本地用户和组的建立及基本权限

实验二Windows 2003 Sever下管理本地用户和组【实验目的】：1.学会在Windows 2003 Sever下管理本地用户和组2.熟悉indows 2003 Sever用户管理机制【实验内容】：1.帐号的创建、修改、删除2.组的创建、修改、删除3.本地用户权限管理、分配4.远程用户权限管理、分配【实验原理及相关知识】：1．1本地用户的含义用户分为本地用户和全局用户。

所谓“本地”用户指平时直接使用的计算机，本地用户对应着对等网工作组模式，用户验证都在各自的本地计算机上进行。

全局用户对应着客户机/服务器工作模式，用户验证都在域控制器上进行。

本地用户只能建立在Windows 2003独立服务器、Windows 2003成员服务器或基于Windows 2003 Professional的计算机中，这种用户的作用范围仅限于在创建该用户的计算机上，以控制用户对该计算机上资源的访问。

也就是说，如果一个用户需要访问多台计算机上的资源，而这些计算机不属于某个域，则用户要在每一台需要访问的计算机上拥有相应的本地用户帐号，并在登录某台计算机时由该计算机验证。

1．3系统内建用户系统内建用户是Windows 2003操作系统自带的，在安装好Windows 2003之后这些用户就已存在，并已经赋予了相应的权限。

Windows 2003利用这此用户完成某些特定的工作。

Windows 2003中常见的内置用户包括系统管理员用户Administrator和来宾用户guest（默认禁用）。

系统内建用户和组都不允许被删除，并且Administrator帐号也不允许被禁用，但内建用户帐号允许更名。

没有能过系统验证的用户，都将自动转为guest用户访问系统。

所以，从安全性角度考虑，guest用户不要轻易启用。

1．4组的相关知识组是Windows 2003网络环境中的一个非常重要的概念，是用户帐号的集合，当用户较多的时候，就通常将具有相同身份和属性的用户组合到一个逻辑的集合中，并且一次赋予该集合访问资源的权限而不再单独给用户赋予权限，从而简化了管理。

创建用户和组的步骤全文共四篇示例，供读者参考第一篇示例：创建用户和组是管理计算机系统和网络安全方面的重要操作。

在操作系统中，用户和组是两个关键的概念，通过创建用户和组可以更好地管理计算机系统资源的访问权限。

接下来将详细介绍创建用户和组的步骤。

第一步：打开控制面板要创建用户和组，首先要打开计算机的控制面板。

在Windows系统中，可以通过点击“开始”菜单，然后选择“控制面板”来打开控制面板。

在Linux系统中，可以在终端中输入特定的命令来打开控制面板。

第二步：创建组在控制面板中，首先要创建组。

组是一组具有相同权限和访问级别的用户的集合。

在Windows系统中，可以在控制面板的用户管理选项中找到“创建组”的选项。

在Linux系统中，可以通过命令行工具创建组。

第三步：命名组在创建组的过程中，需要为组命名。

建议给组取一个有意义的名称，以便于日后管理和识别。

第四步：分配权限创建组后，可以分配权限给这个组。

权限可以控制组中用户对计算机资源的访问级别。

可以根据需要设置不同的权限，如读写权限、执行权限等。

第六步：填写用户信息在创建用户的过程中，需要填写用户的基本信息，如用户名、密码等。

建议设置一个安全的密码，以确保用户的账户安全。

第七步：将用户添加到组创建用户后，可以将用户添加到之前创建的组中。

通过将用户添加到组，可以更好地管理用户的访问权限和资源访问级别。

第八步：设置用户权限创建用户后，可以设置用户的权限。

根据用户的需求和角色，可以设置不同的权限，如管理员权限、普通用户权限等。

第九步：测试用户和组创建用户和组后，可以进行一些测试，以确保用户和组的设置成功。

可以尝试使用用户账户登录系统，并检查其权限和访问级别。

第二篇示例：创建用户和组是操作系统管理中非常重要的一部分，可以帮助管理员更好地进行权限管理和资源分配。

在Linux系统下，创建用户和组通常是通过命令行来完成的，下面将为大家详细介绍创建用户和组的步骤。

我们先来了解一下在Linux系统中用户和组的概念。

第三章本地用户和组的管理〖教学目标〗理解什么是用户，什么是组；掌握创建账户和组的方法；掌握常用的本地账户和组的管理操作；熟悉MMC的操作；树立使用账户和组保护计算机和网络系统安全的意识；了解用户和组的管理中一些基本的原则和技巧。

〖教学重点〗账户和组的概念；Administrator和Administrators；账户和组的常用管理操作。

〖教学难点〗组的概念。

〖教学内容〗本章主要介绍用户和组的基本概念；账户和组的类型；本地账户的创建和常用管理操作；用户组的创建和常用管理操作。

3.1 概述怎么保护计算机系统和网络系统的安全？怎么限制用户对系统的访问？怎么保护你计算机中的信息不被人非法窃取？我们要为自己的系统加上一个海关检查站，而用户的账户就是进入海关的通行证。

使用用户账户和组，是保护系统安全和网络资源的基本方法。

计算机和网络系统通过账户把使用者区别和隔离开来，让用户可以定制自己的使用环境；防止用户破坏其他用户的数据等。

任何人访问你管理的系统，都应该由你给他们分配唯一的账户，这可以让你知道谁做了什么事，并且防止破坏其他用户的设置和非法获得其他人的文件等。

一个账户包括账户名、密码、权限等信息，这些信息存储在计算机中，是Windows Server 2003网络上的个人唯一标识；系统通过账户来确认用户的身份，并赋予用户对资源的访问权限。

SID：每一个账号在创建的时候都有一个Security ID（SID,安全标识符），当用户访问系统的资源时，系统根据其账户的SID，检查用户是否具有和具有哪些权利和权限，然后再让用户在其权利和权限范围内进行访问。

Windows不是根据用户名来识别用户的，而是根据这个SID来识别用户的，如果SID不一样，就算用户名等其它设置一模一样，Windows也会认为是不一样的两个账号。

这就像我们的户籍管理，只认你的身份证号是否正确，而不管你的名字是否相同是一个道理的。

而且SID是Windows在创建该账号的时候随机给的，所以说当删除了一个账号后，即使再次建立一个一模一样的账号，其SID和原来的那个是不一样，那么他的NTFS权限就必须重新设置。

Windows 操作系统六大顾客组及系统帐户权限功效设立分析在Windows 系统中，顾客名和密码对系统安全的影响毫无疑问是最重要。

通过一定方式获得计算机顾客名，然后再通过一定的办法获取顾客名的密码，已经成为许多黑客的重要攻击方式。

即使现在许多防火墙软件不端涌现，功效也逐步加强，但是通过获取顾客名和密码的攻击方式仍然时有发生。

其实通过加固Windows 系统顾客的权限，在一定程度上对安全有着很大的协助。

Windows 是一种支持多顾客、多任务的操作系统，不同的顾客在访问这台计算机时，将会有不同的权限。

同时，对顾客权限的设立也是是基于顾客和进程而言的，Windows 里，顾客被分成许多组，组和组之间都有不同的权限，并且一种组的顾客和顾客之间也能够有不同的权限。

下列就是常见的顾客组。

ers普通顾客组，这个组的顾客无法进行故意或无意的改动。

因此，顾客能够运行通过验证的应用程序，但不能够运行大多数旧版应用程序。

Users 组是最安全的组，由于分派给该组的默认权限不允许组员修改操作系统的设立或顾客资料。

Users 组提供了一种最安全的程序运行环境。

在通过NTFS 格式化的卷上，默认安全设立旨在严禁该组的组员危及操作系统和已安装程序的完整性。

顾客不能修改系统注册表设立、操作系统文献或程序文献。

Users 能够创立本地组，但只能修改自己创立的本地组。

Users 能够关闭工作站，但不能关闭服务器。

2.Power Users高级顾客组，Power Users 能够执行除了为Administrators 组保存的任务外的其它任何操作系统任务。

分派给Power Users 组的默认权限允许Power Users 组的组员修改整个计算机的设立。

但Power Users 不含有将自己添加到Administrators 组的权限。

在权限设立中，这个组的权限是仅次于Administrators 的。

3.Administrators管理员组，默认状况下，Administrators 中的顾客对计算机/域有不受限制的完全访问权。

一、WINDOWS的用户和用户组说明1、基本用户组Administrators属于该administators本地组内的用户，都具备系统管理员的权限，它们拥有对这台计算机最大的控制权限，可以执行整台计算机的管理任务。

内置的系统管理员账号Administrator 就是本地组的成员，而且无法将它从该组删除。

如果这台计算机已加入域，则域的Domain Admins会自动地加入到该计算机的Administrators组内。

也就是说，域上的系统管理员在这台计算机上也具备着系统管理员的权限。

Backup OPerators在该组内的成员，不论它们是否有权访问这台计算机中的文件夹或文件，都可以通过“开始”－“所有程序”－“附件”－“系统工具”－“备份”的途径，备份与还原这些文件夹与文件。

Guests该组是提供没有用户帐户，但是需要访问本地计算机内资源的用户使用，该组的成员无法永久地改变其桌面的工作环境。

该组最常见的默认成员为用户帐号Guest。

Network Configuration Operators该组内的用户可以在客户端执行一般的网络设置任务，例如更改IP地址，但是不可以安装/删除驱动程序与服务，也不可以执行与网络服务器设置有关的任务，例如DNS服务器、DHCP服务器的设置。

Power Users该组内的用户具备比Users组更多的权利，但是比Administrators组拥有的权利更少一些，例如，可以：创建、删除、更改本地用户帐户创建、删除、管理本地计算机内的共享文件夹与共享打印机自定义系统设置，例如更改计算机时间、关闭计算机等但是不可以更改Administrators与Backup Operators、无法夺取文件的所有权、无法备份与还原文件、无法安装删除与删除设备驱动程序、无法管理安全与审核日志。

Remote Desktop Users该组的成员可以通过远程计算机登录，例如，利用终端服务器从远程计算机登录。

本地⽤户和组1．⽤户帐户每个⽤户都必须有⼀个帐户，以便利⽤这个帐户登录到计算机，访问该计算机内的资源，或者利⽤该帐户登录到域，访问域中的资源。

l 帐户和密码的命名规则帐户名的命名规则如下：帐户名必须惟⼀，且不分⼤⼩写。

最多可包含20个⼤⼩写字符和数字，输⼊时可超过20个字符，但只识别前20个字符。

不能使⽤保留字字符：＂∧［］：；｜＝，＋＊？＜＞@。

可以是字符和数字的组合。

不能与组名相同。

l 密码命名规则如下：必须为administrator帐户分配密码，防⽌未经授权就使⽤。

密码的长度在8-128之间。

密码可以使⽤⼤⼩写字母、数字和其他合法的字符。

2．⽤户帐户类型（1）本地⽤户帐户本地⽤户帐户创建在本地安全账户数据库SAM中，只具有本地意义。

SAM数据库⽂件路径为\windows\system32\config\sam。

⽤户可以利⽤本地⽤户帐户登录该帐户所在的计算机，但是这个帐户只能够访问这台计算机内的资源。

如果要访问其他计算机内的资源，则必须输⼊其他计算机内的⽤户帐户名称和密码。

（2）域⽤户帐户域⽤户帐户存储在域控制器的Active Directory数据库内。

当⽤户登录时，该域内的所有域控制器都可以检查⽤户帐户名称和密码是否正确。

在以后的章节中会详细介绍。

（3）内置帐户当Windows Server 2003安装完毕后，会⾃动创建⼀些内置的帐户，从计算机管理界⾯可以查看到这些帐户。

其中，Administrator(系统管理员)和Guest(客户)是⽐较常见的两个内置帐户。

3．组的概念组是指本地计算机或active directory中的对象，包括⽤户、联系⼈、计算机和其他组。

在Windows Server 2003中，通过组来管理⽤户和计算机对共享资源的访问。

如果赋予某个组访问某个资源的权限，这个组的⽤户就会⾃动拥有该权限。

引⼊组的概念主要是为了⽅便管理访问权限相同的⼀系列⽤户帐户。

4．组的类型⽤户帐户⼀样，根据Windows Server 2003服务器的⼯作组模式和域模式，组分为本地组和域组。

新建的本地用户账户拥有哪些权限如何增强其权限Windows XP各类用户的权限要对用户管理作出合理的设置，仅了解WinXP多用户的特点和基本管理设置显然不够，我们必须要对用户管理机制作更多的了解。

而由于WinXP采用WinNT/2000内核的用户管理安全机制，这种安全机制建立在用户权限的分配上，所以不妨来复习一下Win2000的用户分类及相应权限。

Win2000中的用户分为3类。

第1类是标准用户：该用户可修改大部分计算机设置，安装不修改操作系统文件且不需安装系统服务的应用程序，创建和管理本地用户帐户和组，启动或停止默认情况下不启动的服务等，但不可访问NTFS分区上属于其他用户的私有文件。

第2类是受限用户：该用户可操作计算机并保存文档，但不可以安装程序或进行可能对系统文件和设置有潜在破坏性的任何更改。

第3类是其他用户，又可分为6种：（1）Admini strator（系统管理员）——有对计算机/域的完全访问控制权；（2）Backup Operator（备份操作员）——可以备份和还原计算机上的文件，而不论这些文件的权限如何；还可登录到计算机和关闭计算机，但不能更改安全性设置；（3）Guest（客人）——权限同受限用户；（4）Power User（高级用户）——权限同标准用户；（5）Replicator（复制员）——权限是在域内复制文件；（6）User（普通用户）——权限同受限用户。

回到WinXP。

它的用户分类、权限其实和Win2000基本一样（各类用户权限详细情况可参考WinXP帮助中心），你同样也可以利用用户的分类来保护计算机在多用户环境下的安全。

以工作组或单独计算机为例，在默认情况下，使用WinXP只能够创建2种类型的用户：计算机管理员（Administrator）和受限用户（User），似乎管理的灵活和方便远不如Win200 0。

其实WinXP只是将其他用户类型隐藏起来了，我们还是可以在控制面板里创建。

任务一、创建本地用户账户和组1、用户账户规则1）账户名的命名规则：●账户名必须唯一，且不分大小写。

●用户的名最多可包含256个字符●在账户名中不能使用的字符有：'/\[]:;|=，+* ?< > .●用户名可以是字符和数字的组合。

●用户名不能与组名相同。

2）账户密码规则：●必须为Administrator账户分配密码，防止未经授权就使用。

●系统默认用户的密码至少7个字符，还要至少包含A-Z、a-z、0－9、非字母数字（例如!、#、$、%）等四组字符中的三种。

●密码的长度在8～128之间。

●密码中不能使用以下字符：‘/ \ | ；: = , + [ ]。

2、创建本地账户本地账户是工作在本地机的，只有系统管理员才能在本地创建用户。

下面举例说明如何创建本地用户，例如在w2008d成员服务器上创建本地帐户User1的操作步骤如下：1）选择菜单“开始”→“管理工具”→“计算机管理”→“本地用户和组”选项，在弹出的“计算机管理”窗口中，右击“用户”，选择“新用户”命令，如图3-1所示。

2）弹出“新用户”对话框，如图3-2所示。

图3-1 “计算机管理”窗口图3-2 “新用户”对话框有关对话框中的选项介绍如下：●用户名：系统本地登录时使用的名称。

●全名：用户的全称。

●描述：关于该用户的说明文字。

●密码：用户登录时使用的密码。

●确认密码：为防止密码输入错误，需再输入一遍。

●用户下次登录时须更改密码：用户首次登录时，使用管理员分配的密码，当用户再次登录时，强制用户更改密码，用户更改后的密码只有自己知道，这样可保证安全使用。

●用户不能更改密码：只允许用户使用管理员分配的密码。

●密码永不过期：密码默认的有限期为42天，超过42天系统会提示用户更改密码，选中此项表示系统永远不会提示用户修改密码。

●账户已禁用：选中此项表示任何人都无法使用这个账户登录，适用于企业内某员工离职时，防止他人冒用该账户登录。