| CATEGORII DOCUMENTE |
SISTEMUL DE SECURITATE SI ADMINISTRAREA
Implementarea sistemului de securitate in Windows 2000
Acest capitol reprezinta o introducere in sistemele de securitate din Microsoft Windows 2000. Va vom prezenta notiunile de baza referitoare la securitate, cum ar fi permisiunile, drepturile, conturile, conturile de utilizator si grupurile. Dupa aceea va vom prezenta componenta Local User And Groups, instrumentul care le permite administratorilor de sistem sa creeze si sa modifice conturile de utilizator.
O parte din continutul acestui capitol prezinta interes special pentru administratorii de sistem. De exemplu, pentru a configura conturi si a modifica drepturile asociate conturilor respective trebuie sa fiti intr-o sesiune printr-un cont de administrator. Insa, chiar daca nu sunteti administrator, cunoasterea la un nivel general al problematicii sistemelor de securitate va va imbunatatii capacitatea de a folosi eficient sistemul de operare Windows 2000. este important mai ales sa cunoasteti notiunile de: conturi de utilizator, grupuri, drepturi si permisiuni.
Modul de abordare a problemei securitatii in Windows 2000 poate fi definita ca discretionara. Asta inseamna ca fiecare resursa de sistem care poate fi securizata, de exemplu fiecare imprimanta sau server de fisiere, are un proprietar care are putere de decizie asupra celor care au acces la resursa respectiva. De regula, o resursa se afla in proprietatea utilizatorului care a creat-o. De exemplu, in cazul in care creati un fisier pe disc, in conditii normale sunteti proprietarul fisierului respectiv. (Administratorii de sistem pot insa sa preia dreptul de proprietate asupra resurselor pe care nu le creeaza ei insasi).
Pentru a exercita un control discretionar total asupra fiecarui fisier trebuie sa salvati fisierele respective pe un volum NTFS. Windows 2000 recunoaste sistemele de fisiere FAT si FAT32 folosite de Windows 98, de Windows 95 si de MS-DOS pentru a asigura compatibilitatea, dar sistemele FAT si FAT32 au fost concepute fara asigurarea posibilitatii securizarii optime. Pentru a beneficia din plin de facilitatile sistemului de securitate din Windows 2000 trebuie sa folositi NTFS.
Sistemul de securitate folosit de Windows 2000 este conceput pentru a indeplini urmatoarele cerinte:
Una din metodele folosite in Windows 2000 pentru indeplinirea acestor cerinte este alocarea fiecarui utilizator a unui element de identificare pentru securitate (SID - security ID). Elementul dumneavoastra de identificare pentru securitate, un numar gigantic al carui caracter unic este garantat, va va urmari peste tot in Windows 2000. cand deschideti sesiunea, sistemul de operare valideaza mai intai numele dumneavoastra de utilizator si parola. Apoi, creeaza un jeton pentru accesul in sistemul de securitate. Puteti considera acest jeton de acces ca fiind echivalentul electronic al unei insigne de identificare. El contine numele dumneavoastra si elementul SID, precum si informatii despre grupurile de utilizatori din care face parte contul dumneavoastra. (despre grupurile de utilizatori vom discuta mai tarziu in acest capitol). Orice program pe care il veti deschide va primi o copie a jetonului de acces pentru accesul in sistemul de securitate.
De fiecare data cand veti incerca sa treceti printr-o "usa" controlata de Windows 2000 (de exemplu, cand va veti conecta la o imprimanta partajata), sau oricand un program va incerca sa faca acest lucru in numele dumneavoastra, sistemul de operare va examina jetonul de acces in sistemul de securitate si va decide daca va va permite trecerea. Daca va este permis accesul in sistemul de securitate nu veti observa nimic. Daca accesul va va fi refuzat, veti vede meniul Unavailable sau un control corespunzator intr-o caseta de dialog sau, in unele cazuri, veti auzi un semnal sonor si veti citi un mesaj neplacut.
Pentru a stabili cui ii va permite accesul si pe cine va bloca, Windows 2000 consulta lista de control pentru acces (ACL) a resursei. Aceasta este o simpla lista in care sunt incluse elementele SID care au diferite privilegii de acces. Fiecare resursa supusa controlului pentru acces are o lista ACL.
In Windows 2000 se deosebesc doua tipuri de privilegii de acces: permisiunile si drepturile. Permisiunea este posibilitatea de a obtine accesul la un anumit obiect intr-un mod definit, de exemplu, dreptul de a scrie intr-un fisier NTFS sau de a modifica o coada de asteptare a unei imprimante. Dreptul este posibilitatea de a efectua o anumita actiune la nivelul intregului sistem, cum ar fi reparametruarea ceasului.******
Proprietarul unei resurse (sau un administrator) poate aloca permisiuni pentru o resursa prin caseta de dialog cu proprietatile acesteia. De exemplu, daca sunteti proprietarul unei imprimante sau aveti privilegii administrative, puteti sa interziceti cuiva sa foloseasca o anumita imprimanta prin operarea de modificari in caseta de dialog cu proprietatile imprimantei respective. Administratorii definesc drepturile prin componenta Local Security Policy din Adminsitrative Tools. De exemplu, daca aveti un cont administrativ puteti sa folositi Local Security Policy ca sa acordati cuiva dreptul de a incarca un driver de dispozitiv.**********
Orice calculator care foloseste sistemul de operare Windows 2000 are un cont special, denumit Administrator. Acest cont are drepturi depline asupra intregului calculator. El poate crea alte conturi de utilizatori si este in general responsabil de administrarea calculatorului. Multe facilitati si drepturi din sistemul de operare nu sunt accesibile altor conturi cu exceptia contului Administrator (si a altui cont care face parte din grupul administratorilor). De exemplu, majoritatea functiilor din consola Computer Management, instrumentul folosit pentru gestionarea conturilor de utilizator si altor elemente, sunt dezactivate cand utilizatorul nu are calitatea de Administrator si nici nu este membru al grupului administratorilor. (SUGESTIE - Pentru ca utilizarea contului Administrator sa fie facuta si mai dificila pentru intrusi, trebuie sa il redenumiti, astfel incat sa ii obligati sa ghiceasca numele de utilizator, precum si parola. Pentru informatii despre redenumirea conturilor de utilizator vezi "Redenumirea, stergerea si dezactivarea conturilor".*****)
Contul Guest
Majoritatea sistemelor de calcul cu Windows 2000 contin si un cont cu denumirea Guest. Acest cont se afla la capatul opus al spectrului de privilegii. El are rolul de a permite unui utilizator temporar sau care foloseste sistemul ocazional, cum ar fi un vizitator, sa poata deschide o sesiune in sistem fara sa introduca o parola si sa foloseasca sistemul intr-un mod limitat. Optiunile selectate de administratorul de sistem determina gradul de acces acordat contului Guest. (In configuratia prestabilita, contul Guest este dezactivat dupa instalarea sistemului de operare Windows 2000 pornind la zero; nimeni nu poate folosi un cont care a fost dezactivat.)
Mare
atentie! Activitatea contului Guest nu numai ca permite oricui sa
deschida o sesiune in calculatorul dumneavoastra folosind numele
de utilizator Guest (fara nici o parola), dar permite
totodata oricui din reteaua dumneavoastra sa
vada dosarele partajate daca le partajati folosind
parametrii de configurare prestabiliti. (Ceilalti utilizatori ar
putea chiar sa foloseasca un sistem nesecurizat, cum ar fi
Windows 98, care nu solicita introducerea la deschiderea sesiunii a unui nume si a unei
parole). Dosarele partajate intr-un volum FAT32 vor fi astfel completat
deschise accesului, iar utilizatorii anonimi vor putea vedea, modifica,
crea si sterge fisiere. Daca dosarele pe care le
partajati sunt pe un volum NTFS si folositi permisiunile de
acces prestabilite din NTFS, nu vor putea obtine acceaul la
dosarele partajate, dar vor putea sa vada denumirea lor.
Daca trebuie sa activati contul Guest, nu uitati
sa interziceti accesul pentru contul Guest la componentele
partajate, la dosarele si fisierele care nu vreti sa
fie vazute de vizitatori si alti utilizatori
necertificati. (Un utilizator dintr-un alt calculator sau dintr-un alt
domeniu poate fi certificat in sistemul propriu, dar nu este si in
sistemul dumneavoastra.)
Grupurile de utilizatori
Grupurile de utilizatori le permit administratorilor de sistem sa creeze clase de utilizatori cu aceleasi privilegii. De exemplu, daca toti cei din departamentul de contabilitate au nevoie de acces la dosarul Payables, administratorul poate crea un grup cu denumirea Accounting si sa acorde intregului grup dreptul de acces la dosarul respectiv. Daca administratorul adauga apoi toate conturile de utilizator apartinand angajatilor din departamentul de contabilitate in grupul Accounting, utilizatorii respectivi vor avea in mod automat drept de acces la dosarul Payables. Un utilizator poate apartine unui grup, mai multor grupuri sau nici unui grup.
Grupurile sunt un instrument de administrare valoros. Ele simplifica sarcina asigurarii conditiilor ca toti membrii cu necesitati de acces comune sa aiba un set de privilegii identic. Dar, chiar daca nu sunteti administrator, este posibil sa puteti lucra cu grupuri, daca atribuiti permisiuni unor fisiere aflate in proprietatea dumneavoastra pe un volum NTFS.
Permisiunile si drepturile sunt cumulate. Asta inseamna ca, daca un utilizator apartine mai multor grupuri, se bucura de toate privilegiile acordate ambelor grupuri. Pentru mai multe informatii, vezi "Modul de rezolvare a conflictelor intre permisiuni".
Pentru comoditate, Windows 2000 are incluse o serie de grupuri standard, predefinite: Administrators, Power Users, Users, Guests, Backup Operators, Replicator si mai multe grupuri sistem speciale. Fiecare pot folosi grupurile predefinite exact asa cum sunt create de Windows 2000 sau pot opera modificarile dorite. Iata in continuare o trecere in revista a acestor grupuri predefinite.
Grup Administrators
Grupul Administrators, care include in mod prestabilit si contul de Administrator, are un control mai mare asupra sistemului decat oricare alt grup de utilizatori. (Practic, membrii grupului Administrators isi pot acorda orice drept care nu este acordat in mod prestabilit grupului sau utilizatorului). Toate conturile din grupul Administrators primesc in mod automat privilegiile rezervate administratorului de sistem.
Desii membrii grupului Administrators au posibilitati de control maximale, este posibil ca un utilizator sa creeze un fisier la care un membru al grupului Administrators sa nu aiba acces prin metode obisnuite. Sistemul de fisiere NTFS le permite utilizatorilor sa interzica accesul anumitor utilizatori si grupuri de utilizatori, inclusiv grupului de administratori. Un administrator caruia i se interzice accesul in acest fel poate obtine accesul la fisier numai preluand dreptul de proprietate asupra lui, actiune care genereaza o intrare in jurnalul evenimentelor de sistem. Vezi "Luarea in posesie a unui fisier sau a unui dosar".
Grupul Power Users
Grupul Power Users a fost creat pentru cei care au nevoie de multe din privilegiile grupului Administrators, insa nu de toate. Utilizatorii acestui grup nu pot lua in posesie fisiere, nu pot face copii de siguranta sau restabili fisiere din copiile de siguranta, nu pot incarca si descarca drivere de dispozitiv si nici nu pot gestiona jurnalele de securitate si control. Spre deosebire de utilizatorii obisnuiti, cei din grupul Power Users pot insa crea si sterge partajari din fisiere, pot crea, gestiona, sterge si partaja imprimante locale si pot crea utilizatori locali si grupuri.
Grupul Users
Grupul Users este un grup universal. El permite accesul la nivel general in sistemul de calcul. Membrii grupului Users nu pot partaja dosare si nici nu pot crea imprimante locale (decat daca intamplator sunt si membrii ai grupului Power sau Administrators). Cu exceptia conturilor speciale Administrators si Guest, toate conturile de utilizatori sunt membrele grupului Users in mod prestabilit. De regula, marea majoritate a utilizatorilor sunt membri numai in grupul Users.
Observatie - Cand un
calculator cu sistemul de operare Windows 200 face parte dintr-un domeniu,
grupul Users contine toti membrii grupului global Domain Users.
Asta inseamna ca oricine obtine accesul in sistemul dumneavoastra de
calcul prin retea, dintr-un alt calculator din domeniul
dumneavoastra, se bucura de aceleasi privilegii ca si
membrii grupului Users din propriul dumneavoastra sistem.
Observatie
-
Mambrii grupului Users nu au suficiente privilegii pentru a executa unele
programe mai vechi, care nu sunt compatibile cu standardele Windows 2000.
Daca aveti un program care nu poate fi executat de cei din grupul
Users, dar poate fi executat de cei din grupul Power Users, luati
legatura cu producatorul pentru a afla daca exista o
versiune compatibila cu Windows 2000 sau adaugati
utilizatorii care au nevoie de programul respectiv in grupul Power Users.
Contul Guest inclus in mod prestabilit devine in mod automat membru al grupului Guests. Utilizatorii care deschid sesiuni ocazional sunt si ei candidati adecvati pentru grupul Guests. Privilegiile acordate utilizatorilor obisnuiti si bine cunoscuti ai sistemului dumneavoastra (care de regula, sunt membri ai grupului Users) pot fi refuzate membrilor grupului Guests. Aceasta limiteaza accesul utilizatorilor si imbunatateste nivelul de securitate.
Grupul Backup Operators
Membrii grupului Backup Operators au dreptul de a crea copii de siguranta si de a restabili dosare si fisiere din copiile de siguranta, chiar si pe cele la care in mod normal nu au acces. Operatorii pentru copii de siguranta au si acces la aplicatia Backup din Windows 2000. Pentru informatii cu privire la crearea copiilor de siguranta, vezi capitolul 29, "Protejarea datelor prin copii de siguranta".
Membrii grupului Replicator pot gestiona replicarea fisierelor din domeniu, statia de lucru sau din server. (Replicarea fisierelor depaseste obiectivul acestei carti).
Grupurile de sistem
Windows 2000 gestioneaza mai multe grupuri de sistem speciale ale sistemului de operare. Windows controleaza apartenenta la aceste grupuri; administratorii nu pot stabili cine poate fi membru si cine nu in aceste grupuri. Ele nu sunt afisate in Local Users And Groups, ci apar in anumite liste cu grupuri, cum ar fi cea pe care o vezi cand atribuiti permisiuni unui dosar partajat sau unei imprimante partajate. Nu veti avea ocazia sa le folositi pe cele mai multe dintre ele, dar trebuie sa cunoasteti mai bine doua:
de utilizatori locali si cele ale utilizatorilor din domeniu
Utilizatorii si grupurile predefinite despre care am discutat in acest capitol sunt exemple de utilizatori si grupuri locale. Conturile utilizatorilor locali le permit utilizatorilor sa deschida sesiuni numai in calculatorul in care creati contul local. De asemenea, un cont local le permite utilizatorilor sa foloseasca resurse numai din calculatorul respectiv. (Asta nu inseamna ca nu puteti partaja resursele dumneavoastra cu alti utilizatori din retea, chiar daca nu faceti parte dintr-un domeniu. Pentru a face acest lucru trebuie insa sa creati un cont de utilizator local pentru fiecare persoana care are nevoie de acces la resursele partajate, in fiecare calculator care contine resursele partajate. In cazul unui numar mai mare de calculatoare si de utilizatori, lucrurile se pot complica.)
Alternativa este sa configurati reteaua ca domeniu. Un domeniu Windows 2000 este o retea care are cel putin un calculator cu sistemul de operare Windows 2000 Server in calitate de controler de domeniu. Controlerul de domeniu este un calculator care gestioneaza baza de date a sistemului de securitate, inclusiv conturile de utilizatori si grupurile din domeniul respectiv. Daca aveti un cont de utilizator din domeniu puteti sa deschideti sesiuni de lucru in orice calculator din domeniu (beneficiind de privilegii care v-au fost atribuite la nivel de domeniu si in calculatoarele individuale) si puteti obtine accesul la resursele permise din orice loc din retea.
Daca faceti parte dintr-un domeniu, este posibil sa intalniti si grupuri de domeniu suplimentare. In aceasta categorie intra grupurile Domain Admins, Domain Guests si Domain Users, precum si alte grupuri de domeniu create de administratorul dumneavoastra. In grupurile de domeniu pot fi inclusi utilizatorii care deschid sesiuni in calculatorul dumneavoastra din alte parti ale domeniului. Ele nu pot fi configurate decat intr-un calculator cu sistemul de operare Windows 2000 Server.
***(Vezi si -Pentru informatii cu privire la deschiderea de sesiuni printr-un cont de domeniu sau printr-un cont local, vezi Anexa B, "Deschiderea si inchiderea sesiunilor de lucru".)***
In general, daca aveti calculatorul inclus intr-un domeniu Windows 2000, nu trebuie sa va preocupati de conturile de utilizator local. Toate conturile de utilizator vor fi gestionate de controlerul de domeniu. Poate veti dori insa sa adaugati anumite conturi de utilizator de domeniu sau grupuri de domeniu in grupurile dumneavoastra locale. In configuratia prestabilita, grupul Domain Admins este membru al grupului Administrators local, iar Domain Users este membru al grupului local Users; membrii acestor grupuri de domeniu preiau deci dreoturile si permisiunile acordate grupurilor locale din care fac parte.
Local Users And Groups este un instrument din consola Computer Management care le permite administratorilor (contul Administrator creat de sistem si alti membrii ai grupului Administrators) sa gestioneze conturile utilizatorilor. Daca aveti privilegii administrative puteti sa folositi acest program ca sa:
Sugestie - Puteti
sa efectuati anumite operatii generale de gestionare a
conturilor de utilizator in User And Passwords, o componenta din
Control Panel, dar va veti lovi rapid de limitarile ei
si veti dori sa apelati la Local Users And Groups. Din
fericire, exista o solutie rapida: in Users And Password,
executati clic pe eticheta Advance, apoi executati clic pe
butonul Advance.
In plus, membrii grupului Power Users pot folosi
instrumentul Local Users And Groups pentru a crea conturi de utilizatori
si grupuri, putand sa modifice conturile de utilizator si
grupurile pe care le-au creat.
Pentru a ajunge in Local Users And Groups:
Sugestie Puteti
sa deschideti Computer Management si executand clic-dreapta
pe My Computer, dupa care alegeti Manage.
Figura 1. Computer Management-Utilizatorii si grupurile de utilizatori.
Pentru a adauga un nou utilizator in sistem:
1.- In Local Users And Groups, selectati Users.
2.- Deschideti meniul Action si alegeti New Userr.
Pe ecran va aparea caseta de dialog New User.
3.- In caseta User Name tastati numele pe care il va folosi noul utilizator pentru deschiderea sesiunii.
Acest nume trebuie sa fie unic. (Adica, trebuie, sa nu mai existe alt cont de utilizator din calculatorul dumneavoastra cu acelasi nume de utilizator). Numele trebuie sa aiba cel mult 20 de caractere si sa nu contina nici unul din urmatoarele caractere: "/[];|=+*?<>
Numele de utilizator nu tin cont de scrierea cu majuscule (adica, un utilizator care deschide o sesiune poate tasta numele de utilizator folosind litere mari, litere mici sau o combinatie a acestora), dar Windows memoreaza tipul de litera folosit aici pentru atunci cand va afisa numele de utilizator.
4.- In casetele Full Name si Description tastati numele complet, respectiv o descriere. Desi Windows nu foloseste aceste informatii, ele apar in Local Users And Groups (precum si in alte locuri), acest lucru permitand, de exemplu, sortarea listei utilizatorilor dupa numele complet.
Sugestie - Pentru a putea folosi datele din caseta Full Name la sortare
trebuie sa introduceti informatiile intr-un mod unitar
pentru toti utilizatorii. De exemplu, folositi totdeauna forma
prenume, nume de familie sau nume de familie, prenume.
5.- In caseta Password (si in caseta Confirm Password) tastati parola pe care o va folisi utilizatorul la prima deschidere de sesiune.
Observatie - Parolele din
Windosw 2000 respecta scrierea cu majuscule. Pentru a deschide o
sesiune utilizatorul trebuie tastat literele mari si mici exact
asa cum au fost introduse in caseta de dialog New User.
Procedura uzuala este introducerea unei parole initiale si solicitatea ca utilizatorul sa o modifice la prima deschidere de sesiune. Pentru a aplica acest sistem, selectati caseta de validare User Must Change Password At Next Logon.
Daca selectati caseta de validare Password Never Expires (Parola nu expira niciodata), optiunea respectiva va avea prioritate fata de orice valoare pe care o introduceti prin Local Security Policy pentru vechimea parolei. Pentru mai multe informatii despre folosirea parolelor, vezi "Definirea politicilor de parolare si blocare".
6.- Executati clic pe Create pentru a crea noul cont de utilizator. Daca vreti sa adaugati un alt utilizator (caseta de dialog New User ramane deschisa), repetati pasii de mai sus daca nu, executati clic pe Close cand terminati de creat conturile de utilizator.
Modificarea unui cont de utilizator
Figura 2. Modificarea proprietatilor pentru utilizator
Dupa ce creati un cont puteti sa il modificati. In Local Users And Groups executati clic-dreapta pe numele de utilizator si alegeti Properties sau, mai simplu executati dublu clic pe numele de utilizator. Pe ecran va aparea caseta de dialog cu proprietatile utilizatorului, ca in exemplul din fig. 2.
Definirea apartenentei la grupuri
Noii utilizatori sunt incadrati in mod automat in grupul Users. Pentru a schimba aceasta afiliere sau a adauga un nou utilizator intr-unul sau mai multe grupuri suplimentare, executati clic pe eticheta Member Of din caseta de dialog cu proprietati. In eticheta Member Of sunt enumerate grupurile din care face parte deja contul de utilizator.
Pentru a adauga un nou grup, executati clic pe Add. In caseta de dialog Select Groups care va aparea (vezi fig.27-3), selectati grupurile in care contul sa fie membru, executati clic pe Add, apoi executati clic pe OK pentru a reveni in caseta de dialog cu proprietati.
Pentru a elimina un grup din eticheta Member Of, selectati-l si executati clic pe Remove.
Crearea unui profil de operare global
Profilul de utilizator este un fisier folosit de Windows 2000 pentru a recrea mediul preferat in sistemul de operare al utilizatorului respectiv (inclusiv elemente de genul culorile de afisare, articole de pe suprafata de lucru si din meniul Start, legaturi la retea s.a.m.d.) cand acesta deschide o sesiune de lucru.
Windows 2000 foloseste un profil de utilizator prestabilit si, de regula, il foloseste ca punct de pornire pentru orice nou utilizator. Cand un utilizator deschide o sesiune de lucru pentru prima data, Windows 2000 creeaza un nou dosar in care salveaza propriul profil al noului utilizator, copiind profilul prestabilit in dosarul respectiv. Modificarile pe care le opereaza utilizatorul prestabilit sunt inregistrate in exemplarul copiat pentru utilizator, nu in profilul prestabilit.
Figura 3.
Pentru utilizatorii din retea, administratorii pot crea profiluri de utilizator speciale, denumite profiluri de operare globale. Profilul de operare global este salvat intr-un server (un exemplar este pastrat si la nivel local pentru a fi folosit in cazul in care serverul nu este disponibil in momentul deschiderii sesiunii), permitandu-i utilizatorului de domeniu sa foloseasca aceleasi atribute de configurare ale mediului de lucru indiferent de locul din care deschide sesiunea.
Figura 4.
Pentru a crea un profil de operare global pentru un nou utilizator, executati clic pe eticheta Profile din caseta de dialog cu proprietatile utilizatorului, prezentata in fig 4. In caseta Profile Path, tastati adresa dosarului profilului, in forma serverpartajare, adica folosind o denumire UNC pentru calea de acces in locul unei litere a unei unitati de disc.
Observatie
-
In cazul in care configurati dosarul in serverul care contine
si informatiile pentru profil, trebuie sa partajati
dosarul si trebuie sa acordati control deplin (Full Control)
grupului Everyone pentru dosarul respectiv.
Scriptul pentru deschiderea sesiunilor este un fisier de program care este executat de fiecare data cand utilizatorul deschide sesiunea de lucru. Orice fisier cu extensia .bat, .cmd sau .exe poate fi folosit ca script pentru deschiderea sesiunilor.
Pentru a utiliza un script la deschiderea sesiunilor in calculatorul propriu al unui utilizator, introduceti calea de acces si denumirea fisierului script in caseta Logon Script din eticheta Profile, prezentata in fig. 4.
Sugestie - Folosirea
variabilelor de mediu in calea de acces - O variabila de mediu
utila este %username%, care contine numele de utilizator al
utilizatorului curent. Daca folositi numele de utilizator al
fiecarui utilizator pentru denumirea dosarului sau fisierului cu
profilul fiecaruia, puteti sa tastati %username% in
eticheta Profile pentru toti utilizatorii ca sa simplificati
operatia de administrare.
Definirea unui dosar de deschidere
Dosarul de deschidere al unui utilizator este dosarul prestabilit care apare in casetele de dialog File Open si File Save As (cu exceptia aplicatiilor mai noi, care folosesc in mod automat dosarul My Documents al utilizatorului, precum si a aplicatiilor mai vechi care isi definesc propriul dosar de lucru). Acesta este totodata si dosarul prestabilit pentru sesiunile Command Prompt. Dosarul de deschidere poate fi local sau intr-un server, iar utilizatorii pot folosi un dosar de deschidere comun. Pentru a defini un dosar de deschidere local, introduceti calea de acces Local Path din eticheta Profile, prezentata in fig. 4.
Pentru a folosi un dosar intr-un server de retea ca dosar de deschidere:
1.- Selectati Connect din eticheta Profile.
2.- Introduceti o litera de unitate de disc disponibila in caseta din dreapta butonului Connnect (sau executati clic pe sageata din dreapta casetei pentru a o selecta dintr-o lista).
3.- Introduceti calea de acces completa din retea (in format UNC) pentru dosarul de la distanta in caseta To.
Pentru a modifica parola unui utilizator intrati in Local Users And Groups, executati clic-dreapta pe numele de utilizator si alegeti Set Password. Pe ecran va aparea caseta de dialog Set Password, in care puteti tasta o noua parola. Trebuie mentionat ca nu veti putea afla niciodata parola curenta a utilizatorului. Daca persoana respectiva isi uita parola nu o puteti recupera, puteti insa sa ii atribuiti una noua.
Sugestie - Daca Local
Users And Groups nu este deja deschisa, va va fi mai usor
sa schimbati parolele folosind componenta Users And Passwords din
Control Panel. Acolo nu trebuie decat sa selectati un nume de
utilizator si sa executati clic pe Set Password.
Modificarea parolei proprii pentru deschiderea sesiunilor |
|
In mod ciudat, daca nu sunteti membru al grupului Administrators nu puteti folosi componenta Users And Passwords ca sa va schimbati propria parola. Mai mult, Local Users And Groups nu va permite sa va schimbati parola de retea daca deschideti sesiunea intr-un domeniu. Pentru a schimba parola pentru contul dumneavoastra de utilizator local sau de domeniu: 1.- De oriunde din Windows 2000 (nu trebuie sa aveti deschisa vreo aplicatie anumita), apasati Ctrl+Alt+Delete pentru a afisa caseta de dialog Windows Security). 2.- Executati clic pe Change Password. 3.- Tastati parola dumneavoastra curenta in caseta Old Password. Apoi, trebuie sa tastati noua parola de doua ori pentru a verifica daca ati tastat-o corect. Daca textul introdus in caseta New Password si cel introdus in caseta Confirm Password nu sunt identice sau daca nu introduceti parola corecta in caseta Old Password, Windows va refuza noua parola. 4.- Executati clic pe OK in caseta cu mesaj care va aparea, apoi executati clic pe Cancel sau apasati Esc pentru a inchide caseta de dialog Windows Security. |
Redenumirea, stergerea si dezactivarea conturilor
Pentru a redenumi un cont deschideti Local Users And Groups, executati clic-dreapta pe numele de utilizator si alegeti Rename. Trebuie mentionat ca modificarea denumirii contului implica schimbarea numelui de utilizator, adica a numelui folosit pentru deschiderea sesiunilor in Windows 2000.
Pentru a sterge un cont, executati clic-dreeapta pe el si alegeti Delete. Windows 2000 va afisa o caseta cu mesaj pentru a va atentiona ca daca stergeti un cont si apoi creati un nou cont cu acelasi nume de utilizator, nici una din proprietatile, drepturile si permisiunile vechiului cont nu vor fi aplicate in mod automat noului cont. Deoarece Windows 2000 aloca un nou element de identificare SID Noului cont, va trebui sa configurati de la zero utilizatorul reintrodus.
Sugestie - Daca nu
va place sa executati clic-dreapta si sa
folositi meniurile rapide, puteti folosi comenzile Rename si
Delete in meiul Action.
Daca eliminati un utilizator din sistemul dumneavoastra si exista posibilitatea ca utilizatorul respectiv sa revina dupa o anumita perioada, ar putea fi mai convenabil sa dezactivati contul in loc sa-l stergeti. In acest fel, veti putea sa reactivati contul (cu toate proprietatile, drepturile si permisiunile sale) atunci cand va fi cazul.
Pentru a dezactiva un cont, executati clic pe intrarea corespunzatoare pentru a-i deschide caseta de dialog cu proprietati, apoi selectati caseta de validare Account Is Dosables. Pentru a reactiva un cont dezactivat, deschideti aceeasi caseta de dialog si deselectati aceasta caseta de validare.
Observatie
-
Nu puteti sa stergeti conturile integrate
Administrators si Guest. Daca nu vreti ca vreo persoana
sa poata deschide sesiuni de lucru folosind contul Guest, il
puteti dezactiva. Si este bine sa faceti lucrul acesta.
Pentru a adauga un nou grup local in sistem:
1.- Local Users And Groups, selectati Groups.
2.- deschideti meniul Actiona si alegeti New Goup.
Pe ecran va aparea caseta de dialog New Group.
3.- Atribuiti-i grupului o denumire (folositi aceleasi reguli ca si pentru conturile de utilizator) si, optional, introduceti o descriere.
4.- Executati clic pe Add pentru a deschide caseta de dialog Select Users Or Groups, prezentata mai jos.
5.- In caseta Look In, selectati denumirea calculatorului dumneavoastra pentru a agauga conturile de utilizator locale in grup, sau selectati denumirea domeniului in care se gasesc utilizatorii sau grupurile pe care doriti sa le adaugati. Apoi, selectati denumirea utilizatorului sau a grupului pe care vreti sa-l includeti si executati clic pe Add.
Repetati acest pas pentru a adauga toti utilizatorii si grupurile dorite, apoi executati clic pe OK pentru a reveni in caseta de dialog New group.
6.- Executati clic pe Create pentru a crea noul grup; adaugati si alte grupuri, daca doriti (caseta de dialog New Group va ramane deschisa) sau executati clic pe Close daca ati terminat de creat noi grupuri.
Modificarea proprietatilor unui grup local
Pentru a modifica descrierea sau apartenenta la un grup local, executati clic pe denumirea grupului in Local Users And Groups. In caseta de dialog cu proprietati care va aparea, executati clic pe Add pentru a adauga in grup. Pentru a elimina unul sau mai multi utilizatori, selectati-le numele si executati clic pe remove.
Un alt articol din dosarul Administrative Tools, Local Security Policy, va permite sa introduceti parola si sa definiti politicile de blocare pentru toti utilizatorii dintr-un calculator si sa atribuiti drepturile utilizatorilor si grupurilor. Pentru a folosi componenta Local Security Policy trebuie sa fiti intr-o sesiune deschisa ca membru al grupului Adminsitrators.
Pentru a ajunge in Local Security Policy, deschideti meniul Start si alegeti Settings, Control Panel, Administrative Tools, Local Security Policy. In continuare va fi deschisa fereastra Microsoft Management Console cu Security Settings ca radacina, ca in exemplul din fig. 5
Figura 5.
Definirea politicilor de parolare si blocare
In Account Policies puteti selecta o multitudine de parametri care controleaza utilizarea parolarii si blocarii pentru toate conturile locale. Dupa cum puteti vedea din fig.6, in panoul din dreapta sunt afisate politicile pentru articolul selectat in panoul din stanga. In a doua coloana din panoul din dreapta sunt afisati parametrii de configurare la nivel local pentru fiecare politica, pe care ii puteti defini executand dublu clic pe denumirea politicii. In a treia coloana, cu titlul Effective Settings, sunt prezentati parametrii de configurare curenti ai politicii aplicate. Ei pot fi diferiti de cei locali, deoarece politica la nivel de domeniu (definita de un administrator in controlerul de domeniu) are prioritate fata de parametrii de configurare din politica la nivel local.
Politicile de parolare impun restrictii asupra tipurilor de parole care pot fi folosite de utilizator, precum si frecventa cu care pot (sau trebuie) sa le modifice. Politicile de blocare a conturilor determina comportamentul sistemului de operare Windows 2000 in cazul in care un utilizator introduce o parola gresita. In tabelul 1 sunt prezentati cei mai utilizati parametrii de configurare pentru politicile de cont.
Tabelul 1 Politici de cont folosite frecvent
|
Politica |
Descriere |
Politica de parolare | |
|
Enforce password history |
Cand le expira parola, multi utilizatori evita situatia dificila de a memora o noua parola, folosind in continuare vechea parola. Alternarea intre doua parole, deci refolosirea aceleiasi parole, compromite sistemul de securitare. Introducerea unei valori mai mari de 0 pentru aceasta optiune determina sistemul de operare Windows 2000 sa memoreze numarul respectiv de parole anterioare si sa forteze utilizatorul sa aleaga o alta parola decat cele care au fot memorate. |
|
Maximum password age |
Introducerea unui numar mai mare de 0 (valoarea maxima este 999) determina perioada de timp cat parola ramane valabila inainte de a expira.(Pentru a ignora acest parametru pentru anumite conturi de utilizator, deschideti caseta de dialog cu proprietatile contului din Local Users And Goups si selectati caseta de validare Password Never Expires.) Daca selectati 0 inseamna ca parola nu expira niciodata. |
|
Minimum password age |
Introdecerea unui numar mai mare decat 0 (valoarea maxima este 999) si permite administratorului de sistem sa stabileasca perioada de timp cat trebuie folosita o parola inainte ca utilizatorul sa o poata schimba. Selectarea valorii 0 inseamna ca utilizatorii pot schimba parolele oricat de des doresc. |
|
Minimum password length |
Introducerea unui numar mai mare de 0 (valoarea maxima este 14) impune introducerea unei parole mai lungi decat un anumit numar de caractere. (Impunerea unor parole mai lungi mareste gradul de securitate, deoarece parolele mai lungi sunt mai dificil de ghicit). Introducerea valorii 0 le permite utilizatorilor sa nu foloseasca deloc parole. Observatie: Modificarea parametrului pentru lungimea minima a parolelor nu se aplica parolelor curente. |
Politica de blocare a contului |
|
|
Account lockout duration |
Introducerea unui numar mai mare de 0 (valoarea maxima este de 99.999 minute) indica durata de blocare a utilizatorului. Daca introduceti valoarea 0, utilizatorul va fi blocat pentru totdeauna, sau pana cand administratorul il va debloca, dupa caz. |
|
Account lockout threshold |
Introducerea unui numar mai mare de 0 (valoarea maxima este 999) impiedica utilizatorul sa mai deschida o sesiune dupa ce introduce numarul specificat de parole incorecte in intervalul de timp specificat. |
|
Reset account lockout counter after |
Aici trebuie sa stabiliti intervalul de timp in care introducerea unui numar specificat de parole incorecte determina blocarea utilizatorului. Dupa scurgerea acestei perioade (din momentul introducerii primei parole gresite), contorul este readus la 0 si incepe din nou contorizarea. |
Sugestie - Daca
folositi un istoric al parolelor trebuie sa stabiliti
si o durata minima de viata pentru parola. In
caz contrar, utilizatorii pot evita istoricul parolelor, creand o
succesiune de parole la intamplare.
Daca sunteti administrator, puteti sa deblocati un utilizator blocat, executand dublu clic pe numele utilizatorului in Local Users And Groups si deselectand caseta de validare Account Is Locked Aut.
Atribuirea de drepturi utilizatorilor si grupurilor
Pentru a atribui sau a modifica drepturile unui utilizator sau ale unui grup:
1.- In Local Security Policy, desfaceti nodul Local Policies si selectati User Rights Assigment.
2.- Executati dublu clic pe politica pe care vreti sa o vedeti sau sa o modificati.
Casetele de validare Effective Policy Setting indica parametrii de politica folositi in momentul respectiv. In cazul in care calculatorul dumneavoastra face parte dintr-un domeniu, parametrii la nivel de domeniu au prioritate fata de cele la nivel local. Daca nu sunteti administrator de domeniu nu puteti modifica parametrii la nivel de domeniu, de aceea casetele Effective Policy Setting nu sunt disponibile.
3.- Pentru a adauga un utilizator sau un grup in lista executati clic pe Add.
Pe ecran va aparea caseta de dialog Select Users Or Groups. Aceasta caseta de dialog are acelasi regim ca si cea din fig.3, cu exceptia faptului ca prezinta atat utilizatori, cat si grupuri.
In tabelul 2 sunt prezentate drepturile atribuite in mod automat grupurilor de utilizatori integrate.
|
Grup |
Drepturi prestabilite |
|
Administrators |
Acces this comouter from the network (Acces la calculatorul curent din retea) Back up files and directories (Creare copii de siguranta pentru fisiere si directoare) Bypass traverse checking (Ignorare verificare transversala) Change the system time (Modificare ceas sistem) Create a pagefile (Creare fisier de paginare) Debug programs (Depanare programe) Force shutdown from a remote system (Fortare inchidere a unui sistem de la distanta) Increase quotas (Marire cote) Increase scheduling priority (Marire prioritate in planificare) Load and unload device drivers (Incarcarea si descarcarea drivere de dispozitiv) Log on locally (Deschidere sesiune la nivel local) Manage Firmware environment values (Modificare valori de mediu din programe firmware) Profile single process (Profil pentru proces singular) Profile system performance (Profil pentru performantele sistemului) Remove computer from docking station (Deconectare calculator de la statia de andocare) Restore files and directories (Refacere fisiere si directoare) Shut down the system (Inchidere sistem de calcul) Take ownership of files and other objects (Luare in posesie fisiere si alte obiecte) |
|
Backup Operators |
Access this computer from the network (Acces la colculatorul curent din retea) Back up files an directories (Creare copii de siguranta pentru fisiere si directoare) Bypass traverse checking (Ignorare verificare transversala) Log on locally (Deschidere sesiune la nivel local) Restore files and directories (Refacere fisiere si directoare) Shut down the system (Inchidere sistem de calcul) |
|
Everyone |
Access this computer from the network (Acces la calculatorul curent din retea) Bypass traverse checking (Ignorare verificare transversala) |
|
Guest (cont~) |
Log on locally (Deschidere sesiune la nivel local) |
|
Power Users |
Access this computer from the network (Acces la calculatorul curent din retea) Bypass traverse checking (Ignorare verificare transversala) Change the system time (Modificare ceas sistem) Log on locally (Deschidere sesiune la nivel local) Profile single process (Profil pentru proces singular) Remove computer from docking station (Deconectare calculator de la statia de andocare) Shut down the system (Inchidere sistem de calcul) |
|
User |
Access this computer from the network (Acces la calculatorul curent din retea) Bypass traverse checking (Ignorare verificare transversala) Log on locally (Deschidere sesiune la nivel local) Remove computer from docking station (Deconectare calculator de la statia de andocare) Shut down the system (Inchidere sistem de calcul) |
|
(nimeni) (no one) |
Act as part of the operating system (Actionare ca parte a sistemului de operare) Add workstations to domain (Adaugare statii de lucru in domeniu) Create a token object (Creare obiect jeton) Create permanent shared objects (Creare obiecte partajate permanent) Deny access to this computer from the network )Interzicere acces la acest calculator din retea) Deny logon as a batch job (Interzicere deschidere sesiune prin comenzi secventiale) Denumire logon as a service (Interzicere deschidere sesiune la nivel local) Enable computer and user accounts to be trusted for delegation (Permitere delegare calculator si conturi de utilizator) Generate security audits (Generare controale ale sistemului de securitate) Lock pages in memory (Blocare pagini in memorie) Log on as a batch job (Dechidere sesiune prin comenzi secventiale) Log on as a service (Deschidere ca serviciu) Replace a process-level token (Inlocuire jeton de acces la nivel de proces) Synchronize directory service data (Sincronizare date ale serviciului de directoare) |
|
Politica de confidentialitate | Termeni si conditii de utilizare |
Vizualizari: 1599
Importanta: 
Termeni si conditii de utilizare | Contact
© SCRIGROUP 2024 . All rights reserved
