В одной из статей я упоминал о том, что хочу попробовать поработать под ограниченной учетной записью Windows XP Professional Edition, вместо того чтобы использовать более привычную запись администратора, принимаемую системой по умолчанию. Я не ожидал получить каких либо значимых результатов за короткий срок, но после недели экспериментов у меня возникло уже множество вопросов и тем для обсуждения, как о достоинствах, так и о недостатках этого подхода. Вот как все начиналось.
Чтобы протестировать сценарий работы от имени учетной записи Limitet User, я почистил свою основную машину и переустановил XP с нуля. В ходе установки XP не дает возможности задать ограниченные права для учетной записи (в отличие от Linux), но взамен создает учетную запись с правами администратора и без пароля, что крайне небезопасно. Я создал запись локального администратора Paul в ходе установки и установил XP Service Pack 2 (SP2) после заключительной перезагрузки. Потом я ограничил полномочия записи Paul, присвоил пароль, задержал дыхание и окунулся в неизведанное.
Шаг первый: Установка программного обеспечения
Я использовал самое обычное программное обеспечение. Как правило, я начинаю с Microsoft Office 2003, который, конечно, различает тип используемых учетных записей Windows и автоматически открывает диалоговое окно Run As, предупреждающее пользователя о том, что для установки пакета необходимо иметь права администратора. Предупреждение и автоматическое открытие диалога Run As – удачное решение, и в процессе установки различных программных пакетов я был удивлен, сколь много приложений предлагает такую возможность.
Однако некоторые программы не предупреждают о необходимости иметь статус администратора, и их процессы установки прерываются сообщением о том, что данный пользователь не обладает достаточными привилегиями. В большинстве случаев вы можете указать программу setup.exe (или аналогичную ей), и, удерживая Shift, правой кнопкой мыши вызвать меню и выбрать пункт Run As. После чего можно установить приложение от имени учетной записи администратора.
Приложения третьего типа ведут себя иначе. Вы устанавливаете эти приложения, используя Run As, но после завершения установки меню «Пуск» не содержит ярлыка только что установленной программы. Так что приходится вручную выискивать это приложение и создавать ярлыки. Так себя ведут OpenOffice.org и MSN 9.
Наконец, некоторые приложения не работают даже после того, как вы устанавливаете их с правами администратора. Так происходит с большинством игрушек. Например, после использования Run As для установки «Call of Duty» фирмы Activision я не смог нормально запустить игру, так как она сбоила при первой же попытке программы переписать настройки конфигурации. Попытка запуска игры с помощью Run As также провалилась. Я даже попытался установить приложение в незащищенную папку, но безуспешно.
Я согласен, что подобные игры не так часто запускаются в большинстве офисов, но мы используем Windows на работе и дома, и вероятно, многие хотели бы создавать записи с ограниченными правами для членов семьи, а не для коллег. При этом именно в сценариях, ориентированных на домашнее применение, ограниченные записи сбоят чаще всего.
Еще одна проблема – создание ярлыков. Как я упомянул выше, некоторые приложения не создают ярлыки, когда для их установки используется Run As из-под учетной записи с ограниченными правами. С другой стороны, многие программы создают ярлыки на рабочем столе, то есть именно там, где я меньше всего хотел бы их видеть. А после вы не можете удалить их из-под записи с ограниченными правами. Почему? Да потому, что ярлыки не сохраняются в вашем рабочем столе, они хранятся в общем (All Users) рабочем столе и копируются на стол текущего пользователя при загрузке. Чтобы удалить эти ярлыки, необходимо задействовать Run As для запуска cmd.exe, войти в папку общего рабочего стола (C:\Documents and Settings\All Users\Desktop), после чего удалить ярлыки, используя команду DEL, памятную многим со времен DOS. Вряд ли большинство «домашних пользователей» знают об этой проблеме или о том, как ее решить.
С ней тесно связана проблема меню «Пуск» (Start Menu), которое быстро заполняется ярлыками, созданными из-под пользовательской и общей учетных записей. Я обычно устраняю неразбериху в Start Menu путем создания нескольких типовых подкаталогов, например, Digital Media, Internet и Utilities, так что мне не приходится созерцать огромное количество папок каждый раз, когда я открываю Start Menu. Но под учетной записью с ограниченными правами создавать подобную структуру куда сложнее, так как большинство папок находится в каталоге All Users и система «огрызается», когда я пытаюсь их перемещать. Для выполнения этой задачи придется зарегистрироваться с правами администратора.
Удивительно, но выполнение некоторых задач в XP доступно из-под записи с ограниченными правами. После того, как я присвоил пароль учетной записи, я смог без труда получить доступ к сетевым ресурсам, где хранятся данные и дистрибутивы приложений. Многие приложения нормально работают без каких-либо дополнительных усилий. Вы быстро запомните, когда нужно задействовать Run As (с множеством приложений из Control Panel), а когда без этого можно обойтись, хотя я думаю, что использование систем вроде Linux и Mac OS X (которые автоматически предлагают ввести пароль администратора, когда это необходимо) будет более простым и надежным решением, нежели бессистемные запросы XP.
В целом опыт работы с такой записью был не очень удачным. Дома я продолжаю этот эксперимент, чтобы выявить области риска XP. Но, похоже, необходимо еще немного поработать, и в первую очередь независимым производителям программ, чтобы сделать учетную запись с ограниченными правами полезной для большинства пользователей. Я достаточно опытный пользователь, но думаю, что многие другие скорее просто откажутся от компьютеров, нежели будет работать на них подобным образом.
Поль Тюрро - Редактор новостей в Windows & .NET Magazine. Готовит еженедельные выпуски Windows & .NET Magazine UPDATE (http://www.win2000mag.net/email), а также ежедневные выпуски новостей WinInfo (http://www.wininformant.com/). С ним можно связаться по адресу: thurott@win2000mag.com.