Zarządzanie kontami użytkowników

Rozdział 15. Zarządzanie kontami użytkowników W tym rozdziale: Tworzenie kont użytkowników podczas instalowania systemu Tworzenie kont użytkowników po zakończeniu procesu instalacji systemu Zmiana konfiguracji kont użytkowników Wybór sposobu logowania i wylogowywania konta użytkownika Tworzenie Zasad grupy dla komputera lokalnego Konfigurowanie ustawień użytkownika Korzystanie z szablonów administracyjnych Monitorowanie pracy użytkowników Przydzielanie praw użytkownikom Grupy jako sposób na uproszczenie administrowania i przydzielania uprawnień do zasobów Szybkie przeł czanie użytkowników Korzystanie z usług Zdalna pomoc i Zdalny pulpit Jak dowiedziałeś si z rozdziału 3., podczas procesu instalowania systemu operacyjnego Windows XP administrator może utworzyć do dziesi ciu kont użytkowników. Wystarczy wpisać nazwy kont. Na tym etapie nie ma możliwości wybrania typu konta ani przydzielenia hasła. Utworzone w ten sposób konto musi zostać skonfigurowane za pomoc Panelu sterowania po zakończeniu procesu instalacji systemu. Możesz tworzyć konta użytkowników podczas instalacji systemu, a nast pnie je modyfikować po zakończeniu procesu instalacji lub uaktualniania systemu do wersji Windows XP. Możesz również tworzyć konta użytkowników i zarz dzać nimi podczas pracy systemu. W tym rozdziale dowiesz si, jak wykonywać obie te czynności. Przyjrzymy si bliżej sposobom korzystania z Panelu sterowania w celu tworzenia i modyfikowania kont użytkowników w taki sposób, abyś mógł sprawować kontrol nad tym, kto korzysta

332 Część III Administracja, zarządzanie kontami użytkowników... z Twojego komputera i jakie zadania wykonuje. Ponadto w tym rozdziale omówimy szybkie przeł czanie użytkowników (z ang. Fast User Switching), czyli sposób na przeł czanie użytkowników w trakcie normalnej pracy systemu i uruchomionych aplikacji. Dowiesz si, co to s Zasady grupy oraz lokalne zabezpieczenia. Poznasz rówież sposób tworzenia dyskietki odzyskiwania hasła, wi c już nigdy nie b dziesz si musiał martwić, że go zapomnisz. Tworzenie kont użytkowników podczas instalacji systemu Jedn z ostatnich czynności podczas procesu instalacji systemu Windows XP jest utworzenie kont użytkowników. Instalator systemu wyświetla okno dialogowe, w którym możesz wpisać do dziesi ciu nazw użytkowników. Wykorzystuj c podane nazwy, Windows XP automatycznie tworzy konta użytkowników odpowiadaj ce tym nazwom. Po zakończeniu procesu instalacji możesz skonfigurować utworzone konta za pomoc Panelu sterowania. Nawet w sytuacji, gdy z komputera korzysta tylko jedna osoba, warto utworzyć przynajmniej jedno konto użytkownika podczas instalacji systemu, aby móc nast pnie korzystać z tego konta (w zamian za korzystanie z wbudowanego konta Administratora) do zarz dzania systemem. Jeśli z komputera korzysta wi cej niż jedna osoba, warto utworzyć oddzielne konta dla każdego z użytkowników. Pozwala to na przydzielenie odpowiednich praw każdemu użytkownikowi, śledzenie aktywności użytkownika oraz sterowanie dost pem do zmian funkcji. Po utworzeniu kont użytkowników podczas procesu instalacji systemu uruchom Panel sterowania, aby przydzielić każdemu użytkownikowi hasło oraz przypisać odpowiedni typ konta. Tworzenie kont użytkowników po zakończeniu procesu instalacji systemu Uruchom Panel sterowania z menu Start, aby utworzyć nowe konto użytkownika. Panel sterowania zostanie uruchomiony z aktywnym widokiem kategorii, jak pokazano na rysunku 15.1. Kolejnym krokiem w procesie tworzenia nowego konta użytkownika jest przejście do kategorii Konta użytkowników. Pojawi si okno Konta użytkowników (rysunek 15.2) wybierz zadanie administracyjne, które chcesz wykonać.

Rozdział 15. Zarządzanie kontami użytkowników 333 Rysunek 15.1. W widoku kategorii Panelu sterowania wybierz kategorię Konta użytkowników, aby utworzyć nowe konto użytkownika PJik Łdycja Widok gubione tyarzędzid Pomoc W*«s j3* Panel sterowania f J. wyszuka] Foldery Rysunek 15.2. Okno Konta użytkowników pozwala zarządzać lokalnymi kontami użytkowników. Korzystając z dostępnych opcji, możesz utworzyć nowe konto, zmienić konto lub zmienić sposób logowania i wylogowywania użytkowników W sekcji Wybierz zadanie kliknij Utwórz nowe konto. Nast pnie b d si kolejno pojawiać okna, w których musisz wpisać informacje dotycz ce tworzonych kont. W pierwszym z tych okien (rysunek 15.3) podaj nazw nowo tworzonego konta. W tym rozdziale dowiesz się, jak tworzyć lokalne konto użytkownika. Jeśli Twój komputer nie jest podłączony do sieci, możesz utworzyć osobne konto dla każdego użytkownika, który będzie korzystał z komputera. Jeśli jednak Twój komputer jest częścią grupy roboczej, możesz utworzyć konta, z których będą korzystać inni użytkownicy sieci podłączając się do udostępnianych przez Ciebie zasobów.

334 Część III Administracja, zarządzanie kontami użytkowników... Rysunek 15.3. Wpisz nazwę, której użytkownik będzie używał podczas logowania się do komputera; postaraj się wybrać taką nazwę, którą użytkownikowi łatwo zapamięta ** Konta użytkowników BEK ^ S t r o n a główna Nadawanie nazwy nowemu kontu WptH nazwę da nowego konta:! * < I Ta na:wa będzie wyświetlana na ekwi«jxwttalriyrn i w męny Start. Ęate] > j AnJu W sytuacji gdy Twój komputer jest częścią domeny, administrator utworzył dla Ciebie osobne konto w domenie, które jest zapisane w kontrolerze domeny. Kontrolerem domeny może być serwer Windows NT 4.0 lub serwer Windows 2000, który jest częścią Active Directory. Konta użytkowników w domenie pozwalają na dostęp do zasobów w całej domenie (lub wielu domenach, jeśli są one częścią Active Directory). Nawet jeśli Twój komputer jest częścią domeny, możesz tworzyć lokalne konta użytkowników. Lokalne konta użytkowników pozwalają na dostęp do lokalnych zasobów, nie pozwalają natomiast korzystać z zasobów sieciowych. Domyślnie Windows XP wyświetla po uruchomieniu ekran powitalny. Ekran powitalny systemu Windows XP zawiera list użytkowników oraz obrazki powi zane z ich kontami; użytkownicy klikaj nazw konta, aby załogować si do systemu. W dalszej cz ści tego rozdziału dowiesz si, że nazwa konta wyświetlana jest również w menu Start. Wybierz nazw, któr użytkownikowi b dzie łatwo zapami tać, a nast pnie kliknij przycisk Dalej. Pojawi si okno Wybieranie typu konta. W Windows XP dost pne s nast puj ce typy kont: Administrator komputera konto tego typu daje użytkownikowi takie same prawa, jakie ma konto lokalnego Administratora. Użytkownik, którego konto jest typu Administrator komputera, posiada wi kszość uprawnień do zarz dzania komputerem, takich jak dodawanie nowych użytkowników, instalowanie nowych aplikacji, zmiana Rejestru systemowego, uprawnienia do plików tworzonych przez innych użytkowników komputera. W systemie powinno istnieć co najmniej jedno konto tego typu pozwalaj ce na zarz dzanie komputerem bez konieczności logowania si na wbudowane konto Administrator. Upewnij się, że hasło do konta Administrator jest przechowywane w bezpiecznym miejscu, a użytkownicy, których konta są typu Administrator komputera, korzystają z własnych kont do zarządzania systemem. W przeciwnym razie trudno będzie dojść, kto i jakie zmiany wprowadził w systemie.

Rozdział 15. Zarządzanie kontami użytkowników 335 Ograniczone konto tego typu jest przeznaczone dla wi kszości użytkowników. Nazwa tego typu konta wskazuje, że zwi zane s z nim pewne ograniczenia praw. Użytkownicy, których konto jest typu Ograniczone, mog zmieniać (a nawet usun ć konieczność podawania) hasło, zmienić zwi zany ze swoim kontem obrazek, kompozycj i inne ustawienia pulpitu. Więcej na temat wybierania kompozycji i zmiany ustawień pulpitu znajdziesz w rozdziale 7. Zajrzyj również do rozdziału 9., aby zapoznać się ze szczegółami korzystania z udostępnianych plików. Tabela 15.1 przedstawia podstawowe różnice pomi dzy kontami typu Administrator komputera a Ograniczone. Tabela 15.1. Różnice pomiędzy kontem typu Administrator komputera a kontem typu Ograniczone Funkcja Administrator Ograniczone komputera Instalowanie oprogramowania i urz dzeń sprz towych Wprowadzanie zmian w całym systemie Dost p i odczyt plików, które nie s prywatne Tworzenie i usuwanie kont użytkowników Zmiana ustawień kont innych użytkowników Zmiana nazwy i typu własnego konta Zmiana zwi zanego z kontem obrazka Tworzenie, zmiana i usuwanie własnego hasła Tak Tak Tak Tak Tak Tak Tak Tak Nie Nie Nie Nie Nie Nie Tak Tak Zaznacz odpowiedni opcj i kliknij przycisk Utwórz konto znajduj cy si w dolnej cz ści okna Wybieranie typu konta. Właśnie zakończyłeś proces tworzenia nowego konta użytkownika. Musisz jednak ustawić odpowiednie zabezpieczenia, zanim użytkownik zacznie korzystać z nowego konta. Zmiana konfiguracji kont użytkowników Wszystkie zmiany konfiguracji konta, ł cznie z ustawieniem lub zmian hasła, s wykonywane za pomoc apletu Zmień inne konto dost pnego w oknie Konta użytkowników (rysunek 15.2). Wybierz opcj Zmień inne konto lub dwukrotnie kliknij nazw konta widoczn w sekcji lub wybierz konto do zmiany. Użyj konta pkd", które utworzyliśmy w poprzednim przykładzie. Pojawi si okno Co chcesz zmienić w koncie użytkownika pkd? (rysunek 15.4). Zmień nazwę W poprzednim przykładzie utworzyliśmy konto użytkownika o nazwie pkd. Pkd s to inicjały użytkownika, który b dzie korzystał z konta. W dużych firmach nazwy kont

336 Część III Administracja, zarządzanie kontami użytkowników... Rysunek 15.4. Okno zmiany konta użytkownika pozwala w prosty sposób konfigurować konto I zr**mr» konto ^ Utwórz nowe konto użytkowników s przeważnie tworzone ze złożenia inicjałów imienia, drugiego imienia oraz nazwiska użytkownika, aby unikn ć nieporozumień, jeśli kilku użytkowników ma takie samo nazwisko..*......,.,...»...,- -.. W tym przykładzie wybierz opcj Zmień nazw, co spowoduje pojawienie si okna Podaj now nazw dla konta użytkownika pkd. Wprowadź now nazw konta użytkownika. "' -' '- '" Z pozoru wydaje się, że równie prosto jak zmienić nazwę konta można utworzyć nowe konto z inną nazwą. Otóż podczas tworzenia konta użytkownika system generuje powiązany z nim identyfikator bezpieczeństwa (z ang. security identifier). System korzysta z identyfikatora podczas wyszukiwania plików, których właścicielem jest dany użytkownik, oraz do przyznawania praw dostępu do plików, folderów, drukarek i innych zasobów. Jeśli utworzysz nowe konto dla bieżącego użytkownika, to nie będzie on już miał dostępu do plików i folderów tworzonych wcześniej. Zmiana nazwy konta pozwala uniknąć takich problemów. Po wpisaniu nowej nazwy konta kliknij przycisk Zmień nazw. Utwórz lub zmień hasło ^>01ygf!no>l t Wybierz opcj Utwórz hasło w oknie Co chcesz zmienić w koncie użytkownika pkd?, aby przypisać hasło do konta użytkownika. Pojawi si okno, w którym możesz wpisać nowe hasło (jeśli aktualnie nie ma przypisanego hasła) lub zmienić istniej ce hasło. W tym przykładzie konto użytkownika pkd zostało utworzone podczas instalacji systemu, dlatego hasło jest pustym ci giem znaków. Wpisz nowe hasło w oknie Utwórz hasło dla konta użytkownika pkd (rysunek 15.5). Jeśli hasło użytkownika jest pustym ci giem znaków, użytkownik może logować si do systemu przez wpisanie nazwy użytkownika i naciśni cie klawisza Enter lub wybranie nazwy użytkownika na ekranie powitalnym. Windows XP podobnie jak wi kszość aplikacji prosi o dwukrotne podanie nowego hasła, ponieważ wpisywane znaki nie s wyświetlane na ekranie. Po dwukrotnym wpisaniu hasła przejdź do pola Wpisz wyraz lub fraz, które maj być używane jako wskazówka

Rozdział 15. Zarządzanie kontami użytkowników 337 Rysunek 15.5. Okno pozwalające użytkownikowi utworzyć lub zmienić hasło hasła Twc.+rts(iii» dobrej wskazówki dotyczące) hasła Utwórz hasło dla konta użytkownika pkd Tworzysz hasło dla pkd. Jeśli to zrobisz, pkd utraci wszystkie szyfrowane pliki EFS, certyfikaty osobiste j zapisane hasła do witryn sieci Web lub zasobów sieciowych. jfi ZapamSywanie bas* Aby w przyszłości un*na.ć utraty danych, poproś uzyłkownfca pkd o spgtzadzome dyskietki resetowarna hasła. Wpisz ieszcze raz nowe hasło da potwierdzenia 15 )eś» hasło zawiera duże toery, muszą one być wpisywane tak samo za każdym razem. Wpisz wyraz lub frazę, które ma)ą byc" używane jako wfjjujjwta ht [Wpisz wskazówkę dołyczocg hałł Wskazówka dotycząca hasła będzie wooczna da każdego użytkownika tego komputera dotycz ca hasła. Wskazówka dotycz ca hasła ma pomóc użytkownikowi zapami tać hasło, ale może również wpłyn ć na zmniejszenie poziomu bezpieczeństwa systemu. Każdy, kto wprowadzi bł dne hasło, b dzie mógł przeczytać wskazówk. Jeśli wskazówka b dzie zbyt jednoznaczna, osoba ta może zgadn ć hasło do konta użytkownika. Dlatego dobrze si zastanów nad doborem wskazówki. Na przykład wiele osób używa imienia swojego zwierzaka lub nazwy ulubionej drużyny piłkarskiej jako hasła. Jeśli jesteś jedn z takich osób, nie wybieraj jako wskazówki Aportuj!" lub,j)rużyna Dudka". Kilka słów na temat doboru haseł. Wybieraj hasła łatwe do zapamiętania, ale takie, które postronnej osobie będzie trudno zgadnąć. Prostą sztuczką jest mieszanie wielkich i małych liter oraz zastępowanie cyframi niektórych zestawów liter. Jeśli na przykład chcesz użyć jako hasła nazwy swojej ulubionej drużyny koszykówki, możesz to zrobić w następujący sposób. W słowie Yankees zastąp litery e cyfrą 3. W ten sposób powstanie hasło Yank33s. Wtedy możesz użyć jako wskazówki określenia Drużyna koszykówki". Jednak ta prosta sztuczka jest łatwa do odgadnięcia. Dlatego zamień dodatkowo niektóre litery na wielkie, na przykład YanK33s lub Yank3eS. Tworz c hasła, pami taj o nast puj cych zasadach: Wybieraj hasła, które nie s nazwami drużyn piłkarskich, imionami żony, dzieci lub zwierzaka. Nie używaj przekleństw, s one popularne i łatwe do odgadni cia dla hakerów (zdziwiłbyś si, jakie s popularne). Użyj nieco trudniejszego do odgadni cia słowa, może to być, na przykład, nazwisko panieńskie matki. W haśle użyj kombinacji wielkich i małych liter oraz cyfr. Im dłuższe hasło, tym trudniejsze do odgadni cia.

338 Część III Administracja, zarządzanie kontami użytkowników... Po dwukrotnym wpisaniu has a oraz wskazówki kliknij przycisk Utwórz has o, aby przypisać nowe has o do konta użytkownika. Odzyskiwanie zapomnianego hasła Jeśli użytkownik zapomni has a, administrator może za ogować się do systemu i za pomocą Panelu sterowania nadać użytkownikowi nowe has o. Po ponownym za ogowaniu się użytkownik powinien zmienić has o, aby nawet administrator nie zna jego has a. Has o, które zna jeszcze ktoś oprócz Ciebie, jest bezużyteczne. Kolejną opcją dostępną w oknie Konta użytkowników jest tworzenie dyskietki (zwanej też dyskiem resetowania has a), która umożliwia za ogowanie się do systemu, nawet jeśli użytkownik zapomnia has a. Korzystanie z dysku jest proste. Jeśli użytkownik wprowadzi niew aściwe has o, pojawi się okno, w którym użytkownik może zaznaczyć opcję, że zapomnia has a. W takiej sytuacji może użyć dysku resetowania has a. Pojawi się kreator, który pozwala użytkownikowi wprowadzić nowe has o (zostanie ono również zapisane na dysku resetowania has a, dlatego użytkownik nie musi tworzyć dysku resetowania has a na nowo). Natomiast jeśli zostanie wprowadzone b ędne has o podczas logowania do domeny, pojawi się b ąd logowania. Kliknij przycisk Resetuj i w óż dysk resetowania has a do napędu; następnie postępuj zgodnie z poleceniami kreatora, aby wprowadzić nowe has o. Jeśli Twój komputer nie należy do domeny, postępuj zgodnie z opisanymi poniżej krokami, aby utworzyć dysk resetowania has a: 1. Wejdź do kategorii Konta użytkowników Panelu sterowania. 2. W oknie Konta użytkowników kliknij swoje konto, a następnie wybierz opcję Zapobiegaj zapominaniu has a w sekcji Zadania pokrewne (rysunek 15.6). Rysunek 15.6. Skorzystaj z funkcji Zapobiegaj zapominaniu hasła, aby utworzyć dysk resetowania hasła '* Konta użytkowników Wstecz ( j j& 5Łrona główna?. adania pokrewne luczmun) tnom hat arr* sieciowymi Zapobiegaj japommarwj hasła ZhiKtń mcie koritcj Utwór; nowe konto Go chcesz zmienić w swoim koncie? (31 Zmtert moią na^wę Q Zfiłeri ROJB rusto Administrator komputera W*;.: i-i UfannacJI jji Usuwanie wlasnogo konta.jfc Pt zeł^czanie użytkowników :,,-, ljjvwante usrugl,net i** Paswwt { J Usuń moje ńasto Q ^rfwń mój obraz J Zmień mój typ konta - f Ł Q Kanfigi^uj moja kanto dc korr^ania? profilu -jfłtjgi.net P^rerporr

Rozdział 15. Zarządzanie kontami użytkowników 339 3. Pojawi si Kreator przypominania hasła, który ostrzega użytkownika, że każda osoba, która wejdzie w posiadanie tego dysku, może uzyskać dost p do konta użytkownika. Kliknij przycisk Dalej. 4. Kreator prosi o podanie lokalizacji, w której ma być utworzony dysk resetowania hasła. Domyślnie jest to nap d dyskietek A:. Włóż dyskietk do nap du i kliknij przycisk Dalej. 5. Kreator prosi o podanie aktualnego hasła (zapobiega to sytuacji, kiedy postronna osoba próbowałaby utworzyć dysk resetowania hasła pod nieobecność użytkownika przy pozostawionej niezablokowanej klawiaturze). Wprowadź hasło i kliknij przycisk Dalej. 6. Post p kopiowania pliku na dyskietk jest wyświetlany w oknie kreatora. Kiedy proces kopiowania zostanie zakończony, kliknij przycisk Dalej, a nast pnie przycisk Zakończ. Każda osoba, która wejdzie w posiadanie Twojego dysku resetowania hasła, może załogować się na Twoje konto. Z oczywistych powodów powinieneś przechowywać dysk resetowania hasła w bezpiecznym miejscu. Jeśli Twój komputer jest cz ści domeny, proces tworzenia dysku resetowania hasła jest nieco inny. Aby utworzyć taki dysk, wciśnij kombinacj klawiszy Ctrl+Alt+Del, aby przywołać okno Zabezpieczenia systemu Windows. Wybierz opcj Zmień hasło, a nast pnie wybierz opcj Kopia bezpieczeństwa, aby uruchomić Kreatora przypominania hasła. Wykonaj czynności z punktów 3-6 z powyższej listy, aby utworzyć dysk resetowania hasła. Usuwanie hasła Jeśli utworzyłeś hasło do swojego konta, na liście zadań zwi zanych z kontem użytkownika pojawiła si nowa pozycja Usuń moje hasło. Usuni cie hasła jest dobrym rozwi zaniem jedynie wtedy, gdy jest to komputer domowy i obawiasz si, że Twoje dzieci, które również go używaj, nie poradz sobie z zapami taniem hasła. W takiej sytuacji możesz usun ć hasło za pomoc apletu Konta użytkowników. Aby usun ć hasło do konta użytkownika, załoguj si na konto typu Administrator komputera i uruchom Panel sterowania/konta użytkowników. Wybierz konto, do którego chcesz usun ć hasło, a nast pnie wybierz Usuń hasło z listy zadań okna Co chcesz zmienić w koncie użytkownika [nazwajużytkownika]?. Pojawi si ostrzeżenie (rysunek 15.7) informuj ce o konsekwencjach usuni cia hasła. Jeśli jesteś pewien swojej decyzji, kliknij przycisk Usuń hasło. Zmień obraz powiązany z kontem użytkownika Windows XP posiada zestaw obrazów, które możesz powi zać z lokalnymi kontami użytkowników. Chociaż może si to wydawać w pierwszej chwili śmieszne, obrazy te pozwalaj użytkownikom dostosować ekran powitalny systemu do własnych upodobań. Nie musz oni konieczne korzystać z obrazów oferowanych przez system Windows XP.

340 Część III Administracja, zarządzanie kontami użytkowników... Rysunek 15.7. Okno Konta użytkowników ostrzega o konsekwencjach związanych z usunięciem hasła do konta użytkownika. Kliknij przycisk Usuń hasło, jeśli jesteś pewien swojej decyzji krmputera Chronione hasłem Czy na pewno chcesz usunąć hasło użytkownika pkd? Usuwasz hasło dla pkd. Jeśli to zrobisz, pkd utraci wszystkie szyfrowane piki EFS, certyfikaty osobiste I zapisane hasła do witryn sled Web hjb zasobów sieciowych. Jesl usuniesz to hasło, hne osoby będą mogły uzyskał! dostęp do konta użytkownika pkd I zmień* lego ustawienia. Aby w przyszłości uniknąć utraty danych, poproś uzytkownka pkd o sporządzane dyskietki resetowama hasła.»->s Możliwe jest pobranie obrazów z witryn sieci Web, z kamery wideo lub ze skanera (patrz rozdział 30.). Możliwe jest nawet umieszczenie zdj cia użytkownika obok nazwy konta na ekranie powitalnym. Aby zmienić obraz zwi zany z kontem użytkownika, wybierz opcj Zmień konto w oknie Konta użytkowników. Wybierz konto użytkownika, któremu chcesz przypisać nowy obraz przez dwukrotne klikni cie jego nazwy. Wybierz opcj Zmień obraz w oknie Co chcesz zmienić w koncie użytkownika [nazwa_użytkownika)'?. Rysunek 15.8 przedstawia okno Wybierz nowy obraz dla konta użytkownika pkd. Rysunek 15.8. Możesz wybrać jeden z obrazów dostępnych w systemie, pobrać obraz z sieci Web lub użyć własnego zdjęcia w formacie cyfrowym * Knntri użytkowników WK.t-ei informacji 83 Strona główna Wybierz nowy obraz dla konta użytkownika pkd Wybrany obraz będzie wyświetlany na «kranię.pow<ajrr/ifi. ^j Uż/wanie własnego obrazu Możesz klikn ć ł cze Przegl daj w poszukiwaniu innych obrazów, jeśli chcesz wybrać inny obraz niż domyślne obrazy systemu Windows XP. Możesz również za pomoc paska przewijania przegl dać wszystkie obrazy dost pne w systemie. Obrazy, które chcesz przypisać do konta użytkownika, mog być w nast puj cych formatach:

Rozdział 15. Zarządzanie kontami użytkowników 341.bmp bitmapy tworzone m.in. za pomoc programu Paint..gif format wymiany plików graficznych obsługiwany przez wiele programów graficznych i nie tylko. Jpg standardowy format, który dzieli si na rodzaje wynikaj ce z wykorzystywanego algorytmu kompresji. Skrót pochodzi od nazwy zespołu Joint Photographic Experts Group, który był odpowiedzialny za stworzenie tego formatu..png standard zapisu grafiki wykorzystywany przez wiele programów graficznych oraz popularny w sieci Web. Jeśli wybierzesz opcj przegl dania, pojawi si okno Otwieranie, pokazane na rysunku 15.9, które umożliwia przegl danie folderów komputera w poszukiwaniu odpowiedniego obrazu. Rysunek 15.9. Okno przeglądania pozwala wyszukiwać obrazy w komputerze Otwieranie Siukajw: dokumenty s caai p Pok«btnlciv 17 09 2000 O t " [3- P Urodriny j? x l Zoo PriyWadowe ot>r«v v ft>v<5n Piki cbfizow \.brop..jf, JPO» C Skorzystaj z listy rozwijanej Szukaj w znajduj cej si w górnej cz ści okna dialogowego, aby wybrać inny dysk lub folder. Za pomoc przycisków znajduj cych si w lewym panelu okna użytkownik może wybrać odpowiedni lokalizacj. Jeśli wybrałeś obraz, którego chcesz użyć, kliknij przycisk Otwórz. Powrócisz do poprzedniego okna, w którym możesz klikn ć przycisk Zmień obraz. Zmiana typu konta Podczas tworzenia konta użytkownika musiałeś wybrać jeden z dwóch dost pnych typów konta: Administrator komputera lub Ograniczony. Możesz zmienić typ konta przypisany do konta użytkownika za pomoc okna Co chcesz zmienić w koncie użytkownika [nazwa_ użytkownika]?. W tym celu wybierz opcj Zmień typ konta. Nast pnie w oknie Wybierz nowy typ konta dla [nazwajużytkownika] wybierz odpowiedni typ konta. Usuwanie konta użytkownika Jeśli nie chcesz już korzystać z konta użytkownika, możesz je usun ć z systemu. Jest to dobry pomysł, gdyż im mniej kont w systemie, tym mniejsze prawdopodobieństwo, że

342 Część III Administracja, zarządzanie kontami użytkowników... ktoś nieproszony załoguje si na jedno z nich. Aby usun ć konto użytkownika w Windows XP, wybierz opcj Usuń konto w oknie Co chcesz zmienić w koncie użytkownika [nazwa_użytkownika]?. Pojawi si okno przedstawione na rysunku 15.10. Rysunek 15.10. Jeśli usuwasz konto użytkownika, nie musisz usuwać związanych z nim plików Czy chcesz zachować pliki użytkownika pkd? Przed usunięciem konta użytkownik pkd system Windows może automatycznie zapisać zawartość pulpitu i folderu Moje dokumenty tego użytkownka w nowym folderze o nazwie.pkd* na Tworn pulpicie. System Windows me może jednak zapisać należących do użytkownika pkd wiadomości e- mail, ulubionych ł^czy rternetowycn i innych ustawień. Ostrzeżenie w górnej cz ści okna informuje, że przed usuni ciem konta użytkownika system może automatycznie zapisać zawartość pulpitu i folderu Moje dokumenty tego użytkownika w nowym folderze na Twoim pulpicie. Wiadomości e-mail, ulubione ł cza internetowe i inne ustawienia użytkownika zostan usuni te z systemu. Pami taj, że nie musisz usuwać konta użytkownika, aby zmienić jego nazw. Zamiast tego możesz skorzystać z opcji Zmień nazw okna Co chcesz zmienić w koncie użytkownika [nazwa_ użytkownika]?. Jeśli jednak jesteś pewien swojej decyzji, to funkcja Usuń konto spowoduje usuni cie z systemu konta użytkownika i zwi zanych z tym kontem plików. Jeśli chcesz zachować prywatne pliki użytkownika, wybierz opcj Zachowaj pliki. Wybór sposobu logowania i wylogowywania konta użytkownika Jak wspomniano wcześniej, jeśli komputer nie należy do domeny, standardowym mechanizmem systemu Windows XP jest wyświetlanie ekranu powitalnego zawieraj cego list kont użytkowników lokalnych. Jeśli wolisz korzystać z klasycznego monitu logowania dost pnego w poprzednich wersjach systemu Windows, możesz zmienić to domyślne ustawienie. W oknie Konta użytkowników wybierz zadanie Zmień sposób logowania lub wylogowywania użytkowników. Aby korzystać z klasycznego monitu logowania systemu Windows, usuń zaznaczenie opcji Użyj ekranu powitalnego.

Rozdział 15. Zarządzanie kontami użytkowników 343 Zauważ, że po usunięciu zaznaczenia opcji Użyj ekranu powitalnego automatycznie usuwane jest zaznaczenie opcji Użyj szybkiego przełączania użytkowników. Szybkie przełączanie użytkowników nie jest dostępne również wtedy, gdy jest aktywna funkcja korzystania z plików w trybie offline. Funkcja korzystania z plików w trybie offline umożliwia korzystanie z lokalnych kopii plików znajdujących się w udostępnianych folderach w sieci, jeśli folder, w którym przechowywany jest oryginał, jest chwilowo niedostępny. Więcej informacji na temat korzystania z plików w trybie offline znajdziesz w rozdziale 9. Tworzenie Zasad grupy dla komputera lokalnego Na komputerach wolnostoj cych lub należ cych do grupy roboczej administrator komputera może ograniczać ilość użytkowników oraz sposoby pracy użytkowników zalogowanych do systemu. Do tego celu służy przystawka Zasady grupy, która pozwala tworzyć Zasady komputera lokalnego stosowane do komputera i użytkowników lokalnych (jeśli Twój komputer należy do domeny, zasady domeny maj wyższy priorytet niż zasady komputera lokalnego). Konsola zarządzania firmy Microsoft (z ang. Microsoft Management Console MMC) zapewnia dostęp do podstawowych narzędzi administracyjnych systemu. Przystawki MMC to aplety, których możesz używać w obrębie MMC do wykonywania konkretnych zadań administracyjnych. Przystawka Zasady grupy umożliwia edycj obiektów zasad grup, które mog być przył czone do lokalizacji, domeny lub usługi organizacyjnej w usłudze Active Directory lub przechowywane na komputerze. Zasady grupy odpowiadaj za elementy wyświetlane w menu Start. Tabela 15.2 zawiera szczegółow list składników systemu, którymi możesz zarz dzać za pomoc przystawki Zasady grupy. Tabela 15.2. Opis obiektów przystawki Zasady grupy Obiekt Szablony administracyjne Przekierowanie folderu Ustawienia oprogramowania Ustawienia zabezpieczeń Opis S to pliki tekstowe, które dostarczaj informacje dla elementów umieszczonych w folderze Szablony administracyjne w drzewie konsoli przystawki Zasady grupy Rozszerzenia Przekierowanie folderu przystawki Zasady grupy można używać do przekierowywania folderów specjalnych do lokalizacji sieciowych Ustawienia oprogramowania s dost pne w drzewie konsoli przystawki Zasady grupy w obszarze dwóch w złów Konfiguracja użytkownika (przeznaczony dla ustawień oprogramowania stosowanych do użytkowników, niezależnie od tego, na których komputerach si oni loguj ) i Konfiguracja komputera (przeznaczony dla ustawień oprogramowania stosowanych do wszystkich użytkowników, którzy loguj si na danym komputerze) Ustawienia zabezpieczeń pozwalaj administratorowi zabezpieczeń modyfikować ustawienia zabezpieczeń przypisane do obiektu zasad grupy

344 Część III Administracja, zarządzanie kontami użytkowników... Jeśli korzysta eś wcześniej z systemu Windows NT 4.0, to nie jest Ci obce narzędzie System Policy Editor pozwalające konfigurować wpisy dla wszystkich komputerów należących do domeny, zmieniać ustawienia pulpitu itd. Przystawka Zasady grupy jest podobna do narzędzia System Policy Editor, ale pozwala na bardziej dok adną kontrolę dostępu. Pamiętaj, że w tym rozdziale mówimy o Zasadach grupy dla komputera lokalnego. Jeśli Twój komputer należy do domeny, możliwe jest tworzenie wielu poziomów zasad, które mogą mieć wyższy priorytet niż zasady lokalnego komputera. Zasady grupy mogą być tworzone w sieci opartej na Active Directory na poziomie lokalizacji, jednostki organizacyjnej (z ang. organizational unit OU) lub domeny. Więcej na temat Active Directory dowiesz się w za ączniku B. Aby uruchomić przystawkę Zasady grupy z konsoli zarządzania Microsoftu: 1. Wybierz z menu Start/Uruchom. 2. Wpisz polecenie gpedi t.msc i kliknij przycisk OK. Pojawi się okno (rysunek 15.11), które umożliwia modyfikowanie konfiguracji komputera i użytkownika lokalnego. Zasady grupy Ek ftkcja widok Pomoc L urn JE Zasady Komputer tokalny Konfiguracja komputera LJ ustawema oprogramt element, aby wyiwietlć ]ego ops. U Szablony admnistrac* - j Konfiguracja uzytkowr*. LJ ustawienia oprogramt Cl Ustawlertó systemu V CJ Szablony admnlstrac^ lldskrypty (uruchamane/... ^Ustawienia zabezpieczeń Rysunek 15.11. Możesz zmieniać zasady dla komputera lokalnego i użytkowników za pomocą przystawki Zasady grupy Możesz również wpisać polecenie gpedit.msc w oknie programu Wiersz polecenia. Pliki zawierające zasady grupy zapisane są w katalogu %systemroot%\system32\ GroupPolicy.

Rozdział 15. Zarządzanie kontami użytkowników 345 Przystawka Zasady grupy obejmuje ustawienia Konfiguracja użytkownika, które dotyczą użytkowników, oraz ustawienia Konfiguracja komputera, które dotyczą komputerów. Administratorzy używają elementu Konfiguracja komputera, aby konfigurować zasady, które są stosowane na komputerach niezależnie od tego, kto się na nich loguje. Element Konfiguracja komputera zawiera podelementy Ustawienia oprogramowania, Ustawienia systemu Windows i Szablony administracyjne. Ponieważ jednak do przystawki Zasady grupy można dodawać rozszerzenia lub je usuwać, elementy w Twoim komputerze mogą być nieco inne niż pokazano na rysunku. Element Konfiguracja użytkownika można wykorzystać do ustawiania zasad, które są stosowane do użytkowników, bez względu na to, na którym komputerze się oni logują. Element Konfiguracja użytkownika zazwyczaj zawiera podelementy Ustawienia oprogramowania, Ustawienia systemu Windows i Szablony administracyjne. Omówienie wszystkich elementów przystawki Zasady grupy zaję oby ca ą książkę (użytkownik może zarządzać ponad tysiącem ustawień), dlatego w kolejnych punktach omówimy tylko najbardziej istotne ustawienia. Ustawienia zabezpieczeń komputera lokalnego Ustawienia zabezpieczeń to jedna z najważniejszych funkcji przystawki Zasady grupy. Na przyk ad administrator systemu może zmusić użytkowników, aby regularnie zmieniali has o, lub zablokować dostęp do konta, jeśli b ędne has o zostanie wpisane określoną ilość razy. Ustawienia zabezpieczeń są dostępne w węźle Konfiguracja komputera okna przystawki Zasady grupy, jak pokazano na rysunku 15.12. Po wybraniu z drzewa w lewym panelu okna opcji Ustawienia zabezpieczeń w prawym panelu pojawia się lista zasad wraz z opisem. Rysunek 15.12. Zasady kont wpływają na sposób, w jaki konta użytkowników współdziałają z komputerem im Zasady grupy Płk Ąkcla Widok Pomoc if igzasady Komputer lokalny j j Konfigurac)a komputera + _J Ustawienia oprogramowania - _J Ustawienia systemu Windows &] Skrypty Uruchamianie/zamykanie) :+l Cj Szablony administracyjne j)j3 Konfiguracja użytkownika,+*. LJ Ustawienia oprogramowania +- Ci Ustawienia systemu Windows +:- Cj Szablony administracyjne Nazwa 8 Zasady konta Zasady blokowania hasła I konta 13 Zasady lokalne Zasady Inspekcji praw użytkowników i opcfi zabezp.. I Zasady kluczy pubtcznych _J Zasady ogr aniczen oprogramo... 3& Zasady zabezpieczeń IP w Ko... Administracja zabezpieczeniami protokołu interneto

346 Część III Administracja, zarządzanie kontami użytkowników... Jeśli dwukrotnie klikniesz ikon Zasady konta, w prawym panelu okna pojawi si dwa elementy wchodz ce w skład tego w zła: Zasady haseł i Zasady blokady konta. Zasady kont s definiowane na komputerach, ale wpływaj na sposób, w jaki konta użytkowników współdziałaj z komputerem lub domen. Konfigurowanie Zasad haseł Zasady haseł s cz ści Ustawień zabezpieczeń i pozwalaj na konfigurowanie takich ustawień haseł, jak wymuszanie i okresy istnienia. W skład Zasad haseł wchodz : Wymuszaj tworzenie historii haseł określa liczb unikatowych nowych haseł, które musz być skojarzone z kontem użytkownika, zanim b dzie można ponownie użyć starego hasła. Wartość ta musi si zawierać w przedziale od 0 do 24. Zasada ta umożliwia administratorom podniesienie poziomu bezpieczeństwa dzi ki zagwarantowaniu, że stare hasła nie b d stale w użyciu. Maksymalny okres ważności hasła określa przedział czasu (w dniach), w jakim można używać hasła, zanim system b dzie wymagał jego zmiany. Można ustawić opcj, aby hasło traciło ważność po określonej liczbie dni (od 1 do 999), lub określić opcj obowi zywania cały czas tego samego hasła, ustawiaj c wartość liczby dni na 0. Minimalny okres ważności hasła określa przedział czasu (w dniach), w jakim hasło musi obowi zywać, zanim użytkownik b dzie mógł je zmienić. Można ustawić wartość z zakresu od 1 do 999 dni lub zezwolić na natychmiastowe wprowadzanie zmian, ustawiaj c liczb dni nao. Minimalny okres ważności hasła musi być krótszy niż okres określony w polu Maksymalny okres ważności hasła. Aby obowi zywało ustawienie dokonane w polu Wymuszaj tworzenie historii haseł, minimalny okres ważności hasła powinien wynosić przynajmniej 1 dzień. Bez określenia minimalnego okresu obowi zywania hasła użytkownicy mog używać kolejnych haseł aż do chwili, gdy trafi na swoje stare, ulubione hasło. Minimalna długość hasła określa najmniejsz liczb znaków, jak musi zawierać hasło dla konta użytkownika. Można ustawić wartość z zakresu od 1 do 14 znaków lub określić, aby hasło nie było wymagane, wybieraj c jako liczb znaków wartość 0. Hasło musi spełniać wymagania co do złożoności określa, czy hasło musi spełniać wymagania co do złożoności. Jeśli zasada ta jest wł czona, hasła musz spełniać nast puj ce wymagania minimalne: nie mog zawierać całości ani cz ści nazwy konta użytkownika, musz mieć długość przynajmniej sześciu znaków, musz zawierać znaki należ ce do trzech z nast puj cych czterech kategorii: wielkie litery od A do Z, małe litery od a do z, 10 cyfr podstawowych (od 0 do 9), znaki spoza grupy znaków alfanumerycznych (np.!, $, #, %). Wymagania dotycz ce złożoności s automatycznie wymuszane przy zmianach lub tworzeniu haseł. Zapisz hasła dla wszystkich użytkowników w domenie, korzystaj c z szyfrowania odwracalnego określa, czy hasła s zapisywane przy użyciu szyfrowania odwracalnego. Zapisywanie haseł przy użyciu szyfrowania odwracalnego oznacza

Rozdział 15. Zarządzanie kontami użytkowników 347 w zasadzie to samo, co zapisywanie haseł zwykłym tekstem. Dlatego zasada ta powinna być zawsze wył czona, chyba że wymagania aplikacji maj priorytet w stosunku do potrzeby ochrony hasła. Aby przedstawić zastosowanie Zasad haseł, przyjrzyjmy si poniższemu przykładowi, w którym zmieniliśmy ilość haseł przechowywanych w historii, aby użytkownik po wymuszonej zmianie hasła nie mógł powrócić do poprzednio używanego hasła. Aby zmienić to ustawienie, dwukrotnie kliknij opcj Wymuszaj tworzenie historii haseł w w źle Zasady haseł. Pojawi si okno Właściwości: Wymuszaj tworzenie historii haseł, pokazane na rysunku 15.13. Za pomoc strzałek ustaw ilość pami tanych haseł. Kliknij przycisk Zastosuj, a nast pnie przycisk OK. Rysunek 15.13. Okno Właściwości: Wymuszaj tworzenie historii haseł pozwala określić liczbę unikatowych nowych haseł, które muszą być skojarzone z kontem użytkownika, zanim będzie można ponownie użyć starego hasła Wtosrtwnśr i: Wymuszaj tworzenie historii haseł Ustawiane zabezpieczeń lokalnych :. r*zi Wymuttaj tworzenie hittori haieł- Przochowuj historię haseł da: IE *! parmętanych haseł W ten sam sposób możesz zmieniać inne ustawienia Zasad haseł\ klikaj c dwukrotnie lewym przyciskiem myszy opcj w prawym panelu okna MMC, co spowoduje pojawienie si oka dialogowego, w którym możesz ustawić odpowiedni wartość wybranej opcji. Konfigurowanie Zasad blokady konta Zasady blokady konta maj zabezpieczać konto użytkownika przed włamaniem. Określaj, pod jakimi warunkami i jak długo konto b dzie zablokowane, jeśli hasło zostanie bł dnie wpisane określon ilość razy. Ta opcja pozwala zabezpieczyć konto użytkownika zarówno przed włamaniem z lokalnej konsoli komputera, jak również przed włamaniem zdalnym za pomoc sieci Web. Jeśli komputer jest poł czony z sieci Web, blokada konta zabezpiecza je przed włamaniem przez programy, które próbuj różnych kombinacji haseł przy logowaniu si na konto użytkownika jest to jedna z metod słownikowych! Dwukrotnie kliknij lewym przyciskiem myszy ikon Zasady blokady konta w prawym panelu okna MMC. Dost pne opcje Zasady blokady konta to: Czas trwania blokady konta określa liczb minut, przez jak konto pozostaje zablokowane, zanim blokada zostanie automatycznie usuni ta. Dost pne s wartości z zakresu od 1 do 99 999 minut. Wpisanie wartości 0 określa, że konto b dzie automatycznie zablokowane do chwili, gdy zostanie odblokowane przez administratora. Jeśli określona jest wartość progowa blokady konta, czas trwania blokady musi być dłuższy lub taki sam jak czas wyzerowania.

348 Część III Administracja, zarządzanie kontami użytkowników... Próg blokady konta określa liczb nieudanych prób logowania, która powoduje zablokowanie konta użytkownika. Zablokowanego konta nie można używać do chwili, gdy zostanie ono wyzerowane przez administratora lub gdy upłynie czas blokady. Można określić liczb niepomyślnych prób załogowania, ustawiaj c wartość z zakresu od 1 do 999, lub określić, że konto nigdy nie b dzie blokowane, wybieraj c wartość 0. Wyzeruj licznik blokady konta po określa liczb minut, które musz upłyn ć od nieudanej próby logowania, zanim licznik nieudanych prób logowania zostanie wyzerowany i nie b dzie wskazywał nieudanych prób logowania. Dost pne s wartości z zakresu od 1 do 99 999 minut. Jeśli określona jest wartość progowa blokady konta, czas wyzerowania musi być krótszy lub taki sam jak Czas trwania blokady konta. Ustawianie powyżej opisanych opcji jest bardzo proste. Dwukrotnie kliknij opcj w prawym panelu okna MMC, co spowoduje pojawienie si odpowiedniego okna dialogowego. Wprowadź now wartość w oknie dialogowym i zaakceptuj j klik j c przycisk Zastosuj, a nast pnie przycisk OK. Aby sprawdzić działanie tych opcji, spróbuj ustawić Czas trwania blokady konta na 60 minut. Nast pnie ustaw Próg blokady konta na 5 bł dnych prób wpisania hasła. I w końcu, ustaw zerowanie licznika blokady konta po 30 minutach. Przy tak skonfigurowanych ustawieniach Zasad blokady konta, jeśli użytkownik pi ciokrotnie wpisze bł dne hasło w przeci gu 30 minut, jego konto zostanie zablokowane na godzin (60 minut). Jeśli użytkownik b dzie si próbował załogować jedynie cztery razy, a nast pnie odczeka pół godziny, konto nie zostanie zablokowane. Konfigurowanie ustawień użytkownika Administrator może również oprócz ustawień konta konfigurować ustawienia użytkownika, definiuj c m.in. zawartość menu Start, oraz tworzyć skrypty logowania i wylogowywania. Aby konfigurować te ustawienia, rozwiń w zeł Konfiguracja użytkownika w lewym panelu okna MMC. Wybierz kategori Ustawienia systemu Windows, jak pokazano na rysunku 15.14. W prawym panelu okna pojawi si nast puj ce elementy: Skrypty (łogowanie/wylogowywanie); Ustawienia zabezpieczeń; Konserwacja programu Internet Explorer. Opcja Skrypty (łogowanie/wylogowywanie) służy do określania skryptów wykonywanych przy logowaniu lub wylogowywaniu si użytkownika, takich jak mapowanie dysków sieciowych, dost pu drukarek oraz automatyczne uruchamianie aplikacji. Skrypty logowania- -wylogowywania możesz tworzyć za pomoc prostego edytora tekstów (patrz rozdział 13.).

Rozdział 15. Zarządzanie kontami użytkowników 349 5 Zasady Komputer lokalny *J Konfiguracja komputera J Konfiguracja użytkownika i Ustawtema oprogramowania j j Skypty flogowanie/wylogowywanre) * Jł Ustawienia zabezpieczeń + -JjJ Konserwacja programu Internet Explorer * _J Szablony admnistracyjne Zaznacz e ement, aby wyiwietfcć tego opis. Nazwa jjąj Skrypty (logowanie/wylogowy.. JłUstawtoma zabezpieczeń ^konserwacja programu Intern,. v Rozszerzony ^ Standardowy j Rysunek 15.14. Administrator może zarządzać środowiskiem, w którym pracuje użytkownik, za pomocą węzła Konfiguracja użytkownika przystawki Zasady grupy Korzystanie z szablonów administracyjnych Szablony administracyjne dla Zasad grupy zawierają wszystkie informacje o zasadach oparte na rejestrze. W folderze Szablony administracyjne dostępne są następujące funkcje: Sk adniki systemu Windows pozwala definiować ustawienia sk adników systemu operacyjnego. Menu Start i pasek zadań zawiera ustawienia zezwalające na dodawanie, usuwanie lub wy ączanie elementów z menu Start, paska zadań i obszaru powiadomień. Możesz na przyk ad usunąć ącze do witryny Windows Update, ikonę folderu Moje dokumenty, Pomocnika wyszukiwania, menu Pomoc, menu Uruchom itd. Pulpit zawiera ustawienia s użące do zarządzania zachowaniem pulpitu użytkownika oraz decydujące o tym, które domyślne ikony są wyświetlane na pulpicie. Panel sterowania zawiera ustawienia zezwalające na konfigurację Panelu sterowania, w tym elementy wyświetlane i niewyświetlane. Korzystając z tego szablonu, możesz wymusić, aby Panel sterowania by zawsze wyświetlany z widokiem klasycznym, a nie widokiem kategorii. Foldery udostępnione zarządza konfiguracją i zachowaniem folderów udostępnianych.

350 Część III Administracja, zarządzanie kontami użytkowników... Sieć zezwala na konfiguracj składników systemu operacyjnego używanych przez komputer do ł czenia si z sieci, w tym ustawień DNS i plików trybu offline. System umożliwia konfiguracj różnych ustawień składników systemu, pocz wszy od ustawień profilu użytkownika, po wiersz poleceń i narz dzia służ ce do edycji Rejestru systemowego. Dwukrotnie kliknij ikon Szablony administracyjne w prawym panelu okna Zasady grupy, aby zobaczyć zawartość folderu. Zanim zaczniesz eksperymentować z ustawieniami w Szablonach administracyjnych, upewnij si, że wiesz, co robisz. Monitorowanie pracy użytkowników Jedn z zalet korzystania przez każdego użytkownika z własnego konta jest możliwość monitorowania pracy poszczególnych użytkowników, a szczególnie wprowadzanych przez nich zmian w systemie. Gdyby wszyscy użytkownicy korzystali z jednego konta (jak na przykład Administrator co jest wyj tkowo głupim pomysłem), nie istnieje możliwość prześledzenia działań wykonywanych przez poszczególne osoby. Aby śledzić zdarzenia, które maj miejsce w systemie, możesz: Skonfigurować proces przeprowadzania inspekcji określonych zdarzeń w systemie. Korzystać z narz dzia Podgl d zdarzeń do przegl dania zdarzeń zapisanych w dziennikach zabezpieczeń. Aby skonfigurować proces przeprowadzania inspekcji, uruchom Panel sterowania i przejdź do kategorii Wydajność i konserwacja (rysunek 15.15). W oknie Wydajność i konserwacja dwukrotnie kliknij ikon apletu Narz dzia administracyjne. W oknie Narz dzia administracyjne uruchom aplet Zasady zabezpieczeń lokalnych. Pojawi si okno pokazane na rysunku 15.16. Ustawienia zabezpieczeń lokalnych to jedna z nakładek konsoli zarządzania Microsoftu {MMC). W lewym panelu okna użytkownik może rozwinąć również węzeł Zasady konta umożliwiający dostęp do Zasad haseł i Zasad blokady konta. Węzeł ten jest również dostępny poprzez nakładkę Zasady grupy. W prawym panelu okna Ustawienia zabezpieczeń lokalnych widoczna jest lista zdarzeń, na których można przeprowadzać inspekcj (w kolumnie Zasady) oraz bież ce ustawienie (w kolumnie Ustawienie zabezpieczeń). Za pomoc tego apletu użytkownik może definiować zdarzenia, które maj być zapisywane w dzienniku zabezpieczeń, i które nast pnie mog być przegl dane za pomoc apletu Podgl d zdarzeń. Przed zaimplementowaniem inspekcji trzeba zdecydować, jakie b d zasady inspekcji. W zasadach inspekcji określone s kategorie zdarzeń zwi zanych z zabezpieczeniami, które maj podlegać inspekcji. Po pierwszym zainstalowaniu systemu Windows XP Professional wszystkie kategorie inspekcji s wył czone. Wł czaj c różne kategorie zdarzeń

Rozdział 15. Zarządzanie kontami użytkowników 351 Rysunek 15.15. Wybierz kategorię Wydajność i konserwacja w oknie Panelu sterowania V" Panel sterowania Pik Łdycja Widok gubione Narzędzia Pomoc. -- ' Qr Pand sterowania r - 1 E T PaoeU.ero.ania i [> Piszcz do wdatai!<jajycznego Q -.f J.. Wyszukaj j Foldery. @ Zobacz też -*J 1 Wybierz kategorię " ^ { ł w»ijl.i.!.ti.cin..i.>. >- < 9 1 * 0'ulorkl i»iny S»' et V BPSl V ) Przejdź ;J ^ Windowi Usdate I «Jj Pom^ 1 obsługa techniczna 3 0 Inne opc(ft Panelu sterowania (»opcje * ^ oudm J Wydajnej i konserwacja Rysunek 15.16. IV oknie Ustawienia zabezpieczeń lokalnych możesz wybrać kategorię Zasady inspekcji IP Usldwienid zabezpieczeń lokalnych E*k Akcia Widok Pomoc ^ Ustawienia zabezpieczeń - CS Zasady konta ijjjft Przeprowadź inspekcję dostępu do obiektów 9 CJ Zasady haseł Przeprowadź inspekcję dostępu do usługi katalogowa) + Q3 Zasady blokady konta (Przeprowadź inspekcję śledzenia procesów - CJ Zasady lokalne JPrzeprowadź inspekcję użycia uprawnień C9 Zasady inspekcji {p}przeprowadź inspekcję zarządzania kontami i* ] i_3 Przypisyvsianie praw uź i ^j Przeprowadź inspekcję zdarzeń logowania + CS Opcłe zabeipieczen + ZJ Zasady kluczy pumcznych jisf] Przeprowadź inspekcję zdarzeń logowania na kontach ł CJ Zasady ograniczeń oprogrj j 33 Przeprowadź inspekcję zdarzeń systemowych + ^ Zasady zabezpieczeń IP IM llajj Przeprowadź inspekcję zmian zasad Brak inspekcji Brak inspekcji Brak inspekcji Brak Inspekcji Brak inspekcji Brak inspekcji Brak inspekcji Brak inspekcji Brak inspekcji podlegających inspekcji, można zaimplementować zasady inspekcji, które będą spe niać wymagania danej organizacji dotyczące zabezpieczeń. Dwukrotnie kliknij zasadę Przeprowadź inspekcję dostępu do obiektów pojawi się okno dialogowe pokazane na rysunku 15.17. Użytkownik może zaznaczyć pole opcji Sukces i Niepowodzenie. Zaznaczenie opcji Sukces powoduje w ączenie inspekcji po pomyślnym zakończeniu danego zdarzenia. Analogicznie,

352 Część III Administracja, zarządzanie kontami użytkowników. Rysunek 15.17. Okno dialogowe pozwala zaimplementować inspekcję wybranej kategorii zdarzeń Właściwości: Prvenrow.ir1ż insnekrję dostępu dn obie.. Ustawianie labezpecieó krajnych ; 7S i P^epowadi inspekcie dostępu do obiektów Dokonuj intpekcj tych prób zaznaczenie opcji Niepowodzenie powoduje wł czenie inspekcji, jeśli dane zdarzenie nie zostanie pomyślnie zakończone. Na przykład jeśli zaznaczone jest pole opcji Sukces, wtedy w dzienniku zabezpieczeń zostanie utworzony wpis po udanej próbie logowania si do systemu przez użytkownika. Jeśli zaznaczone b dzie pole Niepowodzenie, wtedy wpis zostanie utworzony po nieudanej próbie logowania si do systemu. W sytuacji gdy chcesz wiedzieć o wszystkich udanych i nieudanych próbach logowania, zaznacz obydwa pola opcji. Jak widzisz, musisz samodzielnie podj ć decyzj, jakiego rodzaju zdarzenia maj powodować tworzenie wpisów w dzienniku zabezpieczeń. Pami taj, że wygenerowane zapisy musisz przegl dać samodzielnie korzystaj c z narz dzia Podgl d zdarzeń, dlatego ilość aktywnych inspekcji b dzie wprost proporcjonalna do ilości wpisów, które musisz nast pnie przejrzeć. Jeśli dziennik b dzie zawierał bardzo dużo wpisów, łatwo b dzie przeoczyć te najważniejsze. Pami taj, że inspekcje, które uaktywnisz za pomoc tego narz dzia, b d generowały wpisy tylko w dzienniku zdarzeń systemowych. W oknie Podgl du zdarzeń wyświetlane s zdarzenia należ ce do trzech kategorii. Wi cej na temat Podgl du zdarzeń dowiesz si w nast pnym rozdziale. Do kategorii zdarzeń, które mog podlegać inspekcji, należ : Inspekcja zdarzeń logowania na kontach określa, czy ma być dokonywana inspekcja każdego przypadku logowania lub wylogowywania si użytkownika z innego komputera, gdy bież cy komputer służy do sprawdzania konta. Inspekcja zarz dzania kontami określa, czy ma być dokonywana inspekcja każdego zdarzenia zwi zanego z zarz dzaniem kontami, które ma miejsce na komputerze. Zdarzenia zwi zane z zarz dzaniem kontami to np. utworzenie, zmiana lub usuni cie konta użytkownika b dź grupy. Inspekcja dost pu do usługi katalogowej określa, czy ma być przeprowadzana inspekcja zdarzenia zwi zanego z uzyskiwaniem przez użytkownika dost pu do obiektu usługi Active Directory, który ma zdefiniowan własn list kontroli dost pu do systemu. Inspekcja zdarzeń logowania określa, czy ma być dokonywana inspekcja każdego przypadku logowania, wylogowania lub nawi zywania poł czenia sieciowego zwi zanego z danym komputerem.

Rozdział 15. Zarządzanie kontami użytkowników 353 Inspekcja dost pu do obiektów określa, czy ma być przeprowadzana inspekcja zdarzenia zwi zanego z uzyskiwaniem przez użytkownika dost pu do obiektu np. pliku, folderu, klucza rejestru, drukarki itd. który ma zdefiniowan własn list kontroli dost pu do systemu. Inspekcja zmian zasad określa, czy ma być przeprowadzana inspekcja każdego przypadku zmiany zasad przypisywania praw użytkownika, zasad inspekcji lub zasad zaufania. Inspekcja użycia uprawnień określa, czy ma być dokonywana inspekcja każdego przypadku wykorzystania przez użytkownika przysługuj cych mu praw. Inspekcja śledzenia procesów określa, czy ma być przeprowadzana inspekcja szczegółowych informacji ze śledzenia zdarzeń, takich jak uaktywnienie programu, zamkni cie procesu, zduplikowanie uchwytów czy uzyskanie pośredniego dost pu do obiektu. Inspekcja zdarzeń systemowych określa, czy ma być przeprowadzana inspekcja w momencie ponownego uruchamiania b dź wył czania komputera lub w momencie wyst pienia zdarzenia maj cego wpływ na bezpieczeństwo systemu lub dziennik zabezpieczeń. Stworzenie dobrych zasad przeprowadzania inspekcji jest kwesti dostosowania ustawień do potrzeb konkretnego systemu. Administrator może eksportować dane z dzienników zdarzeń i analizować zebrane informacje za pomoc baz danych lub arkuszy kalkulacyjnych. Pozwala to sprawdzić, na jakiego rodzaju niebezpieczeństwa system jest wystawiony, i zgodnie z tymi potrzebami opracować plan zadań, które powinny podlegać inspekcji. Przydzielanie praw użytkownikom Bior c pod uwag złożoność systemu operacyjnego Windows XP oraz działania, które można w nim wykonać, prawa wynikaj ce z typu konta, Administrator komputera i Ograniczone, s w wielu wypadkach zbyt mało restrykcyjne. Podczas tworzenia konta dla użytkownika administrator systemu musi wybierać mi dzy przydzieleniem pełnych praw lub żadnych. Konto utworzone z prawami administracyjnymi pozwala użytkownikowi zrobić w systemie wszystko. Konto typu Ograniczone pozwala użytkownikowi jedynie na dost p do własnych plików i folderów oraz zasobów przyznanych przez administratora systemu. Uprawnienia użytkownika, którego konto jest typu Ograniczone, mog być modyfikowane przez nadanie mu praw do innego konta b dź grupy lub przez dodanie użytkownika do grupy posiadaj cej określone prawa. Prawa różnią się w znaczący sposób od uprawnień. Prawa to określone działania, które użytkownik może wykonać, podczas gry uprawnienia nadawane są do zasobów i pozwalają użytkownikowi wykonywać pewne działania na konkretnych zasobach. Uprawnienia są omówione w innych rozdziałach. W rozdziale 9. poznałeś sposoby nadawania uprawnień do plików i folderów. Natomiast w rozdziale 17. dowiesz się więcej o nadawaniu uprawnień do drukarek.