Windows2008管理本地用户.docx

管理本地用户和组 本地用户账号 创建和管理用户 利用组来简化授权 管理存储的帐号 管理Windows core上的用户和组 使用图形界面远程管理核心服务器 普通用户以管理员的身份打开管理工具1.1 管理本地用户账号Windows Server2008 操作系统要求所有用户都要进行登录才能访问本地和网络资源。Windows 通过实施交互式登录过程（提供用户身份验证）来保护资源。用户帐户是对计算机用户身份的标识，本地用户帐户的帐户、口令存在本地计算机上，只对本机有效，存储在本地安全帐户数据库SAM中。通过本地用户和组，可以为用户和组分配权利和权限，从而限制用户和组执行某些操作的能力。权利可授权用户在计算机上执行某些操作，如备份文件和文件夹或者关机。权限是与对象（通常是文件、文件夹或打印机）相关联的一种规则，它规定哪些用户可以访问该对象以及以何种方式访问。帐户有以下三种不同类型： 标准 管理员 来宾每种帐户类型为用户提供不同的计算机控制级别。标准帐户是日常计算机使用中所使用的帐户。管理员帐户对计算机拥有最高的控制权限，并且应该仅在必要时才使用此帐户。来宾帐户主要供需要临时访问计算机的用户使用。什么是管理员帐户？管理员帐户就是允许您进行将影响其他用户的更改的用户帐户。管理员可以更改安全设置，安装软件和硬件，访问计算机上的所有文件。管理员还可以对其他用户帐户进行更改。设置 Windows 时，将要求您创建用户帐户。此帐户就是允许您设置计算机以及安装您想使用的所有程序的管理员帐户。完成计算机设置后，建议您使用标准用户帐户进行日常的计算机使用。使用标准用户帐户比使用管理员帐户更安全。什么是标准用户帐户？标准用户帐户允许用户使用计算机的大多数功能，但是如果要进行的更改会影响计算机的其他用户或安全，则需要管理员的许可。使用标准帐户时，可以使用计算机上安装的大多数程序，但是无法安装或卸载软件和硬件，也无法删除计算机运行所必需的文件或者更改计算机上会影响其他用户的设置。如果使用的是标准帐户，则某些程序可能要求您提供管理员密码后才能执行某些任务什么是来宾帐户？来宾帐户是供在计算机或域中没有永久帐户的用户使用的帐户。它允许人们使用计算机，但没有访问个人文件的权限。使用来宾帐户的人无法安装软件或硬件，更改设置或者创建密码。必须打开来宾帐户然后才可以使用它。1.1.1 内置的用户帐户本地用户和组 Microsoft 管理控制台 (MMC) 管理单元中的用户文件夹显示默认的用户帐户以及您创建的用户帐户。这些默认的用户帐户是在安装操作系统时自动创建的。下表描述了显示在本地用户和组中的每个默认用户帐户。打开服务器管理器，点击“配置”“本地用户和组”“用户”，可以看到默认的用户帐户。 Administrator 帐户，默认情况下，Administrator 帐户处于禁用状态，但也可以启用它。当它处于启用状态时，Administrator 帐户具有对计算机的完全控制权限，并可以根据需要向用户分配用户权利和访问控制权限。该帐户必须仅用于需要管理凭据的任务。强烈建议将此帐户设置为使用强密码。 Administrator 帐户是计算机上 Administrators 组的成员。永远也不可以从 Administrators 组删除 Administrator 帐户，但可以重命名或禁用该帐户。由于大家都知道 Administrator 帐户存在于许多版本的 Windows 上，所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。w 要点：即使已禁用了 Administrator 帐户，仍然可以在安全模式下使用该帐户访问计算机。 Guest 帐户，Guest 帐户由在这台计算机上没有实际帐户的人使用。如果某个用户的帐户已被禁用，但还未删除，那该用户也可以使用 Guest 帐户。Guest 帐户不需要密码。默认情况下，Guest 帐户是禁用的，但也可以启用它。 可以像任何用户帐户一样设置 Guest 帐户的权利和权限。默认情况下，Guest 帐户是默认的 Guest 组的成员，该组允许用户登录计算机。其他权利及任何权限都必须由 Administrators 组的成员授予 Guests 组。默认情况下将禁用 Guest 帐户，并且建议将其保持禁用状态。1.1.2 创建本地用户如下图所示，右击“用户”，点击“新用户”，输入用户名、全名、描述和密码。点击“创建”。Windows Server 2008的安全策略默认要求用户的密码必须符合复杂性要求，因此输入的密码如果是全是字符或全是数字会出现一下对话框。您必须输入类似于“a1!”或“pssw0rd”这样的密码才能满足默认的安全密码。 注意事项 若要执行此过程，必须提供本地计算机上 Administrator 帐户的凭据（如果提示），或必须是本地计算机上 Administrators 组的成员。 用户名不能与被管理的计算机上任何其他用户名或组名相同。用户名最多可以包含除下列字符外的 20 个大写字符或小写字符：w / : ; | = , + * ? w 用户名不能只由句点 (.) 和空格组成。 在“密码”和“确认密码”框中，可以键入包含不超过 127 个字符的密码。但是，如果网络中包含运行 Windows95 或 Windows98 的计算机，请考虑使用不超过 14 个字符的密码。如果密码超过 14个字符，则可能无法从运行 Windows95 或 Windows98 的计算机登录到网络。w 使用强密码和合适的密码策略有利于保护计算机免受攻击。1.1.3 重设用户密码右击用户账号，点击“设置密码”，出现提示对话框，点击“继续”，输入新密码，点击“确定”。 若要执行此过程，必须提供本地计算机上 Administrator 帐户的凭据（如果提示），或必须是本地计算机上 Administrators 组的成员。密码提供了防止对计算机进行未授权的访问的第一道防线。密码越强，就越能保护计算机免受黑客和恶意软件的侵害。应确保计算机上的所有帐户使用的都是强密码。如果您使用的是企业网络，网络管理员可能需要您使用强密码。密码提供了防止对计算机进行未授权的访问的第一道防线。密码越强，就越能保护计算机免受黑客和恶意软件的侵害。应确保计算机上的所有帐户使用的都是强密码。如果您使用的是企业网络，网络管理员可能需要您使用强密码。强密码（或弱密码）由什么构成？ 长度至少为八个字符。 不包含用户名、真实姓名或公司名称。 不包含完整的单词。 与先前的密码截然不同。包含下列四类字符的每一种： 大写字母 小写字母 数字 键盘上的符号（键盘上所有未定义为字母和数字的字符）和空格强密码可以提高计算机和网络的安全性。为了保护受保护信息的安全，一旦在本地用户帐户上重设了用户密码，部分类型的信息将不能再使用，这些信息包括： 使用用户公钥加密的电子邮件 计算机中保存的 Internet 密码 用户已加密的文件如果要避免丢失这种类型的数据，请不要重设用户的密码。当创建新的本地用户帐户时，请让用户创建一张密码重设盘。以后如果用户忘记了密码，可以使用密码重设盘来重设密码，防止数据损失。但是如果用户忘记了域用户帐户的密码，则必须手工重设该密码。1.1.4 创建密码重设盘创建密码重设盘，不论密码更改过多少次，如果忘记了计算机密码，则可以使用密码重设盘创建一个新密码。建议您在创建密码时创建密码重设盘，以便不会失去对文件和信息的访问权限。1. 将你的U盘插入计算机，下面的步骤将U盘设置成密码重设盘。2. 点击“开始”“控制面板”，如果是传统的“开始菜单”，点击“开始”“设置”“控制面板”，点击左面的“经典视图”，点击“用户帐户”。3. 点击“创建密码重设盘”。4. 在出现的向导对话框，点击“下一步”。选则刚才插入的U盘，点击“下一步”。 5. 输入当前用户密码，点击“下一步”，完成。在U盘上创建了一个userkey.psw文件。1.1.5 使用密码重设盘重设密码如果你忘记密码，需要使用密码重设盘重新设置新密码。1. 输入登录密码出现错误后，会出现重设密码，如下图。 2. 点击“重设密码”，在出现的对话框中，点击“下一步”，选中U盘，点击“下一步”。 3. 输入新密码和密码提示，点击“下一步”，完成密码重设。 1.1.6 管理存储的帐号如果你经常访问某个服务器的共享文件夹，每次都需要你输入访问服务器的账号和密码，您可以将访问该服务器的凭据保存起来。下面是访问文件服务器上的共享文件夹，时需要输入该文件服务器上的账号和密码。 下面的操作会保存访问该服务器的网络凭据。1. 点击“开始”“控制面板”，如果是传统的“开始菜单”，点击“开始”“设置”“控制面板”，点击左面的“经典视图”，点击“用户帐户”。2. 在出现的“存储的用户和密码”对话框，点击“添加”，输入服务器的地址、访问该服务器用到的用户名和密码，点击“确定”。 3. 再次访问该服务发现不再需要输入账号和密码。如果您想用计算机名访问上的共享资源，你需要再添加一个登陆到服务器名的一个网络凭据。 如果你访问Windows集成身份验证的网站或FTP站点，你也可存储网站或程序凭据。用户名前面的“sps”是计算机名或域名。再次访问改网站，用户名和密码就不需要输入，直接点击“确定”，就能访问。如下图。 1.1.7 禁用或激活本地用户打开“服务器管理器”。在控制台树中，单击“用户”，右键单击要更改的用户帐户，然后单击“属性”。执行以下任一操作： 若要禁用所选的用户帐户，请选中“帐户已禁用”复选框。 若要激活所选的用户帐户，请清除“帐户已禁用”复选框。其他注意事项 若要执行此过程，必须提供本地计算机上 Administrator 帐户的凭据（如果提示），或必须是本地计算机上 Administrators 组的成员。 禁用某个用户帐户时，将不允许该用户登录。该帐户将出现在详细信息窗格中，图标上显示一个 号。 在激活已禁用的帐户之前，请确保该帐户不是因安全原因而被锁定的。 用户帐户被激活后，该用户就可以正常登录。1.1.8 删除本地用户帐户 打开“服务器管理器”。在控制台树中，单击“用户”。右键单击要删除的用户帐户，然后单击“删除”。其他注意事项 若要执行此过程，必须提供本地计算机上 Administrator 帐户的凭据（如果提示），或必须是本地计算机上 Administrators 组的成员。 当需要删除一个用户帐户时，建议首先禁用该帐户。确信禁用帐户不会引起问题时，便可以放心地删除该帐户。 不能恢复已删除的用户帐户。 不能删除 Administrator 帐户和 Guest 帐户。1.1.9 重命名本地用户帐户 打开“服务器管理器”。在控制台树中，单击“用户”。右键单击要重命名的用户帐户，然后单击“重命名”。键入新的用户名，然后按 Enter。其他注意事项 若要执行此过程，必须提供本地计算机上 Administrator 帐户的凭据（如果提示），或必须是本地计算机上 Administrators 组的成员。 由于重命名的用户帐户会保留其安全标识符 (SID)，因此也保留其他所有属性，如描述、密码、组成员身份、用户配置文件、帐户信息以及任何已指派的权限和用户权利。 用户名不能与被管理的计算机上任何其他用户名或组名相同。用户名最多可以包含除下列字符外的 20 个大写字符或小写字符： 查看当前用户的SID，在命令行下输入 whoami /user 显示当前用户的SID。管理员的SID默认后三位是“500”。1.2 管理本地组组是用户账号的集合，利用组可以管理对共享资源的访问。这样的共享资源包括网络文件夹、文件、目录和打印机。利用组，可以将访问共享资源的权限一次授予某个组，而不是单独授予多个用户。利用组可以简化授权。如销售部的成员可以访问产品的成本信息，不能访问公司员工的工资信息，而人事部的员工可以访问员工的工资信息却不能访问产品成本信息，当一个销售部的员工调到人事部后，如果我们的权限控制是以每个用户为单位进行控制，则权限设置相当麻烦而且容易出错，如果我们用组进行管理则相当简单，我们只需将该用户从销售组中删除再将之添加进人事组即可。如果销售部门的员工兼职人事部门工作，需要将其加入到人事组，则该用户就有了两个组的权限。1.2.1 默认本地组下面列出了每个组的默认用户权利。这些用户权利是在本地安全策略中分配的。 Administrators此组的成员具有对计算机的完全控制权限，并且他们可以根据需要向用户分配用户权利和访问控制权限。Administrator 帐户是此组的默认成员。当计算机加入域中时，Domain Admins 组会自动添加到此组中。因为此组可以完全控制计算机，所以向其中添加用户时要特别谨慎。以下列出了该组默认用户权利。w 从网络访问此计算机w 调整进程的内存配额w 允许本地登录w 允许通过终端服务登录w 备份文件和目录w 跳过遍历检查w 更改系统时间w 更改时区w 创建页面文件w 创建全局对象w 创建符号链接w 调试程序w 从远程系统强制关机w 身份验证后模拟客户端w 提高日程安排的优先级w 装载和卸载设备驱动程序w 作为批处理作业登录w 管理审核和安全日志w 修改固件环境变量w 执行卷维护任务w 配置单一进程w 配置系统性能w 从扩展坞中取出计算机w 还原文件和目录w 关闭系统w 获得文件或其他对象的所有权 Backup Operators此组的成员可以备份和还原计算机上的文件，而不管保护这些文件的权限如何。这是因为执行备份任务的权利要高于所有文件权限。此组的成员无法更改安全设置。w 从网络访问此计算机w 允许本地登录w 备份文件和目录w 跳过遍历检查w 作为批处理作业登录w 还原文件和目录w 关闭系统 Cryptographic Operators 已授权此组的成员执行加密操作。没有默认的用户权利。 Distributed COM Users允许此组的成员在计算机上启动、激活和使用 DCOM 对象。没有默认的用户权利。 Guests该组的成员拥有一个在登录时创建的临时配置文件，在注销时，此配置文件将被删除。来宾帐户（默认情况下已禁用）也是该组的默认成员。没有默认的用户权利。 IIS_IUSRS这是 Internet 信息服务 (IIS) 使用的内置组。没有默认的用户权利。 Network Configuration Operators 该组的成员可以更改 TCP/IP 设置，并且可以更新和发布 TCP/IP 地址。该组中没有默认的成员。没有默认的用户权利。 Performance Log Users 该组的成员可以从本地计算机和远程客户端管理性能计数器、日志和警报，而不用成为 Administrators 组的成员。没有默认的用户权利 Performance Monitor Users 该组的成员可以从本地计算机和远程客户端监视性能计数器，而不用成为 Administrators 组或 Performance Log Users 组的成员。没有默认的用户权利。 Power Users默认情况下，该组的成员拥有不高于标准用户帐户的用户权利或权限。在早期版本的 Windows 中，Power Users 组专门为用户提供特定的管理员权利和权限执行常见的系统任务。在此版本 Windows 中，标准用户帐户具有执行最常见配置任务的能力，例如更改时区。对于需要与早期版本的 Windows 相同的 Power User 权利和权限的旧应用程序，管理员可以应用一个安全模板，此模板可以启用 Power Users 组，以假设具有与早期版本的 Windows 相同的权利和权限。没有默认的用户权利。 Remote Desktop Users该组的成员可以远程登录计算机。允许通过终端服务登录。 Replicator该组支持复制功能。Replicator 组的唯一成员应该是域用户帐户，用于登录域控制器的复制器服务。不能将实际用户的用户帐户添加到该组中。没有默认的用户权利。 Users该组的成员可以执行一些常见任务，例如运行应用程序、使用本地和网络打印机以及锁定计算机。该组的成员无法共享目录或创建本地打印机。默认情况下，Domain Users、Authenticated Users 以及 Interactive 组是该组的成员。因此，在域中创建的任何用户帐户都将成为该组的成员。以下列出了该组默认用户权利。w 从网络访问此计算机w 允许本地登录w 跳过遍历检查w 更改时区w 增加进程工作集w 从扩展坞中取出计算机w 关闭系统 提供远程协助帮助程序 该组的成员可以向此计算机用户提供远程协助。没有默认的用户权利。1.2.2 创建本地组如果默认本地组不能满足你的授权要求，需要创建新的组。打开“服务器管理器”。在控制台树中，右击“组“，单击“新建组”。在“组名”中，键入新组的名称。在“描述”框中，键入新组的描述。若要向新组添加一个或多个成员，请单击“添加”。 在“选择用户、计算机或组”对话框中，执行下列操作： 若要向该组添加用户帐户或组帐户，请在“输入对象名称来选择”下，键入要添加的用户帐户或组帐户的名称，然后单击“确定”。若要向该组添加计算机帐户，请单击“对象类型”，选中“计算机”复选框，然后单击“确定”。在“输入对象名称来选择”下，键入要添加的计算机帐户的名称，然后单击“确定”。在“新建组”对话框中单击“创建”，然后单击“关闭”。1.2.3 管理组的成员打开服务器管理器，双击组，在组的属性对话框，可以看到该组的成员，点击“添加”，可以添加用户到该组。选中其中的成员，点击“删除”，可以将用户从该组删除。1.2.4 管理用户所属的组打开服务器管理器，双击用户帐户，打开用户属性对话框，点击“隶属于”标签。可以看到用户所属的组。可以点击“添加”，可以将该用户添加到某个组，选中某个组，点击“删除”，可以将该用户从某个组删除。1.2.5 删除本地组打开“服务器管理器”右键单击要删除的组，然后单击“删除”。注意事项 无法删除系统默认组 不能恢复已删除的组。 删除某个本地组将仅删除该组。而不会删除作为该组成员的用户帐户、计算机帐户或组帐户。 如果删除某个组，然后用相同的组名创建另一个组，则必须为新组设置新的权限。新组将不会继承分配给旧组的权限。1.3 管理Server Core上的账号和组由于Windows Serverr Core操作系统只有命令行界面，因此用户帐户和组的管理只能在命令行下实现。也可以在有图形界面的Windows Server 2008的服务器上使用图形化的管理工具管理Server Core上的账户。1.3.1 Server Core上使用命令行管理用户和组用管理员的身份登录到服务器核心。输入net user 查看服务器上所有账号。输入net user zhang a1! /add 添加一个zhang用户 密码是a1!输入net user zhang a2! 更改用户的密码为 a2!输入net user zhang 查看用户详细信息输入net user zhang /del输入net localgroup managers /add 创建一个组managers输入net logcalgroup managers zhang /add 将zhang用户添加到managers组。1.3.2 使用Windows Server图形界面管理Windows Server Core以下配置将会实现用安装了Windows Server 2008 企业版的WebServer管理工具来管理Windows Server Core。以管理员的身份登录到Windows Server Core。输入ipconfig查看IP地址。输入netsh firewall set opmode disable关闭Windows 防火墙。如果不关闭防火墙可以运行一下命令只打开特定端口：netsh firewall set opmode enable 开启防火墙netsh firewall add portopening TCP 445 Netbios-ds输入net user administrator a1! 更改管理员administator的密码和WebServer上计算机上的管理员administrator账号的密码一样，这样在WebServer使用图形界面管理工具连接Windows Server Core时才能成功。在安装Windows Server 2008企业版的WebServer上，以管理员administrator 密码 a1! 登录。点击“开始”“运行”，输入MMC，点击“确定”。MMC是微软管理控制台，可以将多个管理单元添加到一个管理控制台，使用起来较为方便。在控制台对话框，点击“文件”“添加/删除管理单元”。在出现的“添加或删除管理单元”对话框，选中“本地用户和组”，点击“添加”。在出现的“选则目标机器”对话框，选择“另一台计算机”，输入Windows Server Core计算机的IP地址，点击“完成”，点击“确定”。现在改管理工具可以管理Windows Server Core服务器上的用户和组了。为了以后管理方便，可以将其保存，点击“文件”，输入文件名“Server Core的用户和组”。以后点击管理工具就能直接打开这个管理单元。在MMC同样可以可以添加更多的管理单元。如下图，添加了管理Server Core服务器的服务管理单元，可以管理Server Core上的服务。1.4 用户帐户控制概述用户帐户控制 (UAC) 是 Microsoft WindowsVista 和 WindowsServer2008 操作系统的一个新安全组件。UAC 使用户可以用非管理员（在此版本的 Windows 中称为“标准用户”）以及管理员身份执行常见任务，而无需切换用户、注销或使用“以管理员身份运行”命令。标准用户帐户与 Microsoft WindowsXP 中的用户帐户类似。作为本地 Administrators 组成员的用户帐户以标准用户身份运行大多数应用程序。因为 UAC 在进行生产时将用户功能和管理员功能分隔开来，所以它是此版本的 Windows 的一个重要增强功能。当管理员登录到 WindowsVista 或 Windows Server2008 计算机时，将为用户分配两个单独的访问令牌。Windows 使用访问令牌（包含用户的组成员身份、授权数据和访问控制数据）控制用户可以访问的资源和任务。在先前版本的 Windows 中，管理员帐户接收的一个访问令牌包含授予用户访问所有 Windows 资源权限的数据。此访问控制模型不包含任何故障保险检查，而故障保险检查可以确保用户真正执行需要他（或她）的管理访问令牌的任务。因此，恶意软件可以将其自身安装在计算机上，而不会通知用户。此过程通常称为“无提示”安装。因为用户是管理员，所以恶意软件可以使用管理员的访问控制数据感染核心操作系统文件。在某些情况下，恶意软件可能会变得几乎不可能被删除，而且可能会造成更多破坏。此版本的 Windows 中的标准用户和管理员之间的主要区别在于他们对计算机有多少控制权。管理员可以更改系统状态、关闭防火墙、关闭策略、安装影响计算机上每个用户的服务或驱动程序等等。管理员可以为整台计算机安装软件。标准用户无法以这种方式更改系统状态。1.4.1 为什么您不应该以管理员身份运行计算机以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码，这些代码可以下载到系统并被执行