1 Группы по умолчанию.
Администраторы – группа имеющая полные права к системе, и по умолчанию являющееся владельцами крипто ключа для дешифровки файлов созданных другими пользователями.
Пользователи – имеют право выполнять типичные задачи по работе с системой, не внося в неё изменений.
Опытные пользователи – группа аналогичная обычным пользователям, с возможностью изменения часового пояса и региональных настроек системы, как правило используются для совместимости со старыми приложениями требующих дополнительных привилегий windows XP или 2000.
Операторы архивов – обычные пользователи системы, но с возможностью восстановления файлов из архивов и резервных копий независимо от их прав доступа, при этом не имея возможность их просматривать.
Операторы криптографии – используются для шифрования, дешифровки файлов.
Пользователи Dcom – члены этой группы имеют право запуска и использования объектов Dcom (разработчики программного обеспечения для windows).
Читали журнала событий – имеют право просматривать все журналы, системы и приложений.
Гость – пользователь не имеющий не каких прав в системе и использующий временный профиль.
ISS. IUSERS – пользователи работающие со службой ISS в системе.
Пользователь удаленного рабочего стола – имеет право подключаться к удаленному рабочему столу системы.
Репликаторы – имеет возможность конфигурирования и репликации файлов между серверами DFS или activte Directory.
Пользователь может являться членом сразу нескольких групп, при этом получая привилегии с наибольшим приоритетом.
2 Рекомендации при назначении прав.
* запрещающие права имеют большую привилегию чем разрешающие
* все что не разрешено, явно является запрещенным, если объект не указан в параметрах безопасности значит доступ к нему запрещен
* индивидуальные разрешающие права для пользователя имеют большую привилегию чем групповые.
* запрещающие права на группу автоматически распространяются на всех пользователей и имеют большую привилегию чем разрешающие на пользователя
* на все подкаталоги наследуются права доступа родительского каталога, для конфигурирования отличных прав необходимо отменить наследование
* права на запись к файлу или каталогу автоматически дает право на чтение содержимого
3 Создание групп и пользователей.
А) Локальные группы.
>net localgroup Students User / add
Students – группа
User – пользователь
>net localgroup Teachers / add
>net group – применяется для именования групп на серверах
>net localgroup / help
Б) Локальные пользователи.
>net user adme 1234 / add / expire:06/24/12
Adme – пользователь
1234 – пароль или *
expire:06/24/12 – дата окончания срока жизни пользователя
в) Права доступа.
>cacls D:/video /t /c /g User: rw
>cacls D:/video /t /c /e /g Все: r
Ключи:
/t – изменение прав доступа для файлов и каталогов
/c – продолжать выполнение команды даже при обнаружении сбоев
/e – дописывать к существующим правам доступа указанные
Параметры:
/g: - дает разрешающие права для указанных пользователей
/p: - заменяет существующие права на указанные
/d: - запрещает доступ для указанного пользователя
Для выдачи расширенных прав доступа к файлам и каталогам, используется команда icacals.