Europejskie Informatyczne Studium Certyfikacyjne EITCA e-Learning
Informatyka Biznesowa (EITCA-B)
Kurs: „Zarządzanie oprogramowaniem
Microsoft”
Wykład 5: Administracja systemem
operacyjnym Microsoft Windows 2003/XP
(cz. 2)
Materiał obejmuje zakres programowy
1 godziny lekcyjnej
Europejskie Informatyczne Studium Certyfikacyjne EITCA e-Learning
Studium prowadzone w ramach programu szkoleniowego Europejskiej Akademii Certyfikacji IT
EITCI European IT Certification Academy (EITCA)
Krajowy Przedstawiciel Konsorcjum Realizującego:
Centrum Szkoleniowe IT CompLearn, CompSecur IT Solutions:
ul. Piłsudskiego 74, 50-020 Wrocław, tel. +48 71 722 8038, fax. +48 71 722 8039
NIP: 897-173-92-49, REGON: 020713664, e-mail: info@complearn.pl; strona www: www.complearn.pl
Niniejszy dokument stanowi część materiałów dydaktycznych opracowywanych przez krajowe konsorcjum naukowo-przemysłowe będące realizatorem Europejskiego Informatycznego Studium Certyfikacyjnego w ramach programu EITCA (Europejska Akademia Certyfikacji IT), a także przez inne jednostki naukowo-dydaktyczne działające na rzecz poprawy poziomu kształcenia informatycznego w Polsce (m.in. uczelnie wyższe: Politechnikę Wrocławską oraz konsorcjum uczelni wyższych: Uniwersytetu
Jagiellońskiego,
Uniwersytetu
Warszawskiego,
Politechniki
Warszawskiej,
Politechniki
Poznańskiej
udostępniających materiały dydaktyczne w ramach projektu „Opracowanie programów nauczania na odległość na kierunku studiów wyższych – Informatyka”, zakwalifikowanego przez Ministerstwo Edukacji Narodowej w ramach Sektorowego Programu Operacyjnego: Rozwój Zasobów Ludzkich 2006, finansowanego ze środków Unii Europejskiej).
1. Podstawowe konta użytkowników lokalnych w systemie Windows®
Aby modyfikować konta użytkowników w stopniu podstawowym w systemie Windows XP®
należy przejść do zakładki Konta użytkowników w Panelu sterowania. Można tu nadać lub
zmienić hasło użytkownikowi, utworzyć lub usunąć użytkownika. Aby tego dokonać
niezbędne są uprawnienia administratora. Każdy nowo zakładany użytkownik na tym
poziomie może uzyskać 2 rodzaje uprawnień: administratorskie lub ograniczone. Konto
administratorskie ma pełne prawo do wykonywania wszelkich operacji na kontach,
programach czy plikach. Użytkownik z kontem ograniczonym może zmieniać swoje hasło,
swoją kompozycję i inne ustawienia pulpitu, odtwarzać filmy, obrazy i muzykę, korzystać z
poczty e-mail, wyświetlać utworzone przez siebie lub nadane mu pliki lub je udostępniać w
stworzonym do tego celu specjalnym folderze z odpowiednimi uprawnieniami.
Wybierając zadanie 'Zmień sposób logowania lub wylogowywania użytkowników' można
skonfigurować czy użytkownicy po uruchomieniu systemu będą widzieć ekran powitalny
umożliwiający im wybranie użytkownika wraz z obrazkiem, oraz włączyć/wyłączyć szybkie
przełączanie użytkowników. Szybkie przełączanie użytkowników pozwala na współbieżną
pracę na kilku kontach. Konta można przełączać klikając Start->Wyloguj->Przełącz
użytkownika.
2. Uwierzytelnianie i autoryzacja
Procesy uwierzytelniania i autoryzacji służą sprawdzeniu, czy każdy (np. użytkownik, proces,
usługa - nazywane dalej podmiotem) próbujący uzyskać dostęp do określonego zasobu ma do
tego prawo. Uwierzytelnienie ma na celu potwierdzenie tożsamości podmiotu, innymi słowy
sprawdzenie czy jest tym, za kogo się podaje. Służą do tego między innymi nazwa
użytkownika i hasło, podpisy cyfrowe, czytniki odcisków palców czy siatki tęczówki,
czytniki głosu. W procesie autoryzacji ustalane jest do jakich zasobów podmiot ma dostęp i w
jakiej formie. Dostęp może mieć wieloraką postać np. odczyt, zapis, przegląd, pełna kontrola,
modyfikacja itp.
Dodatkowo wszelkie przesyłanie poufnych danych związane jest z dodatkową koniecznością
stworzenia bezpiecznej komunikacji. W takim bezpiecznym kanale komunikacyjnym musi
być zapewniona prywatność (zabezpieczenie przed odczytem osoby niepowołanej) oraz
integralność (zabezpieczenie przed nieprzewidzianą modyfikacją danych).
W systemie Windows® bezpieczeństwo na podstawowym poziomie odbywa się poprzez
uwierzytelnianie i autoryzację kont użytkowników. Każdy użytkownik ma przydzielony
2
swoją unikalną nazwę oraz hasło. Można także dołączyć czytniki kart, które w połączeniu z
hasłem dają dodatkowe zabezpieczenie (zabezpieczenie podwójne: coś co wiem + coś co
mam).
3. Grupy użytkowników
Bardziej zaawansowaną obsługę kont użytkowników można uruchomić za pomocą Microsoft
Management Console (MMC). W uruchom wpisujemy mmc i potwierdzamy Enterem.
Następnie Plik->Dodaj/Usuń przystawkę. Klikamy
Dodaj i wybieramy
'Użytkownicy i grupy lokalne' potwierdzając przyciskiem Dodaj i Zakończ. Powinniśmy
uzyskać konsolę:
W panelu 'Użytkownicy i grupy lokalne' można dodawać, usuwać i modyfikować
użytkowników oraz grupy użytkowników. Grupa użytkowników to zbiór użytkowników
logicznie ze sobą powiązanych. Grupie użytkowników można nadawać prawa na takich
samych zasadach jak użytkownikom. I tak jeśli nadamy pewnemu użytkownikowi prawo do
zapisu w pewnym katalogu, a należy on do grupy, której użytkownicy mają zabronione
zapisywać w tym katalogu wówczas użytkownik ten jako członek grupy również nie może
wykonywać czynności zapisu - obowiązują bardziej restrykcyjne prawa. Jednak gdyby grupa
miała jedynie nie udostępnioną możliwość zapisu w tym katalogu (np. mogła tylko
odczytywać) wówczas użytkownik tej grupy mógłby skorzystać ze swoich prywatnych praw.
Należy tu rozróżnić nie nadanie przywileju (zezwolenia) do wykonania czynności (allow) od
zabronienia (odmowy) wykonania czynności (deny).
Klikając prawym przyciskiem myszy na użytkowniku i wybierając 'Właściwości' możemy
określić szereg ustawień z nim związanych, jak wygasanie hasła, możliwość zmiany hasła,
konieczność zmiany hasła, członkostwo w grupie czy określenie profilu. Wybierając
'Właściwości' grupy możemy decydować kto do danej grupy należy tzn. dodawać oraz
usuwać członków grupy.
Stwórzmy przykładowych użytkowników 'Utest1', 'Utest2', 'Utest3', 'Utest4' oraz grupy
'Gtest1' i 'Gtest2'.
3
Użytkownik 'Utest1' niech należy do grupy 'Gtest1', a użytkownik 'Utest2' niech należy do
grup 'Gtest1' oraz 'Gtest2'. Należy zauważyć, że nowi użytkownicy już należą do grupy
'Użytkownicy' aby mieć możliwość logowania się i uczestniczenia w systemie. Przynależność
tę należy pozostawić.
Wybrana grupa 'Gtest1' powinna wyglądać jak na rys. poniżej:
Wybrany użytkownik 'Utest2' powinien wyglądać jak na rys. poniżej:
4
3. Uprawnienia systemu plików NTFS
NTFS (New Technology File System) jest standardowym systemem plików w Microsoft
Windows NT® i dalszych wersjach (Windows 2000®, Windows XP®, Windows Server
2003®). Jest to system plików opracowany przez firmy Microsoft oraz IBM na miejsce
starszego systemu FAT16, FAT32. Umożliwia to przykładowo na udzielanie praw do danych
użytkownikom i grupom, dziennik zmian, szyfrowanie i kompresja danych „w locie”, czy
przechowywanie płyt DVD na dysku twardym.
Przed rozpoczęciem poniższych czynności należy upewnić się czy wyłączone jest proste
udostępnianie plików. W tym celu otwieramy dowolny katalog, na górnym pasku
'Narzędzia'->'Opcje folderów' i odznaczamy 'Użyj prostego udostępniania plików (zalecane)'.
Należy być również zalogowanym jako administrator.
Zakładamy na dysku C katalog 'TEST'. Klikając na nim prawy przycisk myszy wybieramy
'Właściwości' i zakładkę 'Zabezpieczenia'. Wyświetlą się prawa grup i użytkowników.
Klikając na grupę lub użytkownika możemy stwierdzić jakie posiada on uprawnienia do tego
katalogu. Klikamy 'Zaawansowane' i odznaczamy 'Dziedzicz po obiekcie nadrzędnym...',
następnie 'Kopiuj' i akceptujemy OK.
Dla celów naszego ćwiczenia usuwamy grupę 'Użytkownicy' (zazwyczaj pozostanie grupa
'Administratorzy', 'SYSTEM' oraz 'TWÓRCA-WŁASCICIEL'). W tym momencie nikt poza
tymi grupami nie może nic robić z naszym katalogiem.
5
Do dyspozycji mamy następujące podstawowe uprawnienia:
Pełna kontrola
Modyfikacja
Zapis i wykonanie
Wyświetlanie zawartości folderu
Odczyt
Zapis
Uprawnienia specjalne
Możemy zezwolić lub zabronić wykonania danej czynności. Administratorzy mają nadane
zezwolenie na wszystkie prawa. Należy tu rozróżnić nie nadanie przywileju do wykonania
czynności (allow) od zabronienia wykonania czynności (deny). Jeśli nie nadamy
użytkownikowi ani zezwolenia ani odmowy na przykładowo zapis do katalogu, jednak grupa
do której ten użytkownik należy ma pozwolenie na zapis wówczas użytkownik ten również
będzie miał pozwolenie na zapis. Jednak w przypadku gdy użytkownik będzie miał
zaznaczoną odmowę do uprawnienia zapisu, wówczas pomimo zezwolenia w grupie do której
należy, nie będzie mógł nic zapisywać w katalogu. Tak samo jeśli użytkownik będzie miał
zezwolenie na zapis a grupa, do której należy odmowę zapisu, wówczas użytkownik nie
będzie mógł nic zapisywać w katalogu. Jak widać obowiązuje zasada bardziej restrykcyjnych
uprawnień.
Efektywne uprawnienia są to uprawnienia wynikowe będące „wypadkową” wszystkich
poszczególnych uprawnień nadanych użytkownikowi i grupom do których należy.
Poniżej przedstawiono przykładowe efektywne uprawnienia użytkownika należącego do
grupy:
Uprawnienia
Uprawnienia grupy
Efektywne
użytkownika
uprawnienia
Przeglądanie
Pozwolenie
-
Pozwolenie
Odczyt
-
-
Odmowa
Zapis
Pozwolenie
Odmowa
Odmowa
Modyfikacja
Odmowa
-
Odmowa
Zmiana uprawnień
-
-
Odmowa
Dodając teraz do listy zabezpieczeń naszego katalogu, stworzonych wcześniej użytkowników
'Utest1', 'Utest2', 'Utest3', 'Utest4' oraz grupy 'Gtest1' i 'Gtest2', każdy domyślnie otrzymuje
zezwolenie na 3 uprawnienia: 'Zapis i wykonanie', 'Wyświetlanie zawartości folderu' oraz
'Odczyt'.
6