هدف از این مبحث تنظیم کاربران و گروه ها در مدیریت ویندوز Seven می باشد که به صورت چندین مقاله مجزا بیان می گردد. بدون یک User Account یا حساب کاربری یک کاربر نمی تواند وارد یک کامپیوتر شود.همچنین برای مدیریت تعداد زیادی کاربر از Group Account ها استفاده می کنیم .در Windows7 چندین گزینه ی امنیتی دیگر نیز پیشنهاد می شود.
اگر کامپیوتر بخشی از یک domain باشد شما می توانید تنظیمات امنیتی را از طریق (Group Policy Object (GPO در کنسول Group Policy Management انجام دهید و اگر کامپیوتر بخشی از domain نمی باشد شما می توانید برای تنظیمات امنیتی به صورت محلی از Local Group Policy Objects استفاده کنید.
Account policies control ، تنظیمات محیطی Log On برای کامپیوتر از قبیل پسوردگذاری و محدودیت های Log On را انجام می دهد. Local policies کارهایی را که کاربران می توانند انجام دهند از قبیل auditing (بازرسی)، user rights (حقوق کاربر) و گزینه های امنیتی دیگر را مشخص می کند.
هنگامی که Windows7 را نصب می کنید، چندین User Account به صورت خودکار ساخته می شوند و همچنین می توانید Accountهای جدیدی را خودتان بسازید.یکی از ویژگی های ویندوز7، User Account Control یا (UAC) می باشد.User Account Control سطوح امنیتی اضافی را برای محدود کردن سطح دسترسی کاربران برای وظایف روزانه و نرمال تهیه می کند و در صورت نیاز می تواند به کاربران وظایف مدیریتی مشخصی اعطا کند.بصورت کلی حسابهای کاربری در ویندوز سون بر اساس دو نوع پایه از حسابهای کاربری که توسط UAC پشتیبانی می شود پایه ریزی می شوند ، این دو نوع Administrator و Standard User می باشند .
برای ساخت این نمونه از اکانت ها از مسیر زیر استفاده کنید :
این Account دسترسی نامحدودی را برای انجام وظایف مدیریتی فراهم می نماید. در نتیجه از Administrator Account باید تنها برای وظایف مدیریتی ( و نه وظایف عادی ) استفاده شود.
از این نوع Account برای انجام وظایف روزانه از قبیل اجرای برنامه ورود، دسترسی به ایمیل و غیره استفاده می شود. Standard User امنیت را با محدود کردن کاربر از انجام بسیاری از وظایف از قبیل دستکاری در سیستم افزایش می دهد.
این نوع Account ها هنگامی که ویندوز را نصب می کنید به صورت اتوماتیک ساخته می شوند.
Windows7 دو نوع از کاربران: Local User و Domain User را پشتیبانی می کند. کامپیوتری که Windows7 را اجرا می کند Local User Account ها (کاربران محلی) را در پایگاه داده خودش ذخیره می کند و Domain User Account ها (کاربران شبکه Domain) را در پایگاه داده ای به نام Active Directory که بر روی کامپیوتر Domain Control نصب می باشد ذخیره می نماید.
برای نصب و مدیریت اکانت های محلی، کاربران می توانند از Local users And Group utility یا گزینه User Accounts در control panel استفاده کنید.هر یک از این ابزارها به شما امکان ساخت، غیرفعال کردن، حذف، تغییر نام و تغییر پسورد اکانت را می دهد. برای دسترسی به Local users And Group utility می توانید از مسیر زیر استفاده کنید.
این گزینه توانایی مدیریت اکانت های کاربر توسط فرد به وجود آورنده آن (Administrator) را فراهم می نماید.برای دسترسی به این گزینه از مسیر زیر استفاده کنید.
جدول زیر گزینه های قابل پیکربندی در User Accounts را نشان می دهد :
جدول 1:
اصولا برای ساختن user روی کامپیوتر Windows7 و هر نوع اعمال مدیریتی مربوط به کاربر، شما باید از طریق یک اکانت که مجوز ساخت New user را داراست وارد شوید یا اکانت شما عضو گروه Administrator باشد.
برای ساخت یک New user شما باید از یک نام کاربری معتبر استفاده کنید. این نام کاربری از یکسری قرارداد و قوانینی تبعیت می کند. این قراردادها به صورت زیر می باشد:
* / \ [ ] : ; | = , + ? < > “ @
هنگامی که شما یک کاربر جدید (New user) می سازید، یک شناسه امنیتی (security identifier) یا (SID) برای اکانت کاربر روی کامپیوتر ساخته می شود. برای مثال SID یک کاربر ممکن است به شکل زیر باشد:
S-1-5-21-823518204-746137067-120266-629-500
(SID) ها چندین مزیت دارند. زیرا Windows7 از (SID) برای اشیاء کاربر (user object) استفاده می کند و شما می توانید نام کابری را به آسانی تغییر دهید. همچنین اگر شما یک اکانت را حذف نمایید و سپس بخواهید یک اکانت جدید با همان نام را ایجاد نمایید، کامپیوتر مطمئن می شود که این اکانت همان اکانت قدیمی نیست، زیرا (SID) این اکانت فرق می کند.هنگامی که شما یک کاربر جدید را می سازید، گزینه های مختلفی برای پیکربندی وجود دارد که هر یک از این گزینه ها با توضیح مربوطه در جدول زیر آمده است.
جدول 2:
اگر بر روی هر یک از اکانت های موجود در پوشه Users کلیک راست نمایید، گزینه هایی مانند شکل زیر ظاهر می شود که کاربرد هر یک از آن ها به ترتیب زیر می باشد:
برای کنترل بیشتر روی اکانت کاربر، شما می توانید User properties را پیکر بندی نمایید.از طریق برگه ی General پنجره ی User’s properties شما می توانید نام اکانت، ویژگی های پسورد اکانت و یا وضعیت اکانت را تغییر دهید.
از طریق برگه ی member of پنجره ی User’s properties شما می توانید تعیین کنید که اکانت کاربر عضو چه گروه هایی باشد. برای اضافه کردن کاربر به گروه مورد نظر از دکمه Add استفاده کنید.
از طریق برگه ی Profile پنجره ی User’s properties شما می توانید محیط اکانت کاربر را سفارشی نمایید.
گروه ها بخش مهمی از مدیریت شبکه هستند.اکثر مدیران شبکه بخش زیادی از وظایف مدیریتی شبکه را از طریق گروه ها انجام می دهند. آنها به ندرت مجوزها را به صورت انفرادی به کاربران اختصاص می دهند. ویندوز7 شامل تعدادی گروه توکار است.این گروه ها مجوزهای لازم برای کارهای مشخصی را دارا می باشند.
همچنین ویندوز7 دارای گروه های پیش فرض خاصی است که به وسیله آنها اعمال مدیریتی سیستم را انجام می دهد. کاربران بر اساس نیازهای دسترسی به منابع شبکه و یا کامپیوتر عضو گروه های خاصی می شوند.شما می توانید در ساخت و مدیریت گروه های محلی از واسط Local Users And Groups utility، استفاده نمایید.شما از این طریق امکان اضافه کردن گروه، تغییر اعضاء گروه ، تغییرنام و حذف گروه را دارا می باشید.
در ویندوز7 گروه های محلی پیش فرضی وجود دارند که همه مجوزهای لازم برای کارهای مدیریتی پایه را دارا می باشند. این گروه ها هم شامل مدیریت سیستم و هم شامل مدیریت کاربر می باشند. این گروه ها در این مبحث مورد بررسی قرار می گیرند.
یک گروه محلی ، گروهی است که در پایگاه داده اکانت کامپیوتر محلی ذخیره می شود.اینها گروه هایی هستند که شما می توانید کاربران را به آن اضافه نمایید و به وسیله آنها کامپیوتر ویندوز7 را مدیریت نمایید.گروه های محلی که به طور پیش فرض در کامپیوتر ویندوز7 ساخته می شوند به قرار زیر می باشند :
1- The Administrators Group : این گروه مجوزها و امتیازات کاملی را دارا می باشد. اعضای این گروه می توانند به خودشان هر نوع مجوزی را که برای مدیریت اشیاء و منابع روی کامپیوتر لازم است را اختصاص دهند ( اشیاء شامل فایل های سیستمی ، چاپگرها و مدیریت اکانت ها می باشد ) نکته مهم این است که بر خلاف ویندوز XP به طور پیش فرض اکانت Administrator غیرفعال می باشد و اولین اکانت کاربر عضو گروه محلی Administrators می باشد. برای اختصاص کاربر در گروه Administrators باید احتیاط شود چون که اعضای این گروه کلیه مجوزهای مدیریتی را درا می باشند. اعضای Administrators group وظایف زیر را می توانند انجام دهند:
The Backup Operators Group-2 : اعضای این گروه اجازه تهیه ی پشتیبان و بازیابی فایل های سیستمی را دارند، حتی اگر فایل های سیستمی NTFS بوده و به آن ها اجازه ی دسترسی به فایل های سیستمی واگذار نشده باشد. با این وجود، اعضای Backup Operators تنها از طریق برنامه کمکی پشتیبان (Backup utility) می توانند به فایل های سیستمی دسترسی پیدا کنند. برای دسترسی مستقیم به فایل های سیستمی ، Backup Operators باید اجازه آشکار داشته باشند. برای گرو محلی Backup Operators عضو پیش فرضی وجود ندارد.
The Cryptographic Operators Group-3 : این گروه اجازه دسترسی به انجام عملیات پنهانی بر روی کامپیوتر را داراست. برای گروه محلی Cryptographic Operators عضو پیش فرضی وجود ندارد.
The Distributed COM Users Group-4 : این گروه توانایی فعال سازی و اجرای اشیای Distributed COM را بر روی کامپیوتر دارد. برای این گروه عضو پیش فرضی وجود ندارد.
The Event Log Readers Group-5 : این گروه اجازه دسترسی برای خواندن وقایع روزانه را بر روی کامپیوتر محلی دارد. برای گروه محلی Event Log Readers عضو پیش فرضی وجود ندارد.
The Guests Group-6 : گروه Guests دسترسی محدودی به کامپیوتر دارد. هدف از تهیه این گروه این است که شما به افرادی که کاربران عادی نیستند، اجازه دسترسی به منابع خاصی از شبکه را بدهید. به عنوان یک قانون کلی، بیش تر مدیران به کاربران به صورت Guest اجازه دسترسی نمی دهند زیرا این گروه یک خطر امیتی باالقوه را به وجود می آورد. به طور پیش فرض، حساب کاربری Guest عضوی از گروه محلی Guests می باشد.
The IIS_IUSRS Group-7 : سرویس های اطلاعاتی اینترنت (IIS) از گروه IIS-IUSRS استفاده می کنند. به طور پیش فرض، حساب کاربریNT AUTHORITY\IUSR عضوی از گروه IIS-IUSRS می باشد.
The Network Configuration Operators Group-8 : اعضای این گروه بعضی از حقوق اجرایی را برای مدیریت پیکر بندی شبکه کامپیوتری دارا می باشند. برای مثال، ویرایش تنظیمات TCP/IP کامپیوتر.
The Performance Log Users Group-9 : این گروه توانایی دسترسی و زمانبندی شمارنده های ثبت کارایی را دارد . همچنین می تواند شمارنده های ردیابی را بر روی کامپیوتر بسازد و اداره کند.
10-The Performance Monitor Users Group : این گروه توانایی دسترسی و نمایش اطلاعات شمارنده ی کارایی سیستم را بر روی کامپیوتر دارد. کاربرانی که عضو این گروه هستند می توانند به شمارنده های اجرایی هم به صورت محلی و هم از راه دور دسترسی پیدا کنند.
11-The Power Users Group: این گروه برای سازگاری به عقب یا Backward Compatibility در Windows 7 قرار داده شده است. هدف از قرار دادن گروه Power Users این است که مطمئن شویم کامپیوترها ازعملکرد Windows XP نسبت به پوشه هایی که اجازه دسترسی به اعضای گروه را دارند ارتقا یافته اند. به بیان دیگر این گروه حقوق مدیرتی محدودی دارد.
12-The Remote Desktop Users Group : این گروه به اعضای گروه اجازه ی log on شدن از راه دور به منظور استفاده از سرویس Remote Desktop را می دهد.
13-The Replicator Group : این گروه برای پشتیبانی از directory replication (یک ویژگی است که سرورهای Domain از آن استفاده می کنند) طراحی شده است. تنها کابرانی از Domain که سرویس replication را آغاز می کنند باید به این گروه تخصیص داده شوند. گروه محلی Replicator عضو پیش فرضی ندارد.
14-The Users Group: این گروه برای کاربران عادی که باید دسترسی سیستمی بسیار محدودی داشته باشند، طراحی شده است. اگر شما نسخه ی تازه ای از Windows7 را نصب کرده اید، تنظیمات پیش فرض برای گروه Users اعضایش را از سازش با سیستم های اجرایی و فایل های برنامه ای منع می کند. به طور پیش فرض، همه ی حساب های کاربری که بر روی کامپیوتر ایجاد شده اند (به جز Guest) اعضایی از گروه محلی Users می باشند.ویندوز7 همچنین از گروه های ویژه استفاده می کند.در قسمت زیر شما با نحوه کار آن ها آشنا می شوید.
گروه های ویژه توسط سیستم یا مدیران استفاده می شوند.اعضاء این گروه ها به صورت خودکار دارای ضوابط و معیارهای معینی هستند. شما نمی توانید گروه های ویژه (special groups) را از طریق Local Users And Groups utility مدیریت کنید اما یک مدیر می تواند این گروه های ویژه را برای منابع شبکه یا کامپیوتر بکار ببرد.در اینجا تعدادی از این گروهای ویژه که بصورت توکار در ویندوز7 وجود دارند ، توضیح داده می شوند :
برای کار با گروه ها شما می توانید از Local Users And Groups utility استفاده کنید . برای ساخت یک گروه شما باید عضو گروه Administrators باشید. گروه Administrators کلیه ی مجوزهای لازم برای مدیریت کاربران و گروه ها را دارا می باشد. همان طور که نام کاربری را انتخاب می کنید(نام گذاری اکانت)، همان قراردادها را برای نام گذاری گروه رعایت نمایید. هنگامی که یک گروه محلی را می سازید، موارد زیر را رعایت نمایید:
ساختن گروه ها شبیه به ساختن کاربران است و دارای فرآیند آسانی می باشد. بعد از وارد شدن به Local Users And Groups از طریق Computer Management پوشه ی Users and Groups را باز نمایید و سپس بر روی پوشه ی Groups کلیک راست کرده و گزینه New Group را انتخاب نمایید. در این هنگام پنجره ای مانند شکل زیر ظاهر می شود. با پر کردن موارد خواسته شده و کلیک بر روی دکمه Create، گروه جدید ساخته می شود :
بعد از اینکه گروه ها ساخته شدند شما می توانید گروه ها و اعضاء آن ها را مدیریت نمایید.
بعد از ساخت یک گروه شما عضوهایی را به آن اضافه نمایید. شما می توانید یک user را در چندین گروه قرار دهید . همچنین شما می توانید از طریق Properties dialog box به آسانی کاربران(user) را از گروه اضافه و حذف نمایید.با double – click بر روی گروه مورد نظر ، پنجره Properties dialog box ظاهر می شود . هنگامی که بر روی دکمه Add برای اضافه کردن اعضا جدید کلیک کنید ، پنجره Select Users dialog box ظاهر می شود. در Select Users dialog box شما می توانید کاربران جدیدی را که می خواهید به گروه اضافه نمایید: