Работа с локальной учётной записью в Windows. Описание команды NET USER Добавление нового пользователя через командную строку

Посетители данного сайта не редко интересуются, как создать нового пользователя в Windows 7. Чаще всего такая необходимость возникает, когда на одном компьютере работает более одного человека. Файлы и ярлыки программ разных пользователей начинают путаться на рабочем столе, и это неизбежно создает массу неудобств. В данной статье мы расскажем о том, как создать нового пользователя в Windows 7 и навсегда решить эту проблему.

Для того чтобы создать нового пользователя вам необходимо открыть меню Пуск и перейти в Панель управления. Если вы хотите создать нового пользователя в Windows 8, то воспользуйтесь нашей статьей об .

Итак, после того как вы открыли Панель управления перейдите в раздел «Добавление и удаление учетных записей».

После этого перед вами откроется список учетных записей, которые уже добавлены в вашу операционную систему. Если вы ранее ничего не добавляли, то здесь должно быть только два пользователя: основной пользователь (которого вы создали при ) и пользователь гость. Для того чтобы добавить нового пользователя в Windows 7, нажмите на ссылку «Создание учетной записи».

Все, после нажатия на кнопку «Создание учетной записи» новый пользователь будет создан. Обратите внимание, если вы выберите тип учетной записи «Обычный пользователь», то пользователь, использующий такую учетную запись, не сможет устанавливать новые программы или вносить изменения в настройки операционной системы.

Как создать нового пользователя запись в Windows 7 через командную строку

Также вы можете создать нового пользователя через командную строку. Для того чтобы создать нового пользователя Windows 7 через командную строку ее нужно сначала запустить с правами администратора. О том как мы уже рассказывали в одной из статей.

После этого в открывшейся командной строке введите команду:

• net user имя_пользователя пароль_пользователя /add

Например, для того чтобы добавить пользователя с ником Mike и паролем 123123 необходимо ввести net user Mike 123123 /add .

После ввода такой команды будет создан новый пользователь. Но, по умолчанию он будет обычным пользователем (не администратором). Для того чтобы сделать этого пользователя администратором необходимо ввести еще одну команду:

• net localgroup Администраторы имя_пользователя /add

Например, для того чтобы сделать пользователя Mike администратором нам нужно ввести команду net localgroup Администраторы Mike /add .

Все, как видим добавить нового пользователя в Windows 7 с помощью командной строки не намного сложнее, чем добавление пользователя через Панель управления.

Если вы читали статьи сайта по порядку (не забывая про Справочник), то, вероятно, обратили внимание, что до сих пор мы лишь вскользь упомянули об учетной записи Администратор в статье Параметры файла ответов . А после статей об установке приложений у вас наверняка возник вопрос: как организовать автоматический вход в систему, чтобы ПО устанавливалось автоматически вслед за ОС и можно ли это проделать не под учетной записью Администратор? Данная статья призвана ответить на этот вопрос: вы узнаете как настроить автоматический вход в систему, а также создать новые и переименовать встроенные учетные записи. Начнем с создания учетных записей.

Добавление учетных записей

Добавить учетные записи можно двумя способами, и мы рассмотрим оба.

Способ OOBEINFO.INI

Примечание: метод работает только для Windows XP/2003

Используя этот способ вы попросту автоматизируете процесс создания пользователей, который обычно выполняется вручную на одном из графических этапов установки Windows - mini-setup.

Приступим. Откройте Блокнот и скопируйте туда следующие строки:

Identity000="Vadikan"
Identity001="Alex"

Имя пользователя заключено в кавычки; подставьте свое. Если вам нужен только один пользователь, то удалите второго. Eсли вам нужно больше пользователей, то добавляйте строки, увеличивая номер на единицу. Данный способ позволяет создать не более шести учетных записей (вплоть до Identity005). Учтите, что все пользователи будут включены в группу Администраторы .

По окончании сохраните файл как oobeinfo.ini в директории $ОЕМ$\$$\System32\oobe. Как видите, все очень просто.

Способ NET USER

Данный способ был описан еще в предыдущей версии сайта. Он более универсален, т.к. работает на всех NT платформах и позволяет создавать сколько угодно учетных записей, помещая их в различные группы.

Мы будем создавать учетные записи во время графического этапа установки Windows. Для этого мы будем задействовать файл cmdlines.txt (подробнее о cmdlines.txt в соответствующей статье). Из него мы выполним пакетный файл useraccounts.cmd , содержащий команды необходимые для создания учетных записей.

Если у вас еще не создан файл cmdlines.txt , то откройте Блокнот и скопируйте туда следующий текст

"useraccounts.cmd"

Сохраните файл как cmdlines.txt в директории C:\XPCD\$OEM$\.

Теперь нам нужно создать useraccounts.cmd . Скопируйте в Блокнот следующий текст:

net user Vadikan asdf1234 /add
net localgroup Administrators Vadikan /add

net accounts /maxpwage:unlimited
EXIT

Давайте рассмотрим команды по порядку.

• net user Vadikan asdf1234 /add - создает пользователя Vadikan с паролем asdf1234
• net localgroup Administrators Vadikan /add - добавляет пользователя Vadikan в группу Administrators
• net localgroup Users Vadikan /delete - удаляет пользователя Vadikan из группы Users (пользователь автоматически добавляется в нее при создании
• net accounts /maxpwage:unlimited - позволяет избежать истечения срока действия пароля (14 дней)

Для учетной записи, помещаемой в группу Administrators, пароль обязателен . Замените имя пользователя и пароль по своему усмотрению и сохраните файл как useraccounts.cmd в директории C:\XPCD\$OEM$\. Аналогичным образом вы можете добавить других пользователей в желаемые группы используя все тот же файл useraccounts.cmd и команды net user и net localgroup

Внимание: в локализованной русской версии группа Administrators называется Администраторы, а Users - Пользователи. Следовательно, вам надо внести соответствующие изменения, и сохранять файл в OEM кодировке (DOS 866). Блокнот эту кодировку не поддерживает, и нужен другой редактор (их список есть в FAQ .

Еще один момент, на который следует обратить внимание: если вы хотите создать пользователя, в имени которого есть пробелы (например, Super Vadikan), то вы должны заключить такое имя в кавычки:

net user "Super Vadikan" asdf1234 /add

Комбинированный метод

Изучив оба метода, вы, возможно, задумались над тем, как создать учетные записи способом OOBEINFO.INI, но лишь одну из них сделать Администратором. В принципе, это возможно. Обратите внимание на файл useraccounts.cmd , в котором для добавления учетных записей использовалась команда net user с сочетании с параметром /add . Для удаления учетных записей используется параметр /delete . В моем примере я создавал учетные записи Vadikan и Alex. Допустим, я хочу переместить Alex из администраторов, в обычные пользователи. Сначала удалим его из Administrators, а потом добавим в Users:

net localgroup Administrators "Alex" /delete
net localgroup Users "Alex" /add

Данные команды можно добавить в любой пакетный файл, который будет выполнен при первом входе в систему.

Будем считать, что с добавлением пользователей мы разобрались. Если вы хотите автоматически установить приложения по окончании инсталляции ОС, то нужно организовать автоматический вход в систему под желаемым пользователем. Давайте этим займемся.

Aвтоматический вход в систему

Как обычно, мы будем рассматривать несколько вариантов. Начнем, пожалуй, с самого простого: все что вам нужно, это организовать автоматический вход в систему для встроенной учетной записи Administrator.

Встроенная учетная запись Administrator (Администратор)

Если вас не интересуют другие учетные записи (в чем я сильно сомневаюсь;), то проще всего задействовать файл ответов для организации автоматического входа в систему встроенной учетной записи Administrator. В файле ответов (winnt.sif ) у вас должны быть следующие строки:

AdminPassword="mypassword"
EncryptedAdminPassword=No
AutoLogon=Yes
AutoLogonCount=2

По порядку они означают следующее: пароль администратора, зашифрован ли пароль администратора (зашифровать можно при помощи Setup Manager , автоматический вход в систему, кол-во автоматических входов в систему (в Windows 2000 максимальное кол-во автоматических входов - 2).

Все что от вас требуется - это подставить свой пароль и установить желаемое количество автоматических входов в систему. Все.

Другие учетные записи

По правде говоря, описываемые ниже способы вполне применимы и к встроенной учетной записи Administrator. Кстати, я рекомендую вам ознакомиться со статьей MS KB Автоматизация входа в систему Windows , прежде чем приступать к изучению этой секции.

Итак, мы хотим импортировать автоматический вход в систему (auto logon) для вновь созданного пользователя. Автоматизировать процесс внесения изменений в реестр можно различными способами. Мы рассмотрим импортирование из *.REG файла командой REGEDIT , а также команду REG ADD .

В первой редакции статьи рассматривался только *.REG файл, но у нескольких человек возникли проблемы с импортом, природа которых осталась невыяснена (вообще, REGEDIT должна работать на Т-12). REG ADD проблемы решила.

Импорт из *.REG файла при помощи команды REGEDIT

Мы создадим файл autologon.reg , содержащий необходимые для автологона параметры реестра, а затем организуем импорт данных командой REGEDIT из useraccounts.cmd . Скопируйте в Блокнот следующие строки

Windows Registry Editor Version 5.00

"DefaultUserName"="Vadikan"
"DefaultPassword"="asdf1234"
"AutoAdminLogon"="1"
"AutoLogonCount"=dword:00000001

Параметр AutoLogonCount задает количество автоматических входов в систему (в данном случае - один). Уберите этот параметр, если вы хотите постоянно входить в систему автоматически. Подставьте свое имя и пароль, и затем сохраните текст как autologon.reg в директории C:\XPCD\$OEM$\.

Теперь у вас должно быть три файла в директории $OEM$: cmdlines.txt , useraccounts.cmd и autologon.reg . Теперь нужно внести в useraccounts.cmd команду на импорт наших настроек реестра. Думаю, что вы уже догадались как это сделать - надо просто добавить строку

REGEDIT /S autologon.reg

Это обеспечит импорт в реестр настроек автоматического входа в систему.

Команда REG ADD

В принципе, REG ADD делает тоже самое, что и REGEDIT /S - импортирует нужные параметры в реестр. В данном случае нам не понадобятся никакие дополнительные файлы, и мы просто внесем команды прямо в useraccounts.cmd :

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V DefaultUserName /t REG_SZ /D "Vadikan" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V DefaultPassword /t REG_SZ /D asdf1234 /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V AutoAdminLogon /t REG_SZ /D 1 /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V AutoLogonCount /t REG_DWORD /D 1 /f

Уберите последнюю строку, если вы хотите постоянно входить в систему автоматически. Подставьте свое имя и пароль, и затем добавьте получившиеся строки в useraccounts.cmd .

Важное примечание! Организуя автоматический вход в систему для других учетных записей, нужно убедиться, что секция в winnt.sif содержит только две строки, относящиеся к учетной записи Administrator:

AdminPassword=*
EncryptedAdminPassword=No

Уберите все остальное (например, AutoLogon или AutoLogonCount ). Замените звездочку в AdminPassword паролем, если вы хотите защитить учетную запись Администратор от постороннего доступа.

Необходимо помнить, что все, что вы указываете в winnt.sif (например, AdminPassword ), не влияет на учетную запись Vadikan, описываемую на этой странице. Это влияет только на встроенную учетную запись Администратор.

Внимание! Параметры автоматического входа в систему, указываемые в файле svcpack.inf , не срабатывают. Используйте другие методы, описанные в этой статье.

Если вы все сделали правильно, то во время установки Windows на этапе Т-12 файл useraccounts.cmd будет запущен из cmdlines.txt .

Другие варианты работы с учетными записями.

Этот раздел необязателен, однако могут возникнуть ситуации, в которых изложенная ниже информация вам пригодится.

Переименование встроенных учетных записей

Переименовывать встроенные учетные записи необязательно, но некоторые это проделывают из соображений безопасности (злоумышленнику придется подбирать не только пароль, но и имя учетной записи), или просто ради удобства (Administrator - слишком длинное имя, особенно для тех, кому его часто приходится вводить). Существует возможность изменить имена пользователей, используемые в ХР по-умолчанию (Администратор , Гость для локализованной версии или Administrator и Guest для других версий). Сделать это можно как из командной строки, так и путем изменения одного файла в дистрибутиве.

Переименование учетных записей из командной строки

Существуют две крошечные утилиты - renuser.exe (10 кб) и netuser.exe (20 кб), с помощью любой из которых можно решить задачу одной командой. Утилиту необходимо разместить в $OEM$\$$\system32\ и на Т-12 выполнить команду, например, из файла cmdlines.txt .

"renuser Administrator NewName"

"NetUser Administrator /name:NewName"

В приведенных выше примерах переименовывается учетная запись Administrator.

Изменение файла defltwk.inf

Указать собственные имена для встроенных учетных записей можно путем правки файла defltwk.inf, содержащегося в дистрибутиве в сжатом виде. Делается это так (спасибо, ):

1. Находим файл i386\DEFLTWK.IN_ torName =
2. Убираем комментарий перед именем, которое хотим изменить (удалить ";") и задаем после равно в кавычках новые значения, например.

   NewGuestName = "Типа_гость"
   NewAdministra torName = "как_бы_админ"

3. * - В опции имени Администратор по-умолчанию у Microsoft вкралась опечатка, не забудьте добавить между буквами "t" и "a" буковку "r" (в примере выделено цветом) .
4. Сохраняем изменения
5. Упаковываем обратно с помощью программы MAKECAB.EXE (рекомендуется) либо кладем неупакованный файл в папку i386\ , предварительно удалив оттуда оригинал (DEFLTWK.IN_ )

Интерактивное добавление учетных записей

Иногда нужно по-быстрому добавить учетную запись или вообще сделать это еще на Т-12, причем заранее неизвестно, какое имя и пароль нужно пользователю и в какую группу его разместить. Для этого можно воспользоваться программой (загрузить (173 кб), ), которую сделал участник конференции Oszone .

Программа добавляет пользователя (с помощью net user), меняет имя компьютера (параметр ComputerName), имя юзера (параметр RegisteredOwner), прописывает автологон (параметр AutoAdminLogon) или просто делает имя юзера по умолчанию (параметр DefaultUserName), а также может прописывать команду в RunOnceEx, понимает любые пути (локальные, UNC, глобальные, переменные).

Аналогичная по функциональности программа недавно проскочила на MSFN - .

Заключение

Как видите, учетные записи - это достаточно большая и важная тема автоустановки. Однако на поверку она оказывается весьма несложной, если разобраться с механизмами создания учетных записей и автологона. Есть различные варианты решения задач, а также встроенные команды Windows и утилиты, которые в этом помогут.

Доброго времени, читатели . Сегодня в очередной раз пришлось лезть в поиск за необходимо справкой. Часто приходится помогать пользователям Windows прямо из учетной записи пользователя, а под рукой не оказывается инструментов, кроме встроенной в Windows командной строки cmd.exe . При работе под ограниченной в правах учетной записью часто приходится выполнить какую-то задачу с повышенными правами Администратора . cmd для этих задач самое подходящее средство, чтобы не вводить по-многу раз пароль администратора, достаточно один раз запустить командную строку от имени администратора и выполнять нужные действия запускать нужные команды , которые я опишу ниже:

appwiz.cpl - Установка и удаление программ
certmgr.msc - Сертификаты
ciаdv.msc - Служба индексирования
cliconfg - Программа сетевого клиента SQL
clipbrd - Буфер обмена
compmgmt.msc - Управление компьютером
dcomcnfg - Консоль управления DCOM компонентами
ddeshare - Общие ресурсы DDE (на Win7 не работает)
desk.cpl - Свойства экрана
devmgmt.msc - Диспетчер устройств
dfrg.msc - Дефрагментация дисков
diskmgmt.msc - Управление дисками
drwtsn32 - Dr.Watson
dxdiag - Служба диагностики DirectX
eudcedit - Редактор личных символов
eventvwr.msc - Просмотр событий
firewall.cpl - настройки файерволла Windows
gpedit.msc - Груповая политика
iexpress - IExpress (не знаю что это )
fsmgmt.msc - Общие папки
fsquirt - Мастер передачи файлов Bluetooth
chkdsk - Проверка дисков (обычно запускается с параметрами буква_диска: /f /x /r )
control printers - Принтеры и факсы - запускается не всегда
control admintools - Администрирование компьютера - запускается не всегда
control schedtasks - Назначенные задания (планировщик)
control userpasswords2 - Управление учётными записями
compmgmt.msc - Управление компьютером (compmgmt.msc /computer=pc - удаленное управление компьютером pc)
lusrmgr.msc - Локальные пользователи и группы
mmc - создание своей оснастки
mrt.exe - Удаление вредоносных программ
msconfig - Настройка системы (автозапуск, службы и др...)
mstsc - Подключение к удаленному рабочему столу
ncpa.cpl - Сетевые подключения
ntmsmgr.msc - Съёмные ЗУ
ntmsoprq.msc - Запросы операторов съёмных ОЗУ (для XP)
odbccp32.cpl - Администратор источников данных
perfmon.msc - Производительность
regedit - Редактор реестра
rsop.msc - Результатирующая политика
secpol.msc - Локальные параметры безопасности (Локальная политика безопасности)
services.msc - Службы
sfc /scannow - Восстановление системных файлов
sigverif - Проверка подписи файла
sndvol - управление громкостью
sysdm.cpl - Свойства системы
sysedit - Редактор системных файлов (не знаю, что это )
syskey - Защита БД учётных записей
taskmgr - Диспетчер задач
utilman Диспетчер служебных программ
verifier Диспетчер проверки драйверов
wmimgmt.msc - Инфраструктура управления WMI

Данный список - это в основном GUI"овые пролижения. Ниже в отдельный список выделю консольные команды.

Также запустить приложения в панели управления с правами администратора, можно если щелкнуть правой кнопкой мышки одновременно удерживая клавишу Shift. И выбрать Запуск от имени.(RunAs...) (актуально для Win XP).

Список консольных команд:

nbtstat -a pc - имя пользователя работающего за удаленной машиной pc
net localgroup group user /add - Добавить в группу group, пользователя user
net localgroup group user /delete - Удалить пользователя из группы
net send pc ""текст " " - отправить сообщение пользователю компьютера pc
net sessions - список пользователей
net session /delete - закрывает все сетевые сессии
net use l: \\имя компа\папка\ - подключить сетевым диском l: папку на удаленном компьютере
net user имя /active:no - заблокировать пользователя
net user имя /active:yes - разблокировать пользователя
net user имя /domain - информация о пользователе домена
net user Имя /add - добавить пользователя
net user Имя /delete - удалить пользователя
netstat -a - список всех подключений к компьютеру
reg add - Добавить параметр в реестр
reg compare - Сравнивать части реестра.
reg copy - Копирует из одного раздела в другой
reg delete - Удаляет указанный параметр или раздел
reg export - Экспортировать часть реестра
reg import - Соответственно импортировать часть реестра
reg load - Загружает выбранную часть реестра
reg query - Выводит значения заданной ветки реестра
reg restore - Восстанавливает выбранную часть реестра из файла
reg save - Сохраняет выбранную часть реестра
reg unload - Выгружает выбранную часть реестра
shutdown - выключение компьютера, можно удаленно выключить другой.
SystemInfo /s machine - покажет много полезного об удаленной машине

Помимо вышеперечисленных способов, учетные записи пользователей можно создавать, изменять и удалять при помощи командной строки. Для этого нужно выполнить следующие действия:

Запустите командную строку от имени администратора;

Для создания учетной записи при помощи командной строки используйте команду net user .

Команда net user используется для добавления пользователей, установки паролей, отключения учетных записей, установки параметров и удаления учетных записей. При выполнении команды без параметров командной строки отображается список учетных записей пользователей, присутствующих на компьютере. Информация об учетных записях пользователей хранится в базе данных учетных записей пользователей.

Пример команды:

net user User /add /passwordreq:yes /times:monday-friday,9am-6pm/fullname:"New user"

Используемые параметры:

/add – этот параметр указывает, что необходимо создать новую учетную запись;

/passwordreq – этот параметр отвечает за то, чтобы при первом входе в систему пользователь сменил свой пароль;

/times – этот параметр определяет, сколько раз пользователю разрешено входить в систему. Здесь можно указывать как единичные дни, так и целые диапазоны (например Sa или M-F). Для указания времени допускается как 24-часовый формат, так и 12-часовый формат;

/fullname – этот параметр идентичен полю «Полное имя» при создании пользователя предыдущими способами.

2. Создание учетных записей пользователей для компьютеров, состоящих в домене

В серверной операционной системе Windows Server в домене Active Directory учетные записи пользователей можно создавать шестью способами:

Создание пользователей при помощи оснастки «Active Directory – пользователи и компьютеры»

Создание пользователей с помощью командной строки net user

Импорт пользователей с помощью команды CSVDE

Импорт пользователей с помощью команды LDIFDE

Создание пользователей с помощью Windows PowerShell

Создание пользователей с помощью VBScript

Заключение. Кратко рассмотрены вопросы об учетных записях пользователя. Учётная запись пользователя – это запись, которая содержит сведения, необходимые для идентификации пользователя при подключении к системе, а также информацию для авторизации и учёта. Были рассмотрены методы создания локальных учетных записей пользователей и пользователей домена. Реальные упражнения и задачи рассматриваются в лабораторной работе №3 и на практическом занятии №2.

Лекция 4 Защита файлов и общих папок .

Разрешения файловой системы при доступе к ресурсам

Защита файлов и общих папок

Тема информационной защиты сегодня популярна, как никогда. IT-профессионалы черпают знания отовсюду: из специальных статей в журнале и даже из ежедневных рассылок по электронной почте. Большинство технических средств защищают ресурсы организации от постороннего вмешательства.

Но зачастую необходимо разделить доступ к информации внутри самого предприятия. Только представьте, какие проблемы могут возникнуть, если все сотрудники получат доступ к личным записям своих коллег.

Файловая система NTFS в Windows и её полномочия для общих папок специально разработаны для защиты содержимого папок общего доступа как от внутренних, так и внешних утечек. Рассмотрим, как грамотно назначать NTFS-полномочия и управлять доступом к общим папкам и файлам.

Управление доступом к файлам

Большинство пользователей выкладывает файлы в открытый доступ для некоторых сотрудников своего предприятия. Для этого нужно: 1. Щёлкнуть правой кнопкой на папке с файлами, к которым нужно предоставить доступ. 2. Из раскрывшегося меню выбрать пункт Sharing And Security (Общий доступ и безопасность). 3. В диалоговом окне свойств папки перейти на вкладку Sharing (Доступ) и выбрать команду Share This Folder (Открыть общий доступ к этой папке)

1. Введите название папки в графу Share Name (Имя общего ресурса) . 2. По желанию можно добавить несколько пояснительных слов в графу Comment (Описание). 3. Нажмите OK.

Необходимо помнить, что полномочия, заданные по умолчанию, предоставляют доступ к содержимому каталогов всем пользователям (группа Все). Поэтому их необходимо ограничить.

Также для того, чтобы назначить разные полномочия для разных пользователей, необходимо отключить активную по умолчанию опцию Windows Simple File Sharing (Простой общий доступ к файлам): 1. Откройте проводник Windows Explorer. 2. Перейдите в меню Tools (Сервис). 3. Выберите пункт Folder Options (Свойства папки). 4. Перейдите на вкладку View (Вид). 5. В окне Advanced Settings (Дополнительные параметры) уберите отметку с параметра Use Simple File Sharing (Recommended) | Использовать простой общий доступ к файлам (рекомендуется). 6. Нажмите OK.

Для того, чтобы отключить разрешение для Всех (Everyone) и настроить уровень доступа для каждого пользователя индивидуально: 1. Щёлкните правой кнопкой на требуемой папке. 2. Из раскрывшегося меню выберите пункт Sharing And Security (Общий доступ и безопасность). 3. Нажмите на кнопку Permissions (Разрешения). Откроется диалоговое окно Permissions For... (Разрешения для...)

Изображение B. Настройка полномочий доступа на вкладке Share Permissions (Разрешения для общего ресурса) диалогового окна Permissions For... (Разрешения для...).

4. Выделите объект Everyone (Все) в списке представленных групп или пользователей. 5. Нажмите на кнопку Remove (Удалить). 6. Нажмите на кнопку Add (Добавить). Откроется диалоговое окно Select Users Or Groups (Выбор: Пользователь или Группа 7. В окне Enter The Object Names To Select (Введите имена выбираемых объектов) выберите пользователей или группы, для которых требуется настроить полномочия доступа, и нажмите OK. 8. На панели Group Or User Names (Группы или пользователи) выделите объекты, для которых будет произведена настройка полномочий доступа: можно разрешить или запретить (Allow или Deny) Полный доступ (Full Control), Чтение (Change) и Изменение (Read) находящейся в папке информации. 9. Нажмите OK для того, чтобы изменения вступили в силу, и закройте диалоговое окно; нажмите OK для выхода из окна свойств папки.

Полномочия полного доступа (Full Control) разрешают пользователям или группам читать, изменять, удалять и запускать содержащиеся в папке файлы. Помимо этого такие пользователи могут создавать и удалять в этом каталоге новые подпапки.

Пользователи, имеющие право изменять информацию в папке (Change), могут просматривать и изменять находящиеся в каталоге файлы, создавать в нём свои файлы и папки и запускать расположенные в нём программы на исполнение.

Пользователям и группам, наделённых полномочиями чтения информации (Read), разрешается только просматривать хранимые в каталоге файлы и запускать программы. Для информации на дисках Windows XP, отформатированных в файловую систему NTFS, можно устанавливать дополнительные полномочия. NTFS-полномочия (разрешения файловой системы NTFS ) NTFS-полномочия в среде Windows предоставляют собой дополнительный набор параметров, которые можно настраивать для каждого отдельного файла или папки. Для начала нужно убедиться, что настройки Windows позволяют работать с файловой системой NTFS: 1. Нажмите Start (Пуск). 2. Выберите команду Run (Выполнить). 3. Введите в строку compmgmt.msc и нажмите OK. Откроется консоль Computer Management (Управление компьютером). 4. Перейдите к объекту Disk Management (Управление дисками) на вкладке Storage (Запоминающие устройства) для того, чтобы узнать какой тип файловой системы используется на каждом диске. Если диск или один из его разделов не отформатированы в NTFS, это можно исправить, если ввести convert X: /fs:ntfs, поставив вместо X букву нужного диска или раздела. Команда convert поменяет текущую файловую систему диска на NTFS, не уничтожая при этом хранящиеся на нём данные. Тем не менее, перед запуском команды на выполнение лучше сделать резервную копию содержимого диска. Для настройки NTFS-разрешений: 1. Щёлкните на нужном файле или папке. 2. Из контекстного меню выберите пункт Properties (Свойства). 3. Перейдите на вкладку Security (Безопасность). 4. При помощи кнопок Add/Remove (Добавить/Удалить) добавляйте или удаляйте пользователей и групп, для которых требуется произвести настройку NTFS-полномочий доступа. 5. Выберите нужный объект из окна Group Or User Names (Группы или пользователи) и назначайте/запрещайте полномочия, устанавливая или убирая соответствующие отметки в окне Permissions For (Разрешения для), как показано на изображении D. 6. Нажмите ОК для сохранения изменений.

Изображение D. NTFS-полномочия обладают большим количеством настраиваемых параметров по сравнению со службой простого общего доступа.

Учтите, что по умолчанию подкаталоги наследуют свойства своих корневых директорий. Для того, чтобы это изменить, нажмите на кнопке Advanced (Дополнительно) на вкладке Security (Безопасность) диалогового окна Properties (Свойства). Виды NTFS-полномочий: Full Control (Полный доступ) - разрешает пользователям и группам выполнять любые операции с содержимым папки, включая просмотр файлов и подкаталогов, запуск файлов приложений, управление списком содержимого папки, чтение и запуск исполняемых файлов, изменение атрибутов файлов и папок, создание новых файлов, добавление данных в файлы, удаление файлов и подкаталогов, а также изменение полномочий доступа к файлам и папкам. Modify (Изменить) - разрешает пользователям и группам осуществлять просмотр файлов и подкаталогов, запускать исполняемые файлы приложений, управлять списком содержимого папки, просматривать параметры папки, изменять атрибуты папок и файлов, создавать новые файлы и подкаталоги, добавлять данные в файлы и удалять файлов. Read & Execute (Чтение и выполнение) - разрешает пользователям и группам просматривать список файлов и подкаталогов, запускать исполняемые файлы приложений, просматривать содержимое файлов, а также изменять атрибуты файлов и папок. List Folder Contents (Список содержимого папки) - разрешает пользователям и группам осуществлять навигацию по каталогам, работать со списком содержимого папки, а также просматривать атрибуты файлов и папок. Read (Чтение) - разрешает пользователям и группам просматривать содержимое папки, читать файлы и просматривать атрибуты файлов и папок. Write (Запись) - разрешает пользователям и группам изменять атрибуты файлов и папок, создавать новые папки и файлы, а также изменять и дополнять содержимое файлов. Для определения окончательных полномочий того или иного пользователя вычтите из NTFS-разрешений, предоставленных ему непосредственно (или как члену группы), все индивидуальные запреты (или запреты, который он получил в качестве члена группы). К примеру, если пользователь получил полный доступ (Full Control) к данной папке, но в то же время является членом группы, для которой запрещён полный доступ, то он в результате не будет обладать правами полного доступа. Если уровень доступа пользователя ограничен параметрами Read & Execute (Чтение и выполнение) и List Folder Contents (Список содержимого папки) в одной группе, и в то же время ему запрёщен доступ на уровне List Folder Contents (Список содержимого папки), то в результате его NTFS-полномочия будут ограничены только уровнем Read & Execute (Чтение и выполнение). По этой причине администратором следует подходить к запретам с особой осторожностью, поскольку запрещённые функции имеют приоритет перед разрешёнными для того же пользователя или группы. Windows XP снабжена удобной утилитой для подтверждения действующих разрешений пользователя или группы: 1. Откройте диалоговое окно свойств нужного файла или папки (Properties). 2. Перейдите на вкладку Security (Безопасность). 3. Нажмите на кнопку Advanced (Дополнительно). Откроется диалоговое окно Advanced Security Settings For (Дополнительные параметры безопасности для...). 4. Перейдите на вкладку Effective Permissions (Действующие разрешения). (Изображение E) 5. Нажмите на кнопку Select (Выбрать). 6. Откроется диалоговое окно Select User Or Group (Выбор: Пользователь или Группа). 7. В поле Enter The Object Name To Select (Введите имена выбираемых объектов) введите имя пользователя или группы, чьи полномочия необходимо подтвердить, и нажмите OK. 8. Диалоговое окно Advanced Security Settings For (Дополнительные параметры безопасности для...) отобразит итоговый набор NTFS-полномочий для выбранного пользователя или группы.

Изображение E. Вкладка Effective Permissions (Действующие разрешения) помогает легко определить, какими полномочиями на самом деле обладает пользователь или группа.

Сочетание NTFS-разрешений с полномочиями общего доступа

Для определения окончательных полномочий того или иного пользователя сравните итоговые полномочия общего доступа с итоговыми NTFS-разрешениями. Помните, что ограничения доступа будут доминировать над разрешениями.

Например, если итоговые NTFS-права доступа пользователя ограниченны уровнем Read and Execute (Чтение и выполнение), а итоговые права общего доступа - уровнем Full Control (Полный доступ), система не предоставит этому пользователю действительные права полного доступа, а выберет наиболее приоритетный уровень, в данном случае это NTFS-разрешение на чтение и выполнение.

Всегда необходимо помнить о том, что итоговые ограничения в правах превалируют над итоговыми разрешениями. Это очень важный момент, который легко забывается, после чего доставляет пользователям немало хлопот. Поэтому тщательно рассчитывайте соотношения запретов и разрешений полномочий NTFS и общего доступа.

Версия на английском: techrepublic.com.com

Копирование статьи разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник русскоязычной версии. }