T: Prawa i uprawnienia użytkowników.

Zadanie1:
Odszukaj w systemowym Centrum pomocy i obsługi technicznej wyjaśnienia pojęć: prawa użytkowników, przywileje, uprawnienia.

Administratorzy mogą przypisywać kontom grup lub kontom poszczególnych użytkowników specjalne prawa i uprawnienia.
Prawa upoważniają użytkowników do wykonywania określonych działań, takich jak interakcyjne logowanie się do systemu lub tworzenie kopii zapasowych plików i katalogów.
Uprawnienia są skojarzone z obiektem w celu określenia, którzy użytkownicy i w jaki sposób mogą uzyskać do niego dostęp, np. folderów lokalnych, drukarek, udziałów sieciowych, kluczy rejestru, usług. Uprawnienia są udzielane lub odbierane przez właściciela obiektu.

Każdy typ obiektu jest kontrolowany przez menedżera obiektu. Każdy typ obiektu ma swojego menedżera obiektu. Typy obiektów, menedżerowie obiektów i narzędzia służące do zarządzania tymi obiektami to:

• pliki i foldery - uprawnienia: pełna konrola, modyfikacja, odczyt i wykonanie, wyświetlanie zawartości folderu, odczyt, zapis i uprawnienia specjalne,
• udziały - uprawnienia folderów udostępnionych: odczyt, zamiana, pełna kontrola,
• drukarki - uprawnienia drukarek: drukowanie, zarządzanie drukarkami, zarządzanie dokumentami,
• usługi - uprawnienia usług: pełna kontrola, badanie szablonu, badanie stanu, wyliczanie zależności, zmiana szablonu, uruchomienie, zatrzymanie, wstrzymanie i kontynuowanie, usuwanie, uprawnienia odczytu, zmiana uprawnień, przejmowanie na własność,
• klucze rejestru - uprawnienia: pełna kontrola, odczyt, usługi specjalne,
• połączenia usług terminalowych,
• obiekt Zasad grupy - uprawnienia: odczyt, zapis, stosowanie zasad grup, tworzenie obiektów podrzędnych, usuwanie obiektów podrzędnych,
• obiekt usługi WMI - uprawnienia: wykonywanie metod, pełen zapis, zapis częściowy, zapis dostawcy, włącz konto, włączanie zdalne, edytuj zabezpieczenia, uprawnienia specjalne.
  

(Zabezpieczenia NTFS => Zaawansowane => Uprawnienia => Edytuj => F1 => Uprawnienia)

Każdemu tworzonemu kontu użytkownika zostaje przypisany jeden z dwóch predefiniowanych typów: administrator komputera lub konto z ograniczeniami. W zależności od metody tworzenia konta zostaje mu automatycznie lub manualnie przypisany typ. Podczas tworzenia konta użytkownika lokalnego za pomocą apletu Konta użytkowników z Panelu sterowania podejmowana jest decyzja o jego typie. Gdy do tworzenia konta używana jest konsola Zarządzanie komputerem, zostaje ono automatycznie przypisane do grupy Użytkownicy, co oznacza, że posiada ograniczenia.

Typ konta wynika bezpośrednio z jego przynależności do grup użytkowników. Wyróżniamy następujące typy kont użytkowników:

• Konto z ograniczeniami to konto, które należy do grupy Użytkownicy i posiada następujące prawa:
  • Zmiana obrazu skojarzonego z kontem użytkownika.
  • Zmiana własnego hasła.
  • Usuwanie własnego hasła.
• Standardowe konto użytkownika nie należy do grupy kont predefiniowanych, można je utworzyć wyłącznie korzystając z konsoli Zarządzanie komputerem. Konto standardowe musi należeć do grupy Użytkownicy zaawansowani. Przyłączenie konta do tej grupy nie jest automatyczne i musi wykonać je osoba tworząca lub modyfikująca konto. Prawa przypisane do standardowego konta to:
  • Prawa, jakie posiada konto z ograniczeniami.
  • Możliwość zmiany podstawowych ustawień komputera takich jak zmiana ustawień wyświetlania oraz zarządzania energią.
• Administrator komputera należy do grupy Administratorzy i posiada pełne prawa zarządzania komputerem, które obejmują:
  • Prawa konta standardowego.
  • Tworzenie, zmiana i usuwanie kont użytkowników.
  • Zmiany w konfiguracji komputera.
  • Dostęp do wszystkich plików na komputerze.
  • Instalacja sprzętu i oprogramowania.

Grupy użytkowników służą do łączenia użytkowników w celu łatwiejszego zarządzania uprawnieniami. Grupy dzielimy na lokalne i domenowe. Grupy lokalne są tworzone w lokalnej bazie kont SAM komputera, a zakres ich działania obejmuje wyłącznie komputer lokalny. Grupom lokalnym można przypisywać uprawnienia do zasobów lokalnego komputera. Grupy domenowe są tworzone w usłudze Active Directory na kontrolerze domeny. Zarządzaniem grupami domenowymi zajmuje się administrator domeny.

Korzystając z przystawki Użytkownicy i grupy lokalne administrator komputera ma dostęp do wszystkich wbudowanych grup oraz możliwość tworzenia i modyfikacji nowych grup. Lista grup wbudowanych oraz ich uprawnienia przedstawia się następująco:

• Administratorzy - Członkowie tej grupy mają całkowitą kontrolę nad komputerem. Prawa, które nie zostały nadane grupie Administratorzy automatycznie, każdy członek tej grupy może sobie nadać. Administratorzy mogą tworzyć, usuwać oraz modyfikować konta wszystkich użytkowników i grup. Mogą również nadawać uprawnienia do wszystkich zasobów komputera. Inne prawa, jakie posiada ta grupa to:
  • Instalacja systemu operacyjnego oraz jego komponentów uwzględniając sterowniki, urządzenia sprzętowe, usługi systemowe itd.
  • Instalacja pakietów Service Pack oraz łat hot fix.
  • Naprawa systemu operacyjnego.
  • Przejmowanie własności obiektów.
• Operatorzy kopii zapasowych - Użytkownicy należący do tej grupy mogą tworzyć i odtwarzać kopie zapasowe niezależnie od posiadanych uprawnień do plików i folderów. Grupa ta powinna zawierać wyłącznie konta osób odpowiedzialnych za wykonywanie kopii zapasowych.
• Goście - Domyślnie członkowie grupy Goście mają zablokowany dostęp do dzienników zdarzeń aplikacji i systemu. Po za tym członkowie tej grupy mają takie same prawa jak grupa Użytkownicy. Domyślnie członkiem grupy Goście jest tylko konto Gość, której jest wyłączone.
• Grupa usług pomocy - Członkowie tej grupy mogą pomagać w diagnozowaniu problemów z systemem. Grupa ta może być wykorzystana przez Centrum pomocy i obsługi technicznej podczas dostępu do komputera z sieci lub lokalnie.
• Operatorzy konfiguracji sieci - członkowie tej grupy mają ograniczone uprawnienia administracyjne, które pozwalają na konfigurowanie ustawień sieci takich jak adres IP.
• Użytkownicy zaawansowani - Grupa Użytkownicy zaawansowani posiada mniejsze prawa do systemu niż grupa Administratorzy, ale większe niż grupa Użytkownicy. Domyślnie członkowie tej grupy posiadają uprawnienia odczytu i zapisu do większości katalogów systemu operacyjnego. Użytkownicy zaawansowani mogą wykonywać wiele operacji konfigurujących system takich jak zmiana czasu systemowego, ustawień wyświetlania, tworzenie kont użytkowników i udostępnianie zasobów. Osoby należące do grupy Użytkownicy zaawansowani mogą instalować większość oprogramowania, jednakże może dojść do sytuacji, kiedy uprawnienia tej grupy będą niewystarczające.
• Replikator - Członkowie tej grupy mają możliwość replikowania plików.
• Użytkownicy pulpitu zdalnego - Użytkownicy kont należących do tej grupy mogą logować się zdalnie.
• Użytkownicy - Użytkownicy mają ograniczony dostęp do systemu. Domyślnie członkowie grupy Użytkownicy mają uprawnienie odczytu i zapisu tylko do swojego profilu.

Grupa Użytkownicy, podczas gdy komputer pracuje w grupie roboczej lub autonomicznie jest nazywana użytkownicy z ograniczeniami.
Grupa Użytkownicy została zaimplementowana po to, by swoim członkom nadać uprawnienia niezbędne do pracy na komputerze, a jednocześnie zapobiegać modyfikacji konfiguracji i ustawień komputera. Użytkownicy nie mogą instalować urządzeń i oprogramowania.

Uprawnienia systemu plików definiują, jakie operacje dany użytkownik (a raczej element o danym numerze SID) może wykonać na określonym obiekcie. Prawa mogą być przypisane m.in. do następujących obiektów:

• użytkowników/grup danej domeny,
• komputerów i innych „specjalnych” obiektów występujących w Active Directory,
• użytkowników czy grup należących do innej domeny, która jest połączona relacją zaufania z daną domeną,
• lokalnie zdefiniowanych użytkowników/grup na danym komputerze.

Zalecane jest przypisywanie praw do grup użytkowników, a nie do poszczególnych osób. Wynika to stąd, że numer SID jest unikatowy i jeżeli np. Kowalski będzie miał określony numer SID, a pewne prawa będą związane bezpośrednio z Kowalskim, to po usunięciu konta użytkownika nie ma możliwości, by np. drugi raz utworzyć Kowalskiego z tym samym numerem SID.

Istnieją dwie ogólne kategorie uprawnień użytkowników - prawa logowania oraz przywileje. Prawa logowania określają, kto jest upoważniony do zalogowania się na danym komputerze i w jaki sposób może się zalogować. Przywileje regulują dostęp do zasobów systemowych (możliwości wykonywania szeregu działań w systemie operacyjnym - przede wszystkim są to możliwości uruchamiania programów i dokonywania zmian zawartości plików w systemie. Prawa i uprawnienia użytkowników wynikają przede wszystkim z przynależności do grup użytkowników.

Ustawienia dotyczące użytkowników z poziomu zasad zabezpieczeń grup (gpedit.msc):

• Konfiguracja komputera => Szablony administracyjne => System => Przydziały dysku,
• Konfiguracja komputera => Szablony administracyjne => System => Pomoc zdalna,
• Konfiguracja użytkownika => Ustawienia systemu Windows => Skrypty,
• Konfiguracja użytkownika => Ustawienia systemu Windows => Konfiguracja programu IE,
• Konfiguracja użytkownika => Szablony administracyjne.

Ustawienia dotyczące użytkowników z poziomu zasad zabezpieczeń lokalnych (Start => Programy => Narzędzia administracyjne => Zasady zabezpieczeń lokalnych):

• Ustawienia zabezpieczeń => Zasady konta,
• Ustawienia zabezpieczeń => Zasady lokalne.

Ustawienia praw dostępu użytkowników do zasobów dyskowych:

• Mój komputer => Narzędzia => Opcje folderów => Widok => odznaczyć Użyj prostego udostępniania plików,
• wywołać Właściwości danego folderu => Zabezpieczenia => ustalić zasady praw dostępu do zasobu.

Z menu Start wybieramy Uruchom i wpisujemy polecenie %systemdrive%\documents and settings Teraz prawym przyciskiem myszy klikamy ikonę osobistego folderu użytkownika (folder ten ma nazwę taką, jak konto danego użytkownika) i z menu kontekstowego wybieramy Właściwości. Przechodzimy do zakładki Udostępnianie i zaznaczamy pole wyboru Uczyń ten folder folderem prywatnym. Aby potwierdzić zmiany, należy wybrać OK.

Użytkownik, który utworzył plik/folder, jest jego właścicielem i może przydzielać do niego uprawnienia innym użytkownikom. Prawa do przydziału uprawnień innym użytkownikom mają także użytkownicy z grupy Administratorzy. Aby dodać nowe uprawnienie, należy kliknąć przycisk Dodaj. Pojawi się okno dialogowe, w którym wprowadzamy użytkownika lub grupę użytkowników. Po kliknięciu OK wskazany użytkownik pojawi się na liście wraz z domyślnymi uprawnieniami. Teraz można je zmienić, zaznaczając odpowiednie pola w kolumnach Zezwalaj i Odmów.

Prawa do plików nie występują w systemie FAT, a pliki kopiowane z partycji NTFS do FAT tracą ustawione prawa własności i uprawnienia.

Zadanie2:
Zapoznaj się z zawartością następujących witryn internetowych http://banita.pl/konf/smbuprwinxp.html

Sposób logowania do komputera z systemem Windows XP różni się w zależności od tego, czy komputer ten należy do grupy roboczej czy domeny. W przypadku, gdy komputer należy do domeny, użytkownik, aby się zalogować, musi nacisnąć kombinację klawiszy CTRL+ALT+DEL i wpisać nazwę użytkownika i hasło. Sposób ten jest bardziej bezpieczny, niż sposób stosowany podczas pracy w grupie roboczej lub na komputerach autonomicznych, ponieważ osoba logująca się domyślnie widzi tylko nazwę ostatnio zalogowanego użytkownika. Gdy komputer należy do grupy roboczej, domyślnie jest włączony Ekran powitalny, który służy do logowania. Ekran powitalny wyświetla wszystkie działające konta użytkowników oraz skojarzone z nimi obrazy. Powoduje to przekazywanie każdej osobie, która uruchomi komputer informacji o utworzonych kontach lokalnych, co obniża poziom bezpieczeństwa komputera. Można zrezygnować z wyświetlania Ekranu powitalnego na rzecz typowego okna logowania. Aby to zrobić, administrator komputera musi:

• W Panelu sterowania uruchom aplet Konta użytkowników.
• Kliknij Zmień sposób logowania lub wylogowania użytkowników.
• W kolejnym oknie odznacz pole wyboru Użyj ekranu powitalnego.
• Kliknij Zastosuj opcje.

Po tej zmianie podczas każdego logowania użytkownik będzie musiał naciskać kombinację klawiszy CTRL+ALT+DEL wpisywać nazwę użytkownika i hasło. Zmienia się również okno pojawiające się po naciśnięciu przycisku Wyloguj z menu Start, ma to związek z wyłączeniem mechanizmu szybkiego przełączania użytkowników, który działa wyłącznie, gdy włączony jest ekran powitalny. Gdy użytkownik jest zalogowany, a komputer ma wyłączony ekran powitalny, naciśnięcie klawiszy CTRL+ALT+DEL powoduje wywołanie okna Zabezpieczenia systemu Windows - dokładnie tak jak podczas pracy w domenie. Podczas gdy komputer ma włączony ekran powitalny, naciśnięcie tej kombinacji klawiszy wywołuje program Menedżer zadań Windows.

Szybkie przełączanie użytkowników
Mechanizm ten jest dostępny wyłącznie, gdy komputer pracuje w grupie roboczej lub jest autonomiczny oraz musi mieć włączone wyświetlanie ekranu powitalnego. Szybkie przełączanie użytkowników pozwala użytkownikom na przełączanie między kontami użytkowników na tym samym komputerze bez konieczności zamykania programów i wylogowania. Na przykład, jeżeli na komputerze pracuje użytkownik z ograniczeniami, ma uruchomione programy, natomiast administrator komputera musi założyć konto użytkownika, nie ma potrzeby wylogowania aktualnie pracującego użytkownika. Zamiast tego można użyć opcji szybkiego przełączania użytkowników i przełączyć się na konto administratora lub inne konto z uprawnieniami administracyjnymi, wykonać niezbędne czynności i przełączyć się na konto pierwotnie zalogowanego użytkownika. Podczas przełączania użytkowników wszystkie uruchomione programy nadal pracują, należy pamiętać, że programy chwilowo nie są dostępne, ale zajmują zasoby komputera. Gdy szybkie przełączanie użytkowników jest włączone, w oknie Wylogowanie z systemu Windows dostępne są trzy opcje:

• Przełącz użytkownika,
• Wyloguj oraz
• Anuluj.

Aby wyłączyć możliwość szybkiego przełączania użytkowników:

• Otwórz aplet Konta użytkowników w Panelu sterowania.
• Wybierz Zmień sposób logowania lub wylogowania użytkowników.
• Odznacz pole wyboru Użyj szybkiego przełączania użytkowników.

W systemie Windows możliwe jest uruchamianie programów z innymi poświadczeniami niż zalogowany w danym czasie użytkownik. W tym celu klikamy lewym przyciskiem myszy na ikonie wybranego programu i z menu kontekstowego wybieramy Uruchom jako… W wyświetlonym oknie podajemy parametry konta, z którego uprawnieniami chcemy uruchomić program. Podobny efekt uzyskamy za pomocą polecenia runas.

Zadanie3:
Odszukaj w systemowej Pomocy i obsłudze technicznej informacje na temat polecenia runas.