Zarządzanie lokalnymi kontami użytkowników Profile użytkowników Profile użytkownika umożliwiają automatyczne tworzenie i zachowywanie ustawień pulpitu dla środowiska pracy każdego użytkownika na komputerze lokalnym. Przechowywane są w %systemdrive%/documents and settings. Dostęp zalogowanego użytkownika uzyskujemy poprzez %userprofile% SID Identyfikator zabezpieczeń. Ma na celu identyfikacje użytkownika. Tworzony jest przy zakładaniu konta Można obejrzeć w rejestrze w HKEY_USERS. Windows umożliwia lub zabrania dostęp do zasobów na podstawie ACL, które używa SIDa do identyfikowania użytkowników i ich przynależności do grup. Budowa SIDa może zostać wyjaśniona na następującym przykładzie: "S-1-5-21-7623811015-3361044348-030300820-1013" S 1 5 21-7623811015- 3361044348-030300820 1013 String jest SIDem. Wersja SIDa. Identyfikator uprawnienia. Identyfikator domeny lub lokalnego komputera. Relatywne ID (RID). Każda (z wyjątkami, patrz niżej) grupa lub użytkownik będzie mieć RID 1000 albo wyższy. Znane SIDy Istnieje lista znanych SIDów, po to aby pewne konta systemowe mogły być zawsze znalezione. Microsoft utrzymuje listę SIDów w artykule Supportu SID Opis S-1-5-18 Local System, konto serwisowe używane przez system. S-1-5-19 NT Authority, usługi lokalne S-1-5-20 NT Authority, usługi sieciowe S-1-5- domena- 500 Konto Administrator. Domyślnie jedyne konto mające pełną kontrolę nad systemem. S-1-5- domena- Konto gościa dla ludzi nie mających konta. Konto to nie wymaga hasła. Domyślnie, konto Gościa
501 jest wyłączone. S-1-5- domena- 512 Administratorzy domeny - globalna grupa której członkowie mogą administrować domeną. Domyślnie, administratorami domeny są użytkownicy z grupy Administratorzy na wszystkich komputerach dołączonych do domeny, włączając w to kontrolery domeny. S-1-5- domena- 513 Użytkownicy domeny. S-1-5- domena- 514 Goście domeny - globalna grupa która domyślnie zawiera w sobie jednego członka, wbudowane w domenie konto Gościa. SID na podstawie http://pl.wikipedia.org/wiki/sid Wybór sposobu logowania się Ekran powitalny Ekran klasyczny
Wymuszanie sposobu logowania Jednorazowe przejście od ekranu powitalnego do klasycznego uzyskujemy poprzez naciśnięcie kombinacji klawiszy CRTL ALT DEL. Na stałe możemy zrobić to na kilka sposobów. Panel sterowania => Konta Użytkowników Włącz ekran klasyczny Edycja rejestru
Spósób logowania zmieniamy poprzez edycję LogonType. 1 oznacza ekran powitalny, a 0 ekran klasyczny Włącz ekran powitalny Edycja zasad grup UWAGA: Ustawienia zasad grup są nadrzędne. Nie ważne co macie w rejestrze, może być ustawiony ekran powitalny, jeśli w zasadach grup wymusimy klasyczny, to będzie klasyczny Włącz ekran klasyczny gpedit.msc => Konfiguracja komputera => Szablony administracyjne => System => Logowanie
Tworzenie kont użytkowników wraz z przypisaniem do grupy
Do zarządzania kontami najwygodniej użyć zarządzenie komputerem Aby dodać użytkownika postępuj zgodnie ze zrzutami.
Domyślnie każde utworzone w ten sposób konto należy do grupy użytkownicy, czyli jest kontem z ograniczeniami. Mimo wszystko dobrze jest pokazać w pracy egzaminacyjnej zrzut z przynależnością użytkownika do grupy. Na poniższych zrzutach pokazano jak dodać użytkownika do grupy administratorzy
Automatyczne logowanie control userpasswords2
Konto administrator w ekranie powitalnym Jest niewidoczne w ekranie powitalnym, jeśli jest utworzone dodatkowe konto z uprawnieniami administratora. Aby zalogować się na konto administrator trzeba użyć klasycznego ekranu logowania lub uruchomić komputer w trybie awaryjnym. Zabezpieczenie konta administrator Ukrycie nazwy ostatnio zalogowanego użytkownika w ekranie klasycznym secpol.msc -> opcje zabezpieczeń Generowanie bezpiecznego hasła Net user administrator /random Zmiana domyślnej nazwy konta Secpol.msc (zasady zabezpieczeń lokalnych)->zasady lokalne-> opcje zabezpieczeń Uruchamianie aplikacji z uprawnieniami administratora ze zwykłego konta
Lub korzystając z wiersza poleceń runas /user:administrator taskmgr Tworzenie bezpiecznych haseł Secpol.msc ->zasady konta -> zasady haseł Szybkie przełączanie użytkowników Działa tylko, jeśli włączony jest ekran powitalny. ctrl L albo wyloguj, przełącz Blokowanie komputera