Kontrolowanie dostêpu do komputera

Podobne dokumenty
Temat: Administracja kontami użytkowników

Po³¹czenie iphone'a/ipad a do Smart Multishare USB

Zarz¹dzanie udostêpnionymi. folderami i drukarkami. Rozdzia³ 31. Nowa funkcja! Modele udostêpniania i zabezpieczeñ w Windows XP wprowadzenie 852

Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP

Praca z domenami Windows

Pracownia internetowa w każdej szkole. Opiekun pracowni internetowej SBS 2003 PING

Ustawienia personalne

Kabel do transmisji danych CA-42 krótka instrukcja instalacji

Zabezpieczanie plików i folderów

ABONENCKA CENTRALA TELEFONICZNA SIGMA. Instalacja sterownika USB

Microsoft Management Console

Instalacja sterowników do urz¹dzeñ wielkoformatowych zainstalowanych w firmie Centrum Ksero STUDIO K2 s.c w Pile

Zarządzanie lokalnymi kontami użytkowników

BEZPRZEWODOWA MYSZ OPTYCZNA FLAT PRO INSTRUKCJA OBS UGI

Administracja systemu

Pracownia internetowa w szkole podstawowej (edycja 2004)

Szyfrowanie informacji

NOTA TECHNICZNA INTERFEJSY DIAGNOSTYCZNE

Konta uŝytkowników. Konta uŝytkowników dzielą się na trzy grupy: lokalne konta uŝytkowników, domenowe konta uŝytkowników, konta wbudowane

BEZPRZEWODOWA ZESTAW OPTYCZNY PHANTOM INSTRUKCJA OBS UGI

Pliki i foldery offline

STRUKTURA MENU STRUKTURA MENU

Systemy operacyjne. Zasady lokalne i konfiguracja środowiska Windows 2000

Dodatek C: Bezpieczeñstwo. Ukrywanie obiektów bazy danych

INSTRUKCJA DO PROGRAMU LICZARKA 2000 v 2.56

Szanowny Kliencie, dziêkujemy za zaufanie jakim obdarzy³eœ nasz¹ firmê wybieraj¹c to urz¹dzenie.

Szkolenie dla nauczycieli SP10 w DG Operacje na plikach i folderach, obsługa edytora tekstu ABC. komputera dla nauczyciela. Materiały pomocnicze

Ustalanie dostępu do plików - Windows XP Home/Professional

Witamy. Szybki start. philips. Pod³¹cz. Zainstaluj. U ywaj

10.2. Udostępnianie zasobów

Przywracanie systemu

Modem ADSL2. Z portem USB i Ethernet. Szybki start ADSL2MUE(EU/LA) ZawartoϾ zestawu. Modem ADSL2

Zdalne odnawianie certyfikatów do SWI

Instrukcja obs³ugi panelu dealera

Konfiguracja programu Outlook 2007 do pracy z nowym serwerem poczty (Exchange)

Rozdział 5. Administracja kontami użytkowników

Przegl¹danie informacji o systemie

Ethernet VPN tp. Twój œwiat. Ca³y œwiat.

Instrukcja pod czenia komputera z systemem Microsoft Windows Vista/7 do sieci PWSZ-FREE-WIFI

Instrukcja obs³ugi optoizolowanego konwertera MCU-01 USB - RS232/485. Wersja 0.2

Konfiguracja historii plików

Pracownia internetowa w ka dej szkole (edycja 2004/2005)

Rozdział 4. Rozpoczynanie, zawieszanie i kończenie pracy z systemem (33)

Korzystanie z edytora zasad grupy do zarządzania zasadami komputera lokalnego w systemie Windows XP

Dostosowywanie Windows XP

Laboratorium Systemów Operacyjnych

Wydanie 1 PL. Nokia i Nokia Connecting People s± zarejestrowanymi znakami towarowymi firmy Nokia Corporation

Grzegorz Cygan. Zarządzanie prawami plików i folderów w systemie operacyjnym Windows z systemem plików NTFS

dbsamples.udl lub przygotowany wcześniej plik dla Excela) i OK,

TECHNIK INFORMATYK - STYCZE 2010 Przyk adowe rozwi zanie (Zadanie nr 1)

Instrukcja aktywacji oprogramowania

Laboratorium - Konfigurowanie zapory sieciowej systemu Windows 7

ZA CZNIK C: FUNKCJE KLAWISZY I SPOSOBY WPROWADZANIA PARAMETRÓW

Rozdział 8. Sieci lokalne

Pracownia internetowa w ka dej szkole (edycja 2004)

AMPS Sterownik temperatur Instrukcja obs³ugi

Laboratorium 16: Udostępnianie folderów

Tomasz Greszata - Koszalin

Pracownia internetowa w ka dej szkole (edycja 2004)

Instrukcje dotyczące systemu Windows w przypadku drukarki podłączonej lokalnie

Pracownia internetowa w szkole ZASTOSOWANIA

Konfiguracja oprogramowania w systemach MS Windows dla kont z ograniczonymi uprawnieniami

Elementy i funkcjonalno

Pracownia internetowa w każdej szkole (edycja jesień 2005)

GEO-SYSTEM Sp. z o.o. GEO-RCiWN Rejestr Cen i Wartości Nieruchomości Podręcznik dla uŝytkowników modułu wyszukiwania danych Warszawa 2007

Wydanie 1 PL. Nokia i Nokia Connecting People s± zarejestrowanymi znakami towarowymi firmy Nokia Corporation

Tomasz Greszata - Koszalin

OmniTouch 8400 Instant Communications Suite 4980 Softphone

8. Sieci lokalne. Konfiguracja połączenia lokalnego

Zasady zabezpieczeń lokalnych

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

RDUCH NAJLEPSZE NA RYNKU OPROGRAMOWANIE DO WYŒWIETLANIA PIEŒNI

Przewodnik AirPrint. Ten dokument obowiązuje dla modeli atramentowych. Wersja A POL

Zbuduj prywatnπ chmurê backupu w? rmie. Xopero Backup. Centralnie zarzπdzane rozwiπzanie do backupu serwerów i stacji roboczych

Zainstalowana po raz pierwszy aplikacja wymaga aktualizacji bazy danych obsługiwanych sterowników.

SpedCust 5 instrukcja instalacji

Laboratorium - Konfiguracja zapory sieciowej systemu Windows Vista

Synchronizator plików (SSC) - dokumentacja

PODRĘCZNIK UŻYTKOWNIKA

Windows 10 - Jak uruchomić system w trybie

Laboratorium - Udostępnianie folderu i mapowanie dysku sieciowego w systemie Windows XP

Skrócona instrukcja funkcji logowania

Laboratorium : Tworzenie partycji w Windows XP Pro

Tomasz Greszata - Koszalin

Konfiguracja przeglądarek internetowych oraz Panelu Java dla klientów instutucjonalnych problemy z apletem do logowania/autoryzacji

Symfonia Produkcja Instrukcja instalacji. Wersja 2013

revati.pl Drukarnia internetowa Szybki kontakt z klientem Obs³uga zapytañ ofertowych rozwi¹zania dla poligrafii Na 100% procent wiêcej klientów

Praca w sieci zagadnienia zaawansowane

Kabel USB 2.0 do poù¹czenia komputerów PCLinq2 (PL-2501) podrêcznik u ytkownika

5. Administracja kontami uŝytkowników

Instrukcja U ytkownika Systemu Antyplagiatowego Plagiat.pl

PILOT ZDALNEGO STEROWANIA INSTRUKCJA OBS UGI

Instrukcja pod czenia komputera z systemem Microsoft Windows XP do sieci PWSZ-FREE-WIFI

PRZETWORNIK PROGRAMOWALNY NAPIÊCIA I PR DU STA EGO TYPU P20H

Rejestr Windows - cz. II

Instalacja i konfiguracja automatu synchronizacji CDN OFFLINE

PS IMAGO 3.0 /// instrukcja instalacji

Instrukcja konfiguracji systemów operacyjnych do korzystania z sieci AM_Pracownik

Instrukcja Instalacji

DESlock+ szybki start

Transkrypt:

Rozdzia³ 3 Bezpieczeñstwo w Windows XP wprowadzenie 74 Nowa funkcja! Konta u ytkowników 83 Wybór sposobu logowania u ytkowników 88 Wylogowywanie siê lub blokowanie komputera 96 Nowa funkcja! Co siê sta³o z kontem Administrator? 98 Zaawansowane opcje konfiguracyjne kont 100 Tworzenie hase³ 107 Konfigurowanie Windows XP w komputerze udostêpnionym 113 Kontrolowanie dostêpu do komputera Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu Rozdzia³ 3: Kontrolowanie dostêpu do komputera Korzystaj¹c z opcji bezpieczeñstwa opracowanych dla biznesowej linii produktów Windows Windows NT i Windows 2000 Windows XP uniemo- liwia dostêp do twojego komputera wszystkim niepowo³anym osobom. Jest to zdecydowana ró - nica w stosunku do Windows 95/98/Me, w których mo na by³o omin¹æ opcje zabezpieczaj¹ce, naciskaj¹c klawisz [Esc], gdy system prosi³ o podanie has³a. W Windows XP mo esz: za ¹daæ, aby ka dy u ytkownik podlega³ identyfikacji przy logowaniu, kontrolowaæ dostêp do plików i innych zasobów, kontrolowaæ zdarzenia systemowe, takie jak historia logowania oraz u ycie plików i innych zasobów. Wiêcej informacji na temat bezpieczeñstwa znajdziesz w rozdziale 36 Inspekcja zabezpieczeñ. Oczywiœcie, jeœli komputer znajduje siê w bezpiecznym miejscu i masz pe³ne zaufanie do osób maj¹cych do niego dostêp, zagadnienia te mog¹ nie byæ dla ciebie tak istotne. Programistom Windows XP uda³o siê zaprojektowaæ system, który z jednej strony zapewnia bezpieczeñstwo tym, którzy go potrzebuj¹, a z drugiej strony oferuje wygodê pozosta³ym u ytkownikom. Nawet jeœli nie zale y ci na dodatkowych opcjach bezpieczeñstwa, i tak zapewne zechcesz utworzyæ oddzielne konta dla wszystkich u ytkowników twojego komputera. Z ka dym kontem zwi¹zany jest bowiem oddzielny profil u ytkownika, który zawiera wszystkie jego ustawienia: ulubione strony sieci Web, t³o pulpitu, foldery dokumentów itd.

74 Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu Dziêki funkcjom opisanym w tym rozdziale, takim jak ekran logowania i szybkie prze³¹czanie miêdzy u ytkownikami, mo na szybko zalogowaæ siê do systemu i prze³¹czaæ miêdzy kontami. Bezpieczeñstwo w Windows XP wprowadzenie Ide¹ systemu zabezpieczeñ w Windows XP jest okreœlenie w³aœciciela ka dego zasobu na przyk³ad pliku lub drukarki. W³aœciciel danego zasobu ma pe³n¹ kontrolê nad nim i mo e wybraæ u ytkowników, którym chce udzieliæ dostêpu do tego zasobu. Zazwyczaj zasób jest w³asnoœci¹ tego u ytkownika, który go utworzy³. Na przyk³ad jeœli utworzy³eœ plik, to jesteœ jego w³aœcicielem. (Jednak administratorzy komputera mog¹ przej¹æ na w³asnoœæ zasób, którego sami nie utworzyli). UWAGA Aby mieæ pe³n¹ kontrolê nad poszczególnymi plikami, musz¹ one znajdowaæ siê na woluminie NTFS. Dla celów zgodnoœci Windows XP obs³uguje tak e systemy plików FAT i FAT32, u ywane przez MS-DOS i Windows 95, Windows 98 i Windows Me. Jednak systemy FAT i FAT32 nie zapewniaj¹ takiego poziomu bezpieczeñstwa. Aby w pe³ni korzystaæ z systemów zabezpieczeñ Windows XP, musisz u ywaæ systemu plików NTFS. Wiêcej informacji na ten temat znajdziesz na stronie 740 w podrozdziale NTFS czy FAT32: który system plików wybraæ? W celu okreœlenia, którzy u ytkownicy maj¹ dostêp do zasobu, Windows przydziela do ka dego konta u ytkownika identyfikator zabezpieczeñ (SID). Twój SID (unikalna wartoœæ liczbowa) pod¹ a za tob¹ wszêdzie po ca³ym systemie. Podczas logowania system operacyjny sprawdza nazwê u ytkownika i has³o. Nastêpnie tworzy znak zabezpieczenia (token) dostêpu. Jest to swojego rodzaju elektroniczny identyfikator. Zawiera on twoj¹ nazwê u ytkownika oraz SID wraz z informacjami na temat grup zabezpieczeñ, do których nale y twoje konto. (Ka dy uruchamiany przez ciebie program otrzymuje kopiê twojego znaku zabezpieczenia dostêpu). Za ka dym razem, gdy próbujesz przejœæ przez strze one drzwi w Windows (na przyk³ad gdy próbujesz skorzystaæ z udostêpnionej drukarki) lub te gdy próbuje to zrobiæ uruchomiony przez ciebie program, system operacyjny sprawdza znak zabezpieczenia dostêpu i decyduje, czy masz wystarczaj¹ce uprawnienia. Jeœli nie uzyskasz dostêpu, zobaczysz menu lub okno dialogowe niedostêpne, a w niektórych przypadkach us³yszysz sygna³ dÿwiêkowy i zobaczysz wiadomoœæ systemow¹. Windows decyduje o udzieleniu lub odmówieniu dostêpu do zasobu na podstawie listy kontroli dostêpu (ACL). Jest to lista identyfikatorów zabezpieczeñ oraz powi¹zanych z nimi przywilejów dostêpu. Ka dy zasób poddany kontroli dostêpów ma ACL. Uprawnienia i prawa u ytkowników Windows wyró nia dwa typy przywilejów dostêpu: uprawnienia i prawa. Uprawnienie pozwala na uzyskanie dostêpu do danego obiektu w okreœlony sposób, na przyk³ad pozwala na zapisanie pliku NTFS lub zmianê kolejki wydruku. Prawo pozwala na wykonanie okreœlonej akcji systemowej, na przyk³ad zalogowanie siê lub wyzerowanie zegara. W³aœciciel zasobu (lub administrator) przyznaje uprawnienia dostêpu do zasobu poprzez jego okno dialogowe w³aœciwoœci. Na przyk³ad jeœli jesteœ w³aœcicielem drukar-

Rozdzia³ 3: Kontrolowanie dostêpu do komputera 75 Identyfikatory zabezpieczeñ bez tajemnic Bezpieczeñstwo w Windows XP opiera siê na zastosowaniu identyfikatorów zabezpieczeñ (SID) w celu identyfikacji u ytkownika. Windows przydziela unikalny SID do ka dego konta u ytkownika tworzonego w systemie. SID pozostaje powi¹zany z tym kontem a do momentu usuniêcia go. Ten sam SID nie jest ju wiêcej wykorzystywany ani dla tego, ani dla adnego innego u ytkownika. Nawet jeœli ponownie utworzysz konto z identycznymi informacjami co poprzednio, zostanie mu nadany nowy SID. SID jest wartoœci¹ o ró nej d³ugoœci zawieraj¹c¹ poziom wersji, 48-bitow¹ wartoœæ identyfikatora uprawnieñ (Identifier Authority) oraz numer 32-bitowej wartoœci uprawnieñ ni szego rzêdu. SID ma formê S-1-x-y1-y2-... S-1 identyfikuje go jako wersjê 1 SID; x jest wartoœci¹ IdentifierAuthority; a y1, y2 itd. to wartoœci kolejnych uprawnieñ. Czasem SID mo na zobaczyæ w oknie dialogowym zabezpieczeñ (na przyk³ad na karcie Zabezpieczenia okna dialogowego W³aœciwoœci pliku, gdy wy³¹czone jest Proste udostêpnianie plików) zanim Windows zd¹ y sprawdziæ nazwê konta u ytkownika. Jeœli SID widoczny na karcie Zabezpieczenia nie zmieni siê po chwili na nazwê, oznacza to, e jest to SID dla konta, które zosta³o usuniête. W takiej sytuacji mo esz spokojnie usun¹æ je z listy uprawnionych u ytkowników, gdy nie bêdzie ono nigdy ponownie u yte. Identyfikatory zabezpieczeñ mo esz tak e zobaczyæ miêdzy innymi w ukrytym folderze /Recycled (ka dy SID w tym folderze reprezentuje Kosz innego u ytkownika), w rejestrze (grupa HKEY_USERS zawiera klucze, identyfikowane identyfikatorami, dla ka dego konta u ytkownika w komputerze) oraz g³êboko w strukturze folderów %UserProfile%\Application Data\Microsoft. Nie wszystkie SID s¹ unikalne. Kilka identyfikatorów stale powtarza siê we wszystkich instalacjach Windows XP. Na przyk³ad S-1-5-18 to SID dla wbudowanego konta System, ukrytego cz³onka grupy Administratorzy, który jest u ywany przez system operacyjny i us³ugi loguj¹ce siê za pomoc¹ tego konta. Microsoft Windows XP Professional Resource Kit Documentation (Microsoft Press, 2001) zawiera pe³n¹ listê takich znanych identyfikatorów zabezpieczeñ. ki lub masz uprawnienia administratora, mo esz uniemo liwiæ korzystanie z tej drukarki innemu u ytkownikowi, okreœlaj¹c go w oknie dialogowym w³aœciwoœci tego urz¹dzenia. Administratorzy okreœlaj¹ prawa poprzez konsolê Ustawienia zabezpieczeñ lokalnych znajduj¹c¹ siê w folderze Narzêdzia administracyjne. Je eli masz konto administratora, mo esz u yæ konsoli Ustawienia zabezpieczeñ lokalnych, aby nadaæ u ytkownikowi prawo do za³adowania sterownika urz¹dzenia. UWAGA Stosowany w tej ksi¹ ce, podobnie jak w wielu komunikatach i oknach dialogowych Windows, termin przywileje jest nieformalnym okreœleniem obejmuj¹cym zarówno uprawnienia, jak i prawa. Konta u ytkowników Podstaw¹ systemu zabezpieczeñ w Windows XP jest mo liwoœæ jednoznacznego okreœlenia ka dego u ytkownika. W trakcie instalacji lub w dowolnym momencie po niej ad-

76 Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu ministrator tworzy konta dla wszystkich u ytkowników komputera. Konto u ytkownika identyfikowane jest nazw¹ u ytkownika i (opcjonalnie) has³em, które u ytkownik podaje przy logowaniu siê do systemu. Nastêpnie Windows kontroluje, monitoruje i ogranicza dostêp do zasobów systemu w oparciu o uprawnienia i prawa przyznane poszczególnym u ytkownikom przez w³aœcicieli zasobów oraz administratora systemu. Oprócz takich zwyk³ych kont u ytkowników, Windows zawiera tak e dwa specjalne konta ze zdefiniowanymi wstêpnie zestawami uprawnieñ i praw: konto Administrator i konto Goœæ. Konto Administrator. Ka dy komputer pracuj¹cy pod kontrol¹ systemu operacyjnego Windows XP zawiera specjalne konto o nazwie Administrator. Konto to ma pe³ne prawa. Pozwala na tworzenie innych kont u ytkowników i jest ogólnie odpowiedzialne za zarz¹dzanie ca³ym komputerem. Wiele funkcji i praw jest ograniczonych tylko do tego konta (lub te do innych kont nale ¹cych do grupy Administratorzy). Konto Goœæ. To konto znajduje siê na przeciwnym biegunie uprzywilejowania. Przeznaczone jest dla u ytkowników, którzy sporadycznie lub jednorazowo korzystaj¹ z komputera. Przyk³adem takiego u ytkownika mo e byæ goœæ loguj¹cy siê do systemu bez pomocy has³a i korzystaj¹cy z komputera w œciœle okreœlony sposób. (Domyœlnie konto Goœæ jest wy³¹czone w czystej instalacji Windows XP; nikt nie mo e u yæ wy³¹czonego konta). Konto goœcia jest tak e u ywane w celu uzyskania dostêpu do zasobów sieciowych w twoim komputerze przy w³¹czonym Prostym udostêpnianiu plików. Wiêcej informacji na temat u ywania konta Administrator znajdziesz w podrozdziale Co siê sta³o z kontem Administrator? na stronie 98. Natomiast w ramce Tworzenie bezpiecznego konta goœcia znajdziesz dodatkowe informacje na temat konta goœcia. Nowa funkcja! Typy kont Typ konta jest uproszczonym sposobem nowym w Windows XP opisywania cz³onkostwa w grupie bezpieczeñstwa, zbiorem kont u ytkowników. Grupy pozwalaj¹ administratorowi systemu na tworzenie klas u ytkowników o jednakowych przywilejach. Na przyk³ad jeœli wszyscy pracownicy dzia³u ksiêgowoœci potrzebuj¹ dostêpu do folderu Nale noœci, to administrator mo e utworzyæ grupê o nazwie Ksiêgowoœæ i przyznaæ jej dostêp do tego folderu. Jeœli administrator doda wszystkie konta nale ¹ce do pracowników dzia³u ksiêgowoœci do grupy Ksiêgowoœæ, to wszyscy ci u ytkownicy automatycznie uzyskaj¹ dostêp do folderu Nale noœci. Konto u ytkownika mo e nale eæ do jednej grupy, do kilku grup lub te nie nale eæ do adnej grupy. Grupy s¹ przydatnym narzêdziem administracyjnym. Dziêki nim mo na mieæ pewnoœæ, e wszyscy u ytkownicy grupy maj¹ identyczne przywileje. Chocia mo na okreœliæ przywileje oddzielnie dla ka dego konta, to jednak jest to pracoch³onne zajêcie, w trakcie którego mo na pope³niæ sporo b³êdów. Znacznie lepszym rozwi¹zaniem jest okreœlenie uprawnieñ i praw poszczególnym grupom, a nastêpnie przydzielenie do tych grup u ytkowników. Uprawnienia i prawa cz³onków grup sumuj¹ siê. Oznacza to, e jeœli konto jednego u ytkownika nale y do kilku grup, to u ytkownik ten ma wszystkie przywileje wynikaj¹ce z przynale noœci do wszystkich tych grup.

Rozdzia³ 3: Kontrolowanie dostêpu do komputera 77 Lokalne konta i grupy a konta i grupy domeny Windows przechowuje informacje na temat kont u ytkowników i grup zabezpieczeñ w specjalnej bazie danych. Miejsce przechowywania tej bazy zale y od tego, czy twój komputer jest czêœci¹ grupy roboczej, czy domeny. W przypadku konfiguracji z grup¹ robocz¹ (lub te komputera poza sieci¹) u ywane s¹ jedynie lokalne konta u ytkowników i lokalne grupy takie jak opisano w tym rozdziale. Baza danych z informacjami o zabezpieczeniach, znajduj¹ca siê w ka dym komputerze, przechowuje lokalne konta u ytkowników i lokalne grupy danego komputera. Lokalne konta u ytkowników umo liwiaj¹ u ytkownikom logowanie siê tylko do tego komputera, w którym utworzono dane konto lokalne. Oznacza to tak e, e lokalne konto pozwala u ytkownikowi na dostêp do zasobów znajduj¹cych siê tylko w tym komputerze. (Co nie znaczy, e nie mo na udostêpniæ zasobów innym u ytkownikom sieciowym, nawet jeœli komputer nie jest czêœci¹ domeny. Szczegó³owe informacje na ten temat znajduj¹ siê w rozdziale 31 Zarz¹dzanie udostêpnionymi folderami i drukarkami ). Dziêki takiemu rozwi¹zaniu unika siê koniecznoœci zakupu i konfiguracji Microsoft Windows.NET Server. Natomiast wad¹ jest koniecznoœæ zarz¹dzania kontami u ytkowników na wielu komputerach jednoczeœnie, co sprawia, e jest to rozwi¹zanie niepraktyczne, jeœli masz ponad 5 lub 10 komputerów. Innym rozwi¹zaniem jest skonfigurowanie sieci jako domeny. Domena Windows jest to sieæ, w której przynajmniej jeden komputer dzia³a z oprogramowaniem Windows.NET Server, Windows 2000 Server lub Windows NT Server i kontroluje domenê. Kontroler domeny to komputer, w którym znajduje siê baza danych zabezpieczeñ z zapisanymi kontami u ytkowników i grupami domeny. Korzystaj¹c z konta u ytkownika domeny mo esz zalogowaæ siê do dowolnego komputera w domenie (oczywiœcie jeœli pozwalaj¹ na to twoje uprawnienia na poziomie domeny i poszczególnych komputerów) oraz mo esz skorzystaæ z zasobów udostêpnionych w sieci. Ogólnie rzecz bior¹c, jeœli twój komputer jest czêœci¹ domeny Windows, nie powinieneœ zajmowaæ siê lokalnymi kontami u ytkowników. Wszystkie konta powinny byæ zarz¹dzane w kontrolerze domeny. Mo esz jednak dodaæ niektóre konta u ytkowników domeny lub grupy do grup lokalnych. Domyœlnie grupa Administratorzy domeny jest cz³onkiem lokalnej grupy Administratorzy, a U ytkownicy domeny s¹ cz³onkami lokalnej grupy U ytkownicy; tak wiêc cz³onkowie tych grup domeny maj¹ prawa i uprawnienia przys³uguj¹ce u ytkownikom lokalnym. Konta i grupy domen s¹ tak e okreœlane mianem kont globalnych i grup globalnych. Wiêcej informacji na temat pracy z domenami znajdziesz w rozdziale 33 Praca z domenami Windows. W Windows XP konto u ytkownika mo e nale eæ do jednego z czterech typów kont: Administrator komputera. Cz³onkowie grupy Administratorzy dysponuj¹ kontami administratorów. Grupa ta, która domyœlnie zawiera konto Administrator oraz wszystkie konta utworzone podczas instalacji Windows XP, oferuje znacznie

78 Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu wiêksz¹ kontrolê nad systemem ni jakakolwiek inna grupa. Administratorzy komputera mog¹: tworzyæ, zmieniaæ i usuwaæ konta u ytkowników i grupy instalowaæ programy udostêpniaæ foldery okreœlaæ uprawnienia uzyskiwaæ dostêp do wszystkich plików przejmowaæ w³asnoœæ plików nadawaæ prawa innym u ytkownikom i samym sobie instalowaæ i usuwaæ urz¹dzenia sprzêtowe logowaæ siê w trybie awaryjnym Ograniczone. Cz³onkowie grupy U ytkownicy dysponuj¹ kontami z ograniczeniami. W³aœciciele takich kont domyœlnie mog¹: zmieniaæ has³o, obraz i profil.net Passport w³asnego konta u ytkownika u ywaæ programów, które zosta³y zainstalowane w komputerze przegl¹daæ uprawnienia (jeœli wy³¹czone jest Proste udostêpnianie plików) tworzyæ, zmieniaæ i usuwaæ pliki w swoich folderach dokumentów przegl¹daæ pliki w folderze Dokumenty udostêpnione Goœæ. Cz³onkowie grupy Goœcie dysponuj¹ kontami goœcia. Konta te maj¹ podobne przywileje co konta ograniczone. U ytkownik zalogowany z konta goœcia (ale nie z innego konta bêd¹cego cz³onkiem grupy Goœæ) nie mo e tworzyæ has³a do konta. Nieznany. Typ konta dla konta u ytkownika nie bêd¹cego cz³onkiem grupy Administrator, U ytkownik lub Goœæ wyœwietlany jest jako Nieznany. Poniewa konta utworzone w aplecie Konta u ytkowników w Panelu sterowania mog¹ nale eæ wy³¹cznie do grupy Administratorzy lub U ytkownicy, to z kontem tego typu mo esz mieæ do czynienia tylko w sytuacji, gdy dokona³eœ aktualizacji systemu z wczeœniejszej wersji Windows (na przyk³ad nowi u ytkownicy w Windows 2000 s¹ automatycznie przydzielani do grupy U ytkownicy uwierzytelnieni) lub te jeœli zarz¹dzasz cz³onkostwem w grupach za pomoc¹ konsoli lub poleceniem Net Localgroup. WSKAZÓWKA Konta administratorów rezerwuj na wyj¹tkowe sytuacje Na co dzieñ najlepiej i najbezpieczniej jest korzystaæ z konta ograniczonego. Konta te wraz z ich ograniczonymi przywilejami daj¹ hakerom mniej okazji do w³amania siê do systemu. Ponadto konta te zapobiegaj¹ przypadkowym szkodom wyrz¹dzanym przez samego u ytkownika komputera, na przyk³ad usuniêciu plików wspó³u ytkowanych. Niestety, niektóre programy nie dzia³aj¹ w³aœciwie, jeœli dostêp do nich uzyskiwany jest z takiego konta. Utwórz dla siebie konto ograniczone (jeœli u ywasz Windows XP Professional, konto bêd¹ce cz³onkiem grupy U ytkownicy zawansowani) i sprawdÿ, czy mo esz normalnie pracowaæ. Je eli bêdziesz chcia³ uruchomiæ program, który nie dzia³a w koncie ograniczonym, lub te zechcesz wykonaæ czynnoœci administracyjne, u yj odrêbnego konta administratora, które utworzy³eœ do tych celów. (Zaloguj siê u ywaj¹c konta administratora lub skorzystaj z polecenia Uruchom jako. Wiêcej informacji na temat tego polecenia znajdziesz w podrozdziale Uruchamianie programów jako inny u ytkownik na stronie 156.) Jeœli po pewnym czasie dojdziesz jednak do wniosku, e nie jest to wygodne rozwi¹zanie, ponownie zacznij korzystaæ na co dzieñ z konta administratora.

Rozdzia³ 3: Kontrolowanie dostêpu do komputera 79 Nie ma nic z³ego w korzystaniu z kont tego typu, a jeœli chcesz wykorzystaæ inne grupy bezpieczeñstwa w celu sklasyfikowania kont w twoim komputerze, to nie ma ku temu adnych przeszkód. Dla kont U ytkownicy dostêpne s¹ wszystkie typowe zadania zarz¹dzania kontami typu Nieznany, ale je eli chcesz przejrzeæ lub zmieniæ cz³onkostwo w grupach, musisz u yæ konsoli U ytkownicy i grupy lokalne lub polecenia Net Localgroup. Wiêcej informacji na temat opcji Konta u ytkowników dostêpnej w Panelu sterowania znajdziesz w podrozdziale Konta u ytkowników na stronie 75. Natomiast dodatkowe informacje dotycz¹ce narzêdzi U ytkownicy i grupy lokalne oraz Net Localgroup znajduj¹ siê w podrozdziale Zaawansowane opcje konfiguracyjne kont na stronie 100. Podczas czystej instalacji Windows XP Professional, oprócz grup Administratorzy, U ytkownicy i Goœcie, tworzone s¹ nastêpuj¹ce grupy ka da ze wstêpnie okreœlonym zestawem praw i uprawnieñ: Operatorzy kopii zapasowych. Cz³onkowie grupy Operatorzy kopii zapasowych maj¹ prawo do tworzenia kopii zapasowych i przywracania folderów i plików nawet tych, do których nie maj¹ dostêpu. Cz³onkowie tej grupy maj¹ tak e dostêp do narzêdzia Kopia zapasowa. Grupa us³ug pomocy. Ta grupa jest wykorzystywana przez Microsoft i producentów komputerów do Pomocy zdalnej, umo liwiaj¹c pracownikom obs³ugi technicznej po³¹czenie z twoim komputerem (oczywiœcie tylko za twoj¹ zgod¹!). Wiêcej informacji na temat Pomocy zdalnej znajdziesz w rozdziale ¹czenie siê z innym komputerem za pomoc¹ narzêdzia Pomoc zdalna na stronie 129. Operatorzy konfiguracji sieci. Cz³onkowie tej grupy maj¹ przywileje administracyjne w zakresie konfiguracji sk³adników sieci. U ytkownicy zaawansowani. Grupa ta przeznaczona jest dla u ytkowników, którzy potrzebuj¹ wielu, ale nie wszystkich uprawnieñ administracyjnych. Cz³onkowie tej grupy nie mog¹ przejmowaæ w³asnoœci nad plikami, wykonywaæ kopii zapasowych czy przywracaæ plików, ³adowaæ lub usuwaæ sterowników urz¹dzeñ czy te zarz¹dzaæ dziennikami bezpieczeñstwa czy zdarzeñ. Jednak w przeciwieñstwie do zwyk³ych u ytkowników, u ytkownicy zaawansowani mog¹ udostêpniaæ foldery, tworzyæ, zarz¹dzaæ, usuwaæ i udostêpniaæ lokalne drukarki, a tak e tworzyæ lokalnych u ytkowników i grupy. U ytkownicy pulpitu zdalnego. U ytkownicy tej grupy maj¹ prawo do logowania zdalnego, oczywiœcie o ile funkcja ta jest w³¹czona. Wiêcej informacji na temat Pulpitu zdalnego znajdziesz w rozdziale 32 Opcje dostêpu zdalnego. Replikator. Cz³onkowie grupy Replikator mog¹ obs³ugiwaæ replikacjê plików w domenie, stacji roboczej lub serwerze. (W tej ksi¹ ce nie zajmujemy siê zagadnieniem replikacji plików, jako e jest to funkcja Windows.NET Server i jego poprzedników Windows 2000 Server i Windows NT Server). Z wyj¹tkiem grupy Grupa us³ug pomocy, te dodatkowe grupy nie s¹ tworzone w komputerze z Windows XP Home Edition.

80 Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu UWAGA Komputer bêd¹cy cz³onkiem domeny oferuje dwa standardowe typy kont, które ró ni¹ siê nieco od tych spotykanych w komputerach nale ¹cych do grupy roboczej. U ytkownik typowy jest cz³onkiem grupy U ytkownicy zaawansowani, natomiast u ytkownik z ograniczeniem jest cz³onkiem grupy U ytkownicy. Profile u ytkowników Windows ogranicza dostêp do informacji poprzez profile u ytkowników. Profil u ytkownika zawiera wszystkie ustawienia pulpitu dla œrodowiska pracy tego u ytkownika. Ale to nie wszystko! Oprócz przechowywania wszystkich osobistych ustawieñ pocz¹wszy od t³a pulpitu do inicja³ów autora u ywanych w Microsoft Word, profil zawiera liczne pliki u ytkownika, takie jak pliki cookie, które otrzymuje podczas pracy w programie Microsoft Internet Explorer, dokumenty w folderze Moje dokumenty i jego podfolderach, a tak e skróty do miejsc sieciowych. Domyœlnie ka dy u ytkownik loguj¹cy siê do komputera posiada w³asny lokalny profil u ytkownika, który tworzony jest przy pierwszym logowaniu. Profile u ytkowników przechowywane s¹ w folderze %SystemDrive%\Documents And Settings. Ka dy profil znajduje siê w oddzielnym podfolderze opatrzonym nazw¹ u ytkownika. Na przyk³ad w jednym z komputerów w naszym biurze pe³na œcie ka do jednego z profili wygl¹da tak: C:\Documents And Settings\Cheryl. (Pe³na œcie ka do bie ¹cego profilu u ytkownika przechowywana jest w innej, czêsto u ywanej zmiennej œrodowiskowej %UserProfile%). Ogólnie rzecz bior¹c, ka dy posiadacz konta u ytkownika ma pe³ny dostêp do swojego w³asnego profilu i mo e tworzyæ, zmieniaæ oraz usuwaæ pliki z w³asnego profilu, a tak- e zmieniaæ wszystkie przechowywane w nim ustawienia. W³aœciciele kont innych ni konta administratorskie maj¹ jedynie ograniczony dostêp do profili innych u ytkowników; domyœlnie mog¹ jedynie przegl¹daæ pliki, ale nie mog¹ ich modyfikowaæ. Wiêcej informacji na temat zawartoœci profili u ytkowników i zarz¹dzania nimi znajdziesz w rozdziale 34 Zarz¹dzanie profilami u ytkownika i zasadami. Nowa funkcja! Proste udostêpnianie plików a styl udostêpniania plików w Windows 2000 Jedn¹ z najwa niejszych funkcji Windows XP jest mo liwoœæ bezpiecznego przyznawania lub odmawiania dostêpu do plików, drukarek i innych zasobów. Maksymalna elastycznoœæ mo liwoœæ okreœlania uprawnieñ na jak najni szym poziomie (na przyk³ad oddzielne uprawnienia do otwierania folderu, otwierania pliku, zmiany pliku, tworzenia nowego pliku, usuwania go itd.) dla poszczególnych u ytkowników lub grup wymaga skomplikowanego interfejsu, co z kolei mo e zniechêciæ wielu u ytkowników. W Windows XP sprzecznoœæ tê rozwi¹zano poprzez wprowadzenie funkcji Proste udostêpnianie plików, która znacznie u³atwia okreœlenie najbardziej typowych konfiguracji zabezpieczeñ. Proste udostêpnianie plików ró ni siê od klasycznego udostêpniania plików (znanego z Windows 2000): Karta Udostêpnianie w oknie dialogowym W³aœciwoœci folderu oferuje tylko podstawowe opcje (patrz rysunek 3-1). Opcje te kontroluj¹ zasady udostêpniania pli-

Rozdzia³ 3: Kontrolowanie dostêpu do komputera 81 ków oraz uprawnienia systemu plików NTFS. (Wielu u ytkowników Windows NT i Windows 2000 mia³o problemy z t¹ niewielk¹, a jednak istotn¹ ró nic¹; umieszczenie wszystkich opcji na jednej karcie rozwi¹zuje ten problem, pozwalaj¹c na szybkie udostêpnienie wybranych zasobów u ytkownikom lokalnym i sieciowym). karta Udostêpnianie przy w³¹czonym Prostym udostêpnianiu plików karta Udostêpniania przy klasycznym modelu udostêpniania plików Rysunek 3-1. Proste udostêpnianie plików konsoliduje niewielk¹ liczbê opcji udostêpniania i zabezpieczeñ na jednej karcie. Okno w³aœciwoœci folderu, pliku lub drukarki nie zawiera karty Zabezpieczenia. Na rysunku 3-2 widaæ kartê Zabezpieczenia, która pojawia siê po wy³¹czeniu Prostego udostêpniania plików. Uprawnienia okreœlane s¹ tylko na poziomie folderów; nie mo esz nadaæ uprawnieñ dla poszczególnych plików (chyba e skorzystasz z zaawansowanych narzêdzi Cacls i Xcacls uruchamianych z wiersza poleceñ). U ytkownik ma niewiele opcji udostêpniania folderów i znajduj¹cych siê w nich plików: mo e udostêpniæ zasoby wszystkim u ytkownikom lokalnym, u ytkownikom sieciowym oraz mo e uniemo liwiæ innym u ytkownikom przegl¹danie jednego lub wielu folderów prywatnych. U ytkownicy sieciowi podczas ³¹czenia siê z twoim komputerem s¹ uwierzytelniani za pomoc¹ konta Goœæ. Oznacza to, e u ytkownicy sieciowi, uzyskuj¹c dostêp do udostêpnionego folderu w twoim komputerze, maj¹ tylko taki zakres praw i uprawnieñ, jaki okreœlono dla konta Goœæ.

82 Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu Rysunek 3-2. Klasyczny interfejs udostêpniania pliku (widoczny tutaj) lub folderu pozwala na okreœlenie ró nych uprawnieñ dla poszczególnych u ytkowników i grup. Wiêcej informacji na temat okreœlania uprawnieñ znajdziesz w rozdziale 13 Zabezpieczanie plików i folderów. Natomiast zagadnienia zwi¹zane z udostêpnianiem plików innym u ytkownikom sieci poruszono w rozdziale 31 Zarz¹dzanie udostêpnionymi folderami i drukarkami. U ytkownicy Windows XP Home Edition nie maj¹ wyboru: Proste udostêpnianie plików jest jedyn¹ dostêpn¹ opcj¹. Je eli korzystasz z systemu operacyjnego Windows XP Professional, mo esz korzystaæ z Prostego udostêpniania plików lub klasycznego interfejsu opcji udostêpniania i zabezpieczeñ. Aby prze³¹czyæ siê miêdzy tymi dwiema opcjami, otwórz aplet Opcje folderów (w kategorii Wygl¹d i kompozycje Panelu sterowania), kliknij kartê Widok i zaznacz lub wyczyœæ pole wyboru U yj prostego udostêpniania plików (zalecane) w sekcji Ustawienia zaawansowane. Proste udostêpnianie plików jest domyœlnie w³¹czone w komputerach, które nie s¹ cz³onkami domeny. DLA EKSPERTÓW Nawet zaawansowani u ytkownicy doceniaj¹ prostszy i czytelniejszy sposób udostêpniania plików oferowany przez opcjê Proste udostêpnianie plików. Jest to jedno z tych ustawieñ, które powinno dawaæ mo liwoœæ szybkiego w³¹czania i wy³¹czania, na przyk³ad gdy chcesz okreœliæ jakieœ specjalne uprawnienia dla danego obiektu. Jednak zmiana tego ustawienia wymaga co najmniej szeœciu klikniêæ. Dlatego te, aby móc szybko w³¹czaæ i wy³¹czaæ Proste udostêpnianie plików, mo esz utworzyæ skrypt, który bêdzie zmienia³ wartoœæ ForceGuest w kluczu rejestru HKLM\System\CurrentControlSet\Control\Lsa. Wartoœæ 0 wy³¹cza Proste udostêpnianie plików, a 1 w³¹cza j¹. Skrypt taki znajdziesz na p³ycie do³¹czonej do ksi¹ ki ma on nazwê ToggleSharingOptions.vbs. (Na stronie 425 w podrozdziale Kontrolowanie dostêpu za pomoc¹ uprawnieñ dla systemu plików NTFS znajdziesz szczegó³owy opis tego skryptu). Skrypt warto umieœciæ w ³atwo dostêpnym folderze lub przydzieliæ mu skrót klawiaturowy. (Ogólne informacje na temat skryptów znajdziesz w podrozdziale Automatyzacja zadañ za pomoc¹ Hosta skryptów systemu Windows na stronie 322. Przyk³adowy skrypt prze³¹czaj¹cy ustawienia rejestru znajdziesz w ramce Programy wsadowe a skrypty: których u ywaæ? na stronie 320).

Rozdzia³ 3: Kontrolowanie dostêpu do komputera 83 Nowa funkcja! Konta u ytkowników Ju w trakcie instalacji Windows XP program instalacyjny wymaga od ciebie utworzenia przynajmniej jednego konta u ytkownika (oprócz domyœlnych kont Administrator i Goœæ). Je eli dokona³eœ aktualizacji systemu do Windows XP i w poprzednich systemach operacyjnych mia³eœ konta lokalne (jeœli korzysta³eœ z Windows NT lub Windows 2000 albo te w³¹czy³eœ profile u ytkownika w Windows 95/98/Me), instalator Windows przeniesie te konta do Windows XP. Konta przeniesione z Windows NT/2000 zachowuj¹ cz³onkostwo grup i has³a. Konta utworzone podczas instalacji, a tak e te przeniesione z Windows 95/98/Me s¹ cz³onkami grupy Administratorzy i nie s¹ chronione has³ami. UWAGA Konto Administrator niezabezpieczone has³em stanowi powa ne zagro enie dla systemu! (Pamiêtaj, e jeœli dokona³eœ aktualizacji z Windows 95/98/Me, Windows XP przeniesie z tych wersji systemów konta u ytkowników, ale usunie has³a do nich). Chocia nowe funkcje zabezpieczeñ w Windows XP uniemo liwiaj¹ zalogowanie poprzez sieæ pustym has³em, to jednak osoby maj¹ce fizyczny dostêp do komputera bêd¹ mog³y zalogowaæ siê do niego bez koniecznoœci podawania has³a. A poniewa bêd¹ mia³y uprawnienia administratora, to uzyskaj¹ tym samym pe³ny dostêp do komputera. Innymi s³owy, dopóki nie okreœlisz has³a do ka dego konta tworzonego podczas instalacji, ka dy bêdzie móg³ zalogowaæ siê do komputera oraz przegl¹daæ lub modyfikowaæ pliki i ustawienia. Dziêki opcji Konta u ytkowników w Panelu sterowania Windows XP oferuje prosty sposób tworzenia nowych kont, wykonywania rutynowych zmian w istniej¹cych kontach i usuwania ich. Je eli twój komputer nie jest cz³onkiem domeny, po uruchomieniu apletu Konta u ytkowników w Panelu sterowania zobaczysz okno podobne do tego pokazanego na rysunku 3-3. Rysunek 3-3. Aplet Konta u ytkowników w komputerze bêd¹cym cz³onkiem grupy roboczej ma przejrzysty, prosty interfejs.

84 Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu Jeœli twój komputer jest cz³onkiem domeny, interfejs apletu Konta u ytkowników w niczym nie przypomina interfejsu widocznego na rysunku 3-3 i bli ej mu raczej do okna U ytkownicy i has³a znanego z Windows 2000. Wiêcej informacji na ten temat znajdziesz w podrozdziale Zaawansowane opcje konfiguracyjne kont na stronie 100. UWAGA Aby móc tworzyæ konta lub wprowadzaæ zmiany do innych kont, musisz byæ zalogowany jako administrator. U ytkownicy bez uprawnieñ administratorów mog¹ korzystaæ z kont u ytkownika tylko do nadawania, zmiany lub usuwania w³asnego has³a, zmiany obrazu lub zmiany profilu us³ugi.net Passport. Tworzenie nowego konta u ytkownika W g³ównym oknie Kont u ytkowników znajduje siê bardzo wygodne ³¹cze Utwórz nowe konto, które pozwala na szybkie i bezproblemowe utworzenie nowego konta. Musisz okreœliæ jedynie jego nazwê i wybraæ typ konta: Administrator komputera lub Ograniczone. UWAGA Nazwa podawana podczas tworzenia konta w Windows jest zarówno nazw¹ u ytkownika, jak i pe³n¹ nazw¹. Nazwa u ytkownika s³u y do wewnêtrznego wykorzystania przez Windows. Jest ona u ywana, jeœli logowanie nie odbywa siê poprzez ekran powitalny, oraz przy okreœlaniu nazwy konta w ró nych poleceniach i oknach dialogowych w celu okreœlenia uprawnieñ. Pe³na nazwa wyœwietlana jest na ekranie powitalnym, w menu Start oraz w Kontach u ytkownika. Obie nazwy mo na zmieniæ w dowolnym momencie. Inne informacje dotycz¹ce konta w tym tak e has³o musisz okreœliæ dopiero po jego utworzeniu, zgodnie z opisem w kolejnym podrozdziale. Alternatywnym rozwi¹zaniem jest skorzystanie z przystawki U ytkownicy i grupy lokalne lub polecenia Net User/Add, które pozwalaj¹ na równoczesne utworzenie i dostosowanie innych opcji konta. Wiêcej informacji na ten temat znajdziesz w podrozdziale Zaawansowane opcje konfiguracyjne kont na stronie 100. WSKAZÓWKA Nie stosuj spacji w nazwach u ytkowników Aplet Konta u ytkowników pozwala na wpisanie spacji w nazwach u ytkowników tworzonych kont. Jednak nie rób tego. Spacje w nazwach u ytkowników mog¹ powodowaæ problemy z niektórymi programami oraz narzêdziami do zarz¹dzania kontami uruchamianymi z wiersza poleceñ. Jeœli chcesz, aby nazwa wyœwietlana na ekranie powitalnym oraz w menu Start zawiera³a spacjê (na przyk³ad chcesz, aby by³o tam twoje imiê i nazwisko), w nazwie konta nie wpisuj spacji. (Na przyk³ad mo esz podaæ tylko imiê, a jeœli to samo imiê nosi inny u ytkownik komputera, dodaj do niego pierwsz¹ literê nazwiska, ale nie oddzielaj jej spacj¹). Po utworzeniu konta mo esz zmieniæ pe³n¹ nazwê, tak jak opisano w nastêpnym podrozdziale. Zmiana ustawieñ konta Dokonywanie typowych zmian w aplecie Konta u ytkowników jest bardzo ³atwe. Nie musisz nawet klikaæ ³¹cza Zmieñ inne konto, które poprowadzi ciê do okna z list¹ wszystkich kont, które mo esz zmodyfikowaæ. Zamiast tego, na dole strony g³ównej Konta u ytkowników kliknij od razu nazwê konta, które chcesz zmieniæ. Zobaczysz okno podobne do pokazanego na rysunku 3-4.

Rozdzia³ 3: Kontrolowanie dostêpu do komputera 85 Rysunek 3-4. Okno Konta u ytkowników zapewnia ³atwy dostêp do najczêœciej modyfikowanych informacji konta. UWAGA Je eli bêd¹c zalogowany jako u ytkownik z ograniczeniami otworzysz Panel sterowania i aplet Konta u ytkowników, pominiesz pierwsze okno, to pokazane na rysunku 3-3, które zawiera listê wszystkich kont u ytkowników i umo liwia administratorom wykonanie kilku zadañ. Przejdziesz od razu do okrojonej wersji okna podobnego do tego widocznego na rysunku 3-4. Mo esz tu utworzyæ, zmieniæ lub usun¹æ w³asne has³o; zmieniæ obraz lub po³¹czyæ konto z.net Passport. U ytkownik z ograniczonymi uprawnieniami nie mo e zmieniæ nazwy lub typu konta ani te modyfikowaæ innych kont. W tym oknie mo esz wprowadzaæ nastêpuj¹ce zmiany do swojego konta lub te do innych kont w twoim komputerze: Nazwa. Chocia w tym oknie dialogowym nie ma adnej informacji na ten temat, to zmiana nazwy tutaj spowoduje zmianê pe³nej nazwy (która jest wyœwietlana na ekranie powitalnym, w menu Start i w aplecie Konta u ytkowników), a nie nazwy u ytkownika. To tutaj mo esz wprowadziæ nazwê ze spacjami, która ma pojawiaæ siê na ekranie. Has³o. Mo esz utworzyæ has³o i podaæ wskazówkê dotycz¹c¹ has³a, która pomo e przypomnieæ je sobie. Je eli konto jest ju chronione has³em, bêdziesz móg³ je tutaj zmieniæ lub usun¹æ. Wiêcej informacji na temat hase³ znajdziesz w podrozdziale Okreœlanie has³a na stronie 108. Obraz. Je eli nie chcesz byæ identyfikowany obrazem gumowej kaczuszki (lub inn¹ ikon¹ wybran¹ przez Windows dla tego konta), to tutaj mo esz zmieniæ obraz powi¹zany z nazw¹ u ytkownika. Obraz ten wyœwietlany jest podczas logowania, a tak e w menu Start oraz w aplecie Konta u ytkownika. (Obraz nie jest wyœwietlany, jeœli komputer jest cz³onkiem domeny lub te u ywasz klasycznego menu Start). Jak widaæ na rysunku 3-5, klikniêcie ³¹cza Zmieñ obraz pozwoli wybraæ spoœród obrazów przechowywanych w folderze %AllUsersProfile%\Dane aplikacji\microsoft\user Account Pictures\Default Pictures, ale nie jesteœ ograniczony do tych propozycji (wiê-

86 Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu kszoœæ z nich i tak ma u ytecznoœæ na poziomie ikony z gumow¹ kaczk¹). Kliknij ³¹cze Przegl¹daj w poszukiwaniu innych obrazów, aby wybraæ dowolny obraz w formacie bitmapy (rozszerzenie.bmp), Graphics Interchange Format (GIF), Joint Photographic Experts Group (JPEG), lub Portable Network Graphics (PNG). Mo esz wybraæ swoje zdjêcie lub ulubiony krajobraz. Windows dostosuje rozmiar obrazu i zachowa plik w folderze %AllUsersProfile%\Dane aplikacji\microsoft\user Account Pictures. Plik bêdzie mia³ nazwê tak¹, jak konto u ytkownika. WSKAZÓWKA Szybki dostêp do okna zmiany ustawieñ konta Je eli chcesz teraz szybko zmieniæ w³asny obraz, mo esz przejœæ bezpoœrednio do okna, które to umo liwia (patrz rysunek 3-5). Otwórz menu Start i kliknij swój obraz. Je eli chcesz zmieniæ inne ustawienia swojego konta, kliknij przycisk Wstecz, aby przejœæ do okna widocznego na rysunku 3-4. Aby przejœæ do okna widocznego na rysunku 3-3 (umo liwiaj¹cego zmianê ustawieñ innych kont), kliknij ³¹cze Strona g³ówna. Kliknij tutaj, aby wybraæ w³asny obraz Kliknij tutaj, aby przechwyciæ obraz Rysunek 3-5. Wybierz obraz, który najlepiej odzwierciedla twoj¹ osobowoœæ. Typ konta. W oknie Konta u ytkowników mo esz zmieniæ typ konta na Administrator komputera (co powoduje dodanie konta do grupy Administratorzy) lub Ograniczone (co powoduje dodanie konta do grupy U ytkownicy). Jeœli chcesz dodaæ konto do innych grup, musisz skorzystaæ z przystawki U ytkownicy i grupy lokalne lub te z polecenia Net Localgroup. Wiêcej informacji na temat tych opcji znajdziesz w podrozdziale Zaawansowane opcje konfiguracyjne kont na stronie 100. Dodatkowo, we w³asnym koncie (to jest tym, w którym jesteœ aktualnie zalogowany) mo esz wprowadziæ nastêpuj¹ce zmiany:.net Passport. Mo esz skonfigurowaæ w³asne konto do korzystania z us³ugi.net Passport lub zmieniæ bie ¹cy profil us³ugi. Wiêcej informacji na temat ustawieñ us³ugi.net Passport znajdziesz w ramce Konfigurowanie us³ugi.net Passport na stronie 114.

Rozdzia³ 3: Kontrolowanie dostêpu do komputera 87 Has³a sieciowe. W sekcji Zadania pokrewne znajduje siê ³¹cze Zarz¹dzaj moimi has³ami sieciowymi, które pozwala na zarz¹dzanie przechowywanymi has³ami u ywanymi w celu uzyskania dostêpu do zasobów sieciowych i witryn sieci Web. Wiêcej informacji na ten temat znajdziesz w podrozdziale Uzyskiwanie dostêpu do udostêpnionego folderu na innym komputerze na stronie 872. Dysk resetowania has³a. ¹cze Zapobiegaj zapominaniu has³a, które tak e znajduje siê w sekcji Zadania pokrewne, uruchamia kreatora umo liwiaj¹cego utworzenie dysku resetowania has³a. Wiêcej informacji na ten temat znajdziesz w podrozdziale Przywracanie zapomnianego has³a na stronie 112. Usuwanie konta Mo esz usun¹æ ka de konto z wyj¹tkiem tego, w którym jesteœ aktualnie zalogowany. Aby usun¹æ konto, otwórz aplet Konta u ytkowników i kliknij nazwê konta, które chcesz usun¹æ. Kliknij ³¹cze Usuñ konto. Masz teraz dwie mo liwoœci (patrz rysunek 3-6). Mo esz: Zachowaæ pliki. Windows kopiuje niektóre elementy usuwanego profilu, pliki i foldery przechowywane na pulpicie oraz w folderze Moje dokumenty do folderu na twoim pulpicie. Pliki te staj¹ siê czêœci¹ twojego profilu i przechodz¹ pod twoj¹ kontrolê. Pozosta³e elementy usuwanego profilu, takie jak wiadomoœci e-mail oraz inne dane przechowywane w folderze Dane aplikacji, ulubione ³¹cza internetowe oraz ustawienia zapisane w rejestrze zostan¹ usuniête po potwierdzeniu w nastêpnym oknie dialogowym. Usun¹æ pliki. Jeœli klikniesz przycisk Usuñ pliki i potwierdzisz to polecenie w nastêpnym oknie dialogowym, Windows usunie konto, profil u ytkownika oraz wszystkie pliki powi¹zane z kontem, w³¹cznie z tymi, które znajduj¹ siê w folderze Moje dokumenty. Rysunek 3-6. Kliknij przycisk Zachowaj pliki, jeœli nie chcesz utraciæ plików przechowywanych w folderze Moje dokumenty.

88 Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu UWAGA Nikt, nawet osoba zalogowana jako Administrator, nie mo e usun¹æ ostatniego konta w komputerze. To ograniczenie pomaga wymusiæ na u ytkownikach stosowanie kont innych ni Administrator w codziennej pracy. Oczywiœcie po usuniêciu konta jego u ytkownik nie mo e zalogowaæ siê do komputera. Nie mo na przywróciæ dostêpu do zasobów poprzez ponowne utworzenie konta. Dotyczy to wszystkich zasobów, tak e i tych, do których u ytkownik mia³ wczeœniej dostêp, zaszyfrowanych przez niego plików, certyfikatów osobistych i przechowywanych w systemie hase³ do witryn sieci Web i zasobów sieciowych. Jest to spowodowane tym, e wszystkie uprawnienia s¹ zwi¹zane z identyfikatorem zabezpieczeñ (SID), a nie nazw¹ u ytkownika. Nawet jeœli utworzysz konto z tak¹ sam¹ nazw¹ u ytkownika, has³em itp., bêdzie ono mia³o inny SID, nie daj¹c dostêpu do danych u ytkownika. Usuniêcie konta mo e wi¹zaæ siê jeszcze z innym utrudnieniem. Jeœli usuniesz konto w inny sposób ni w oknie Konta u ytkowników, to profil danego u ytkownika pozostanie w folderze Documents and settings. Jeœli utworzysz póÿniej nowe konto o tej samej nazwie, Windows utworzy dla niego nowy folder profilu. Poniewa jednak istnieje ju folder o nazwie u ytkownika (np.: C:\Documents and settings\jan), system do³¹czy do nazwy u ytkownika nazwê komputera tworz¹c w ten sposób unikaln¹ nazwê folderu (np.: C:\Documents and settings\jan.biuro). Zbêdny folder nie tylko zajmuje miejsce na dysku, ale utrudnia tak e zorientowanie siê, który folder jest w³aœciwy. (Ogólnie rzecz bior¹c mo na za³o yæ, e folder o najd³u szej nazwie jest folderem utworzonym ostatnio. Jednak tylko sprawdzenie zawartoœci folderu mo e daæ ci ca³kowit¹ pewnoœæ). Aby unikn¹æ tego problemu, nale y usuwaæ konta wy³¹cznie w oknie Konta u ytkownika. Tylko ta metoda daje pewnoœæ, e wraz z kontem usuniêty zostanie stary profil. DLA EKSPERTÓW Jeœli usuniesz konto przy u yciu innego narzêdzia ni Konta u ytkowników, profil tego konta pozostanie w folderze Documents and settings oraz w rejestrze. Nie zaleca siê bezpoœredniego usuwania plików lub wpisów rejestru, poniewa najmniejsza pomy³ka mo e mieæ wp³yw na dzia³anie pozosta³ych kont. Zamiast tego kliknij prawym przyciskiem myszy ikonê Mój komputer i z menu skrótów wybierz polecenie W³aœciwoœci. Wybierz kartê Zaawansowane i kliknij przycisk Ustawienia w sekcji Profile u ytkownika. Wybierz konto o nazwie Konto nieznane (konto usuniête) i kliknij przycisk Usuñ. Wybór sposobu logowania u ytkowników Je eli twój komputer nie jest czêœci¹ domeny, Windows XP oferuje dwa sposoby logowania siê: Nowa funkcja! Ekran powitalny. Ekran powitalny, widoczny na rysunku 3-7, oferuje najprostsz¹ metodê logowania siê. U ytkownik musi jedynie klikn¹æ swoj¹ nazwê u ytkownika i wpisaæ has³o (jeœli jest wymagane). Wiêcej informacji na temat ekranu powitalnego znajdziesz na stronie 91, w podrozdziale U ywanie ekranu powitalnego.

Rozdzia³ 3: Kontrolowanie dostêpu do komputera 89 Rysunek 3-7. Ekran powitalny to najprostszy sposób na zalogowanie siê do komputera u ywanego wspólnie przez kilka osób. UWAGA Ekran powitalny to ekran, który umo liwia zalogowanie siê do komputera. Nie daj siê zwieœæ faktem, e nie ma na nim s³owa Witamy. Nazwa ekran powitalny stosowana w pomocy oraz w oknach dialogowych, odnosi siê w³aœnie do tego ekranu, widocznego na rysunku 3-7. Logowanie klasyczne. Alternatyw¹ dla ekranu powitalnego s¹ sekwencje ekranów logowania znanych z Windows NT oraz Windows 2000. Gdy ekran powitalny jest wy³¹czony (lub te komputer jest czêœci¹ domeny), po za³adowaniu systemu u ytkownik widzi jedno z nastêpuj¹cych okien: System Windows Zapraszamy!, pokazane na rysunku 3-8 lub Logowanie do systemu Windows, pokazane na rysunku 3-9. Rysunek 3-8. Jeœli pojawi siê to okno dialogowe, naciœnij [Ctrl+Alt+Del], aby rozpocz¹æ proces logowania.

90 Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu Rysunek 3-9. Domyœlnie pole Nazwa u ytkownika zawiera nazwê u ytkownika, który jako ostatni logowa³ siê do komputera. WSKAZÓWKA Ukrywanie nazwy ostatniego u ytkownika Ustawienia zabezpieczeñ lokalnych zawieraj¹ zasadê, któr¹ warto w³¹czyæ, jeœli nie u ywasz ekranu powitalnego Windows. Domyœlnie nazwa u ytkownika, który logowa³ siê do systemu jako ostatni, wyœwietlana jest w oknie dialogowym Logowanie do systemu Windows. W przypadku komputera u ywanego najczêœciej przez jednego u ytkownika jest to wygodne, gdy nie musi on przy ka dym logowaniu podawaæ swojej nazwy. Jednak mo e to byæ tak e potencjalna dziura w zabezpieczeniach, poniewa ka dy mo e bez przeszkód poznaæ nazwê u ytkownika. Aby zapobiec wyœwietlaniu nazwy ostatniego u ytkownika, wpisz w wierszu polecenia secpol.msc, otwieraj¹c w ten sposób okno Ustawienia zabezpieczeñ lokalnych. Nastêpnie otwórz Zasady lokalne\opcje zabezpieczeñ i w³¹cz zasadê Logowanie interakcyjne: nie wyœwietlaj nazwy ostatniego u ytkownika. System skonfigurowany pod k¹tem najwiêkszego bezpieczeñstwa wyœwietla przy uruchomieniu okno powitania, które zaprasza u ytkownika do zalogowania siê poprzez naciœniêcie [Ctr+Alt+Del]. Gdy to zrobi, pojawi siê okno Logowanie do systemu Windows. Wystarczy wpisaæ nazwê i has³o, aby siê zalogowaæ. WSKAZÓWKA Pomijanie okna z ¹daniem naciœniêcia [Ctr+Alt+Del] Je eli nie chcesz, aby Windows wymusza³ na u ytkownikach naciœniêcie kombinacji klawiszy [Ctr+Alt+Del] przed przejœciem do okna Logowanie do systemu Windows, zmieñ nastêpuj¹ce ustawienie: 1. W wierszu polecenia wpisz control userpasswords2 i naciœnij [Enter]. Je eli komputer jest czêœci¹ domeny, wystarczy otworzyæ Konta u ytkowników w Panelu sterowania. 2. W oknie dialogowym Konta u ytkowników kliknij kartê Zaawansowane. 3. Wyczyœæ pole wyboru ¹daj od u ytkowników naciœniêcia klawiszy Ctrl+Alt+Delete znajduj¹ce siê w sekcji Bezpieczne logowanie. Pamiêtaj, e w ten sposób usuwasz wa n¹ funkcjê bezpieczeñstwa. Poniewa system uniemo liwia przechwycenie tej kombinacji klawiszy przez inny program, to naciœniêcie jej zapewnia³o, e kolejnym oknem dialogowym mo e byæ tylko Logowanie do systemu Windows. Funkcja ta uniemo liwia za³adowanie w miêdzyczasie innych programów, które mog¹ na przyk³ad przechwytywaæ has³a.

Rozdzia³ 3: Kontrolowanie dostêpu do komputera 91 Nowa funkcja! U ywanie ekranu powitalnego Windows XP domyœlnie u ywa ekranu powitalnego, z wyj¹tkiem komputerów bêd¹cych czêœci¹ domeny (ta konfiguracja nie obs³uguje tej funkcji). WSKAZÓWKA Logowanie przy u yciu ukrytych kont Gdy wyœwietlony jest ekran powitalny, mo esz uaktywniæ okno dialogowe Logowanie do systemu Windows (rysunek 3-9), dwukrotnie naciskaj¹c kombinacjê klawiszy [Ctrl+Alt+Del]. Pozwala to na zalogowanie siê przy u yciu konta, które nie jest widoczne na ekranie powitalnym (np. Administrator). Nale y jednak pamiêtaæ, e ta mo liwoœæ dostêpna jest tylko wtedy, gdy nie s¹ zalogowani adni inni u ytkownicy. Je eli uruchamiaj¹c system nie widzisz ekranu powitalnego, wykonaj nastêpuj¹ce czynnoœci: 1. Po zalogowaniu siê jako administrator otwórz Konta u ytkowników w Panelu sterowania. 2. Kliknij ³¹cze Zmieñ sposób logowania lub wylogowywania u ytkowników. Je eli wyœwietlone zostanie ostrze enie dotycz¹ce plików offline, kliknij przycisk Anuluj. Jak wynika z informacji, pliki trybu offline i funkcja Szybkie prze³¹czanie u ytkowników nie wspó³pracuj¹ ze sob¹. Nie musisz jednak wy³¹czaæ plików w trybie offline, aby w³¹czyæ wyœwietlanie ekranu powitalnego. 3. Zaznacz pole wyboru U yj ekranu powitalnego i kliknij przycisk Zastosuj opcje. Domyœlnie, po uruchomieniu wygaszacza ekranu i próbie powrotu do pracy ponownie pojawia siê ekran powitalny. Uniemo liwia to u ycie twojego komputera, gdy zrobisz sobie przerwê w pracy. Musisz klikn¹æ swoj¹ nazwê u ytkownika i podaæ has³o. Je eli nie zale y ci na tej formie ochrony, wykonaj nastêpuj¹ce czynnoœci: 1. Prawym przyciskiem myszy kliknij dowolne miejsce na pulpicie i z menu skrótów wybierz polecenie W³aœciwoœci. 2. Wybierz kartê Wygaszacz ekranu. 3. Wyczyœæ pole wyboru Po wznowieniu wyœwietl ekran powitalny (je eli Szybkie prze³¹czanie u ytkowników jest w³¹czone) lub Po wznowieniu chroñ has³em (je- eli Szybkie prze³¹czanie u ytkowników jest wy³¹czone). Twoja decyzja odnoœnie u ywania ekranu powitalnego Windows ma tak e swoje skutki uboczne. Na przyk³ad jeœli u ywasz ekranu powitalnego, naciœniêcie klawiszy [Ctrl+Alt+Delete] podczas pracy w systemie powoduje wyœwietlenie Mened era zadañ Windows, cennego, choæ niewielkiego programu, który miêdzy innymi pozwala zamkn¹æ programy, które przesta³y odpowiadaæ, pokazuje listê uruchomionych zadañ i procesów, iloœæ zajmowanej przez nie pamiêci oraz czasu procesora, a tak e wskazania kilku mierników systemowych. Jednak jeœli wy³¹czysz ekran powitalny, po naciœniêciu klawiszy [Ctrl+Alt+Del] pojawi siê ekran Zabezpieczenia systemu Windows, widoczny na rysunku 3-10.

92 Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu ROZWI ZYWANIE PROBLEMÓW Nie mo esz w³¹czyæ (lub wy³¹czyæ) ekranu powitalnego Je eli masz problemy z w³¹czeniem lub wy³¹czeniem ekranu powitalnego w oknie Konta u ytkowników, to mo esz dokonaæ edycji rejestru lub w³¹czyæ zasadê, która bêdzie wymusza³a wybrany sposób logowania. Aby w³¹czyæ lub wy³¹czyæ ekran powitalny Windows w rejestrze, otwórz program Edytor rejestru i zmieñ wartoœæ w kluczu HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon. Wartoœæ 0 wymusza klasyczny sposób logowania, wartoœæ 1 w³¹cza ekran powitalny. Aby w³¹czyæ lub wy³¹czyæ ekran powitalny za pomoc¹ zasad, wykonaj nastêpuj¹ce czynnoœci: 1. W wierszu polecenia wpisz gpedit.msc, aby otworzyæ konsolê Zasady grupy. 2. Otwórz folder Konfiguracja komputera\szablony administracyjne\system\logowanie. 3. Dwukrotnie kliknij zasadê Zawsze u ywaj klasycznego sposobu logowania. 4. Zaznacz pole wyboru W³¹czone, aby u ywaæ klasycznego sposobu logowania, Wy³¹czone, aby u ywaæ okna powitalnego Windows lub Nie skonfigurowano, je eli wybór opcji ma zale eæ od ustawienia w rejestrze. Ustawienie zasady jest nadrzêdne wobec ustawieñ w oknie Konta u ytkowników oraz w rejestrze. Wiêcej informacji na temat zasad grupy znajdziesz w rozdziale 34 Zarz¹dzanie profilami u ytkownika i zasadami. Rysunek 3-10. Gdy ekran powitalny jest wy³¹czony, naciœniêcie klawiszy [Ctrl+Alt+Del] wywo³uje to okno dialogowe zamiast Mened era zadañ Windows. WSKAZÓWKA Bez wzglêdu na to, czy u ywasz ekranu powitalnego czy nie, zawsze mo esz uruchomiæ Mened era zadañ Windows, naciskaj¹c [Ctrl+Shift+Esc]. DLA EKSPERTÓW Mo esz zapobiec wyœwietlaniu nazwy konta na ekranie powitalnym, tworz¹c w ten sposób ukryte konto. (Nie jest ono ca³kowicie ukryte, gdy administratorzy mog¹ zobaczyæ je w oknie U ytkownicy i grupy lokalne, a wszyscy u ytkownicy mog¹ zobaczyæ profil konta w folderze Documents and settings). Za pomoc¹ Edytora rejestru otwórz klucz HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList. Utwórz now¹ wartoœæ DWORD, wpisz jako jej nazwê nazwê u ytkownika, którego konto chcesz ukryæ, i pozostaw wartoœæ 0. Korzystaj¹c z tego sposobu, musisz jednak zachowaæ ostro noœæ i pamiêtaæ, e nie bêdziesz móg³ korzystaæ z Szybkiego prze³¹czania u ytkowników, poniewa konto to nie bêdzie widoczne na ekranie powitalnym. Dwukrotne naciœniêcie [Ctrl+Alt+Del] przy wyœwietlonym ekranie powitalnym dzia³a tylko wtedy, gdy nie jest zalogowany aden inny u ytkownik. Tak wiêc jeœli, chcesz korzystaæ z takiego ukrytego konta, powinieneœ wy³¹czyæ Szybkie prze³¹czanie u ytkowników lub ograniczyæ jego zastosowanie tylko do takich sytuacji, gdy nikt inny nie bêdzie zalogowany.

Rozdzia³ 3: Kontrolowanie dostêpu do komputera 93 Inne drobne zmiany tak e naœladuj¹ zachowanie Windows 2000 i Windows XP, gdy komputer jest czêœci¹ domeny. Na przyk³ad przycisk u do³u menu Start zmienia siê z Wy³¹cz komputer na Zamknij system. A okno dialogowe, które pojawi siê po klikniêciu tego przycisku, oferuje listê opcji zamykania systemu zamiast oddzielnych przycisków. ROZWI¹ZYWANIE PROBLEMÓW Ekran powitalny nie zawiera adnych kont Mo e siê zdarzyæ, e ekran powitalny bêdzie prosi³ ciê o klikniêcie nazwy u ytkownika ale nie bêdzie wyœwietla³ adnej nazwy. Mo e siê to zdarzyæ, jeœli uda ci siê usun¹æ wszystkie konta u ytkowników lokalnych (aplet Konta u ytkowników nie pozwala na to, ale inne narzêdzia do zarz¹dzania kontami nie s¹ tak przewiduj¹ce) lub te, w niektórych przypadkach, gdy dokonasz aktualizacji Windows z wczeœniejszej wersji. Je eli u ywasz Windows XP Professional, naciœnij dwukrotnie [Ctrl+Alt+Del] aby wyœwietliæ okno dialogowe Logowanie do systemu Windows. W pole Nazwa u ytkownika wpisz Administrator i wprowadÿ has³o, które utworzy³eœ dla konta Administrator podczas instalacji systemu. Po zalogowaniu jako Administrator mo esz uruchomiæ aplet Konta u ytkowników i utworzyæ jedno lub kilka nowych kont, które bêd¹ widoczne na ekranie powitalnym. U ytkownicy Windows XP Home Edition nie mog¹ zalogowaæ siê do komputera za pomoc¹ konta Administrator, gdy uniemo liwiaj¹ to ograniczenia konta. Zamiast tego nale y uruchomiæ Windows XP w trybie awaryjnym, naciskaj¹c klawisz [F8] na pocz¹tku procesu uruchamiania systemu. Pracuj¹c w tym trybie, mo na uruchomiæ aplet Konta u ytkowników i utworzyæ jedno lub kilka nowych kont. Pomijanie ekranu logowania Je eli w twoim komputerze jest tylko jedno konto (oprócz kont Administrator i Goœæ) i jeœli konto to nie jest chronione has³em, podczas uruchomienia Windows XP automatycznie loguje tego jedynego u ytkownika. Nie zobaczysz ekranu powitalnego ani adnego innego ekranu logowania; Windows od razu wyœwietla zawartoœæ pulpitu. Mo esz logowaæ siê w ten sposób, nawet jeœli w komputerze skonfigurowano kilka kont u ytkowników. Jest to wygodne w kilku sytuacjach: jeœli jesteœ g³ównym u ytkownikiem komputera i inne osoby korzystaj¹ z niego sporadycznie, jeœli ty sam czasem potrzebujesz zalogowaæ siê jako inny u ytkownik w celu instalacji sprzêtu lub wykonania innych zadañ lub jeœli okreœli³eœ has³o dla swojego konta (aby móc u ywaæ zaplanowanych zadañ lub ³¹czyæ siê zdalnie wykonywaæ operacje, które s¹ dostêpne tylko dla kont z has³ami), ale nadal chcesz mieæ mo liwoœæ automatycznego logowania przy uruchomieniu. OSTRZE ENIE Automatyczne logowanie oznacza, e system sam wprowadza twoj¹ nazwê u ytkownika i has³o podczas uruchamiania komputera. Ka dy, kto ma fizyczny dostêp do komputera, mo e wiêc zalogowaæ siê do niego i uzyskaæ dostêp do wszystkich zasobów (w³¹cznie z witrynami, dla których zapisa³eœ has³a). Mo esz wymusiæ automatyczne logowanie w nastêpuj¹cy sposób: 1. W wierszu polecenia wpisz control userpasswords2 i naciœnij klawisz [Enter]. W ten sposób uruchomisz aplikacjê Konta u ytkowników.

94 Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu 2. Na karcie U ytkownicy wyczyœæ pole wyboru Aby u ywaæ tego komputera, u ytkownik musi wprowadziæ nazwê u ytkownika i has³o, a nastêpnie kliknij przycisk OK. Pamiêtaj, e to pole wyboru nie pojawi siê, jeœli komputer jest czêœci¹ domeny. Tylko komputery nie bêd¹ce czêœci¹ sieci lub nale ¹ce do grupy roboczej mog¹ pomijaæ okno logowania. U ytkownicy domen musz¹ wprowadzaæ nazwê u ytkownika i has³o nawet wtedy, gdy chc¹ zalogowaæ siê tylko lokalnie. Pojawi siê okno dialogowe Logowanie automatyczne. 3. Wpisz nazwê u ytkownika i has³o konta, do którego chcesz byæ automatycznie logowany podczas uruchamiania komputera. Po dokonaniu tej zmiany, przed zalogowaniem do innego konta bêdziesz musia³ wylogowaæ siê z konta bie ¹cego lub te skorzystaæ z funkcji Szybkie prze³¹czanie u ytkowników.

Rozdzia³ 3: Kontrolowanie dostêpu do komputera 95 Nowa funkcja! Konfigurowanie funkcji Szybkie prze³¹czanie u ytkowników Szybkie prze³¹czanie u ytkowników to jedna z najciekawszych nowych funkcji Windows XP. Pozwala ona na równoczesne zalogowanie kilku u ytkowników. Jak sama nazwa wskazuje, funkcja ta umo liwia szybkie prze³¹czanie miêdzy u ytkownikami. Mo e to byæ przydatne na przyk³ad w sytuacji, gdy jeden u ytkownik zaloguje siê, otworzy kilka dokumentów, a w tym czasie inny u ytkownik zechce szybko sprawdziæ pocztê. Przy w³¹czonej funkcji szybkiego prze³¹czania u ytkowników nie stanowi to adnego problemu. Drugi u ytkownik mo e siê zalogowaæ, sprawdziæ pocztê, wylogowaæ i ust¹piæ miejsca koledze. Wszystkie programy uruchomione przez pierwszego u ytkownika (takie jak proces pobierania) dzia³aj¹ przez ca³y czas. Aby prze³¹czyæ siê do konta innego u ytkownika, naciœnij klawisz [Windows+L]. Zobaczysz ekran powitalny, na którym drugi u ytkownik klika swoj¹ nazwê i wprowadza has³o, jeœli jest ono wymagane. UWAGA Jeœli na twojej klawiaturze nie ma przycisku z logo Windows (lub te wolisz u ywaæ myszy), mo esz w³¹czyæ ekran powitalny klikaj¹c przycisk Start, a nastêpnie Wyloguj. W oknie dialogowym Wylogowywanie z systemu Windows kliknij przycisk Prze³¹cz u ytkownika. Szybkie prze³¹czanie u ytkowników nie dzia³a w ka dej sytuacji. Aby funkcja ta by³a w³¹czona, musisz spe³niæ kilka warunków: Ekran powitalny musi byæ w³¹czony. Komputer nie mo e byæ czêœci¹ domeny. Pliki w trybie offline musz¹ byæ wy³¹czone. Chocia nie jest to wymóg bezwarunkowy, to komputer powinien mieæ wiêcej ni 64 MB pamiêci. Domyœlnie funkcja szybkiego prze³¹czania u ytkowników jest wy³¹czona w komputerach zapatrzonych jedynie w 64 MB pamiêci. (Aby Windows XP móg³ dzia³aæ sprawnie, i tak potrzebuje przynajmniej 128 MB). Aby w³¹czyæ Szybkie prze³¹czanie u ytkowników, wykonaj nastêpuj¹ce czynnoœci: 1. Zaloguj siê jako administrator, otwórz Panel sterowania i dwukrotnie kliknij aplet Konta u ytkowników. 2. Kliknij ³¹cze Zmieñ sposób logowania lub wylogowywania u ytkowników, aby wyœwietliæ takie okno jak poni ej.

96 Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu 3. Zaznacz pole wyboru U yj szybkiego prze³¹czania u ytkowników i kliknij przycisk Zastosuj opcje. UWAGA Jeœli pojawi siê ostrze enie dotycz¹ce plików trybu offline, otwórz okno dialogowe Opcje folderów, klikaj¹c przycisk OK. Przed w³¹czeniem szybkiego prze³¹czania u ytkowników musisz wy³¹czyæ pliki trybu offline. WSKAZÓWKA Sprawdzane poczty bez koniecznoœci prze³¹czania siê Ekran logowania szybkiego prze³¹czania u ytkowników zawiera informacjê o zalogowanych u ytkownikach (pod ka d¹ nazw¹ u ytkownika widoczna jest liczba uruchomionych przez niego programów; je eli u ytkownik nie uruchomi³ adnych programów, w tym miejscu znajduje siê informacja o statusie zalogowania). Dodatkowo na ekranie logowania, pod nazw¹ ka dego u ytkownika z uruchomionym programem pocztowym, znajduje siê informacja o liczbie nieprzeczytanych wiadomoœci. Aby skorzystaæ z tej funkcji, wystarczy po prostu uruchomiæ Outlook Express lub Windows Messenger i nie zamykaæ przed prze³¹czeniem siê do innego konta. Wylogowywanie siê lub blokowanie komputera Gdy skoñczysz pracê z komputerem, powinieneœ siê upewniæ, e nikt nie bêdzie mia³ dostêpu do twoich plików. W tym celu musisz siê wylogowaæ, zmieniæ u ytkownika lub zablokowaæ komputer. Wylogowywanie. Jeœli wybierzesz tê opcjê, wszystkie programy zostan¹ zamkniête, a po³¹czenia telefoniczne zakoñczone. Aby siê wylogowaæ, kliknij przycisk Start, Wyloguj, a nastêpnie jeszcze raz Wyloguj. Zmiana u ytkownika. Ta metoda dostêpna jest tylko przy w³¹czonej funkcji szybkiego prze³¹czania u ytkowników. Wszystkie twoje programy bêd¹ nadal

Rozdzia³ 3: Kontrolowanie dostêpu do komputera 97 dzia³a³y, konto pozostanie zalogowane, ale (jeœli jest chronione has³em) tylko ty bêdziesz móg³ wróciæ do swojej sesji. Aby zmieniæ u ytkownika, naciœnij [Windows+L] lub wybierz Start, Wyloguj i Prze³¹cz u ytkownika. Niezale nie od wybranej metody wyœwietlone zostanie okno powitalne Windows szybkiego prze³¹czania u ytkowników. Blokowanie komputera. Ta opcja dostêpna jest tylko po wy³¹czeniu funkcji szybkiego prze³¹czania u ytkowników. Tylko ty lub inny administrator bêdzie móg³ odblokowaæ komputer. Je eli zrobi to inny administrator, bêdzie musia³ zamkn¹æ wszystkie twoje uruchomione programy (nie zapisuj¹c otwartych dokumentów) i wylogowuj¹c ciê z komputera. Aby zablokowaæ komputer, naciœnij [Windows+L] lub (jeœli ekran powitalny jest wy³¹czony) naciœnij [Ctrl+Alt+Del] i kliknij przycisk Zablokuj komputer. Je eli naciœniesz [Ctrl+Alt+Del] przy w³¹czonym ekranie powitalnym, mo esz wybraæ polecenie Zablokuj komputer z menu Zamknij Mened era zadañ Windows. Jeœli chcesz uniemo liwiæ niepowo³anym osobom dostêp do twojego komputera, musisz zabezpieczyæ swoje konto has³em. Gdy wybierzesz któr¹kolwiek z opcji przedstawionych w tym podrozdziale, Windows ukryje wszystkie okna i programy, w których pracowa³eœ. Twój komputer nadal bêdzie dzia³a³ (w zale noœci od ustawieñ zarz¹dzania energi¹) i wszystkie zasoby udostêpniane przez twój komputer pozostaj¹ dostêpne dla innych u ytkowników sieci. WSKAZÓWKA Utwórz skrót do prze³¹czania u ytkowników lub blokowania komputera Skrót [Windows+L] jest wspania³ym skrótem do prze³¹czania u ytkowników lub blokowania komputera. Jednak jeœli nie masz na klawiaturze klawisza z logo Windows lub te wolisz u ywaæ myszy, mo esz utworzyæ skrót do programu, który daje szybki dostêp do tej funkcji. Aby wykonaæ skrót do funkcji prze³¹czania/blokowania komputera, wykonaj nastêpuj¹ce czynnoœci: 1. Prawym przyciskiem myszy kliknij dowolne miejsce pulpitu i wybierz Nowy, Skrót. 2. Na pierwszej stronie kreatora Tworzenie skrótu wpisz rundll32.exe user32.dll,lockworkstation i kliknij przycisk Dalej. 3. Wpisz nazwê skrótu (na przyk³ad Zablokuj komputer) i kliknij przycisk Zakoñcz. 4. Prawym przyciskiem myszy kliknij nowy skrót i wybierz polecenie W³aœciwoœci. 5. Na karcie Skrót kliknij przycisk Zmieñ ikonê. 6. W polu teksowym wpisz shell32.dll i naciœnij klawisz [Enter]. 7. Wybierz ikonê znajdziesz tu kilka ikon z symbolem k³ódki, klucza i innymi obrazami. Kliknij OK. 8. W pole Klawisz skrótu wpisz kombinacjê klawiszy, które chcesz przydzieliæ poleceniu (na przyk³ad [Ctrl+Alt+B]). Jeœli chcesz szybko wyœwietliæ ekran logowania (przy w³¹czonym szybkim prze³¹czaniu u ytkowników) lub te zablokowaæ komputer (jeœli szybkie prze³¹czanie u ytkowników jest wy³¹czone), wystarczy dwukrotnie klikn¹æ utworzony przed chwil¹ skrót lub nacisn¹æ skrót klawiaturowy. Jeœli wolisz, aby polecenie by³o zawsze widoczne i mo na je by³o uruchomiæ pojedynczym klikniêciem, przenieœ skrót do paska Szybkie uruchamianie.

98 Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu Nowa funkcja! Co siê sta³o z kontem Administrator? Konto Administrator jest zazwyczaj ukryte. Pojawia siê ono na ekranie powitalnym tylko w nastêpuj¹cych okolicznoœciach: Nie ma w systemie adnego innego konta administratora. Komputer zosta³ uruchomiony w trybie awaryjnym (poprzez naciœniêcie klawisza [F8] podczas uruchamiania). Jesteœ zalogowany do konta Administrator i u ywasz szybkiego prze³¹czania u ytkowników. W ka dym razie, konto to istnieje i obs³uguje kilka istotnych funkcji. Po pierwsze, poniewa nie mo na go usun¹æ, zapewnia bezpieczne rozwi¹zanie na wypadek, gdyby komuœ uda³o siê usun¹æ wszystkie pozosta³e konta. W takiej sytuacji mo esz zalogowaæ siê jako Administrator i utworzyæ inne konta. Po drugie, jest to jedynie konto, które pozwala na zalogowanie siê do Konsoli odzyskiwania, ostatniej deski ratunku dla uszkodzonego systemu. UWAGA Domyœlnie w Windows XP Home Edition has³o dla konta Administrator jest puste. Nie jest to jednak dziura w systemie zabezpieczeñ, poniewa w Home Edition konto Administrator nie daje mo liwoœci zalogowania siê lokalnie lub przez sieæ. Powinieneœ jednak wiedzieæ o tym, e has³o jest puste, na wypadek gdybyœ musia³ uruchomiæ Konsolê odzyskiwania, która wymaga podania has³a administratora. Wiêcej informacji na ten temat znajdziesz w podrozdziale Zabezpieczanie konta Administrator na stronie 99. Logowanie siê jako Administrator W systemie Windows XP Professional mo esz zalogowaæ siê z konta Administrator. Je eli ekran powitalny jest w³¹czony, dwukrotnie naciœnij kombinacjê [Ctrl+Alt+Del], aby wyœwietliæ okno dialogowe Logowanie do systemu Windows. (Je eli ekran powitalny jest w³¹czony, naciœnij [Ctrl+Alt+Del] jeden raz, tak jakbyœ mia³ zalogowaæ siê do innego konta). Wpisz Administrator w polu Nazwa u ytkownika, a w polu Has³o wpisz has³o, które nada³eœ temu kontu podczas instalacji. UWAGA U ytkownicy Microsoft Windows XP Home Edition nie mog¹ logowaæ siê do komputera, korzystaj¹c z konta Administrator. Jedynym wyj¹tkiem jest uruchomienie komputera w trybie awaryjnym. Dodawanie konta Administrator do ekranu powitalnego Je eli twoje programy dobrze wspó³pracuj¹ z kontami o ograniczonych uprawnieniach (lub U ytkownicy zaawansowani), to w codziennej pracy powinieneœ zdecydowanie korzystaæ w³aœnie z takiego konta. Konto administratora powinno byæ wykorzystywane tylko w celu wykonywania zadañ administracyjnych. Mo esz w tym celu u yæ konta administratorów lub te konta Administrator. Oto w jaki sposób mo esz uzyskaæ ³atwy dostêp do tego konta: 1. W wierszu polecenia wpisz lusrmgr.msc, aby otworzyæ okno U ytkownicy i grupy lokalne.

Rozdzia³ 3: Kontrolowanie dostêpu do komputera 99 2. W drzewie konsoli kliknij folder Grupy. 3. Dwukrotnie kliknij grupê Administratorzy i usuñ wszystkie konta z wyj¹tkiem Administrator. 4. Otwórz grupê U ytkownicy lub U ytkownicy zaawansowani, a nastêpnie kliknij przycisk Dodaj, aby dodaæ konta, które przed chwil¹ usun¹³eœ z grupy Administratorzy. UWAGA U yj tej procedury tylko w Windows XP Professional. W Windows XP Home Edition nie mo esz u ywaæ konsoli U ytkownicy i grupy lokalne (chocia mo esz zmieniæ przydzia³y do poszczególnych grup poleceniem Net Localgroup). Jednak najwa niejsze jest to, e z konta Administrator nie mo na zalogowaæ siê do Windows XP Home Edition, tak wiêc nawet jeœli konto to pojawi siê na ekranie powitalnym, nie bêdziesz móg³ z niego korzystaæ. Zabezpieczanie konta Administrator Poniewa konto Administrator obecne jest w niemal ka dym komputerze pracuj¹cym pod kontrol¹ systemu operacyjnego Windows XP i poniewa daje ono pe³n¹ kontrolê nad komputerem, istnieje ryzyko, e zostanie ono wykorzystane przez hakerów próbuj¹cych w³amaæ siê do komputera. Znaj¹ ju przecie nazwê u ytkownika, pozostaje wiêc im tylko zdobyæ has³o. Mo esz zabezpieczyæ konto Administrator na dwa sposoby: U ywaæ bezpiecznego has³a. Jeœli jesteœ zalogowany jako Administrator, to mo- esz w oknie Konta u ytkowników utworzyæ has³o. Je eli chcesz mieæ bezpieczne losowe has³o, otwórz okno Wiersz polecenia i wpisz to polecenie: net user administrator /random Windows wyœwietli wygenerowane has³o. Zapisz je i przechowuj w bezpiecznym miejscu! Zmieniæ nazwê konta. Nazwa ta nie musi byæ tak trudna do rozgryzienia, jak has³o. Wystarczy, jeœli bêdzie to coœ innego ni Adminstrator, któr¹ to nazwê zna ka dy haker i któr¹ spodziewa siê znaleÿæ w komputerze ofiary. Aby zmieniæ nazwê, wykonaj nastêpuj¹ce czynnoœci: 1. W wierszu polecenia wpisz secpol.msc, aby otworzyæ okno Ustawienia zabezpieczeñ lokalnych. (Mo esz tak e dwukrotnie klikn¹æ skrót Zasady zabezpieczeñ lokalnych w folderze Narzêdzia administracyjne w Panelu sterowania). 2. Otwórz Zasady lokalne\opcje zabezpieczeñ. 3. W panelu zawieraj¹cym szczegó³y dwukrotnie kliknij zasadê Konta: Zmieñ nazwê konta administratora. 4. Wpisz now¹ nazwê dla konta Administrator. UWAGA Poniewa przystawka Ustawienia zabezpieczeñ lokalnych nie jest dostêpna w Windows XP Home Edition, nie mo esz u yæ jej do zmiany nazwy konta Administrator. Mo esz jednak zrobiæ to, uruchamiaj¹c okno Konta u ytkowników znane z Windows 2000. W wierszu polecenia wpisz control userpasswords2. Wybierz Administrator i kliknij W³aœciwoœci. Pamiêtaj aby zmieniæ nazwê u ytkownika, a nie pe³n¹ nazwê.

100 Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu Zaawansowane opcje konfiguracyjne kont Windows XP u ywa czterech ró nych interfejsów do zarz¹dzania u ytkownikami i grupami: Konta u ytkowników. Ten aplet znajduj¹cy siê w Panelu sterowania oferuje najprostszy sposób wykonania typowych zadañ. Wiêcej informacji na jego temat znajdziesz w podrozdziale Konta u ytkowników na stronie 83. Konta u ytkowników (styl Windows 2000). Je eli twój komputer jest czêœci¹ domeny, po otworzeniu apletu Konta u ytkowników w Panelu sterowania zobaczysz nieco inn¹ wersjê (patrz rysunek 3-11). Jeœli komputer nie jest czêœci¹ domeny, mo esz otworzyæ tê wersjê, wpisuj¹c control userpasswords2 w wierszu polecenia. Rysunek 3-11. Konta u ytkowników w komputerze bêd¹cym czêœci¹ domeny styl Windows 2000. W tej wersji okno Konta u ytkowników oferuje niewiele opcji (mo esz dodawaæ lub usuwaæ lokalnych u ytkowników, okreœlaæ has³a i przydzielaæ konta u ytkowników do wybranej grupy), ale ma tak e kilka unikalnych funkcji, które mog¹ okazaæ siê przydatne. W tej wersji mo esz Zmieniaæ nazwê u ytkownika konta Konfigurowaæ logowanie automatyczne (wiêcej informacji na ten temat znajdziesz w podrozdziale Pomijanie ekranu logowania na stronie 93). Zrezygnowaæ z koniecznoœci naciskania [Ctrl+Alt+Del], je eli nie u ywasz ekranu powitalnego WSKAZÓWKA Utwórz skrót do apletu Konta u ytkowników Je eli twój komputer nie jest cz³onkiem domeny, to prawdopodobnie bêdziesz doœæ czêsto korzysta³ z apletu Konta u ytkowników. W takim przypadku mo esz utworzyæ do niego skrót i przechowywaæ go w folderze Narzêdzia administracyjne Panelu sterowania.

Rozdzia³ 3: Kontrolowanie dostêpu do komputera 101 U ytkownicy i grupy lokalne. Ta przystawka konsoli Microsoft Management Console (MMC) daje dostêp do wiêkszej liczby funkcji zwi¹zanych z zarz¹dzaniem kontami ni Konta u ytkowników i jest przyjaÿniejsza od narzêdzi uruchamianych z wiersza poleceñ. Wiêcej informacji na ten temat znajdziesz w podrozdziale U ywanie przystawki U ytkownicy i grupy lokalne na stronie 102. Narzêdzia uruchamiane z wiersza poleceñ. Polecenia Net User i Net Localgroup, chocia nie s¹ narzêdziami zbyt intuicyjnymi w obs³udze (ju ich nazwy s¹ myl¹ce mówimy tu o kontach i grupach lokalnych, a nie o sieciowych!), zapewniaj¹ najpe³niejszy i bezpoœredni dostêp do ró nych zadañ zwi¹zanych z kontami. Narzêdzia te omówiono szczegó³owo w podrozdziale U ywanie poleceñ Net User i Net Localgroup na stronie 104. Wszystkie te narzêdzia, niektóre ³atwiejsze, a niektóre trudniejsze w u yciu, pozwalaj¹ administratorowi na utworzenie, zmodyfikowanie i usuniêcie lokalnych kont u ytkowników i grup. Dostêpnoœæ i wygl¹d poszczególnych narzêdzi zale y od posiadanej wersji Windows XP (konsola U ytkownicy i grupy lokalne nie jest dostêpna w Windows XP Home Edition), a tak e od tego, czy komputer jest czêœci¹ domeny (Aplet U ytkownicy i has³a w Panelu sterowania jest ca³kowicie odmienny dla cz³onków domeny). Wybór interfejsu zale y czêœciowo od osobistych preferencji wolisz graficzny interfejs czy te wiersz polecenia. Ale wkrótce przekonasz siê tak e, e jedno narzêdzie oferuje mo liwoœci, których na pró no szukaæ w pozosta³ych. Aby pomóc ci w podjêciu decyzji i dokonaniu w³aœciwego wyboru narzêdzia do konkretnego zadania, przygotowaliœmy tabelê 3-1, zawieraj¹c¹ spis zadañ, które mo na wykonaæ za pomoc¹ tych narzêdzi. Tabela 3-1. Zadania, które mo na wykonaæ za pomoc¹ narzêdzi zarz¹dzania kontami Zadanie Konta u ytkowników w Panelu sterowania (grupa robocza) Konta u ytkowników w Panelu sterowania (domena) Konsola U ytkownicy i grupy lokalne Lokalne konta u ytkowników Tworzenie kont u ytkowników Usuwanie kont u ytkowników Umieszczanie kont w grupach 1 1 Zmiana nazwy u ytkownika Zmiana pe³nej nazwy Zmiana opisu Zmiana obrazu Okreœlanie has³a 2 Tworzenie podpowiedzi has³a Okreœlanie ograniczeñ has³a Okreœlanie godzin logowania W³¹czanie lub wy³¹czanie konta 3 Odblokowywanie konta Narzêdzia wiersza poleceñ Dokoñczenie tabeli na nastêpnej stronie

102 Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu Dokoñczenie tabeli z poprzedniej strony Tabela 3-1. Zadania, które mo na wykonaæ za pomoc¹ narzêdzi zarz¹dzania kontami Zadanie Lokalne koonta u ytkowników Okreœlanie daty wa noœci konta Konta u ytkowników w Panelu sterowania (grupa robocza) Konta u ytkowników w Panelu sterowania (domena) Konsola U ytkownicy i grupy lokalne Okreœlanie profilu i skryptu logowania ¹czenie konta z.net Passport Grupy zabezpieczeñ Tworzenie Usuwanie Zmiana nazwy Okreœlanie cz³onkostwa w grupie Dodawane konta domeny do grupy 1 Narzêdzia wiersza poleceñ 1 W oknie Konta u ytkowników mo na dodaæ konto tylko do jednej grupy. Wersja okna Konta u ytkowników dla grup roboczych umo liwia dodanie konta wy³¹cznie do grupy Administratorzy lub U ytkownicy. 2 W oknie Konta u ytkowników mo na okreœliæ has³o tylko dla lokalnego konta. Has³o musi ró niæ siê od bie ¹cego has³a logowania. 3 W oknie Konta u ytkowników mo na w³¹czyæ lub wy³¹czyæ jedynie konto Goœæ. U ywanie przystawki U ytkownicy i grupy lokalne Przystawka programu MMC U ytkownicy i grupy lokalne oferuje bardziej zaawansowane funkcje ni którakolwiek z wersji apletu Konta u ytkowników. Przystawka ta nie jest dostêpna w Windows XP Home Edition. W wersji Professional przystawkê tê, pokazan¹ na rysunku 3-12, mo na uruchomiæ w jeden z nastêpuj¹cych sposobów: W folderze Zarz¹dzanie komputerem otwórz Narzêdzia systemowe, U ytkownicy i grupy lokalne. W wierszu polecenia wpisz lusrmgr.msc. Je eli komputer jest cz³onkiem domeny, w oknie Konta u ytkowników kliknij kartê Zaawansowane, a nastêpnie przycisk Zaawansowane. W tabeli 3-2 zebrano procedury umo liwiaj¹ce wykonanie ró nych zadañ w przystawce U ytkownicy i grupy lokalne.

Rozdzia³ 3: Kontrolowanie dostêpu do komputera 103 Czerwony x oznacza, e konto to zosta³o wy³¹czone Rysunek 3-12. Pomimo niezbyt wyszukanego interfejsu, przystawka U ytkownicy i grupy lokalne oferuje wiêcej mo liwoœci ni Konta u ytkowników. Tabela 3-2 Procedury przystawki U ytkownicy i grupy lokalne Zadanie Opis czynnoœci Konta u ytkowników lokalnych Tworzenie Prawym przyciskiem myszy kliknij folder U ytkownicy i wybierz polecenie Nowy u ytkownik. Usuwanie W folderze U ytkownicy prawym przyciskiem myszy kliknij nazwê konta i wybierz polecenie Usuñ. Zmiana nazwy u ytkownika Zmiana pe³nej nazwy lub opisu Okreœlanie lub zmiana has³a Okreœlanie ograniczeñ has³a W³¹czanie lub wy³¹czanie Odblokowywanie po zbyt wielu nieudanych próbach zalogowania siê Okreœlanie przynale noœci do grupy W folderze U ytkownicy prawym przyciskiem myszy kliknij nazwê konta i wybierz polecenie Zmieñ nazwê. W folderze U ytkownicy dwukrotnie kliknij nazwê konta i wybierz kartê Ogólne w oknie dialogowym W³aœciwoœci. W folderze U ytkownicy prawym przyciskiem myszy kliknij nazwê konta i wybierz polecenie Ustawianie has³a. W folderze U ytkownicy kliknij dwukrotnie nazwê konta i wybierz kartê Ogólne w oknie dialogowym W³aœciwoœci. W folderze U ytkownicy kliknij dwukrotnie nazwê konta i wybierz kartê Ogólne w oknie dialogowym W³aœciwoœci. Wyczyœæ lub zaznacz pole wyboru Konto jest wy³¹czone. (Po wy³¹czeniu konta jego u ytkownik nie mo e zalogowaæ siê i uzyskaæ dostêpu do zasobów komputera). W folderze U ytkownicy kliknij dwukrotnie nazwê konta i wybierz kartê Ogólne w oknie dialogowym W³aœciwoœci. Wyczyœæ pole wyboru Konto jest zablokowane. W folderze U ytkownicy kliknij dwukrotnie nazwê konta, a nastêpnie wybierz kartê Cz³onek grupy. Dokoñczenie tabeli na nastêpnej stronie

104 Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu Dokoñczenie tabeli z poprzedniej strony Tabela 3-2 Procedury przystawki U ytkownicy i grupy lokalne Zadanie Okreœlanie profilu i skryptu logowania Grupy lokalne Tworzenie Usuwanie Zmiana nazwy Okreœlanie przynale noœci do grupy Opis czynnoœci W folderze U ytkownicy kliknij dwukrotnie nazwê konta, a nastêpnie kliknij kartê Profil. Wiêcej informacji znajdziesz w podrozdziale Praca z profilami u ytkownika na stronie 946. Prawym przyciskiem myszy kliknij folder Grupy i wybierz polecenie Nowa grupa. W folderze Grupy prawym przyciskiem myszy kliknij grupê i wybierz polecenie Usuñ. W folderze Grupy prawym przyciskiem myszy kliknij nazwê grupy i wybierz polecenie Zmieñ nazwê. W folderze Grupy kliknij dwukrotnie nazwê grupy, aby wyœwietliæ okno dialogowe W³aœciwoœci. Do grupy lokalnej mo esz dodaæ konta lokalnych u ytkowników, u ytkowników domeny oraz grupy domeny. W oknie dialogowym Wybieranie: U ytkownicy, które zostanie wyœwietlone, gdy klikniesz przycisk Dodaj, kliknij przycisk Lokalizacje i wybierz nazwê komputera (dla u ytkowników lokalnych) lub nazwy domen (dla u ytkowników i grup domeny). U ywanie poleceñ Net User i Net Localgroup Jeœli nad graficzny interfejs przedk³adasz wiersz polecenia, to prawdopodobnie do zarz¹dzania lokalnymi u ytkownikami i grupami wybierzesz narzêdzie Net.exe. Aby zmieniæ jakiekolwiek informacje w kontach lokalnych u ytkowników lub grup, musisz byæ zalogowany jako cz³onek lokalnej grupy Administratorzy. (Mo esz tak e u yæ polecenia Uruchom jako do otwarcia okna Wiersz polecenia lub poprzedzaæ ka de polecenie wpisywane w wierszu polecenia innym poleceniem: runas /user:administrator). Opiszemy tu tylko najczêœciej wykorzystywane polecenia narzêdzia Net (oraz ich najwa niejsze parametry), s³u ¹ce do zarz¹dzania lokalnymi u ytkownikami i grupami. Nale y pamiêtaæ, e nie jest to wyczerpuj¹cy opis. Szczegó³owe informacje mo na uzyskaæ wpisuj¹c net help polecenie, zastêpuj¹c polecenie nazw¹ polecenia, które jest okreœlone po wyra eniu Net. Na przyk³ad aby otrzymaæ wiêcej informacji na temat polecenia Net Localgroup, wpisz net help localgroup. Uzyskasz w ten sposób znacznie wiêcej informacji ni po wpisaniu net localgroup /?, gdy ta pomoc ogranicza siê do wyœwietlenia jedynie sk³adni polecenia. Net User Polecenie Net User pozwala na przegl¹danie, dodawanie, modyfikowanie oraz usuwanie kont u ytkowników. Przegl¹danie informacji o koncie u ytkownika Jeœli wpiszesz polecenie net user bez adnych parametrów, program wyœwietli nazwê komputera i listê lokalnych kont u ytkowników. Jeœli do polecenia Net User

Rozdzia³ 3: Kontrolowanie dostêpu do komputera 105 do³¹czysz nazwê konta (przyk³adowo, net user jan), Net User wyœwietli wszystkie informacje o tym koncie, jak pokazano poni ej. C:\>net user Konta u ytkowników dla \\SEQUOIA ------------------------------------------------------------ Administrator Carl Gooa Pomocnik Jan SUPPORT_388945a0 Polecenie zosta³o wykonane pomyœlnie. C:\>net user jan Nazwa u ytkownika Pe³na nazwa Komentarz Komentarz u ytkownika Kod kraju Konto jest aktywne Wygasanie konta Has³o ostatnio ustawiano Wa noœæ has³a wygasa Has³o mo e byæ zmieniane Wymagane jest has³o U ytkownik mo e zmieniaæ has³o Dozwolone stacje robocze Skrypt logowania Profil u ytkownika Katalog macierzysty Ostatnie logowanie Dozwolone godziny logowania Jan Jan 000 (Domyœlne ustawienia systemu) Tak Nigdy 7/4/2001 12:43 PM Nigdy 7/4/2001 12:43 PM Tak Tak Wszystkie 7/4/2001 11:54 AM Wszystkie Cz³onkostwa grup lokalnych *U ytkownicy Cz³onkostwa grup globalnych *Brak Polecenie zosta³o wykonane pomyœlnie. Dodawanie lub modyfikowanie konta u ytkownika Do polecenia Net User nazwa u ytkownika mo esz dodaæ dowolne parametry widoczne w tabeli 3-3. Na przyk³ad mo esz dodaæ nowe konto dla u ytkownika o nazwie Jacek, utworzyæ skomplikowane has³o i uniemo liwiæ temu u ytkownikowi zmianê has³a. Polecenie bêdzie mia³o nastêpuj¹c¹ sk³adniê: C:\>net user Jacek /add /random /passwordchg:no Has³o dla Jacek to: nkhre$ou Polecenie zosta³o wykonane pomyœlnie.

106 Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu Tabela 3-3. Przydatne parametry polecenia Net User Parametr password lub * lub /Random /Add /Fullname:"nazwa " /Comment:"tekst " /Passwordchg:yes lub /Passwordchg:no /Active:no lub /Active:yes /Expires:data lub /Expires:never /Passwordreq:yes lub /Passwordreq:no /Times:dni,godziny lub /Times:all Opis Tworzy has³o. Je eli wpiszesz gwiazdkê (*), Net User poprosi o podanie has³a; wpisywane przez ciebie has³o nie bêdzie wyœwietlane na ekranie. Parametr /Random automatycznie generuje trudne do z³amania 8-znakowe has³o. Tworzy nowe konto u ytkownika. Nazwa u ytkownika musi sk³adaæ siê z maksymalnie 20 znaków i nie mo e zawieraæ adnego z tych znaków: "/\[]:; =,+*?<> Okreœla pe³n¹ nazwê u ytkownika. Pozwala na umieszczenie komentarza (maksymalnie 48 znaków). Okreœla, czy u ytkownik mo e zmieniæ has³o. Wy³¹cza lub w³¹cza konto. (Gdy konto jest wy³¹czone, u ytkownik nie mo e zalogowaæ siê do komputera ani uzyskaæ dostêpu do jego zasobów). Okreœla datê wygaœniêcia konta. Wpisuj¹c datê, u yj krótkiego formatu daty okreœlonego w Ustawieniach regionalnych. Konto wygaœnie z pocz¹tkiem okreœlonego dnia; od tego momentu u ytkownik nie bêdzie móg³ zalogowaæ siê do komputera i nie bêdzie mia³ dostêpu do znajduj¹cych siê w nim zasobów, dopóki administrator nie okreœli nowej daty wygaœniêcia konta. Okreœla, czy konto u ytkownika mo e mieæ puste has³o. Okreœla godziny, w których u ytkownik mo e siê zalogowaæ. W miejsce dni wpisz dni tygodnia, w które u ytkownik mo e siê logowaæ. Je eli chcesz podaæ zakres dni, musisz oddzieliæ je myœlnikiem lub u yæ przecinka, je eli chcesz podaæ listê dni. W ka dym dniu mo esz okreœliæ godziny, w których dopuszczalne jest logowanie. Na przyk³ad: M-F,8am-6pm; Sa,9am-1pm oznacza, e u ytkownik mo e logowaæ siê od poniedzia³ku do pi¹tku w godzinach 8-18, a w soboty w godzinach 9-13. Parametr All pozwoli na logowanie o dowolnej godzinie; brak wartoœci ca³kowicie uniemo liwi zalogowanie siê. UWAGA Ostatnie trzy parametry w tabeli 3-3 (/Expires, /Passwordreq i /Times) pozwalaj¹ na modyfikacjê ustawieñ, których nie mo esz zmieniæ (ani nawet zobaczyæ) za pomoc¹ przystawki U ytkownicy i grupy lokalne. Oprócz tego opcje te dostêpne s¹ tylko w Windows 2000 Server lub Windows.NET Server. Usuwanie konta u ytkownika Aby usun¹æ konto u ytkownika z lokalnej bazy danych, u yj prze³¹cznika /Delete z poleceniem Net User: C:\>net user Jacek /delete Polecenie zosta³o wykonane pomyœlnie. Net Localgroup Polecenie Net Localgroup pozwala na przegl¹danie, dodawanie, modyfikowanie lub usuwane grup lokalnych. Przegl¹danie informacji o grupie Wpisz net localgroup bez adnych parametrów, aby wyœwietliæ nazwê komputera oraz listê grup lokalnych. Je eli po Net Localgroup wpiszesz nazwê grupy (na

Rozdzia³ 3: Kontrolowanie dostêpu do komputera 107 przyk³ad net localgroup "u ytkownicy zaawansowani" ), Net Localgroup wyœwietli listê cz³onków grupy. Dodawanie lub usuwanie grupy Do polecenia Net Localgroup nazwagrupy, dodaj /Add, aby utworzyæ now¹ grupê, lub /Delete, aby usun¹æ bie ¹c¹ grupê. Dodaj¹c grupê lub przegl¹daj¹c informacje o niej, mo esz opcjonalnie dodaæ komentarz (o maksymalnej d³ugoœci 48 znaków) poprzez do³¹czenie /Comment:"tekst". Dodawanie lub usuwanie cz³onków grupy Do grupy lokalnej mo esz dodaæ lokalne konta u ytkowników, konta u ytkowników domeny oraz grupy globalne (nie mo esz dodawaæ innych grup lokalnych). W tym celu wpisz nazwy u ytkowników lub grup (oddzielaj¹c je spacjami) i do³¹cz prze³¹cznik /Add. Na przyk³ad aby dodaæ Jana i Jacka do grupy U ytkownicy zaawansowani, nale y wpisaæ: C:\>net localgroup "power users" jan jacek /add Polecenie zosta³o wykonane pomyœlnie. Aby usun¹æ jednego lub kilku cz³onków grupy, u yj tej samej sk³adni, ale zamiast /Add wpisz /Delete. Praca z kontami domeny Dodaj¹c prze³¹cznik /Domain do polecenia Net User lub Net Localgroup, mo esz przegl¹daæ, dodawaæ, modyfikiwaæ lub usuwaæ konta u ytkowników domeny oraz grupy globalne, oczywiœcie o ile jesteœ cz³onkiem grupy Administratorów domeny. Nie musisz okreœlaæ nazwy domeny, polecenia Net User i Net Localgroup zawsze dzia³aj¹ na podstawowym kontrolerze domeny, do której nale y twój komputer. Tworzenie hase³ Domyœnie Windows XP nie jest w pe³ni zabezpieczony. Konta u ytkowników tworzone podczas instalacji (a tak e konta przeniesione podczas aktualizacji z Windows 95/98/Me) maj¹ przywileje administracyjne i nie s¹ chronione has³ami. Poniewa ekran powitalny zawiera listê wszystkich kont u ytkowników w systemie, ka dy, kto ma fizyczny dostêp do komputera, mo e zalogowaæ siê do niego jako administrator, klikaj¹c dowoln¹ nazwê. Wymóg podawania has³a przy logowaniu siê z ka dego konta (zw³aszcza administratorów) jest wa nym krokiem w stronê zapewnienia bezpieczeñstwa. Nowa funkcja! UWAGA Nie musisz siê obawiaæ, e ktoœ zdo³a zdalnie zalogowaæ siê do twojego komputera (poprzez sieæ, Internet lub Zdalny pulpit), korzystaj¹c z konta niezabezpieczonego has³em. Nowe funkcje zabezpieczeñ w Windows XP uniemo liwiaj¹ zdalne logowanie siê z kont niezabezpieczonych has³em. Je eli nie masz has³a w Windows XP, twoim jedynym zagro eniem s¹ osoby maj¹ce fizyczny dostêp do komputera. Ta funkcja zabezpieczeñ jest wymuszana zasad¹. Je eli masz Windows XP Professional, mo esz upewniæ siê, czy jest ona w³¹czona. W wierszu polecenia wpisz secpol.msc, aby otworzyæ Ustawienia zabezpieczeñ lokalnych. Otwórz folder Zasady lokalne\opcje zabezpieczeñ i upewnij siê, e zasada Konta: ogranicz u ywanie pustych hase³ przez konta lokalne tylko do logowania do konsoli jest w³¹czona. (Jeœli masz Windows XP Home Edition, tak e nie masz powodów do obaw, w tej wersji zasady nie mo na wy³¹czyæ).

108 Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu ROZWI ZYWANIE PROBLEMÓW Windows wymaga has³a logowania, którego nie masz Zazwyczaj u ytkownik, który nie ma przydzielonego has³a, mo e zalogowaæ siê do komputera, klikaj¹c swoj¹ nazwê u ytkownika na ekranie powitalnym. Jednak czasem klikniêcie nazwy u ytkownika powoduje wyœwietlenie proœby o podanie has³a. Cokolwiek wpiszesz (a tak e jeœli pozostawisz to pole puste i naciœniesz klawisz [Enter], i tak nie zostanie zaakceptowane przez system. Dzieje siê tak czasem przy w³¹czonym dzienniku. Problem ten mo esz rozwi¹zaæ, wy³¹czaj¹c dziennik (wiêcej informacji na ten temat znajdziesz w rozdziale Sprawdzaj, kto u ywa twojego komputera na stronie 986), ale znacznie lepszym rozwi¹zaniem jest przydzielenie has³a nawet krótkiego do ka dego konta. Tworzenie bezpiecznego has³a Has³o ma niewielk¹ wartoœæ, jeœli mo na je ³atwo odgadn¹æ. Nie nale y wiêc u ywaæ jako has³a swojego imienia lub innego, oczywistego s³owa. Jednak nawet losowo wybrane s³owo nie zapewnia wystarczaj¹cego poziomu ochrony przed zdeterminowanym hakerem, który mo e korzystaæ z narzêdzi zawieraj¹cych s³owniki i próbuj¹cych kolejno wpisaæ jako has³o wszystkie znane s³owa. Poni sze wskazówki pomog¹ ci utworzyæ has³o trudniejsze do z³amania: Has³o powinno sk³adaæ siê przynajmniej z 7 znaków. Has³o powinno byæ mieszanin¹ wielkich i ma³ych liter, cyfr i symboli (na przyk³ad JednoS³owo7). Zamiast s³ów u ywaj losowych sekwencji znaków lub wstaw w s³owa cyfry i symbole (na przyk³ad, oje6dnos³7olwo). Pomyœl o u yciu pierwszych liter zwrotu, który ³atwo zapamiêtasz. Na przyk³ad has³o CChdzR zapamiêtasz jako Co chcesz dziœ robiæ?. ROZWI ZYWANIE PROBLEMÓW Nie mo esz siê zalogowaæ. Nawet jeœli jesteœ pewien, e pamiêtasz has³o, to mo esz mieæ problemy z zalogowaniem siê. Po pierwsze musisz pamiêtaæ, e w has³ach rozró niane s¹ du e i ma³e litery: musisz wpisaæ has³o dok³adnie tak, jak zrobi³eœ to podczas tworzenia go. Jeœli w dalszym ci¹gu nie mo esz siê zalogowaæ, upewnij siê, czy Caps Lock nie jest w³¹czony. Okreœlanie has³a Najprostszym sposobem okreœlenia has³a dla swojego konta lub konta innego u ytkownika (jeœli jesteœ zalogowany jako administrator) jest skorzystanie z apletu Konta u ytkowników w Panelu sterowania. Kliknij nazwê u ytkownika, dla którego chcesz utworzyæ has³o, i kliknij ³¹cze Utwórz has³o. Pojawi siê okno dialogowe pokazane na rysunku 3-13. Has³a mo na utworzyæ tak e za pomoc¹ innych narzêdzi, ale aplet Konta u ytkowników jest jedynym, który pozwala na utworzenie wskazówki dotycz¹cej has³a. Wskazówka ta zostanie wyœwietlona, gdy klikniesz znak zapytania widoczny po klikniêciu nazwy u ytkownika na ekranie powitalnym. Pamiêtaj tylko, e wskazówka ma byæ jedynie podpowiedzi¹ i nie mo e zawieraæ samego has³a ka dy mo e j¹ przeczytaæ.

Rozdzia³ 3: Kontrolowanie dostêpu do komputera 109 Rysunek 3-13. Okno Konta u ytkowników pozwala wpisaæ zdanie, które pomo e ci przypomnieæ sobie has³o. OSTRZE ENIE U ywaj¹c opisywanych w tym rozdziale narzêdzi zarz¹dzania kontem, mo esz utworzyæ wstêpne has³o dla innego u ytkownika. Ale nie usuwaj i nie zmieniaj has³a innego u ytkownika, o ile nie zapomnia³ on has³a i nie ma ju innego sposobu na uzyskanie dostêpu do swojego konta. (Wiêcej informacji na ten temat znajdziesz w podrozdziale Przywracanie zapomnianego has³a na stronie 112). Jeœli usuniesz lub zmienisz has³o innego u ytkownika, straci on wszystkie osobiste certyfikaty i zapisane has³a do witryn sieci Web i zasobów sieciowych. Bez certyfikatów u ytkownik traci dostêp do wszystkich zaszyfrowanych przez siebie plików (informacje na temat szyfrowania znajduj¹ siê w rozdziale 14 Szyfrowanie informacji ) oraz wszystkie wiadomoœci pocztowe zaszyfrowane kluczem prywatnym. Windows usuwa te certyfikaty i has³a w celu uniemo liwienia administratorowi dokonuj¹cemu zmiany has³a uzyskania dostêpu do tych plików to zabezpieczenie ma jednak swoj¹ cenê! ROZWI ZYWANIE PROBLEMÓW Nie mo esz uzyskaæ dostêpu do zaszyfrowanych plików, poniewa administrator zmieni³ twoje has³o. Gdy administrator usunie lub zmieni has³o do lokalnego konta u ytkownika, traci on dostêp do swoich zaszyfrowanych plików i wiadomoœci pocztowych. Jest to spowodowane tym, e klucz g³ówny s³u ¹cy do odblokowania osobistego certyfikatu szyfrowania (który z kolei jest niezbêdny do otworzenia zaszyfrowanych plików), jest zaszyfrowany przy u yciu has³a logowania. Gdy has³o to zostanie zmienione, klucz staje siê niedostêpny. Aby odzyskaæ dostêp do klucza g³ównego (oraz za jego pomoc¹ do zaszyfrowanych plików i wiadomoœci poczty elektronicznej), z powrotem zmieñ has³o na stare. Has³o mo esz tak e zmieniæ, korzystaj¹c z Dysku resetowania has³a. W przypadku zmiany w³asnego has³a (poprzez aplet Konta u ytkowników lub Dysk resetowania has³a), Windows u ywa twojego starego has³a w celu zdeszyfrowania klucza g³ównego, a nastêpnie szyfruje go ponownie przy u yciu nowego has³a. Dziêki temu wszystkie zaszyfrowane pliki i wiadomoœci pocztowe pozostaj¹ dostêpne.

110 Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu Zwiêkszanie bezpieczeñstwa hase³ Nawet jeœli uda ci siê przekonaæ wszystkich u ytkowników twojego komputera do korzystania z hase³, to mo esz byæ niemal pewny, e nie wszyscy wybior¹ wystarczaj¹co bezpieczne has³a i nie wszyscy te bêd¹ regularnie je zmieniali. Jeœli w twojej firmie zagadnienie bezpieczeñstwa jest bardzo istotne, to mo esz wymusiæ na u ytkownikach takie zachowanie, które utrudni zadanie hakerom: Mo esz skorzystaæ z polecenia Net User w celu wygenerowania losowego i trudnego do z³amania has³a. W oknie Wiersz polecenia wpisz net user nazwa u ytkownika/random. Jeœli pracujesz w Windows XP Professional, mo esz okreœliæ zasady hase³, które wymuszaj¹ na u ytkownikach tworzenie odpowiednich hase³ oraz czêstotliwoœæ i sposób ich zmiany. Najprostszym sposobem okreœlenia zasad bezpieczeñstwa has³a jest u ycie konsoli Ustawienia zabezpieczeñ lokalnych (patrz rysunek 3-14). Aby otworzyæ tê konsolê, w Panelu sterowania otwórz folder Narzêdzia administracyjne i dwukrotnie kliknij skrót Zasady zabezpieczeñ lokalnych. (Je eli korzystasz z widoku kategorii, to Narzêdzia administracyjne znajdziesz w grupie Wydajnoœæ i konserwacja). Mo esz tak e wpisaæ secpol.msc w wierszu polecenia. Rysunek 3-14 Przystawka Ustawienia zabezpieczeñ lokalnych umo liwia okreœlenie wymagañ wobec hase³ dla wszystkich kont lokalnych. Aby obejrzeæ zasady zwi¹zane z zachowaniem hase³ dla wszystkich kont, rozwiñ drzewo folderu Zasady konta\zasady hase³. Tabela 3-4 zawiera listê z opisem poszczególnych zasad. Niektóre z tych zasad mo esz tak e okreœliæ za pomoc¹ polecenia Net Accounts. W tabeli 3-4 obok nazwy zasady znajduje siê dostêpny prze³¹cznik. Na przyk³ad aby okreœliæ maksymaln¹ wa noœæ has³a na 21 dni, nale y wpisaæ w wierszu polecenia net accounts /maxpwage:21.

Rozdzia³ 3: Kontrolowanie dostêpu do komputera 111 Table 3-4. Zasady konta Zasada Prze³¹cznik polecenia Net Accounts Opis Has³o musi spe³niaæ wymagania co do z³o onoœci Maksymalny okres wa noœci has³a niedostêpne /Maxpwage:dni W³¹czenie tej zasady wymusi tworzenie nowych hase³ o d³ugoœci przynajmniej 6 znaków, bêd¹cych kombinacj¹ du ych i ma³ych znaków z cyframi i znakami specjalnymi (przynajmniej po jednym znaku z ka dej z tych klas znaków) oraz niezawieraj¹cych nazwy u ytkownika czy czêœci pe³nej nazwy. Uwaga: zmiana tej zasady nie ma wp³ywu na bie ¹ce has³a. Podanie wartoœci wiêkszej ni 0 (wartoœæ maksymalna to 999) okreœla d³ugoœæ okresu wa noœci has³a. (Aby zmieniæ to ustawienie dla niektórych kont, otwórz okno dialogowe W³aœciwoœci dla wybranego konta w przystawce U ytkownicy i grupy lokalne i zaznacz pole wyboru Has³o nigdy nie wygasa). Wartoœæ 0 powoduje, e has³o nie wygasa nigdy. (U ywaj¹c polecenia Net Accounts, musisz zastosowaæ prze³¹cznik /Maxpwage: unlimited je eli chcesz, aby has³o nigdy nie wygasa³o 0 jest wartoœci¹ niedozwolon¹). Minimalna d³ugoœæ has³a /Minpwlen:d³ugoœæ Okreœlenie wartoœci wiêkszej ni 0 (maksymalna wartoœæ to 14) wymusza na u ytkownikach tworzenie hase³ d³u szych ni podana wartoœæ. Wartoœæ 0 pozwala u ytkownikom na ca³kowit¹ rezygnacjê z has³a. Uwaga: zmiana tej zasady nie ma wp³ywu na bie ¹ce has³a. Minimalny okres wa noœci has³a Wymuszaj tworzenie historii hase³ Zapisz has³a dla wszystkich u ytkowników w domenie, korzystaj¹c z szyfrowania odwracalnego /Minpwage:dni /Uniquepw:liczba niedostêpne Podanie wartoœci wiêkszej ni 0 (wartoœæ maksymalna to 999) pozwala okreœliæ minimaln¹ liczbê dni, jaka musi up³yn¹æ, zanim u ytkownik bêdzie móg³ zmieniæ has³o. Wartoœæ 0 daje mo liwoœæ zmiany has³a dowolnie czêsto. Okreœlenie liczby wiêkszej ni 0 (maksymalna wartoœæ to 24) powoduje, e Windows pamiêta tak¹ liczbê ostatnich hase³ i zmusza u ytkownika do wybrania innego has³a ni którekolwiek z zapamiêtanych. W³¹czenie tej zasady powoduje przechowywanie hase³ w postaci zwyk³ego tekstu, a nie w formie zaszyfrowanej, co znacznie obni a poziom bezpieczeñstwa systemu. Zasadê tê mo esz wiêc w³¹czyæ jedynie wtedy, gdy jakiœ program wymaga bezpoœredniego dostêpu do has³a u ytkownika w celu weryfikacji. UWAGA Je eli okreœlisz maksymalny okres wa noœci has³a, na 14 dni przed jego wygaœniêciem Windows zacznie przypominaæ u ytkownikowi o koniecznoœci zmiany has³a. Okres przypominania mo esz zmieniæ, otwieraj¹c w przystawce Ustawienia zabezpieczeñ lokalnych folder Zasady lokalne\opcje zabezpieczeñ. Dwukrotnie kliknij zasadê Logowanie interakcyjne: monituj u ytkownika o zmianê has³a przed jego wygaœniêciem i zmieñ liczbê dni.

112 Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu Nowa funkcja! Przywracanie zapomnianego has³a To musia³o siê w koñcu wydarzyæ: zapomnia³eœ has³a. Windows XP oferuje dwa narzêdzia, które powinny pomóc ci rozwi¹zaæ ten problem: Wskazówka dotycz¹ca has³a. Wskazówkê tê mo esz przeczytaæ, klikaj¹c ikonê znaku zapytania, która pojawia siê po klikniêciu nazwy u ytkownika na ekranie powitalnym. (Wskazówka nie jest dostêpna, jeœli nie u ywasz ekranu powitalnego). Wiêcej informacji znajdziesz w rozdziale Tworzenie hase³ na stronie 107. Dysk resetowania has³a. Dysk resetowania has³a pozwoli ci (oraz ka demu, kto dysponuje twoim dyskiem resetowania has³a) na zmianê has³a bez znajomoœci poprzedniego has³a. Ka dy u ytkownik powinien utworzyæ taki dysk i przechowywaæ go w bezpiecznym miejscu. UWAGA Dysk resetowania has³a mo esz utworzyæ tylko dla swojego lokalnego konta u ytkownika. Jeœli twój komputer jest czêœci¹ domeny, nie mo esz w ten sposób zabezpieczyæ siê przed utrat¹ has³a do domeny. Jednak administrator domeny mo e bezpiecznie zmieniæ twoje has³o, nie pozbawiaj¹c ciê przy tym dostêpu do zaszyfrowanych plików. Oba narzêdzia wymagaj¹ od ciebie umiejêtnoœci przewidywania. Musisz bowiem zapisaæ wskazówkê ju podczas tworzenia has³a oraz utworzyæ dysk resetowania has³a, jeszcze zanim zajdzie koniecznoœæ jego u ycia. Aby utworzyæ dysk resetowania has³a, musisz pamiêtaæ swoje bie ¹ce has³o i dysponowaæ pust¹ dyskietk¹. Wykonaj poni sze czynnoœci: 1. Zaloguj siê do komputera u ywaj¹c konta, dla którego chcesz utworzyæ dysk resetowania has³a. 2. W panelu sterowania otwórz Konta u ytkowników. 3. Wybierz swoj¹ nazwê u ytkownika. 4. Kliknij ³¹cze Zapobiegaj zapominaniu has³a (w sekcji Zadania pokrewne), aby uruchomiæ Kreatora przypominania has³a.

Rozdzia³ 3: Kontrolowanie dostêpu do komputera 113 5. Wykonaj instrukcje kreatora. Do ka dego konta mo esz mieæ tylko jeden dysk resetowania has³a. Je eli utworzysz nowy dysk, stary stanie siê bezu yteczny. UWAGA Nawet jeœli twój komputer jest cz³onkiem domeny, mo esz utworzyæ dysk resetowania has³a dla lokalnego konta w twoim komputerze. W tym celu zaloguj siê jako u ytkownik lokalny. Naciœnij [Ctrl+Alt+Del] i kliknij przycisk Zmieñ has³o, a nastêpnie Kopia zapasowa, aby uruchomiæ Kreatora przypominania has³a. Je eli podczas logowania nie podasz w³aœciwego has³a, masz dwie mo liwoœci: Je eli utworzy³eœ dysk resetowania has³a, Windows wyœwietli wiadomoœæ, która bêdzie zawiera³a ³¹cze U yj dysku resetowania has³a (je eli w³¹czony jest ekran powitalny) lub przycisk Zresetuj (je eli nie u ywasz ekranu powitalnego). Kliknij ³¹cze lub przycisk, aby uruchomiæ Kreatora przypominania has³a. Oczywiœcie potrzebny ci bêdzie dysk resetowania has³a. Kreator poprosi o utworzenie nowego has³a i wskazówki. Zaloguj siê przy u yciu nowego has³a i umieœæ dysk resetowania has³a w bezpiecznym miejscu. Nie musisz tworzyæ go ponownie. Jeœli nie utworzy³eœ dysku resetowania has³a, Windows wyœwietli proœbê o wpisanie poprawnego has³a. W tej sytuacji, je eli nie mo esz sobie przypomnieæ has³a, nawet korzystaj¹c ze wskazówki, musisz poprosiæ o pomoc administratora. Administrator mo e zalogowaæ siê do komputera i zmieniæ twoje has³o, ale w takiej sytuacji musisz liczyæ siê z tym, e utracisz dostêp do wszystkich swoich zaszyfrowanych plików i wiadomoœci e-mail. Konfigurowanie Windows XP w komputerze udostêpnionym Bez wzglêdu na to, czy konfigurujesz komputer domowy czy te w firmie, warto pomyœleæ o odpowiednim zabezpieczeniu go. Dziêki temu bêdziesz móg³ mieæ pewnoœæ, e dane u ytkowników nie zostan¹ usuniête lub zmienione czy to przez przypadek, czy te specjalnie. Konfiguruj¹c komputer, powinieneœ rozwa yæ nastêpuj¹ce sugestie: Ogranicz mo liwoœci logowania siê. Utwórz konta wy³¹cznie dla u ytkowników, którzy loguj¹ siê lokalnie (nie przez sieæ). Usuñ lub wy³¹cz inne konta (oprócz wbudowanych kont systemu Windows). Zmieñ wszystkie konta u ytkowników z wyj¹tkiem jednego na konta o ograniczonych uprawnieniach. Bêdziesz potrzebowa³ jednego konta administratora do instalowania programów, tworzenia i zarz¹dzania kontami itp. Wszystkie inne konta, w³¹czaj¹c w to konto, z którego korzystasz na co dzieñ, mog¹ byæ kontami o ograniczonych uprawnieniach.

114 Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu Nowa funkcja! Konfigurowanie us³ugi.net Passport Twoje konto u ytkownika mo e byæ po³¹czone z us³ug¹.net Passport, która umo- liwia szybki (wymagaj¹cy jednego klikniêcia) dostêp do wielu witryn sieci Web oraz zapewnia bezpieczny sposób dokonywania p³atnoœci w Internecie. Dziêki us³udze Passport po jednokrotnym podaniu nazwy u ytkownika i has³a, otrzymujesz dostêp do konta Hotmail, Windows Messengera oraz wielu witryn sieci Web. Twój profil Passport (zwany paszportem) mo e zawieraæ (oczywiœcie jeœli chcesz) numer twojej karty kredytowej, dziêki czemu mo esz bez trudu dokonywaæ p³atnoœci w trybie online. Jest to znaczny postêp w stosunku do pierwszych systemów p³atnoœci, w których potrzebowa³eœ innej nazwy u ytkownika i has³a do ka dej witryny. Jeœli na przyk³ad zmieni³ siê numer twojej karty kredytowej, to musia³eœ osobno wpisywaæ nowy numer na ka dej witrynie. Paszport bêdzie tak e niezbêdny, jeœli zamierzasz u ywaæ programu Windows Messenger do komunikacji z innymi u ytkownikami Internetu lub te korzystaæ z wbudowanych w system Windows XP mo liwoœci publikowania witryn sieci Web czy te zamawiania odbitek fotograficznych przez Internet. Microsoft i inne firmy korzystaj¹ce z technologii.net Passport maj¹ zamiar zaoferowaæ w przysz³oœci tak e inne us³ugi. Aby utworzyæ paszport (jeœli jeszcze go nie masz) i po³¹czyæ go ze swoim kontem u ytkownika, tak aby automatycznie logowaæ siê do us³ugi Passport przy logowaniu do komputera, wykonaj nastêpuj¹ce czynnoœci: 1. Otwórz okno Konta u ytkowników w panelu sterowania. 2. Kliknij swoj¹ nazwê u ytkownika. 3. Kliknij ³¹cze Zmieñ mój profil us³ugi.net Passport, aby uruchomiæ Kreatora us³ugi Passport w sieci.net. 4. Wykonaj instrukcje kreatora. Mo esz po³¹czyæ swój paszport z jednym z twoich kont poczty elektronicznej lub te otrzymaæ nowe, bezp³atne konto e-mail.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres