第2章 本地用户和组

2017/12/7
•图2.23 账户锁定阈值
3．用户权限分配

Windows Server 2008将计算机管理各项任务设定为默认 的权限。例如，从本地登录系统、更改系统时间、从网络 连接到该计算机、关闭系统等。 系统管理员在新增了用户账户和组账户后，如果需要指派 这些账户管理计算机的某项任务，可以将这些账户加入到 内置组，但这种方式不够灵活。系统管理员可以单独为用 户或组指派权限，这种方式提供了更好的灵活性。
2017/12/7
2.1.2 用户账户的创建（续）
（2）密码原则 ① 一定要给 Administrator 账户指定一个复杂密码，以防止 他人随便使用该账户。 ② 确定是管理员还是用户拥有密码的控制权。用户可以给每 个用户账户指定一个唯一的密码，并防止他用户对其进行更 改，也可以允许用户在第一次登录时输入自己的密码。一般 情况下，用户应该可以控制自己的密码。 ③ 密码不能太简单，应该不容易让他人猜出。 ④ 密码最多可由 128 个字符组成，推荐最小长度为 8 个字符。 ⑤ 密码应由大小写字母、数字以及合法的非字母数字的字符 混合组成，如“P@ssw0rd”。
1．“常规”选项卡
2．“隶属于”选项卡 3．“配置文件”选项卡
2017/12/7
2.1.4 删除本地用户账户

在“计算机管理”控制台中，选择要删除的用户账户执行 删 除 功 能 ， 如 图 2.10 所 示 ， 但 是 系 统 内 置 账 户 如 Administrator、Guest等无法删除。
2017/12/7
2.3 设置本地安全策略（续）

系统管理员可以通过本地安全原则，确保执行的 Windows Server 2008计算机的安全。 例如，判断账户的密码长度的最小值是否应该符合密码复 杂性要求，系统管理员可以设置哪些用户允许登录本地计 算机，以及从网络访问这台计算机的资源，进而控制用户 对本地计算机资源和共享资源的访问。

用户账户不只包括用户名和密码等信息，为了管理和使用的方 便，一个用户还包括其他的一些属性，如用户隶属的用户组、 用户配置文件、用户的拨入权限、终端用户设置等。在“本地 用户和组”的右侧栏中，双击一个用户，将显示“用户属性” 对话框，如图2.5所示。
2017/12/7
•图2.5 “用户属性”对话框
2.1.3 设置用户账户的属性（续）

2017/12/7
组的概念
本地组：创建在本地的组账户。本地组的账户只能在 本地机使用。本地组有两种类型：用户创建的组和系统内 置的组。
2017/12/7
2.2.1 本地组账户的概述（续）

打开“计算机管理”管理控制台，在“本地用户和组”树 中的“组”目录里，可以查看本地内置的所有组账户，如 图2.12所示。

2017/12/7
1．密码安全设置（续）

Windows Server 2008的密码原则主要包括以下4项：密码 必须符合复杂性要求，密码长度最小值，密码使用期限和 强制密码历史等。
2017/12/7
•图2.20 启用密码复杂性要求
2．账户锁定策略

Windows Server 2008在默认情况下，没有对账户锁定进 行设定，为了保证系统的安全，最好设置账户锁定策略。 账户锁定原则包括如下设置：账户锁定阈值、账户锁定时 间和重设账户锁定计算机的时间间隔。


Administrator ：使用内置 Administrator 账户可以对整台 计算机或域配置进行管理，如创建修改用户账户和组、管 理安全策略、创建打印机、分配允许用户访问资源的权限 等。作为管理员，应该创建一个普通用户账户，在执行非 管理任务时使用该用户账户，仅在执行管理任务时才使用 Administrator 账户。 Administrator 账户可以更名，但不 可以删除。 Guest：一般的临时用户可以使用内置 Guest账户进行登录 并访问资源。在默认情况下，为了保证系统的安全，Guest 账户是禁用的，但在安全性要求不高的网络环境中，可以 使用该账户，且通常分配给它一个口令。
第2章 用户和组管理
2017年12月7日
2017/12/7
企业需求

公司有100个员工，每个人工作内容不同。然而他们中有
些人有相同的权限。

需要为每个人创建不同的帐号 还需要把有类似功能的用户放在一个组中 每个用户有自己的特定信息，需要可以自己设置密码
2017/12/7
【本章提要】


2017/12/7
2.1.2 用户账户的创建


1．规划新的用户账户
遵循以下的规则和约定可以简化账户创建后的管理工作：
（1）命名约定。


① 账户名必须唯一：本地账户必须在本地计算机上唯一。
② 账户名不能包含以下字符：* / \ [ ] : : | = ， + / < > “。 ③ 账户名最长不能超过20个字符。
2017/12/7
图2.12 内置组账户
Windows Server 2008内置的组账户的权 限
组 描 述 默认用户权利
Administrators
从网络访问此计算机；允许本地 登录；调整某个进程的内存配额； 允许通过终端服务登录；备份文 该组的成员具有对服务器的完全控 件和目录；更改系统时间；调试 制权限，并且可以根据需要向用户 程序；从远程系统强制关机；加 指派用户权利和权限。默认成员有 载和卸载设备驱动程序；管理审 Administrator账户 核和安全日志；调整系统性能； 关闭系统；取得文件或其他对象 的所有权 该组的成员可以备份和还原服务器 从网络访问此计算机；允许本地 上的文件，而不考虑保护这些文件 登录；备份文件和目录；忽略遍 的安全设置。这是因为执行备份的 历检查；还原文件和目录；关闭 权限，优先于所有文件的使用权限， 系统 但是不能更改文件的安全设置 该组成员拥有一个在登录时创建的 临时配置文件，在注销时，该配置 没有默认用户权利 文件将被删除。来宾账户（默认情 况下禁用）也是该组的默认成员
2017/12/7
2．创建本地用户账户

用户可以用“计算机管理”中的“本地用户和组”管理单 元来创建本地用户账户，而且用户必须拥有管理员权限。 创建的步骤如下： （1）打开“开始 | 管理工具 | 计算机管理”，如图2.2所示。

2017/12/7
•图2.2 计算机管理
2．创建本地用户账户（续）
Windows Server 2008的用户账户管理
Windows Server 2008的组账户管理 工作组与域环境

账户是计算机的基本安全对象，Windows Server 2008本 地计算机包含了两种账户：用户账户和组账户。本章主要 介绍Windows Server 2008的用户账户和组账户的设置和 管理，以及在网络环境下选择工作组还是域环境。
2017/12/7
•图2.10 删除用户账户
2.2 组账户管理
2.2.1 本地组账户的概述

组账户是计算机的基本安全组件，用户账户的集合。组账 户并不能用于登录计算机，但可以用于组织用户账户。通 过使用组，管理员可以同时向一组用户分配权限，故可简 化对用户账户的管理。 组可以用于组织用户账户，让用户继承组的权限。

2017/12/7
2.3 设置本地安全策略（续）
Windows Server 2008在“管理工具”菜单提供了“本地安 全设置”控制台，可以集中管理本地计算机的安全设置原 则，使用管理员账户登录到本地计算机，即可打开“本地 安全设置”控制台，如图2.19所示。
2017/12/7
图2.19 “本地安全设置”控制台
2017/12/7
2.1 本地用户账户

保证Windows Server 2008安全性的主要方法有以 下4点：
（1）严格定义各种账户权限，阻止用户可能进行具有危害性 的网络操作；
（2）使用组规划用户权限，简化账户权限的管理；
（3）禁止非法计算机连入网络；
（4）应用本地安全策略和组策略制定更详细的安全规则。
2017/12/7
•图2.16 “删除组”操作
2.2.3 删除、重命名本地组及修改本地组成员（续）

管理员只能删除新增的组，不能删除系统内置的组。当管 理员删除系统内置组时，系统将拒绝删除操作。 重命名组的操作与删除组的操作类似，只需要在弹出的菜 单中选择“重命名”，输入相应的名称即可。

2017/12/7

2017/12/7
2.1.1 用户账户的概述（续）

用 户 登 录 后 ， 可 以 在 命 令 提 示 符 状 态 下 输 入 “ whoami /logonid”命令查询当前用户账户的安全标识符，如图2.1所 示。
2017/12/7
图2.1 查询当前账户的SID
系统的内置账户Administrator和Guest简单介绍
Backup Operators
GuestsBiblioteka Baidu
2017/12/7
2.2.2 创建本地用户组

从“计算机管理”控制台中展开“本地用户和组”，鼠标 右键单击“组”按钮，选择“新建组”命令，如图2.13所示。 在“新建组”窗口中输入组名和描述，如图2.14所示，然后 单击“创建”按钮即可完成创建。
2017/12/7
•图2.13 “新建组”对话框
2.2.3 删除、重命名本地组及修改本地组成员

当计算机中的组不需要时，系统管理员可以对组执行清除 任务。每个组都拥有一个唯一的安全标识符（SID），所以 一旦删除了用户组，就不能重新恢复，即使新建一个与被 删除组有相同名字和成员的组，也不会与被删除组有相同 的特性和特权。在“计算机管理”控制台中选择要删除的 组账户，然后执行删除功能，如图2.16所示，在弹出的对话 框中选择“是”即可。
2017/12/7
2.1.1 用户账户的概述

用户账户是计算机的基本安全组件，计算机通过用户账户 来辨别用户身份，让有使用权限的人登录计算机，访问本 地计算机资源或从网络访问这台计算机的共享资源。 Windows Server 2008支持两种用户账户：域账户和本地 账户。域账户可以登录到域上，并获得访问该网络的权限； 本地账户则只能登录到一台特定的计算机上，并访问该计 算机上的资源。Windows Server 2008还提供内置用户账 户，它用于执行特定的管理任务或使用户能够访问网络资 源。
1．密码安全设置

用户密码是保证计算机安全的第一道屏障，是计算机安全 的基础。如果用户账户特别是管理员账户没有设置密码， 或者设置的密码非常简单，那么计算机将很容易被非授权 用户登录，进而访问计算机资源或更改系统配置。 目前互联网上的攻击很多都是因为密码设置过于简单或根 本没设置密码造成的，因此应该设置合适的密码和密码设 置原则，从而保证系统的安全。
2.3 设置本地安全策略



在Windows Server 2008中，为了确保计算机的安全，允 许管理员对本地安全进行设置，从而达到提高系统安全性 的目的。 Windows Server 2008对登录到本地计算机的用户都定义 了一些安全设置。所谓本地计算机是指用户登录执行 Windows Server 2008的计算机，在没有活动目录集中管 理的情况下，本地管理员必须为计算机进行设置以确保其 安全。 例如，限制用户如何设置密码、通过账户策略设置账户安 全性、通过锁定账户策略避免他人登录计算机、指派用户 权限等。将这些安全设置分组管理，就组成了 Windows Server 2008的本地安全策略。
2017/12/7

2.1.1 用户账户的概述（续）

本地用户账户仅允许用户登录并访问创建该账户的计算机。 当创建本地用户账户时，Windows Server 2008仅在计算 机位于 %Systemroot%\system32\config 文件夹下的安全 数据库（SAM）中创建该账户。
Windows Server 2008 默 认 只 有 Administrator 账 户 和 Guest 账户。 Administrator 账户可以执行计算机管理的所 有操作；而Guest账户是为临时访问计算机的用户而设置的， 但默认是禁用的。


（2）在“计算机管理”管理控制台中，展开“本地用户和 组”，在“用户”目录上单击鼠标右键，选择“新用户” 命令，如图2.3所示。 （3）打开“新用户”对话框后，输入用户名、全名和描述， 并且输入密码，如图2.4所示。
2017/12/7
图2.3 选择“新用户”命令
•图2.4 “新增用户”对话框
2.1.3 设置用户账户的属性