第2章Windows Server 2008本地用户和组
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
图2.19 “本地安全设置”控制台
1.密码安全设置
• 用户密码是保证计算机安全的第一道屏障,是计算 机安全的基础。如果用户账户特别是管理员账户没 有设置密码,或者设置的密码非常简单,那么计算 机将很容易被非授权用户登录,进而访问计算机资 源或更改系统配置。
• 目前互联网上的攻击很多都是因为密码设置过于简 单或根本没设置密码造成的,因此应该设置合适的 密码和密码设置原则,从而保证系统的安全。
• 在Windows Server 2008中,为了确保计算机的安 全,允许管理员对本地安全进行设置,从而达到提 高系统安全性的目的。 • Windows Server 2008对登录到本地计算机的用户 都定义了一些安全设置。所谓本地计算机是指用户 登录执行Windows Server 2008的计算机,在没有 活动目录集中管理的情况下,本地管理员必须为计 算机进行设置以确保其安全。
2.2.3
删除、重命名本地组及修改本地组成员
• 当计算机中的组不需要时,系统管理员可以对组执行清除任 务。每个组都拥有一个唯一的安全标识符(SID),所以一 旦删除了用户组,就不能重新恢复,即使新建一个与被删除 组有相同名字和成员的组,也不会与被删除组有相同的特性 和特权。在“计算机管理”控制台中选择要删除的组账户, 然后执行删除功能,如图2.16所示,在弹出的对话框中选择 “是”即可。
• 例如,限制用户如何设置密码、通过账户策略设置 账户安全性、通过锁定账户策略避免他人登录计算 机、指派用户权限等。将这些安全设置分组管理, 就组成了Windows Server 2008的本地安全策略。
2.3
设置本地安全策略(续)
• 系统管理员可以通过本地安全原则,确保执行的 Windows Server 2008计算机的安全。
2.1
本地用户账户
• 保证Windows Server 2008安全性的主要方法有以 下4点:
(1)严格定义各种账户权限,阻止用户可能进行具有危害 性的网络操作; (2)使用组规划用户权限,简化账户权限的管理; (3)禁止非法计算机连入网络; (4)应用本地安全策略和组策略制定更详细的安全规则。
2.1.1
•图2.5 “用户属性”对话框
2.1.3
设置用户账户的属性(续)
1.“常规”选项卡
2.“隶属于”选项卡 3.“配置文件”选项卡
2.1.4
删除本地用户账户
• 在“计算机管理”控制台中,选择要删除的用户账 户执行删除功能,如图2.10所示,但是系统内置账 户如Administrator、Guest等无法删除。
• 例如,判断账户的密码长度的最小值是否应该符合 密码复杂性要求,系统管理员可以设置哪些用户允 许登录本地计算机,以及从网络访问这台计算机的 资源,进而控制用户对本地计算机资源和共享资源 的访问。
2.3
设置本地安全策略(续)
Windows Server 2008在“管理工具”菜单提供了 “本地安全设置”控制台,可以集中管理本地计算 机的安全设置原则,使用管理员账户登录到本地计 算机,即可打开“本地安全设置”控制台,如图 2.19所示。
•图2.10 删除用户账户
2.2组账户管理来自2.2.1 本地组账户的概述
• 组账户是计算机的基本安全组件,用户账户的集 合。组账户并不能用于登录计算机,但可以用于组 织用户账户。通过使用组,管理员可以同时向一组 用户分配权限,故可简化对用户账户的管理。 • 组可以用于组织用户账户,让用户继承组的权限。
2.1.2
用户账户的创建(续)
(2)密码原则
• ① 一定要给 Administrator账户指定一个复杂密码,以防止 他人随便使用该账户。
• ② 确定是管理员还是用户拥有密码的控制权。用户可以给每 个用户账户指定一个唯一的密码,并防止他用户对其进行更 改,也可以允许用户在第一次登录时输入自己的密码。一般 情况下,用户应该可以控制自己的密码。
• ③ 密码不能太简单,应该不容易让他人猜出。 • ④ 密码最多可由 128 个字符组成,推荐最小长度为 8 个字 符。 • ⑤ 密码应由大小写字母、数字以及合法的非字母数字的字符 混合组成,如“P@ssw0rd”。
2.创建本地用户账户
• 用户可以用“计算机管理”中的“本地用户和组” 管理单元来创建本地用户账户,而且用户必须拥有 管理员权限。创建的步骤如下: • (1)打开“开始 | 管理工具 | 计算机管理”,如图 2.2所示。
•图2.4 “新增用户”对话框
2.1.3
设置用户账户的属性
• 用户账户不只包括用户名和密码等信息,为了管理和 使用的方便,一个用户还包括其他的一些属性,如用 户隶属的用户组、用户配置文件、用户的拨入权限、 终端用户设置等。在“本地用户和组”的右侧栏中, 双击一个用户,将显示“用户属性”对话框,如图 2.5所示。
3.用户权限分配
• 系统管理员可以单独为用户或组指派权限,这种方 式提供了更好的灵活性。用户权限的分配在“本地 安全设置”的“本地策略”下设置,如图2.24所示 。
图2.24 用户权限分配
习题2
• 2.1 什么是本地用户和本地组?
• 2.2 简述本地用户账户和域用户账户的区别。 • 2.3 什么是本地安全策略? • 2.4 如何设置本地安全策略?
2.2.1
本地组账户的概述(续)
• 打开“计算机管理”管理控制台,在“本地用户和 组”树中的“组”目录里,可以查看本地内置的所 有组账户,如图2.12所示。
图2.12 内置组账户
Windows Server 2008内置的组账户的权限
组 描 述 默认用户权利
Administrators
从网络访问此计算机;允许本 地登录;调整某个进程的内存 配额;允许通过终端服务登录; 该组的成员具有对服务器的完全控 备份文件和目录;更改系统时 制权限,并且可以根据需要向用户 间;调试程序;从远程系统强 指派用户权利和权限。默认成员有 制关机;加载和卸载设备驱动 Administrator账户 程序;管理审核和安全日志; 调整系统性能;关闭系统;取 得文件或其他对象的所有权 该组的成员可以备份和还原服务器 从网络访问此计算机;允许本 上的文件,而不考虑保护这些文件 地登录;备份文件和目录;忽 的安全设置。这是因为执行备份的 略遍历检查;还原文件和目录; 权限,优先于所有文件的使用权限, 关闭系统 但是不能更改文件的安全设置 该组成员拥有一个在登录时创建的 临时配置文件,在注销时,该配置 没有默认用户权利 文件将被删除。来宾账户(默认情 况下禁用)也是该组的默认成员
1.密码安全设置(续)
• Windows Server 2008的密码原则主要包括以下4 项:密码必须符合复杂性要求,密码长度最小值, 密码使用期限和强制密码历史等。
•图2.20 启用密码复杂性要求
2.账户锁定策略
• Windows Server 2008在默认情况下,没有对账户 锁定进行设定,为了保证系统的安全,最好设置账 户锁定策略。账户锁定原则包括如下设置:账户锁 定阈值、账户锁定时间和重设账户锁定计算机的时 间间隔。
2.1.2
用户账户的创建
• 1.规划新的用户账户
• 遵循以下的规则和约定可以简化账户创建后的管理 工作: (1)命名约定。 • ① 账户名必须唯一:本地账户必须在本地计算机上 唯一。 • ② 账户名不能包含以下字符:* / \ [ ] : : | = , + / < > “。
• ③ 账户名最长不能超过20个字符。
【本章提要】
• Windows Server 2008的用户账户管理
• Windows Server 2008的组账户管理 • 工作组与域环境 • 账户是计算机的基本安全对象,Windows Server 2008本地计算机包含了两种账户:用户账户和组账 户。本章主要介绍Windows Server 2008的用户账 户和组账户的设置和管理,以及在网络环境下选择 工作组还是域环境。
2.1.1
用户账户的概述(续)
• 用户登录后,可以在命令提示符状态下输入 “whoami /logonid”命令查询当前用户账户的安 全标识符,如图2.1所示。
图2.1 查询当前账户的SID
系统的内置账户Administrator和Guest简单 介绍
• Administrator:使用内置Administrator账户可以 对整台计算机或域配置进行管理,如创建修改用户 账户和组、管理安全策略、创建打印机、分配允许 用户访问资源的权限等。作为管理员,应该创建一 个普通用户账户,在执行非管理任务时使用该用户 账户,仅在执行管理任务时才使用Administrator 账户。Administrator账户可以更名,但不可以删 除。 • Guest:一般的临时用户可以使用内置Guest账户 进行登录并访问资源。在默认情况下,为了保证系 统的安全,Guest账户是禁用的,但在安全性要求 不高的网络环境中,可以使用该账户,且通常分配 给它一个口令。
用户账户的概述
• 用户账户是计算机的基本安全组件,计算机通过用 户账户来辨别用户身份,让有使用权限的人登录计 算机,访问本地计算机资源或从网络访问这台计算 机的共享资源。
• Windows Server 2008支持两种用户账户:域账户 和本地账户。域账户可以登录到域上,并获得访问 该网络的权限;本地账户则只能登录到一台特定的 计算机上,并访问该计算机上的资源。Windows Server 2008还提供内置用户账户,它用于执行特 定的管理任务或使用户能够访问网络资源。
•图2.2 计算机管理
2.创建本地用户账户(续)
• (2)在“计算机管理”管理控制台中,展开“本 地用户和组”,在“用户”目录上单击鼠标右键, 选择“新用户”命令,如图2.3所示。 • (3)打开“新用户”对话框后,输入用户名、全 名和描述,并且输入密码,如图2.4所示。
图2.3 选择“新用户”命令
2018年10月20日
第2章
Windows Server 2008本地用户和组
2.1 本地用户账户 2.1.1 用户账户的概述 2.1.2 用户账户的创建 2.1.3 设置用户账户的属性 2.1.4 删除本地用户账户 2.2 组账户管理 2.2.1 本地组账户的概述 2.2.2 创建本地用户组 2.2.3 删除、重命名本地组及修改本地组成员 2.3 设置本地安全策略
2.1.1
用户账户的概述(续)
• 本地用户账户仅允许用户登录并访问创建该账户的 计算机。当创建本地用户账户时,Windows Server 2008仅在计算机位于 %Systemroot%\system32\config文件夹下的安 全数据库(SAM)中创建该账户。
• Windows Server 2008默认只有Administrator账 户和Guest账户。Administrator账户可以执行计 算机管理的所有操作;而Guest账户是为临时访问 计算机的用户而设置的,但默认是禁用的。
Backup Operators
Guests
2.2.2
创建本地用户组
• 从“计算机管理”控制台中展开“本地用户和组” ,鼠标右键单击“组”按钮,选择“新建组”命令 ,如图2.13所示。在“新建组”窗口中输入组名和 描述,如图2.14所示,然后单击“创建”按钮即可 完成创建。
•图2.13 “新建组”对话框
•图2.16 “删除组”操作
2.2.3 续)
删除、重命名本地组及修改本地组成员(
• 管理员只能删除新增的组,不能删除系统内置的 组。当管理员删除系统内置组时,系统将拒绝删除 操作。 • 重命名组的操作与删除组的操作类似,只需要在弹 出的菜单中选择“重命名”,输入相应的名称即 可。
2.3
设置本地安全策略
•图2.23 账户锁定阈值
3.用户权限分配
• Windows Server 2008将计算机管理各项任务设定 为默认的权限。例如,从本地登录系统、更改系统 时间、从网络连接到该计算机、关闭系统等。 • 系统管理员在新增了用户账户和组账户后,如果需 要指派这些账户管理计算机的某项任务,可以将这 些账户加入到内置组,但这种方式不够灵活。系统 管理员可以单独为用户或组指派权限,这种方式提 供了更好的灵活性。