用戶賬戶與組的管理

第一頁，共五十頁，編輯于2023年，星期三一、管理本地用戶(lusrmgr.msc)賬戶賬戶是計(jì)算機(jī)的基本安全對(duì)象，WindowsServer2003包含了兩種賬戶：用戶賬戶和組賬戶。保證Windows安全性的主要方法有以下4點(diǎn)：

嚴(yán)格定義各種賬戶權(quán)限；使用組規(guī)劃用戶權(quán)限，簡化賬戶權(quán)限的管理；禁止非法計(jì)算機(jī)連入網(wǎng)絡(luò)；應(yīng)用本地安全策略和組策略。

用戶賬戶與組的管理第二頁，共五十頁，編輯于2023年，星期三管理本地用戶用戶賬戶是計(jì)算機(jī)的基本安全組件，計(jì)算機(jī)通過用戶賬戶來辨別用戶身份，讓有使用權(quán)限的人登錄計(jì)算機(jī)，訪問本地計(jì)算機(jī)資源或從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)的共享資源。指派不同用戶不同的權(quán)限，可以讓用戶執(zhí)行不同的計(jì)算機(jī)管理任務(wù)。1.1用戶賬戶的概述第三頁，共五十頁，編輯于2023年，星期三5.1管理本地用戶本地用戶賬戶僅允許用戶登錄訪問創(chuàng)建該賬戶計(jì)算機(jī)。5.1.2本地用戶賬戶WindowsServer2003默認(rèn)只有：（1）Administrator賬戶

（2）Guest賬戶Administrator賬戶可以執(zhí)行計(jì)算機(jī)管理的所有操作；而Guest賬戶是為臨時(shí)訪問用戶而設(shè)置的，默認(rèn)是禁用的。第四頁，共五十頁，編輯于2023年，星期三5.1管理本地用戶系統(tǒng)指派權(quán)利、授權(quán)資源訪問權(quán)限等都需要使用安全標(biāo)識(shí)符。當(dāng)刪除一個(gè)用戶賬戶后，重新創(chuàng)建名稱相同的賬戶并不能獲得先前賬戶的權(quán)利。用戶登錄后，可以在命令提示符狀態(tài)下輸入“whoami/logonid”命令查詢當(dāng)前用戶賬戶的安全標(biāo)識(shí)符。5.1.2本地用戶賬戶第五頁，共五十頁，編輯于2023年，星期三5.1管理本地用戶遵循以下的規(guī)則和約定可以簡化賬戶創(chuàng)建后的管理工作：5.1.3本地用戶賬戶的創(chuàng)建規(guī)劃新的用戶賬戶

（1）命名約定

（2）密碼原則第六頁，共五十頁，編輯于2023年，星期三5.1管理本地用戶創(chuàng)建的步驟如下:（1）打開“開始”→“管理工具”→“計(jì)算機(jī)管理”。（2）展開“本地用戶和組”，在“用戶”目錄上單擊鼠標(biāo)右鍵，選擇“新用戶”命令。5.1.3本地用戶賬戶的創(chuàng)建2.創(chuàng)建本地用戶賬戶（3）打開“新用戶”對(duì)話框后，輸入用戶名、全名和描述，并且輸入密碼。第七頁，共五十頁，編輯于2023年，星期三5.1管理本地用戶5.1.3本地用戶賬戶的創(chuàng)建2.創(chuàng)建本地用戶賬戶第八頁，共五十頁，編輯于2023年，星期三5.1管理本地用戶2．“隸屬于”選項(xiàng)卡“常規(guī)”選項(xiàng)卡5.1.4設(shè)置本地用戶賬戶的屬性3．“配置文件”選項(xiàng)卡（1）用戶配置文件。用戶配置文件有以下幾種類型：①默認(rèn)用戶配置文件。第九頁，共五十頁，編輯于2023年，星期三5.1管理本地用戶（2）用戶主文件夾。5.1.4設(shè)置本地用戶賬戶的屬性④強(qiáng)制用戶配置文件?！癗tuser.dat”改成“Ntuser.man”

（3）登錄腳本。%SystemRoot%\System32\Repl\Import\Scripts

②本地用戶配置文件。③漫游用戶配置文件。第十頁，共五十頁，編輯于2023年，星期三5.1管理本地用戶5.1.4設(shè)置本地用戶賬戶的屬性第十一頁，共五十頁，編輯于2023年，星期三5.1管理本地用戶5.1.4設(shè)置本地用戶賬戶的屬性第十二頁，共五十頁，編輯于2023年，星期三5.1管理本地用戶當(dāng)用戶不再需要使用某個(gè)用戶賬戶時(shí)，可以將其刪除。刪除用戶賬戶會(huì)導(dǎo)致與該賬戶有關(guān)的所有信息的遺失。5.1.5刪除本地用戶賬戶一旦用戶賬戶被刪除,這些信息也就跟著消失了。重新創(chuàng)建一個(gè)名稱相同的用戶賬戶，也不能獲得原先用戶賬戶的權(quán)限。第十三頁，共五十頁，編輯于2023年，星期三5.1管理本地用戶用命令行方式創(chuàng)建一個(gè)新用戶：netuserusernamepassword/add

5.1.6使用命令行創(chuàng)建用戶用命令行方式修改密碼：netuserusernamepassword

第十四頁，共五十頁，編輯于2023年，星期三5.2管理本地組5.2.1本地組概述常用的默認(rèn)組包括：﹡Administrators﹡BackupOperators﹡Guests﹡PowerUsers﹡PrintOperators﹡RemoteDesktopUsers﹡Users第5章用戶賬戶與組的管理第十五頁，共五十頁，編輯于2023年，星期三以下幾種特殊組：﹡AnonymousLogon5.2管理本地用戶5.2.1本地組概述﹡AnonymousLogon﹡Everyone﹡NetworkNetwork組的成員：﹡Interactive第十六頁，共五十頁，編輯于2023年，星期三1.Windows方式打開“計(jì)算機(jī)管理”管理單元。右擊“組”文件夾，從快捷菜單中選擇“新建組”。在“新建組”對(duì)話框中，輸入組名和描述，然后單擊“添加”向組中添加成員。5.2管理本地用戶5.2.2創(chuàng)建本地組2.命令方式創(chuàng)建一個(gè)組,命令格式為：netlocalgroupgroupname/add第十七頁，共五十頁，編輯于2023年，星期三5.2管理本地用戶5.2.2創(chuàng)建本地組第十八頁，共五十頁，編輯于2023年，星期三1.Windows操作：1.右擊“我的電腦”，選擇“管理”，打開“計(jì)算機(jī)管理”管理單元。5.2管理本地用戶5.2.3為本地組添加成員2. 在左窗格中展開“本地用戶和組”對(duì)象;選擇“組”對(duì)象，顯示本地組。3.雙擊要添加成員的組,打開組的“屬性”對(duì)話框。4.單擊“添加”按鈕，選擇要加入的用戶即可。、2.使用命令行的話，可以使用命令：netlocalgroupgroupnameusername/add第十九頁，共五十頁，編輯于2023年，星期三本地用戶賬戶DEMO（1）DEMO利用注冊(cè)表（SAM）

A：克隆管理員用戶

B:隱藏賬戶

第二十頁，共五十頁，編輯于2023年，星期三第5章用戶賬戶與組的管理分類：

（1）用戶賬戶提供對(duì)資源的訪問和單點(diǎn)登錄（2）組賬戶幫助簡化管理（3）計(jì)算機(jī)賬戶啟用對(duì)資源的驗(yàn)證和審核5.3管理域用戶和組第二十一頁，共五十頁，編輯于2023年，星期三1.域用戶賬戶安裝完活動(dòng)目錄，就已經(jīng)添加了一些內(nèi)置域賬戶，它們位于Users容器中，如：Administrator、GuestAdministrator賬戶是以下組的成員：Administrators、DomainAdmins、EnterpriseAdmins、GroupPolicyCreatorOwners和SchemaAdmins

5.3管理域用戶和組

5.3.1管理域用戶和計(jì)算機(jī)賬戶第二十二頁，共五十頁，編輯于2023年，星期三域用戶賬號(hào)域用戶賬戶用來使用戶能夠登錄到域或其他計(jì)算機(jī)中，從而獲得對(duì)網(wǎng)絡(luò)資源的訪問權(quán)。經(jīng)常訪問網(wǎng)絡(luò)的用戶都應(yīng)擁有網(wǎng)絡(luò)惟一的用戶賬戶。如果網(wǎng)絡(luò)中有多個(gè)域控制器，可以在任何域控制器上創(chuàng)建新的用戶賬戶，因?yàn)檫@些域控制器都是對(duì)等的。當(dāng)在一個(gè)域控制器上創(chuàng)建新的用戶賬戶時(shí)，這個(gè)域控制器會(huì)把信息復(fù)制到其他域控制器，從而確保該用戶可以登錄并訪問任何一個(gè)域控制器。第二十三頁，共五十頁，編輯于2023年，星期三內(nèi)置用戶賬號(hào)WindowsServer2003自動(dòng)創(chuàng)建若干個(gè)用戶賬號(hào)，并且賦予了相應(yīng)的權(quán)限，稱為內(nèi)置賬號(hào)。內(nèi)置用戶賬號(hào)不允許被刪除。最常用的兩個(gè)內(nèi)置賬號(hào)是Administrator和Guest。使用內(nèi)置Administrator（管理員）賬號(hào)管理計(jì)算機(jī)和域配置。Guest（來客）賬號(hào)一般被用于在域中或計(jì)算機(jī)中沒有固定賬號(hào)的用戶臨時(shí)訪問域或計(jì)算機(jī)時(shí)使用的。第二十四頁，共五十頁，編輯于2023年，星期三創(chuàng)建域用戶賬號(hào)“管理工具”——“ActiveDirectory用戶和計(jì)算機(jī)”第二十五頁，共五十頁，編輯于2023年，星期三新建對(duì)象——用戶第二十六頁，共五十頁，編輯于2023年，星期三輸入密碼

第二十七頁，共五十頁，編輯于2023年，星期三強(qiáng)密碼的特征長度至少有7個(gè)字符。不包含用戶名、真實(shí)姓名或公司名稱。不包含完整的字典詞匯。包含全部下列4組字符類型：大寫字母（A、B、C．．．）、小寫字母（a、b、c．．．）、數(shù)字（0、l、2、3、4、5、6、7、8、9）、鍵盤上的符號(hào)（鍵盤上所有未定義為字母和數(shù)字的字符，如`～!@#$%^&（）*_+-{}[]|\/?:”;’<>,.）。賬戶已禁用。防止用戶使用選定的賬戶登錄，當(dāng)用戶暫時(shí)離開企業(yè)時(shí)，可以使用該選項(xiàng)，以便日后迅速啟用。也可以禁用一個(gè)可能有威脅的賬戶，當(dāng)排除問題之后，再重新啟用該賬戶。許多管理員將禁用的賬戶用做公用用戶賬戶的模板。以后擬再使用該賬戶時(shí)，可以在該賬戶上右擊，并在彈出的快捷菜單中選擇“啟用賬戶”選項(xiàng)即可。第二十八頁，共五十頁，編輯于2023年，星期三密碼策略用戶何時(shí)需要重置密碼忘記密碼時(shí)；重置密碼后，用戶將不能訪問某些資源：使用用戶公鑰加密的EMAIL

本地保存的IE密碼用戶加密的文件第二十九頁，共五十頁，編輯于2023年，星期三設(shè)置用戶賬號(hào)屬性第三十頁，共五十頁，編輯于2023年，星期三1.設(shè)置個(gè)人屬性——常規(guī)、地址選項(xiàng)卡第三十一頁，共五十頁，編輯于2023年，星期三設(shè)置個(gè)人屬性——電話、單位選項(xiàng)卡第三十二頁，共五十頁，編輯于2023年，星期三2.設(shè)置賬號(hào)屬性

第三十三頁，共五十頁，編輯于2023年，星期三3.設(shè)置登錄時(shí)間第三十四頁，共五十頁，編輯于2023年，星期三4.設(shè)置用戶可登錄的計(jì)算機(jī)

第三十五頁，共五十頁，編輯于2023年，星期三維護(hù)用戶賬號(hào)1.禁用、啟用、重命名和刪除用戶賬號(hào)第三十六頁，共五十頁，編輯于2023年，星期三2.重設(shè)密碼第三十七頁，共五十頁，編輯于2023年，星期三5.3管理域用戶和組

5.3.2組對(duì)象的管理組的種類及作用域

1.組的種類組在WindowsServer2003中分為安全組和通信組。

1）安全組安全組列在定義資源和對(duì)象權(quán)限的選擇性訪問控制表（DACL）中，它將用戶、計(jì)算機(jī)和其他組對(duì)象作為一個(gè)可管理的單位。

2）通信組通信組不列在定義資源和對(duì)象權(quán)限的選擇性訪問控制表（DACL）中，它不采用安全機(jī)制。第三十八頁，共五十頁，編輯于2023年，星期三5.3.2組對(duì)象的管理2.組的作用域組在域樹或域林中的應(yīng)用范圍稱為組的作用域，它有三種類型：

1）通用組有通用作用域的組稱為通用組。

2）全局組有全局作用域的組稱為全局組。

3）本地組有本地作用域的組稱為本地組。第三十九頁，共五十頁，編輯于2023年，星期三1.創(chuàng)建組（1）打開“ActiveDirectory用戶和計(jì)算機(jī)”管理工具，選擇要新建的組所屬的域、容器或組織單位。以在“Users”中創(chuàng)建組為例，用右鍵單擊“Users”，選擇“新建”，再單擊“組”。（2）這時(shí)系統(tǒng)彈出“新建對(duì)象－組”窗口。輸入組名，并根據(jù)需要選擇組作用域和組類型。（3）按“確定”按鈕，完成組的創(chuàng)建，便可在“ActiveDirectory用戶和計(jì)算機(jī)”管理工具中看見我們新創(chuàng)建的組。用戶組的創(chuàng)建與管理第四十頁，共五十頁，編輯于2023年，星期三創(chuàng)建組第四十一頁，共五十頁，編輯于2023年，星期三2.設(shè)置組可以對(duì)剛才創(chuàng)建的組進(jìn)行移動(dòng)該組到其他容器、向全組發(fā)送郵件、刪除、重命名等操作，如圖所示。用戶組的創(chuàng)建與管理第四十二頁，共五十頁，編輯于2023年，星期三1）設(shè)置組成員選擇“屬性”，系統(tǒng)彈出“Check屬性”窗口，再選擇“成員”選項(xiàng)卡，如圖所示。用戶組的創(chuàng)建與管理第四十三頁，共五十頁，編輯于2023年，星期三2）設(shè)置組隸屬于選擇“屬性”，系統(tǒng)彈出“Check屬性”窗口，再選擇“隸屬于”選項(xiàng)卡，如圖所示。選擇該組所屬的其他安全組，該設(shè)置可確定該組的權(quán)限。用戶組的創(chuàng)建與管理第四十四頁，共五十頁，編輯于2023年，星期三3）移動(dòng)組選擇“移動(dòng)”，系統(tǒng)會(huì)出現(xiàn)如圖所示窗口。再選擇要移入的容器，最后按“確定”按鈕便可完成移動(dòng)。用戶組的創(chuàng)建與管理第四十五頁，共五十頁，編輯于2023年，星期三5.3.3計(jì)算機(jī)賬戶的管理在域中創(chuàng)建計(jì)算機(jī)賬戶在域中每臺(tái)計(jì)算機(jī)的賬戶都是惟一的，可以通過“ActiveDirectory用戶和計(jì)算機(jī)”管理工具來創(chuàng)建計(jì)算機(jī)用戶（1）打開“ActiveDirectory用戶和計(jì)算機(jī)”管理工具，用右鍵單擊窗口右邊的“Computer”（也可以選擇其他容器）進(jìn)行添加計(jì)算機(jī)賬戶，單擊“計(jì)算機(jī)”，彈出一個(gè)“