Difference between revisions of "Споделяне на файлове между потребители на Windows"

From Ilianko
 
(80 intermediate revisions by the same user not shown)
Line 1: Line 1:
 
== Цел на упражнението.==
 
== Цел на упражнението.==
 +
За целта ще се преговорят основните инструменти за управление на потребителите и правата им за достъп до системните настройки и ресурсите в MS Windows.
 +
{{#example:}}
  
Запознаване с основи инструменти за управление на потребителите и правата им за достъп до системните настройки и ресурсите в MS Windows NT.
+
== Теория ==
 +
В Windows упавлението на сигурността се базира на потребителски акаунти. Могат да се създадат неограничен брой акаунти, които да бъдат организирани в различни групи. При създаване на потребител или група за неговата идентификация се генерира специален уникален стринг SID ('''S'''ecurity '''ID'''entifier).
  
За целта ще се създаде [[VirtualBox|виртуална машинa]] с MS Windows NT. '''Импортирайте''' виртуалната машина от файла win1.ova.  
+
'''Пример''' за SID: ''S-1-5-32-1045337234-12924708993-5683276719-19000''.
 +
 
 +
При вход в системата (log in), след успешна [[Упражнение 10. Цифров подпис#Основни понятия|автентификация (въвеждане на парола/ сканиране на пръстов отпечатък)]], се генерира секретен маркер (''' ''security access token'' '''), който съдържа SID на потребитяла, SID на групите, в които членува и специалните привилегии, които има този потребител. В документацията на Windows тези привилегии се наричат '''privileges или rights''', пример за такива са: [[Windows Local Security Policy#User Rights Assignment|възможността на потребителя да съсздава нови акаунти, да прави мрежови настройки]] и т.н.
 +
 
 +
При всеки достъп на потребител до обект (ресурс) на операционната система, от секретния маркер се извлича SID на потребителя и се прави проверка дали има отказ или позволение за достъп до искания обект. Към всеки обект (ресурс) е прикачен списък за контрол на достъпа ('''ACL''' - Access Control List), в който са описани потребителите/групите чрез техния SID, какви права ('''permissions''', '''access rights''') имат или нямат върху дадения обект.
 +
 
 +
'''Примерно:''' Ако обектът е файл, на потребителя '''Ivan''' може да се даде право (Allow) да чете файл '''C:\biogarifii\Maria-CV.doc''' и да му се отмеме правото (Deny) да го редактира (фиг. 1).
 +
 
 +
При стартиране на всяка програма към нея се прикачва секретния маркер на потребителя, който я стартира, така програмата ще действа от името на този потребител.
 +
 
 +
[[Image:permissions.png|frame|none|Фиг. 1. Права]]
 +
 
 +
*[http://technet.microsoft.com/en-us/library/cc709628(WS.10).aspx Understanding and Configuring User Account Control in Windows Vista]
 +
*[http://kb.iu.edu/data/aotl.html SID]
 +
 
 +
== Опитна постановка 1==
 +
За целта ще се създаде [[VirtualBox|виртуална машинa]] с Windows XP.
 +
 
 +
[[VirtualBox#Импортиране на виртуална машина|'''Импортирайте''' виртуалната машина]] (от файла ''D:\it\win1.ova''), дискът на виртуалната машина да се запише в папка на ''D:\IME''.  
 
*Физическа настройка на мрежовия интерфейс
 
*Физическа настройка на мрежовия интерфейс
**избиране на Internal Network (Вътрешна мрежа)
+
**избиране на Internal Network (Вътрешна мрежа),
**Смяна на MAC адрес (Advanced)  
+
**[[VirtualBox#Network|Смяна на MAC адрес]] (Advanced)  
 
*Стартиране на виртуалните компютри
 
*Стартиране на виртуалните компютри
*Смяна имената на компютъра и работната група.
+
*[[Windows Name|Да се смени името на компютъра компютъра]] и работната група.
 +
 
  
== Теория ==
+
'''Задача 0. ''' (При работа с Windows XP professional). Да се деактивира Simple File Sharing.
В Windows упавлението на сигурнността се базира на потребителски акаунти. Могат да се създадат неограничен брой акаунти, които да бъдат групирани по различни критерии. При създаване на потребител за неговата идентификация се генерира специален уникален стринг SID ('''S'''ecurity '''ID'''entifier, пимерно: ''S-1-5-32-1045337234-12924708993-5683276719-19000'')
 
Достъп до някакъв системен обект/ресурс от операционната система може да бъде разрешен или позволен.
 
  
== Задачи за изпълнение ==
+
*Simple File Sharing е функция въведена с Windows XP. Simple File Sharing премахва някои елементи от сигурността при споделяне на ресурси. Това помага да се създаде лесно и бързо споделен ресурс, папка или принтер.
  
 +
Включването на SFS премахва възможността за въвеждане на потребителски пароли и оказване нивата на достъп до споделените ресурси. Когато SFS е включен, потребителите в мрежата няма да бъдат питани за потребителско име и парола при опит да разгледат споделените папки и принтери на компютъра.
  
 +
Ако компютър с Windows XP Professional е част от Windows домейн, вместо на работна група, този прозорец на включване/изключване на SFS няма никакъв ефект. SFS е винаги изключен за компютри в домейн.
  
 +
При Windows 7 SFS не съществува, а се ползва HomeGroup с което може да се споделят файлове само между компютри с Windows 7.
  
'''Задача 0. ''' (При работа с Windows XP professional). Да се изключи деактивира Simple File Sharing.
+
[[Windows XP#SFS|Активиране/деактивиране на Simple File Sharing при Windows XP Professional]]:
 +
My Computer -> Tools -> Folder Otions -> View (Tab) -> enable Simple File Sharing (check box). Simple File Sharing отметката би трябвало да е в края на списъка в прозореца Folder Options.
  
/Simple File Sharing е функция въведена с Windows XP. Simple File Sharing премахва някои елементи от сигурността при споделяне на ресурси. Това помага да се създаде лесно и бързо споделен ресурс, папка или принтер./
 
  
Права за достъп до системните настройки (account rights)
 
  
 
'''Задача 1. ''' Да се запишат всички потребителски акаунти на операционната система.
 
'''Задача 1. ''' Да се запишат всички потребителски акаунти на операционната система.
Line 45: Line 67:
 
  <tr>
 
  <tr>
 
   <td>3</td>
 
   <td>3</td>
 +
  <td>&nbsp;</td>
 +
  <td>&nbsp;</td>
 +
</tr>
 +
<tr>
 +
  <td>4</td>
 
   <td>&nbsp;</td>
 
   <td>&nbsp;</td>
 
   <td>&nbsp;</td>
 
   <td>&nbsp;</td>
 
  </tr>
 
  </tr>
 
</table>
 
</table>
+
 
 +
В Windows има три вида потребителски акаунти:
 +
*на локални потребители - позволяват вход в конкретния компютър и ползването на неговите ресурси.
 +
*на членове на домейни - позволяват вход в домейна и ползване на ресурсите на мрежата.
 +
*вградени - за администриране , достъп до локални или мрежови ресурси
 +
 
 +
За да видите [[Windows Video#Windows Users|всички потребители на локалната машина стартирайте инструмента "Computer Management":]]
 +
*Start -> (Run) -> compmgmt.msc -> OK ->System Tools ->Local Users and Groups -> Users
 +
 
 +
 
  
 
'''Задача 2. ''' Да се запишат всички потребителски групи на операционната система.
 
'''Задача 2. ''' Да се запишат всички потребителски групи на операционната система.
Line 75: Line 111:
 
  </tr>
 
  </tr>
 
</table>
 
</table>
 +
 +
*Когато искаме да дадем едни и същи права на различни потребители, за по лесна администрация можем да обединим потребителите в група и да управляваме правата на групата.
 +
'''Примерно:''' Ako искаме всички потребители да имат достъп до файл "news.doc", но само редактори да могат да го променят.
 +
*Би могло да се създадат две групи '''Access''' и '''Editor'''
 +
*Файлът "news.doc" да се конфигурира, така че да може да бъде четен от група "Access" и редактиран от група "Editor"
 +
*При създаване на нов потребител се конфигура като член на една от групите, в зависимост от правата, които искаме да му присвоим.
 
 
  
'''Задача.3. ''' Отговорете на въпросите:
+
'''Задача.3. ''' Отговорете на въпросите и добавете потребители:
*На кои групи е член акаунтът на текущия потребител?
+
 
Създайте два нови потребителя като използвате User Account Tool ( Изберете Users от контролния панел). Единият потребител е администратор с име Admin, а другият да е ограничен с име NetAdmin.
+
*[[Windows Video#Windows Users Properties|На кои групи е член акаунтът на текущия потребител?]]
 +
Създайте два нови потребителя като използвате [[Windows Video#User Account Tool|User Account Tool]](Manage Accounts за Windows 7) ( Изберете Users от контролния панел). Единият потребител е администратор с име Admin, а другият да е ограничен с име NetAdmin. ( Само за Windows XP Start -> Run -> nusrmgr.cpl -> OK)
 +
 
 +
С този инстумент могат да се създават два типа потребители – администратори и ограничени.
 +
Те имат предварително фиксирани права
 
*На кои групи е член потребител Admin?
 
*На кои групи е член потребител Admin?
 
*На кои групи е член потребител NetAdmin?
 
*На кои групи е член потребител NetAdmin?
Line 86: Line 132:
 
'''Задача.4. ''' Тествайте създадените акаунти.
 
'''Задача.4. ''' Тествайте създадените акаунти.
  
 +
Опишете как тествате акаунтите!
  
'''Задача.5. ''' Настройте правата (rights) на потребител NetAdmin, така че да може да администрира мрежовите настройки. Тествайте.
 
  
 +
'''Задача.5. ''' Настройте правата (rights) на потребител NetAdmin, така че да може да администрира мрежовите настройки.
  
'''Задача.6. ''' Да се създаде задължителна парола за всички потребители и да се тестват създадените потребители. Пробвайте другите настройки за пароли.
+
За улеснение на администрацията съществуват предварително създадени групи. Една от тях е „Network Configuration Operators“. Членовете на тази група могат да администрират мрежовите настройки.  
  
 +
[[Windows Video#Add to Group|Настройте потребител NetAdmin да е член на тази група.]]
  
'''Задача.7. ''' Включете автоматичен вход на потребител NetAdmin
+
Тествайте!
  
'''Задача 8. ''' Да се създаде папка ''NET'' и две групи NETUSER и NETREADER. Всички членове на група NETUSER да могат да записват, създават и редактират файлове в папката ''NET'', а членовете на групата NETREADER да могат само да разглеждат съдържанието на папката и файловете в папката.
 
  
Създайте два нови потребителя единия член на NETUSER, а другия на NETREADER и тествайте.
+
'''Задача.6. ''' Да се създаде [[Windows Video#Password Length|задължителна парола за всички потребители]].  
  
 +
Споделянето на файлове в мрежата са изключени за даден акаунт, ако последния няма парола.
  
'''Задача. 9. ''' Да се конфигурира достъп до споделана папка ''"publications"'' на компютър, който ще се ползва от три вида потребители:
+
Start -> (Run) -> secpol.msc -> Account Policies -> Password Policy -> Minimum Password lenght
*читател - само може да чете файловете без да ги редактира;
 
*автор - може да създава файлове и да редактира само създадените от него файлове;
 
*редактор - има пълни права върху директорията.
 
За целта да се създадат три групи - ''EDITOR, AUTHOR, READER'' и да им се зададат съответните права върху директория ''publications''. Да се създадат три нови акаунта:
 
*Ivan който да е редактор;
 
*Maria който да е автор;
 
*Ilian който да е читател.
 
Тествайте конфигурацията, опишете процеса на тестване.
 
  
== Методически указания за изпълнение на задачите ==
+
*Да се тестват създадените потребители.
'''Задача 0.'''
+
*Да се създаде нов [[Windows Video#Add User compmgmt.msc|потребител с програмата Computer Managment.]]
Simple File Sharing е функция въведена с Windows XP. Simple File Sharing премахва някои елементи от сигурността при споделяне на ресурси. Това помага да се създаде лесно и бързо споделен ресурс – папка, принтер и др. Simple File Sharing (SFS) е винаги включен и неможе да се изключи във Windows XP Home Edition.
+
*Пробвайте другите настройки за паролите.
  
Включването на SFS премахва възможността за въвеждане на потребителски пароли и оказване нивата на достъп до споделените ресурси. Когато SFS е включен, потребителите в мрежата няма да бъдат питани за потребителско име и парола при опит да разгледат споделените папки и принтери на компютъра.
 
  
Ако компютър с Windows XP Professional е част от Windows домейн, вместо на работна група, този прозорец на включване/изключване на SFS няма никакъв ефект. SFS е винаги изключен за компютри в домейн.
 
  
При Windows 7 SFS не съществува, а се ползва HomeGroup с което може да се споделят файлове само между компютри с Windows 7.
+
'''Задача 7. ''' Да се създаде папка ''NET'' и две групи NETUSER и NETREADER. Всички членове на група NETUSER да могат да записват, създават и редактират файлове в папката ''NET'', а членовете на групата NETREADER да могат само да разглеждат съдържанието на папката и файловете в папката.
  
Активиране/деактивиране на Simple File Sharing при Windows XP Professional става от менюто показано на фиг. 1
+
[[Windows Video#File Permissions|Редактиране на листа за контрола на достъп до файл (permissions, ACL)]]
My Computer -> Tools -> Folder Otions -> View (Tab) -> enable Simple File Sharing (check box). Simple File Sharing отметката би трябвало да е в края на списъка в прозореца Folder Options.
 
  
[[Image:sfs.png|none|frame|фиг.1 Деактивиране SFS]]
+
Създайте два нови потребителя единия член на NETUSER, а другия на NETREADER и тествайте.
  
'''Задача 1.'''
 
  
Windows NT има три вида потребителски акаунти.
+
[[Image:group.png|none|frame|Създаване на група]]
*A local user account allows you to log on to a specific computer to access resources on that computer.
 
*A domain user account allows you to log on to the domain to access network resources.
 
*A built-in user account allows you to perform administrative tasks or access local or network resources.
 
  
За да видите всички потребители на локалната машина стартирайте инструмента "Computer Management":
+
== Допълнителни задачи ==
*My Computer(десен бутон)->manage (Computer Mangment) ->
+
'''Задача.1. ''' Включете автоматичен вход на потребител NetAdmin
* или Start -> (Run) -> compmggmt.msc ->
+
Стартирайте инструмент "User Accounts"
След това изберете: -> System tools ->Local Users and Groups->Users (Виж Фиг.2)
 
  
[[Image:users.png|none|frame|фиг.2 Потребители]]
+
Start -> Run -> "Control Userpasswords2" (за xp)/ netplwiz( за win 7) -> OK
  
'''Задача 2.'''
+
http://www.sevenforums.com/tutorials/377-log-automatically-startup.html
Когато искаме да дадем едни и същи права на различни потребители, за по лесна администрация можем да обеденим потребителите в група и да управляваме правата на групата.  
 
  
За да видите всички потребители на локалната машина отверете Computer Mangment:
 
*System tools ->Local Users and Groups->Groups (Виж Фиг.2).
 
  
'''Задача 3'''
+
'''Задача. 2. '''  
Един потребител може да е член на няколко групи.
 
  
User (десен бутон) -> Properties (Фиг. 3) -> Member Of (Tab)
+
Да се конфигурира достъп до споделана папка ''"publications"'' на компютър, който ще се ползва от три вида потребители:
 +
*читател - само може да чете файловете без да ги редактира;
 +
*автор - може да създава файлове и да редактира само създадените от него файлове;
 +
*редактор - има пълни права върху директорията.
  
[[Image:members.png|none|frame|Потребител опции]]
+
За целта да се създадат три групи - ''EDITOR, AUTHOR, READER'' и да им се зададат съответните права върху директория ''publications''. Да се създадат три нови акаунта:
'''Задача 4. '''Съществуват няколко начина за добавяне на потребители. Един от тях е с инструмента „User account tool“
+
*Ivan който да е редактор;
Start -> Run -> nusrmgr.cpl -> OK
+
*Maria който да е автор;
 +
*Ilian който да е читател.
 +
Тествайте конфигурацията, опишете процеса на тестване.
  
С този инстумент могат да се създават два типа потребители – администратори и ограничени.
+
[[Windows Video#Advanced Permissions|Използвайте разширените опции за настройка на ACL]]
Те имат предварително фиксирани права
 
  
Съществуват два типа права в Windows NT, които се разделят на “Rights” и “Permissions”.
+
== Опитна постановка 2 ==
  
'''Rights''' -> права за работа с операционната системата (различни настройки, инсталация програми, отдалечен достъп, следене на конфигурационни файлове)
+
Да се създадат две [[VirtualBox|виртуални машини]] с Windows XP.
 +
*Физическа настройка на мрежовия интерфейс
 +
**избиране на Internal Network (Вътрешна мрежа)
 +
**Смяна на MAC адрес (Advanced)
 +
*Стартиране на виртуалните компютри
 +
*[[Windows_Name|Смяна имената на компютрите и работната група]], съответно PC1, PC2 и IT
 +
*Настройка на мрежови адреси
 +
**PC1 – 172.16.16.1 / 24
 +
**PC2 – 172.16.16.2 / 24
  
'''Permissions''' -> права (разрешения) за работа с файловата система и други ресурси ( триене, четене, изпълнение на файлове, принтери…)
 
  
'''Задача 5''' За улеснение на администрацията съществуват предварително създадени групи.  
+
'''Задачи. 1''' Конфигуране на споделена папка.
Една от тях е „Network Configuration Operators“. Членовете на тази група могат да администрират мрежовите настройки.
+
Да се сподели папка (Windows XP) за достъп от други потребители в локалната мрежа
  
Настройте потребител NetAdmin да е член на тази група.
+
Стъпки на работа:
Отворете опциите на потребитеял (задача 3). От таб „Member Of“ изберете:  
 
*Add -> Advance -> Find Now -> Network Configuration Operators -> OK -> OK.
 
  
'''Задача 6'''
+
*[[Firewall Video#ICMP|Настройка на Firewall да пропуска ICMP пакети]] -> ''Allow incoming echo requests'' - тествайте ping 172.16.16.1, 172.16.16.2, PC1, PC2
Start -> Run -> secpol.msc -> OK
+
[[Image:WindowsXPfirewall.png|none|frame|позволяване на "ping"]]
Account Policies  -> Password Policy -> Minimum Password lenght
+
*Тестване на физическата връзка, тествайте ping 172.16.16.1, 172.16.16.2, PC1, PC2
 +
*Изключване на [[Windows XP#Disable SFS|Simple File Sharing]] на PC1 (windows XP)
 +
*[[Windows Video#Set Password|Създаване на парола на акаунт]] it na PC1
 +
*Създаване на папка c:/netdocs на PC1
 +
*[[Windows Video#Share|Споделяне на папка]] c:/netdocs на PC1
 +
*На PC2 в file explorer напишете \\PC1 и проверете дали имате достъп до netdocs
 +
*От PC1 създайте текстов файл в c:\netdocs, отворете файла от PC2 и пробвайте да го редактирате
 +
*[[Windows Video#Share Permissions|Позволете редактиране съдържанието на netdocs през отдалечен достъп]]
  
[[Image:pass.png|none|frame|фиг. 3 Дължина парола]]
 
  
Задайте минимална дължина по-голяма от 0!
+
'''Задача. 2''' Файлов сървър.
  
'''задача 7'''
+
Да се реализира файлов сървър система за фирма Х.
Стартирайте инструмент "User Accounts"
+
Фирмата има три отдела:
 +
*Инженери
 +
*Финансисти
 +
*Администратори
  
Start -> Run -> "Control Userpasswords2" (за xp)/ netplwiz( за win 7) -> OK
+
Служителите от всеки отдел искат да имат собствено място, където да имат пълни права върху файловете, а служителите от другите отдели да могат само да разглеждат тези файлове. Но освен това служителите искат да имат място в своята част,
 +
*където всички потребители имат пълен достъп (public area)
 +
*което е достъпно само за служителите на отдела (private area).
  
http://www.sevenforums.com/tutorials/377-log-automatically-startup.html
+
В момента има следните служители:
 +
*Иван – инженер.
 +
*Христо и Божидар са финансисти.
 +
*Ник и Немо са системни администратори.
 +
*Мария – В момента е инженер, но също е била и финансист и все още понякога се занимава с финанси.
  
'''Задача 8'''
 
[[Image:group.png|none|frame|Създаване на група]]
 
  
 +
Стъпки на работа:
 +
*Да се направи план за файловия сървър, който физически ще e споделена папка на PC1.
 +
*Да се реализира файловия сървър, като се реализират групи – ENG, FIN и ADMIN. Да се създадат и съответните потребители. Паролите на *Потребителите да бъдат $ime-test, където $ime се замества със съответното име.
 +
*На компютър PC2 задайте папка netdocs от PC1 да се вижда като устройство H.
 +
*Настройте PC1 da регистрира неуспешните опити за вход във файловата системата.
 +
*Използвайте следните инструменти:
 +
**За активиране на одит.
 +
''Control Panel -> Administrative tools -> Local Security Settings -> Local Policies -> Audit Policies''
 +
**За проверка на съобщенията
 +
''Control Panel -> Administrative tools -> Event Viewer''
  
 +
== Връзка WindowsXP/Windows7==
  
 +
== Връзка Windows7/Windows7 ==
  
== edit ==
+
==Други==
[[Category:Windows]]
+
[[Акаунти в Активна Директория на напуснали служители]]

Latest revision as of 09:11, 18 November 2022

Цел на упражнението.

За целта ще се преговорят основните инструменти за управление на потребителите и правата им за достъп до системните настройки и ресурсите в MS Windows. {{#example:}}

Теория

В Windows упавлението на сигурността се базира на потребителски акаунти. Могат да се създадат неограничен брой акаунти, които да бъдат организирани в различни групи. При създаване на потребител или група за неговата идентификация се генерира специален уникален стринг SID (Security IDentifier).

Пример за SID: S-1-5-32-1045337234-12924708993-5683276719-19000.

При вход в системата (log in), след успешна автентификация (въвеждане на парола/ сканиране на пръстов отпечатък), се генерира секретен маркер ( security access token ), който съдържа SID на потребитяла, SID на групите, в които членува и специалните привилегии, които има този потребител. В документацията на Windows тези привилегии се наричат privileges или rights, пример за такива са: възможността на потребителя да съсздава нови акаунти, да прави мрежови настройки и т.н.

При всеки достъп на потребител до обект (ресурс) на операционната система, от секретния маркер се извлича SID на потребителя и се прави проверка дали има отказ или позволение за достъп до искания обект. Към всеки обект (ресурс) е прикачен списък за контрол на достъпа (ACL - Access Control List), в който са описани потребителите/групите чрез техния SID, какви права (permissions, access rights) имат или нямат върху дадения обект.

Примерно: Ако обектът е файл, на потребителя Ivan може да се даде право (Allow) да чете файл C:\biogarifii\Maria-CV.doc и да му се отмеме правото (Deny) да го редактира (фиг. 1).

При стартиране на всяка програма към нея се прикачва секретния маркер на потребителя, който я стартира, така програмата ще действа от името на този потребител.

Фиг. 1. Права

Опитна постановка 1

За целта ще се създаде виртуална машинa с Windows XP.

Импортирайте виртуалната машина (от файла D:\it\win1.ova), дискът на виртуалната машина да се запише в папка на D:\IME.


Задача 0. (При работа с Windows XP professional). Да се деактивира Simple File Sharing.

  • Simple File Sharing е функция въведена с Windows XP. Simple File Sharing премахва някои елементи от сигурността при споделяне на ресурси. Това помага да се създаде лесно и бързо споделен ресурс, папка или принтер.

Включването на SFS премахва възможността за въвеждане на потребителски пароли и оказване нивата на достъп до споделените ресурси. Когато SFS е включен, потребителите в мрежата няма да бъдат питани за потребителско име и парола при опит да разгледат споделените папки и принтери на компютъра.

Ако компютър с Windows XP Professional е част от Windows домейн, вместо на работна група, този прозорец на включване/изключване на SFS няма никакъв ефект. SFS е винаги изключен за компютри в домейн.

При Windows 7 SFS не съществува, а се ползва HomeGroup с което може да се споделят файлове само между компютри с Windows 7.

Активиране/деактивиране на Simple File Sharing при Windows XP Professional: My Computer -> Tools -> Folder Otions -> View (Tab) -> enable Simple File Sharing (check box). Simple File Sharing отметката би трябвало да е в края на списъка в прозореца Folder Options.


Задача 1. Да се запишат всички потребителски акаунти на операционната система.

# Aкаунт Описание
1    
2    
3    
4    

В Windows има три вида потребителски акаунти:

  • на локални потребители - позволяват вход в конкретния компютър и ползването на неговите ресурси.
  • на членове на домейни - позволяват вход в домейна и ползване на ресурсите на мрежата.
  • вградени - за администриране , достъп до локални или мрежови ресурси

За да видите всички потребители на локалната машина стартирайте инструмента "Computer Management":

  • Start -> (Run) -> compmgmt.msc -> OK ->System Tools ->Local Users and Groups -> Users


Задача 2. Да се запишат всички потребителски групи на операционната система.

# Група Описание
1    
2    
3    
  • Когато искаме да дадем едни и същи права на различни потребители, за по лесна администрация можем да обединим потребителите в група и да управляваме правата на групата.

Примерно: Ako искаме всички потребители да имат достъп до файл "news.doc", но само редактори да могат да го променят.

  • Би могло да се създадат две групи Access и Editor
  • Файлът "news.doc" да се конфигурира, така че да може да бъде четен от група "Access" и редактиран от група "Editor"
  • При създаване на нов потребител се конфигура като член на една от групите, в зависимост от правата, които искаме да му присвоим.


Задача.3. Отговорете на въпросите и добавете потребители:

Създайте два нови потребителя като използвате User Account Tool(Manage Accounts за Windows 7) ( Изберете Users от контролния панел). Единият потребител е администратор с име Admin, а другият да е ограничен с име NetAdmin. ( Само за Windows XP Start -> Run -> nusrmgr.cpl -> OK)

С този инстумент могат да се създават два типа потребители – администратори и ограничени. Те имат предварително фиксирани права

  • На кои групи е член потребител Admin?
  • На кои групи е член потребител NetAdmin?


Задача.4. Тествайте създадените акаунти.

Опишете как тествате акаунтите!


Задача.5. Настройте правата (rights) на потребител NetAdmin, така че да може да администрира мрежовите настройки.

За улеснение на администрацията съществуват предварително създадени групи. Една от тях е „Network Configuration Operators“. Членовете на тази група могат да администрират мрежовите настройки.

Настройте потребител NetAdmin да е член на тази група.

Тествайте!


Задача.6. Да се създаде задължителна парола за всички потребители.

Споделянето на файлове в мрежата са изключени за даден акаунт, ако последния няма парола.

Start -> (Run) -> secpol.msc -> Account Policies -> Password Policy -> Minimum Password lenght


Задача 7. Да се създаде папка NET и две групи NETUSER и NETREADER. Всички членове на група NETUSER да могат да записват, създават и редактират файлове в папката NET, а членовете на групата NETREADER да могат само да разглеждат съдържанието на папката и файловете в папката.

Редактиране на листа за контрола на достъп до файл (permissions, ACL)

Създайте два нови потребителя единия член на NETUSER, а другия на NETREADER и тествайте.


Създаване на група

Допълнителни задачи

Задача.1. Включете автоматичен вход на потребител NetAdmin Стартирайте инструмент "User Accounts"

Start -> Run -> "Control Userpasswords2" (за xp)/ netplwiz( за win 7) -> OK

http://www.sevenforums.com/tutorials/377-log-automatically-startup.html


Задача. 2.

Да се конфигурира достъп до споделана папка "publications" на компютър, който ще се ползва от три вида потребители:

  • читател - само може да чете файловете без да ги редактира;
  • автор - може да създава файлове и да редактира само създадените от него файлове;
  • редактор - има пълни права върху директорията.

За целта да се създадат три групи - EDITOR, AUTHOR, READER и да им се зададат съответните права върху директория publications. Да се създадат три нови акаунта:

  • Ivan който да е редактор;
  • Maria който да е автор;
  • Ilian който да е читател.

Тествайте конфигурацията, опишете процеса на тестване.

Използвайте разширените опции за настройка на ACL

Опитна постановка 2

Да се създадат две виртуални машини с Windows XP.

  • Физическа настройка на мрежовия интерфейс
    • избиране на Internal Network (Вътрешна мрежа)
    • Смяна на MAC адрес (Advanced)
  • Стартиране на виртуалните компютри
  • Смяна имената на компютрите и работната група, съответно PC1, PC2 и IT
  • Настройка на мрежови адреси
    • PC1 – 172.16.16.1 / 24
    • PC2 – 172.16.16.2 / 24


Задачи. 1 Конфигуране на споделена папка. Да се сподели папка (Windows XP) за достъп от други потребители в локалната мрежа

Стъпки на работа:

позволяване на "ping"


Задача. 2 Файлов сървър.

Да се реализира файлов сървър система за фирма Х. Фирмата има три отдела:

  • Инженери
  • Финансисти
  • Администратори

Служителите от всеки отдел искат да имат собствено място, където да имат пълни права върху файловете, а служителите от другите отдели да могат само да разглеждат тези файлове. Но освен това служителите искат да имат място в своята част,

  • където всички потребители имат пълен достъп (public area)
  • което е достъпно само за служителите на отдела (private area).

В момента има следните служители:

  • Иван – инженер.
  • Христо и Божидар са финансисти.
  • Ник и Немо са системни администратори.
  • Мария – В момента е инженер, но също е била и финансист и все още понякога се занимава с финанси.


Стъпки на работа:

  • Да се направи план за файловия сървър, който физически ще e споделена папка на PC1.
  • Да се реализира файловия сървър, като се реализират групи – ENG, FIN и ADMIN. Да се създадат и съответните потребители. Паролите на *Потребителите да бъдат $ime-test, където $ime се замества със съответното име.
  • На компютър PC2 задайте папка netdocs от PC1 да се вижда като устройство H.
  • Настройте PC1 da регистрира неуспешните опити за вход във файловата системата.
  • Използвайте следните инструменти:
    • За активиране на одит.

Control Panel -> Administrative tools -> Local Security Settings -> Local Policies -> Audit Policies

    • За проверка на съобщенията

Control Panel -> Administrative tools -> Event Viewer

Връзка WindowsXP/Windows7

Връзка Windows7/Windows7

Други

Акаунти в Активна Директория на напуснали служители