Nastavljanje sistemskih pravic (Windows)

Iz MaFiRaWiki

Ta članek ali del članka je v delu. Veseli bomo, če ga boste dopolnili in popravili.

Kaj pomeni to opozorilo?

S pomočjo MMC in administrativnega programa Local Computer Policy lahko določamo sistemske pravice za gesla, dodeljujemo sistemske pravice uporabnikom in skupinam ter še marsikaj.

Sistemske pravice za gesla:

Gesla imajo za varnost sistema velik pomen. Sistem nam ponuja orodja, s katerimi do neke mere prisilimo uporabnike, da uporabljajo varna gesla. V MMC lahko do nastavitev sistemskih pravic za gesla pridemo takole: Local Computer Policy - Computer Configuration - WindowsSettings - SecuritySettings - AccountPolices - Pasword Policy . Na desni strani konzole se nam pojavijo različne lastnosti. Lastnost lahko spremenimo (nastavimo) tako, da dvakrat kliknemo nanjo. Nastavimo lahko naslednje lastnosti:

  • Enforce Password History: pri vsakem uporabniku se beleži zgodovina gesel za toliko sprememb, kolikor nastavimo in uporabnik ne sme kot novo geslo uporabiti enega od prejšnjih.
  • Maximum Password Age: koliko dni sistem prenaša geslo, predno ga mora uporabnik zamenjati. Če zahtevamo menjavo gesla vsak mesec, si uporabnik, ki se je nekako dokopal do gesla, z njim ne more pomagati dolgo časa.
  • Minimum Password Age: pove, koliko časa mora uporabnik obdržati geslo, predno ga zamenja. Izbira je smiselna, kadar ne dovolimo, da uporabnik uporablja stara gesla – sicer bi s hitrim zaporedjem zamenjav brez težav prišel nazaj do starega gesla.
  • Minimum Password Length: določa najmanjšo dolžino gesla. Geslo naj bi ne imelo manj kot 6 ali še bolje 8 znakov. Predvsem pa ne smemo dopustiti praznih gesel.
  • Password Must Meet Complexity Requirements. Če je ta možnost vklopljena, sistem ob spremembi gesla preveri, če je geslo dovolj ‘močno’. Če ni, ga zavrne in izbrati morate drugačno geslo.


V MMC je na istem nivoju kot Password Policy tudi mapa Account Lockout Policy . Če uporabnik prevečkrat vnese napačno geslo, se mu dostop zaklene. S tem preprečimo morebitni vdor s poskušanjem. Tu lahko nastavimo naslednje lastnosti:

  • Account lockout threshold. Kolikokrat lahko uporabnik poskuša vpisati (napačno) geslo. Po tem številu poskusov se dostop za uporabnika zaklene.
  • Account lockout duration. Za koliko časa se zaklene dostop, če je uporabnik prevečkrat vnesel napačno geslo.
  • Reset account lockout counter after. Čez koliko časa naj se števec napačnih gesel postavi na 0.

Najpomemnejša izbira je, da preprečimo uporabo praznih ali prekratkih gesel. Smiselni opciji sta še:

  • staranje gesel,
  • zaklepanje uporabniških imen po nekaj neuspešnih poizkusih za nekaj minut, izbira ostalih pa je že stvar okusa.


Določanje skupinskih privilegijev

Skupine uporabljamo zato, da uporabnikom - članom dodelimo določene privilegije. Privilegije, ki jih imajo člani določene skupine, nastavimo v konzoli na Local Computer Policy - Computer Configuration - WindowsSettings - Security Settings - Local Policies - User Rights Assignment . Na desni strani konzole imamo pravice. Če kliknemo na pravico, lahko določimo, komu bomo to pravico dodelili. Za vsako pravico imamo dve nastavitvi, lokalno in efektivno. Lokalno lahko nastavimo sami. Če je na nivoju domene določena za neko skupino strožja omejitev, obvelja slednja. Na ta način se izračuna dejanska (efektivna) pravica.

Osebna orodja