本地用户和组管理(精选)
用户和组的管理
passwd文件格式
账号名称:密码:UID:GID:个人资料:主目录:Shell 每个字段的说明如下: (1) 账号名称:用户登录Linux 系统时使用的名称。 (2) 密码:这里的密码是经过加密后的密码,而不是真正的密码,若为“x”,说明密码已经被移动到shadow 这个加密过后的文件。 (3) UID:用户的标识,是一个数值,Linux 系统内部使用它来区分不同的用户。通常Linux 对于UID 有几个限制,具体如下。 ① 0 为系统管理员,即root 用户,所以新建另一个系统管理员账号时,可以将该账号的UID 改成0 即可。 ② 1~500 为保留给系统使用的ID,其实1~65534 之间的账号并没有不同,也就是除了0 之外,其他的UID 并没有区别,但将500 以下的ID 留给系统作为保留账号是一个好习惯。 ③ 500~65535 在Fedora中是给一般使用者用的,passwd 文件最后一行的记录Bob用户的UID就是500。 (4) GID:用户所在组的标识,是一个数值,Linux 系统内部使用它来区分不同的组,相同的组具有相同的GID。 (5) 个人资料:可以记录用户的个人信息,如姓名、电话等信息。 (6) 主目录:root 的主目录为/root,所以当root 用户登录之后,当前的目录就是/root;对于其他用户通常是/home/username,这里username 是用户名,用户执行“cd~”命令时当前目录会切换到个人主目录,如Bob用户的主目录为/home/Bob。 (7) Shell:定义用户登录后使用的Shell 版本,默认是bash。
Linux 的用户
在Linux系统中,每个用户对应一个帐号。Fedora 8安装完成后,系统本身已创建了一些特殊用户,它们具有特殊的意义,其中最重要的是超级用户,即 root。还有一类用户是系统用户,是Linux 系统正常工作所必需的内建用户,主要是为了满足相应的系统进程对文件属主的要求而建立的,如bin、daemon、adm、lp 等用户。系统用户不能用来登录。系统用户也被称为虚拟用户。
《网络操作系统Windows Server 2016系统管理》教学课件02本地用户和组的管理
2.3 与本地用户相关的安全管理操作
2.账户锁定策略管理
账户锁定策略指用户设置什么时候及多长时间
内账户将在系统中被锁定不能使用。Windows Sever 2016 在默认情况下,没有对账户锁定进行设 定,为了保证系统的安全,最好设置账户锁定策略。 账户锁定原则包括如下设置:账户锁定时间、账户 锁定阈值和复位账户锁定计数器。
每个组都拥有一个唯一的安全标识符(SID),所以一旦删除了用 户组,就不能重新恢复,即使新建一个与被删除组有相同名字和成 员的组,也不会与被删除组有相同的特性和特权。
重命名组的操作与删除组的操作类似,只需要在弹出的菜单中选 择“重命名”,输入相应的名称即可。
2.3 与本地用户相关的安全管理操作
Windows Server 2016的安全设置在“管 理工具”提供的“本地安全策略”单元控制 台中进行,此控制台可以集中管理本地计算 机的安全设置原则。使用管理员账户登录到 本地计算机,即可打开“本地安全策略”控 制台,如图2-14所示。
2.1 管理本地用户账户
2.1.2 创建用户账户
步骤2:在“计算机管理”窗口中,展开 “本地用户和组”结点,在“用户”文件夹 上单击鼠标右键。选择“新用户”命令,打 开图2-2所示的“新用户”对话框。
2.1 管理本地用户账户
2.1.2 创建用户账户
(3)打开“新用户”对话框后,输入用户名、全名和用户描 述信息和用户密码。指定用户密码选项,单击“创建”按钮 新增用户账户。创建完用户后,单击“关闭”按钮返回到 “计算机管理”控制台。
另外,Windows Server 2016还提供内置用户账户(即系统用户账户),用于 执行特定的管理任务或使用户能够访问网络资源。Windows Server 2016系 统的最常用的两个内置账户是Administrator和Guest。
用户和组管理
1. 组的类型
与用户账户一样,根据Windows Server 2003服务器的工作组模式和 域模式,组分为本地组和域组。 1)本地组
创建在本地的组账户叫本地组。这些组账户的信息被存储在本地安全 账户数据库(SAM)中。本地组只能在本地计算机上使用,它有两种类型: 用户创建的组和系统内置的组。 2)域组
(2)弹出“user属性”对话框,在“常规”选项卡中选中 “账户已禁用”复选框,如下图B所示,单击“确定”按钮, 该账户即被禁用。
(3)如果要重新启用该账户,只要取消选中“账户已禁 用”复选框即可。
图A
图B
1.2 组的管理
组是指本地计算机或Active Directory中的对 象,包括用户、联系人、计算机和其他组。通 过组来管理用户和计算机对共享资源的访问。 引入组的概念主要是为了方便管理访问权限相 同的一系列用户账户。
5)禁用与激活账户
当某个用户长期不使用时,就要禁用该账户,不允许该账 户登录,禁用后该账户信息会显示为“╳”。禁用与激活本 地账户的操作步骤如下:
(1)在“计算机管理”窗口的左窗格中,选择“本地用 户和组”→“用户”选项,在右窗格中右击需要禁用的账户, 这里选择user账户,然后选择快捷菜单中的“属性”命令, 如下图A所示。
(3)设置好以上选项后,单击“创建”按钮,即可完成 新用户的创建。
图A
图B
2)更改账户
要对已经建立的账户 更改登录名,具体操作 为:
在“计算机管理”窗 口左侧的目录树列表中 选择“本地用户和 组”→“用户”选项,在 右侧用户列表格中右击 需要重命名的账户,选 择快捷菜单中的“重命 名”命令,如右图所示。 然后输入新的名称。
第三章 本地用户和组的管理
第三章本地用户和组的管理〖教学目标〗理解什么是用户,什么是组;掌握创建账户和组的方法;掌握常用的本地账户和组的管理操作;熟悉MMC的操作;树立使用账户和组保护计算机和网络系统安全的意识;了解用户和组的管理中一些基本的原则和技巧。
〖教学重点〗账户和组的概念;Administrator和Administrators;账户和组的常用管理操作。
〖教学难点〗组的概念。
〖教学内容〗本章主要介绍用户和组的基本概念;账户和组的类型;本地账户的创建和常用管理操作;用户组的创建和常用管理操作。
3.1 概述怎么保护计算机系统和网络系统的安全?怎么限制用户对系统的访问?怎么保护你计算机中的信息不被人非法窃取?我们要为自己的系统加上一个海关检查站,而用户的账户就是进入海关的通行证。
使用用户账户和组,是保护系统安全和网络资源的基本方法。
计算机和网络系统通过账户把使用者区别和隔离开来,让用户可以定制自己的使用环境;防止用户破坏其他用户的数据等。
任何人访问你管理的系统,都应该由你给他们分配唯一的账户,这可以让你知道谁做了什么事,并且防止破坏其他用户的设置和非法获得其他人的文件等。
一个账户包括账户名、密码、权限等信息,这些信息存储在计算机中,是Windows Server 2003网络上的个人唯一标识;系统通过账户来确认用户的身份,并赋予用户对资源的访问权限。
SID:每一个账号在创建的时候都有一个Security ID(SID,安全标识符),当用户访问系统的资源时,系统根据其账户的SID,检查用户是否具有和具有哪些权利和权限,然后再让用户在其权利和权限范围内进行访问。
Windows不是根据用户名来识别用户的,而是根据这个SID来识别用户的,如果SID不一样,就算用户名等其它设置一模一样,Windows也会认为是不一样的两个账号。
这就像我们的户籍管理,只认你的身份证号是否正确,而不管你的名字是否相同是一个道理的。
而且SID是Windows在创建该账号的时候随机给的,所以说当删除了一个账号后,即使再次建立一个一模一样的账号,其SID和原来的那个是不一样,那么他的NTFS权限就必须重新设置。
项目配置与管理本地用户与组(PPT46页)
2.4.4 创建本地组
STEP03 为组添加新成员
(3)或直接单击“高级”按钮,在打开的对话框中单击“立即查找” 按钮搜索出可用组,如图2-25所示。
(4)或者在如图2-22所示的窗口中,右击需要加入组office的成员 xesuxn,从弹出的快捷菜单中选择”属性”命令,选择“隶属于”选项, 单击“添加”按钮,如图2-26所示。
2.4.2 修改用户账户属性
任务描述
新建用户账户后,为了管理和使用的方便,管理员要对账户做进一步的 设置。例如设置密码选项或禁用账户、添加用户个人信息、账户信息、用户 的拨入权限、用户配置文件终端等,这些都是通过设置账户属性来完成的。
2.4.2 修改用户账户属性
【任务案例2-2】 新的本地用户账户创建后,为了管理的方便,需要对相关属性进行必 要的设置。请修改新用户xesuxn的相关属性。
2.4.6 系统账户权限设置
STEP02 设置用户安全
打开“计算机管理”管理控制台,完成Administrator用户重命名 (改成xintian )、禁用Guest账户、限制不必要的用户、创建陷阱用户、 把共享文件的权限从Everyone组改成授权用户和开启用户策略等几个方 面的安全设置。
2.4.6 系统账户权限设置
STEP03 本地安全设置 在Windows Server 2008中,选择“开始”→“管理工具”→“本
地安全策略”命令,打开“本地安全策略”窗口,如图2-32所示,展开 “安全设置”项目设置本地安全策略。
2.4.6 系统账户权限设置
STEP03 本地安全设置
(1)帐户策略→密码策略 ① 设置“强制密码历史”策略。 进入如图2-33所示的“强制密码历史属性”对话框,输入数值后单
管理本地用户与组账户
管理本地用户与组账户
(1) 每台 Windows计算机都有一个“本地安全帐户管理器”,称为 Security Accounts Manager database (SAM)数据库。
(2) “用户”与“用户帐户”具有不同的含义。
简单地说,“用户”是指在网络中工作的人;而“用户帐户”是指用户在网络中工作时所使用的身份标志。
(3) 一个用户可以拥有多个用户帐户。
(4) 一个用户帐户也可以同时被多个用户使用。
(5) 在工作组中,每台Windows计算机的管理员都能够在本地计算机的SAM数据库中创建并管理本地用户帐户。
(6) 在工作组中,用户只能使用本地用户帐户登录到该帐户所在的计算机上,身份验证由这台计算机通过查询本机的SAM数据库完成。
登录成功后,用户只能使用这个用户帐户访问本台计算机上的资源,而不能访问其他计算机上的资源。
(7) 内置的本地用户帐户主要有:Administrator和Guest。
(8) 使用组帐户的主要目的是简化为用户分配权限和权利的管理工作。
(9) 在一个工作组中,每台计算机的管理员可以在本地计算机的SAM数据库中创建组帐户。
这种组帐户只能对本地计算机上的本地用户帐户进行组织,只能拥有对本地计算机的权限和权利,因此称为“本地组帐户”。
(10) 一旦给某个组分配了权限或权利,那么这个组中的所有成员都将具有该组所拥有的权限或权利。
(11) 管理员经常会遇到为多个用户帐户分配相同权限或权利的情形,因此,如果把这些用户帐户加入一个组中,然后给该组而不是给该组中的用户帐户分配权限或权利,这样可以大大减少权限或权利的分配次数,从而减轻管理员的工作负担。
《用户和组的管理》
精选课件
1
企业需求
公司有100个员工,每个人工作内容不同。 然而他们中有些人有相同的权限。
需要为每个人创建不同的帐号 还需要把有类似功能的用户放在一个组中 每个用户有自己的特定信息,需要可以自
己设置密码
精选课件
2
本讲任务
为每个用户创建一个帐号 把有共同点的用户放在同一组中。 设置每个用户的信息,同时要求用户
精选课件
11
5.1.2账户的类型
本地账户 域账户 内置账户
精选课件
12
本地账户
本地账户对应对等网的工作组模式,建立在 非域控制器的Windows Server 2003独立服务器、 成员服务器以及Windows XP客户端。本地账 户只能在本地计算机上登录,无法访问域中 其它计算机资源。
SAM数据库文件路径为系统盘下
它有两种类型:用户创建的组和系统内置
的组。
精选课件
20
5.2 组的分类
组的分类
根据组的作用范围,Windows Server 2003域组分为通用组、全 局组和本地域组,它们的成员和权限作用范围见表
特性 成员 权限范围 转换
通用组
所有域的用户、全 局组、通用组,不 包括任何域的本地 域组
所有域
可以转换为本地域 组,可以转换为全 局组(只要该组的 成员不含通用组)
什么是组 “组”:相同权限的用户的集合。 组的信息存放在本地安全账户数据 库中(SAM) 。
精选课件
18
5.2组的分类
本地组 域组
精选课件
19
5.2组的分类
➢域本组地:组:该创账建户在创本地建的在组W账户in。d可o以w在s
WSeinrdvoewrs 2S0er0ve3r的20域03控/2制00器0/上N,T独 立组服账务户器的或成信员息服被务器存、储W在indAocwtsivXeP、 W 器 信D能的ii息n够rd计e被o被c算wt存机s使o储上rN用yT创在数在W 建本据o本整地r地k库个s安组t中a域全。tio,这账中n些等这户的组非数些计账域据组户控算库的制 (机S上AM。)内。本地组只能在本地机使用,
本地用户和组管理
6.1.4 域账户属性
1.用户个人信息设置
6.1.4 域账户属性
2.登录时间的设置限制
6.1.4 域账户属性
3. 账户只能从特定计算机登录
6.1.4 域账户属性
4. 设置账户过期日
6.1.4 域账户属性
5. 将域账户加入到组
6.1.4 域账户属性
6.2.1组的概念
6.2.5 内置组
2.内置域组
6.2.5 内置组
(1)内置本地域组
Account Operators Administrators Backup Operators Guests Server Operators Users
6.2.5 内置组
(2)内置全局组
Domain Users Domain Admins Domain Guests Enterprise Admins
供的。该账户自动生成,且不能被删除,可以 更改名字
6.1.1账户的类型
5.账户名的命名规则
账户名必须唯一,且不分大小写。 用户的名最多可包含20个大小写字符和数字,
输入时可超过20个字符,但只识别前20个字符。 不能使用保留字字符:”/\[]:;|=,+*?< > 用户名可以是字符和数字的组合。 用户名不能与组名相同。
域组分类方法有很多。根据权限不同,域组可以分为 安全组和分布式组。
安全组:被用来设置权限。例如,可以设置安全组对 某个文件有读取的权限。
分布式组:与权限无关,例如可以将电子邮件发送给 分布组。系统管理员无法设置分布组的权限。
6.2.1组的概念
6.2.2创建本地组
6.2.3管理本地组
第2章本地用户和组
2020/3/30
2.1.1 用户账户的概述
用户账户是计算机的基本安全组件,计算机通过用户账户 来辨别用户身份,让有使用权限的人登录计算机,访问本 地计算机资源或从网络访问这台计算机的共享资源。
2020/3/30
•图2.5 “用户属性”对话框
2.1.3 设置用户账户的属性(续)
1.“常规”选项卡 2.“隶属于”选项卡 3.“配置文件”选项卡
2020/3/30
2.1.4 删除本地用户账户
在“计算机管理”控制台中,选择要删除的用户账户执行 删 除 功 能 , 如 图 2.10 所 示 , 但 是 系 统 内 置 账 户 如 Administrator、Guest等无法删除。
Windows Server 2008支持两种用户账户:域账户和本地 账户。域账户可以登录到域上,并获得访问该网络的权限; 本地账户则只能登录到一台特定的计算机上,并访问该计 算机上的资源。Windows Server 2008还提供内置用户账 户,它用于执行特定的管理任务或使用户能够访问网络资 源。
Windows Server 2008 默 认 只 有 Administrator 账 户 和 Guest账户。Administrator账户可以执行计算机管理的所 有操作;而Guest账户是为临时访问计算机的用户而设置的, 但默认是禁用的。
2020/3/30
2.1.1 用户账户的概述(续)
用 户 登 录 后 , 可 以 在 命 令 提 示 符 状 态 下 输 入 “ whoami /logonid”命令查询当前用户账户的安全标识符,如图2.1所 示。
用户和用户组管理
6.4.2 添加用户
修改用户 要修改用户,首先要从列表中选择相应的用户,然后单击【属性】按钮,就会显示用户属性对话框。对话框中包括有用户数据、账号信息、口令信息和组群4个标签,默认显示的是用户数据标签,通过该标签可以修改用户名、全称、口令、主目录和登录Shell等信息。
6.4.4 删除用户
在用户管理器的用户列表中选择要删除的用户账号,然后在工具栏中单击【删除】按钮。
1
2
6.2.4 删除用户
如果不想删除用户,而只是临时将其禁用,可以有两种方法实现:第一种方法就是通过passwd -l命令锁定用户账号,其具体用法请参看节中关于passwd命令的介绍。还有一种方法就是直接修改/etc/passwd文件,在文件中找到需要禁用的用户所对应的记录,并在记录前增加注释符“#“,把记录注释。例如要禁用testuser1用户,方法如下:
6.2.3 修改用户信息
当某个用户不再需要使用时,可以通过userdel命令将其删除。要删除的用户如果已经登录到系统中则无法删除,必须要等用户退出系统后才能进行。删除用户后,其对应的记录也会在passwd和shadow文件中被删除。userdel命令的格式如下:
userdel [-r] login
6.4.5 查看用户组
在用户管理器中单击【组群】标签,默认会显示系统中所有由系统管理员手工添加的用户组的列表。列表中的每一条记录包括了组群名、组群ID和组群成员等信息,这些信息是跟group配置文件中的各列信息相对应的。
6.4.6 添加用户组
在图所示的【用户管理器】窗口中,单击工具栏上的【添加组群】按钮,将会显示如图所示的【创建新组群】对话框。
6.4.7 修改用户组
从用户组列表中选择要修改的用户组,单击工具栏中的【属性】按钮,打开【组群属性】对话框。该话框中包括两个标签:组群数据和组群用户。默认会显示组群数据标签,在其中可以修改用户组的名称。
实训三本地用户账户和组账户的管理
4、内置组应用举例
例 : 比如有一个打印机,有 A 、 B 、 C 共 3 个用户使用,其 比如有一个打印机, 个用户使用, 是管理员、 是普通用户。有管理打印机、 中A是管理员、B和C是普通用户。有管理打印机、管理 文档、打印三种权限。分配权限时A拥有所有权限。 文档 、 打印三种权限 。 分配权限时 A拥有所有权限 。 B 用户须具有打印权限。由于用户都属于Everyone Everyone组 和C用户须具有打印权限。由于用户都属于Everyone组, 所以只要对Everyone 组设置即可。但是如果B Everyone组设置即可 所以只要对 Everyone 组设置即可 。 但是如果 B 和 C 只具 有打印权限,这两个用户就无法管理自己打印的文档。 有打印权限, 这两个用户就无法管理自己打印的文档。 如果给这两个用户分配管理文档权限, 如果给这两个用户分配管理文档权限 , 则有可能会出 现取消其他用户文档的可能。所以添加一个 CREATOROWNER组 并且只分配管理文档权限。 CREATOROWNER 组 , 并且只分配管理文档权限 。 用户只 能管理自己打印的文档, 能管理自己打印的文档 , 而不能管理其他用户打印的 文档。 文档。
5、管理用户账户
日常管理工作主要有以下几种:创建、重命名、删除、禁用、 日常管理工作主要有以下几种:创建、重命名、删除、禁用、 更改密码。 更改密码。 重命名:当一个工作人员离开公司,另一个工作人员来接替工作, 重命名:当一个工作人员离开公司,另一个工作人员来接替工作, 将前工作人员使用的用户登录账更改为新工作人员的名字, 将前工作人员使用的用户登录账更改为新工作人员的名字,更名 以后原用户账户所有权限将全部保留下来。 以后原用户账户所有权限将全部保留下来。 删除用户:当用户账户永远不再使用时就可以将用户删除, 删除用户:当用户账户永远不再使用时就可以将用户删除,删除 以后将不能恢复, 以后将不能恢复,即使再建立一个同名账户也不能保留以前所有 的权限。 的权限。 禁用账户:一个用户账户在一段时间内无人使用,为提高安全性, 禁用账户 : 一个用户账户在一段时间内无人使用 , 为提高安全性 , 将此账户禁用。 将此账户禁用。
本地用户和组的管理
本地用户和组的管理本地用户和组的管理(以下操作均在Windows Server 2003系统中实现,在客户端操作系统XP 中部份操作可能会有所不同)一、概述和win95/98等操作系统不同,2000/XP/2003等操作系统是区分用户的。
每个用户有自己独立的工作环境,相互独立;用户可以保存自己的文档而不用担心会被其他用户查看;还可以分别为每个用户设置不同的访问资源的权限等。
在工作组环境中,所有计算机是独立的,要让用户能够登录到计算机并使用计算机的资源,必须为每个用户建立本地用户帐户。
同时,为了方便对用户受予对资源的访问权限,我们可以使用本地组来实现。
本地用户帐户和组主要用在本地计算机。
本地用户帐户只能登录到本地计算机;本地用户帐户保存在本地计算机;本地用户若需要访问其它计算机,需要在其它计算机上有相应的用户帐户以便进行身份验证。
二、“本地用户和组”管理工具要创建本地帐户,需要使用“本地用户和组”管理工具。
此工具包含在“计算机管理”工具里,也可以从MMC控制台添加。
1、要打开“计算机管理”工具,右击“我的电脑”,在快捷菜单中选择“管理”打开的“计算机管理”工具如下图所示。
2、要使用MMC控制台,请在“运行”里输入“mmc”,打开MMC控制台在MMC控制台“文件”菜单中选择“添加/删除管理单元”在弹出的“添加/删除管理单元”对话框中选择“添加”在“添加独立管理单元”对话框中,找到“本地用户和组”,按“添加”在“选择目标机器”对话框中,选择“本地计算机”,点击“完成”分别点击“关闭”和“确定”按钮退出“添加管理单元”的对话框,现在已经在MMC控制台中添加了“本地用户和组”管理单元了。
三、创建本地用户双击“本地用户和组”管理单元,打开“用户”和“组”两个子项点击“用户”项,在右边的窗口可以看到当前的用户帐户。
这些帐户是系统内置的帐户,是我们在安装操作系统时系统自动建立的。
其中有一个管理员帐户“administrator”,这个帐户是用于管理用途的,它的权限是最大的。
本地用户和组
本地⽤户和组1.⽤户帐户每个⽤户都必须有⼀个帐户,以便利⽤这个帐户登录到计算机,访问该计算机内的资源,或者利⽤该帐户登录到域,访问域中的资源。
l 帐户和密码的命名规则帐户名的命名规则如下:帐户名必须惟⼀,且不分⼤⼩写。
最多可包含20个⼤⼩写字符和数字,输⼊时可超过20个字符,但只识别前20个字符。
不能使⽤保留字字符:"∧[]:;|=,+*?<>@。
可以是字符和数字的组合。
不能与组名相同。
l 密码命名规则如下:必须为administrator帐户分配密码,防⽌未经授权就使⽤。
密码的长度在8-128之间。
密码可以使⽤⼤⼩写字母、数字和其他合法的字符。
2.⽤户帐户类型(1)本地⽤户帐户本地⽤户帐户创建在本地安全账户数据库SAM中,只具有本地意义。
SAM数据库⽂件路径为\windows\system32\config\sam。
⽤户可以利⽤本地⽤户帐户登录该帐户所在的计算机,但是这个帐户只能够访问这台计算机内的资源。
如果要访问其他计算机内的资源,则必须输⼊其他计算机内的⽤户帐户名称和密码。
(2)域⽤户帐户域⽤户帐户存储在域控制器的Active Directory数据库内。
当⽤户登录时,该域内的所有域控制器都可以检查⽤户帐户名称和密码是否正确。
在以后的章节中会详细介绍。
(3)内置帐户当Windows Server 2003安装完毕后,会⾃动创建⼀些内置的帐户,从计算机管理界⾯可以查看到这些帐户。
其中,Administrator(系统管理员)和Guest(客户)是⽐较常见的两个内置帐户。
3.组的概念组是指本地计算机或active directory中的对象,包括⽤户、联系⼈、计算机和其他组。
在Windows Server 2003中,通过组来管理⽤户和计算机对共享资源的访问。
如果赋予某个组访问某个资源的权限,这个组的⽤户就会⾃动拥有该权限。
引⼊组的概念主要是为了⽅便管理访问权限相同的⼀系列⽤户帐户。
4.组的类型⽤户帐户⼀样,根据Windows Server 2003服务器的⼯作组模式和域模式,组分为本地组和域组。
管理本地用户账户与组账户
第3章管理本地用户账户与组账户学习内容●用户账户概述●理解本地用户账户●管理本地用户账户●组账户概述●理解本地组账户●管理本地组账户学习目标●了解:用户账户的概念、用处,组账户的概念、用途●理解:本地用户账户,本地组账户●掌握:创建与管理本地用户账户,创建与管理本地组账户3.1 用户账户概述●用户:指在网络中工作的人。
●用户账户:指用户在网络中工作时所使用的身份标志。
从安全的角度出发,不同的用户在同一台计算机上工作应具有不同的权利和权限。
但在一些个人操作系统中,如Windows 98中,由于没有明确的用户账户的概念,不同的用户在这台计算机上工作,该计算机无法区分这些用户,即任何用户都具有相同的权利和权限。
在Windows 网络操作系统中,引入了用户账户的概念。
任何一个用户在使用计算机之前,必须首先获得这台计算机的一个合法的用户账户,然后用户使用这个账户进行登录。
在经过身份验证之后,用户能够以该用户账户的身份在网络中工作了。
由于不同的用户使用不同的用户账户在计算机上进行工作,那么计算机便可以通过用户账户的不同,而把使用这些账户的用户区分开。
这样,不同的用户在网络中以各自的用户账户身份工作时,便可以具有各自的权利和权限了。
注意:由于用户与用户账户是两个不同的概念,所以一个用户可以具有多个用户账户。
另外,一个用户账户也可以被多个用户使用。
3.2 理解本地用户账户3.2.1本地用户账户在工作组中,每台计算机分别是一个独立的安全范围。
如果希望一个用户能够访问工作组中某台计算机上的资源,那么首先需要在该计算机的SAM数据库中为该用户创建一个用户账户。
然后,用户使用该账户登录到相应的计算机上,身份验证由这台计算机通过查询本机的SAM数据库来完成。
身份验证成功后,用户使用这个账户只能访问该计算机上的资源而不能访问其他计算机上的资源。
因此,这样的用户账户被称为“本地用户账户”。
显然,在工作组中每台计算机都存储着各自的本地用户账户信息。
第6次课-本地账户和组的管理-PPT
5、 管理本地账户
禁用/激活账户: 当账户暂时不用,为防止其她人员非法利用,可以禁用 Net user 用户名 /active:no Net user 用户名 /active:yes
删除账户: 员工离职时,应收回账户,防止其继续使用。 Windows创建得用户账户在系统内部就是使用安全标识
5、 管理本地账户
重命名账户: 当账户名称不规范或错误时,可以重命名,不改变SID,不影
响权限。 小技巧:如果公司有人离职,但该岗位还需招新员工。可以
不删除账户而直接通过重命名得方式传递给新员工,可以保 证账户数据不丢失。
小技巧:由于Windows系统管理员与来宾账号名众所周知, 因此出于安全,重命名可以为猜测增加难度。
3、 默认用户账户
Windows Server 2008提供两个默认用户账户: Administrator Guest
Administrator:系统管理员、超级用户,不但拥有最高得使 用资源权限(即完全控制权限),而且可以根据需要向其她用户 分配权限。能更名,能禁用,不能删除。
Guest:来宾账户,为临时访问计算机得用户提供得账户,不 需要密码(当然也可以设置密码)。为了保证系统安全,默认就 是禁用得。仅拥有很少权限。能更名、能禁用,不能删除。
6、 组账户介绍
组就是多个用户账户、计算机账户与其她组得集合,也就是操 作系统实现其安全管理机制得重要技术手段。使用组可以同时 为多个用户账户指派资源访问权限,简化管理,提高效率。
默认本地组账户: 计算机管理/服务器管理器→本地用户与组→组 Net localgroup命令 P71 Administrators Guests Users
得部分
账户密码选项 用户下次登录时必须更改密码 用户不能更改密码 密码永不过期 账户已禁用