Атрибуты учетных записей пользователей

За вход пользователя в систему отвечает процесс login window, а обслу­живанием информации об учетных записях занимается фоновый процесс Open Directory. Процесс Open Directory хранит информацию об учетных записях пользователей в наборе XML-файлов, которые располагаются в папке /var/db/dslocal/nodes/Default/users. Эта папка доступна для чтения только учетной записи System Administrator (root). Файлы организованы как списки атрибутов пользователей и соответствующих значений.

Каж­дый пользователь имеет множество атрибутов, определяющих детали его учетной записи. К этим атрибутам можно также обращаться из панели настроек Пользователи и группы (Users & Groups).

· Полное имя (Full Name) – полное имя пользователя. Оно может быть достаточно длинным и содержать практически любые символы и должно быть уникальным в системе. Вы можете легко изменить полное имя в любой момент позднее.

· Псевдонимы (Alias names) - используются для связывания учетной записи локального пользователя с учетными записями других служб. Например, с локальной учетной записью можно связать идентифика­тор Apple ID пользователя. Этот атрибут в OS X является опцио­нальным, но он требуется для интеграции с такими интернет-сервиса­ми компании Apple, как iCloud и Back to My Mac.

· Учетная запись (Account Name), иногда ее называют «короткое имя». Это имя применяется для уникальной идентификации учетной запи­си и по умолчанию является именем домашней папки пользователя. Пользователь при входе в систему может использовать как полное имя, так и имя учетной записи. Однако каждая учетная запись должна иметь свое уникальное имя; оно не может содержать никакие специальные символы или пробелы. Разрешается использовать тире, символы подчеркивания и точки.

· Идентификатор пользователя (User ID) - числовой атрибут, исполь­зуемый для отождествления учетной записи с владением файлами и папками. Это число практически всегда уникально. Идентификаторы учетных записей пользователей начинаются с 501, а большинство идентифика­торов системных учетных записей находятся ниже 100.

· Универсальный уникальный идентификатор (Universally Unique ID(UUID)), иногда также называемый «Generated UID» (GUID). GUID –буквенно-цифровой атрибут гене­рируется компьютером в процессе создания учетной записи и явля­ется уникальным. UUID используется для ссылки на пароль пользователя, для членства в группах и разрешений файлов. Локально созданные UUID-идентификаторы не могут использоваться между компьютерами Mac для взаимной идентификации.

· Группа (Group) - это основная группа пользователя. По умолчанию основной группой для всех локальных пользователей является группа stuff. Ког­да пользователь создает новый файл, файл принадлежит учетной записи этого пользователя и группе staff.

· Оболочка входа (Login Shell) - этот путь указывает на оболочку командной строки (command-line shell), используе­мую в программе Терминал (Terminal). Для каждого пользователя, ко­торому разрешено использовать командную строку, данный атрибут по умолчанию устанавливается в значение /bin/bash. По умолчанию и администраторам, и стандартным пользователям разрешен доступ к командной строке.

· Папка пользователя (Home Directory) - путь, который определяет рас­положение домашней папки пользователя. Для всех пользователей, за исключением пользователей только для общего доступа, не имеющих домашних папок, используется значение /Пользователи/<пате>, где <пате> - это имя учетной записи.

4.2 Родительский контроль

Система OS X включает обширный набор управляемых настроек, которые позволяют еще строже регламентировать возможности пользователей. Они создавались как средства родительского контроля, но также применимы на предприятии и в офисе. Так как средства родительского контроля созданы для дополнительного ограничения учетных записей стандартных пользова­телей, они не могут применяться к администратору.

Дополнительная информация. Родительский контроль - это огра­ниченное подмножество гораздо большей системы управления учетными записями, доступной при использовании OS X Server.

Перечисленные ниже возможности управления доступны через сред­ства родительского контроля.

· Включите Simple Finder. Он выводит в Finder только те объекты, которые нужны для управляемого пользователя.

· Создайте список, который определяет, какие приложения или виджеты разрешено открывать пользователю. Вы также можете ограничить программы, доступные из Mac App Store на основе рекомендаций по минимальному возрасту.

· Включите автоматическую фильтрацию содержимого сайтов Safari, вручную управляйте списком разрешенных сайтов или же используй­те оба этих метода.

· Ограничьте программы Game Center, Mail и Сообщения (Messages), разрешив обмен только с одо­бренными адресами.

· Ограничьте время работы на компьютере в рабочие дни и в выходные.

· Защитите пользователя от ненормативной лексики во встроенном словаре Dictionary.

· Ограничьте доступ к службам диктовки, принтерам, функции изменения пароля, оптиче­скому носителю и Dock.

· Применяйте журналы Safari, Сообщений (Messages) и других приложе­ний. В данных журналах фиксируются как успешные, так и неудачные попытки доступа.

Примечание. Большинство приложений независимых поставщиков не бу­дут поддерживать фильтры содержимого средств родительского контроля и настройки ограничений учетных записей. Примеры неподдерживаемых приложений включают браузер Firefox и почтовый клиент Outlook. Эти приложения, тем не менее, легко запрещаются с помощью ранее упомяну­того списка ограничения приложений родительского контроля.

4.3 Вход в систему и быстрое переключение пользователей

Окно входа в систему может выглядеть достаточно просто, но оно являет­ся парадной дверью в систему и обладает множеством средств безопасно­сти, с которыми должен быть знаком администратор. В основном, данные средства обеспечивают либо более высокую безопасность, либо большую доступность. Кроме того, благодаря функции быстрого переключения между пользователями OS X позволяет нескольким пользователям находиться в системе одновременно. Однако с этой функцией возникают проблемы, когда несколько пользователей пытаются одновременно обращаться к одним ресурсам.

Параметры входа в систему

Поведение окна входа в систему можно настроить из окна настроек Пользователи и группы (Users & Groups), введя учетные данные админи­стратора и щелкнув на кнопке Параметры входа (Login Options) внизу спи­ска учетных записей пользователей.

Ниже перечислены опции окна входа в систему.

· Включение и выключение автоматического входа в систему при за­пуске компьютера Мас. Эта опция в OS X выключена по умолчанию. Очевидно, что можно определить только одну учетную запись для ав­томатического входа в систему.

· Отображение в окне входа в систему списка имеющихся пользовате­лей (Настройка по умолчанию) или же пустых полей имени и пароля. Второй вариант обеспечивает большую безопасность.

· Определение доступности кнопок Перезагрузить (Restart), Режим сна (Sleep) и Выключить (Shut Down) в окне входа в систему. Системы Мас в рабочих средах, требующих безопасности, не выводят эти кнопки в окне регистрации.

· Использование меню ввода. Это меню позволяет пользователям легко вводить нелатинские знаки в окне входа в систему.

· Отображение в окне входа в систему подсказки к паролям после трех неудачных попыток ввода пароля или ее отсутствие. Это может пока­заться небезопасным выбором, однако помните, что подсказки пароля являются необязательными для учетной записи пользователя.

· Отключение быстрого переключения пользователей и соответствую­щего меню.

· Разрешение пользователям использовать технологию звуковой помо­щи VoiceOver в окне входа в систему.

· Настройка компьютера на использование учетных записей, которые хранятся в общем сетевом каталоге.

Быстрое переключение пользователей

Легко представить ситуацию, когда двум пользователям понадобится ис­пользовать компьютер в одно и то же время. Хотя одновременно исполь­зование ими графического интерфейса компьютера Мас невозможно, од­нако допускается, чтобы несколько пользователей оставались в системе одновременно. Быстрое переключение пользователей позволяет оператив­но переходить между их учетными записями без выхода из системы или закрытия открытых приложений. Это позволяет сохранять свою работу открытой в фоновом режиме, пока другие пользователи входят в систему. Пользователь может позже мгновенно вернуться к своей учетной записи там, где она была оставлена.

Примечание. Быстрое переключение пользователей не поддерживается для сетевых учетных записей

Функция быстрого переключения пользователей в OS X включена по умолчанию. Пункт меню быстрого переключения пользователей находится с самого правого края строки меню, рядом с меню поиска Spotlight. По умолчанию это меню будет отображаться как полное имя вашей учетной записи пользователя. Если этого пункта в строке меню нет, нужно включить функцию быстрого переключения пользовате­лей на странице Параметры входа (Login Options) панели настроек Пользователи и группы (Users & Groups). Чтобы инициировать переключение к другому пользователю, нужно просто выбрать его имя в меню быстрого переключения пользовате­лей и ввести его пароль.

Совет. Можно переместить пункт меню функции быстрого переключения пользователей или любой другой пункт на правой стороне строки меню, перетаскивая пункт при нажатой клавише [Command ].

Проблемы быстрого переключения пользователей

Компания Apple сделала быстрое переключение пользователей достаточ­но надежным средством. Многие встроенные приложения OS X понимают его. Например, при переключении между учетными записями программа iTunes будет автоматически заглушать или включать музыку, программа Сообщения (Messages) будет переключаться между статусами чата «доступный» и «отсутствую», а прог­рамма Mail будет продолжать проверять поступление новых сообщений в фоновом режиме. Однако возможна конкуренции за ресурсы, когда несколько пользователей пытаются получить доступ к одному объекту.

Примеры конкуренции за ресурсы при быстром переключении поль­зователей.

· Конкуренция за приложение. Некоторые приложения спроектирова­ны так, что в данный момент времени его может использовать только один пользователь. Если другие пользователи попытаются открыть эти приложения, им выдается либо диалоговое окно ошибки, либо приложение просто не открывается. Большинство приложений, по­падающих в эту категорию, являются профессиональными и обычно требуют много ресурсов, поэтому лучше всего иметь только одну их копию, выполняющуюся в данный момент времени.

· Конкуренция за документ. Один пользователь уже открыл документ и остается зарегистрированным во время быстрого переключения пользователей, не позволяя другим пользователям получить полный доступ к этому документу. Например, Microsoft Office позволит дру­гим пользователям открыть документ в режиме «только для чтения» и будет выводить диалоговое окно об ошибке, если пользователь по­пытается сохранить изменения. В более экстремальных ситуациях некоторые приложения вообще не позволят другим пользователям открыть документ. В наихудшем варианте приложение позволит двум пользователям одновременно изменять файл, но сохранит только те изменения, которые были сделаны пользователем, сохранившим доку­мент последним. В данном случае разработчики приложения не при­няли во внимание возможность того, что два пользователя могут од­новременно редактировать один и тот же документ, поэтому вы даже не увидите сообщения об ошибке

· Конкуренция за периферийные устройства. Многие периферийные устройства в данный момент времени могут быть доступны только одному пользователю. Это становится проблемой при быстром пере­ключении пользователей, когда пользователь оставляет выполняюще­еся приложение, которое соединено с периферийным устройством. Периферийное устройство будет недоступно другим приложениям, пока не закончит работу ранее запущенное приложение. Это относится к видеокамерам, сканерам и звуковому оборудованию.

Проблемы быстрого переключения пользователей, связанных с хранением данных

Быстрое переключение пользователей также имеет интересные по­следствия для несистемных томов. Например, если пользователь под­ключит внешний накопитель, то этот том будет доступен другим пользо­вателям, даже если они вошли в систему, после того как накопитель был подключен. Смонтированные тома образов диска обрабатываются не­сколько более безопасно. Только тот пользователь, который смонтировал образ диска, будет иметь к нему полный доступ на чтение/запись. Однако другие пользователи все равно будут иметь доступ на чтение к тому смон­тированного образа диска.

Сетевые общие папки являются единственными томами, которые остаются защищенными в среде быстрого переключения пользователей. По умолчанию только пользователь, который подключился к общей папке, имеет к ней доступ. Даже когда несколько пользователей пытаются полу­чить доступ к одной сетевой общей папке, система будет автоматически создавать несколько точек монтирования с разным доступом для каждо­го пользователя. Исключением из данного правила являются сетевые до­машние папки, используемые сетевыми учетными записями. Только один сетевой пользователь может успешно войти в систему, а другие сетевые пользователи с того же сервера не смогут получить доступ к своим сете­вым домашним папкам. По этой причине быстрое переключение пользо­вателей не поддерживает сетевые учетные записи

Решение проблем быстрого переключения пользователей

К сожалению, каждый ресурс и приложение могут действовать по-разному, поэтому проблемы быстрого переключения пользователей не всегда согласо­ванно описываются или сразу заметны. В системе OS X нет диало­гового окна «система быстрого переключения пользовате­лей вызвала проблему». Тем не менее, если вы сталкиваетесь с ошибками доступа к файлам или периферийным устройствам, то прежде всего проверьте, нет ли в системе других пользователей. Если есть, то они должны выйти из системы, а вы - вновь попытаться получить доступ к недоступным ранее объектам.

Если другие пользователи не могут выйти из системы, например, они в данное время недоступны, а вы не знаете их паролей, остается прину­дительно заставить подозрительные приложения других пользователей завершиться или директивно вывести их из системы, перезапустив Мас. Изменение пароля вошедшего в систему пользователя не поможет, так как администраторы не могут управлять учетными записями пользователей, которые в данный момент находятся в системе. Эти учетные записи в па­нели настроек Пользователи и группы (Users & Groups) будут серыми и недоступными.

В этом случае администратор должен принуди­тельно закрыть приложения других пользователей или перезапустить компьютер, чтобы освободить объекты конкуренции или сделать изменения в учетных записях находящихся в системе пользователей. Ни один из под­ходов не является идеальным, так как принудительное закрытие приложе­ния с открытыми файлами часто приводит к потере данных.

Совет. Если главный пароль (master password) уже был задан, то можно заново установить пароль находящегося в системе пользователя из окна входа в систему с помощью основного пароля.

Попытка перезапуска вскрывает еще одну проблему быстрого переклю­чения пользователей: если какие-то пользователи все еще находятся в систе­ме, администратор должен принудительно закрыть открытые приложения этих пользователей, чтобы перезапустить систему. Система облегчает адми­нистратору принудительное закрытие приложений других пользователей через диалоговое окно перезапуска с проверкой подлинности, но и в этом случае весьма вероятна потеря данных в любых открытых файлах.

Рекомендуемая литература:1[163-191]

Контрольные вопросы к теме: “Учетные записи пользователей»

1. Какие пять типов учетных записей пользователей имеются в OS X? Чем они различаются?

2. Что такое атрибуты учетной записи?

3. Назначение родительского контроля.

4. Опции окна входа в систему.

5. Проблемы быстрого переключения пользователей.

Наши рекомендации