一、用户账户分类
所谓用户帐户,是计算机使用者的身份凭证。
Windows2003是多用户操作系统,可以在一台电脑上建立多个用户账号,不同用户用不同账号登录,尽量减少相互之间的影响。
Windows2003系统中的用户账户包括:本地用户账户、域用户账户和内置用户账户。
1、本地用户账户:
创建于非域控制器计算机,只能在本地计算机上登录,无法访问域中的其他计算机资源。
本地用户信息存储在本地安全数据库中(SAM数据库):c:\windows\system32\config\sam。
2、域用户账户:
创建于域控制器计算机,可以在网络中任何计算机上登录。
域用户信息保存在活动目录中(活动目录数据库):c:\windows\NTDS\ntds.dit 。
用户登录名是由用户前缀和后缀组成,之间用@分开,如Tom@https://www.doczj.com/doc/864050845.html,。
3、内置用户账户:
在安装系统时一起安装的用户账户,通常有:
Administrator(系统管理员,又称超级用户)对系统中全部控制权,管理计算机的内置账户,不能被删除和禁用。
Guest(来宾)供那些在系统中没有个人账户的来客访问的计算机临时账户,默认状态此用户被禁用,以确保网络安全,它也不能被删除,但可以更名和禁用。
二、创建和管理本地用户账户
1、创建本地用户帐户
“我的电脑”右键-管理-计算机管理-本地用户和组-“用户”右键-新用户-输入用户名和密码
2、设置本地用户属性
右键单击所创建的用户帐户-属性
[常规]:用于设置用户的密码选项,如“用户不能更改密码”、“密码永不过期”、“帐户已禁用”
[隶属于]:用于将用户帐户加入组,成为组的成员
3、更改本地用户帐户
右键单击要更改的用户帐户,通过快捷菜单进行更改
包括设置密码、重命名、删除、禁用或激活用户账号等
三、创建和管理域用户账户
1、创建域用户账户
步骤1:打开“程序-管理工具-Active Directory用户和计算机”
步骤2:在左窗口中双击左边的https://www.doczj.com/doc/864050845.html,展开域目录
步骤3:右击Users,选择“新建”-“用户”(或者单击“操作”—“新建”)
步骤4:创建Tom@https://www.doczj.com/doc/864050845.html,域用户账户(用户名是唯一的,命名与文件夹命名类同)步骤5:设置密码
注意:
1、密码的设置:
长度必须至少7个字符,并且不包含用户帐户名称的全部或部分文字,还有至少要包含A-Z、
a-z、0-9、特殊符号等4组字符中的3组。
2、改变密码策略选项:
(1)“管理工具”-“域安全策略”-“安全设置”-“账户策略”-“密码策略”
(2)“密码复杂性”修改成“已禁用”
(3)“密码长度最小值”设置为“0个字符”,则可以不设置密码
(4)刷新组策略:开始-运行-cmd-gpupdate /target:computer
2、管理用户后缀
为使用方便,符合人们使用e-mail的习惯,可以更改用户后缀
步骤1:“开始”—“管理工具”—“Active Directory域和信任关系”
步骤2:右击“Active Directory域和信任关系”,选择“属性”
步骤3:在属性对话框内选择“其它UPN后缀”,输入“https://www.doczj.com/doc/864050845.html,”,单击“添加”,然后确定
步骤4:可以在新建域用户的时候看到可供选择的后缀中多出了https://www.doczj.com/doc/864050845.html,
3、重设密码
步骤1:右击需要重新设置密码的账户,选择“重设密码”
步骤2:在对话框内输入新的密码
4、复制用户账户
复制后的用户帐户除名称不同外,很多设置与原帐户是相同的。
步骤1:右击需要重新复制的用户账户,选择“复制”
步骤2:在对话框内输入用户名和密码
5、移动用户账户
步骤1:右击需要重新移动的账户,选择“移动”
步骤2:在对话框内选择目的地址,或者是直接进行拖动
6、启用或禁用账户
步骤:右击要启用或禁用的账户,选择“禁用账户”或“启用账户”
7、删除账户步骤:
步骤:右击要删除的账户,选择“删除”
8、设置域用户账户的属性
(1)设置用户的个人信息
(2)设置域用户的帐户信息
(3)设置域帐户的登录时间
(4)设置域用户帐户可以登录的计算机
9、开放域用户帐号在域控制器本地登录的权限
步骤:
(1)“开始”-“管理工具”-“域控制器安全策略”-“安全设置”-“本地策略”-“用户权限分配”-双击“允许在本地登录”-“增加用户或组”
(2)完成设置后可以用以下3种方法之一将安全设置值应用到域控制器
方法一:重新启动域控制器
方法二:等域控制器自动应用该新的策略设置,可能需要等5分钟或者更久
方法三:在命令提示符中执行命令gpupdate
课堂练习
任务一:
1、建立虚拟机组(一台域控制器、两台XP系统)
2、设置计算机名:域控制器名为a1、XP1名为a2、XP2名为a3
3、设置IP地址:
域控制器——IP:192.168.1.1,子网掩码:255.255.255.0,网关:192.168.1.1,DNS:192.168.1.1
XP1——IP:192.168.1.2,子网掩码:255.255.255.0,网关:192.168.1.1,DNS:192.168.1.1
XP2——IP:192.168.1.3,子网掩码:255.255.255.0,网关:192.168.1.1,DNS:
192.168.1.1
任务二:
把两台XP系统加入test域
任务三:
域控制器的Administrator与Guest账户能进行本地登录吗?能远程登录到域吗?
域控制器XP1 XP2
Administrator
Guest
任务四:域用户练习一
1、创建用户账户
创建2个域用户账户,其密码与账号名相同:
(1)student1@https://www.doczj.com/doc/864050845.html,(下次登录时必须更改密码)
(2)student3@https://www.doczj.com/doc/864050845.html,(账户永不过期)
2、复制用户账户
(1)把student1@https://www.doczj.com/doc/864050845.html,复制为student2@https://www.doczj.com/doc/864050845.html,
(2)把student3@https://www.doczj.com/doc/864050845.html,复制为student4@https://www.doczj.com/doc/864050845.html,
3、更改用户密码
把student3@https://www.doczj.com/doc/864050845.html,账号的密码改为“自己的生日+windows2003”
4、设置账户属性
(1)设置账户student1@https://www.doczj.com/doc/864050845.html,的登录时间为周一、周三、周五这三天时间(2)设置账户student2@https://www.doczj.com/doc/864050845.html,的帐户选项为用户不能更改密码
(3)要求账户student3@https://www.doczj.com/doc/864050845.html,在交互式登录时必须使用智能卡
(4)设置账户student4@https://www.doczj.com/doc/864050845.html,只能在名为“a1”的计算机上登录
任务五:域用户练习二
1、创建3个用户:user1、user
2、user3
2、设置用户帐户属性:
(1)user1帐户在3天后自动过期
(2)user2只允许在双休日上午8点到下午6点登录域
(3)user3只能在名为a3的计算机上登录
3、用户登录实验:
(1)user1用户在a1计算机上登录到域(即本地登录)
(2)user2用户在a2计算机上登录到域
(3)user3用户在a3计算机上登录
课后作业:
1、熟练操作Windows Server 2003域用户的创建、登录以及简单的设置。
2、完成课本P85习题练习中的1-3题。
一、实验目的 1.添加域用户 2.用户的漫游 3.组织单元委派控制 4.AGDLP实现组的嵌套 二、实验步骤及结果分析 1.添加域用户 添加域用户常见的几种方法: 1.1.直接在根DC里新建用户 1.1.1.新建组织单位。启动要DC服务器,运行dsa.msc 打开Active Directory用户和计算机,在“域名”(如https://www.doczj.com/doc/864050845.html,)处右击,“新建组织单位”,如名称为“DQA”。 1.1. 2.新建用户。在新建的“组织单位”(DQA)项上右击选择“新建用户”,输入新建用户的“用户登录名”,(如hero)。下一步,输入7位以上的安全密码,一直下一步,完成新建用户。
注:如果想要将密码设为简单密码或密码为空,首先要在“开始”“程序”“管理工具”“默认域安全设置”,打开“默认域安全设置”,再依次展开“安全设置”“帐户策略”“密码策略”,将“密码必须符合复杂性要求”禁用,并将“密码长度最小值”设为“0字符”。这样在新建用户时就不用再设置复杂的密码了。
1.1.3.删除用户。只需直接在相应的“组织单位”(如DQA )中的用户(如hero)上右击,选择删除即可。 1.2.使用目录服务工具添加 所谓的目录服务工具是指利用CMD命令新建账户,常用的命令有:dsadd 添加账户或组;dsmod 修改用户或组的信息;dsrm 删除用户或组。 1.2.1.添加账户。在CMD命令提示符里输入如:dsadd user cn=feng,ou=DQA,dc=fenger,dc=com 回车后即可成功创建一个新用户。若需在用户里面将其相应的信息加入,只须在上命令后加入一些其它信息的命令,如:-email xx@https://www.doczj.com/doc/864050845.html, –tel 12315 –office F999 等等。其它详细信息命令可用“dsadd user /?”查看。 1.2.2.修改用户信息。在CMD命令提示符里输入如:dsmod user cn=sun,ou-DQA,dc=fenger,dc=com –email yy@https://www.doczj.com/doc/864050845.html, –tel 12111 –office G-101 。即在命令参数后输入要修改信息项的信息。若修改成功后,在根DC查看用户属性的信息会与原属性有明显不同。
WINDOWS2003本地用户和组 用户:(CMD:net user) SYSTEM 本地机器上拥有最高权限的用户:使用普通的用户管理工具通常是查看不到它们的 SID码 S-1-5-18 ADMINISTRATOR 基本上是本地机器上拥有最高权限的用户,你可以对它重命名,但不能删除 GUEST 只拥有相对极少的权限,在默认情况下是被禁止的 SUPPORT_388945A0 WINDOWS XP和WINDOWS2003中新增的一个用户帐户,可以用来通过WINDOWS中的HELP AND SUPPORT CENTER (求助与支持中心)提供远程支持;默认情况下是被禁用的 IUSER_MACHINENAME 如果安装了IIS,别人就能使用这个帐户来匿名访问IIS;它是GUESTS用户组的用员 IWAM_MACHINENAME 如果安装了IIS,各种IIS应用程序就将运行在这个帐户下;它是IIS_WPG用户组的成员之一 TSINTERNETUSER 如果激活了远程终端服务,远程用户将被自动设置为这个帐户 用户组(CMD:net localgroup) 用户组是为简化用户管理工作而引入的一个概念--它们就像是一些容器,每个容器里是一些拥有同样权限的用户 Administrators 这个是用户组里成员在本地机器上拥有最高权限(SID-1-5-32-544) USERS 本地机器上所有的用户帐户;这是一个低权限的用户组(SID:S-1-5-32-545) GUESTS 与USER组相同 Remote Desktop Users WINDOWS2003中新增用户组,相当于远程终端用户 Network Configuration Operators WINDOWS2003新增用户组这个用户组有足够的权限去管理网络配置状况 HelpServicesGroup WINDOWS2003中新增的用户组,供HELP AND SUPPORT CENTRER组件使用Backup Operators 虽然不ADMINISTRATORS的权限大,,但也差不多 Power Users 拥有的权限比 Users 组的成员所拥有的多,但比 Administrators 组的成员所拥有的少 Print Operators 虽然不如ADMINISTOR的权限大,但也相差不多. IIS_WPG WINDOWS2003中新增用户组,如果安装了IIS,,WEB应用进程的帐户将被容纳在这个用户组里 Performance Log Users WINDOWS2003中新增的用户组,这个用户组有权从远程安排性能计数器的日志工作
二、Linux的用户和组的管理实验步骤 1.桌面环境下,单击主菜单\系统设置\用户和组群菜单,进行用户与组群的添加、修改、删 除操作,注意理解修改用户时,口令信息中各设置参数的含义。 添加:单击工具栏-添加用户,在弹出的”创建新用户”窗口中输入用户名 修改:直接双击该用户,在弹出的窗口中直接进行修改; 删除:在用户管理器里面选中需要删除的用户,直接单击删除按钮,会询问“直接删除主目录?”,点击确定既可。 2.用户管理器显示所有的用户的信息,并利用搜索过滤器查找所有以s开头的用户。
3.用groupadd命令创建一名为czn组群,并指定其GID为600. 4.用useradd命令创建chf用户,并指定其主要组群为czn,用户ID为600。 5.用id命令查看chf用户的UID、GID修改情况。 6.用passwd命令修改root、chf用户的密码。 修改根root的密码: 修改chf的密码: 7.用vi打开passwd、shadow、group、gshadow文件,熟悉文件中各项的含义。 打开passwd: vi /etc/passwd 打开shadow: vi /etc/shadow 打开group: vi /etc/group 打开gshadow: vi /etc/gshadow 8.用passwd命令删除chf用户密码,并尝试以chf用户登录,看看是不需要密码。 不需要密码进入用户 而进入原先设置密码的root就需要输入密码后方能进入:
9.用passwd命令锁定和解锁chf用户,并尝试以chf用户登录,看看是否能登录。 命令:passwd –l chf 锁定之后不能登陆用户chf Passwd –u chf 解锁后能够登陆用户chf 10.用usermod命令修改chf用户,使其用户名为chen,UID为601. 命令:usermod –l chen chf 修改用户名 Usermod –u 601 chen 11.用groupmod命令修改czn组群,使其组群名为czn1,用id chen 命令查看变化情况。 修改组群名:groupmod –n czn1 czn 查看:id chen 12.用groupmod命令修改czn组群,使其GID为601,用id chen 命令查看变化情况。 修改GID:groupmod –g 601 czn 查看:id chen 13.创建test1,test2用户,查看/home文件夹下目录情况。 创建用户:Useradd test1 Useradd test1 查看:vi/home home下多了用户test1和test2 14.用userdel test1与userdel –r test2删除两个用户并查看/home文件夹的变化情况。 执行以上命令后发现:使用userdel test1并不删除test1的主目录,而 userdel –r test2删除了主目录
用户组管理类命令-gpasswd命令 一、gpasswd命令的作用 gpasswd命令是Linux下工作组文件/etc/group和/etc/gshadow管理工具,用于设置一个组群的组群密码,或者是在组群中添加、删除用户。 二、gpasswd命令的语法 gpasswd [选项] 用户账号用户组账号 三、gpasswd命令的参数 -a:添加用户到组; -d:从组删除用户; -A:指定管理员; -r:删除密码; -R:限制用户登入组,只有组中的成员才可以用newgrp加入该组。 四、gpasswd命令实例 (一)给用户组指定管理员 新建一个用户组newgroup,设置用户user1为该组的管理员。新建用户组命令,groupadd newgroup,设置组管理员的命令格式为gpasswd -A user1 newgroup。执行命令后,在/etc/gshadow文件中,第三字段为用户组管理员,可以看到user1是newgroup的管理员。设置完成后,user1用户也拥有newgroup 组的执行权限。
(二)将用户加入到用户组中 将user2、user3用户加到newgroup组中,其命令格式为gpasswd -a user2 newgroup,gpasswd -a user3 newgroup。执行命令后,在/etc/group中可以查看到,第4字段为用户组包含的用户,可以看到在newgroup组中包含user2和user3用户。 (三)将用户从用户组中删除 将user3从newgroup组中删除,其命令格式为gpasswd -d user3 newgroup。执行命令后,系统提示将用户“user3”从“newgroup”组中删除。 在/etc/group文件中,可以看到user3已经不再newgroup组中了。
实验四 用户与用户组管理 班级: X0620 学号: 08 姓名: 王捷 实验时间:2008/9/23 一、实验目的:掌握用户与用户组的创建与管理二、实验环境: 1、虚拟PC 机。 2、linux 操作系统。三、实验内容 1、利用more 命令查看用户帐户文件的内容,注意观察帐户信息在该文件中的存储格式,以及各帐户所使用的shell 。另注意查看root 帐户所使用的shell 是什么,用户ID 和用户组ID 是不是都为 0. root 使用的shell 是/bin/bash ,用户ID 和用户组ID 不是都为02、查看/etc/shadow 文件中的内容,注意观察其存储格式和用于保存密码信息的第2个字段的内容。
3、创建一个名为vodup的用户帐户,然后使用grep vodup /etc/passwd 命令查看新创建的帐户在passwd文件中的存储内容,注意查看该帐户对应的主目录。然后使用“grep vodup /etc/shadow”命令查看该帐户此时在密码文件中存储的内容,第2个字段的内容应为“!!”,说明该帐户还未设置密码,被禁用。查看/home目录,看是否自动创建了一个与用户名相同的目录,该目录即为该用户的主目录,当用户登录系统后,当前目录即为该目录。 使用grep vodup /etc/group 命令查看系统在创建vodup用户的同时,是否也创建了一个名为vodup的用户组。若在创建用户的同时,不创建该用户组,则在创建用户时,应 使用什么命令参数。
useradd 添加用户vodup ,然后根据实验步骤做出相应的结果 系统自动创建了一个名位vodup 的用户组,ID 号为5054、设置vodup 用户的密码为“myvod24361#”,并在 /etc/shadow 文件重新查看该帐户的密码存储字段的内容。然后按Alt+F2键切换到第2个虚拟终端,用vodup 帐户和密码登录
本地用户和组的管理 (以下操作均在Windows Server 2003系统中实现,在客户端操作系统XP 中部份操作可能会有所不同) 一、概述 和win95/98等操作系统不同,2000/XP/2003等操作系统是区分用户的。每个用户有自己独立的工作环境,相互独立;用户可以保存自己的文档而不用担心会被其他用户查看;还可以分别为每个用户设置不同的访问资源的权限等。 在工作组环境中,所有计算机是独立的,要让用户能够登录到计算机并使用计算机的资源,必须为每个用户建立本地用户帐户。同时,为了方便对用户受予对资源的访问权限,我们可以使用本地组来实现。 本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机;本地用户帐户保存在本地计算机;本地用户若需要访问其它计算机,需要在其它计算机上有相应的用户帐户以便进行身份验证。 二、“本地用户和组”管理工具 要创建本地帐户,需要使用“本地用户和组”管理工具。此工具包含在“计算机管理”工具里,也可以从MMC控制台添加。 1、要打开“计算机管理”工具,右击“我的电脑”,在快捷菜单中选择“管理”
打开的“计算机管理”工具如下图所示。 2、要使用MMC控制台,请在“运行”里输入“mmc”,打开MMC控制台
在MMC控制台“文件”菜单中选择“添加/删除管理单元” 在弹出的“添加/删除管理单元”对话框中选择“添加”
在“添加独立管理单元”对话框中,找到“本地用户和组”,按“添加”
在“选择目标机器”对话框中,选择“本地计算机”,点击“完成” 分别点击“关闭”和“确定”按钮退出“添加管理单元”的对话框,现在已经在MMC控制台中添加了“本地用户和组”管理单元了。 三、创建本地用户 双击“本地用户和组”管理单元,打开“用户”和“组”两个子项
操作系统安全Operating System Security Linux系统安全实验讲义 2013年12版本
实验一:Linux用户管理与安全策略1实验目的 ●通过实验熟悉Linux 环境下的用户操作管理; ●了解PAM工作原理和配置方法; ●掌握Linux 操作系统中常用用户安全策略配置; 2实验原理 2.1用户与用户组的基本体系 ●Linux提供了安全的用户名和口令文件保护以及强大的口令设置规 则,并对用户和用户组的权限进行细粒度的划分。 ●Linux 系统的用户和用户组的信息分别保存在 ?/etc/shadow ?/etc/passwd ?/etc/group ?/etc/gshadow 等几个文件中, ●/etc/passwd文件是系统用户认证访问权限的第一个文件。 文件的行格式如下:
login_name:password:uid:gid:user info: home_directory:default_shell ?其中: ?login_name:用户帐户,可以用1~8个字符表示,区分大小写, 避免使用数字开头; ?password:加密后的用户登录系统的密码; ?uid:系统指定给每个用户的唯一数值,即用户标识符,32位系统 中标识符在0~60 000之间。; ?gid:用户组标识; ?user info:用户注释信息(如用户身份、电话号码、特性等); ?home_directory:用户的主目录(家目录); ?default_shell:用户登录系统时默认执行的Shell程序,通常为 /bin/sh,表示执行Bourne Shell。如果是Korn Shell则用 /usr/bin/ksh。如果是C Shell则用/usr/bin/csh。如果是TC Shell 则用/usr/bin/tcsh(较少使用)。如果是Bash Shell则用 /usr/bin/bash(Linux系统) 特别说明: Linux 系统支持以命令行或窗口方式管理用户和用户组,本实验要求使用命令行方式实现,窗口方式为学生自行了解和掌握内容。 2.2PAM安全验证机制 详见课程讲义和教学课件
Linux 系统是一个多用户多任务的分时操作系统,任何一个要使用系统资源的用户,都必须首先向系统管理员申请一个账号,然后以这个账号的身份进入系统。用户的账号一方面可以帮助系统管理员对使用系统的用户进行跟踪,并控制他们对系统资源的访问;另一方面也可以帮助用户组织文件,并为用户提供安全性保护。每个用户账号都拥有一个惟一的用户名和各自的口令。用户在登录时键入正确的用户名和口令后,就能够进入系统和自己的主目录。 实现用户账号的管理,要完成的工作主要有如下几个方面: ·用户账号的添加、删除与修改。 ·用户口令的管理。 ·用户组的管理。 一、Linux系统用户账号的管理 用户账号的管理工作主要涉及到用户账号的添加、修改和删除。 添加用户账号就是在系统中创建一个新账号,然后为新账号分配用户号、用户组、主目录和登录Shell 等资源。刚添加的账号是被锁定的,无法使用。 1、添加新的用户账号使用useradd命令,其语法如下: 代码: useradd 选项用户名 其中各选项含义如下: 代码: -c comment 指定一段注释性描述。 -d 目录指定用户主目录,如果此目录不存在,则同时使用-m选项,可以创建主目录。 -g 用户组指定用户所属的用户组。 -G 用户组,用户组指定用户所属的附加组。 -s Shell文件指定用户的登录Shell。 -u 用户号指定用户的用户号,如果同时有-o选项,则可以重复使用其他用户的标识号。 用户名指定新账号的登录名。 例1: 代码: # useradd –d /usr/sam -m sam 此命令创建了一个用户sam, 其中-d和-m选项用来为登录名sam产生一个主目录/usr/sam(/usr为默认的用户主目录所在的父目录)。 例2: 代码: # useradd -s /bin/sh -g group –G adm,root gem 此命令新建了一个用户gem,该用户的登录Shell是/bin/sh,它属于group用户组,同时又属于
子项目1.用户的管理 ●创建一个新用户user01,设置其主目录为/home/user01 : #useradd –d /home/user01 -m user01 ●查看/etc/passwd 文件的最后一行,看看是如何记录的。 ●查看文件/etc/shadow 文件的最后一行,看看是如何记录的。 ●给用户user01 设置密码:#passwd user01 。 ●再次查看文件/etc/shadow 文件的最后一行,看看有什么变化。
●使用user01 用户登录系统,看能否登录成功。。 ●锁定用户user01 :#passwd -l user01。 ●查看文件/etc/shadow 文件的最后一行,看看有什么变化。 ●再次使用user01 用户登录系统,看能否登录成功。 ●解除对用户user01 的锁定:#passwd -u user01 ●更改用户user01 的帐户名为user02 :#usermod –l user02 user01。 ●查看/etc/passwd 文件的最后一行,看看有什么变化。
●删除用户user02 。 子项目2.组的管理 ●创建一个新组,stuff:#groupadd stuff。 ●查看/etc/group 文件的最后一行,看看是如何设置的。 ●创建一个新帐户user02,并把他的起始组和附属组都设为stuff:#useradd –g stuff – G stuff user02。 ●查看/etc/group 文件中的最后一行,看看有什么变化。 ●给组stuff 设置组密码:#gpasswd stuff。 ●在组stuff 中删除用户user02:#gpasswd –d user02 stuff 。
广东科学技术职业学院 计算机工程技术学院(软件学院) 实验报告 专业网络技术班级成绩评定______ 学号姓名 (合作者____号____) 教师签名廖建飞实验 3 题目用户和组的管理 第周星期第节 一、实验目的与要求 1、掌握并熟悉用户和组的使用方法 2、掌握浏览目录类命令 二、实验步骤 项目一、用户的管理(在字符界面完成) ●创建一个新用户user01,设置其主目录为/home/user01: #useradd –d /home/user01 user01 ●查看/etc/passwd文件的最后一行,看看是如何记录的。 #tail -1 /etc/passwd ●查看文件/etc/shadow文件的最后一行,看看是如何记录的。 #tail -1 /etc/shadow ●给用户user01设置密码: #passwd user01 ●再次查看文件/etc/shadow文件的最后一行,看看有什么变化。 #tail -1 /etc/shadow ●使用user01用户登录系统,看能否登录成功。 ●锁定用户user01: #passwd –l user01 #usermod –L user01 ●查看文件/etc/shadow文件的最后一行,看看有什么变化。 #tail -1 /etc/shadow
●再次使用user01用户登录系统,看能否登录成功。 ●解除对用户user01的锁定: #passwd –u user01 #usermod –U user01 ●更改用户user01的帐户名为user #usermod –l user user01 ●查看/etc/passwd文件的最后一行,看看有什么变化。 #tail -1 /etc/passwd ●删除用户user。 #userdel user 项目二、组的管理(在字符界面完成) ●创建一个新组,network: #groupadd network ●查看/etc/group文件的最后一行,看看是如何设置的。 #tail -1 /etc/group ●创建一个新帐户user02,并把他的起始组和附属组都设为network #useradd –g network –G network user02 ●查看/etc/group文件中的最后一行,看看有什么变化。 #tail -1 /etc/group ●给组network设置组密码: #gpasswd network ●在组network中删除用户user02 #gpasswd –d user02 network ●再次查看/etc/group文件中的最后一行,看看有什么变化。 #tail -1 /etc/group ●删除用户user02
实验项目3 用户和组的管理 一、实验目的 ●熟悉Linux用户的访问权限。 ●掌握在Linux系统中增加、修改、删除用户或用户组的方法。 ●掌握用户账户管理及安全管理。 二、项目背景 某公司有60个员工,分别在5个部门工作,每个人工作内容不同。需要在服务器上为每个人创建不同的账号,把相同部门的用户放在一个组中,每个用户都有自己的工作目录。并且需要根据工作性质给每个部门和每个用户在服务器上的可用空间进行限制。 三、实验内容 ●用户的访问权限。 ●账号的创建、修改、删除。 ●自定义组的创建与删除。 四、实验步骤 子项目1.用户的管理 ●创建一个新用户user01,设置其主目录为/home/user01: ●查看/etc/passwd文件的最后一行,看看是如何记录的。 ●查看文件/etc/shadow文件的最后一行,看看是如何记录的。
●给用户user01设置密码:#passwd user01。 ●再次查看文件/etc/shadow文件的最后一行,看看有什么变化。 ●使用user01用户登录系统,看能否登录成功。 ●锁定用户user01:#passwd -l user01。 ●查看文件/etc/shadow文件的最后一行,看看有什么变化。 ●再次使用user01用户登录系统,看能否登录成功。
●解除对用户user01的锁定:#passwd -u user01 ●更改用户user01的帐户名为user02:#usermod–l user02 user01。 ●查看/etc/passwd文件的最后一行,看看有什么变化。 ●删除用户user02。 子项目2.组的管理 ●创建一个新组,stuff:#groupadd stuff。 ●查看/etc/group文件的最后一行,看看是如何设置的。 ●创建一个新帐户user02,并把他的起始组和附属组都设为stuff:#useradd–g stuff –G stuff user02。
域用户帐户和组的管理
域用户帐户和组的管理 (以下操作均在Windows Server 2003系统中实现,客户端也是使用2003来模拟,和实际中客户端使用的XP操作系统可能会有所不同) 很多企业都会用到域环境来实现管理,域的实际应用非常广泛。下面我们讲解在域环境下如何管理用户帐户和组。在讲解过程中我们会涉及到用户帐户、计算机帐户、组和OU等对象。 一、域用户帐户的特点 和本地用户帐户不同,域用户帐户保存在活动目录中。由于所有的用户帐户都集中保存在活动目录中,所以使得集中管理变成可能。同时,一个域用户帐户可以在域中的任何一台计算机上登录(域控制器除外),用户可以不再使用固定的计算机。当计算机出现故障时,用户可以使用域用户帐户登录到另一台计算机上继续工作,这样也使帐号的管理变得简单。 附注: 在工作组环境中,所有计算机是独立的,要让用户能够登录到计算机并使用计算机的资源,必须为每个用户建立本地用户帐户。同时,为了方便实现用户对网络资源的访问权限,我们可以使用本地组来实现。 本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机;本地用户帐户保存在本地计算机;本地用户若需要访问其它计算机,需要在其它计算机上有相应的用户帐户以便进行身份验证。 二、管理工具 要对域中的用户和计算机等对象进行管理,我们要使用“Active Directory用户和计算机”管理工具。该工具在我们安装了活动目录后会被添加到管理工具中,我们可以在管理工具里找到它。
打开后如图所示,在窗口的左边,可以看到我们创建的域。按左边的“+”号展开该域 展开后可以找到“users”管理单元,点击后在右边就可以看到一些内置的用户帐号和组。当系统安装了活动目录后,原来的本地用户和组帐号都没有了,这些对象会变成域用户帐号和域本地组,并被放在该“users”管理单元内。
linux系统用户以及用户组管理 linux系统用户以及用户组管理 这两个文件可以说是linux系统中最重要的文件之一。如果没有这两个文件或者这两个文件出问题,则你是无法正常登录linux系 统的。 /etc/passwd由’:’分割成7个字段,每个字段的具体含义是: 1)用户名(如第一行中的root就是用户名),代表用户账号的字 符串。用户名字符可以是大小写字母、数字、减号(不能出现在首位)、点以及下划线,其他字符不合法。虽然用户名中可以出现点, 但不建议使用,尤其是首位为点时,另外减号也不建议使用,因为 容易造成混淆。 2)存放的就是该账号的口令,为什么是’x’呢?早期的unix系 统口令确实是存放在这里,但基于安全因素,后来就将其存放到 /etc/shadow中了,在这里只用一个’x’代替。 3)这个数字代表用户标识号,也叫做uid。系统识别用户身份就 是通过这个数字来的,0就是root,也就是说你可以修改test用户 的uid为0,那么系统会认为root和test为同一个账户。通常uid 的取值范围是0~65535,0是超级用户(root)的标识号,1~499由系 统保留,作为管理账号,普通用户的标识号从500开始,如果我们 自定义建立一个普通用户,你会看到该账户的标识号是大于或等于500的。 4)表示组标识号,也叫做gid。这个字段对应着/etc/group中的一条记录,其实/etc/group和/etc/passwd基本上类似。 5)注释说明,该字段没有实际意义,通常记录该用户的一些属性,例如姓名、电话、地址等等。不过,当你使用finger的功能时就会 显示这些信息的(稍后做介绍)。
AIX 用户管理和用户 用户管理和用户 1. 用户管理概念 用户账号:每个用户账号都有唯一的用户名、用户id和口令;文件所有者依据用户id判定;文件所有者一般为创建文件的用户,但root用户可以改变一个文件的所有者;固定用户:root为超级用户,adm、adm、b in……..大多数系统文件的所有者,但不能用这些用户登录。 用户组:需要访问同一文件或执行相同功能的多咯用户可放置到一个用户组,文件所有者组给了针对文件所有者更多的控制;固有用户组:sy stem,管理者组;staff普通用户组! 基本的系统安全机制是基于用户账号的。每当用户登录后,系统就使用其用户id号作为检验用户请求权限的唯一标准;拥有创建文件的那个进程的用户id,就是被创建文件初始的所有者id,除了文件所有者root, 任何其他用户不能改变文件所有者;需要共享对一组文件的访问的多咯用户可放置在一个用户组中,一个用户可属于多个用户组,每个用户组有唯一的用户组名和用户组id,当文件创建时,拥有创建文件的那个进程的用户所在的主用户组,就是被创建文件的所有者组id。 2. 用户组 一个用户组包含一个或多个用户,每个用户都必须属于至少一个用户组,一个用户可属于多咯用户组,可以使用groups或setgroups命令查看用户所属的组;建立用户组以便组织并区分用户,是系统管理的重要组成部分,它与系统安全策略密切相关;组管理员拥有增加、删除组中用户和组管理员的权限,有三种类型的用户组:自建用户组,根据用户情况和安全策略建立的用户组;系统管理员组,system,这个组的成员可以执行一些系统管理任务;系统定义的组:有若干个系统定义的固有用户组,某些只是为系统所有,不应当随意为其添加用户,例如,bin,sys 等等;所有非系统管理员组成员的用户属于staff组;security组成员可以执行部分安全安全性管理的任务。 3. 用户组层次 属于系统管理员组或系统定义组的用户可以执行某些系统管理任务,系统固有组有:system,可对标准的软硬件进行配置和维护工作;printq,可管理打印队列,enable、disable、qadm、qpri等等;security:可进行用户口令和限制管理,mkuser、rmuser等;adm,可进行系统监视工作,性能监视、统计等等;staff,所有新用户的默认组。 为了保护重要的用户和用户组不被security组成员任意修改,aix提供了admin用户和admin组,只有root才能增删改admin用户和admin组,系统中任何用户都可被root设为admin用户,无论其属于哪个组,
实验十一Linux下用户和组的管理、磁盘限额一.实验目的: 1.掌握在Linux系统下利用命令方式实现用户和组的管理; 2.掌握利用Linux-conf进行用户和组的管理; 3.掌握磁盘限额的实现方法。 二.实验内容: 1.用户和组的管理; 2.磁盘限额。 三.实验步骤: 1.用户的管理 ●创建一个新用户user01,设置其主目录为/home/user01: ●查看/etc/passwd文件的最后一行,看看是如何记录的。 ●查看文件/etc/shadow文件的最后一行,看看是如何记录的。 ●给用户user01设置密码: ●再次查看文件/etc/shadow文件的最后一行,看看有什么变化。 ●使用user01用户登录系统,看能否登录成功。。 ●锁定用户user01: ●查看文件/etc/shadow文件的最后一行,看看有什么变化。 ●再次使用user01用户登录系统,看能否登录成功。 ●解除对用户user01的锁定:#passwd -u user01 ●更改用户user01的帐户名为user02:#usermod –l user02 user01。 ●查看/etc/passwd文件的最后一行,看看有什么变化。 ●删除用户user02。
2.组的管理 ●创建一个新组,stuff:#groupadd stuff。 ●查看/etc/group文件的最后一行,看看是如何设置的。 ●创建一个新帐户user02,并把他的起始组和附属组都设为stuff:#useradd –g stuff –G stuff user02。 ●查看/etc/group文件中的最后一行,看看有什么变化。 ●给组stuff设置组密码:#gpasswd stuff。 ●在组stuff中删除用户user02:#gpasswd –d user02 stuff。 ●再次查看/etc/group文件中的最后一行,看看有什么变化。 ●删除组stuff。 3.用Linux-conf创建用户和组 ●进入X-Window图形界面。 ●在终端中输入userconf命令,启动Linux-conf的用户管理子程序,在打开的界面中练习用户、组的设置。 4.磁盘限额 ●启动vi来编辑/etc/fstab文件。 ●把/etc/fstab文件中的home分区添加用户和组的磁盘限额。 ●用quotacheck命令创建https://www.doczj.com/doc/864050845.html,er和aquota.group文件:#quotacheck -guvam ●给用户user01设置磁盘限额功能:#edquota -u user01。 ●将其blocks的soft设置为4000,hard设置为5000;inodes的设置为4000,hard设置为5000。编辑完成后保存并退出。 ●重新启动系统。 ●用quotaon命令启用quota功能:#quotaon –ugva。 ●切换到用户user01,查看自己的磁盘限额及使用情况。 ●尝试复制大小分别超过磁盘限额软限制和硬限制的文件到用户的主目录下,检验一下磁盘限额功能是否起作用。
一、用户账户分类 所谓用户帐户,是计算机使用者的身份凭证。 Windows2003是多用户操作系统,可以在一台电脑上建立多个用户账号,不同用户用不同账号登录,尽量减少相互之间的影响。 Windows2003系统中的用户账户包括:本地用户账户、域用户账户和内置用户账户。 1、本地用户账户: 创建于非域控制器计算机,只能在本地计算机上登录,无法访问域中的其他计算机资源。 本地用户信息存储在本地安全数据库中(SAM数据库):c:\windows\system32\config\sam。 2、域用户账户: 创建于域控制器计算机,可以在网络中任何计算机上登录。 域用户信息保存在活动目录中(活动目录数据库):c:\windows\NTDS\ntds.dit 。 用户登录名是由用户前缀和后缀组成,之间用@分开,如Tom@https://www.doczj.com/doc/864050845.html,。 3、内置用户账户: 在安装系统时一起安装的用户账户,通常有: Administrator(系统管理员,又称超级用户)对系统中全部控制权,管理计算机的内置账户,不能被删除和禁用。 Guest(来宾)供那些在系统中没有个人账户的来客访问的计算机临时账户,默认状态此用户被禁用,以确保网络安全,它也不能被删除,但可以更名和禁用。 二、创建和管理本地用户账户 1、创建本地用户帐户 “我的电脑”右键-管理-计算机管理-本地用户和组-“用户”右键-新用户-输入用户名和密码
2、设置本地用户属性 右键单击所创建的用户帐户-属性 [常规]:用于设置用户的密码选项,如“用户不能更改密码”、“密码永不过期”、“帐户已禁用” [隶属于]:用于将用户帐户加入组,成为组的成员 3、更改本地用户帐户 右键单击要更改的用户帐户,通过快捷菜单进行更改 包括设置密码、重命名、删除、禁用或激活用户账号等 三、创建和管理域用户账户 1、创建域用户账户 步骤1:打开“程序-管理工具-Active Directory用户和计算机”
Linux的用户和用户组管理 Linux系统是一个多用户多任务的分时操作系统,任何一个要使用系统资源的用户,都必须首先向系统管理员申请一个账号,然后以这个账号的身份进入系统。用户的账号一方面可以帮助系统管理员对使用系统的用户进行跟踪,并控制他们对系统资源的访问;另一方面也可以帮助用户组织文件,并为用户提供安全性保护。每个用户账号都拥有一个惟一的用户名和各自的口令。用户在登录时键入正确的用户名和口令后,就能够进入系统和自己的主目录。 一:用户和组帐号概述 1:Linux基于用户身份对资源访问进行控制 (1)用户帐号: ●超级用户root:类似于Windows系统中的Administrator用户,非执行管理任务时不建议使用root用户登录系统 ●普通用户:一般只在用户自己的宿主目录中有完全权限 ●程序用户:用于维持系统或某个程序的正常运行,一般不允许登录到系统。例如:bin、daemon、ftp、mail等 (2)组帐号: ●基本组( 私有组) ●附加组(公共组) (3)UID 和GID : ●UID (User Identity ,用户标识号) ●GID (Group Identify ,组标识号) ●1~499的UID、GID默认保留给程序用户使用,普通用户/组使用的号在500~60000之间 2:用户帐号文件—— passwd
?用于保存用户的帐号基本信息 ?文件位置:/etc/passwd ?每一行对应一个用户的帐号记录 [root@localhost ~]# tail -2 /etc/passwd sabayon:x:86:86:Sabayon user:/home/sabayon:/sbin/nologin student:x:500:500:Student User:/home/student:/bin/bash ?字段1:用户帐号的名称 ?字段2:用户密码字串或者密码占位符“x” ?字段3:用户帐号的UID号 ?字段4:所属基本组帐号的GID号 ?字段5:用户全名 ?字段6:宿主目录 ?字段7:登录Shell信息 3:用户密码文件—— shadow ?用于保存密码字串、密码有效期等信息 ?文件位置:/etc/shadow ?每一行对应一个用户的密码记录 [root@localhost ~]# tail -2 /etc/shadow sabayon:!!:15495:0:99999:7::: student:$1$po/zD0XK$4HSh/Aeae/eJ6dNj1k7Oz1:15495:0:99999:7::: ?字段1:用户帐号的名称
实验4 用户与组的管理 实验目的: (1)掌握创建用户和组群的命令 (2)了解账户和组群的相关配置文件 (3)了解实现账户安全的知识 实验材料: 计算机VMware虚拟机Centos 一、实验原理 1.用户和组群账户管理相关命令: useradd,usermod,userdel,groupadd,groupmod,groupdel passwd,gppaswd,chfn,chsh,su,pwck,newgrp finger,groups,id,w,who,chage 2.图形环境工具 3.配置文件 /etc/passwd,/etc/shadow,/etc/login.defs /etc/group,/etc/gshadow,/etc/skel,/etc/default/useradd 二、实验内容及步骤 使用命令方式完成如下任务: 1.使用命令创建用户zhangsanfeng, 设置其口令为123456 设置用户全名为Zhang San Feng 办公电话77778888。 useradd -c “Zhang San Feng” zhangsanfeng passwd zhangsanfeng (提示输入密码) chfn -p 77778888 zhangsanfeng 图1 2.使用命令修改用户账户zhangsanfeng的UID为700, 其shell类型为/bin/sh。
usermod -u 700 -s /bin/sh zhangsanfeng 3.使用命令设置用户帐户zhangsanfeng 两次修改密码之间的最小天数为5天,最大天数为20天。 chage -m 5 -M 20 zhangsanfeng 图2 4.使用命令删除用户帐户zhangsanfeng,并且在删除用户的同时一起删除其主目录。 userdel -r zhangsanfeng 图3 5.使用命令创建组群group1,并且在创建时设置其GID为800。 groupadd -g 800 group1 图4 6.使用命令修改组群group1的新组群名称为shanghai,设置组群shanghai的口令为222222。groupmod -n shanghai group1 gpasswd shanghai(提示输入密码) 图5
本地用户账户与组的创建与管理 一、实验说明 对于管理员而言,管理用户尾房和组的任务是完成Windows Server 2003配置的重要工作之一,用户和组在Windows Server 2003的安全策略中非常重要,管理员通过指派用户和组的权限来限制其执行某些操作的能力。用户被授权在计算机上执行某些操作,如备份文件和文件夹或关机。权限与对象(通常是文件、文件夹或打印机)相关的规则,这规定哪些用户可以用何种方式访问对象。 如果不访问用户账户,就没有人可以使用Windows Server 2003网络中的资源,包括使用任何一台计算机或者连入网络。 二、实验内容 某公司网络管理为了更好地分配Windows Server 2003中的资源,根据实际用户使用需要在操作系统中创建相应用户帐户和组。 三、实验目的 熟练掌握Windows Server 2003内置的帐户和组,并且熟悉不同用户账户在Windows Server 2003操作系统中可以使用资源的权限。学习创建用户账户能够根据用户使用Windows Server 2003资源的不同,把该用户帐户正确的添加到相应组内,会创建组。 四、实验所需设备 1、PC机一台(最低配置为Pentium IV、200MB内存、8G硬盘、10/100M自适应网卡)。 五、实验步骤 步骤一:在“计算机管理”工具中设置“用户”属性。 步骤二:在“计算机管理”工具中设置“组”属性。 六、配置过程 设置“用户”属性: 1、单击“开始”→“管理工具”→“计算机管理”选项。如图1.1所示:
图1.1 2、弹出“本地用户和组”窗口,单击左侧窗格中“用户”选项,在右侧窗格中会显示本地用户。如图1.2所示: 图1.2 3、在右侧窗格中,右击选择“新用户...”选项。如图1.3所示: 图1.3 4、弹出“新用户”对话框中,输入“用户名”、“密码”等参数。如图1.4所示:
1 分数: 1 以下哪个文件保存用户账号的UID信息? 选择一个答案 A. /etc/users B. /etc/shadow C. /etc/passwd D. /etc/inittab 正确 这次提交的分数:1/1。 Question 2 分数: 1 Ubuntu中超级用户的提示符是以下哪个符号? 选择一个答案 A. ? B. $ C. # D. ! 普通用户提示符为$ 超级用户提示符为# 正确 这次提交的分数:1/1。 Question 3 分数: 1 Linux系统中哪个文件用于存放组群账号的加密信息?选择一个答案 A. /etc/shadow B. /etc/gshadow
C. /etc/security D. /etc/passwd 正确 这次提交的分数:1/1。 Question 4 分数: 1 为了临时禁止jerry用户登录系统,可以采用如下那种方法? 选择一个答案 A. 删除jerry用户的主目录 B. 将口令文件/etc/passwd中用户名jerry的一行前加入"#" C. 修改jerry用户的账号到期日期 D. 修改jerry用户的登录Shell环境 正确 这次提交的分数:1/1。 Question 5 分数: 1 id命令的那个参数可用来现实用户账号的UID信息? 选择一个答案 A. -g B. -n C. -u D. -G 正确 这次提交的分数:1/1。 Question 6 分数: 1 下面哪个命令可以删除一个名为peter的用户并同时删除用户的主目录?选择一个答案 A. deluser -r peter
B. usermgr -r peter C. rmuser -r peter D. userdel -r peter 正确 这次提交的分数:1/1。 Question 7 分数: 1 如果显示Linux系统中注册的用户数(包含系统用户)? 选择一个答案 A. wc --lines /etc/passwd wc -l与wc --line等价 用wc --help查询命令帮助可以看到每个参数都有 两种写法,其实等价 B. wc --users /etc/passwd C. account -1 D. nl /etc/passwd |head 正确 这次提交的分数:1/1。 Question 8 分数: 1 新建用户使用useradd命令,如果要指定用户的主目录,则需要哪个选项?选择一个答案 A. -u B. -s C. -g D. -d -d 用来指定用户主目录(d是directory的首字母) -g 用来指定用户所属组(g是group的首字母) -s 用来指定用户的默认Shell(s是Shell的首字母) 正确 这次提交的分数:1/1。 Question 9 分数: 1 root组群的GID是多少?