第2章 Windows Server 2008本地用户和组

•图2.16 “删除组”操作
2.2.3 续）
删除、重命名本地组及修改本地组成员（
• 管理员只能删除新增的组，不能删除系统内置的 组。当管理员删除系统内置组时，系统将拒绝删除 操作。 • 重命名组的操作与删除组的操作类似，只需要在弹 出的菜单中选择“重命名”，输入相应的名称即 可。
2.3
设置本地安全策略
2.2.1
本地组账户的概述（续）
• 打开“计算机管理”管理控制台，在“本地用户和 组”树中的“组”目录里，可以查看本地内置的所 有组账户，如图2.12所示。
图2.12 内置组账户
Windows Server 2008内置的组账户的权限
组 描 述 默认用户权利
Administrators
从网络访问此计算机；允许本 地登录；调整某个进程的内存 配额；允许通过终端服务登录； 该组的成员具有对服务器的完全控 备份文件和目录；更改系统时 制权限，并且可以根据需要向用户 间；调试程序；从远程系统强 指派用户权利和权限。默认成员有 制关机；加载和卸载设备驱动 Administrator账户 程序；管理审核和安全日志； 调整系统性能；关闭系统；取 得文件或其他对象的所有权 该组的成员可以备份和还原服务器 从网络访问此计算机；允许本 上的文件，而不考虑保护这些文件 地登录；备份文件和目录；忽 的安全设置。这是因为执行备份的 略遍历检查；还原文件和目录； 权限，优先于所有文件的使用权限， 关闭系统 但是不能更改文件的安全设置 该组成员拥有一个在登录时创建的 临时配置文件，在注销时，该配置 没有默认用户权利 文件将被删除。来宾账户（默认情 况下禁用）也是该组的默认成员
2.1
本地用户账户
• 保证Windows Server 2008安全性的主要方法有以 下4点：
（1）严格定义各种账户权限，阻止用户可能进行具有危害 性的网络操作； （2）使用组规划用户权限，简化账户权限的管理； （3）禁止非法计算机连入网络； （4）应用本地安全策略和组策略制定更详细的安全规则。
2.1.1
• 例如，判断账户的密码长度的最小值是否应该符合 密码复杂性要求，系统管理员可以设置哪些用户允 许登录本地计算机，以及从网络访问这台计算机的 资源，进而控制用户对本地计算机资源和共享资源 的访问。
2.3
设置本地安全策略（续）
Windows Server 2008在“管理工具”菜单提供了 “本地安全设置”控制台，可以集中管理本地计算 机的安全设置原则，使用管理员账户登录到本地计 算机，即可打开“本地安全设置”控制台，如图 2.19所示。
【本章提要】
• Windows Server 2008的用户账户管理
• Windows Server 2008的组账户管理 • 工作组与域环境 • 账户是计算机的基本安全对象，Windows Server 2008本地计算机包含了两种账户：用户账户和组账 户。本章主要介绍Windows Server 2008的用户账 户和组账户的设置和管理，以及在网络环境下选择 工作组还是域环境。
• ③ 密码不能太简单，应该不容易让他人猜出。 • ④ 密码最多可由128个字符组成，推荐最小长度为8个字 符。 • ⑤ 密码应由大小写字母、数字以及合法的非字母数字的字符 混合组成，如“P@ssw0rd”。
2．创建本地用户账户
• 用户可以用“计算机管理”中的“本地用户和组” 管理单元来创建本地用户账户，而且用户必须拥有 管理员权限。创建的步骤如下： • （1）打开“开始 | 管理工具 | 计算机管理”，如图 2.2所示。
2.1.1
用户账户的概述（续）
• 本地用户账户仅允许用户登录并访问创建该账户的 计算机。当创建本地用户账户时，Windows Server 2008仅在计算机位于 %Systemroot%\system32\config文件夹下的安 全数据库（SAM）中创建该账户。
• Windows Server 2008默认只有Administrator账 户和Guest账户。Administrator账户可以执行计 算机管理的所有操作；而Guest账户是为临时访问 计算机的用户而设置的，但默认是禁用的。
2.1.2
用户账户的创建
• 1．规划新的用户账户
• 遵循以下的规则和约定可以简化账户创建后的管理 工作： （1）命名约定。 • ① 账户名必须唯一：本地账户必须在本地计算机上 唯一。 • ② 账户名不能包含以下字符：* / \ [ ] : : | = ， + / < > “。
• ③ 账户名最长不能超过20个字符。
2013年7月10日
第2章
Windows Server 2008本地用户和组
2.1 本地用户账户 2.1.1 用户账户的概述 2.1.2 用户账户的创建 2.1.3 设置用户账户的属性 2.1.4 删除本地用户账户 2.2 组账户管理 2.2.1 本地组账户的概述 2.2.2 创建本地用户组 2.2.3 删除、重命名本地组及修改本地组成员 2.3 设置本地安全策略
•图2.4 “新增用户”对话框
2.1.3
设置用户账户的属性
• 用户账户不只包括用户名和密码等信息，为了管理和 使用的方便，一个用户还包括其他的一些属性，如用 户隶属的用户组、用户配置文件、用户的拨入权限、 终端用户设置等。在“本地用户和组”的右侧栏中， 双击一个用户，将显示“用户属性”对话框，如图 2.5所示。
Backup Operators
Guests
2.2.2
创建本地用户组
• 从“计算机管理”控制台中展开“本地用户和组” ，鼠标右键单击“组”按钮，选择“新建组”命令 ，如图2.13所示。在“新建组”窗口中输入组名和 描述，如图2.14所示，然后单击“创建”按钮即可 完成创建。
•图2.13 “新建组”对话框
用户账户的概述
• 用户账户是计算机的基本安全组件，计算机通过用 户账户来辨别用户身份，让有使用权限的人登录计 算机，访问本地计算机资源或从网络访问这台计算 机的共享资源。
• Windows Server 2008支持两种用户账户：域账户 和本地账户。域账户可以登录到域上，并获得访问 该网络的权限；本地账户则只能登录到一台特定的 计算机上，并访问该计算机上的资源。Windows Server 2008还提供内置用户账户，它用于执行特 定的管理任务或使用户能够访问网络资源。
3．用户权限分配
• 系统管理员可以单独为用户或组指派权限，这种方 式提供了更好的灵活性。用户权限的分配在“本地 安全设置”的“本地策略”下设置，如图2.24所示 。
图2.24 用户权限分配
习题2
• 2.1 什么是本地用户和本地组？
• 2.2 简述本地用户账户和域用户账户的区别。 • 2.3 什么是本地安全策略？ • 2.4 如何设置本地安全策略？
•图2.5 “用户属性”对话框
2.1.3
设置用户账户的属性（续）
1．“常规”选项卡
2．“隶属于”选项卡 3．“配置文件”选项卡
2.1.4
删除本地用户账户
• 在“计算机管理”控制台中，选择要删除的用户账 户执行删除功能，如图2.10所示，但是系统内置账 户如Administrator、Guest等无法删除。
2.2.3
删除、重命名本地组及修改本地组成员
• 当计算机中的组不需要时，系统管理员可以对组执行清除任 务。每个组都拥有一个唯一的安全标识符（SID），所以一 旦删除了用户组，就不能重新恢复，即使新建一个与被删除 组有相同名字和成员的组，也不会与被删除组有相同的特性 和特权。在“计算机管理”控制台中选择要删除的组账户， 然后执行删除功能，如图2.16所示，在弹出的对话框中选择 “是”即可。
•图2.10 删除用户账户
2.2
组账户管理
2.2.1 本地组账户的概述
• 组账户是计算机的基本安全组件，用户账户的集 合。组账户并不能用于登录计算机，但可以用于组 织用户账户。通过使用组，管理员可以同时向一组 用户分配权限，故可简化对用户账户的管理。 • 组可以用于组织用户账户，让用户继承组的权限。
•图2.23 账户锁定阈值
3．用户权限分配
• Windows Server 2008将计算机管理各项任务设定 为默认的权限。例如，从本地登录系统、更改系统 时间、从网络连接到该计算机、关闭系统等。 • 系统管理员在新增了用户账户和组账户后，如果需 要指派这些账户管理计算机的某项任务，可以将这 些账户加入到内置组，但这种方式不够灵活。系统 管理员可以单独为用户或组指派权限，这种方式提 供了更好的灵活性。
2.1.1
用户账户的概述（续）
• 用户登录后，可以在命令提示符状态下输入 “whoami /logonid”命令查询当前用户账户的安 全标识符，如图2.1所示。
图2.1 查询当前账户的SID
系统的内置账户Administrator和Guest简单 介绍
• Administrator：使用内置Administrator账户可以 对整台计算机或域配置进行管理，如创建修改用户 账户和组、管理安全策略、创建打印机、分配允许 用户访问资源的权限等。作为管理员，应该创建一 个普通用户账户，在执行非管理任务时使用该用户 账户，仅在执行管理任务时才使用Administrator 账户。Administrator账户可以更名，但不可以删 除。 • Guest：一般的临时用户可以使用内置Guest账户 进行登录并访问资源。在默认情况下，为了保证系 统的安全，Guest账户是禁用的，但在安全性要求 不高的网络环境中，可以使用该账户，且通常分配 给它一个口令。
• 例如，限制用户如何设置密码、通过账户策略设置 账户安全性、通过锁定账户策略避免他人登录计算 机、指派用户权限等。将这些安全设置分组管理， 就组成了Windows Server 2008的本地安全策略。
2.3
Fra Baidu bibliotek
设置本地安全策略（续）
• 系统管理员可以通过本地安全原则，确保执行的 Windows Server 2008计算机的安全。
• 在Windows Server 2008中，为了确保计算机的安 全，允许管理员对本地安全进行设置，从而达到提 高系统安全性的目的。 • Windows Server 2008对登录到本地计算机的用户 都定义了一些安全设置。所谓本地计算机是指用户 登录执行Windows Server 2008的计算机，在没有 活动目录集中管理的情况下，本地管理员必须为计 算机进行设置以确保其安全。
2.1.2
用户账户的创建（续）
（2）密码原则
• ① 一定要给Administrator账户指定一个复杂密码，以防止 他人随便使用该账户。
• ② 确定是管理员还是用户拥有密码的控制权。用户可以给每 个用户账户指定一个唯一的密码，并防止他用户对其进行更 改，也可以允许用户在第一次登录时输入自己的密码。一般 情况下，用户应该可以控制自己的密码。
图2.19 “本地安全设置”控制台
1．密码安全设置
• 用户密码是保证计算机安全的第一道屏障，是计算 机安全的基础。如果用户账户特别是管理员账户没 有设置密码，或者设置的密码非常简单，那么计算 机将很容易被非授权用户登录，进而访问计算机资 源或更改系统配置。
• 目前互联网上的攻击很多都是因为密码设置过于简 单或根本没设置密码造成的，因此应该设置合适的 密码和密码设置原则，从而保证系统的安全。
1．密码安全设置（续）
• Windows Server 2008的密码原则主要包括以下4 项：密码必须符合复杂性要求，密码长度最小值， 密码使用期限和强制密码历史等。
•图2.20 启用密码复杂性要求
2．账户锁定策略
• Windows Server 2008在默认情况下，没有对账户 锁定进行设定，为了保证系统的安全，最好设置账 户锁定策略。账户锁定原则包括如下设置：账户锁 定阈值、账户锁定时间和重设账户锁定计算机的时 间间隔。
•图2.2 计算机管理
2．创建本地用户账户（续）
• （2）在“计算机管理”管理控制台中，展开“本 地用户和组”，在“用户”目录上单击鼠标右键， 选择“新用户”命令，如图2.3所示。 • （3）打开“新用户”对话框后，输入用户名、全 名和描述，并且输入密码，如图2.4所示。
图2.3 选择“新用户”命令