Windows - Új felhasználói csoportok a .NET szerverekben

A Windows XP-ben új - a Windows 2000-ben nem lévő - felhasználói csoportok jelentek meg. Mivel az XP a .NET szerverek elsődleges kliens operációs rendszere, várható volt, hogy a .NET kiszolgálókban további új csoportok is fognak szerepelni. Ez így is történt. Cikkünkben sorra vesszük az új csoportokat - szám szerint tízet - és megnézzük, milyen körülmények között használhatók.
Cikkünk írásának idején a .NET kiszolgálók fejlesztése RC2 fázisban volt, ezért a végleges verzióban lehetnek eltérések a leírtakhoz képest.
Incoming Forest Trust Builders
Csak az erdő gyökértartományában használható és alapértelmezésben nem tartalmaz tagokat. Tagjai számára lehetővé válik egyirányú kapcsolat kialakítása más erdők erőforrásainak eléréséhez. Így a másik erdőben egyértelműen és könnyen lekezelhető, hogy mely felhasználók kérései érkeznek kívülről. Viszonylag ritkák az olyan hálózatok, ahol több erdő alkotja a teljes hálózatot.
Network Configuration Operators (XP-ben is megtalálható)
Speciális adminisztrátori jogokkal felruházott felhasználókat tömörít magába. A tagoknak lehetőségük nyílik az alábbi hálózati beállításokat módosítani:
A TCP/IP protokoll beállításait, név szerint: IP címet, alhálózati maszkot, alapértelmezett átjáró címét és a DNS szerverek címeit.
A kapcsolatokat átnevezhetik, engedélyezhetik vagy tilthatják.
Tehetik mindezt a helyi és a távoli (pl.: telefonos) kapcsolat esetében. Használhatják továbbá a konfiguráció módosító hatású parancssori programokat (pl.: ipconfig renew, stb.).
A tagok átmenetet képeznek a felhasználók és a rendszergazdák között. Lehetőségük van olyan beállításokat megváltoztatni, amit egy felhasználónak nincs, de nem birtokolnak annyi jogot, mint egy rendszergazda.
Performance Log Users
A csoport tagjai jogosultak a teljesítményszámláló (performance counter) objektumok, naplók (logs) és riasztások (alerts) kezelésére a tartományvezérlőkön és a tartományban helyileg és a hálózat más gépén is. Mindezt anélkül, hogy tagjai lennének a rendszergazdák csoportjának.
Performance Monitor Users
Ez a csoport az előzővel áll szoros kapcsolatban, tagjai jogosultak a fenti objektumok által szolgáltatott adatok megtekintésére.
Remote Desktop Users (XP-ben is megtalálható)
Windows 2000-ben még "Terminálszolgáltatás" ("Terminal Service"), Windows XP-ben már "Távoli Asztal" ("Remote Desktop") néven futó szolgáltatás használatára jogosult felhasználókat magában foglaló csoport. A szolgáltatás lényege, hogy a hálózaton (helyi vagy Internet) elérhető másik gép képernyőképét áthozhatjuk saját gépünkre és úgy dolgozhatunk, mintha előtte ülnénk. Alapértelmezésben két csoport tagjai jogosultak használni a szolgáltatást: "Rendszergazdák" ("Administrators") és az "Asztal Távoli Felhasználói" ("Remote Desktop Users"). Ezzel az új csoporttal jobban kézben tartható, hogy ki, milyen jogosultsággal férhet hozzá egy rendszerhez. Az sem lenne jó megoldás, ha minden felhasználó ("Felhasználók" ("Users") csoport tagjai) számára elérhető lenne a szolgáltatás. Az meg végképp veszélyes lenne, ha mindenkit, akit jogosulttá akarunk tenni, egyben rendszergazdává is minősítenénk. Marad a köztes - biztonsági szempontból előnyös - tulajdonság az "Asztal Távoli Felhasználói" ("Remote Desktop Users") csoport használata.
Terminal Server License Servers
A terminálszolgáltatás saját licencelési móddal rendelkezik, mely különbözik a Windows licencelési szolgáltatásától. Miután egy kliens gép bejelentkezik és közli az érvényes licencét bekerül ebbe a csoportba és csak utána kap hozzáférést a terminál szerverhez.
Windows Authorization Access Group
A csoport tagjai számára engedélyezett a hitelesítési szolgáltatásokhoz való hozzáférés.
HelpServiceGroup (XP-ben is megtalálható)
A csoport tagjai rendszerdiagnosztikai céllal használhatják a segítségnyújtó alkalmazásokat (helper applications). Más hasonló célzatú felhasználói fiókokkal ("Support_xxxxxxxx", "Segítségnyújtó" ("HelpAssistant")) karöltve tagjaivá válhatnak a Microsoft Help and Support Center szolgáltatásnak és ezáltal bejelentkezhetnek a hálózaton keresztül és helyileg is olyan gépekre, melyekre egyébként nem lenne jogosultságuk.
Fent említettük a dinamikusan változó tagságú speciális csoportokat. Ezekből szintén három új található a Windows XP-ben:
  • Hálózati szolgáltatás (Network Service)
  • Helyi szolgáltatás (Local Sevice)
  • Távoli Interaktív Bejelentkezés (Remote Interactive Logon)
IIS_WPG
A csoport tagjai az Internet Information Services (IIS) szolgáltatás munkafolyamatai (WPG - Worker Process Group ~= munkafolyamat csoport). Például a www.microsoft.com névteret egyetlen munkafolyamat szolgálja ki, mely működése alatt megjelenik az IIS_WPG csoportban úgy, mint egy felhasználói fiók. Ha lezárul a munkafolyamat, automatikusan megszűnik a tagság (dinamikus csoporttagság).
TelnetClients
Alapértelmezésben a rendszergazdák (Administrators) és TelnetClients csoport tagjai jogosultak bejelentkezni a telnet kiszolgálóra. Ha valaki számára lehetővé akarjuk tenni a telnet szolgáltatás elérését, de nem akarjuk előléptetni rendszergazdává, tegyük be a TelnetClients csoportba.