Администраторските акаунти – потенциална заплаха?

Създаването на отделен профил за всеки потребител в Windows XP е лесно, удобно и освен това осигурява по-високо ниво на защита от нежелани интрузии. В настоящия материал ще ви покажа как става това и защо е по-разумно да го направите, вместо да работите с един общ администраторски акаунт.

За съжаление е много трудно всеки член от семейството да разполага със свой собствен персонален компютър (или лаптоп), най-вече от финансова гледна точка. Именно тогава е най-удачно да създадете няколко акаунта – за всеки от потребителите, споделящи един общ компютър, защото сами можете да се досетите каква неразбория ще настъпи, ако всички те споделят своите директории за личните си документи, електронна кореспонденция, програми, работни полета т.н.

Всичко това може да се избегне с помощта на опцията User Accounts, налична в Windows NT/2k/XP. Създавайки собствен профил за всеки от потребителите, ще бъдете в състояние бързо и лесно да сепарирате документите, програмите и настройките за всеки от тях, така че те да се чувстват като у дома си винаги когато работят с компютъра, без обаче да натрапват на останалите потребители на същото PC препратки към своите програми, документи и т.н.

С други думи, усилията, които са необходими, за да персонализирате своята ОС в съответствие с индивидуалните предпочитания на всеки от потребителите, са минимални, като в същото време ползите и облагите, получени в замяна, съвсем не са за пренебрегване.

Принципът на работа с отделните акаунти в NT/2K/XP е съвсем прост: на всеки от ползващите компютъра се осигурява уникално потребителско име и евентуално парола за достъп до неговия профил в Windows ОС. Хубавото е, че при този начин на всеки от тях се осигурява лично пространство за документи и приложения, както и собствен работен плот. По този начин примерно даден любител на компютърните игри би могъл буквално да задръсти своя собствен работен плот с препратки към любимите си игрови заглавия, без това да пречи на останалите, ползващи същата машина. Това, разбира се, е само един тривиален пример, с който целя да илюстрирам нагледно някои от удобствата, осигурявани от създаването на отделни потребителски акаунти.

Освен това всеки от потребителите ще е в състояние да настрои и външния вид на системата си според своите предпочитания. Да речем, аз харесвам Classic изгледа на операционната система и работя на сравнително висока резолюция, докато съквартирантката ми, която има леко късогледство, предпочита по-ниска екранна резолюция и ползва модерния (Modern) изглед на XP, с леко уголемени шрифтове (110 %) и включен ClearType + AntiAliasing, за да разчита буквите по-лесно.

Въпреки че задаването на парола за всеки от потребителските акаунти е опционално, ако желаете да запазите своите документи и файлове далеч от погледа на останалите, е редно да защитите с парола за достъп конкретния профил.

Едно от най-важните неща при създаването на персонален акаунт за достъп за всеки, ползващ машината, е възможността за дефиниране на неговите привилегии. Те могат да бъдат пълни (Computer administrator) или ограничени (Limited). Принципно при създаването на нов акаунт в Windows, по подразбиране той е с пълни (администраторски) привилегии. Имайте предвид, че всеки от потребителите с такива права разполага с пълен достъп до персоналните папки и документи на останалите потребители, както и до ключовите системни директории и файлове. Освен това всеки администратор е в състояние да променя, създава и изтрива останалите потребителски акаунти, да модифицира техния статут от ограничен на пълен и обратно, както и да контролира настройките на операционната система на глобално ниво.

С други думи, всеки потребител с администраторски права разполага с пълен контрол върху операционната система и нейните компоненти. Имайте това предвид, преди да осигурите пълни привилегии за достъп на всеки от потребителите, особено ако някой от тях е по-неопитен.

Примерно ако даден (неопитен) потребител, който обаче разполага с администраторски привилегии, отвори прикачен файл, съдържащ вирус или троянски кон, да речем, потенциалната вреда върху системата би била много по-голяма, отколкото ако той разполага единствено с ограничени привилегии, защото рестрикциите върху акаунта му ще попречат на зловредния код да манипулира основните системни услуги и файлове.

В следващите редове ще ви покажа точно какво трябва да направите, за да създадете отделен профил за всеки от ползващите машината ви, както и да определите с каква част от наличното дисково пространство (quota) ще може да разполага всеки от тях.


Създаване на ограничени акаунти

По време на ежедневната работа с любимите ви приложения едва ли ще се нуждаете от администраторски привилегии, освен в ситуациите, когато инсталирате нов софтуер. Може би знаете, че при MacOSX, например, всеки от потребителите по подразбиране е с ограничени права и само когато се налага да бъде качен нов продукт, се изисква въвеждането на администраторската (root) парола. Също така в света на *nix-базираните ОС фундаменталното правило да не се употребява администраторският акаунт root при ежедневната работа с ОС също е в сила. В този ред на мисли, фактът, че при Windows ОС новосъздадените профили по подразбиране разполагат с пълни администраторски привилегии, е, меко казано, странен!

Според мен е най-разумно да оставите само един активен администраторски акаунт, а на останалите потребители да осигурите единствено ограничени привилегии, което е и един вид застраховка срещу потенциални интрузии занапред.

Това може да бъде направено, без да се налага да създавате всеки от акаунтите наново, в случай че те вече са налице. За да промените правата на съществуващ вече потребител, направете следното: отворете профила чиито права желаете да промените, като изберете Change an account от списъка Pick a task вляво, след което изберете опцията Change the account type и Computer administrator за пълни права или съответно Limited за ограничени такива.

Ако пък искате да създадете нов профил, отворете Control Panel, изберете User accounts, след което Create a new account в полето Pick a task. Въведете новото потребителско име и натиснете бутона Next, след което задайте ограничени или пълни привилегии за него и създайте акаунта с бутона Create Account.

Препоръчително е и да активирате опцията за ускорено превключване между отделните потребителски акаунти, като за целта от Accounts полето, намиращо се в Control Panel, изберете Change the way users log on or off, след което маркирайте отметката User Fast User Switching и потвърдете с Apply.

Резервиране на дисково пространство за всеки потребител

За да определите какъв обем от наличното свободно дисково пространство да бъде заделен за даден потребител, направете следното:

отворете My Computer и с десен клик върху желания дисков дял изберете Properties, след което в полето Quota маркирайте отметката Enable Quota Management. След това изберете опцията Limit disk space и въведете лимита, като той става валиден за всички потребители. Предвидена е и възможност за дефиниране на т.нар. warning level, така че потребителите да получават предупреждение, когато техният лимит от дисково пространство е на път да бъде изчерпан.

От полето Quota Entries пък ще можете да резервирате различен обем от желания дисков дял за всеки отделен потребител.

За целта изберете Quota -> New Quota Entry, а след това въведете името на потребителя, който желаете да ограничите. Потвърдете с OK и въведете квотата от налично дисково пространство, която въпросният потребител ще може да ползва за своите нужди.

Допълнителни настройки с Local Security Settings в XP Professional

В случай че разполагате с Windows XP Pro ОС, ще бъдете в състояние да редактирате и някои допълнителни настройки за потребителските акаунти и техните привилегии с вградения за целта инструмент Local Security Settings. За да го стартирате, въведете secpol.msc в Start -> Run полето и натиснете OK. След това в дървото Account Policies маркирайте полето Password Policy и изберете с десен клик опцията Password must meet complexity requirements вдясно и я активирайте с Enable. Това ще задължи всеки от потребителите да използва “сложна” парола, т.е. състояща се от минимум 6 символа, като това задължително трябва да е комбинация от букви и цифри.

За да промените привилегиите на всеки от потребителите, изберете User Rights Assignment от полето Local Policies и пред вас ще се появи списък с всички системни функции заедно с техните настройки за достъп. С десен клик върху конкретния модул изберете Properties и ще можете да определите точно кои от потребителите ще имат достъп до конкретната част от операционната система.