— Пацаки! Почему не в намордниках?
© «Кин-Дза-Дза»

Постановка задачи

Среди писем, пачками приходящих мне на e-mail, попался один любопытный экземпляр. Его автор задал вопрос, касающийся управления пользователями, а заодно предложил написать статью на эту тему. Что ж, по прошествии энного количества времени эта идея всплыла в моем мозгу, и я решил реализовать ее в статье. Итак, сегодняшнее заседание нашего клуба будет посвящено администрированию пользовательских учетных записей и всему, что с этим как-либо связано.

Учетные записи

Для начала разберемся с некоторыми понятиями — например, с аккаунтами (учетными записями). Немного эту тему мы затрагивали в предыдущей статье про списки контроля доступа. Для упрощения задачи будем говорить о NT-системе, не входящей в домен.

Каждая многопользовательская ОС имеет базу данных, содержащую сведения о ее пользователях. В их число входят: имя, пароль, имена групп и некоторые другие данные. В UNIX-системах эти данные хранятся в обычном текстовом файле зашифрованными (точнее, хэшированными), в NT же роль хранилища играет реестр.

Часть [HKEY_LOCAL_MACHINE \ SECURITY] реестра, недоступная по умолчанию даже администратору, хранит шифрованные данные, касающиеся безопасности. Среди них есть также подраздел SAM (Security Account Manager) — хэшированная база данных пользователей, в которой перечислены все зарегистрированные в системе пользователи, группы и их привилегии. SAM проецируется на диск в виде куста (улья) реестра (файл SAM в папке %SystemRoot% \ system32 \ config). Именно его копируют взломщики для последующего анализа и взлома специальными утилитами, однако сделать это (т.е. скопировать) можно только загрузившись в другой ОС, так как этот файл заблокирован системой. К слову, взломать систему удаленно и перебрать пароли, имея SAM-файл, — две большие разницы, так что не пренебрегайте паролями на BIOS и прочими ограничениями на локальный доступ к компьютеру.

Движемся дальше. База у нас есть. Теперь при входе в систему ОС спрашивает у нас имя (логин) и пароль. Благодаря этим данным она может нас аутентифицировать. Интересный момент: в современных ОС пароли не шифруются, а хэшируются различными алгоритмами. В чем разница? В том, что хэширование — это необратимое шифрование, т.е. по хэшу пароль невозможно узнать иначе как прямым перебором (есть, конечно, исключения, связанные с методикой хэширования и выбранным алгоритмом). Получается мнимый парадокс: как система узнает, что пароль верный, если она имеет только его необратимый хэш? Легко! Она просто произведет хэширование введенного пароля и сравнит с имеющимся в базе хэшем. Тут, однако, есть свои нюансы: например, для некоторых алгоритмов, имеющих малый разброс значений, возможна ситуация, когда несколько разных паролей имеют одинаковый хэш, в итоге есть теоретическая возможность пробраться в систему «нахаляву». Все это, правда, не имеет для нас практического интереса (есть же соответствующая литература), поэтому тут останавливаться мы больше не будем.

Для большего удобства все пользователи объединены в группы, обладающие соответствующими правами — например, стандартные группы Пользователи и Администраторы. Не следует путать права пользователей вообще с правами на доступ к определенному ресурсу (см. предыдущую статью). Для изменения прав групп и отдельных пользователей используется оснастка Локальные параметры безопасности, ветка Назначение прав пользователей.

Всегда, когда это возможно, следует разграничивать доступ к объектам на основании групп — так гораздо удобнее (это, кстати, официальный совет Microsoft и дополнение к предыдущему материалу). Также не забывайте, что все имена (пользователей и групп) имеют значение лишь для глаз пользователя, а система работает с соответствующими SID, что заметно и в файловой системе, и в реестре.

В ОС уже изначально присутствует ряд групп и пользователей, называемых встроенными (Администраторы, Гости и т.д.). Их невозможно удалить. Кроме них, есть специальные группы вроде Прошедших проверку, в которые входят другие группы в зависимости от текущего состояния системы. Вообще все пользователи могут быть участниками как одной, так и нескольких групп (включая упомянутые специальные — правда, неявно). Права при этом аккумулируются, т.е., если я вхожу в группу Пользователи и Администраторы, то по сути дела обладаю правами администратора системы, так как права группы Администраторы включают в себя все права группы Пользователи плюс еще «вагон и маленькая тележка»:-).

Для управления пользователями и группами в XP есть две основные утилиты (третья скрытая, но о ней — позже). Первая — Учетные записи пользователей из Панели управления. Ее возможности весьма ограничены, но основные вещи вроде создания/удаления пользователя и смены пароля она выполнять умеет. Главный недостаток данной утилиты — невозможность работы с группами: доступны только Пользователи и Администраторы, но в большинстве случаев и этого хватает. Да, данной утилитой могут пользоваться и непривилегированные пользователи, но только изменяя данные своей учетной записи. В общем, полезная в целом вещь.

Теперь кандидат №2 — оснастка Управление компьютером, ветка Служебные программы\Локальные пользователи и группы. Тут уж нам позволено все: и группы менять, и путь к профилю задавать (о нем позже), и пароли сбрасывать, и еще много всего. Нюанс: ВСЕ действия непривилегированных пользователей оснастка игнорирует — это инструмент Администратора (с большой буквы «А»;-)).

И на десерт — вариант №1, но только в исполнении Windows 2000 (остался в наследство). Вызывается с помощью пункта Выполнить из меню Пуск хитрой командой «control userpasswords2» (без кавычек, естественно). Возможности — баланс утилиты №1 и №2. Думаю, данное средство кому-нибудь да понравится.

Что ж, думаю, с этим разобрались. Рекомендую поэкспериментировать, но только осторожно, а еще лучше — на тестовой ОС (или на чужой машине:-)). Теперь перейдем к технологии пользовательских профилей.

Профили пользователей

Имея на компьютере несколько пользователей, есть резон дать каждому из них возможность настроить систему под себя, причем так, чтобы у каждого были свои независимые от других настройки. В итоге получается профиль пользователя, который хранит в себе не только параметры рабочего стола, файлы данных программ, реестр (куст HKEY_ CURRENT_USER в виде файла Ntuser.dat) и т.д., но и персональные документы пользователя. Профиль хранится по умолчанию в папке %System Drive% \ Documents and Settings \ <Имя_пользователя> (переменная %UserProfile%) — например: C:\ Documents and Settings \ Creator. Подробно профиль мы рассматривать не будем, остановимся только на основных моментах.

Профили бывают трех видов: локальные, хранящиеся на локальном компьютере, перемещаемые, загружаемые при входе в систему с сервера, и обязательные — перемещаемые профили, недоступные пользователю для изменения. Управлять ими можно с помощью Панели управления — Система, закладка Дополнительно, кнопка Параметры группы Профили пользователей. Появится окошко, позволяющее удалять, копировать и менять тип профиля. Определенный интерес вызывает функция копирования, позволяющая быстро применить нужные параметры к новому пользователю. Следует, однако, учесть, что копировать нужно НЕ из-под пользователя, который вошел в систему (некоторые файлы заблокированы системой).

Также нужно обладать достаточными правами на доступ к этим файлам, т.е. по сути дела входить в группу Администраторы, а также не забыть разрешить доступ к профилю пользователю, чьим будет этот профиль.

Рассмотрим такой пример. У нас есть пользователь Alexia, а нам захотелось добавить тестового пользователя Test. Чтобы не мучиться с настройками рабочего стола и проч., и проч., мы решили позаимствовать настройки у Alexи’и. Конечно, можно разрешить Test’у пользоваться профилем Alex’и, но ведь он тестовый: вдруг профиль «завалит»? Итак, делаем раз: создаем пользователя Test (скажем, в группе Пользователи). Делаем два: логинимся под ним, чтобы система создала профиль (обязательно! Иначе ничего не получится). Делаем три: выходим из системы (выходим, а не переключаемся). А дальше просто: в Профилях пользователя выбираем кнопку Копировать для нужного профиля (он не должен быть загружен!), в диалоговом окне выбираем папку с профилем Test, разрешаем использование профиля пользователю Test, жмем OK — и вуаля! Осталось только проверить, как все сработало. Лично у меня этот тест прошел на ура, хотя теоретически возможны небольшие проблемы (с абсолютными путями, например).

На этом, наверное, сегодня и остановимся. Будут вопросы — пишите.

До следующих встреч.

Creator

<< Назад | < Оглавление > | Далее >>