06用户管理与安全策略

格式：ppt
大小：544.50 KB
文档页数：71

下载文档原格式

网络安全运维方案模板

单击此处添加副标题
网络安全运维方案模板
汇报人：
目录
01 02 03 04 05 06
方案目标方案内容技术实现实施步骤效果评估方案优化与改进
01
方案目标
保障网络安全
确保网络系统的稳定运行防止网络攻击和病毒入侵保护用户数据隐私和信息安全提高网络系统的安全性能
提升运维效率
优化运维流程，减少人工操作
评估方法：定期检查、模拟攻击、漏洞扫描等
评估结果：防护效果良好、存在安全隐患、需要改进等
改进措施：加强安全培训、升级安全设备、优化安全策略等
运维管理效果评估
评估指标：响应时间、解决率、满意度等
：优秀、良好、一般、较差、差等
改进措施：加强培训、优化流程、调整策略等
应急响应与恢复：制定应急响应计划，确保在遇到安全事件时能够迅速响应和恢复
部署与测试
部署过程：按照方案进行设备安装、配置、调试等操作
部署前准备：确认网络环境、设备配置、软件版本等信息
测试方法：制定测试计划、测试用例，进行功能测试、
性能测试、安全测试等
测试结果分析：对测试结果进行分析，找出问题所在，
运维管理体系
目标：确保网络安全，提高运维效率
组织结构：明确各部门职责，建立协同机制
制度建设：制定运维规范，明确操作流程
技术支持：提供专业的技术支持和培训，提高运维水平
监控与预警：建立实时监控系统，及时发现和处理问题
应急响应：制定应急预案，确保快速响应和处理突发事件
安全监测与应急响应
安全监测：实时监测网络流量、异常行为和威胁情报，及时发现潜在的安全风险。
技术实现
网络安全策略制定：根据企业需求，制定相应的网络安全策略

安全管理安全策略

调整控制策略
根据控制措施实施情况和风险评估结果的反馈，及时调整控制策略，以确保安全风险得到持续有效的控制。
安全风险监控
01
02
03
建立监控机制
建立安全风险监控机制，定期收集和分析相关数据，以监测安全风险的状况和变化趋势。
预警与响应
针对监控过程中发现的安全风险异常情况，及时发出预警，并采取相应的应对措施。
持续改进
根据监控结果和应对经验，不断优化安全风险管理过程，提高组织的安全保障能力。
CHAPTER
03
安全制度与规范
安全管理制度
制定安全管理制度
根据企业实际情况，制定完善的安全管理制度，明确各级管理人员和员工的安全职责和要求。
定期评估与修订
定期对安全管理制度进行评估和修订，以适应企业发展和外部环境的变化。
制度宣传与培训
通过多种渠道宣传安全管理制度，确保员工了解并遵循相关规定。
安全操作规范
制定安全操作规范
01
针对不同岗位和工作内容，制定相应的安全操作规范，明确操
作步骤和注意事项。
规范执行与监督
02
确保员工严格遵守安全操作规范，加强日常监督和检查，及时
纠正违规行为。
操作规范培训与考核
03
定期对员工进行安全操作规范的培训和考核，提高员工的安全
安全风险识别
识别潜在的安全风险
记录风险信息
通过收集和分析信息，识别出可能对组织安全造成威胁的风险因素。
详细记录识别出的安全风险，包括风险类型、可能的影响范围和潜在的后果等。
确定风险来源
分析风险因素可能来自内部或外部环境，包括人员、技术、流程和物理环境等方面。

网络安全设备的日常运维(修订版)

安全事件应急预案
定义：针对可能发生的网络安全事件，制定相应的应急响应措施和处置流程目的：及时发现、处置系统中的安全威胁，保障网络设备和数据安全
流程：监测分析、预警通报、应急处置、善后处理和评估改进
措施：配置安全设备、制定安全策略、定期演练和培训等
安全事件处置流程
安全事件跟踪与记录
感谢观看
日志安全保护
日志的重要性：记录系统运行状态，及时发现异常行为日志的存储：采用加密技术，确保日志的安全存储日志的访问控制：设置访问权限，防止未授权访问日志的备份与恢复：定期备份日志，确保数据完整性和可恢复性
05
安全策略管理
安全策略制定
安全策略的目标：保护网络设备免受攻击和破坏
安全策略的制定原则：最小权限原则、防御深度原则、安全审计原则等
接入方便性
设备状态监测
实时监控：对设备运行状态进行实时监控，及时发现异常情况定期检查：定期对设备进行健康检查，确保设备正常运行数据分析：对设备运行数据进行分析，为设备维护提供依据预警机制：建立设备预警机制，提前发现潜在问题，及时处理
设备故障处理
故障检测：实时监控设备运行状态，及时发现异常情况
配置恢复：在设备出现故障或配置错误时，通过备份的配置文件进行恢复配置备份：定期备份设备的配置，以便在需要时进行恢复备份方式：全量备份、增量备份、差异备份备份存储：本地存储、网络存储、云存储
04
日志管理
日志收集
日志来源：网络设备、服务器、应用程序等
日志类型：系统日志、安全日志、应用日志等
漏洞
漏洞修复：根据扫描结果，及时修复发现
的安全漏洞
漏洞验证：修复后进行验证，确保漏洞已被

Windows安全策略

为什么需要Windows安全策略
• Windows安全策略是保护Windows系统免受恶意攻击和非法访问的重要工具。通过配置安全策略，可以限制不必要的网络连接和外部设备的接入，防止未经授权的访问和数据泄露，保护公司敏感数据和网络资源的安全。
Windows安全策略的演变
• Windows安全策略的演变经历了多个阶段。在Windows 2000时代，安全策略主要通过本地安全策略进行配置。随着Windows XP和 Server 2003的推出，微软引入了更多的安全策略选项，包括密码策略、账户策略等。在Windows Vista和Server 2008中，微软进一步扩展了安全中心的功能，提供了更全面的安全策略管理和监控工具。
这对数据安全和应用程序安全带来新的挑战。
02
物联网的普及
物联网设备数量的不断增加，使得设备管理和数据保护变得更加困难
，攻击者可能会利用这些设备的漏洞进行攻击。
03
社交工程攻击的兴起
随着社交工程攻击的日益猖獗，如何保护用户个人信息和公司敏感信
息成为一大挑战。
发展方向和趋势
加强数据保护
Windows将更加注重数据保护，采用先进的加密技术和安全策略来确保数据的安全性。
使用复杂且难以猜测的密码，包括字母、数字和特殊字符的组合，定期更换密码，并使用密码管理工具来帮助管理和记忆密码。
正确配置防火墙
确保防火墙处于启用状态，并正确配置允许和阻止的网络流量规则。关闭不必要的端口和服务，以减少攻击面。
及时更新应用程序
定期检查并更新计算机上安装的应用程序，确保使用最新版本，这有助于修复潜在的安全漏洞。
利用系统日志和事件查看器
通过Windows系统内置的日志和事件查看器，可以监控系统级的安全事件和异常操作，如未经授权的登录、文件访问等。

信息安全等级保护考核管理具体指标v1.1

1 物理安全(参考《信息系统安全等级保护信息系统安全技术要求》第一级第二级第三级第四级1.1 环境安全(参考同上1.1.1 中心机房安全保护1.1.1.1 机房场地选择01基本要求(1分****02防火要求**03防污染要求**04防潮及防雷要求**05防震动和噪声要求**06防强电场、磁场**07防地震、水灾要求**08位置要求**09防公众干扰要求*1.1.1.2 机房内部安全防护01机房出入****02机房物品****03机房人员**04机房分区**1.1.1.3 机房防火01建筑材料防火j** 02建筑材料防火k* 03建筑材料防火l*04报警和灭火系统j** 05报警和灭火系统k* 06报警和灭火系统l* 07区域隔离防火*** 1.1.1.4 机房供、配电01分开供电****02紧急供电j****03紧急供电k**04紧急供电l*05备用供电**06稳压供电***07电源保护***08不间断供电**09电器噪声防护*10突然事件防护*1.1.1.5 机房空调、降温01基本温度要求**02较完备空调系统*03完备空调系统*1.1.1.6 机房防水与防潮01水管安装要求****02水害防护****03防水检测**04排水要求*1.1.1.7 机房防静电01接地与屏蔽****02服装防静电****03温、湿度防静电**** 04地板防静电**05材料防静电**06维修MOS 电路保护* 07静电消除要求*1.1.1.8 机房接地与防雷击01接地要求****02去耦、滤波要求**** 03避雷要求****04防护地与屏蔽地要求** 05交流电源地线要求* 1.1.1.9 机房电磁防护01接地防干扰****02屏蔽防干扰****03距离防干扰****04电磁泄露发射防护** 05介质保护**06机房屏蔽*1.1.2 通信线路的安全防护01确保线路畅通****02发现线路截获**03及时发现线路截获*04防止线路截获*1.2 设备安全(参考同上1.2.1 设备的防盗和防毁01设备标记要求****02计算中心防盗j**03计算中心防盗k*04计算中心防盗l*05机房外部设备防盗**1.2.2 设备的安全可用01基本运行支持****02设备可用**03设备不间断运行*1.3 记录介质安全(参考同上01公开数据介质保护*02内部数据介质保护*03重要数据介质保护*04关键数据介质保护*05核心数据介质保护1.4 物理安全管理要求(参考TC260 N0016《计算机信息系统安全等级保护管理要求》中的表A.3 物理安全管理等级要求01 物理安全管理人员的配置****02 物理安全规章制度的建立;****03 GB17859-1999 相应等级技术要求的保证;****04 物理安全区域管理的实施;***05 设施配置计划、安装、运行、操作流程的制定;***06 系统关键物理设施登记制度的建立;***07 安全区域标记管理的实施**08 安全区域隔离管理的实施;*09 出入人员授权书的建立;*10 对安全区域活动的实时监视;*11 物理安全保障的持续改善。

域控制器管理组策略应用案例

域控制器定义
• 域控制器定义：域控制器是一种服务器，负责管理活动目录服务，存储和管理网络中的用户账户、计算机账户以及其他资源。它也是网络中的认证服务器，负责验证用户的身份。
域控制器分类
01
全局目录服务器
全局目录服务器是域控制器的一种特殊类型，它存储了整个域中所有对
象的完整信息。在大型网络中，通常会部署多个全局目录服务器来提高
详细描述
在组策略中，可以通过设置应用程序审计和监控的策略，来对服务器或客户端上运行的应用程序进行审计和监控。例如，可以监控应用程序的运行情况、记录应用程序的使用日志等，从而实现对应用程序的安全审计和合规性检查。同时，还可以通过组策略对应用程序进行限制和管控，例如限制应用程序的运行时间、对应用程序进行黑白名单管理等。
Байду номын сангаас 03
组策略应用案例一：用户权限管理
用户权限分配
总结词
通过组策略可以精细化地为用户分配所需的权限，减少不必要的权限，降低安全风险。
详细描述
在域控制器中，可以使用组策略来统一分配用户权限，如文件夹访问权限、网络资源访问权限等。通过组策略可以针对不同的用户组进行权限设置，实现批量权限管理，提高管理效率。
在组策略中可以集成防病毒软件设置，定期进行全面扫描，及时检测和清除病毒和恶意软件，保护企业网络资源的安全。
05
组策略应用案例三：文件系统安全
文件权限管理
总结词
通过组策略可以实现对文件系统安全的全面保障，包括文件和文件夹的权限管理。
VS
详细描述
域控制器可以集中管理文件和文件夹的访问权限，根据不同用户或用户组设置不同的访问权限。策略可以细粒度地控制读、写、执行等操作，有效保护文件系统安全。

外卖平台的安全管理策略与用户保护

法获取等信息安全风险。全隐患，如食材不新鲜、卫天气恶劣等不可预测因素，权等，也是外卖平台需要面
生不达标等。
影响配送安全。
对的挑战之一。
应对策略
项标题
强化平台监管：建立严格的监管机制，对外卖平台进行全
面监督和管理。
项标题
提高用户安全意识：加强用户教育，提高用户的安全意识和自我保护能力。
推送安全提示信息：平台会根据用户的行为和习惯，向用户推送相关的安全提示信息，提醒用户注意保护自己的隐私和安全。
建立用户反馈机制：平台会建立用户反馈机制，鼓励用户积极反馈安全问题，及时修复漏洞，保障用户的安全使用。
01
外卖平台安全管理策略与用户保护的关联
安全管理与用户保护相互促进
安全管理提升用户信任：通过严格的安全管理措施，保障用户隐私和交易安全，增强用户对平台的信任度。
提升平台声誉：重视安全管理与用户保护能够提升平台的整体声誉，树立品牌形象，增强市场竞争力。
推动平台创新：在安全管理与用户保护的基础上，平台能够不断创新，提供更加便捷、安全的服务，满足用户多样化需求。实现可持续发展：安全管理与用户保护是外卖平台可持续发展的基石，通过不断优化和完善相关策略，确保平台的长期稳定发展。
01
用户保护促进安全管理完善：关注用户需求，持续优化安全管理策略，以更好地保护用户权益。
02
安全管理与用户保护共同构建良好生态：双方相辅相成，共同营造安全、可靠、便捷的外卖服务环境。
03
安全管理策略与用户保护策略相互补充：在保障平台安全的同时，关注用户体验，提升用户满意度。
04
安全管理与用户保护共同推动外卖行业健康发展：通过不断优化安全管理策略和用户保护措施，推动外卖行业持续健康发展。

BRAS工作原理

BRAS工作原理BRAS（Broadband Remote Access Server）是一种用于宽带接入网络的设备，它在网络运营商的接入网中起到关键作用。

本文将详细介绍BRAS的工作原理，包括其功能、架构和数据处理流程。

一、BRAS的功能BRAS作为接入网的核心设备，主要具备以下功能：1. 用户管理：BRAS负责用户的身份认证、授权和计费等管理工作。

它通过与认证服务器和计费系统的交互，确保用户合法接入并按照套餐或者使用量进行计费。

2. 安全策略控制：BRAS可以根据运营商的策略，对用户的接入行为进行控制和限制。

例如，限制用户的带宽、屏蔽特定网站或者协议等。

3. 流量管理：BRAS可以根据不同用户的需求和网络状况，对流量进行管理和优化。

它可以实现流量的分流、调度和优先级控制，确保网络资源的合理利用和公平分配。

4. IP地址分配：BRAS负责为用户分配IP地址，以便用户可以正常访问互联网。

它可以通过静态地址分配或者动态地址分配（如DHCP）的方式，为用户提供IP地址。

5. 用户接入控制：BRAS可以对用户的接入行为进行控制，例如限制同时在线数量、限制接入时间等。

这样可以有效管理网络资源，防止滥用和恶意攻击。

二、BRAS的架构BRAS的架构主要由以下几个组件组成：1. 接入控制单元（ACU）：ACU是BRAS的核心组件，负责用户的接入控制和管理。

它包括认证、授权、计费和流量管理等功能模块。

2. 用户接口：BRAS通过不同类型的接口与用户设备进行连接，例如以太网接口、DSL接口、光纤接口等。

这些接口可以支持不同的接入技术和协议。

3. 认证服务器：BRAS与认证服务器进行通信，对用户进行身份认证。

认证服务器可以使用各种认证协议，如RADIUS、TACACS+等。

4. 计费系统：BRAS与计费系统进行通信，将用户的接入信息和使用情况传递给计费系统，以便进行计费和账务管理。

5. 路由器：BRAS内部通常包含路由器功能，用于实现数据的转发和路由选择。

网络安全运维体系

作用：网络安全运维体系可以及时发现并应对网络攻击，保障网络系统的正常运行，保护用户信息和数据安全。
功能：网络安全运维体系包括入侵检测、防火墙、数据加密、身份认证、访问控制等功能。
重要性：网络安全运维体系是保障网络系统安全的重要手段，对于企业、政府和个人用户都具有重要意义。
体系架构
网络安全运维体系包括：安全策略、安全技术、安全组织、安全培训、安全审计等
04
安全运维管理
安全管理制度
制定目的：保障网络安全，防止信息泄露制度内容：包括人员管理、设备管理、数据管理等制度执行：定期检查、评估和改进制度更新：根据网络安全形势和技术发展进行更新
安全风险评估
风险分析：分析风险发生的可能性和影响程度
风险识别：识别可能存在的安全风险
风险评估：评估风险对系统的影响和威胁
安全策略：制定网络安全策略，明确网络安全目标、原则、措施等
安全技术：包括防火墙、入侵检测系统、数据加密、身份认证等技术
安全组织：建立网络安全组织，明确职责分工，确保网络安全工作的有效实施
安全培训：定期进行网络安全培训，提高员工网络安全意识和技能
安全审计：定期进行网络安全审计，检查网络安全策略、技术、组织、培训等方面的执行情况，发现问题及时整改。
安全运维人员要求
人员资质与培训
学历要求：计算机或相关专业本科及以上学历工作经验：至少3年以上网络安全运维经验技能要求：熟悉网络安全法律法规、网络安全技术、网络安全管理等培训内容：网络安全法律法规、网络安全技术、网络安全管理等
岗位职责与权限
负责网络安全事件的监测、分析和处置
负责网络安全培训和教育
风险应对：制定应对策略和措施，降低风险影响

设置安全策略+步骤

04
主机安全策略
用户身份认证与授权管理
总结词
确保只有授权用户能够访问和操作主机资源，防止未经授权
的访问和恶意攻击。
实施多因素认证
除了用户名和密码外，增加动态令牌、生物识别等技术，提高身份认证的安全性。
授权管理
根据用户角色和职责，严格控制对主机资源的访问权限，避免权限过度分配。
定期审查和更新权限
根据应用程序的特点和业务需求，制定合适的安全策略。
安全策略实施
将安全策略融入到应用程序的各个层面，确保其得到有效执行。
06
数据安全策略
数据加密与解密管理
总结词
数据加密是保护数据安全的重要手段，通过加密算法将敏感数据转换为无法识别的格式，确保数据在传输和存储过程中的机密性和完整性。
详细描述
选择适合的加密算法，如AES、RSA等，对敏感数据进行加密处理，确保只有拥有解密密钥的人员能够访问。同时，对加密和解密过程进行严格管理，防止密钥泄露。
数据备份与恢复计划
总结词
数据备份是防止数据丢失的重要措施，通过定期备份数据，确保在意外情况下能够迅速恢复数据。
详细描述
制定详细的数据备份计划，包括备份频率、备份方式、备份存储位置等。同时，建立数据恢复流程，以便在需要时能够快速恢复数据。
数据访问控制与权限管理
总结词
通过设置合理的访问控制和权限管理，确保只有经过授权的人员能够访问敏感数据。
门禁系统
建立门禁系统，控制人员进出，确保只有授权人员能够进入关键区域。
监控摄像头
在关键区域安装监控摄像头，实时监控现场情况，记录进出人员和事件。
电子巡检
通过电子巡检系统，定期对重要设施进行巡检，确保设施安全。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

组的属性包括： Group ID (id=groupid)
Administrative group?(admin=true|false) Administrator List (adms=adminnames) User List (users=usernames)
删除组
# smitty rmgroup
删除组
rmgroup用来删除一个组对管理组而言，只有root才有权删除组管理员可以用chgrpmen命令来增删组管理员和组成员
6. 1. 7 管理员和用户通信工具
motd文件 write命令 wall命令 talk命令 mesg命令
管理员和用户通信工具(2)
motd 文件文件/etc/motd在用户从终端成功登录时将会显示在屏幕上。特别适合存放版权或系统使用须知等长期信息只应包含用户须知的内容用户的主目录下如果存在文件$HOME/.hushlogin ，则该用户登录时不显示motd 文件的内容
列示组
# smitty lsgroup
lsgroup命令
lsgroup 缺省格式，列表按行显示
lsgroup -c 显示时每个组的属性之间用冒号分隔
lsgroup –f 按组名以分节式格式输出
添加组
# smitty mkgroup
mkgroup命令
mkgroup groupname -a 用来指定该组是管理组（只有root才有权在系统中添加管理组）
删除用户
# smitty rmuser
rmuser命令
example:
# rmuser test01 删除用户test01 # rmuser -p test01 删除用户test01，并删除与用户认证相关的信息
# rm -r /home/test01 手工删除用户的主目录 (rmuser命令并未删除用户主目录)
环境变量
用户登录时系统设置用户环境主要依据下述文件 /etc/profile 设置系统范围内公共变量的shell文件，设置如TERM、 MAILMSG 、MAIL等环境变量 /etc/environment 指定对所有进程适用的基本环境变量。如HOME、 LANG、TZ 、NLSPATH等 $HOME/.profile 用户在主目录下的设置文件
6. 1. 5 用户管理
# smitty users
列示用户
# smitty lsuser
lsuser命令
在SMIT菜单选择List All Users选项时，得到的输出是用户名、用户id、和主目录的列表；也可以直接用lsuser命令来列示所有用户(ALL)或部分用户的属性
lsuser命令的输出用到以下文件: /etc/passwd、 /etc/security/limits和/etc/security/user
root步骤
5、通过 # vi /etc/security/passwd删除root 口令的密文 6、# sync；sync(系统同步) 7、# reboot(从硬盘引导) 8、从新登陆后给root设置口令
6. 1. 6 组的管理
# smitty groups
6. 1. 2 组的分类
组的特点
组是用户的集合，组成员需要存取组内的共享文件
每个用户至少属于一个组，同时也可以充当多个组的成员
用户可以存取自己组集合(group set )中的共享文件，列出组集合可用groups 或者setgroups 命令文件主修改主组可用newgrp 或setgroups 命令
系统定义的组(2)
adm 执行性能、cron 、记帐等监控功能
staff 为所有新用户提供的缺省的组，管理员可以在文件/usr/lib/security/mkuser.defaults中修改该设置
audit 管理事件监视系统
6. 1. 3 用户划分
root用户管理用户普通用户
root用户
root特权的控制
严格限制具有root 特权的人数 root 口令应由系统管理员以不公开的周期更改不同的机器采用不同的root 口令系统管理员应以不同用户的身份登录，然后用su 命令进入特权 root 所用的PATH环境变量不要随意更改
su命令
su 命令允许切换到root 或者指定用户，从而创建了新的会话例如： # su test01 $ whoami test01
6. 2. 1 安全性的概念
系统缺省用户 root：超级用户 adm、sys、bin ：系统文件的所有者但不允许登录
安全性的概念(2)
系统缺省组 system ：管理员组 staff ：普通用户组
安全性原则
用户被赋予唯一的用户名、用户ID (UID)和口令。用户登录后，对文件访问的合法性取决于UID 文件创建时，UID自动成为文件主。只有文件主和root才能修改文件的访问许可权需要共享一组文件的用户可以归入同一个组中。每个用户可属于多个组。每个组被赋予唯一的组名和组ID (GID)，GID也被赋予新创建的文件
分组策略
组的划分尽量与系统的安全性策略相一致，不要定义太多的组，如果按照数据类型和用户类型的每种可能组合来划分组，又将走向另一个极端，会使得日常管理过于复杂每个组可以任命一到多个组管理员，组管理员有权增减组成员和任命本组的管理员
三种类型组
用户组
系统管理员组
系统定义的组
三种类型组(2)
用户口令
新建用户只有在管理员设置了初始口令之后才能使用更改口令的两个命令 1、passwd username 此命令只有root和username本人可用
2、pwdadm username root和security成员可用
root口令
紧急情况下删除root口令的步骤
1、从AIX 5L CD-ROM引导 2、引导时键入F5，进入安装和维护（Installation and Maintenance）菜单下选择3：Start Maintenance Mode For System Recovery 3、选择 Obtain a shell by activating the root volume group并按提示继续 4、设置TERM变量，例如：# export TERM=vt100
只有root才能添加删除和修改管理用户和管理组
系统中的用户均可以被指定为管理用户,可查看文件/etc/security/user的admin属性 # cat /etc/security/user user1: admin=true
6. 1. 4 安全性和用户菜单
# smitty security
§ 6.2
安全性策略
§ 6.2.1 安全性的概念 § 6.2.2 文件和目录的存取许可权 § 6.2.3 安全性文件 § 6.2.4 合法性检查
§ 6.2.5 安全性策略要旨
§ 6.2.6 测试题
第六章用户管理与安全策略(3)
本章要点
定义用户和组的概念掌握添加更改删除用户的方法掌握添加更改删除组的方法掌握用户口令的管理掌握与用户通信的方法掌握控制root 特权的原则掌握许可权位的含义及使用
-A 用于任命创建者为组管理员
一个用户可属于1—32个组。ADMINISTRATOR list是组管理员列表，组管理员有权添加或删除组成员
更改组的属性
# smitty chgroup
更改组的属性(2)
smit chgroup和chgroup命令用来更改组的特性。只有root和security组的成员有权执行该操作
用户属性文件
/etc/passwd /etc/group /etc/security/user /etc/security/limits /etc/security/lastlog
包含用户的基本属性包含组的基本属性包含用户的扩展属性包含用户的运行资源限制包含用户最后登陆属性
修改用户属性
# smitty chuser
超级用户（特权用户）可执行所有的系统管理工作，不受任何权限限制大多数系统管理工作可以由非root的其他用户来完成，如指定的 system、 security、printq、 cron、adm、audit组的成员。
管理用户
为了保护重要的用户和组不受security组成员的控制，AIX设置管理用户和管理组
用户缺省值
缺省用户的ID号取自/etc/security/.ids
设置ID的shell程序/usr/lib/security/mkuser.sys
缺省特性取自/usr/lib/security/mkuser.default、 /etc/security/user
缺省的.profile文件取自/etc/security/.profile
组的管理(2)
建立组的目的是让同组的成员对共享的文件具有同样的许可权(文件的组许可权位一致)
要创建组并成为其管理员，必须是root或security 组成员。组管理员有权往组里添加其他用户
系统中已经定义了几个组，如system 组是管理用户的组，staff 组是普通用户的组，其他的组与特定应用和特定文件的所有权相联系
用户组
系统管理员按照用户共享文件的需要创建的，例如同一部门，同一工程组的成员所创建的组系统管理员组系统管理员自动成为system组的成员，该组的成员可以执行某些系统管理任务而无需是root用户
三种类型组(3)
系统定义的组系统预先定义了几个组，如staff是系统中新创建
的非管理用户的缺省组，security组则可以完成
用户环境
用户环境由以下文件来建立 /etc/environment /etc/security/environ /etc/security/limits /etc/security/user