Konta dla wszystkich

Chcąc efektywnie zarządzać uprawnieniami osób korzystających z jednego komputera, należy zdefiniować zakres uprawnień każdego logującego się na nim użytkownika. Szczególne możliwości pod tym względem stwarza system Windows XP. Każda nowa osoba jest domyślnie przypisywana wszystko mogącej grupie Administratorzy. Niestety, nie jest to dobre rozwiązanie. Brak jakichkolwiek ograniczeń w operowaniu plikami, katalogami, aplikacjami, sterownikami urządzeń i innymi składnikami systemu powoduje, że jeden użytkownik może przypadkowo skasować dane innemu. Da się tego uniknąć, zmieniając domyślne ustawienia proponowane przez system podczas ustawiania nowych kont użytkowników bądź edytowania już istniejących. Artykuł dotyczy jednak nie tylko systemu Windows XP, lecz także Windows Vista. W najnowszym systemie Microsoftu kwestia przyporządkowania domyślnego zakresu uprawnień nowo utworzonym kontom została rozwiązana w bardzo przemyślany sposób.

Zanim przystąpisz do działania – uwaga! Konto, z którego dokonujesz globalnych ustawień kont użytkowników, przypisujesz uprawnienia poszczególnym użytkownikom i wykonujesz inne działania administratorskie, musi mieć oczywiście poziom uprawnień administratora systemu. Jeżeli korzystasz z Windows XP i nie zmieniałeś ustawień domyślnych, to najprawdopodobniej używasz konta z uprawnieniami administracyjnymi. W Windows Vista będziesz musiał zatwierdzać operacje administracyjne.

Z menu Start wybierz Panel sterowania. W oknie Panel sterowania wybierz kategorię Konta użytkowników, a następnie na liście Wybierz zadanie kliknij Tworzy nowe konto.

W oknie Konta użytkowników, w polu tekstowym Wpisz nazwę dla nowego konta wpisz nazwę tworzonego konta (w naszym przykładzie Test) i kliknij przycisk Dalej.

Kolejny etap to wybór typu konta (typ konta stanowi o zakresie związanych z nim uprawnień). Domyślnie zaznaczona jest opcja Administrator komputera. Zmień to, klikając Ograniczone, i kliknij Utwórz konto. Na liście kont użytkowników, w oknie pojawi się nowy wpis (w naszym przykładzie Test) opisany jako Konto z ograniczeniami.

Użytkownik konta z ograniczeniami może normalnie i bez przeszkód korzystać z większości zainstalowanych w komputerze aplikacji (z wyjątkiem aplikacji administratorskich lub programów wymagających wyższych uprawnień i sterujących np. sprzętem zainstalowanym w systemie), przeglądać internet i tworzyć własne dokumenty. Ale nie będzie miał dostępu do wielu ustawień systemu, np. nie będzie mógł zmienić konfiguracji zapory Windows. W oknie Zapora systemu Windows będzie wyświetlony komunikat Musisz być administratorem komputera, aby zmienić te ustawienia.

Tego typu restrykcje nie są ograniczeniem wolności użytkownika, lecz zabezpieczeniem. Przykładowo, jeżeli użytkownik konta z ograniczeniami przypadkowo pobierze z internetu złośliwe oprogramowanie (np. konia trojańskiego), to owo oprogramowanie nie narobi szkód, gdyż będzie mogło być wykonane tylko z takimi uprawnieniami, jakie ma konto, z którego jest uruchamiane. Zatem do codziennej pracy używaj kont ograniczonych.

Jeżeli korzystasz z Windows XP Professional, masz do dyspozycji nieco inną metodę dodawania nowych kont, która pozwala w znacznie szerszym zakresie definiować zakres uprawnień.

Z menu Start wybierz Uruchom. Następnie w oknie Uruchamianie wpisz polecenie control userpasswords2 i kliknij OK.

Zobaczysz okno Konta użytkowników, które jednak wygląda zupełnie inaczej niż aplet Panelu sterowania o tej samej nazwie. Na liście widocznej pod zakładką Użytkownicy figurują nazwy kont zdefiniowane w systemie. Zwróć uwagę, że widoczne jest konto Administrator, które w aplecie Panelu sterowania jest ukryte. Jeśli chcesz dodać nowe konto, kliknij przycisk Dodaj.

W oknie Dodawanie nowego użytkownika wypełnij pola tekstowe, podając kolejno: nazwę (koniecznie) – w naszym przykładzie Test PCF, imię i nazwisko oraz opis (niekoniecznie). Kliknij Dalej.

Kolejny etap to zdefiniowanie hasła dostępowego do tworzonego konta. Nie musisz wprowadzać hasła, ale jest to zalecane. Gdy wpiszesz hasło (jednakowe w obu widocznych polach), kliknij Dalej.

Czas na zdefiniowanie dostępu dla tworzonego konta, co wiąże się z zakresem uprawnień, jakimi konto będzie dysponować. Domyślnie zaznaczona w oknie Dodawanie nowego użytkownika opcja Użytkownik standardowy przypisuje tworzonemu kontu wyższy poziom uprawnień niż te, które możesz uzyskać za pomocą Panelu sterowania (poza oczywiście kontem administracyjnym). Z kolei wybierając opcję Inny, uaktywniasz rozwijaną listę zawierającą zdefiniowane w systemie grupy uprawnień. Zaznaczenie wybra nej grupy przypisuje tworzonemu kontu uprawnienia równo ważne uprawnieniom przypisanym danej grupie. Więcej informacji o grupach znajdziesz w ramce „Grupy użytkowników w Windows XP oraz Vista i przypisane im uprawnienia”. Dobrym wyborem jest opcja Użytkownik standardowy. Konto dysponuje większymi uprawnieniami niż utworzone za pomocą apletu Panelu sterowania, a zarazem nie ma uprawnień administratorskich. Gdy wybierzesz grupę i określisz tym samym poziom dostępu, kliknij przycisk Zakończ. Nowe konto pojawi się na liście w oknie Konta użytkowników.

Jeżeli chcesz sprawdzić, jak konto jest opisane w Panelu sterowania, wywołaj aplet Konta użytkowników z Panelu sterowania (patrz poprzedni warsztat). W zestawieniu kont zobaczysz ikonę no wo utworzonego konta podpisaną zwrotem Nieznany typ konta. Chronione hasłem.

Uwaga! Opisany, alternatywny sposób dodawania nowych kont nie będzie działał w Windows XP Home Edition.

Jeżeli chcesz mieć jeszcze dokładniejszy dobór parametrów konta w trakcie jego tworzenia, masz do dyspozycji jeszcze jedną metodę dodawania kont (niedostępną w wersji Windows XP Home).

Powtórz krok pierwszy z poprzedniego warsztatu. W oknie Konta użytkowników przejdź do zakładki Zaawansowane. W sekcji Zaawansowane zarządzanie użytkownikami kliknij przycisk Zaawansowane.

Zobaczysz okno przystawki administracyjnej Użytkownicy i grupy lokalne. Najpierw po lewej stronie okna zaznacz kliknięciem myszki pozycję Użytkownicy. Po prawej stronie pojawią się nazwy kont użytkowników istniejących w systemie. Z pewnością zobaczysz konta, które nigdzie indziej nie są widoczne, np. Pomocnik. Jeżeli chcesz wiedzieć, po co istnieją te konta, przeczytaj ramkę „Dodatkowe konta w Windows XP i Vista”. Kliknij prawym klawiszem myszki w pustym obszarze po prawej stronie okna Użytkownicy i grupy lokalne i z menu kontekstowego wybierz pozycję Nowy użytkownik.

W oknie Nowy użytkownik wypełnij pole Nazwa użytkownika. Pozostałych pól nie musisz wypełniać. W oknie tym znajduje się bardzo przydatne i domyślnie zaznaczone pole wyboru Użytkownik musi zmienić hasło przy następnym logowaniu. Dzięki temu ty, jako administrator i założyciel konta dla kogoś innego, nie musisz definiować hasła, za to posiadacz konta będzie musiał to zrobić. Kliknij przycisk Utwórz, a następnie Zamknij.

Konto jest już założone, ale jakie uprawnienia zostały mu przydzielone? System Windows, podczas tworzenia konta tą metodą, przyporządkowuje je do grupy Użytkownicy. Można to oczywiście zmienić. Jak to zrobić, dowiesz się z dalszej części artykułu, w której opisujemy przydział kont do określonej grupy. Tymczasem poznałeś najważniejsze metody tworzenia kont użytkowników w systemie Windows XP.

W Windows XP (wersje Home i Professional) oraz w Windows Vista dostępne są następujące, wbudowane grupy użytkowników, do których możesz przypisywać nowo tworzone konta, nadając im tym samym odpowiednie uprawnienia. Niektóre grupy są specyficzne dla danej wersji systemu – wtedy jest to odpowiednio zaznaczone.

Administratorzy
Członkowie tej grupy mają pełną kontrolę nad komputerem. Z tego względu należy ostrożnie dodawać do niej nowych użytkowników. W miarę możliwości w codziennej pracy unikaj używania konta, które należy do tej grupy.
Uprawnienia: dostęp do komputera z sieci; dopasowywanie przydziałów pamięci dla procesu; zezwalanie na lokalne logowanie się; zezwalanie na logowanie się przez usługi terminalowe; tworzenie kopii zapasowych plików i katalogów; pomijanie sprawdzania przechodzenia; zmienianie czasu systemowego; tworzenie pliku stronicowania; debugowanie programów; wymuszanie zamknięcia systemu z systemu zdalnego; podwyższanie priorytetu w harmonogramie; ładowanie i zwalnianie sterowników urządzeń; zarządzanie dziennikiem inspekcji i zabezpieczeń; modyfikowanie wartości środowiskowych oprogramowania układowego; wykonywanie zadań związanych z konserwacją woluminów; profilowanie pojedynczego procesu; profilowanie wydajności systemu; wyjmowanie komputera ze stacji dokującej; przywracanie plików i katalogów; zamykanie systemu; przejmowanie na własność plików lub innych obiektów.

Czytelnicy dzienników zdarzeń
Członkowie tej grupy mają uprawnienia zwykłych użytkowników, ale dodatkowo mają dostęp do dzienników zdarzeń systemowych i mogą przeglądać ich raporty. Goście (Vista i XP) – grupa o tej nazwie jest trochę myląca, gdyż uprawnienia konta przypisanego do grupy Goście są identyczne z tymi, jakimi dysponują członkowie grupy Użytkownicy. Wyjątkiem jest specjalne i domyślnie tworzone w trakcie instalacji (zarówno XP, jak i Visty) konto o nazwie Gość. Jest ono objęte dodatkowymi restrykcjami.
Uprawnienia: takie jak grupy Użytkownicy.

Grupa usług pomocy
Ta grupa umożliwia administratorom ustawianie praw typowych dla wszystkich aplikacji pomocy technicznej. Domyślnie jedynym członkiem grupy jest konto związane z aplikacjami pomocy technicznej firmy Microsoft, takimi jak Pomoc zdalna. Nie należy dodawać użytkowników do tej grupy.

IIS_IUSRS
To grupa utworzona na potrzeby działającego w Windows serwera WWW IIS 7.0. Nie należy do tej grupy przyporządkowywać użytkowników.

Operatorzy konfiguracji sieci
Członkowie tej grupy mogą zmieniać ustawienia TCP/IP oraz odnawiać i zwalniać adresy TCP/IP. Ta grupa nie ma członków domyślnych.

Operatorzy kopii zapasowych
Członkowie tej grupy mogą tworzyć kopie zapasowe plików na serwerze i przywracać je bez względu na uprawnienia chroniące pliki. Dzieje się tak, ponieważ prawo tworzenia kopii zapasowych jest ważniejsze od wszystkich uprawnień do plików. Członkowie grupy nie mogą zmieniać ustawień zabezpieczeń.

Uprawnienia: dostęp do komputera z sieci; zezwalanie na logowanie się lokalnie; tworzenie kopii zapasowych plików i katalogów; pomijanie sprawdzania przechodzenia; przywracanie plików i katalogów; zamykanie systemu.

Operatorzy kryptograficzni
Użytkownicy, których konta będą przypisane do tej grupy, oprócz uprawnień zwykłych użytkowników mają dostęp do funkcji szyfrujących. W praktyce w domowych komputerach ta grupa nie ma zastosowania.

Replikator
Jedynym członkiem grupy Replikator powinno być konto użytkownika domeny służące do logowania usługi Replikator na kontrolerze domeny. Nie należy dodawać kont prawdziwych użytkowników do tej grupy. W domowym komputerze grupa ta nie ma żadnego znaczenia.

Użytkownicy
Członkowie tej grupy mogą wykonywać typowe zadania, np. uruchamiać aplikacje, korzystać z drukarek lokalnych i sieciowych oraz blokować serwer. Użytkownicy nie mogą udostępniać katalogów ani tworzyć drukarek lokalnych. Domyślnie grupy Użytkownicy domeny, Użytkownicy uwierzytelnieni i Użytkownicy interakcyjni są członkami tej grupy. Dlatego każde konto użytkownika utworzone w domenie staje się członkiem tej grupy.
Uprawnienia: dostęp do komputera z sieci; zezwalanie na logowanie się lokalne; pomijanie sprawdzania przechodzenia.

Użytkownicy DCOM
Konto przypisane do tej grupy ma uprawnienia do uruchamiania i korzystania z obiektów DCOM, co w praktyce oznacza możliwość uruchamiania np. kontrolek ActiveX w przeglądarce Internet Explorer. Poza tym zakres uprawnień identyczny z grupą Użytkownicy.

Użytkownicy dzienników wydajności
Członkowie tej grupy mogą zarządzać licznikami, dziennikami i alertami wydajności na serwerze, lokalnie i z klientów zdalnych, nie będąc członkami grupy Administratorzy.

Użytkownicy monitora wydajności
Członkowie tej grupy mogą monitorować liczniki wydajności na serwerze, lokalnie i z klientów zdalnych, nie będąc członkami grup Administratorzy i Użytkownicy dzienników wydajności.

Użytkownicy pulpitu zdalnego
Członkowie mogą logować się zdalnie na serwer.
Uprawnienia: zezwalanie na logowanie się przez usługi terminalowe.

Użytkownicy zaawansowani
Członkowie tej grupy mogą tworzyć konta użytkowników, a następnie modyfikować je i usuwać. Mogą tworzyć grupy lokalne, a następnie dodawać do nich użytkowników i usuwać. Mogą również dodawać lub usuwać użytkowników w ramach grup Użytkownicy zaawansowani, Użytkownicy i Goście. Członkowie mogą tworzyć zasoby udostępnione i administrować nimi. Nie mogą przejmować plików na własność, tworzyć kopii zapasowych katalogów i przywracać ich, ładować i zwalniać sterowników urządzeń ani zarządzać dziennikami zabezpieczeń i inspekcji. Jeżeli potrzebujesz na komputerze konta o zwiększonych (w stosunku do grupy Użytkownicy) uprawnieniach, korzystaj właśnie z tej grupy.
Uprawnienia: dostęp do komputera z sieci; zezwalanie na logowanie się lokalne; pomijanie sprawdzania przechodzenia; zmienianie czasu systemowego; profilowanie pojedynczego procesu; wyjmowanie komputera ze stacji dokującej; zamykanie systemu.

Oprócz domyślnie tworzonych podczas instalacji kont administratora i przynajmniej jednego konta użytkownika w systemie Windows (zarówno XP, jak i Vista) jest zaszytych więcej kont. Wyjaśniamy znaczenie wbudowanych w systemy Windows XP i Vista kont specjalnych.

Konto Administrator
Konto zapewnia pełną kontrolę nad komputerem i w razie potrzeby umożliwia przypisywanie użytkownikom praw użytkownika i uprawnień kontroli dostępu. Konta tego należy używać wyłącznie do wykonywania zadań wymagających poświadczeń administracyjnych. Konto Administrator jest członkiem grupy Administratorzy. Konta tego nie można usunąć z grupy Administratorzy, ale ze względów bezpieczeństwa warto zmienić jego nazwę lub je wyłączyć. Ponieważ wiadomo, że konto Administrator istnieje w wielu wersjach systemu Windows, zmiana jego nazwy lub jego wyłączenie utrudni złośliwym użytkownikom uzyskanie do niego dostępu. Z konta Administrator korzystasz także podczas pierwszej instalacji systemu (do momentu, dopóki nie utworzysz własnego konta)
Ważne: Nawet kiedy konto Administrator zostanie wyłączone (takie jest domyślne ustawienie w Windows Vista), nadal może umożliwić dostęp do komputera w trybie awaryjnym.

Konto Gość
Konto służy osobom, które nie mają własnego konta na danym komputerze. Użytkownik, którego konto jest wyłączone, ale nie jest usunięte, również może korzystać z konta Gość. Korzystanie z konta Gość nie wymaga podawania hasła. Konto to jest domyślnie wyłączone, ale można je włączyć. Prawa i uprawnienia dla konta Gość można ustawiać tak samo jak dla dowolnego innego konta użytkownika. Domyślnie konto Gość jest członkiem grupy Goście, co umożliwia użytkownikowi zalogowanie się na komputer/serwer. Jakiekolwiek dodatkowe uprawnienia muszą zostać udzielone grupie Goście przez członka grupy Administratorzy. Jeżeli nie jest to koniecznie, nie włączaj (domyślnie wyłączonego) konta Gość.

Konto Pomocnik
Podstawowe konto służące do ustanawiania sesji Pomocy zdalnej. Konto to jest tworzone automatycznie w momencie żądania sesji pomocy zdalnej. Ma ograniczony dostęp do komputera. Konto Pomocnik jest zarządzane przez usługę menedżera sesji pomocy pulpitu zdalnego i zostanie automatycznie usunięte, jeśli nie ma oczekujących żądań Pomocy zdalnej.