В Windows NT 4 присутствует концепция управления группами пользователей. Основу данной концепции составляет назначение прав сразу целой группе пользователей и исполнение контроля доступа через добавление и удаление пользователей из разных групп. Этот подход к ведению учетной записи предоставляет все права доступа той группе, в которую помещена данная учетная запись.

Учетные записи пользователей, которые имеют доступ к серверам и рабочим станциям в своем и других доменах, с которыми установлены доверительные отношения, называются глобальными группами. Они управляются диспетчером пользователей для доменов.

Локальные группы состоят из учетных записей пользователей, имеющих доступ к ресурсам только в локальной системе в пределах ее собственного домена, и учетных записей пользователей глобальных групп, которые имеют доступ к серверам, входящим в их домен.

Администраторами называют группу, отвечающую за общую конфигурацию домена и его серверов. Эта группа обладает наибольшими правами. В ее состав входит глобальная группа администраторов домена, которые обладают теми же правами, что и администраторы.

Операторы бюджета имеют право создания новых групп и учетных записей пользователей. Однако у них ограничены права администрирования учетных записей, серверов и групп домена. Правами со значительными ограниченными возможностями обладают также группы пользователей, пользователей домена, гостей домена, гостей. Возможно копировать, корректировать и удалять созданные пользователем группы. Мастер управления группами имеет право добавлять и создавать пользователей. Он работает в полуавтоматическом режиме и оказывает поэтапную помощь в выполнении следующих административных задач:

• создание пользовательских учетных записей;

• управление группами;

• осуществление контроля доступа к файлам и папкам;

• ввод драйверов принтеров;

• инсталляция и деинсталляция программ;

• управление лицензированием;

• администрирование сетевых клиентов.

Одной из важнейшей задач администрирования является управление политикой защиты. В нее входят: интерактивная аутентификация пользователя, управление доступом пользователя к сетевым ресурсам, аудит.

Интерактивную аутентификацию пользователя осуществляют нажатием клавиш Ctrl + Alt + Del, что приводит к запуску утилиты WINLOGIN, открывающей окно Вход в систему.

Когда пользователь входит в рабочую группу, его учетная запись создается и хранится в SAM (оперативной памяти компьютера) его рабочей станции и локальное программное обеспечение аутентификации обращается для проверки вводимых параметров регистрации в базу данных SAM рабочей станции. Если пользователь регистрируется в домене, то обращение для проверки вводимых параметров регистрации происходит к базе данных SAM домена, к которому относится его машина.

Управление доступом пользователя к сетевым ресурсам выполняют благодаря применению бюджета пользователя, правил пользователя или группы пользователей, прав доступа к объектам и др.

Бюджет пользователя формируется администратором после создания учетной записи. В бюджет входят время работы в сети, область ОП, которая предоставляется пользователю, и другие права пользователя в системе.

Правила, которые устанавливают действия, доступные для применения, называются правами пользователя или группы пользователей. Предоставленные права и ограничения, которые накладываются на отдельного пользователя или группу пользователей, определяют возможности пользователя по доступу к сетевым ресурсам.

Пользователь может обладать обычными и расширенными правами. Обычно расширенные права предоставляются только программистам и иногда администраторам рабочих станций, но не предоставляются группам пользователей.

Редактор системной политики применяется для корректировки и установки новых прав некоторого пользователя администратором.

В Windows NT административные функции чаще всего выполняются с помощью диспетчера пользователя, диспетчера серверов и др.

Права пользователя устанавливает администратор при создании учетной записи пользователя. Элементы системы в Windows NT являются объектами, и каждый объект определяется типом, набором служб и атрибутов.

Типами объектов в Windows NT являются каталоги, файлы, принтеры, процессы, устройства, окна и т. д.; они влияют на допустимые наборы служб и атрибутов.

Совокупность действий, выполняемых объектом или с объектом, представляет собой набор служб.