Zarządzanie użytkownikami i grupami
Głównym celem każdego sieciowego systemu operacyjnego jest dostarczenie
wspólnego dostępu do plików, drukarek i innych zasobów przypisanych do sieci.
Tak jak ważna, jest zdolność systemu do współużytkowania zasobów przypisanych
do sieci, tak samo ważna, jest zdolność sprawowania kontroli nad tym, kto może
mieć dostęp i na jakim poziomie. Zdolność kontrolowania, kto może wykonywać
funkcje administracyjne, jest innym krytycznym punktem bezpieczeństwa sieci.
Windows NT Server stosuje koncepcję kont użytkowników sieci i wyznaczania im
przywilejów. NT wykorzystuje program User Manager for Domains pracujący w
trybie graficznym i pamięta informacje o użytkownikach i grupach w bazie danych
Security Access Manager, która jest rozproszona na wszystkich kontrolerach
domeny w danej domenie. Zarządzenie użytkownikami i grupami jest realizowane na
poziomie całej sieci. Narzędzia do zarządzania użytkownikami i grupami są
wygodne w obsłudze.
Charakterystyka użytkowników i grup
Windows NT Server używa następującej terminologii dla zarządzania użytkownikami
i grupami:
Domena
Logiczna grupa komputerów, zawierająca serwery i stacje robocze. Domena jest
tym dla komputerów, czym grupa dla użytkowników. Domeny są ustalane najczęściej
ustalane geograficznie lub funkcjonalnie. Na przykład, firma z biurami w
Chicago, Pittsburgu i Winston-Salem może założyć domeny dla każdej lokalizacji.
Wszystkie serwery i stacje robocze, fizyczne zlokalizowane w biurze w Chicago,
będą przypisane do domeny Chicago i tak dalej. Jeśli firma posiada działy
księgowości, administracji i sprzedaży w każdym biurze może również wybrać
utworzenie trzech domen nazwanych Księgowość, Administracja i Sprzedaż. W tym
przypadku, serwery i stacje robocze należą do działów administracji, będą
przypisane do domeny Księgowość, niezależnie od ich fizycznej lokalizacji.
Prawa
Prawa (rights) kontrolują, kto może wykonać specyficzne działania. Na przykład
członkowie grup Administrators i Server Operators mają prawo resetowania zagara
/ kalendarza w serwerze. Członkowie innych grup nie mają takiego prawa i w
związku z tym nie mogą zmienić czasu i daty w serwerze. Prawa mogą być
przyznawane prawa i w związku z tym nie mogą zmienić daty i czasu w serwerze.
Prawa mogą być przyznawane użytkownikom, jak też grupom.
Zezwolenia
Zezwoleń (permissions) kontrolują dostęp do wspólnych zasobów w sieci.
Przyznanie użytkownikowi zezwolenia do specyficznego zasobu, umożliwia mu
dostęp do tego zasobu na dozwolonym poziomie. Na przykład, możesz przyznać
użytkownikowi smith zezwolenie read-only do wspólnego foldera C:\WINNT,
umożliwiające mu czytanie, ale nie zmiany, plików zawartych w tym folderze.
Zezwolenia mogą przyznane zarówno użytkownikom, jak też grupom.
Użytkownik
Konto użytkownika zawiera całą informację potrzebną poszczególnemu
użytkownikowi. Konto użytkownika może być kontem globalnym, przypisywanym
zwykłemu użytkownikowi w domenie lub może być kontem lokalnym, przypisywanym
użytkownikom z domen o ograniczonym dostępie, Konto użytkownika zawiera
następujące informacje:
Informacja identyfikacyjna. Nazwa użytkownika i hasło niezbędne do zalogowania
się w komputerze lub w domenie. NT Sever nie pozwala na powtarzanie się nazw,
ponadto każde konto w momencie powstawania uzyskuje unikalny Security
Identyfication (SID). SID nie może być modyfikowany przez administratora.
Pojęcie SID ma zastosowanie ma także zastosowanie przy instalowaniu samego
serwera i jest powodem, dlaczego musisz ponownie instalować NT, aby zmienić
samodzielny serwer w kontroler domeny
Informacja o grupie. Grupa do której należy ten użytkownik.
Informacja o ograniczeniach konta i profilu. Położenie informacji o profilu dla
tego użytkownika i jego ograniczeniach np. blokada konta lub logowanie
ograniczone do określonej pory dnia lub określonej stacji roboczej.
Grupa
Użytkownicy mogą być przypisani do jednej lub większej ilości grup. Podobnie
jak konta użytkownika, grupy mogą mieć użyczone prawa i zezwolenia. Użytkownik,
który należy do pewnej grupy, korzysta z praw i zezwoleń, wyraźnie użyczonych
grupie, do której należy. Właściciele użycie grup pozwala na bardziej
efektywnie zarządzanie prawami i zezwoleniami użytkowników. Zamiast użyczać
wyraźnie praw i zezwoleń, a następnie przypisać wielu użytkowników do tej
grupy. Gdy potrzeba zmienić prawa i zezwolenia dla szeregu podobnych
użytkowników, członków jakiejś grupy, prościej jest zmodyfikować prawa i
zezwolenia dla całej grupy, niż dla każdego użytkownika z osobna.
NT Server posiada dwa rodzaje grup:
Grupa globalna. Grupa globalna zawiera tylko konta użytkowników, z domeny w
której grupa została utworzona. Grupa globalna może mieć przypisane prawa i
zezwolenia w innej domenie jeśli taka domena ufa domenie, do której należy
grupa globalna. Pozwala to użytkownikowi, przypisanemu do grupy globalnej, na
dostęp do zasobów w innej domenie bez wymagania tego, by miał konto w tej
domenie. Grupa globalna nie może zawierać innych grup.
Grupa lokalna. Grupa lokalna może zawierać zarówno użytkowników, jak też i
grupy globalne. Grupa lokalna może mieć przypisane prawa i zezwolenia tylko w
domenie, w której została utworzona. Prawa i zezwolenia użyczone grupie
lokalnej są dziedziczone przez wszystkich użytkowników i grupy globalne,
członków danej grupy lokalnej. Możesz przypisać grupy globalne z różnych domen
do pojedynczej grupy lokalnej i zarządzać tą grupą lokalną jak pojedynczą
jednostką. Upraszcza to sposób użyczania dostępu do zasobów w domenie
użytkownikom spoza domeny.
UWAGA
Łatwo jest pomylić cele i funkcje grup lokalnych i globalnych. Terminologia
Microsoftu wygląda trochę mętnie, ponieważ grupa lokalna może zawierać
użytkowników z każdej (globalnej) domeny, podczas gdy grupa globalne może
zawierać użytkowników tylko z lokalnej domeny. Wszystko się wyjaśnia, gdy
rozważymy aspekt lokalna / globalna z punktu widzenia praw i zezwoleń. Członkom
grupy lokalnej można przypisać prawa i zezwolenia zarówno w lokalnej domenie,
jak też w innych, ufnych domenach (trusted domains), podczas gdy członkom grupy
lokalnej można przypisać prawa i zezwolenia tylko w domenie lokalnej, w której
ta grupa została utworzona. Wykorzystuj grupy globalne do zarządzania prawami i
zezwoleniami zasadniczych użytkowników
z lokalnej domeny. Wykorzystuj grupy
globalne do użyczenia praw i zezwoleń drugorzędnym użytkownikom ze zdalnych
nieufnych domen (untrusted domanis).

Domyślni użytkownicy
Windows NT Server tworzy podczas instalacji dwa domyślne konta użytkowników.
Możesz zmienić nazwy kont wbudowanych, ale nie możesz ich skasować:
Administrator
Podczas instalacji NT tworzy automatycznie to konto i domaga się przypisania mu
hasła. Konto Administrator jest automatycznie przypisywane do grupy lokalnej
Administrators i do grup globalnych Doma-in Admins i Domain Users.
Guest
Konto Guest dostarcza ograniczonego dostępu do zasobów serwera i jest
przeznaczone dla rzadkich, jednorazowych lub przypadkowych użytkowników. Po
zainstalowaniu systemu jest ono zablokowane i wymaga ręcznego odblokowania.
Jest ono automatycznie przypisywane do grupy globalnej Domain Guests. Do zasad
dobrej pracy należy, żeby nie używać konta Administrator do wykonywania
rutynowych prac. Zamiast niego utworzyć konto robocze i przypisać je do grup
Admionistrators, Domain Admins i Domain users. Powstanie konto równoważne kontu
administratora, posiadające wszystkie prawa i zezwolenia konta Administrator.

Domyślne grupy
NT tworzy podczas instalacji 11 domyślnych grup. Można zmieniać prawa do nich
przypisane, ale nie można zmieniać im nazwy, ani ich skasować. Są to:
Account Operators
Użytkownicy przypisani do tej grupy lokalnej mogą tworzyć i zarządzać kontami
użytkowników i grup w domenie, ale nie mogą przyznawać praw użytkownikom.
Operatorzy Kont mogą jednak przypisać użytkowników do grup utworzonych przez
Administrotora. Grupa lokalna Domain Admins ma automatycznie przypisane
członkostwo w grupie Accunt Operators.
Administrators
Użytkownik przypisany do tej grupy lokalnej ma prawie całkowity dostęp do
serwera i kontrolę nad nim. Może on mieć dostęp do każdego pliku lub katalogu
na wolumenie FAT, lecz może mieć zakazany przez zezwolenia plikowe NTFS lub
zezwolenia katalogowe bezpośredni dostęp do zasobów wolumenu NTFS. Członek tej
grupy może przejąć własność zasobów i ten sposób ominąć ograniczenia NTFS.
Grupa globalna Domain Admins i konto Administrator mają automatycznie
przypisane członkostwo w grupie Administrators.
Backup operators
Członkostwo w tej grupie nadaje prawa potrzebne do wykonywania kopii
archiwalnych zasobów serwera. Prawa te obejmują lokalne logowanie się na
serwerze, zamykanie serwera i omijanie zezwoleń plikowych i katalogowych NTFS w
rozmiarze koniecznym do wykonania archiwizacji. Prawo do przywracanie serwera
musi ręcznie nadać Administrator. Żadne grupy i użytkownicy nie mają
automatycznie przypisanego członkostwa w grupie Backuop Operators, z wyjątkiem
użytkownika przypisanego do grupy lokalnej replikator, który jest także
automatycznie przypisany jako członek grupy Backup Opera-tors.
Domain Admins
Członkowstwo w tej grupie globalnej domyślnie zawiera przywileje
Administratora. Kontu użytkownika Administrator domyślnie przypisane jest
członkostwo w tej grupie, nadając lokalnemu administrato-rowi przywileje
administratora domeny. Grupie Domain Admins jest z kolei automatycznie
przypisywane członkostwo z grupie lokalnej Administrators, przez co każdy
członek grupy Domain Admins ma nadane przywileje lokalnego administratora.
Możesz usunąć grupę globalną Domain Admins z grupy lokalnej Administrators,
jeśli chcesz ograniczyć władzę lokalną członkom grupy Domain Admins.
Domain Guests
Członkowstwo w tej grupie globalnej nadaje ograniczone prawa związane z kontem
gościa. Domyslnie użytkownik Guest jest członkiem grupy Domain Guests, a grupa
Domain Guests jest z kolei członkiem grupy lokalnej Guests. Wbudowane konto
użytkownika Guest ma automatycznie przypisane członkostwo w grupie Domain
Guests.
Domain Users
Członkowstwo w tej grupie globalnej nadaje standardowy zestaw praw,
dostatecznych dla "zwykłego" użytkownika w sieci. Grupa Domain Users jest
członkiem grupy lokalnej Users. Domyślnie wszystkim nowo tworzonym użytkownikom
jest przypisywane członkostwo w grupie Domain users.
Guests
Członkostwo w tej grupie lokalnej nadaje bardzo ograniczone przywileje i jest
przeznaczone dla rzadkich lub jednorazowych użytkowników. Grupie globalnej
Domain Guests jest automatycznie przypisywa-ne członkostwo w grupie Guests.
Print Operators
Członkostwo w tej grupie lokalnej nadaje prawa konieczne do tworzenia i
zarządzania wspólnym wydrukiem w domenie, włączając w to lokalne logowanie się
w serwerze i zamykanie systemu. Żadnym użytkownikom ani grupom nie jest
przypisywane automatycznie członkostwo w tej grupie.
Server Replicator
Członkostwo w tej grupie lokalnej nadaje prawa konieczne do obsługi powielania
katalogów. Żadnym użytkownikom ani grupom nie jest przypisywane automatycznie
członkostwo w tej grupie. Członkostwo może być przypisane tylko specjalnym
użytkownikom, tworzonym podczas realizacji usługi powielania katalogów.
Server Operators
Członkostwo w tej grupie nadaje prawa niższe od praw grupy Administators.
Członkowie tej grupy mogą archiwizować i przywracać pliki oraz katalogi,
zmieniać czas systemowy, wymuszać zdalne za-mknięcie, logować się lokalnie do
konsoli serwera i zamykać serwer. Żadnym użytkownikom ani grupom nie jest
przypisywane automatycznie członkostwo w tej grupie.
Users
Członkostwo w tej grupie nadaje standardowy zestaw praw, dostatecznych dla
"zwykłego" użytkownika sieci. Lokalni użytkownicy (w przeciwieństwie do
użytkowników globalnych) są przypisani do tej grupy. Grupie Domain users jest
automatycznie przypisywane członkostwo w grupie Users.
Power Users
Nowa instalacja Windows NT 4.0 tej grupy nie tworzy. Grupa ta wystąpi przy
aktualizacji z Windows NT 3.5x lub wersji beta Windows NT 4.0. Zostanie ona
zaimportowana i wystąpi jako grupa systemowa na liście grup. Członkostwo w
grupie Power Users rozszerza nieznacznie uprawnienia standardowego konta
użytkownika, pozwalając mu na tworzenie i zarządzanie innymi użytkownikami.
Żadni użytkownicy, ani grupy nie są automatycznie przypisywane do grupy Power
Users.