Windows Vista. Для профессионалов - Роман Клименко

С помощью программы Migration Table можно указать изменение следующих данных: SID групп и учетных записей пользователей, имена компьютеров, а также пути UNC. Эти данные могут встречаться как непосредственно в групповых политиках, так и в ACL для групповых политик или дополнительных файлов.

После работы Migration Table создается текстовый файл в формате XML с расширением MIGTABLE. Конечно, вы можете редактировать или даже самостоятельно создавать данный файл, не используя программы Migration Table, однако с ее помощью создание файла миграции существенно облегчается.

Для запуска программы Migration Table лучше всего воспользоваться оснасткой Управление групповой политикой. Для этого достаточно в контекстном меню домена или объекта групповой политики выбрать команду Открыть редактор таблиц миграции, после чего отобразится окно программы.

Чтобы просмотреть дополнительную информацию о данной программе, достаточно воспользоваться меню Справка для вывода справки по работе с ней.

• Group Policy Update Utility v6.0. Расположение: %systemroot%system32 Gpupdate.exe.

Эта программа командной строки также присутствовала в предыдущих версиях операционной системы Windows, поэтому мы не будем рассматривать ее подробно. С ее помощью можно выполнить немедленное обновление групповых политик компьютера на основе локальных и групповых политик домена. Для этого достаточно воспользоваться данной программой без параметров. При обновлении можно также указать следующие основные параметры.

– /target: – может принимать значения computer и user. Определяет тип политик, которые будут обновлены (по умолчанию обновляются оба типа политик).

– /Logoff – при завершении обновления политики выйти из системы.

– /boot – при завершении обновления политики перезагрузить компьютер.

– /sync – новый параметр данной программы, который может использоваться вместе с предыдущими параметрами. Его использование приводит к синхронному применению групповых политик.

Настройка групповых политик

Как ни странно звучит название этого подраздела книги, но операционная система Windows Vista содержит специальные групповые политики для настройки работы механизма групповых политик и RSoP (о RSoP будет рассказано при описании оснастки Результирующая политика). Все они расположены в подразделе Административные шаблоны → Система → Групповая политика разделов Конфигурация компьютера и Конфигурация пользователя. Они описаны в файле GroupPolicy.admx.

Локальные пользователи и группы

CLSID-номер оснастки: {5D617 9C8-17EC-11D1-9AA9-00C04FD8FE93}.

Библиотека: localsec.dll.

Используется в стандартных консолях: compmgmt.msc, lusrmgr.msc.

Работа с данной оснасткой, как и ее интерфейс, также совершенно не изменились. При добавлении оснастки вы можете выбрать компьютер, информацию которого она должна отображать. После этого оснастка будет добавлена.

С помощью оснастки Локальные пользователи и группы вы можете добавлять, удалять или редактировать содержимое групп пользователей или параметры определенных учетных записей пользователей. Например, можно изменить группу, к которой принадлежит определенная учетная запись пользователя, описание, пароль к учетной записи, путь к профилю учетной записи пользователя, указать, может ли пользователь самостоятельно изменять пароль. А можно вообще отключить определенную учетную запись пользователя....

Примечание

Параметры учетных записей компьютера можно просмотреть с помощью экземпляров класса Win32_UserAccount, принадлежащего пространству имен \rootcimv2. Например, данный класс поддерживает следующие свойства: AccountType (определяет свойства учетной записи), Disabled (указывает, отключена ли данная учетная запись), Domain (ключевое свойство, определяющее домен, в котором зарегистрирована учетная запись), LocalAccount (указывает, является ли данная учетная запись локальной), Lockout (определяет, заблокирована ли данная учетная запись), Name (ключевое свойство, определяющее название учетной записи), PasswordChangeable (указывает, можно ли изменить пароль для данной учетной записи), PasswordExpires (определяет, имеет ли пароль для данной учетной записи срок действия), PasswordRe-quired (указывает, установлен ли пароль для данной учетной записи), SID (определяет SID учетной записи).

Группы пользователей

По умолчанию в Windows Vista созданы следующие группы пользователей.

• IIS_IUSRS – пользователи данной группы могут работать с веб-сервером IIS локального компьютера. По умолчанию в данную группу входит пользователь NT AUTHORITYIUSR.

• Администраторы – пользователям данной группы предоставлены максимальные привилегии на локальном компьютере. По умолчанию в данную группу входит пользователь Администратор, а также первый пользователь, которого вы создавали при инсталляции операционной системы.

• Гости – пользователи данной группы обладают минимальными правами в операционной системе. По умолчанию в данную группу входит пользователь Гость.

• Криптографические операторы – пользователи этой группы могут выполнять шифрование и расшифровку данных. В остальном их права соответствуют правам участников группы Пользователи.

• Операторы архива – пользователи данной группы могут выполнять архивирование и восстановление системы с помощью стандартного мастера Windows. В остальном их права соответствуют правам пользователей группы Пользователи.

• Операторы настройки сети – пользователям этой группы разрешено выполнять настройку сетевых интерфейсов локального компьютера. В остальном их права соответствуют правам пользователей группы Пользователи.

• Опытные пользователи – им разрешено создавать других пользователей и другие группы (но не обладающих никакими административными правами), разрешен доступ к каталогу %programfUes% и многим дополнительным ветвям реестра , а также разрешено запускать или останавливать службы. В остальном их права соответствуют правам участников группы Пользователи.

• Пользователи – обладают основными правами по работе в системе, но не обладают никакими административными правами. По умолчанию в данную группу входят пользователи NT AUTHORITYAuthenticated Users и NT AUTHORITYINTERACTIVE.

• Пользователи DCOM – пользователи данной группы могут выполнять любые операции с DCOM-объектами, зарегистрированными на локальном компьютере. В остальном их права соответствуют правам участников группы Пользователи.

• Пользователи журналов производительности – пользователям данной группы разрешено пользоваться журналами производительности локального компьютера. В остальном их права соответствуют правам участников группы Пользователи.

• Пользователи системного монитора – пользователям этой группы разрешено удаленно просматривать журналы производительности локального компьютера. В остальном их права соответствуют правам участников группы Пользователи.

• Пользователи удаленного рабочего стола – пользователям данной группы разрешен доступ к удаленному Рабочему столу операционной системы.

• Репликатор – пользователь данной группы может зарегистрироваться в службе репликации контроллера домена.

• Читатели журнала событий – пользователи этой группы обладают правом чтения стандартных журналов операционной системы.

Хранение сведений в реестре

Сведения о пользователях и группах, зарегистрированных в операционной системе Windows Vista, содержатся в базе данных SAM. Она проецируется на две ветви реестра: HKEY_LOCAL_MACHINESAMHHKEY_LOCAL_MACHINESECURITY. По умолчанию администратор не может получить доступ к ветви HKEY_LOCAL_MACHINE SECURITY, однако если вы отредактируете права доступа к данной ветви, то сможете просмотреть ее содержимое. Хотя это даст не многое: как ветвь реестра HKEY_LOCAL_MACHINESECURITY, так И HKEY_LOCAL_MACHINESAM хранит данные в зашифрованном виде.

Список всех стандартных групп пользователей содержится в ветви системного реестра HKEY_LOCAL_MACHINESAMSAMDomainsBuiItinAliasesNames (в виде подразделов данной ветви). В данной ветви хранятся только названия групп, остальные же сведения о них хранятся в параметре REG BINARY-типа С ветви HKEY_L0CAL_MACHINESAMSAMDomainsBuiltinAliases<номер группы>. Например, в данном параметре находится описание группы.

Если же вы создаете свою группу, то сведения о ней заносятся в параметр типа REG_BINARY С ветви системного реестра HKEY_LOCAL_MACHINESAMSAM DomainsAccountAliases<номер группы>, а ее название заносится как дочерний подраздел в ветвь реестра HKEY_LOCAL_MACHINESAMSAMDomains AccountAliasesNames.

Названия всех учетных записей пользователей хранятся как дочерние подразделы ветви реестра HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers Names. Остальная же информация об учетных записях пользователей находится в параметрах REG_BINARY-типа ветви реестра HKEY_LOCAL_MACHINESAM SAMDomainsAccountUsers<номер пользователях Например, параметр V хранит сведения о полном имени учетной записи и ее описании. Параметр UserPasswordHint содержит подсказку пользователя (при вводе пароля во время создания учетной записи пользователя можно было ввести подсказку, которая будет отображаться, если вы ввели пароль неправильно). А в параметре UserTile хранится путь к изображению, которое ассоциируется с учетной записью пользователя и отображается в меню Пуск.