Zarzadzanie oprogramowaniem Microsoft Wyklad 5 id 582455

Europejskie Informatyczne Studium Certyfikacyjne EITCA e-Learning

Informatyka Biznesowa (EITCA-B)

Kurs: „Zarządzanie oprogramowaniem

Microsoft”

Wykład 5: Administracja systemem

operacyjnym Microsoft Windows 2003/XP

(cz. 2)

Materiał obejmuje zakres programowy

1 godziny lekcyjnej

Europejskie Informatyczne Studium Certyfikacyjne EITCA e-Learning

Studium prowadzone w ramach programu szkoleniowego Europejskiej Akademii Certyfikacji IT

EITCI European IT Certification Academy (EITCA)

Krajowy Przedstawiciel Konsorcjum Realizującego:

Centrum Szkoleniowe IT CompLearn, CompSecur IT Solutions:

ul. Piłsudskiego 74, 50-020 Wrocław, tel. +48 71 722 8038, fax. +48 71 722 8039

NIP: 897-173-92-49, REGON: 020713664, e-mail: info@complearn.pl; strona www: www.complearn.pl

Niniejszy dokument stanowi część materiałów dydaktycznych opracowywanych przez krajowe konsorcjum naukowo-przemysłowe będące realizatorem Europejskiego Informatycznego Studium Certyfikacyjnego w ramach programu EITCA (Europejska Akademia Certyfikacji IT), a także przez inne jednostki naukowo-dydaktyczne działające na rzecz poprawy poziomu kształcenia informatycznego w Polsce (m.in. uczelnie wyższe: Politechnikę Wrocławską oraz konsorcjum uczelni wyższych: Uniwersytetu

Jagiellońskiego,

Uniwersytetu

Warszawskiego,

Politechniki

Warszawskiej,

Politechniki

Poznańskiej

udostępniających materiały dydaktyczne w ramach projektu „Opracowanie programów nauczania na odległość na kierunku studiów wyższych – Informatyka”, zakwalifikowanego przez Ministerstwo Edukacji Narodowej w ramach Sektorowego Programu Operacyjnego: Rozwój Zasobów Ludzkich 2006, finansowanego ze środków Unii Europejskiej).

1. Podstawowe konta użytkowników lokalnych w systemie Windows®

Aby modyfikować konta użytkowników w stopniu podstawowym w systemie Windows XP®

należy przejść do zakładki Konta użytkowników w Panelu sterowania. Można tu nadać lub

zmienić hasło użytkownikowi, utworzyć lub usunąć użytkownika. Aby tego dokonać

niezbędne są uprawnienia administratora. Każdy nowo zakładany użytkownik na tym

poziomie może uzyskać 2 rodzaje uprawnień: administratorskie lub ograniczone. Konto

administratorskie ma pełne prawo do wykonywania wszelkich operacji na kontach,

programach czy plikach. Użytkownik z kontem ograniczonym może zmieniać swoje hasło,

swoją kompozycję i inne ustawienia pulpitu, odtwarzać filmy, obrazy i muzykę, korzystać z

poczty e-mail, wyświetlać utworzone przez siebie lub nadane mu pliki lub je udostępniać w

stworzonym do tego celu specjalnym folderze z odpowiednimi uprawnieniami.

Wybierając zadanie 'Zmień sposób logowania lub wylogowywania użytkowników' można

skonfigurować czy użytkownicy po uruchomieniu systemu będą widzieć ekran powitalny

umożliwiający im wybranie użytkownika wraz z obrazkiem, oraz włączyć/wyłączyć szybkie

przełączanie użytkowników. Szybkie przełączanie użytkowników pozwala na współbieżną

pracę na kilku kontach. Konta można przełączać klikając Start->Wyloguj->Przełącz

użytkownika.

2. Uwierzytelnianie i autoryzacja

Procesy uwierzytelniania i autoryzacji służą sprawdzeniu, czy każdy (np. użytkownik, proces,

usługa - nazywane dalej podmiotem) próbujący uzyskać dostęp do określonego zasobu ma do

tego prawo. Uwierzytelnienie ma na celu potwierdzenie tożsamości podmiotu, innymi słowy

sprawdzenie czy jest tym, za kogo się podaje. Służą do tego między innymi nazwa

użytkownika i hasło, podpisy cyfrowe, czytniki odcisków palców czy siatki tęczówki,

czytniki głosu. W procesie autoryzacji ustalane jest do jakich zasobów podmiot ma dostęp i w

jakiej formie. Dostęp może mieć wieloraką postać np. odczyt, zapis, przegląd, pełna kontrola,

modyfikacja itp.

Dodatkowo wszelkie przesyłanie poufnych danych związane jest z dodatkową koniecznością

stworzenia bezpiecznej komunikacji. W takim bezpiecznym kanale komunikacyjnym musi

być zapewniona prywatność (zabezpieczenie przed odczytem osoby niepowołanej) oraz

integralność (zabezpieczenie przed nieprzewidzianą modyfikacją danych).

W systemie Windows® bezpieczeństwo na podstawowym poziomie odbywa się poprzez

uwierzytelnianie i autoryzację kont użytkowników. Każdy użytkownik ma przydzielony

swoją unikalną nazwę oraz hasło. Można także dołączyć czytniki kart, które w połączeniu z

hasłem dają dodatkowe zabezpieczenie (zabezpieczenie podwójne: coś co wiem + coś co

mam).

3. Grupy użytkowników

Bardziej zaawansowaną obsługę kont użytkowników można uruchomić za pomocą Microsoft

Management Console (MMC). W uruchom wpisujemy mmc i potwierdzamy Enterem.

Następnie Plik->Dodaj/Usuń przystawkę. Klikamy

Dodaj i wybieramy

'Użytkownicy i grupy lokalne' potwierdzając przyciskiem Dodaj i Zakończ. Powinniśmy

uzyskać konsolę:

W panelu 'Użytkownicy i grupy lokalne' można dodawać, usuwać i modyfikować

użytkowników oraz grupy użytkowników. Grupa użytkowników to zbiór użytkowników

logicznie ze sobą powiązanych. Grupie użytkowników można nadawać prawa na takich

samych zasadach jak użytkownikom. I tak jeśli nadamy pewnemu użytkownikowi prawo do

zapisu w pewnym katalogu, a należy on do grupy, której użytkownicy mają zabronione

zapisywać w tym katalogu wówczas użytkownik ten jako członek grupy również nie może

wykonywać czynności zapisu - obowiązują bardziej restrykcyjne prawa. Jednak gdyby grupa

miała jedynie nie udostępnioną możliwość zapisu w tym katalogu (np. mogła tylko

odczytywać) wówczas użytkownik tej grupy mógłby skorzystać ze swoich prywatnych praw.

Należy tu rozróżnić nie nadanie przywileju (zezwolenia) do wykonania czynności (allow) od

zabronienia (odmowy) wykonania czynności (deny).

Klikając prawym przyciskiem myszy na użytkowniku i wybierając 'Właściwości' możemy

określić szereg ustawień z nim związanych, jak wygasanie hasła, możliwość zmiany hasła,

konieczność zmiany hasła, członkostwo w grupie czy określenie profilu. Wybierając

'Właściwości' grupy możemy decydować kto do danej grupy należy tzn. dodawać oraz

usuwać członków grupy.

Stwórzmy przykładowych użytkowników 'Utest1', 'Utest2', 'Utest3', 'Utest4' oraz grupy

'Gtest1' i 'Gtest2'.

Użytkownik 'Utest1' niech należy do grupy 'Gtest1', a użytkownik 'Utest2' niech należy do

grup 'Gtest1' oraz 'Gtest2'. Należy zauważyć, że nowi użytkownicy już należą do grupy

'Użytkownicy' aby mieć możliwość logowania się i uczestniczenia w systemie. Przynależność

tę należy pozostawić.

Wybrana grupa 'Gtest1' powinna wyglądać jak na rys. poniżej:

Wybrany użytkownik 'Utest2' powinien wyglądać jak na rys. poniżej:

3. Uprawnienia systemu plików NTFS

NTFS (New Technology File System) jest standardowym systemem plików w Microsoft

Windows NT® i dalszych wersjach (Windows 2000®, Windows XP®, Windows Server

2003®). Jest to system plików opracowany przez firmy Microsoft oraz IBM na miejsce

starszego systemu FAT16, FAT32. Umożliwia to przykładowo na udzielanie praw do danych

użytkownikom i grupom, dziennik zmian, szyfrowanie i kompresja danych „w locie”, czy

przechowywanie płyt DVD na dysku twardym.

Przed rozpoczęciem poniższych czynności należy upewnić się czy wyłączone jest proste

udostępnianie plików. W tym celu otwieramy dowolny katalog, na górnym pasku

'Narzędzia'->'Opcje folderów' i odznaczamy 'Użyj prostego udostępniania plików (zalecane)'.

Należy być również zalogowanym jako administrator.

Zakładamy na dysku C katalog 'TEST'. Klikając na nim prawy przycisk myszy wybieramy

'Właściwości' i zakładkę 'Zabezpieczenia'. Wyświetlą się prawa grup i użytkowników.

Klikając na grupę lub użytkownika możemy stwierdzić jakie posiada on uprawnienia do tego

katalogu. Klikamy 'Zaawansowane' i odznaczamy 'Dziedzicz po obiekcie nadrzędnym...',

następnie 'Kopiuj' i akceptujemy OK.

Dla celów naszego ćwiczenia usuwamy grupę 'Użytkownicy' (zazwyczaj pozostanie grupa

'Administratorzy', 'SYSTEM' oraz 'TWÓRCA-WŁASCICIEL'). W tym momencie nikt poza

tymi grupami nie może nic robić z naszym katalogiem.

Do dyspozycji mamy następujące podstawowe uprawnienia:

Pełna kontrola

Modyfikacja

Zapis i wykonanie

Wyświetlanie zawartości folderu

Odczyt

Zapis

Uprawnienia specjalne

Możemy zezwolić lub zabronić wykonania danej czynności. Administratorzy mają nadane

zezwolenie na wszystkie prawa. Należy tu rozróżnić nie nadanie przywileju do wykonania

czynności (allow) od zabronienia wykonania czynności (deny). Jeśli nie nadamy

użytkownikowi ani zezwolenia ani odmowy na przykładowo zapis do katalogu, jednak grupa

do której ten użytkownik należy ma pozwolenie na zapis wówczas użytkownik ten również

będzie miał pozwolenie na zapis. Jednak w przypadku gdy użytkownik będzie miał

zaznaczoną odmowę do uprawnienia zapisu, wówczas pomimo zezwolenia w grupie do której

należy, nie będzie mógł nic zapisywać w katalogu. Tak samo jeśli użytkownik będzie miał

zezwolenie na zapis a grupa, do której należy odmowę zapisu, wówczas użytkownik nie

będzie mógł nic zapisywać w katalogu. Jak widać obowiązuje zasada bardziej restrykcyjnych

uprawnień.

Efektywne uprawnienia są to uprawnienia wynikowe będące „wypadkową” wszystkich

poszczególnych uprawnień nadanych użytkownikowi i grupom do których należy.

Poniżej przedstawiono przykładowe efektywne uprawnienia użytkownika należącego do

grupy:

Uprawnienia

Uprawnienia grupy

Efektywne

użytkownika

uprawnienia

Przeglądanie

Pozwolenie

Odczyt

Odmowa

Zapis

Pozwolenie

Odmowa

Modyfikacja

Odmowa

Zmiana uprawnień

Odmowa

Dodając teraz do listy zabezpieczeń naszego katalogu, stworzonych wcześniej użytkowników

'Utest1', 'Utest2', 'Utest3', 'Utest4' oraz grupy 'Gtest1' i 'Gtest2', każdy domyślnie otrzymuje

zezwolenie na 3 uprawnienia: 'Zapis i wykonanie', 'Wyświetlanie zawartości folderu' oraz

'Odczyt'.