Windows - A Windows XP új felhasználói csoportjai

A Windows 2000 termékcsalád számos újdonságot hozott a felhasználók és a különböző csoportok terén. Megjelentek addig ismeretlen rendeltetésű csoportok, állandó és automatikusan változó tagsággal, ettől kezdve nem lehetett sem hálózaton keresztül, sem helyileg, sem programból kikerülni a hitelesítési eljárásokat. A bejelentkezett tagok azonnal besorolást nyertek valamelyik biztonsági csoportba (még névtelen bejelentkezéskor is). A Windows XP és a Windows 2000 között már nincs ekkora szakadék, de nem lenne új az operációs rendszer, ha nem lenne változtatás. Cikkünkben megvizsgáljuk az újdonságokat, beleértve az új csoportok szerepkörének ismertetését.
Az újdonságok felfedezéséhez ismerni kell a Windows 2000 felhasználói csoportjait. Részletes leírást alább hivatkozott cikkben már közöltünk, most csak felsorolás jelleggel nézzük meg, mely helyi csoportok állnak rendelkezésünkre:
  • "Biztonságimásolat-felelősök" ("Backup Operators")
  • "Felhasználók" ("Users")
  • "Kiemelt felhasználók" ("Power Users")
  • "Rendszergazdák" ("Administrators")
  • "Replikáló" ("Replicator")
  • "Vendégek" ("Guests")
Tehát ezek helyi (nem tartományi) logikai csoportok, melyekhez felhasználók rendelhetők. Léteznek még más speciális rendeltetésűek, dinamikusan változó tagsággal. Mit jelent a dinamikusan változó tagság? Például a "Telefonos" ("Dial-up") jellemzője, hogy a telefonos hálózaton keresztül bejelentkezett felhasználók automatikusan tagjává válnak. Ha kijelentkeznek és bontják a vonalat, automatikusan törlődnek. Így meghatározhatjuk, hogy a telefonon keresztül bejelentkezett egyének mely objektumhoz férhetnek hozzá. Ezáltal egyszerűsödik az adminisztráció és a hozzáférési jogok kiosztása. A Windows XP megőrizte az összes Windows 2000-ben bevezetett csoportot és mellettük megjelent három új is:
  • "Asztal Távoli Felhasználói" ("Remote Desktop Users")
  • "Hálózatbeállítási felelősök" ("Network Configuration Operators")
  • "HelpServiceGroup" ("HelpServiceGroup")
"Asztal Távoli Felhasználói" ("Remote Desktop Users")
Windows 2000-ben még "Terminálszolgáltatás" ("Terminal Service"), Windows XP-ben már "Távoli Asztal" ("Remote Desktop") néven futó szolgáltatás használatára jogosult felhasználókat magában foglaló csoport. A szolgáltatás lényege, hogy a hálózaton (helyi vagy Internet) elérhető másik gép képernyőképét áthozhatjuk saját gépünkre és úgy dolgozhatunk, mint ha előtte ülnénk. Alapértelmezésben két csoport tagjai jogosultak használni a szolgáltatást: "Rendszergazdák" ("Administrators") és az "Asztal Távoli Felhasználói" ("Remote Desktop Users"). Ezzel az új csoporttal jobban kézben tartható, hogy ki, milyen jogosultsággal férhet hozzá egy rendszerhez. Az sem lenne jó megoldás, ha minden felhasználó ("Felhasználók" ("Users") csoport tagjai) számára elérhető lenne a szolgáltatás. Az meg végképp veszélyes lenne, ha mindenkit, akit jogosulttá akarunk tenni, egyben rendszergazdává is minősítenénk. Marad a köztes - biztonsági szempontból előnyös - tulajdonság az "Asztal Távoli Felhasználói" ("Remote Desktop Users") csoport használata.
"Hálózatbeállítási felelősök" ("Network Configuration Operators")
Speciális adminisztrátori jogokkal felruházott felhasználókat tömörít magába. A tagoknak lehetőségük nyílik az alábbi hálózati beállításokat módosítani:
A TCP/IP protokoll beállításait, név szerint: IP címet, alhálózati maszkot, alapértelmezett átjáró címét és a DNS szerverek címeit.
A kapcsolatokat átnevezhetik, engedélyezhetik vagy tilthatják.
Tehetik mindezt a helyi és a távoli (pl.: telefonos) kapcsolat esetében. Használhatják továbbá a konfiguráció módosító hatású parancssori programokat (pl.: ipconfig renew, stb.).
A tagok átmenetet képeznek a felhasználók és a rendszergazdák között. Lehetőségük van olyan beállításokat megváltoztatni, amit egy felhasználónak nincs, de nem birtokolnak annyi jogot, mint egy rendszergazda.
HelpServiceGroup (HelpServiceGroup)
A csoport tagja rendszerdiagnosztikai céllal használhatják a segítségnyújtó alkalmazásokat (helper applications). Más hasonló célzatú felhasználói fiókokkal ("Support_xxxxxxxx", "Segítségnyújtó" ("HelpAssistant")) karöltve tagjaivá válhatnak a Microsoft Help and Support Center szolgáltatásnak és ezáltal bejelentkezhetnek a hálózaton keresztül és helyileg is olyan gépekre, melyekre egyébként nem lenne jogosultságuk.
Fent említettük a dinamikusan változó tagságú speciális csoportokat. Ezekből szintén három új található a Windows XP-ben:
  • Hálózati szolgáltatás (Network Service)
  • Helyi szolgáltatás (Local Sevice)
  • Távoli Interaktív Bejelentkezés (Remote Interactive Logon)
Hálózati szolgáltatás (Network Service)
Olyan szolgáltatások (services), melyek csak az alapvető működésükhöz (indítás, leállítás) szükséges jogokat igénylik és kapják meg attól a géptől, ahol futnak. Jogosultak viszont hálózaton keresztül más gépekre bejelentkezni és az ottani erőforrásokat igénybe venni. A "Rendszer" ("System") fiókkal érik el a távoli gépet. Amennyiben helyi erőforrásokra is igényt tartanak, csak olyan szinten tehetik meg, mint egy átlagos felhasználó és nem használhatják a "Rendszer" ("System") fiók számára egyébként fennálló lehetőségeket.
Helyi szolgáltatás (Local Sevice)
Szolgáltatásokat tartalmazó csoport. A helyi erőforrásokat a "Rendszer" ("System") fiókkal érik el, szintén egy átlagos felhasználó lehetőségeivel. Nem használhatják a hitelesítési eljárásokat, egy távoli gép erőforrásainak igénybevételét névtelen (anonymous) felhasználóként tehetik meg - amennyiben fennáll ez az eshetőség.
Távoli Interaktív Bejelentkezés (Remote Interactive Logon)
Minden felhasználó automatikusan tagja lesz, aki a "Távoli Asztal" ("Remote Desktop") szolgáltatáson keresztül jelentkezik be az adott gépre. Kijelentkezéskor automatikusan törlődik a csoportból.
Csoportok alakulása tartományi hálózat esetén
Az eddig leírtak tartomány nélküli hálózaton érvényesek. Ha egy Windows XP munkaállomást Active Directory tartományhoz csatlakoztatunk, elérhetővé válnak a címtár által szolgáltatott csoportok. Itt nincs különbség a Windows 2000-hez képest, mert nem a kliens, hanem a tartományvezérlő generálja a csoportokat. Azt viszont fontos megemlíteni, hogy a "Kiemelt felhasználók" ("Power Users") és a "HelpServiceGroup" csoportok nincsenek értelmezve - ennek megfelelően nem is használhatók - az Active Directory-ban.