管理本地用户和组

第三章本地用户和组的管理〖教学目标〗理解什么是用户，什么是组；掌握创建账户和组的方法；掌握常用的本地账户和组的管理操作；熟悉MMC的操作；树立使用账户和组保护计算机和网络系统安全的意识；了解用户和组的管理中一些基本的原则和技巧。

〖教学重点〗账户和组的概念；Administrator和Administrators；账户和组的常用管理操作。

〖教学难点〗组的概念。

〖教学内容〗本章主要介绍用户和组的基本概念；账户和组的类型；本地账户的创建和常用管理操作；用户组的创建和常用管理操作。

3.1 概述怎么保护计算机系统和网络系统的安全？怎么限制用户对系统的访问？怎么保护你计算机中的信息不被人非法窃取？我们要为自己的系统加上一个海关检查站，而用户的账户就是进入海关的通行证。

使用用户账户和组，是保护系统安全和网络资源的基本方法。

计算机和网络系统通过账户把使用者区别和隔离开来，让用户可以定制自己的使用环境；防止用户破坏其他用户的数据等。

任何人访问你管理的系统，都应该由你给他们分配唯一的账户，这可以让你知道谁做了什么事，并且防止破坏其他用户的设置和非法获得其他人的文件等。

一个账户包括账户名、密码、权限等信息，这些信息存储在计算机中，是Windows Server 2003网络上的个人唯一标识；系统通过账户来确认用户的身份，并赋予用户对资源的访问权限。

SID：每一个账号在创建的时候都有一个Security ID（SID,安全标识符），当用户访问系统的资源时，系统根据其账户的SID，检查用户是否具有和具有哪些权利和权限，然后再让用户在其权利和权限范围内进行访问。

Windows不是根据用户名来识别用户的，而是根据这个SID来识别用户的，如果SID不一样，就算用户名等其它设置一模一样，Windows也会认为是不一样的两个账号。

这就像我们的户籍管理，只认你的身份证号是否正确，而不管你的名字是否相同是一个道理的。

而且SID是Windows在创建该账号的时候随机给的，所以说当删除了一个账号后，即使再次建立一个一模一样的账号，其SID和原来的那个是不一样，那么他的NTFS权限就必须重新设置。

实训七管理用户和组一、实训目的1．掌握本地帐户与域帐户的管理方法；2．掌握设置帐户属性的方法；3．掌握用户配置文件的创建方法；4．掌握用户组的管理方法；5．在活动目录中利用OU管理资源的方法。

二、实训环境Win2003server 1台、直通双绞线4根(每根3米)、WinXP 3台，组网形式如下。

三、实训理论基础每个用户都需要有一个帐户，以便登录到域访问网络资源或登录到某台计算机访问该机上的资源，创建和管理用户对象是网络管理员执行的最常见任务。

组是用户帐户的集合，管理员通常通过组来对用户的权限进行设置从而简化了管理。

1．用户账户简介Windows Server 2003提供两种主要类型用户账户：本地用户账户（Local User Account）和域用户账户（Domain User Account）。

除此之外，Windows Server 2003系统中还有内置用户账户（Built-in User Account）。

2．本地用户账户本地用户帐户只能登录到帐户所在的计算机并获得对该资源的访问。

当创建本地用户帐户后，Windows Server 2003将在该机的本地安全性数据库中创建该帐户，本地帐户信息存储在本地，不会被复制到其他计算机或域控制器。

当创建一个本地用户账户后，计算机使用本地安全性数据库验证本地用户账户，以便让用户登录到该计算机。

3．创建本地用户账户创建本地用户账户可以在除了域的域控制器以外的任何一台基于Windows Server 2003的计算机上进行。

出于安全性考虑，通常建议只在不是域的组成部分的计算机上创建和使用本地用户账户，即在属于域的计算机上不要设置本地账户。

工作组模式是使用本地用户账户的最佳场所，如图4．域用户账户域用户账户可让用户登录到域并获得对网络上其他地方资源的访问权。

域用户账户是在域控制器上建立的，作为Active Directory 的一个对象保存在域的Active Directory 数据库中。

任务一、创建本地用户账户和组1、用户账户规则1）账户名的命名规则：●账户名必须唯一，且不分大小写。

●用户的名最多可包含256个字符●在账户名中不能使用的字符有：'/\[]:;|=，+* ?< > .●用户名可以是字符和数字的组合。

●用户名不能与组名相同。

2）账户密码规则：●必须为Administrator账户分配密码，防止未经授权就使用。

●系统默认用户的密码至少7个字符，还要至少包含A-Z、a-z、0－9、非字母数字（例如!、#、$、%）等四组字符中的三种。

●密码的长度在8～128之间。

●密码中不能使用以下字符：‘/ \ | ；: = , + [ ]。

2、创建本地账户本地账户是工作在本地机的，只有系统管理员才能在本地创建用户。

下面举例说明如何创建本地用户，例如在w2008d成员服务器上创建本地帐户User1的操作步骤如下：1）选择菜单“开始”→“管理工具”→“计算机管理”→“本地用户和组”选项，在弹出的“计算机管理”窗口中，右击“用户”，选择“新用户”命令，如图3-1所示。

2）弹出“新用户”对话框，如图3-2所示。

图3-1 “计算机管理”窗口图3-2 “新用户”对话框有关对话框中的选项介绍如下：●用户名：系统本地登录时使用的名称。

●全名：用户的全称。

●描述：关于该用户的说明文字。

●密码：用户登录时使用的密码。

●确认密码：为防止密码输入错误，需再输入一遍。

●用户下次登录时须更改密码：用户首次登录时，使用管理员分配的密码，当用户再次登录时，强制用户更改密码，用户更改后的密码只有自己知道，这样可保证安全使用。

●用户不能更改密码：只允许用户使用管理员分配的密码。

●密码永不过期：密码默认的有限期为42天，超过42天系统会提示用户更改密码，选中此项表示系统永远不会提示用户修改密码。

●账户已禁用：选中此项表示任何人都无法使用这个账户登录，适用于企业内某员工离职时，防止他人冒用该账户登录。

windows本地⽤户及组的区别Administrators（超级管理员组）⽤来管理注册⽤户或者具有⼀定权限的其他管理员，维护⽹站的运⾏。

Administrators中的⽤户对计算机/域有不受限制的完全访问权，分配给该组的默认权限允许对整个系统进⾏完全控制。

即使Administrators组⽤户没有某⼀权限，也可以在本地安全策略中为⾃⼰添加该权限。

账户应⽤⼀个是管理⽂件，⼀个是更改系统安全设置。

Users进⾏⽇常应⽤，只具有最基本的权限，账户权限低于Administrators组账户,但⾼于Guests组账户。

Users组⽤户可以进⼊“⽹络和共享中⼼"并查看⽹络连接状态，但⽆法修改连接属性。

当然，Users组⽤户也⽆法关闭防⽕墙或更改防⽕墙策略。

同时，Users账户⽆法安装软件，也⽆法对该⽤户⽂件夹以外的C盘⽂件进⾏修改。

Gusets没有修改系统设置和进⾏安装程序的权限，只能是读取计算机系统信息和⽂件。

如果专业⼈⼠在⽤户不知情的情况下对Guest账户提权，并超越Administrator权限，就可以在⽤户的计算机中为所欲为。

虽能连接⽹络，但⽆法查看和更改“⽹络和共享设置”，⽆法改变防⽕墙规则或者关闭防⽕墙。

如果Guest试图对防⽕墙进⾏设置，就需要先登录⼀个管理员账户，再进⾏操作。

Guest账户没有对C盘⽂件进⾏移动、添加、删除和修改等操作的权限，但这⼀规则不适⽤于Guest⽤户⽂件夹下的⽂件，没有安装程序的权限。

禁⽤Guest账户，将导致其他⼈⽆法访问这台电脑的⽹络资源。

Remote Desktop Users如果需要使⽤某⼀账户进⾏远程桌⾯连接，，需要将该账户移⼊Remote Desktop Users组中。

该组账户权限⼩于users组账户,但⾼于Guests组账户，可以访问“⽹络和共享中⼼”，但⽆法查看并修改连接属性。

同时，Remote Desktop Users也⽆法关闭防⽕墙或修改防⽕墙策略。