Основу модели защиты на уровне пользователя составляют учетные записи. Чтобы дать пользователю доступ к ресурсам конкретного компьютера, выделите в списке его учетную запись и укажите, что ему разрешается делать. В Windows NT/2000 всегда используется защита на уровне пользователя — как в клиент-серверном, так и в одноранговом режиме. В одноранговой сети у каждого компьютера собственный набор учетных записей. Когда пользователь регистрируется на компьютере, его права определяются параметрами учетной записи. Воспользоваться ресурсами компьютера из сети сможет лишь человек, обладающий на нем учетной записью.
Понятно, что в одноранговом режиме модель, требующая заводить для каждого пользователя учетные записи на всех компьютерах, с которыми он работает, подходит лишь для относительно небольших сетей. Например, чтобы поменять пароль, придется обойти все компьютеры, к которым пользователь подключается. Кстати, в большинстве случаев занимается этим не администратор, а «хозяин» компьютера, потому что от администратора это потребовало бы значительных усилий.
В клиент-серверной сети управлять защитой на уровне пользователя не в пример проще, поэтому применять ее можно в сетях любых размеров. В этом случае все учетные записи создаются администратором в централизованной службе каталога, например, в Active Directory домена Windows NT/2000. Когда пользователь регистрируется на своем компьютере, его проверку в действительности осуществляет служба каталога. Компьютер посылает введенные имя пользователя и пароль контроллеру домена, где хранится информация службы каталога. Контроллер домена проверяет идентификационные данные и сообщает компьютеру, успешно или нет прошла проверка. Чтобы предоставить пользователям сети доступ к ресурсам своего компьютера, выделите их имена в списке, полученном от контроллера домена. Когда они пытаются подключиться к Вашему компьютеру, контроллер домена проводит аутентификацию и либо открывает доступ, либо отказывает в нем.
Поскольку все учетные записи хранятся в одном месте, и администратору, и пользователям работать с ними гораздо легче. Например, для смены пароля достаточно отредактировать одну запись в службе каталога, и изменение автоматически учитывается во всей сети.
Защита на уровне ресурсов
В Windows 95/98/Me собственные учетные записи не ведутся. Чтобы в этих ОС можно было применять защиту на уровне пользователя, они должны быть подключены к службе Active Directory или домену Windows NT. Список пользователей в этом случае предоставляется контроллером домена. В одноранговом режиме этим ОС доступна лишь защита на уровне ресурсов, когда пароли назначаются общим ресурсам включенных в сеть компьютеров. Чтобы получить доступ к ресурсу, пользователи должны ввести пароль. Для доступа к диску можно задать два пароля: только для чтения и для полного доступа. Пароли ресурсов хранятся на компьютерах, к которым они подключены.
Защита на уровне ресурсов не обладает гибкостью защиты на уровне пользователя и не обеспечивает ту же степень защищенности. Поскольку дЛя доступа к ресурсу используется единый пароль, его трудно сохранить в тайне. Всех пользователей ресурса нужно держать в курсе изменений пароля. Кроме того, этот способ лишен избирательности защиты, которая позволяет наделять каждого пользователя необходимым только ему уровнем полномочий. Но у защиты на уровне ресурсов есть и достоинства: следить за паролями ресурсов в состоянии даже неопытный пользователь.