельная учетная карточка, которая носит название учетная запись.
Windows XP использует три типа учетных записей пользователей:
Пользователи и группы важны для безопасности Windows XP поскольку позволяют ограничить возможность пользователей и групп выполнять определенные действия путем назначения им прав и разрешений. Право дает возможность пользователю выполнять на компьютере определенные действия, такие как архивирование файлов и папок или завершение работы компьютера. Разрешение представляет собой правило, связанное с объектом (например, файлом, папкой или принтером), которое определяет, каким пользователям и какого типа доступ к объекту разрешен.
Операционная система содержит несколько встроенных учетных записей пользователей и групп, которые не могут быть удалены:
Учетная запись пользователя с именем «Администратор» используется при первой установке рабочей станции или рядового сервера. Эта учетная запись позволяет выполнять необходимые действия до того, как пользователь создаст свою собственную учетную запись. Администратор является членом группы администраторов на рабочей станции или рядовом сервере.
Учетную запись «Администратор» нельзя удалить, отключить или вывести из группы администраторов, что исключает возможность случайной потери доступа к компьютеру после уничтожения всех учетных записей администраторов. Это свойство отличает пользователя «Администратор» от остальных членов локальной группы «Администраторы».
Учетная запись гостя предназначена для тех, кто не имеет реальной учетной записи на компьютере. Учетную запись «Гость» нельзя удалить, но можно переименовать или отключить. Учетной записи пользователя «Гость», как и любой другой учетной записи, можно предоставлять права и разрешения на доступ к объектам. Учетная запись «Гость» по умолчанию входит во встроенную группу «Гости», что позволяет пользователю войти в систему с рабочей станции или рядового сервера. Дополнительные права, как любые разрешения, могут быть присвоены группе «Гости» членом группы администраторов.
К стандартным группам Windows XP относятся следующие группы:
Пользователи, входящие в группу «Администраторы», имеют полный доступ на управление компьютером. Это единственная встроенная группа, которой автоматически предоставляются все встроенные права и возможности в системе. По умолчанию туда входит учетная запись «Администратор».
Члены группы «Операторы архива» могут архивировать и восстанавливать файлы на компьютере, независимо от всех разрешений, которыми защищены эти файлы. Также они могут входить на компьютер и выключать его, но не могут изменять параметры безопасности.
Члены группы опытных пользователей могут создавать учетные записи пользователей, но могут изменять и удалять только созданные ими учетные записи. Они могут создавать локальные группы и удалять пользователей из локальных групп, которые они создали. Они также могут удалять пользователей из групп «Опытные пользователи», «Пользователи» и «Гости».
Они не могут изменять группы «Администраторы» и «Операторы архива», не могут являться владельцами файлов, не могут выполнять архивирование и восстановление каталогов, не могут загружать и выгружать драйверы устройств или управлять журналами безопасности и аудита.
Группа «Гости» позволяет случайным или разовым пользователям войти в систему со встроенной учетной записью гостя рабочей станции и получить ограниченные возможности. Члены группы «Гости» могут только прекратить работу компьютера.
Управление учетными записями пользователей и группами осуществляется пользователями, входящими в группу Администраторы.
Подключение к удаленному рабочему столу «Локализованная политика этой системы не позволяет в интерактивном режиме в сети».
Проблемы
Если вы не администратор и пытаетесь использовать средство подключения к удаленному рабочему столу, может появиться следующее сообщение об ошибке:
Локализованная политика этой системы не позволяет в интерактивном режиме использовать для работы с данными веб-сайт.
Причина
Эта проблема возникает, потому что учетная запись пользователя не входит в локализованную группу «Пользователи удаленного рабочего стола».
Решение
Чтобы решить эту проблему за вас, перейдите в раздел»Исправление для меня». Чтобы устранить проблему самостоятельно, перейдите к разделу «Самостоятельное решение проблемы».
Помощь в решении проблемы
Чтобы устранить эту проблему автоматически, нажмите кнопку или ссылку «Исправить». Нажмите кнопку «Выполнить» в диалоговом окне «Загрузка файла» и следуйте последователям мастера fix it.
Введите учетную запись пользователя в поле «Пользователи» во время установки решения Fix it.
Чтобы добавить учетную запись пользователя домена в локализованную группу «Пользователи удаленного рабочего стола», используйте следующий формат:
Domain\Username
Чтобы добавить несколько учетных записей пользователей в локализованную группу «Пользователи удаленного рабочего стола», используйте точки с заточкими (;) в качестве в качестве вехи. Например:
Username1; Имя пользователя2
Возможно, мастер доступен только на английском языке. При этом автоматическое исправление подходит для любых языковых версий Windows.
Если вы не используете компьютер, на котором возникла проблема, решение Fix It можно сохранить на устройстве флэш-памяти или компакт-диске, а затем запустить на нужном компьютере.
Самостоятельное решение проблемы
Чтобы устранить эту проблему, добавьте пользователей, разрешенных в список «Пользователи удаленного рабочего стола»:
Нажмите кнопку Пуск, выберите пункт Настройки, а затем — Панель управления.
Дважды щелкните «Система», а затем на вкладке «Удаленный» выберите «Выбор удаленных пользователей».
Щелкните «Добавить тип» в имени учетной записи пользователя и нажмите кнопку «ОК».
Если вы добавляете несколько имен пользователей, разделять их имена можно с помощью точки с за semicolon.
Примечание. Чтобы добавить пользователей в группу удаленных рабочих стола, необходимо войти в систему с помощью учетной записи администратора.
Кроме того, убедитесь, что у группы «Пользователи удаленного рабочего стола» есть достаточные разрешения для входа в службы терминалов. Для этого выполните следующие действия:
Нажмите кнопку«Начните», выберите «Выполнить»,введите secpol.msc и нажмите кнопку «ОК».
Раз развернуть локальные политикии щелкнуть «Назначение прав пользователя».
В правой области дважды щелкните «Разрешить эмблему через службы терминалов». Убедитесь, что в списке указана группа «Пользователи удаленного рабочего стола».
В правой области дважды щелкните «Запретить логотип через службы терминалов». Убедитесь, что группы «Пользователи удаленного рабочего стола» нет в списке, и нажмите кнопку «ОК».
Закроем оснастку «Локальные параметры безопасности».
Проблема устранена?
Проверьте, устранена ли проблема. Если устранена, пропустите дальнейшие инструкции, приведенные в этом разделе. Если нет, обратитесь в службу технической поддержки.
Мы ценим ваши замечания. Чтобы оставить отзыв или сообщить о проблемах с этим решением, оставьте комментарий в блоге«Fix it for me»или отправьте нам сообщение
электронной почты.