Введение
Это техническое пошаговое руководство демонстрирует примеры использования функции вторичного входа в систему, службы "Запуск от имени" (Run as), в ОС Windows® 2000. Вторичный вход позволяет администраторам избегать входа в систему с административными привилегиями для решения повседневных задач. Вместо смены сеанса, администраторы могут войти в систему с правами обычного пользователя и затем запускать доверенные средства администрирования от имени учетной записи администратора без завершения текущей сессии. Пользователь, имеющий несколько учетных записей в системе, может запускать приложения от их имени, не завершая текущий сеанс работы.
До сих пор, одна из самых серьезных проблем безопасности заключалась в том, что администраторы работали на разных компьютерах, используя административные учетные записи, и выполняли привилегированные и непривилегированные операции во время одной и той же сессии. Это делалось в основном из-за того, что было намного удобней один раз войти в систему и выполнить все необходимые операции, чем постоянно входить и выходить, в зависимости от требуемых задач. Это делало компьютеры уязвимыми для атак "Троянских коней". Простой запуск браузера и посещение неблагонадежного сайта могли нанести ущерб системе, если это происходило в контексте административной учетной записи. Сайт может содержать код "Троянского коня", который будет загружен на компьютер. Если запуск произойдет в сеансе администратора, то вирус потенциально способен отформатировать диск, уничтожить все файлы, создать нового пользователя с правами администратора и так далее.
Использование вторичного входа в систему в ОС Windows® 2000 позволяет решить эту проблему, предоставляя возможность запуска программ с правами отличными от тех, с которыми был произведен вход в систему. Эта возможность предоставляется службой "Запуск от имени" (Run as).
Вторичный вход в систему позволяет администраторам войти в систему с правами обычной учетной записи и одновременно сохранить возможность выполнения задач администрирования, запуская доверенные административные приложения с необходимыми правами. Для использования Вторичного входа в систему администраторам необходимо иметь две учетных записи: обычную – с основными правами пользователя и безопасности, и административную, которая может быть индивидуальной для каждого из администраторов, или использоваться несколькими администраторами совместно.
Эта функция в первую очередь позволяет системным администраторам отделить операции администрирования от операций пользовательского уровня. Кроме этого, каждый пользователь с несколькими учетными записями может запускать приложения с другими правами, без необходимости завершения текущего сеанса.
Это техническое руководство познакомит Вас со службой "Запуск от имени…" и связанными с ней инструментами.
Необходимые условия и требования
Предварительные условия отсутствуют: Вам не нужно выполнять какие-либо другие шаги, перед началом использования данного руководства. Вам понадобится один компьютер под управлением Windows 2000 Professional или Windows 2000 Server. Чтобы получить текущую информацию об аппаратных требованиях и совместимости с серверами, клиентскими компьютерами, и периферийным оборудованием, посетите страницу Проверки совместимости оборудования и программного обеспечения (Check Hardware and Software Compatibility) на сайте Windows 2000 http://www.microsoft.com/windows2000/server/howtobuy/upgrading/compat/default.asp (EN).