Профили. Типы профилей пользователя. Создание перемещаемых и обязательных перемещаемых профилей пользователя
Типы профилей пользователя:
Профиль пользователя создается при первом входе пользователя на компьютер. Все настройки пользователя автоматически сохраняются в его папке, которая находится в папке Documents and Settings (C:\Documents and Settings\Имя пользователя). Когда пользователь выходит из системы, его профиль обновляется на компьютере, который он использовал для входа. Таким образом, профиль сохраняет настройки рабочего стола для рабочей среды каждого пользователя на локальном компьютере. Вносить изменения в обязательные профили пользователя могут только системные администраторы. Ниже перечислены типы профилей пользователя.
1) Стандартный профиль пользователя. Служит основой для всех профилей пользователя. Каждый профиль пользователя создается как копия стандартного профиля. Стандартный профиль пользователя хранится на каждом компьютере, работающем под управлением Windows 2000/XP Professional или Windows 2000 Server.
2) Локальный профиль пользователя. Создается при первом входе пользователя на компьютер и хранится на локальном компьютере. Любые изменения локального профиля пользователя относятся только к компьютеру, на котором они сделаны. На одном компьютере может храниться несколько профилей пользователя.
3) Перемещаемый профиль пользователя. Создается системным администратором и хранится на сервере. Этот профиль доступен каждый раз, когда пользователь входит на любой компьютер сети. Если пользователь вносит изменения в параметры своего рабочего стола, профиль обновляется на сервере при выходе пользователя из системы.
4) Обязательный профиль пользователя. Создается администратором с целью задания нужных настроек для пользователя или пользователей (может быть локальным или перемещаемым). Обязательный профиль не дает пользователям возможности сохранять изменения настроек своего рабочего стола. Пользователи могут изменять настройки рабочего стола во время работы, однако при выходе из системы эти изменения не сохраняются.
Создание перемещаемых и обязательных перемещаемых профилей пользователя:
Профили пользователя можно хранить на сервере, чтобы они были доступны каждый раз, когда пользователь входит на любой компьютер сети. Перемещаемые и обязательные профили пользователя хранятся централизованно на сервере и обеспечивают возможность использования одной и той же рабочей среды на любом компьютере.
1) Создание перемещаемого профиля пользователя
Чтобы установить перемещаемый профиль пользователя, выполните следующие действия.
1. Создайте общую папку на сервере и дайте пользователям разрешение на полный доступ к этой папке.
2. Укажите путь к этой общей папке. Вызовите средство Active Directory Users and Computers (Active Directory - пользователи и компьютеры). В области сведений правой кнопкой мыши щелкните соответствующую учетную запись пользователя и выберите команду Properties (Свойства). На вкладке Profile в разделе User profile (Профиль пользователя) введите путь, указывающий эту общую папку, в поле Profile path (Путь к профилю). Путь должен выглядеть так:
\\имя_сервера\имя_общей_папки\имя_пользователя
Вместо ввода имени пользователя можно воспользоваться переменной %user_name%. Операционная система Windows 2000 автоматически заменит переменную %user_name% именем учетной записи пользователя для данного перемещаемого профиля.
После создания перемещаемого профиля пользователя его может изменить только администратор.
2) Создание обязательного перемещаемого профиля пользователя
Как правило, обязательный профиль создается в тех случаях, когда группе пользователей необходимо иметь одинаковые настройки рабочего стола и вы не хотите, чтобы они самостоятельно изменяли эти настройки.
Чтобы создать обязательный перемещаемый профиль пользователя, выполните следующие действия.
1. Создайте на сервере общую папку с вложенной папкой для нового профиля. Предоставьте пользователям разрешение на полный доступ к папке профиля. Например, создайте папку Profiles, а в ней - папку User1.
2. Установите настроенный перемещаемый профиль пользователя. В оснастке Active Directory Users and Computers (Active Directory - пользователи и компьютеры) создайте нового пользователя, укажите путь к папке профиля пользователя и настройте этот профиль. Например, создайте пользователя с именем User1 и укажите путь к профилю \\имя_сервера\Profiles\User1. Для настройки профиля войдите в домен как пользователь User1, внесите необходимые изменения в настройки рабочего стола и выйдите из системы.
3. Измените имя файла профиля Ntuser.dat на Ntuser.man. В результате профиль станет доступным только для чтения и, следовательно, обязательным. Чтобы переименовать профиль, войдите в систему под именем Administrator, запустите проводник Windows Explorer и в папке профиля пользователя измените имя файла Ntuser.dat на Ntuser.man.
Разрешение NTFS. Разрешения на доступ к папкам NTFS. Разрешения на доступ к файлам NFTS. Наследование разрешений NTFS. Специальные разрешения NTFS. Объединение разрешений NTFS и разрешений на доступ к общей папке.
Разрешения NTFS используются для того, чтобы указать, какие пользователи, группы и компьютеры могут осуществлять доступ к тем или иным файлам и папкам. Кроме того, разрешения NTFS указывают, что именно пользователи, группы и компьютеры могут делать с содержимым данного файла или папки.
Разрешения на доступ к папкам NTFS:
Разрешения на доступ к папкам предоставляются с целью управления правами на работу с папками и теми файлам и вложенным папкам, которые содержатся в этих папках. В следующей таблице перечисляются стандартные разрешения на доступ к папкам NTFS и типы доступа, предоставляемые тем или иным разрешением.
| Разрешение на доступ к папке NTFS | Позволяет пользователю |
| Read (Чтение) | Просматривать файлы и вложенные папки в данной папке, а также атрибуты папки, имя владельца папки и разрешения. |
| Write (Запись) | Создавать в папке новые файлы и вложенные папки, изменять атрибуты папки, просматривать имя владельца папки и разрешения. |
| List Folder Contents (Список содержимого папки) | Просматривать имена файлов в данной папке и вложенных в нее папок. |
| Read & Execute (Чтение и выполнение) | Производить обзор папок, а также выполнять действия, предусмотренные разрешением Read (Чтение) и разрешением List Folder Contents (Список содержимого папки). |
| Modify (Изменение) | Удалять папку и выполнять действия, предусмотренные разрешением Write (Запись) и разрешением Read & Execute (Чтение и выполнение). |
| Full Control (Полный доступ) | Изменять разрешения, владельца, удалять вложенные папки и файлы и выполнять действия, предусмотренные всеми остальными разрешениями на доступ к папкам NTFS. |
Разрешения на доступ к файлам NFTS:
Разрешения на доступ к файлам предоставляются с целью управления правами на работу с файлами. В следующей таблице перечисляются стандартные разрешения на доступ к файлам NTFS и права, предоставляемые тем или иным разрешением.
| Разрешение на доступ к файлам NTFS | Позволяет пользователю |
| Read (Чтение) | Читать файл и просматривать его атрибуты, имя владельца и разрешения. |
| Write (Запись) | Перезаписывать содержимое файла, изменять его атрибуты, просматривать имя владельца файла и разрешения. |
| Read & Execute (Чтение и выполнение) | Запускать приложения и выполнять действия, предусмотренные разрешением Read (Чтение). |
| Modify (Изменение) | Изменять и удалять файл, а также выполнять действия, предусмотренные разрешением Write (Запись) и разрешением Read & Execute (Чтение и выполнение). |
| Full Control (Полный доступ) | Изменять разрешения, владельца и выполнять действия, предусмотренные во всех остальных разрешениях на доступ к файлам NTFS. |
Наследование разрешений NTFS:
По умолчанию разрешения, предоставленные для родительской папки, наследуются вложенными папками и файлами, содержащимися в родительской папке, и переносятся на них. Однако можно предотвратить наследование разрешений, если требуется, чтобы папки или файлы имели разрешения, отличающиеся от разрешений, предоставленных для родительской папки.
Все разрешения, предоставленные для родительской папки, распространяются также и на содержащиеся в ней вложенные папки и файлы. Когда вы предоставляете разрешения NTFS на доступ к папке, эти разрешения распространяются на эту папку, на все существующие файлы и вложенные папки и на все новые файлы и вложенные папки, которые создаются в родительской папке. Можно предотвратить наследование разрешений, тем самым, предотвращая наследование вложенными папками и файлами разрешений, существующих для родительской папки. Чтобы предотвратить наследование разрешений, удалите унаследованные разрешения и сохраните только те разрешения, которые были предоставлены явным образом.
При копировании или перемещении файла или папки разрешения могут изменяться в зависимости от того, куда производится перемещение файла или папки. Важно знать те изменения, которые претерпевают разрешения при копировании или перемещении файлов и папок.
Специальные разрешения NTFS:
Стандартные разрешения NTFS, как правило, обеспечивают все то управление доступом, которое требуется для защиты сетевых ресурсов. Однако возможны ситуации, когда стандартные разрешения NTFS не будут обеспечивать предоставления того конкретного уровня доступа, которым требуется наделить пользователей. Для предоставления специфического уровня доступа используются специальные разрешения NTFS.
Специальные разрешения дают больше возможностей для управления предоставлением прав доступа к ресурсам. Сочетания 13 специальных разрешений, объединяясь, образуют стандартные разрешения NTFS.
Например, стандартное разрешение Read (Чтение) разбивается на специальные разрешения Read Data (Чтение данных), Read Attributes (Чтение атрибутов), Read Permissions (Чтение разрешений) и Read Extended Attributes (Чтение дополнительных атрибутов).
Два следующих специальных разрешения особенно полезны для управления доступом к файлам и папкам.
- Change Permissions (Смена разрешений). Наделение этим разрешением предоставляет пользователю возможность изменять разрешения для файла или папки. В этом случае такой администратор или пользователь не сможет удалить файл или папку или изменить их содержимое, однако сможет предоставлять разрешения на этот файл или папку. Чтобы дать администраторам возможность изменять разрешения, наделите группу Administrators разрешением Change Permissions (Смена разрешения) на требуемый файл или папку.
- Take Ownership (Смена владельца). Наделение этим разрешением предоставляет пользователю возможность стать владельцем файлов и папок. Можно передавать право владения файлами и папками от одной учетной записи пользователя или группы другой учетной записи пользователя или группе. Можно также дать кому-либо возможность стать владельцем, или, будучи администратором, самому стать владельцем файла или папки. К смене владельца файла или папки применяются следующие правила.
а) Текущий владелец или любой пользователь, имеющий право доступа Full Control (Полный доступ), может наделять стандартным разрешением Full Control (Полный доступ) или специальным разрешением Take Ownership (Смена владельца) другую учетную запись пользователя или группу. Это позволит такой учетной записи пользователя или члену указанной группы стать владельцем данного файла или папки.
б) Член группы администраторов может стать владельцем папки или файла независимо от предоставленных разрешений для этой папки или файла. Если администратор становится владельцем, владельцем становится и группа Administrators, и любой член группы Administrators может изменять разрешения для этого файла или папки и предоставлять разрешение Take Ownership (Смена владельца) другой учетной записи пользователя или группе.
Объединение разрешений NTFS и разрешений на доступ к общей папке:
Единственной стратегией управления доступом к сетевым ресурсам в томе с файловой системой NTFS является назначение общих папок с принимаемыми по умолчанию разрешениями и последующее управление доступом к этим папкам с помощью разрешений NTFS.
Если вы делаете папку общей в разделе с файловой системой NTFS, разрешения на доступ к общей папке и разрешения NTFS объединяются для обеспечения безопасности файловых ресурсов. Разрешения NTFS применяются независимо от того, осуществляется ли доступ к ресурсу локально или по сети.
При предоставлении разрешений на доступ к общей папке в томе с файловой системой NTFS применяются следующие правила.