第二章 本地用户和组的管理

密码的命名规则
在设置用户账号密码时，需要遵循以下规则：
（1）Administrator账号必须设置口令来防止此使用空白密码的该账号被 非法使用。 （2）在密码属性中可以设置用户账号登陆中是否需要每次更改密码。 （3）使用难以猜测的密码组合。 （4）尽量使用大小写字母、数字和合法的非数字字母组合的强密码，增 加破译难度。
Print OperaBaidu Nhomakorabeaors
可以管理打印机
Network Configuration Operators
可以更改 TCP/IP 设置并更新和发布 TCP/IP 地址
Power Users
该组具有创建用户账户和组账户的权利，可以在 Power Users 组、Users 组和 Guests 组中添加或删除用户，但是不能管理Administrators组成员 可以创建和管理共享资源
运行
小结
• 理解 Windows Server 2003用户和组的分类特点和命名规则 • 创建和管理用户账户和组
– 创建、修改、删除账户和组 – 设置特殊权限（给组） – 密码策略和锁定策略
– 设置密码重设盘
课后项目实践练习
• 实现用户与组的基本管理及本地安全策略
– （1）创建本地用户账户user1、user2，要求用户首次登录时需更 改密码。 – （2）创建本地组specialgroup，使其具有关机的本地安全策略，将 user2加入该组。
– （3）配置密码策略，要求启用密码复杂度策略，密码最小长度为 10，最长使用期限为50天。配置账户锁定策略，账户锁定阈值设 为3，锁定时间设为10分钟。
– （4）为user2设置密码重设盘，并应用密码重设盘为user2重新设 置密码。
Thank You！
Users
可以执行一些常见任务，例如运行应用程序、使用本地和网络打印机以及锁定服 务器 用户不能共享目录或创建本地打印机
创建本地组
配置密码策略
• 点击“开始→管理工具→本地安全策略”，在弹出的“本 地安全设置”窗口中选择“账户策略→密码策略”。
配置账户锁定策略
• 系统管理员在“本地安全设置”窗口中设置完密码策略后 ，接着就可以设置账户锁定策略。下面将介绍账户锁定策
• Users 组
– 最安全的组，因为分配给该组的默认权限不允许成员修改操作系统 的设置或用户资料。
内置组列表及说明
组名
Administrators Backup Operators
描述信息
具有完全控制权限，并且可以向其他用户分配用户权利和访问控制权限 加入该组的成员可以备份和还原服务器上的所有文件
设置密码重设盘
制作密码重设盘
– 忘记密码而无法进入系统的情况常有发生。如果由系统管理员重 设密码可能会造成不可逆的信息丢失，因此员工在平常使用时就 应该自行制作密码重设盘以备忘记登录密码时使用。 – 步骤1：用户登录后按【Ctrl+Alt+Delete】，然后单击“更改密码 →备份”，弹出“密码忘记向导”对话框，单击“下一步”按钮 继续。 – 步骤2：根据提示插入一张空白并格式化的软盘，然后再单击“下 一步”按钮。
• （2）域账户。
– 域账户建立在域控制器上，用户可以利用域账户登录到域来访问域内资 源。 – 注意：域账户将在第7章介绍，本章主要介绍本地用户账户。
• （3）内置账户。
– 系统会在服务器上自动创建一些内置账户。常用的内置账户有 Administrator和Guest。
账户名命名规则
• （1）用户名必须唯一，且不分大小写。 • （2）最多可以包含 20 个大小写字符和数字，但不能包含 下列字符： “/\[]:;|=,+*？<> • （3）用户名不能只由句点 (.) 和空格组成。 • （4）不能与组名相同。
略的具体操作过程。
• 步骤1：在“本地安全设置”窗口中选择“账户锁定策略” ，然后双击窗口右部策略列表中的“账户锁定阈值”，在 弹出的对话框中将账户锁定阈值设为3，然后单击“确定” 按钮使配置更改生效。 • 步骤2：双击“本地安全设置”窗口右部策略列表中的“账 户锁定时间”，在弹出的对话框中将账户锁定时间设为5分 钟，然后单击“确定”按钮使配置更改生效。
管理用户账户和组
• 修改用户账户所属组
– 由于工作需要，技术部员工李萧要调到市场部，那么就需要修改 其账户所属组。
管理用户账户和组
• 添加用户账户到组
– 技术部来了一个新员工刘明，系统管理员为其创建了用户账户后 ，需要将其用户账户添加到相应所在技术部门组jishubu 。
管理用户账户和组
• 删除用户账户
本地用户与组的管理项目设计
（1）统一规划用户账户名命名规则，用户姓全拼+名 首字母组合。创建组，一个部门为一组，并将各部 门用户归入各部门组中； （2）创建新用户设置密码要求，应用密码策略（启用 密码复杂性要求、最短密码长度为8）。配置账户 锁定策略（锁定阈值为3次，锁定时间为5分钟）， 增加安全性； （3）设置密码重设盘，方便恢复更改登录密码； （4）管理用户和组，修改所属组和删除离职用户等； （5）设置特殊组specials，赋予服务器关机权限，加 技术部门特殊用户tom入该组。
步骤2：双击“本地安全设置”窗口右部策略列表中的“关闭系统”
，在弹出的对话框中单击“添加用户或组”按钮将specials组加入， 然后单击“确定”按钮使配置更改生效。
设置特殊权限
项目运行——测试权限
• 以用户账户tom身份登录服务器时具有关机 权限，而其他员工的用户账户则没有此权限， 如图所示，lix用户仅仅有注销权限，不能关 机或重启机器。
本地用户和组的管理
项目背景
• 创想科技发展有限公司成立后，公司员
单 元 项
工随意设置用户账户，并不为账户设置 密码，造成了公司重要资料外泄，影响 了公司业务发展。 • 公司规划用一台服务器来存储业务资料， 并要严格设置用户权限，加强管理。
• 系统管理员首先需要统一规划各部门员 工账户，划分不同部门组，为分配资源 访问权限做好准备。
设计
本地用户与组的管理项目实施
（1）创建用户账户与组 ； （2）配置密码与账户锁定策略 ；
实施
（3）设置密码重设盘 ； （4）管理用户账户和组 ；
（5）设置特殊权限 。
创建用户账户
• Windows Server 2003的用户账户有以下三种类型： • （1）本地账户。
– 本地账户建立在本地，且只能在本地计算机上登录。所有本地用 户账户信息都存储在本地计算机上管理本地账户的数据库中，该 数据库称为SAM（Security Accounts Managers，安全账户管理器） ，其路径为%systemroot%\system32\config\SAM。每个用户账户被 创建完成后，系统都会自动产生一个唯一的SID（Security Identifier，安全标识符）。系统验证用户访问、指派权利、授权资 源访问权限等都需要使用SID。在命令提示符下使用“whoami /logonid”命令，可以查询当前用户账户的SID。
创建本地账户
组的概念
• 什么是组
– “组”：相同权限的用户的集合。
– 组的信息存放在本地安全账户数据库中（SAM) 。
• 通过组来管理用户和计算机对共享资源的访问。如果赋 予某个组访问某个资源的权限，这个组的用户都会自动 拥有该权限。
本地组命名规则
• 本地组名不能与被管理的本地计算机上任何其他组名或用 户名相同。用户名最多可以包含 256 个大写或小写字符， 但不能包含下列字符： “/\[]:;|=,+*？<>
• （2）域组。
– 域组建立在域控制器上，能够被使用在整个域的计算机上。 – 注意：域组将在第7章介绍，本章主要介绍本地组。
• （3）内置组。
– Windows Server 2003安装时会自动创建一些组，这种组叫内置组。
组的默认安全设置
• Administrators 组
– 可以执行计算机的维护任务。分配给该组的默认权限允许对整个系 统进行完全控制。所以，只有受信任的人员才可成为该组的成员。
– 步骤3：输入当前用户账户密码，单击“下一步”按钮以创建密码 重置磁盘。
– 步骤4：单击“下一步”按钮，再单击“完成”按钮以完成当前用 户的密码重设盘的创建。
应用密码重设盘
• 市场部员工李强忘记了其用户账户密码，他可以应用之前 制作的密码重设盘来重新设置密码。
• 李强用其用户账户登录时输入错误密码，系统将显示“登 录失败”窗口，单击“重设”按钮，如图所示。弹出“重 设密码向导”对话框，单击“下一步”按钮继续。
– 财务部员工赵红离职了，系统管理员需要将其用户账户删除。下 面简要介绍删除用户账户的操作过程。 – 选择“开始→管理工具→计算机管理→本地用户和组”选项，在 弹出的“计算机管理”窗口中，右击要删除的用户账户zhaoh，然 后单击“删除”按钮。单击“是”按钮，确认删除操作。
• 说明：因为每个用户账户的SID都是唯一的，所以当删除
• Power Users组
– 成员拥有的权限比 Users 组的成员所拥有的多，但比 Administrators 组的成员所拥有的少。Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组 的默认权限允许 Power Users 组的成员修改整个计算机的设置。
• 组名不能只由句点 (.) 和空格组成。
组的类型
• Windows Server 2003的组有以下三种类型： • （1）本地组。
– 本地组建立在本地，且只能在本地计算机上使用。本地组的信息也 被存储在SAM内。只有Administrators组或Account Operators组的成 员才能创建本地组。
目
项目的环境和条件
1．网络环境； 2．安装Windows XP Professional或Windows Vista、 Windows 7的计算机作为客户机； 3．安装Windows Server 2003企业版计算机作为服务器。
项目目标
1．根据企业需求，规划并设置用户账户。 2．根据企业需求，规划并设置用户所属组。
上离职员工的账户需要删除。技术部门的个别用户拥有服 务器关机权限。
怎么实现？
本地用户与组的管理项目构思
（1）创建用户和组；
（2）规划账户设置规则，配置账户锁定策略；
（3）密码重设机制；
构思
（4）员工部门变化时要调整相应用户和组的设置； （5）设置特殊组，赋予服务器关机权限，将特殊用 户加入该组。
本地用户与组的管理项目需求
• 公司有多个部门，员工若干，根据员工所属部门分组管理 ，并统一员工账户设置规则。
• 为了安全，员工首次登录时需更改默认密码，并设置密码 策略，密码位数8位以上，且密码不能过于简单。
• 密码错误输入最多3次，再输入锁住计算机5分钟。如果用 户忘记密码，希望可以进行密码重设。 • 员工或部门有变化时，需相应调整用户和组的设置，原则
一个用户账户后，即使重新创建名称相同的账户也不能获 得之前账户的权利。
设置特殊权限
1．创建特殊组
– 创建特殊组specials，并将技术部门特殊用户tom加入该组。
2．赋予特殊权限
– 为避免普通权限用户误操作导致关闭计算机而影响企业关键业务 系统的正常运行，系统管理员只为特殊组specials分配了关闭服务 器的权限。 步骤1：点击“开始→管理工具→本地安全策略”，在弹出的“本安 全设置”窗口中选择“本地策略→用户权限分配” 。