Защита на уровне пользователя

Основу модели защиты на уровне пользователя составляют учетные записи. Чтобы дать пользователю доступ к ресурсам конкретного компьютера, выделите в списке его учетную запись и укажите, что ему разрешается делать. В Windows NT/2000 всегда использу­ется защита на уровне пользователя — как в клиент-серверном, так и в одноранговом режиме. В одноранговой сети у каждого компьютера собственный набор учетных записей. Когда пользователь регистри­руется на компьютере, его права определяются параметрами учетной записи. Воспользоваться ресурсами компьютера из сети сможет лишь человек, обладающий на нем учетной записью.

Понятно, что в одноранговом режиме модель, требующая заводить для каждого пользователя учетные записи на всех компьютерах, с которыми он работает, подходит лишь для относительно небольших сетей. Например, чтобы поменять пароль, придется обойти все ком­пьютеры, к которым пользователь подключается. Кстати, в большин­стве случаев занимается этим не администратор, а «хозяин» компьютера, потому что от администратора это потребовало бы значитель­ных усилий.

В клиент-серверной сети управлять защитой на уровне пользователя не в пример проще, поэтому применять ее можно в сетях любых размеров. В этом случае все учетные записи создаются администратором в централизованной службе каталога, например, в Active Directory домена Windows NT/2000. Когда пользователь регистрируется на своем компьютере, его проверку в действительности осуществляет служба каталога. Компьютер посылает введенные имя пользователя и пароль контроллеру домена, где хранится информация службы каталога. Контроллер домена проверяет идентификационные данные и сообщает компьютеру, успешно или нет прошла проверка. Чтобы предоставить пользователям сети доступ к ресурсам своего компью­тера, выделите их имена в списке, полученном от контроллера домена. Когда они пытаются подключиться к Вашему компьютеру, кон­троллер домена проводит аутентификацию и либо открывает доступ, либо отказывает в нем.

Поскольку все учетные записи хранятся в одном месте, и админи­стратору, и пользователям работать с ними гораздо легче. Например, для смены пароля достаточно отредактировать одну запись в службе каталога, и изменение автоматически учитывается во всей сети.

Защита на уровне ресурсов

В Windows 95/98/Me собственные учетные записи не ведутся. Чтобы в этих ОС можно было применять защиту на уровне пользователя, они должны быть подключены к службе Active Directory или домену Windows NT. Список пользователей в этом случае предоставляется контроллером домена. В одноранговом режиме этим ОС доступна лишь защита на уровне ресурсов, когда пароли назначаются общим ресурсам включенных в сеть компьютеров. Чтобы получить доступ к ресурсу, пользователи должны ввести пароль. Для доступа к диску можно задать два пароля: только для чтения и для полного доступа. Пароли ресурсов хранятся на компьютерах, к которым они подключены.

Защита на уровне ресурсов не обладает гибкостью защиты на уровне пользователя и не обеспечивает ту же степень защищенности. Поскольку дЛя доступа к ресурсу используется единый пароль, его трудно сохранить в тайне. Всех пользователей ресурса нужно держать в курсе изменений пароля. Кроме того, этот способ лишен избирательности защиты, которая позволяет наделять каждого пользователя не­обходимым только ему уровнем полномочий. Но у защиты на уровне ресурсов есть и достоинства: следить за паролями ресурсов в состоянии даже неопытный пользователь.