第6次課-本地賬戶和組的管理ppt課件

1、信息工程系王海賓,Windows服務(wù)器配置與管理,1.引語,身為公司的網(wǎng)絡(luò)技術(shù)專業(yè)人員，樊大偉深知服務(wù)器用戶和組的管理是網(wǎng)絡(luò)安全的第一道防線。 公司在未購買服務(wù)器前，公司電腦上的用戶賬戶幾乎是員工隨意設(shè)置的。部分員工計算機(jī)賬戶甚至未設(shè)密碼。由于安全保護(hù)意識的淡漠，致使公司花費很大精力為客戶設(shè)計的廣告作品，還未提交給客戶，就被泄露出去。 這次樊大偉決定在服務(wù)器上劃出一部分存儲空間，用來存放公司的作品、客戶資料、素材等資源，同時通過對用戶權(quán)限的限定嚴(yán)格控制公司資源的訪問權(quán)限。 為了避免盲目性，樊大偉草擬了一份賬戶規(guī)劃一覽表。,2,2. 用戶賬戶簡介,用戶賬戶是操作系統(tǒng)辨別用戶身份的唯一標(biāo)識，從而讓

2、具有一定使用權(quán)限的人登錄計算機(jī)、訪問本地計算機(jī)資源或從網(wǎng)絡(luò)訪問計算機(jī)的共享資源。 Windows Server 2008支持兩種用戶賬戶： 本地賬戶 域賬戶 本地賬戶：在本地安全數(shù)據(jù)庫中建立的賬戶。只能登錄到本機(jī)，只能訪問本機(jī)資源。通常在工作組網(wǎng)絡(luò)中使用。用戶信息被保存在系統(tǒng)根目錄的windowssystem32config文件夾下的SAM（安全數(shù)據(jù)庫）中。 域賬戶：建立在域控制器的活動目錄數(shù)據(jù)庫中的賬戶。具有全局性，可以登錄到域網(wǎng)絡(luò)環(huán)境模式中的任何一臺計算機(jī)，并獲得訪問該網(wǎng)絡(luò)的權(quán)限。（第四章介紹）,3,3. 默認(rèn)用戶賬戶,Windows Server 2008提供兩個默認(rèn)用戶賬戶： Admi

3、nistrator Guest Administrator：系統(tǒng)管理員、超級用戶，不但擁有最高的使用資源權(quán)限（即完全控制權(quán)限），而且可以根據(jù)需要向其他用戶分配權(quán)限。能更名，能禁用，不能刪除。 Guest：來賓賬戶，為臨時訪問計算機(jī)的用戶提供的賬戶，不需要密碼（當(dāng)然也可以設(shè)置密碼）。為了保證系統(tǒng)安全，默認(rèn)是禁用的。僅擁有很少權(quán)限。能更名、能禁用，不能刪除。 注1：即使禁用了Administrator賬戶，仍然可以在安全模式下使用該賬戶訪問計算機(jī)。 Net user 命令查看本地賬戶,4,4. 創(chuàng)建本地賬戶,服務(wù)器管理器/計算機(jī)管理本地用戶和組右擊用戶新用戶 命名規(guī)則： 本地賬戶必須在本地計算機(jī)系

4、統(tǒng)中唯一 賬戶名不能包括句號、空格以及 / “ : + = ; , ? * 長度不超過20個字符（只能識別前20個） 不區(qū)分大小寫 注1：用戶名可以使用漢字，但不推薦，因為在命令提示符下操作會產(chǎn)生麻煩。 注2：企業(yè)內(nèi)部賬戶命名推薦策略是登錄名采用員工真實姓名的拼音或縮寫，同時用戶全名使用漢字全名。,5,4. 創(chuàng)建本地賬戶,密碼復(fù)雜性規(guī)則： 至少6位長度 至少包含大寫字母、小寫字母、符號、數(shù)字中的三種 不能包含用戶名，不能包含用戶姓名超過兩個連續(xù)字符的部分 賬戶密碼選項 用戶下次登錄時必須更改密碼 用戶不能更改密碼 密碼永不過期 賬戶已禁用 強(qiáng)制密碼策略： 管理工具本地安全策略賬戶策略密碼策略

5、強(qiáng)制密碼歷史 密碼最長使用期限,6,4. 創(chuàng)建本地賬戶,使用命令行創(chuàng)建賬戶 Net user 用戶名 密碼 /add /active:yes|no 啟用或禁用賬戶，默認(rèn)yes /comment:”text” 賬戶描述 /fullname :”text” 全名 /passwordchg:yes|no 用戶能否更改密碼，默認(rèn)yes /passwordreq:yesno 用戶是否必須有密碼，默認(rèn)yes 例：net user fandawei FDWfdw! /comment:”未來廣告公司技術(shù)主管” /fullname:”樊大偉” /add 注：只有具備管理員權(quán)限的用戶才能創(chuàng)建賬戶 注：命令行可以做

6、成批處理文件.bat,7,5. 管理本地賬戶,用戶配置文件：存儲當(dāng)前桌面環(huán)境、應(yīng)用程序設(shè)置以及個人數(shù)據(jù)的文件夾和數(shù)據(jù)的集合，保持用戶桌面環(huán)境及其他設(shè)置的一致性。一般位于%userprofile% 重設(shè)用戶密碼： 當(dāng)用戶忘記密碼并且沒有密碼重設(shè)盤時，管理員可以為其重設(shè)密碼。 會導(dǎo)致某些信息不能訪問，因此盡量建議用戶自己更改密碼或使用密碼重設(shè)盤修改密碼。 Net user 用戶名 * 創(chuàng)建密碼重設(shè)盤： 每一個管理員都應(yīng)當(dāng)為管理員賬號創(chuàng)建密碼重設(shè)盤，以防因忘記密碼導(dǎo)致無法進(jìn)入系統(tǒng)或者引起關(guān)鍵數(shù)據(jù)丟失。 用戶登錄計算機(jī)控制面板用戶賬戶創(chuàng)建密碼重設(shè)盤將軟盤插入軟驅(qū),8,5. 管理本地賬戶,禁用/激活賬戶

7、： 當(dāng)賬戶暫時不用，為防止其他人員非法利用，可以禁用 Net user 用戶名 /active:no Net user 用戶名 /active:yes 刪除賬戶： 員工離職時，應(yīng)收回賬戶，防止其繼續(xù)使用。 Windows創(chuàng)建的用戶賬戶在系統(tǒng)內(nèi)部是使用安全標(biāo)識符（Security Identifier，SID）來識別每一個用戶賬戶的，在創(chuàng)建時由系統(tǒng)自動產(chǎn)生。設(shè)置權(quán)限、資源訪問控制時，都是使用SID記錄的。 查看自己賬戶的SID：whoami /logonid 一旦用戶賬戶被刪除，SID權(quán)限信息等也就消失了。即使重新創(chuàng)建名稱相同的賬戶，由于SID不同，也無法獲得原先用戶的權(quán)限。 建議在刪除前先禁用

8、賬戶，確保沒有問題再刪除。 Net user 用戶名 /delete,9,5. 管理本地賬戶,重命名賬戶： 當(dāng)賬戶名稱不規(guī)范或錯誤時，可以重命名，不改變SID，不影響權(quán)限。 小技巧：如果公司有人離職，但該崗位還需招新員工?？梢圆粍h除賬戶而直接通過重命名的方式傳遞給新員工，可以保證賬戶數(shù)據(jù)不丟失。 小技巧：由于Windows系統(tǒng)管理員和來賓賬號名眾所周知，因此出于安全，重命名可以為猜測增加難度。,10,6. 組賬戶介紹,組是多個用戶賬戶、計算機(jī)賬戶和其他組的集合，也是操作系統(tǒng)實現(xiàn)其安全管理機(jī)制的重要技術(shù)手段。使用組可以同時為多個用戶賬戶指派資源訪問權(quán)限，簡化管理，提高效率。 默認(rèn)本地組賬戶： 計算機(jī)管理/服務(wù)器管理器本地用戶和組組 Net localgroup命令 P71 Administrators Guests Users,11,7. 創(chuàng)建本地組賬戶,組名命名規(guī)則： 不能含有 / “ : + = ; , ? * 不能只由空格和句點組成 不能與已有用戶名和組名相同 Net localgroup 組名 /add,12,8. 本地組賬戶管理,修改本地組成員： 將用戶賬戶添加進(jìn)組或從組中刪除 用戶賬戶“隸屬于”選項卡 Net localgroup 組名 用戶名（一個或多個） /add Net localgroup 組名 用戶名（一個或多個）/delete Net