1 Группы по умолчанию.

Администраторы – группа имеющая полные права к системе, и по умолчанию являющееся владельцами крипто ключа для дешифровки файлов созданных другими пользователями.

Пользователи – имеют право выполнять типичные задачи по работе с системой, не внося в неё изменений.

Опытные пользователи – группа аналогичная обычным пользователям, с возможностью изменения часового пояса и региональных настроек системы, как правило используются для совместимости со старыми приложениями требующих дополнительных привилегий windows XP или 2000.

Операторы архивов – обычные пользователи системы, но с возможностью восстановления файлов из архивов и резервных копий независимо от их прав доступа, при этом не имея возможность их просматривать.

Операторы криптографии – используются для шифрования, дешифровки файлов.

Пользователи Dcom – члены этой группы имеют право запуска и использования объектов Dcom (разработчики программного обеспечения для windows).

Читали журнала событий – имеют право просматривать все журналы, системы и приложений.

Гость – пользователь не имеющий не каких прав в системе и использующий временный профиль.

ISS. IUSERS – пользователи работающие со службой ISS в системе.

Пользователь удаленного рабочего стола – имеет право подключаться к удаленному рабочему столу системы.

Репликаторы – имеет возможность конфигурирования и репликации файлов между серверами DFS или activte Directory.

Пользователь может являться членом сразу нескольких групп, при этом получая привилегии с наибольшим приоритетом.

2 Рекомендации при назначении прав.

* запрещающие права имеют большую привилегию чем разрешающие

* все что не разрешено, явно является запрещенным, если объект не указан в параметрах безопасности значит доступ к нему запрещен

* индивидуальные разрешающие права для пользователя имеют большую привилегию чем групповые.

* запрещающие права на группу автоматически распространяются на всех пользователей и имеют большую привилегию чем разрешающие на пользователя

* на все подкаталоги наследуются права доступа родительского каталога, для конфигурирования отличных прав необходимо отменить наследование

* права на запись к файлу или каталогу автоматически дает право на чтение содержимого

3 Создание групп и пользователей.

А) Локальные группы.

>net localgroup Students User / add

Students – группа

User – пользователь

>net localgroup Teachers / add

>net group – применяется для именования групп на серверах

>net localgroup / help

Б) Локальные пользователи.

>net user adme 1234 / add / expire:06/24/12

Adme – пользователь

1234 – пароль или *

expire:06/24/12 – дата окончания срока жизни пользователя

в) Права доступа.

>cacls D:/video /t /c /g User: rw

>cacls D:/video /t /c /e /g Все: r

Ключи:

/t – изменение прав доступа для файлов и каталогов

/c – продолжать выполнение команды даже при обнаружении сбоев

/e – дописывать к существующим правам доступа указанные

Параметры:

/g: - дает разрешающие права для указанных пользователей

/p: - заменяет существующие права на указанные

/d: - запрещает доступ для указанного пользователя

Для выдачи расширенных прав доступа к файлам и каталогам, используется команда icacals.