Защита на уровне пользователя

Основу модели защиты на уровне пользователя составляют учетные записи. Чтобы дать пользователю доступ к ресурсам конкретного ком­пьютера, выделите в списке его учетную запись и укажите, что ему

разрешается делать (рис. 13.7). В Windows NT/2000 всегда использу­ется защита на уровне пользователя — как в клиент-серверном, так и в одноранговом режиме. В одноранговой сети у каждого компьютера собственный набор учетных записей. Когда пользователь регистри­руется на компьютере, его права определяются параметрами учетной записи. Воспользоваться ресурсами компьютера из сети сможет лишь человек, обладающий на нем учетной записью.

Допустим, у Марка Ли (Mark Lee) на его собственном компьютере есть учетная запись с именем пользователя mlee. Для автоматическо­го доступа к другим ресурсам сети этого недостаточно: учетная запись m1ее должна быть на всех компьютерах, которыми Марк Ли предпо­лагает пользоваться, в противном случае при попытке подключиться k компьютеру через сеть ему будет предложено ввести имя пользова-

теля и пароль учетной записи. Если учетная запись mlee на компью­тере есть, но для нее задан другой пароль, пользователю будет пред­ложено ввести правильный пароль.

Понятно, что в одноранговом режиме модель, требующая заводить для каждого пользователя учетные записи на всех компьютерах, с которыми он работает, подходит лишь для относительно небольших сетей. Например, чтобы поменять пароль, придется обойти все ком­пьютеры, к которым пользователь подключается. Кстати, в большин­стве случаев занимается этим не администратор, а «хозяин» компью­тера, потому что от администратора это потребовало бы значитель­ных усилий.

В клиент-серверной сети управлять защитой на уровне пользова­теля не в пример проще, поэтому применять ее можно в сетях любых размеров. В этом случае все учетные записи создаются администра­тором в централизованной службе каталога, например, в Active Direc­tory домена Windows NT/2000. Когда пользователь регистрируется на своем компьютере, его проверку в действительности осуществляет служба каталога. Компьютер посылает введенные имя пользователя и пароль контроллеру домена, где хранится информация службы ката­лога. Контроллер домена проверяет идентификационные данные и сообщает компьютеру, успешно или нет прошла проверка. Чтобы предоставить пользователям сети доступ к ресурсам своего компью­тера, выделите их имена в списке, полученном от контроллера доме­на. Когда они пытаются подключиться к Вашему компьютеру, кон­троллер домена проводит аутентификацию и либо открывает доступ, либо отказывает в нем.

Поскольку все учетные записи хранятся в одном месте, и админи­стратору, и пользователям работать с ними гораздо легче. Например, для смены пароля достаточно отредактировать одну запись в службе каталога, и изменение автоматически учитывается во всей сети.