Самоучитель системного администратора. 5-е изд

182 
Глава 4 
ли
на сервере и предоставляет меньше разрешений и привилегий по сравнению 
с учетной записью 
LocalSystem
(но больше, чем 
LocalService
). 
Предопределенные учетные записи пользователя 
Обычно вместе с Windows поставляются несколько предопределенных учетных 
записей, в том числе 
Администратор
(Administrator) и 
Гость
(Guest). Помните, что 
у предопределенных учетных записей есть дубликаты в каталоге Active Directory. 
Эти учетные записи распространяются на весь домен и отличаются от локальных 
учетных записей на локальных системах. 
Учетная запись 
Администратор
Учетная запись 
Администратор
является предопределенной учетной записью, 
предоставляющей полный доступ к файлам, каталогам, службам и другим объек-
там. В Active Directory у учетной записи 
Администратор
есть полный доступ и 
полные полномочия, распространяющиеся на весь домен. 
В
НИМАНИЕ
! 
Для предотвращения неавторизированного доступа к системе или домену убедитесь, 
что назначили учетной записи 
Администратор
безопасный пароль. Кроме того, по-
скольку это всем известная учетная запись Windows, в качестве дополнительной меры 
предосторожности можно ее как-либо переименовать, а вместо нее создать фиктив-
ную учетную запись с именем 
Администратор
и минимальными правами. Такая учет-
ная запись должна быть отключена, но в то же время для нее должен быть установлен 
сложный пароль. Пусть злоумышленники мучаются. 
По умолчанию учетная запись 
Администратор 
для домена — член групп 
Админи-
страторы
(Administrators), 
Администраторы домена
(Domain Admins), 
Пользова-
тели домена
(Domain Users), 
Администраторы предприятий
(Enterprise Admins), 
Владельцы-создатели групповой политики
(Group Policy Creator Owners) и 
Ад-
министраторы схемы
(Schema Admins). 
П
РИМЕЧАНИЕ
В Windows 7 учетная запись 
Администратор
как бы разделилась на две: одна учет-
ная запись соответствует той, с которой вы входите в систему, другая — использует-
ся, если вызывается команда 
Запустить от имени администратора
. С этим связаны 
некоторые ошибки, когда пользователи не могут понять, почему не выполняется сце-
нарий, исполняемый от имени пользователя 
Администратор
. А все потому, что фак-
тически этих учетных записей две, и права у них различаются. 
Учетная запись 
Гость
Учетная запись 
Гость
предназначена для пользователей, которым необходим одно-
разовый или случайный доступ. Хотя у нее имеется лишь ограниченный доступ
к системе, при ее использовании гарантированы потенциальные проблемы безопас-
ности. Именно поэтому она по умолчанию отключена. 
Учетная запись 
Гость 
по умолчанию является членом групп 
Гости домена
(Domain 
Guests) и 
Гости 
(Guests). Учетная запись
Гость 
также является членом неявной 

Информационные системы предприятия 
183 
группы 
Все 
(Everyone), которая обычно имеет доступ к файлам и папкам. У этой 
группы также есть набор прав пользователя по умолчанию. 
Другие встроенные учетные записи пользователей 
Учетная запись 
HelpAssisstant
применяется в случаях обращения к удаленному 
помощнику. Удаленный пользователь подключается к компьютеру с правами, 
предоставленными этой учетной записи. 
Учетная запись 
SUPPORT_номер
используется службами технической под-
держки Microsoft. Обычно рекомендуют просто удалить эту учетную запись. 
Если на компьютере устанавливается информационный сервер Интернета 
(Internet Information Server, IIS), то создаются две учетные записи: 
IUSR_имя_ 
пользователя 
и 
IWAM_имя_пользователя
. Учетная запись 
IUSR_имя_поль-
зователя 
применяется при предоставлении веб-ресурсов анонимному пользова-
телю. Иными словами, если информационный сервер Интернета не использует 
аутентификацию пользователя (предоставляет ресурсы анонимно), то в системе 
такой пользователь регистрируется под именем 
IUSR_имя_пользователя
. Вы 
можете, например, запретить анонимный доступ к каким-либо ресурсам инфор-
мационного сервера, если исключите чтение таких файлов этим пользователем. 
Пароль пользователя 
IUSR_имя_пользователя
создается автоматически и син-
хронизируется между операционной системой и информационным сервером. 
Пароли учетных записей 
IUSR_имя_пользователя 
и 
IWAM_имя_пользователя
легко можно узнать при помощи сценария, имеющегося на компьютере. Найди-
те файл 
Adsutil.vbs
(обычно он расположен в папке административных сценариев 
IIS — например, в 
InetPub\AdminScripts
), замените в текстовом редакторе строку 
сценария (иначе сценарий покажет пароль в виде звездочек): 
IsSecureProperty = True 
на 
IsSecureProperty = False 
и выполните: 
cscript.exe adsutil.vbs get w3svc/anonymoususerpass 
для отображения пароля 
IUSR_имя_пользователя
или 
cscript.exe adsutil.vbs get w3svc/wamuserpass 
для показа пароля 
IWAM_имя_пользователя
. 
Учетная запись 
IWAM_имя_компьютера
служит для запуска процессов ин-
формационного сервера (например, для обработки сценариев на страницах с ак-
тивным содержанием). Если вы случайно удалите какую-либо из этих записей и 
вновь создадите одноименную, то, скорее всего, столкнетесь с неработоспособ-
ностью информационного сервера. Конечно, можно обратиться к справочной
базе разработчика, правильно настроить службы компонентов на использование 
новой учетной записи, синхронизовать с помощью специальных сценариев па-

184 
Глава 4 
роли учетных записей и т. п. Но гораздо эффективнее в этой ситуации будет 
просто удалить службу информационного сервера и вновь добавить этот компо-
нент, предоставив программе установки выполнить все эти операции. 
Кроме указанных учетных записей новые пользователи системы часто создаются 
прикладными программами в процессе их установки. Обычно создаваемые таким 
образом учетные записи имеют необходимое описание в своих свойствах. 
Встроенные группы 
При установке операционной системы на компьютере автоматически создается не-
сколько групп. Для большинства случаев персонального использования этих групп 
достаточно для безопасной работы и управления системой. 
Администраторы
(Administrators) — Члены этой группы имеют все права на 
управление компьютером. После установки в системе присутствуют только 
пользователи-члены этой группы; 
Пользователи
(Users) — это основная группа, в которую надо включать обыч-
ных пользователей системы. Членам этой группы запрещено выполнять опера-
ции, которые могут повлиять на стабильность и безопасность работы компью- 
тера; 
Опытные пользователи
(Power Users) — эти пользователи могут не только вы-
полнять приложения, но и изменять некоторые параметры системы. Например, 
создавать учетные записи пользователей, редактировать и удалять учетные
записи (но только те, которые были ими созданы), предоставлять в совместный 
доступ ресурсы компьютера (и управлять созданными ими ресурсами). Но 
опытные пользователи не смогут добавить себя в число администраторов систе-
мы, не получат доступ к данным других пользователей (при наличии соответст-
вующих ограничений в свойствах файловой системы NTFS у опытных пользова-
телей отсутствует право становиться владельцем объекта), кроме того, они не 
смогут выполнять операции резервного копирования, управлять принтерами, 
журналами безопасности и протоколами аудита системы; 
Операторы резервного копирования 
(Backup Operators) — в эту группу следу-
ет включить ту учетную запись, от имени которой будет осуществляться резерв-
ное копирование данных компьютера. Основное отличие этой группы в том, что 
ее члены могут «обходить» запреты доступа к файлам и папкам при операции 
резервного копирования данных. Независимо от установленных прав доступа,
в резервную копию данных будут включены все отмеченные в операции файлы, 
даже если у оператора резервного копирования нет права чтения такого файла. 
Учетная запись с правами оператора резервного копирования является доста-
точно серьезной брешью в системе безопасности предприятия. Как правило, 
особое внимание «безопасников» уделяется пользователям, имеющим админи-
стративные права. Да, они могут стать владельцами любой информации, доступ 
к которой для них явно запрещен. Но при этом такие действия протоколируются 
и контролируются службой безопасности предприятия. Пользователь, на кото-

Информационные системы предприятия 
185 
рого возложена рутинная вроде бы обязанность резервного копирования, легко 
может выполнить резервную копию всех данных и восстановить секретную ин-
формацию из этой копии на другой компьютер, после чего говорить о наличии 
установленных прав доступа к файлам и папкам станет бессмысленно. Но есть
и более простые способы копирования информации, право доступа к которой 
запрещено на уровне файловой системы. В Windows имеется утилита Robocopy 
(
robocopy.exe
) для массового копирования файлов. Эта программа может выпол-
нять копирование данных в режиме использования права резервного копирова-
ния (естественно, что она должна быть запущена пользователем, состоящим
в группе операторов резервного копирования). В результате в новую папку будут 
скопированы все файлы, причем пользователю даже не нужно становиться вла-
дельцем файлов — все запреты будут уже сняты; 
П
РИМЕЧАНИЕ
Программа Robocopy предназначена для того, чтобы скопировать структуру файлов 
из одной папки в другую. Если на файлы наложены ограничения доступа, то выпол-
нять такую операцию штатными средствами (через резервное копирование и восста-
новление данных) не всегда удобно. Robocopy позволяет переместить данные, сохра-
нив всю структуру прав. Возможность «снятия» ограничений, описываемая в настоя-
щем разделе, просто является одной из функций этой утилиты. 
Гости
(Guests) — эта группа объединяет пользователей, для которых действуют 
специальные права для доступа «чужих» пользователей. По умолчанию в нее 
включена только одна заблокированная учетная запись: 
Гость
; 
HeplSevicesGroup
— группа предоставляет типовой набор прав, необходимый 
специалистам службы техподдержки. Не следует включать в нее других членов, 
кроме учетной записи, созданной по умолчанию; 
Remote Desktop Users
— члены этой группы могут осуществлять удаленное 
подключение к рабочему столу компьютера. Иными словами, если вы хотите 
иметь возможность удаленно подключиться к своему компьютеру, то необходи-
мо включить в эту группу соответствующую учетную запись. По умолчанию 
членами этой группы являются администраторы локального компьютера; 
DHCP Administrators
— группа создается только при установке DHCP. Поль-
зователи группы имеют право на конфигурирование службы DHCP (например,
с помощью графической оснастки управления или командой 
netsh
). Использует-
ся при делегировании управления DHCP-службой; 
DHCP Users
и 
WINS Users
— группы создаются только при установке соответ-
ствующих служб. Пользователи групп имеют право лишь на просмотр парамет-
ров настройки служб DHCP (или WINS). Применяются при делегировании прав 
техническому персоналу (например, для сбора информации о состоянии серви-
сов); 
Network Configuration Operators
— пользователи группы имеют право изме-
нения TCP/IP-параметров. По умолчанию группа не содержит членов; 
Print Operators
— члены группы могут управлять принтерами и очередью
печати. 

186 
Глава 4 
В системе присутствуют и другие группы, на описании которых мы не будем особо 
останавливаться (
Account Operators
, 
Pre-Windows 2000 Compatible Access
, 
Server 
Operators
и т. д.). 
Специальные группы 
В операционной системе существуют так называемые 
специальные группы
, членст-
вом в которых пользователь компьютера управлять не может. Они не отображают-
ся в списке групп в оснастках управления группами, но доступны в окнах назна- 
чения прав доступа. 
К специальным группам относятся: 
Все
(Everyone); 
Интерактивные пользователи
(Local Users); 
Сетевые пользователи
(Network Users); 
Пакетные файлы
(Batch); 
Прошедшие проверку
(Authenticated). 
Предназначение групп ясно уже по их названиям. Так, в группу 
Интерактивные 
пользователи
автоматически включаются все пользователи, осуществившие вход
в систему с консоли (клавиатуры). 
Сетевые пользователи
— это те пользователи, 
которые используют ресурсы компьютера через сетевое подключение, и т. п. 
Эти группы предназначены для более точного распределения прав пользователей. 
Например, если вы хотите, чтобы с каким-либо документом была возможна только 
локальная работа, то можно просто запретить доступ к нему сетевых пользова- 
телей. 
Заострим внимание читателей на группе 
Все
, поскольку именно с ней связано наи-
большее количество ошибок в предоставлении прав доступа. Эта группа включает 
не любых пользователей, а только тех, кто имеет учетную запись на конкретном 
компьютере. Иными словами, если вы предоставили ресурс компьютера в общий 
доступ с правами чтения для группы 
Все
, то использовать его могут только те, кто 
на этом компьютере «прописан». Если вы предпочитаете, чтобы ресурс мог исполь-
зовать действительно «кто угодно», то для этого нужно разрешить использование 
учетной записи 
Гость
. 
П
РИМЕЧАНИЕ
В последних версиях Windows пересматривался состав группы 
Все
. Во избежание 
ошибок следует уточнить состав этой группы в каждом конкретном случае. 
Рекомендации по использованию операции
Запуск от имени Администратора
По соображениям безопасности не рекомендуется использовать для текущей рабо-
ты учетную запись, обладающую административными правами. Смысл этого тре-
бования очень прост. Если на компьютере работает неопытный пользователь, то он 

Информационные системы предприятия 
187 
не сможет что-либо испортить в настройках системы и привести ее в нерабочее со-
стояние. Кроме того, в повседневной практике очень легко встретиться с какой-
либо скрытой вредоносной программой. Если при запуске такой программы она не 
будет обладать административными правами, то возможностей нанести вред ком-
пьютеру у нее будет существенно меньше. 
Однако на практике пользователям периодически приходится выполнять различ-
ные административные действия. Например, установить драйвер для нового внеш-
него устройства хранения информации, на котором вы принесли для просмотра 
взятый у приятеля видеофильм, и т. п. Понятно, что несмотря на все рекомендации, 
большинство пользователей для удобства работают с правами учетной записи
администратора. 
В операционных системах Windows 7 и выше по умолчанию максимальные права 
не предоставлены и администратору. Чтобы выполнить действия, меняющие сис-
темные настройки, предусмотрен специальный механизм для быстрого запуска 
программ с использованием административных прав. Это операция 
Запуск от 
имени Администратора
. 
Такая команда доступна в контекстном меню соответствующего ярлыка. Кроме то-
го, если при запуске программы система обнаружила попытку выполнения дейст-
вий, для которых требуется подобная эскалация прав, то пользователь увидит на 
экране запрос на продолжение, который он должен подтвердить (или отказаться, 
если подобная операция не планировалась). Конечно, такой запрос пользователь 
получит только, если включен контроль учетных записей пользователей (UAC). 
Для его включения/выключения в апплете панели управления 
Учетные записи 
пользователей 
нужно перейти по ссылке 
Изменение параметров контроля учет-
ных записей
и выбрать соответствующее значение с помощью ползунка. 
П
РИМЕЧАНИЕ
Обратите еще раз внимание, что учетная запись 
Администратор
и учетная запись, 
которая используется при запуске от имени администратора, — это различные учет-
ные записи. Если не учитывать такой нюанс, то это может привести к неожиданным 
результатам, например, при выполнении сценариев входа в домен. 

188 

жүктеу/скачать 20,51 Mb.

Достарыңызбен бөлісу: