本地用户和组的管理

L
A
Windows XP
P
A
P
授权
工作组
添加
L
授权
A
P
Windows XP
Windows 2003
A =
用户账户
L =
本地组
P =
授权访问
4．3．3 管理本地用户组
1、建立本地用户组 2、将用户加入组中 3、管理本地组
4．4 帐户安全策略
用户帐户和密码是进入系统的安全凭证，为保证计 算机和网络系统的安全，必须对用户帐户和密码进 行有效的安全管理。
• 一个系统中，帐户名必须惟一，且不区分大小写。 • 最多可以有20个字符，由字符和数字组成。输入时可超过20个 字符，但只识别前20个字符。 • 不能使用的保留字符有 ” ^ [ ] : ; | = , + * ? 。 • 不能与用户组的组名相同。
2、密码来自百度文库名规则：
• • • • 为了系统的安全，每个帐户都应该有密码。 密码长度应该在8~128位之间。 建议使用大小写字母、数字和其他合法字符的组合。 密码尽量不要有规律，如不要使用名字、生日、电话号码等。
4．1．2 帐户的类型
Windows Server 2003有两种工作模式，工作组模式和 域模式。针对这两种工作模式，也有两种用户身份，本 地帐户和域帐户。本章只介绍本地帐户管理，域帐户的 管理将在第7章进行介绍。 本地帐户都是在Windows Server 2003独立服务器、域 中的成员服务器以及Windows XP客户端上建立。本地 帐户只能在本地计算机上登录，在本地计算机上进行身 份认证，只能按权限访问本地计算机的资源。
2、重要的服务器上最好不要安装多系统，以防止从其他系 统登录后，删除Sam数据库。 3、在BIOS中禁止从软盘或光盘启动服务器，，以防止从 软盘启动，删除Sam数据库。 4、禁用Guest帐户
5、不要轻易使用Administrator帐户
• 管理员应该根据服务器管理的需要，建立新的管理帐户并赋予恰 当的权限。例如DHCP服务器，平时只使用能够管理DHCP服务的帐 户登录就可以了，不要轻易使用Administrator帐户登录。 • 由于Administrator帐户权限太大，使用Administrator可能会 因误操作带来意想不到的后果；另外Administrator帐户也是网 络攻击的重点对象。建议将Administrator帐户重命名，设置复 杂密码，并经常更换密码。

本地用户账户 使用户能够登录到某台计算机并访问该计算机上的 资源 账户驻留在计算机的“安全账户管理器” (SAM) 里 域用户账户

使用户能够登录到域以访问网络资源 这些用户账户驻留在 Active Directory™ 目录服务里
内置用户账户

Administrator 和 Guest
6、合理的建立用户组，并设置恰当的权限。
4．4．2 设置帐户安全策略
Windows Server 2003为了加强用户帐户和密码的安全 性，提供了账户策略。 可以在“开始——所有程序——管理工具——本地安全 策略——帐户策略”中，设置合理的帐户锁定策略和密 码策略所示。 所谓复杂密码是指构成密码的字符至少包括大写字母、 小写字母、数字和标点符号这四类中的三类。
SAM SAM

成员 服务器
客户端 计算机

用来控制访问计算机资源

组仅可在域控制器上创建 组驻留在 Active Directory 目录服务里

用来控制访问域资源
域控制器
使用本地组所要遵循的准则有：
只在不隶属于域的计算机上设置本地组 本地组可以用来控制对本地计算机上资源的访问并 且被用来对本地计算机执行系统任务
本地用户和组的管理
4．1 概述
计算机和网络系统通过帐户把使用者区别和隔离 开来，让用户可以定制自己的使用环境；防止用 户破坏其他用户的数据等。任何人访问你管理的 系统，都应该由你给他们分配唯一的帐户，这可 以让你知道谁做了什么事，并且防止破坏其他用 户的设置和非法获得其他人的文件等。
一个帐户包括帐户名、密码、权限等信息，这些信息存 储在计算机中，是Windows Server 2003网络上的个人 唯一标识；系统通过帐户来确认用户的身份，并赋予用 户对资源的访问权限。 每一个帐号在创建的时候都有一个Security ID（SID,安 全标识符），当用户访问系统的资源时，系统根据其帐 户的SID，检查用户具有哪些权利和权限，然后再让用 户在其权利和权限范围内进行访问。
3、创建密码重设盘
• 请一定要小心保管密码重设盘，不能被他人获得
4．2．3 禁用与激活帐户
4．3 组的管理
4．3．1 概述
为了简化用户的管理，Windows引入了用户组的形式。可以将若干 用户加入到用户组中，通过设置某个组对资源的权限，组中的用户 都会自动拥有该权限。组的引入方便了管理权限相同的一些用户帐 户。 那么组到底是什么意思呢？组是系统中同类对象的集合，比如有工 作组、用户组、计算机组等。我们可以把用户组看作是班级，用户 就是班级里的学生。当要给一批用户分配同一权限时，就可以将这 些用户都归到一个组中，只要给这个组分配此权限，组内的用户就 都会拥有此权限。就好像给一个班级发了一个通知，班级内的所有 学生都会收到这个通知一样。
4．3．2 组的类型

•
当计算机处在工作组的网络模式中时，计算机上的用 户组分为系统内置组和用户自定义组两种类型。 1、系统内置组 2、用户自己建立的组
可以创建本地组的用户必须是Administrators组的成员。

组被创建在非域控制器的计 算机上
组驻留在“安全账户管理器 ” (SAM) 中
4．2 本地帐户的管理
4．2．1 新建/删除帐户
1、创建帐户 2、删除帐户
4．2．2 更改帐户名和密码
只有管理员才有权限更改其他用户的用户名和密码。 1、更改帐户名 2、更改密码
• 注意：用上述方法更改用户密码后，可能会造成不可逆的信息 丢失，用户将无法访问自己以前受保护的数据，如用户加密文 件，用户存储在本机的Internet连接密码等。 • 如果用户在知道自己密码的情况下想更改原密码，应该是在登 录后按Ctrl+Alt+Del键，在出现的对话框中点击“更改密码” 按钮。
组的最佳实践
仅在不属于域中的计算机上使用本地组
总是把用户账户添加到限制最多的组中
尽量使用内置组而不要创建一个新组
当使用本地组时，推荐使用 A L P 策略
实验
本地用户和组的管理
Windows不是根据用户名来识别用户的，而是根据这个 SID来识别用户的，如果SID不一样，就算用户名等其它 设置一模一样，Windows也会认为是不一样的两个帐号。 这就像我们的户籍管理，只认你的身份证号是否正确， 而不管你的名字是否相同是一个道理的。而且SID是 Windows在创建该帐号的时候随机给的，所以说当删除 了一个帐号后，即使再次建立一个一模一样的帐号，其 SID和原来的那个是不一样，那么他的NTFS权限就必须 重新设置。

使用户能够执行管理任务或者能临时访问网络资源 本地的 Administrator 和 Guest 用户账户驻留在 SAM 中 域中的 Administrator 和 Guest 用户账户驻留在 Active Directory 里
本地帐户又可分为下面两类：
1、系统内置帐户
• Administrator（系统管理员）帐户：拥有本地计算机最高的权 限，管理整个计算机系统。系统管理员的默认名字是 Administrator，要求大家务必牢记。我们可以更改系统管理员 的名字，但不能删除该帐户，也不能禁止该帐户登录。 • Guest（来宾）帐户：是为临时访问计算机的用户提供的。该帐 户自动生成，可以更改名字，但不能被删除，Guest帐户只有很 少的权限，而且默认情况下，该帐户被禁止使用。
本地组的成员身份所要遵循的准则有：
本地组只能包含创建该本地组的计算机上的本地用 户账户 本地组不能是其他任何组的成员
只有 Administrators 组或者 Power Users 组的成员才有权创建本地组。
在工作组中使用本地组的策略
添加
L
授权
A
添加
P
添加
Windows XPl
L
授权
2、用户建立的帐户 由具有管理员权限的用户建立的，可以登录本地计算机 的帐户。我们通常说的帐户管理主要是对这部分帐户的 管理。
4．1．1 帐户命名规则
帐户包括用户名和密码，作为管理员，需要给计算机或 网络的使用者建立用户帐户。普通用户的用户名应该简 单好记、有一定的规律，以方便管理。用户名和密码有 如下规则： 1、帐户名的命名规则：
4．4．1 帐户安全常识
1、用户数据库
计算机上所有本地帐户和组的安全信息都存储在用户数据库SAM （Security Accounts Managers，安全帐户管理器）中。SAM数 据库的文件位于“%windir%\system32\config\sam”。如果该文件 被删除，则本地计算机所有帐户信息都会丢失，Administrator帐户 的密码将被置为空。