Основу модели защиты на уровне пользователя составляют учетные записи. Чтобы дать пользователю доступ к ресурсам конкретного компьютера, выделите в списке его учетную запись и укажите, что ему
разрешается делать (рис. 13.7). В Windows NT/2000 всегда используется защита на уровне пользователя — как в клиент-серверном, так и в одноранговом режиме. В одноранговой сети у каждого компьютера собственный набор учетных записей. Когда пользователь регистрируется на компьютере, его права определяются параметрами учетной записи. Воспользоваться ресурсами компьютера из сети сможет лишь человек, обладающий на нем учетной записью.
Допустим, у Марка Ли (Mark Lee) на его собственном компьютере есть учетная запись с именем пользователя mlee. Для автоматического доступа к другим ресурсам сети этого недостаточно: учетная запись m1ее должна быть на всех компьютерах, которыми Марк Ли предполагает пользоваться, в противном случае при попытке подключиться k компьютеру через сеть ему будет предложено ввести имя пользова-
теля и пароль учетной записи. Если учетная запись mlee на компьютере есть, но для нее задан другой пароль, пользователю будет предложено ввести правильный пароль.
Понятно, что в одноранговом режиме модель, требующая заводить для каждого пользователя учетные записи на всех компьютерах, с которыми он работает, подходит лишь для относительно небольших сетей. Например, чтобы поменять пароль, придется обойти все компьютеры, к которым пользователь подключается. Кстати, в большинстве случаев занимается этим не администратор, а «хозяин» компьютера, потому что от администратора это потребовало бы значительных усилий.
В клиент-серверной сети управлять защитой на уровне пользователя не в пример проще, поэтому применять ее можно в сетях любых размеров. В этом случае все учетные записи создаются администратором в централизованной службе каталога, например, в Active Directory домена Windows NT/2000. Когда пользователь регистрируется на своем компьютере, его проверку в действительности осуществляет служба каталога. Компьютер посылает введенные имя пользователя и пароль контроллеру домена, где хранится информация службы каталога. Контроллер домена проверяет идентификационные данные и сообщает компьютеру, успешно или нет прошла проверка. Чтобы предоставить пользователям сети доступ к ресурсам своего компьютера, выделите их имена в списке, полученном от контроллера домена. Когда они пытаются подключиться к Вашему компьютеру, контроллер домена проводит аутентификацию и либо открывает доступ, либо отказывает в нем.
Поскольку все учетные записи хранятся в одном месте, и администратору, и пользователям работать с ними гораздо легче. Например, для смены пароля достаточно отредактировать одну запись в службе каталога, и изменение автоматически учитывается во всей сети.