管理本地用户和组
第三章 本地用户和组的管理
第三章本地用户和组的管理〖教学目标〗理解什么是用户,什么是组;掌握创建账户和组的方法;掌握常用的本地账户和组的管理操作;熟悉MMC的操作;树立使用账户和组保护计算机和网络系统安全的意识;了解用户和组的管理中一些基本的原则和技巧。
〖教学重点〗账户和组的概念;Administrator和Administrators;账户和组的常用管理操作。
〖教学难点〗组的概念。
〖教学内容〗本章主要介绍用户和组的基本概念;账户和组的类型;本地账户的创建和常用管理操作;用户组的创建和常用管理操作。
3.1 概述怎么保护计算机系统和网络系统的安全?怎么限制用户对系统的访问?怎么保护你计算机中的信息不被人非法窃取?我们要为自己的系统加上一个海关检查站,而用户的账户就是进入海关的通行证。
使用用户账户和组,是保护系统安全和网络资源的基本方法。
计算机和网络系统通过账户把使用者区别和隔离开来,让用户可以定制自己的使用环境;防止用户破坏其他用户的数据等。
任何人访问你管理的系统,都应该由你给他们分配唯一的账户,这可以让你知道谁做了什么事,并且防止破坏其他用户的设置和非法获得其他人的文件等。
一个账户包括账户名、密码、权限等信息,这些信息存储在计算机中,是Windows Server 2003网络上的个人唯一标识;系统通过账户来确认用户的身份,并赋予用户对资源的访问权限。
SID:每一个账号在创建的时候都有一个Security ID(SID,安全标识符),当用户访问系统的资源时,系统根据其账户的SID,检查用户是否具有和具有哪些权利和权限,然后再让用户在其权利和权限范围内进行访问。
Windows不是根据用户名来识别用户的,而是根据这个SID来识别用户的,如果SID不一样,就算用户名等其它设置一模一样,Windows也会认为是不一样的两个账号。
这就像我们的户籍管理,只认你的身份证号是否正确,而不管你的名字是否相同是一个道理的。
而且SID是Windows在创建该账号的时候随机给的,所以说当删除了一个账号后,即使再次建立一个一模一样的账号,其SID和原来的那个是不一样,那么他的NTFS权限就必须重新设置。
本地用户和组
3.2 本地用户账号的创建与管理
用户帐号的建立
• 用户的建立必须是管理员或账号管理员。 • Windows 2003 一般情况下必须输入用户名和密 码才能才允许登录。密码可以为空,但不能像 Windows 98那样取消也可以进入。 • 右键我的电脑,管理,本地用户和组,用户,右 键新用户,输入用户名、密码等信息即可。
3.3 组及其分类
• 组的概念 组是用户账号的集合。Windows 2003内置 了很多组,如administrators,Backup administrators Backup Operators组等,操作系统为这些组内置了一 Operators 些功能。 利用组可以简化对用户和计算机访 问共享资源的管理。 • 可以利用组一次对多个用户授予访问权力。 如一个科室或一个班。
创建用户帐户
• 用户名:用户的唯一登录名称,一般为英 文。不允许重名,不区别大小写,即 USER01与user01是一个用户。 • 全称:用户的全名。(起辅助作用,标识 是哪一个人)。一般用汉字,可选。 • 描述:用户所属部门、头衔、办公地点。 一般用汉字,可选。 • 密码:尽可能复杂一些,数字、字母、符 号交错使用,区别大小写,推荐8个。
• 重设用户密码
右键某用户,设置密码,可以输入相应密码,如果什么都 不输入,即清除了原用户的密码。
• 禁用用户帐户
右键某用户,属性,选“帐户已停用”。想启用该用户时, 只需把该“√”去掉即可。
• 重命名用户帐户
可以为用户改名
• 删除用户帐户
把系统不用的用户帐户删除,但建议一般情况下谨慎处理, 因为删除之后,该用户所有的权力全都丢失。
常用的本地组
• Administrator组 管理员组,它对系统内的所有权限和能力有完全的控制, 该组中的成员都是系统的管理员。但注意,有些地方权 力还没有administrator大。 • Backup Operators组 该组中的成员可备份和还原系统中文件和目录,它的权 限还包括在本机上登录、关闭系统。 • Power Users组 该组成员的权限有在本机登录、从网络上访问本机、改 变系统时间和关闭系统等。还包括锁定计算机、共享目 录和打印机以及管理创建用户和本地组。 • Guests组 是一个临时用户组,只能从网络上访问本机系统。
实训七管理用户和组
实训七管理用户和组一、实训目的1.掌握本地帐户与域帐户的管理方法;2.掌握设置帐户属性的方法;3.掌握用户配置文件的创建方法;4.掌握用户组的管理方法;5.在活动目录中利用OU管理资源的方法。
二、实训环境Win2003server 1台、直通双绞线4根(每根3米)、WinXP 3台,组网形式如下。
三、实训理论基础每个用户都需要有一个帐户,以便登录到域访问网络资源或登录到某台计算机访问该机上的资源,创建和管理用户对象是网络管理员执行的最常见任务。
组是用户帐户的集合,管理员通常通过组来对用户的权限进行设置从而简化了管理。
1.用户账户简介Windows Server 2003提供两种主要类型用户账户:本地用户账户(Local User Account)和域用户账户(Domain User Account)。
除此之外,Windows Server 2003系统中还有内置用户账户(Built-in User Account)。
2.本地用户账户本地用户帐户只能登录到帐户所在的计算机并获得对该资源的访问。
当创建本地用户帐户后,Windows Server 2003将在该机的本地安全性数据库中创建该帐户,本地帐户信息存储在本地,不会被复制到其他计算机或域控制器。
当创建一个本地用户账户后,计算机使用本地安全性数据库验证本地用户账户,以便让用户登录到该计算机。
3.创建本地用户账户创建本地用户账户可以在除了域的域控制器以外的任何一台基于Windows Server 2003的计算机上进行。
出于安全性考虑,通常建议只在不是域的组成部分的计算机上创建和使用本地用户账户,即在属于域的计算机上不要设置本地账户。
工作组模式是使用本地用户账户的最佳场所,如图4.域用户账户域用户账户可让用户登录到域并获得对网络上其他地方资源的访问权。
域用户账户是在域控制器上建立的,作为Active Directory 的一个对象保存在域的Active Directory 数据库中。
第04章_本地用户和组的管理
用户被授权在计算机上执行某些操作,如备份文 件和文件夹或关机 权限是与对象相关的规则,它规定哪些用户可以 用何种方式访问对象 域账户是存储在Active Directory中
域账户是全企业范围的 用户利用域账户登录到网络,可以访问整个网络中有 权访问的资源
本地账户是对应特定计算机的对象
具有计算机的完全控制权
Guest
允许没有用户名和口令的用户也能访问计算机
为匿名访问IIS和终端服务的用户提供的内 置的账户
IUSR_computer _name IWAM_computer_name ……
8
4.3
创建和管理用户账户
创建用户账户 管理用户账户
9
4.3.1 创建用户账户
第四章
本地用户和组的管理
本章目标 熟悉如何规划本地用户账户 掌握创建和管理本地用户账户的方法 熟悉如何规划本地组 掌握创建和管理本地组的方法
2
本章内容
4.1 本地账户与域账户 4.2 规划用户账户
4.3 创建和管理用户账户
4.4 规划和使用组 4.5 创建和管理组
3
4.1
本地账户与域账户
只对一个特定计算机的SAM有效 只能提供特定计算机范围内的访问
4
4.2 规划用户账户 用户账户命名规则 密码规则 内置用户账户
5
4.2.1 用户账户命名规则 用户名应为1到20个字符 用户名不能与指定计算机上存放的所有其 它用户名或组名相同 用户名不能包含下列字符
/ \ [ ] :; | = , + * ? < > "
用户名不能只由句点和空格组成
6
4.2.2 密码规则 试图登录Windows Server 2003时,安全子 系统将核对用户提供的密码 本地用户账户的密码长度最多为127位字符 Windows 95 和 Windows 98 最多支持 14 个 字符的密码 密码区分大小写
第6次课-本地账户和组的管理-PPT
5、 管理本地账户
禁用/激活账户: 当账户暂时不用,为防止其她人员非法利用,可以禁用 Net user 用户名 /active:no Net user 用户名 /active:yes
删除账户: 员工离职时,应收回账户,防止其继续使用。 Windows创建得用户账户在系统内部就是使用安全标识
5、 管理本地账户
重命名账户: 当账户名称不规范或错误时,可以重命名,不改变SID,不影
响权限。 小技巧:如果公司有人离职,但该岗位还需招新员工。可以
不删除账户而直接通过重命名得方式传递给新员工,可以保 证账户数据不丢失。
小技巧:由于Windows系统管理员与来宾账号名众所周知, 因此出于安全,重命名可以为猜测增加难度。
3、 默认用户账户
Windows Server 2008提供两个默认用户账户: Administrator Guest
Administrator:系统管理员、超级用户,不但拥有最高得使 用资源权限(即完全控制权限),而且可以根据需要向其她用户 分配权限。能更名,能禁用,不能删除。
Guest:来宾账户,为临时访问计算机得用户提供得账户,不 需要密码(当然也可以设置密码)。为了保证系统安全,默认就 是禁用得。仅拥有很少权限。能更名、能禁用,不能删除。
6、 组账户介绍
组就是多个用户账户、计算机账户与其她组得集合,也就是操 作系统实现其安全管理机制得重要技术手段。使用组可以同时 为多个用户账户指派资源访问权限,简化管理,提高效率。
默认本地组账户: 计算机管理/服务器管理器→本地用户与组→组 Net localgroup命令 P71 Administrators Guests Users
得部分
账户密码选项 用户下次登录时必须更改密码 用户不能更改密码 密码永不过期 账户已禁用
网络操作系统3.3.1 任务一、创建和管理本地用户账户和组
任务一、创建本地用户账户和组1、用户账户规则1)账户名的命名规则:●账户名必须唯一,且不分大小写。
●用户的名最多可包含256个字符●在账户名中不能使用的字符有:'/\[]:;|=,+* ?< > .●用户名可以是字符和数字的组合。
●用户名不能与组名相同。
2)账户密码规则:●必须为Administrator账户分配密码,防止未经授权就使用。
●系统默认用户的密码至少7个字符,还要至少包含A-Z、a-z、0-9、非字母数字(例如!、#、$、%)等四组字符中的三种。
●密码的长度在8~128之间。
●密码中不能使用以下字符:‘/ \ | ;: = , + [ ]。
2、创建本地账户本地账户是工作在本地机的,只有系统管理员才能在本地创建用户。
下面举例说明如何创建本地用户,例如在w2008d成员服务器上创建本地帐户User1的操作步骤如下:1)选择菜单“开始”→“管理工具”→“计算机管理”→“本地用户和组”选项,在弹出的“计算机管理”窗口中,右击“用户”,选择“新用户”命令,如图3-1所示。
2)弹出“新用户”对话框,如图3-2所示。
图3-1 “计算机管理”窗口图3-2 “新用户”对话框有关对话框中的选项介绍如下:●用户名:系统本地登录时使用的名称。
●全名:用户的全称。
●描述:关于该用户的说明文字。
●密码:用户登录时使用的密码。
●确认密码:为防止密码输入错误,需再输入一遍。
●用户下次登录时须更改密码:用户首次登录时,使用管理员分配的密码,当用户再次登录时,强制用户更改密码,用户更改后的密码只有自己知道,这样可保证安全使用。
●用户不能更改密码:只允许用户使用管理员分配的密码。
●密码永不过期:密码默认的有限期为42天,超过42天系统会提示用户更改密码,选中此项表示系统永远不会提示用户修改密码。
●账户已禁用:选中此项表示任何人都无法使用这个账户登录,适用于企业内某员工离职时,防止他人冒用该账户登录。
windows本地用户及组的区别
windows本地⽤户及组的区别Administrators(超级管理员组)⽤来管理注册⽤户或者具有⼀定权限的其他管理员,维护⽹站的运⾏。
Administrators中的⽤户对计算机/域有不受限制的完全访问权,分配给该组的默认权限允许对整个系统进⾏完全控制。
即使Administrators组⽤户没有某⼀权限,也可以在本地安全策略中为⾃⼰添加该权限。
账户应⽤⼀个是管理⽂件,⼀个是更改系统安全设置。
Users进⾏⽇常应⽤,只具有最基本的权限,账户权限低于Administrators组账户,但⾼于Guests组账户。
Users组⽤户可以进⼊“⽹络和共享中⼼"并查看⽹络连接状态,但⽆法修改连接属性。
当然,Users组⽤户也⽆法关闭防⽕墙或更改防⽕墙策略。
同时,Users账户⽆法安装软件,也⽆法对该⽤户⽂件夹以外的C盘⽂件进⾏修改。
Gusets没有修改系统设置和进⾏安装程序的权限,只能是读取计算机系统信息和⽂件。
如果专业⼈⼠在⽤户不知情的情况下对Guest账户提权,并超越Administrator权限,就可以在⽤户的计算机中为所欲为。
虽能连接⽹络,但⽆法查看和更改“⽹络和共享设置”,⽆法改变防⽕墙规则或者关闭防⽕墙。
如果Guest试图对防⽕墙进⾏设置,就需要先登录⼀个管理员账户,再进⾏操作。
Guest账户没有对C盘⽂件进⾏移动、添加、删除和修改等操作的权限,但这⼀规则不适⽤于Guest⽤户⽂件夹下的⽂件,没有安装程序的权限。
禁⽤Guest账户,将导致其他⼈⽆法访问这台电脑的⽹络资源。
Remote Desktop Users如果需要使⽤某⼀账户进⾏远程桌⾯连接,,需要将该账户移⼊Remote Desktop Users组中。
该组账户权限⼩于users组账户,但⾼于Guests组账户,可以访问“⽹络和共享中⼼”,但⽆法查看并修改连接属性。
同时,Remote Desktop Users也⽆法关闭防⽕墙或修改防⽕墙策略。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
WINDOWS2003本地用户和组
用户:(CMD:net user)
SYSTEM 本地机器上拥有最高权限的用户:使用普通的用户管理工具通常是查看不到它们的 SID码 S-1-5-18
ADMINISTRATOR 基本上是本地机器上拥有最高权限的用户,你可以对它重命名,但不能删除
GUEST 只拥有相对极少的权限,在默认情况下是被禁止的
SUPPORT_388945A0 WINDOWS XP和WINDOWS2003中新增的一个用户帐户,可以用来通过WINDOWS中的HELP AND
SUPPORT CENTER (求助与支持中心)提供远程支持;默认情况下是被禁用的
IUSER_MACHINENAME 如果安装了IIS,别人就能使用这个帐户来匿名访问IIS;它是GUESTS用户组的用员
IWAM_MACHINENAME 如果安装了IIS,各种IIS应用程序就将运行在这个帐户下;它是IIS_WPG用户组的成员之一
TSINTERNETUSER 如果激活了远程终端服务,远程用户将被自动设置为这个帐户
用户组(CMD:net localgroup)
用户组是为简化用户管理工作而引入的一个概念--它们就像是一些容器,每个容器里是一些拥有同样权限的用户
Administrators 这个是用户组里成员在本地机器上拥有最高权限(SID-1-5-32-544)
USERS 本地机器上所有的用户帐户;这是一个低权限的用户组(SID:S-1-5-32-545)
GUESTS 与USER组相同
Remote Desktop Users WINDOWS2003中新增用户组,相当于远程终端用户
Network Configuration Operators WINDOWS2003新增用户组这个用户组有足够的权限去管理网络配置状况
HelpServicesGroup WINDOWS2003中新增的用户组,供HELP AND SUPPORT CENTRER组件使用Backup Operators 虽然不ADMINISTRATORS的权限大,,但也差不多
Power Users 拥有的权限比 Users 组的成员所拥有的多,但比 Administrators 组的成员所拥有的少
Print Operators 虽然不如ADMINISTOR的权限大,但也相差不多.
IIS_WPG WINDOWS2003中新增用户组,如果安装了IIS,,WEB应用进程的帐户将被容纳在这个用户组里
Performance Log Users WINDOWS2003中新增的用户组,这个用户组有权从远程安排性能计数器的日志工作
*Performance Monitor Users WINDOWS2003中新增的用户组,这个用户组有权从远程监控计算机的运行情况
域控制器WINDOWS2003中还有一些用户组
CERT PUBLISHERS 这个组的成员有权在活动目录上发布证书
DNSADMINS DNS管理员(安装了WINDWOS DNS时才会存在)
DNSUPDATEPROXY 有权代表其它客户进行动态刷新的DNS客户(比如DHCP服务器;仅在安装了WINDWOS DNS时才会存在)
DDOMAIN ADMINS 这个组在域中拥有最高权限
DOMAIN USERS 域中的全体用户
DOMAIN COMPUTERS 域中的全部计算机
DOMAIN CONTROLLERS 域中的全部控制器
DOMAIN GUESTS 域中的全体GUEST用户
GROUP POLICY CREATOR OWNERS 这个组里的成员有权修改这个域的组策略
INCOMING FORST TRUST BUILDERS 这个组里的成员有权创建从外部进入本森林的单向信任关系PRE-WINDOWS2000 COMATIBLE ACCESS 为了与WINDOWS之前的WINDOWS版本保持向后兼容而建立的RAS AND IAS SERVERS 有权访问用户对象上的"REMOTE ACCESS"(远程访问)属性的服务器DNSADMINS DNS管理员管理范围权限于它所在的域
ENTERPRISE ADMINS 这个组在森林中拥有最高的权限
SCHEMA ADMINS 这个组里的成员有权编辑目录结构,权限相当大
WINDOWS AUTHORIZATION ACCESS GROUP 组成员有权访问用户对象上利用特定算法计出来的TOKENGROUPSGLOBALANDUNVERSAL属性
制作。