Windows-Server-2003本地用戶和組

WindowsServer2003本地用戶與本地組內(nèi)容提要WindowsServer2003的用戶賬戶管理WindowsServer2003的組賬戶管理工作組與域環(huán)境賬戶是計算機的基本安全對象，WindowsServer2003本地計算機包含了兩種賬戶：用戶賬戶和組賬戶。本節(jié)主要介紹WindowsServer2003的本地用戶賬戶和組賬戶的設(shè)置和管理，以及在網(wǎng)絡(luò)環(huán)境下選擇工作組還是域環(huán)境。南方理工技工學校計算機教研室小節(jié)目錄5.1.1

本地用戶賬戶5.1.2

組賬戶管理5.1.3

設(shè)置本地安全策略南方理工技工學校計算機教研室5.1.1本地用戶賬戶安裝完操作系統(tǒng)并完成操作系統(tǒng)的環(huán)境配置后，管理員應規(guī)劃一個安全的網(wǎng)絡(luò)環(huán)境，為用戶提供有效的資源訪問服務(wù)。WindowsServer2003通過建立賬戶（包括用戶賬戶和組賬戶）并賦予賬戶合適的權(quán)限來保證使用網(wǎng)絡(luò)和計算機資源的合法性，以確保數(shù)據(jù)訪問、存儲和交換服從安全需要。保證WindowsServer2003安全性的主要方法有以下4點：（1）嚴格定義各種賬戶權(quán)限，阻止用戶可能進行具有危害性的網(wǎng)絡(luò)操作；（2）使用組規(guī)劃用戶權(quán)限，簡化賬戶權(quán)限的管理；（3）禁止非法計算機連入網(wǎng)絡(luò)；（4）應用本地安全策略和組策略制定更詳細的安全規(guī)則。南方理工技工學校計算機教研室1用戶賬戶概述用戶賬戶是計算機的基本安全組件，計算機通過用戶賬戶來辨別用戶身份，讓有使用權(quán)限的人登錄計算機，訪問本地計算機資源或從網(wǎng)絡(luò)訪問這臺計算機的共享資源。指派不同用戶不同的權(quán)限，可以讓用戶執(zhí)行不同的計算機管理任務(wù)。所以每臺運行WindowsServer2003的計算機，都需要用戶賬戶才能登錄計算機。WindowsServer2003支持兩種用戶賬戶：域用戶賬戶和本地用戶賬戶。域賬戶可以登錄到域上，并獲得訪問該網(wǎng)絡(luò)的權(quán)限；本地賬戶則只能登錄到一臺特定的計算機上，并訪問該計算機上的資源。WindowsServer2003還提供內(nèi)置用戶賬戶，它用于執(zhí)行特定的管理任務(wù)或使用戶能夠訪問網(wǎng)絡(luò)資源。南方理工技工學校計算機教研室用戶賬戶的概述（續(xù)）本地用戶賬戶僅允許用戶登錄并訪問創(chuàng)建該賬戶的計算機。當創(chuàng)建本地用戶賬戶時，WindowsServer2003僅在計算機位于%Systemroot%\system32\config文件夾下的安全數(shù)據(jù)庫（SAM）中創(chuàng)建該賬戶。WindowsServer2003在工作組模式下默認只有Administrator賬戶和Guest賬戶。Administrator賬戶可以執(zhí)行計算機管理的所有操作；而Guest賬戶是為臨時訪問計算機的用戶而設(shè)置的，但默認是禁用的。南方理工技工學校計算機教研室SID系統(tǒng)內(nèi)部則使用安全標識符（SecurityIdentifier，SID）來識別用戶身份，每個用戶賬戶都對應一個唯一的安全標識符，這個安全標識符在用戶創(chuàng)建時由系統(tǒng)自動產(chǎn)生。南方理工技工學校計算機教研室AdministratorAdministrator：使用內(nèi)置Administrator賬戶可以對整臺計算機或域配置進行管理，如創(chuàng)建修改用戶賬戶和組、管理安全策略、創(chuàng)建打印機、分配允許用戶訪問資源的權(quán)限等。作為管理員，應該創(chuàng)建一個普通用戶賬戶，在執(zhí)行非管理任務(wù)時使用該用戶賬戶，僅在執(zhí)行管理任務(wù)時才使用Administrator賬戶。Administrator賬戶可以更名，但不可以刪除。南方理工技工學校計算機教研室GuestGuest：一般的臨時用戶可以使用內(nèi)置Guest賬戶進行登錄并訪問資源。在默認情況下，為了保證系統(tǒng)的安全，Guest賬戶是禁用的，但在安全性要求不高的網(wǎng)絡(luò)環(huán)境中，可以使用該賬戶，且通常分配給它一個口令。南方理工技工學校計算機教研室5.1.2用戶賬戶的創(chuàng)建規(guī)劃新的用戶賬戶遵循以下的規(guī)則和約定可以簡化賬戶創(chuàng)建后的管理工作：（1）命名約定。①賬戶名必須唯一：本地賬戶必須在本地計算機上唯一。②賬戶名不能包含以下字符：*/\[]::|=，+/<>“。③賬戶名最長不能超過20個字符。（2）密碼原則。①一定要給Administrator賬戶指定一個密碼，以防止他人隨便使用該賬戶。②確定是管理員還是用戶擁有密碼的控制權(quán)。用戶可以給每個用戶賬戶指定一個唯一的密碼，并防止他用戶對其進行更改，也可以允許用戶在第一次登錄時輸入自己的密碼。一般情況下，用戶應該可以控制自己的密碼。③密碼不能太簡單，應該不容易讓他人猜出。④密碼最多可由128個字符組成，推薦最小長度為8個字符。⑤密碼應由大小寫字母、數(shù)字以及合法的非字母數(shù)字的字符混合組成，如“P@ssw0rd”。南方理工技工學校計算機教研室用戶賬戶的創(chuàng)建（續(xù)）創(chuàng)建本地用戶賬戶用戶可以用“計算機管理”中的“本地用戶和組”管理單元來創(chuàng)建本地用戶賬戶，而且用戶必須擁有管理員權(quán)限。南方理工技工學校計算機教研室用戶賬戶的創(chuàng)建（續(xù)）在“計算機管理”管理控制臺中，展開“本地用戶和組”，在“用戶”目錄上單擊鼠標右鍵，選擇“新用戶”命令，如圖2.3所示。南方理工技工學校計算機教研室設(shè)置密碼選項打開“新用戶”對話框后，輸入用戶名、全名和描述，并且輸入密碼，如圖2.4所示?？梢栽O(shè)置密碼選項，包括“用戶下次登錄時必須更改密碼”、“用戶不能更改密碼”、“密碼永不過期”、“賬戶已禁用”等，設(shè)置完成后，單擊“創(chuàng)建”按鈕新增用戶賬戶，如圖2.4所示。有關(guān)密碼的選項描述如表2.1所示。創(chuàng)建完用戶后，單擊“關(guān)閉”按鈕返回到“計算機管理”控制臺。南方理工技工學校計算機教研室表2.1密碼選項描述

選

項描

述密碼

要求用戶輸入密碼，系統(tǒng)用“*”顯示確認密碼要求用戶再次輸入密碼以確認輸入正確用戶下次登錄時必須更改密碼要求用戶下次登錄時必須修改該密碼用戶不能更改密碼不允許用戶修改密碼，通常用于多個用戶共用一個用戶賬戶，如Guest等密碼永不過期密碼永久有效，通常用于WindowsServer2003的服務(wù)賬戶或應用程序所使用的用戶賬戶賬戶已禁用禁用用戶賬戶南方理工技工學校計算機教研室2.1.3設(shè)置用戶賬戶的屬性用戶賬戶不只包括用戶名和密碼等信息，為了管理和使用的方便，一個用戶還包括其他的一些屬性，如用戶隸屬的用戶組、用戶配置文件、用戶的撥入權(quán)限、終端用戶設(shè)置等。在“本地用戶和組”的右側(cè)欄中，雙擊一個用戶，將顯示“用戶屬性”對話框，如圖2.5所示。南方理工技工學校計算機教研室設(shè)置用戶賬戶的屬性（續(xù)）“常規(guī)”選項卡可以設(shè)置與賬戶有關(guān)的一些描述信息，包括全名、描述、賬戶選項等。管理員可以設(shè)置密碼選項或禁用賬戶，如果賬戶已經(jīng)被系統(tǒng)鎖定，管理員可以解除鎖定。南方理工技工學校計算機教研室設(shè)置用戶賬戶的屬性（續(xù)）“隸屬于”選項卡在“隸屬于”選項卡中，可以設(shè)置將該賬戶加入到其他的本地組中。為了管理的方便，通常都需要對用戶組進行權(quán)限的分配與設(shè)置，用戶屬于哪個組，用戶就具有該用戶組的權(quán)限。新增的用戶賬戶默認的是加入到Users組，Users組的用戶一般不具備一些特殊權(quán)限，如安裝應用程序、修改系統(tǒng)設(shè)置等。所以當要分配這個用戶一些的權(quán)限時，可以將該用戶賬戶加入到其他的組，也可以單擊“刪除”按鈕將用戶從一個或幾個用戶組中刪除。南方理工技工學校計算機教研室設(shè)置用戶賬戶的屬性（續(xù)）“配置文件”選項卡在“配置文件”選項卡可以設(shè)置用戶賬戶的配置文件路徑、登錄腳本和主文件夾路徑。本地用戶賬戶的配置文件，都是保存在本地磁盤%userprofile%文件夾中。注意三種不同的配置文件類型。南方理工技工學校計算機教研室①默認用戶配置文件。默認用戶配置文件是所有用戶配置文件的基礎(chǔ)。當用戶第一次登錄到一臺運行WindowsServer2003的計算機上時，WindowsServer2003會將本地默認用戶配置文件夾復制到%Systemdrive%\DocumentsandSettings\%Username%中，以作為初始的本地用戶配置文件。②本地用戶配置文件。保存在本地計算機上的%Systemdrive%\DocumentsandSettings\%Username%文件夾中，所有對桌面設(shè)置的改動都可以修改用戶配置文件。多個不同的本地用戶配置文件可保存在一臺計算機上。③漫游用戶配置文件。為了支持在多臺計算機上工作的用戶，用戶可以設(shè)置漫游用戶配置文件。漫游用戶配置文件可以保存在某個網(wǎng)絡(luò)服務(wù)器上，且只能由系統(tǒng)管理員創(chuàng)建。用戶無論從哪臺計算機登錄，均可獲得這一配置文件。用戶登錄時，WindowsServer2003會將該漫游用戶配置文件從網(wǎng)絡(luò)服務(wù)器復制到該用戶當前所用的WindowsServer2003機器上。因此，用戶總是能得到自己的桌面環(huán)境設(shè)置和網(wǎng)絡(luò)連接設(shè)置。漫游用戶配置文件只能在域環(huán)境下實現(xiàn)。三種不同類型的配置文件南方理工技工學校計算機教研室5.1.4刪除本地用戶賬戶當用戶不再需要使用某個用戶賬戶時，可以將其刪除。刪除用戶賬戶會導致與該賬戶有關(guān)的所有信息的遺失，所以在刪除之前，最好確認其必要性或者考慮用其他的方法，例如禁用該賬戶。許多企業(yè)給臨時員工設(shè)置了Windows賬戶，當臨時員工離開企業(yè)時將賬戶禁用，但新來的臨時員工需要用該賬戶時，只需改名即可。在“計算機管理”控制臺中，選擇要刪除的用戶賬戶執(zhí)行刪除功能，如圖2.10所示，但是系統(tǒng)內(nèi)置賬戶如Administrator、Guest等無法刪除。南方理工技工學校計算機教研室關(guān)于SID號每個用戶都有一個名稱之外的唯一標識符SID號，SID號在新增賬戶時由系統(tǒng)自動產(chǎn)生，不同賬戶的SID不會相同。由于系統(tǒng)在設(shè)置用戶的權(quán)限、訪問控制列表中的資源訪問能力信息時，內(nèi)部都使用SID號，所以一旦用戶賬戶被刪除，這些信息也就跟著消失了。重新創(chuàng)建一個名稱相同的用戶賬戶，也不能獲得原先用戶賬戶的權(quán)限。南方理工技工學校計算機教研室5.2.1本地組賬戶的概述組賬戶是計算機的基本安全組件，用戶賬戶的集合。但是，組賬戶并不能用于登錄計算機，但是可以用于組織用戶賬戶。通過使用組，管理員可以同時向一組用戶分配權(quán)限，故可簡化對用戶賬戶的管理。組可以用于組織用戶賬戶，讓用戶繼承組的權(quán)限。注意：同一個用戶賬戶可以同時為多個組的成員，這樣該用戶的權(quán)限就是所有組權(quán)限的合并。WindowsServer2003有幾個內(nèi)置組，在需要的時候，用戶還可以創(chuàng)建新組。例如，可以創(chuàng)建一個比Users更多的權(quán)限，但比PowersUsers較少權(quán)限的組。為了使某個組的成員有更多或更少的權(quán)限，用戶也可以定義組的權(quán)限和優(yōu)先級，當重新定義組的權(quán)限時，這個組中的所有成員用戶將自動更新以響應這些改變。南方理工技工學校計算機教研室內(nèi)置組賬戶打開“計算機管理”管理控制臺，在“本地用戶和組”樹中的“組”目錄里，可以查看本地內(nèi)置的所有組賬戶。南方理工技工學校計算機教研室內(nèi)置組賬戶的權(quán)限系統(tǒng)為這些本地組預先指派了權(quán)限，如Administrators組對計算機具有完全控制權(quán)，具有從網(wǎng)絡(luò)訪問此計算機，可以調(diào)整進程的內(nèi)存配額，允許本地登錄等權(quán)限。BackupOperators組可以從網(wǎng)絡(luò)訪問此計算機，允許本地登錄、備份文件及目錄、備份和還原文件、關(guān)閉系統(tǒng)等。南方理工技工學校計算機教研室2.2.3刪除、重命名本地組及修改本地組成員當計算機中的組不需要時，系統(tǒng)管理員可以對組執(zhí)行清除任務(wù)。每個組都擁有一個唯一的安全標識符（SID），所以一旦刪除了用戶組，就不能重新恢復，即使新建一個與被刪除組有相同名字和成員的組，也不會與被刪除組有相同的特性和特權(quán)。在“計算機管理”控制臺中選擇要刪除的組賬戶，然后執(zhí)行刪除功能，如圖2.16所示，在彈出的對話框中選擇“是”即可。南方理工技工學校計算機教研室刪除內(nèi)置組但是，管理員只能刪除新增的組，不能刪除系統(tǒng)內(nèi)置的組。當管理員刪除系統(tǒng)內(nèi)置組時，系統(tǒng)將拒絕刪除操作。若要刪除Administrators組，出現(xiàn)的對話框如圖2.17所示。南方理工技工學校計算機教研室重命名內(nèi)置組重命名組的操作與刪除組的操作類似，只需要在彈出的菜單中選擇“重命名”，輸入相應的名稱即可。要修改本地組成員，只要雙擊組名稱，彈出如圖2.18所示的對話框。在彈出的對話框中選擇成員單擊“刪除”按鈕，即可以刪除組成員。如果要添加組成員，單擊“添加”按鈕，再選擇相應用戶即可。南方理工技工學校計算機教研室5.3設(shè)置本地安全策略在WindowsServer2003中，為了確保計算機的安全，允許管理員對本地安全進行設(shè)置，從而達到提高系統(tǒng)安全性的目的。WindowsServer2003對登錄到本地計算機的用戶都定義了一些安全設(shè)置。所謂本地計算機是指用戶登錄執(zhí)行WindowsServer2003的計算機，在沒有活動目錄集中管理的情況下，本地管理員必須為計算機進行設(shè)置以確保其安全。例如，限制用戶如何設(shè)置密碼、通過賬戶策略設(shè)置賬戶安全性、通過鎖定賬戶策略避免他人登錄計算機、指派用戶權(quán)限等。將這些安全設(shè)置分組管理，就組成了WindowsServer2003的本地安全策略。南方理工技工學校計算機教研室“本地安全設(shè)置”控制臺WindowsServer2003在“管理工具”菜單提供了“本地安全設(shè)置”控制臺，可以集中管理本地計算機的安全設(shè)置原則，使用管理員賬戶登錄到本地計算機，即可打開“本地安全設(shè)置”控制臺南方理工技工學校計算機教研室密碼安全設(shè)置密碼必須符合復雜性要求；密碼長度最小值；密碼使用期限；強制密碼歷史；南方理工技工學校計算機教研室賬戶鎖定策略南方理工技工學校計算機教研室用戶權(quán)限分配WindowsServer2003將計算機管理各項任務(wù)設(shè)定為默認的權(quán)限，例如，從本地登錄系統(tǒng)、更改系統(tǒng)時間、從網(wǎng)絡(luò)連接到該計算機、關(guān)閉系統(tǒng)等。系統(tǒng)管理員在新增了用戶賬戶和組賬戶后，如果需要指派這些賬戶管理計算機的某項任務(wù)，可以將這些賬戶加入到內(nèi)置組，但這種方式不夠靈活。系統(tǒng)管理員可以單獨為用戶或組指派權(quán)限，這種方式提供了更好的靈活性。用戶權(quán)限的分配在“本地安全設(shè)置”的“本地策略”下設(shè)置，如圖2.24所示。南方理工技工學校計算機教研室用戶權(quán)限分配南方理工技工學校計算機教研室用戶權(quán)限分配從網(wǎng)絡(luò)訪問這臺計算機是指允許哪些用戶及組可以通過網(wǎng)絡(luò)連接到該計算機，如圖2.25所示。默認為Administrators、BackupOperators、PowerUsers、Users和Everyone組。由于Everyone組允許通過網(wǎng)絡(luò)連接到此計算機，所以網(wǎng)絡(luò)中的所有用戶，默認都可以訪問這臺計算機。南方理工技工學校計算機教研室用戶權(quán)限分配允許本地登錄。允許在本地登錄原則設(shè)置，決定哪些用戶可以交互式地登錄此計算機，默認為Administrators、BackupOperators、PowerUsers，如圖2.26所示。另一個安全設(shè)置是“拒絕本