第6次課-本地賬戶和組的管理ppt課件

1、信息工程系王海賓,Windows服務(wù)器配置與管理,1.引語(yǔ),身為公司的網(wǎng)絡(luò)技術(shù)專業(yè)人員，樊大偉深知服務(wù)器用戶和組的管理是網(wǎng)絡(luò)安全的第一道防線。 公司在未購(gòu)買服務(wù)器前，公司電腦上的用戶賬戶幾乎是員工隨意設(shè)置的。部分員工計(jì)算機(jī)賬戶甚至未設(shè)密碼。由于安全保護(hù)意識(shí)的淡漠，致使公司花費(fèi)很大精力為客戶設(shè)計(jì)的廣告作品，還未提交給客戶，就被泄露出去。 這次樊大偉決定在服務(wù)器上劃出一部分存儲(chǔ)空間，用來(lái)存放公司的作品、客戶資料、素材等資源，同時(shí)通過(guò)對(duì)用戶權(quán)限的限定嚴(yán)格控制公司資源的訪問(wèn)權(quán)限。 為了避免盲目性，樊大偉草擬了一份賬戶規(guī)劃一覽表。,2,2. 用戶賬戶簡(jiǎn)介,用戶賬戶是操作系統(tǒng)辨別用戶身份的唯一標(biāo)識(shí)，從而讓

2、具有一定使用權(quán)限的人登錄計(jì)算機(jī)、訪問(wèn)本地計(jì)算機(jī)資源或從網(wǎng)絡(luò)訪問(wèn)計(jì)算機(jī)的共享資源。 Windows Server 2008支持兩種用戶賬戶： 本地賬戶 域賬戶 本地賬戶：在本地安全數(shù)據(jù)庫(kù)中建立的賬戶。只能登錄到本機(jī)，只能訪問(wèn)本機(jī)資源。通常在工作組網(wǎng)絡(luò)中使用。用戶信息被保存在系統(tǒng)根目錄的windowssystem32config文件夾下的SAM（安全數(shù)據(jù)庫(kù)）中。 域賬戶：建立在域控制器的活動(dòng)目錄數(shù)據(jù)庫(kù)中的賬戶。具有全局性，可以登錄到域網(wǎng)絡(luò)環(huán)境模式中的任何一臺(tái)計(jì)算機(jī)，并獲得訪問(wèn)該網(wǎng)絡(luò)的權(quán)限。（第四章介紹）,3,3. 默認(rèn)用戶賬戶,Windows Server 2008提供兩個(gè)默認(rèn)用戶賬戶： Admi

3、nistrator Guest Administrator：系統(tǒng)管理員、超級(jí)用戶，不但擁有最高的使用資源權(quán)限（即完全控制權(quán)限），而且可以根據(jù)需要向其他用戶分配權(quán)限。能更名，能禁用，不能刪除。 Guest：來(lái)賓賬戶，為臨時(shí)訪問(wèn)計(jì)算機(jī)的用戶提供的賬戶，不需要密碼（當(dāng)然也可以設(shè)置密碼）。為了保證系統(tǒng)安全，默認(rèn)是禁用的。僅擁有很少權(quán)限。能更名、能禁用，不能刪除。 注1：即使禁用了Administrator賬戶，仍然可以在安全模式下使用該賬戶訪問(wèn)計(jì)算機(jī)。 Net user 命令查看本地賬戶,4,4. 創(chuàng)建本地賬戶,服務(wù)器管理器/計(jì)算機(jī)管理本地用戶和組右擊用戶新用戶 命名規(guī)則： 本地賬戶必須在本地計(jì)算機(jī)系

4、統(tǒng)中唯一 賬戶名不能包括句號(hào)、空格以及 / “ : + = ; , ? * 長(zhǎng)度不超過(guò)20個(gè)字符（只能識(shí)別前20個(gè)） 不區(qū)分大小寫 注1：用戶名可以使用漢字，但不推薦，因?yàn)樵诿钐崾痉虏僮鲿?huì)產(chǎn)生麻煩。 注2：企業(yè)內(nèi)部賬戶命名推薦策略是登錄名采用員工真實(shí)姓名的拼音或縮寫，同時(shí)用戶全名使用漢字全名。,5,4. 創(chuàng)建本地賬戶,密碼復(fù)雜性規(guī)則： 至少6位長(zhǎng)度 至少包含大寫字母、小寫字母、符號(hào)、數(shù)字中的三種 不能包含用戶名，不能包含用戶姓名超過(guò)兩個(gè)連續(xù)字符的部分 賬戶密碼選項(xiàng) 用戶下次登錄時(shí)必須更改密碼 用戶不能更改密碼 密碼永不過(guò)期 賬戶已禁用 強(qiáng)制密碼策略： 管理工具本地安全策略賬戶策略密碼策略

5、強(qiáng)制密碼歷史 密碼最長(zhǎng)使用期限,6,4. 創(chuàng)建本地賬戶,使用命令行創(chuàng)建賬戶 Net user 用戶名 密碼 /add /active:yes|no 啟用或禁用賬戶，默認(rèn)yes /comment:”text” 賬戶描述 /fullname :”text” 全名 /passwordchg:yes|no 用戶能否更改密碼，默認(rèn)yes /passwordreq:yesno 用戶是否必須有密碼，默認(rèn)yes 例：net user fandawei FDWfdw! /comment:”未來(lái)廣告公司技術(shù)主管” /fullname:”樊大偉” /add 注：只有具備管理員權(quán)限的用戶才能創(chuàng)建賬戶 注：命令行可以做

6、成批處理文件.bat,7,5. 管理本地賬戶,用戶配置文件：存儲(chǔ)當(dāng)前桌面環(huán)境、應(yīng)用程序設(shè)置以及個(gè)人數(shù)據(jù)的文件夾和數(shù)據(jù)的集合，保持用戶桌面環(huán)境及其他設(shè)置的一致性。一般位于%userprofile% 重設(shè)用戶密碼： 當(dāng)用戶忘記密碼并且沒有密碼重設(shè)盤時(shí)，管理員可以為其重設(shè)密碼。 會(huì)導(dǎo)致某些信息不能訪問(wèn)，因此盡量建議用戶自己更改密碼或使用密碼重設(shè)盤修改密碼。 Net user 用戶名 * 創(chuàng)建密碼重設(shè)盤： 每一個(gè)管理員都應(yīng)當(dāng)為管理員賬號(hào)創(chuàng)建密碼重設(shè)盤，以防因忘記密碼導(dǎo)致無(wú)法進(jìn)入系統(tǒng)或者引起關(guān)鍵數(shù)據(jù)丟失。 用戶登錄計(jì)算機(jī)控制面板用戶賬戶創(chuàng)建密碼重設(shè)盤將軟盤插入軟驅(qū),8,5. 管理本地賬戶,禁用/激活賬戶

7、： 當(dāng)賬戶暫時(shí)不用，為防止其他人員非法利用，可以禁用 Net user 用戶名 /active:no Net user 用戶名 /active:yes 刪除賬戶： 員工離職時(shí)，應(yīng)收回賬戶，防止其繼續(xù)使用。 Windows創(chuàng)建的用戶賬戶在系統(tǒng)內(nèi)部是使用安全標(biāo)識(shí)符（Security Identifier，SID）來(lái)識(shí)別每一個(gè)用戶賬戶的，在創(chuàng)建時(shí)由系統(tǒng)自動(dòng)產(chǎn)生。設(shè)置權(quán)限、資源訪問(wèn)控制時(shí)，都是使用SID記錄的。 查看自己賬戶的SID：whoami /logonid 一旦用戶賬戶被刪除，SID權(quán)限信息等也就消失了。即使重新創(chuàng)建名稱相同的賬戶，由于SID不同，也無(wú)法獲得原先用戶的權(quán)限。 建議在刪除前先禁用

8、賬戶，確保沒有問(wèn)題再刪除。 Net user 用戶名 /delete,9,5. 管理本地賬戶,重命名賬戶： 當(dāng)賬戶名稱不規(guī)范或錯(cuò)誤時(shí)，可以重命名，不改變SID，不影響權(quán)限。 小技巧：如果公司有人離職，但該崗位還需招新員工。可以不刪除賬戶而直接通過(guò)重命名的方式傳遞給新員工，可以保證賬戶數(shù)據(jù)不丟失。 小技巧：由于Windows系統(tǒng)管理員和來(lái)賓賬號(hào)名眾所周知，因此出于安全，重命名可以為猜測(cè)增加難度。,10,6. 組賬戶介紹,組是多個(gè)用戶賬戶、計(jì)算機(jī)賬戶和其他組的集合，也是操作系統(tǒng)實(shí)現(xiàn)其安全管理機(jī)制的重要技術(shù)手段。使用組可以同時(shí)為多個(gè)用戶賬戶指派資源訪問(wèn)權(quán)限，簡(jiǎn)化管理，提高效率。 默認(rèn)本地組賬戶： 計(jì)算機(jī)管理/服務(wù)器管理器本地用戶和組組 Net localgroup命令 P71 Administrators Guests Users,11,7. 創(chuàng)建本地組賬戶,組名命名規(guī)則： 不能含有 / “ : + = ; , ? * 不能只由空格和句點(diǎn)組成 不能與已有用戶名和組名相同 Net localgroup 組名 /add,12,8. 本地組賬戶管理,修改本地組成員： 將用戶賬戶添加進(jìn)組或從組中刪除 用戶賬戶“隸屬于”選項(xiàng)卡 Net localgroup 組名 用戶名（一個(gè)或多個(gè)） /add Net localgroup 組名 用戶名（一個(gè)或多個(gè)）/delete Net