Windows - Felhasználói csoportok és szerepük

A Windows 2000 Professional és szerver verzióiban is saját vagy "előregyártott" csoportokba szervezhetjük a felhasználókat. Ez utóbbiakból többet is találunk, de vajon melyik mire használható? Erre a kérdésre igyekszünk választ adni az alábbiakban. Miért jó, hogy a felhasználókat csoportokba lehet rendezni? Kényelmi és adminisztrációt gyorsító szempontokon kívül biztonsági oldalról is előnyös. Nem szükséges mindenkinek egyenként meghatározni a jogosultságait, hanem fel kell venni egy csoportba és ennek adni ki a jogokat. Ugyanakkor fordítva is igaz, ha a csoport kap jogokat, biztosítva van, hogy minden tagja ugyanazokat birtokolja, nem fordulhat elő, hogy egy esetleges elgépelés vagy mellé kattintás miatt rések keletkeznek a biztonságban.

A Windows 2000 Professional verzió csoportjai megtalálhatók a Windows 2000 Server-ben is, egy kivételével: ott nincs "Kiemelt felhasználók" ("Power Users Group").
Nyissuk meg a Vezérlőpult > Felhasználói jelszavak (Control Panel > Users and Passwords) ablakot. Az "Általános" ("General") oldalon egy listában vannak felsorolva a rendszerbe felvett ügyfelek. Kattintsunk az egyikre és utána a "Tulajdonságok" ("Properties") gombra, a megjelenő ablakban pedig a "Csoporttagság" ("Group Membership") fülre. Az "Egyéb" ("Other") rádiógomb kiválasztásával a mellette lévő legördülő menüben látható, hogy milyen csoportok vannak a rendszerben. Ezek közül kettő ("Kiemelt felhasználók" ("Power Users"), "Felhasználók" ("Users")) külön ki van emelve és egy-egy rádiógombbal ellátva a könnyebb elérhetőség végett.
Miért van ez a megkülönböztetés? Először is azért, mert ezek a leggyakrabban használt csoportok, ha felveszünk egy új tagot, nagy valószínűséggel a kettő közül valamelyikbe fogjuk helyezni. Hogy melyikbe az már az egyén szerepkörén is múlik. A "Felhasználók" ("Users") csoport kevesebb jogot birtokol ezért biztonságosabb ide tenni, de lehet, hogy itt nem tudja ellátni a feladatát (pl.: nem fog tudni bizonyos programokat futtatni). Míg a kiemelt felhasználók majdnem teljes rendszergazdai joggal vannak felruházva mindenhol. Korlátozva annyiban vannak, hogy a rendszer szoftveres és hardveres beállításait nem változtathatják meg, tehát például nem telepíthetnek Windows összetevőket vagy hardver meghajtókat. Összességében elvileg nem képesek arra, hogy tönkretegyék az operációs rendszert. Lehetnek olyan főleg régebbi alkalmazások, amelyek magasabb szintű jogokat igényelnek (pl.: Office 97), ezért futtatásukhoz kénytelenek vagyunk a kiemelt felhasználók csoportjába felvenni az egyént, de ha nem szükséges ne tegyük.

További csoportok:

"Rendszergazdák" ("Administrators"):
Professional-ben övék a felhasználók között a legmagasabb rendszer hozzáférési jog.

"Biztonsági másolat-felelősök" ("Backup Operators"):
Felhasználók, akik a "Biztonsági másolat" ("Backup") programján keresztül hozzáférhetnek a rendszerfájlokhoz is a mentés ideje alatt. Más esetben nem.

"Replikáló" ("Replicator"):
Windows NT4.0 könyvtártöbbszöröző szolgáltatásának maradványa, 2000-ben csak akkor tartalmaz tagokat, ha NT-ről frissítettünk és ott voltak felvéve felhasználók. Kompatibilitási okok miatt maradt meg.

"Vendégek" ("Guests"):
Minimális rendszerhasználati lehetőséggel bírnak, még felhasználói profillal sem rendelkeznek. Ez a fiók jelen van minden Windows 2000 rendszerben és biztosítja bárki számára az elérést jelszó nélkül. Ha nincs rá szükségünk tiltsuk le, mert sok rosszindulatú támadásnak az alapját képezi. A szerver verziókban a "Vendég" ("Guest") felhasználó alapértelmezésben le is van tiltva.

A Windows 2000 Server felhasználócsoportjai:

Itt már sokkal összetettebb a helyzet. Active Directory használatakor további csoportok jelennek meg, de mindegyiket két alapvető típusba lehet sorolni: biztonsági (security) és terjesztési (distribution).

"Terjesztési csoport" ("Distribution Group"):
Nem kap a rendszerben jogokat az erőforrások használatához, egy kivételével és ez a csoportos levélküldés, tekinthető úgy is, mint egy üzenetszórásos csoport.

"Biztonsági csoport" ("Security Group"):
Ezek hagyományos értelembe vett felhasználói csoportok. Kaphatnak hozzáférési engedélyeket a rendszerhez, megosztott erőforrásokhoz, nyomtatókhoz, stb.

A Felügyeleti eszközök > Active Directory - felhasználók és számítógépek (Administrative Tools > Active Directory Users and Computers) konzolon egy új csoport létrehozásakor lehet beállítani az alapvető típust. Kattintsunk a jobb oldali egérgombbal arra a mappára vagy szervezeti egységre, amelyen belül létre kívánjuk hozni a csoportot, ezután a felbukkanó menüben válasszuk ki az Új > Csoport (New > Group) menüpontot. Megjelenik egy ablak, ahol nevet kell adnunk neki és itt találjuk meg az előbbi típusokat is (a "Csoport típusa" ("Group Type") alatt).
Feltelepítés után két helyen keletkeznek a rendszerrel szállított csoportok: a "Builtin" és a "Users" mappákban. Az előzőben azok kaptak helyet, amelyek hatókörüket tekintve csak a tartományon belül ténykedhetnek, kívül nem. Míg a másikban nincsenek ilyen korlátozások. Kattintsunk a "Builtin" tárolóra, hogy a konzol jobb oldalán láthatóvá váljanak az objektumok. Azt, hogy felhasználói csoporttal van dolgunk és nem mással, nagyon könnyen eldönthetjük, ha megnézzük a név előtti ikont. A két emberi fejet szimbolizáló rajz minden esetben egy csoportot jelöl.

Nézzük meg sorban, hogy melyiknek mire használható:

"Biztonságimásolat-felelősök" ("Backup Operators"):
Felhasználók, akik a "Biztonsági másolat" ("Backup") programján keresztül hozzáférhetnek a rendszerfájlokhoz is a mentés ideje alatt. Más esetben nem.
Ugyanaz, mint a fent említett Professional-ben szereplő egyező nevű csoport.

"Felhasználók" ("Users"):
Korlátozott program végrehajtási jogokkal rendelkező csoport, megegyezik a Professional "Felhasználók" csoportjával.

"Fiókfelelősök" ("Account Operators"):
Annyiban különbözik egy felhasználótól, hogy számukra a rendszergazda átruházhatja a felhasználói fiókok létrehozásának és kezelésének jogkörét. Olyan kereteken belül, hogy nem engedélyezhetnek hatókörüknél magasabb szintű jogokat. Ha erre mégis szükség van, azt már a rendszergazdának kell elvégeznie.

"Kiszolgálófelelősök" ("Server Operators"):
A tartományi gépeken létrehozhatnak megosztott könyvtárakat és kioszthatják a hozzáférési jogokat.

"Nyomtatófelelősök" ("Printer Operators"):
Kezelhetik a tartományi nyomtatók beállításait, illetve hozzáférési jogaikat, de újat nem telepíthetnek.

"Rendszergazdák" ("Administrators"):
Tartományon belül teljes hozzáférésük van minden beállításhoz, erőforráshoz, objektumhoz.

"Replikáló" ("Replicator"):
Ugyanaz, mint a fent említett Professional-ben szereplő egyező nevű csoport.

"Vendégek" ("Guests"):
Minden tag azonos feltételekkel bír, mint a felhasználók, kivéve a "Vendég" ("Guest") fiókot, amelyet fent ismertettünk.

"Windows 2000 előtti rendszerekkel kompatibilis hozzáférés" ("Pre-Windows 2000 Compatible Access"):
A tartományi felhasználókat és csoportokat olvasási joggal elérheti még akkor is, ha Windows 2000 előtti rendszerekből történik ez. Ennek a csoportnak mindenki tagja.

A másik nagy tároló (Users mappa) a következő felhasználói csoportokat tartalmazza:

"Csoportházirend-létrehozó tulajdonosok" ("Group Policy Creator Owners"):
A tartományban használatos csoportházirendek létrehozását és kezelését teszi lehetővé a tagok számára.

"Sémagazdák" ("Schema Admins"):
Az Active Directory adatbázis szerkezetét - a sémát - is jogosultak módosítani.

"Vállalati rendszergazdák" ("Enterprise Admins"):
Ez a legmagasabb rendszergazdai szint. Nem csak a tartományban rendelkeznek a tagok korlátlan jogokkal, hanem többtartományos rendszerben minden tartományban.

A következő csoportok ugyanolyan szerepet töltenek be, mint a már említett hasonlónevű társaik, csak hatókörük a tartományon belül érvényes:

"Tartományfelhasználók" ("Domain Users"):
Ugyanolyan felhasználó, mint a fent említett "Felhasználók" fiók, csak a tartományon belül kapnak engedélyeket.

"Tartománygazdák" ("Domain Admins"):
A tartományi kliens gépek és a címtár felett rendelkeznek rendszergazdai jogosultságokkal.

"Tartományi vendégek" ("Domain Guests"):
A tartomány minden gépén a "Vendég" fióknak megfelelő jogosultságokkal rendelkeznek.