Для чего нужны учетные записи, права и разрешения

Современные операционные системы являются многопользовательскими. Любое действие в них выполняется обязательно от лица определенной учетной записи. Что такое учетная запись? Применительно к операционной системе это идентификатор пользователя, который хранится в самой системе.

Одна из учетных записей всегда принадлежит самой системе: так называемая системная учетная запись. От ее имени запускаются службы во время загрузки компьютера, подключаются устройства, загружаются драйверы и т. д.

В ОС Windows предусмотрены две встроенных стандартных учетных записи: Администратор и Гость. Однако в Windows 7 учетная запись Администратор по умолчанию отключена. В процессе установки системы предлагается создать минимум еще одну учетную запись — под ней и будет работать пользователь.

Понятие «учетная запись» (аккаунт, account) часто используется и в других ситуациях. Обычно под этим понимают сочетание какого-то имени и пароля. Например, учетная запись электронной почты — имя пользователя, зарегистрированного на почтовом сервере (практически это адрес электронной почты) и соответствующий пароль. Учетная запись на сайте — имя, под которым вы зарегистрировались на этом сайте, и, опять же, пароль для доступа к определенным функциям сайта и т. д. К пользователям операционной системы такие учетные записи никакого отношения не имеют.

Каждая учетная запись наделяется определенными правами. Для удобства и простоты управления правами существуют группы. Когда учетная запись пользователя включается в группу, она получает все права, заданные для этой группы. В Windows 7 по умолчанию создано 14 групп, а основное практическое значение имеют три из них: Администраторы, Пользователи и Пользователи удаленного рабочего стола.

Полное и детальное управление пользователями и группами осуществляется через оснастки консоли Управление компьютером → Локальные пользователи и группы и Локальная политика безопасности (Пуск → Выполнить → secpol.msc). Однако во многих случаях бывает достаточно функций, доступных в Панели управления на странице Учетные записи пользователей.

Учетная запись пользователя, создаваемая при установке системы, по умолчанию наделяется правами администратора. Администраторам компьютера разрешается все, в том числе управление учетными записями других пользователей, установка программ и изменение любых настроек системы. Правами администратора должна обладать хотя бы одна из действующих учетных записей. Многие так и работают под этой единственной учетной записью. Однако это весьма серьезный «ляп» в организации безопасности! В частности при открытии веб-страниц, в которые был внедрен вредоносный код, этот код будет выполнен от имени администратора. В таком случае он сможет внести изменения в реестр, поместить зараженные файлы в системные папки и т. д.

Создатели Windows рекомендуют для повседневной работы завести учетную запись с ограниченными правами. Об этом говорится и в справочной системе, и в официальных руководствах. Пользователь, вошедший в систему под такой учетной записью (обычный пользователь), несколько ограничен в правах. Он может запускать большинство приложений, имеет доступ ко многим папкам. Однако ему не разрешено устанавливать программы, изменять принципиально важные настройки системы. Такой пользователь не может изменять, удалять или создавать файлы в системных папках (например, в папках Windows или Program Files). На «правильном» компьютере учетная запись с правами администратора должна использоваться только для установки программ или изменения каких-то серьезных настроек.

Как создать учетную запись?

  1. На странице Панель управления → Учетные записи пользователей щелкните на ссылке Управление другой учетной записью.
  2. На следующей странице выберите ссылку Создание учетной записи. Далее введите имя нового пользователя, установите переключатель в положение Обычный доступ и нажмите кнопку Создание учетной записи.

Хотя прямого запрета на кириллицу в именах учетных записей нет, все-таки правильнее использовать в них только латинские буквы. Некоторые программы отказываются корректно работать, если в имени пользователя присутствуют символы, отличные от латинского алфавита и цифр.

Некоторые приложения должны выполняться только от имени администратора. Например, это многие программы видеонаблюдения, резервного копирования, антивирусные сканеры. Когда вы работаете под ограниченной учетной записью, существует несколько способов корректного запуска подобных приложений:

  • щелкните на ярлыке программы правой кнопкой мыши и в контекстном меню выберите команду Запуск от имени администратора;
  • щелкните на ярлыке правой кнопкой мыши и в контекстном меню выберите команду Свойства. Откроется диалоговое окно свойств. Перейдите в нем на вкладку Совместимость. На этой вкладке нажмите кнопку Изменить параметры для всех пользователей и в дочернем диалоговом окне установите флажок Выполнять эту программу от имени администратора.

При таком запуске приложения срабатывает функция контроля учетных записей: экран затемняется и предлагается ввести пароль администратора. Получается, что пользователь, работающий под ограниченной учетной записью, все равно должен его знать.

Как не давать обычному пользователю пароль от учетной записи администратора, но позволить запускать определенные программы от его имени? Такая задача решается довольно хитрым способом. Сами вы вряд ли будете его использовать — пусть это сделает обслуживающий вашу фирму компьютерщик. Покажем только принцип:

  1. Откройте консоль Управление компьютером и перейдите к элементу Служебные программы → Планировщик заданий.
  2. Создайте новую задачу с коротким названием без пробелов, например Хитрая_Задача. В диалоговом окне создания задачи на вкладке Общие установите флажок Выполнить с наивысшими правами, а на вкладке Действия укажите, какую программу следует запустить. Сохраните созданную задачу.
  3. Создайте на рабочем столе новый ярлык. При создании ярлыка в поле Расположение объекта введите команду schtasks/run/tn Хитрая_Задача (где Хитрая_Задача — название ранее созданной задачи). Присвойте ярлыку понятное имя, например Если нельзя, но очень нужно.

Разумеется, при создании задачи система запросит у вас пароль администратора. Однако в дальнейшем обычный пользователь сможет с помощью ярлыка запускать задачу. Та, в свою очередь, будет запускать указанную программу, но уже от имени администратора — у пользователя пароль никто не спросит!

Смысл создания различных учетных записей не ограничивается разными правами на запуск программ и внесение изменений в настройки операционной системы. В Windows каждому файлу или папке присваиваются определенные разрешения на доступ. Они определяют, что именно конкретному пользователю или участникам группы безопасности позволено или не позволено делать с объектом. Разрешения бывают двух видов:

  • разрешения Share (разрешения сетевого доступа). Эти разрешения определяют права доступа к объекту по сети. Они связаны с операционной системой конкретного компьютера и хранятся в реестре Windows. При переименовании и перемещении папки разрешения сетевого доступа сбрасываются (доступ по сети запрещается для всех), и их нужно задавать заново;
  • разрешения NTFS (разрешения локального доступа). Они являются атрибутами файла или папки и хранятся в файловой системе. Иначе говоря, эти разрешения остаются вместе с объектом даже в том случае, если жесткий диск был переставлен в другой компьютер.

Управление разрешениями Share осуществляется в диалоговом окне свойств файла или папки на вкладке Доступ. Разрешения NTFS задаются на вкладке Безопасность.
В большинстве случаев специально настраивать разрешения NTFS не нужно. Создатель-владелец папки всегда получает к ней полный доступ. Остальным пользователям компьютера предоставляются права на чтение, выполнение и изменение содержимого такой папки.

Исключение составляют личные папки пользователей (Мои документы, Изображения, Рабочий стол и т. д.). К ним и к вложенным в них папкам доступ разрешен только соответствующему пользователю. Остальные могут обратиться к личным папкам другого пользователя только от лица администратора: сработает контроль учетных записей и будет предложено ввести пароль администратора. Участники группы Администраторы обладают неограниченными правами по отношению к любым папкам.

Разрешения сетевого доступа (Share), наоборот, прямо задаются всякий раз, когда вы открываете сетевой доступ к определенной папке. Подробно вопросы создания сетевых ресурсов и разные модели доступа к ним мы рассмотрим в следующих статьях.


Top