Zarządzanie lokalnymi kontami użytkowników

Z SOISK systemy operacyjne i sieci komputerowe
Przejdź do nawigacji Przejdź do wyszukiwania

Profile użytkowników

Profile użytkownika umożliwiają automatyczne tworzenie i zachowywanie ustawień pulpitu dla środowiska pracy każdego użytkownika na komputerze lokalnym. Przechowywane są w %systemdrive%/documents and settings. Dostęp zalogowanego użytkownika uzyskujemy poprzez %userprofile%

SID

Identyfikator zabezpieczeń. Ma na celu identyfikacje użytkownika. Tworzony jest przy zakładaniu konta Można obejrzeć w rejestrze w HKEY_USERS.

Windows umożliwia lub zabrania dostęp do zasobów na podstawie ACL, które używa SIDa do identyfikowania użytkowników i ich przynależności do grup. Budowa SIDa może zostać wyjaśniona na następującym przykładzie: "S-1-5-21-7623811015-3361044348-030300820-1013"

S 1 5 21-7623811015-3361044348-030300820 1013
String jest SIDem. Wersja SIDa. Identyfikator uprawnienia. Identyfikator domeny lub lokalnego komputera. Relatywne ID (RID). Każda (z wyjątkami, patrz niżej) grupa lub użytkownik będzie mieć RID 1000 albo wyższy.

Znane SIDy

Istnieje lista znanych SIDów, po to aby pewne konta systemowe mogły być zawsze znalezione. Microsoft utrzymuje listę SIDów w artykule Supportu

SID Opis
S-1-5-18 Local System, konto serwisowe używane przez system.
S-1-5-19 NT Authority, usługi lokalne
S-1-5-20 NT Authority, usługi sieciowe
S-1-5-domena-500 Konto Administrator. Domyślnie jedyne konto mające pełną kontrolę nad systemem.
S-1-5-domena-501 Konto gościa dla ludzi nie mających konta. Konto to nie wymaga hasła. Domyślnie, konto Gościa jest wyłączone.
S-1-5-domena-512 Administratorzy domeny - globalna grupa której członkowie mogą administrować domeną. Domyślnie, administratorami domeny są użytkownicy z grupy Administratorzy na wszystkich komputerach dołączonych do domeny, włączając w to kontrolery domeny.
S-1-5-domena-513 Użytkownicy domeny.
S-1-5-domena-514 Goście domeny - globalna grupa która domyślnie zawiera w sobie jednego członka, wbudowane w domenie konto Gościa.

SID na podstawie http://pl.wikipedia.org/wiki/SID

Wybór sposobu logowania się

Ekran powitalny

Ekran powitalny.jpg

Ekran klasyczny

Ekran klasyczny.jpg

Wymuszanie sposobu logowania

Jednorazowe przejście od ekranu powitalnego do klasycznego uzyskujemy poprzez naciśnięcie kombinacji klawiszy CRTL ALT DEL.

Na stałe możemy zrobić to na kilka sposobów.

Panel sterowania => Konta Użytkowników

Zmiana sposobu logowania.jpg

Włącz ekran klasyczny

Edycja rejestru

Winlogon rejestr.jpg

Zmiana sposobu logowania2.jpg

Spósób logowania zmieniamy poprzez edycję LogonType. 1 oznacza ekran powitalny, a 0 ekran klasyczny

Włącz ekran powitalny

Edycja zasad grup

UWAGA: Ustawienia zasad grup są nadrzędne. Nie ważne co macie w rejestrze, może być ustawiony ekran powitalny, jeśli w zasadach grup wymusimy klasyczny, to będzie klasyczny

Włącz ekran klasyczny

gpedit.msc => Konfiguracja komputera => Szablony administracyjne => System => Logowanie

Zmiana sposobu logowania3.jpg

Zmiana sposobu logowania3b.jpg

Tworzenie kont użytkowników wraz z przypisaniem do grupy

Do zarządzania kontami najwygodniej użyć zarządzenie komputerem Aby dodać użytkownika postępuj zgodnie ze zrzutami.

Zarzadzanie kontami1.jpg

Zarzadzanie kontami2.jpg

Zarzadzanie kontami3.jpg

Domyślnie każde utworzone w ten sposób konto należy do grupy użytkownicy, czyli jest kontem z ograniczeniami. Mimo wszystko dobrze jest pokazać w pracy egzaminacyjnej zrzut z przynależnością użytkownika do grupy.

Na poniższych zrzutach pokazano jak dodać użytkownika do grupy administratorzy

Zarzadzanie kontami4.jpg

Zarzadzanie kontami5.jpg

Zarzadzanie kontami6.jpg

Zarzadzanie kontami7.jpg

Zarzadzanie kontami8.jpg

Automatyczne logowanie

control userpasswords2

Automatyczne logowanie.jpg

Konto administrator w ekranie powitalnym

Jest niewidoczne w ekranie powitalnym, jeśli jest utworzone dodatkowe konto z uprawnieniami administratora. Aby zalogować się na konto administrator trzeba użyć klasycznego ekranu logowania lub uruchomić komputer w trybie awaryjnym.

Zabezpieczenie konta administrator

Ukrycie nazwy ostatnio zalogowanego użytkownika w ekranie klasycznym

secpol.msc -> opcje zabezpieczeń

Generowanie bezpiecznego hasła

Net user administrator /random

Zmiana domyślnej nazwy konta

Secpol.msc (zasady zabezpieczeń lokalnych)->zasady lokalne-> opcje zabezpieczeń

Uruchamianie aplikacji z uprawnieniami administratora ze zwykłego konta

Uruchomjako.jpg

Lub korzystając z wiersza poleceń runas /user:administrator taskmgr

Tworzenie bezpiecznych haseł

Secpol.msc ->zasady konta -> zasady haseł

Szybkie przełączanie użytkowników

Działa tylko, jeśli włączony jest ekran powitalny.

ctrl L albo wyloguj, przełącz

Blokowanie komputera

win L, jeśli jest ekran powitalny lub ctrl alt del=>zablokuj komputer