第3.2章 Windows Server 2003 本地用户和组

第三部分局域网安全管理WINDOWS2003SERVER第二章用户、组,计算机信息安全与管理王磊,第2章WindowsServer2003本地用户和组,本地用户帐户组帐户管理设置本地安全策略,帐户是计算机的基本安全对象。WindowsServer2003本地计算机包含了两种帐户：用户帐户和组帐户。用户帐户用于识别一个用户，组帐户规定了用户权限。每个用户帐户必然是某个组帐户的成员。,2.1本地用户帐户,WindowsServer2003支持两种用户帐户：域帐户和本地帐户。域帐户可以登录到域上，获得对域中资源的访问权限。本地帐户只能登录到一台特定的计算机上，获得对该计算机的访问权限。如果一个人拥有了某计算机的本地帐户，他可以在本地登录该计算机，也可以通过网络登录该计算机。,每个本地用户帐户包含：安全标识符、用户名、密码、隶属的组等要素。,安全标识符（SID）,安全标识符是用户帐户的内部名，用于识别用户身份，它在用户帐户创建时由系统自动产生。当删除一个用户帐户后，它的SID也被删除，如果此后再重新创建一个同名的帐户，由于产生的SID不同，它不能获得先前帐户的权利，应该看作一个新帐户。,用户登录后，在命令提示符下用“whoami/logonid”命令可以查看当前帐户的SID。如：C:whoami/logonidS-1-5-5-0-602095,用户名,每个用户帐户有一个用户名，在一台计算机中各帐户不能重名。帐户名中不能包含以下字符：*/:|=,+“帐户名最长不能超过20个字符。,WindowsServer2003中有两个内置帐户：Administrator（管理员）和Guest（来宾）。Adiministrator帐户具有很高的权限，可执行各种管理任务。该帐户可以改名，但不能删除。Guest帐户只具有基本的访问权限，没有修改权限。在默认情况下，该帐户是禁用的。,密码,任何人如果知道了帐户名和密码就可以登录到该计算机（本地或远程登录），并可以行使该帐户所拥有的权利。所以，为帐户设置密码是保障计算机安全的必要手段。尤其是Administrator帐户一定要设置一个安全的密码。,密码原则：密码不能太简单，应该不容易让他人猜出；密码最多由128个字符组成，推荐最小长度为8个字符；密码应该由大小写字母、数字及合法的非字母数字混合组成。,2.1.2创建新的本地用户帐户,(1)打开“开始|管理工具|计算机管理”,(2)展开“本地用户和组”，在“用户”目录上单击右键，选择“新用户”命令,(3)设置新用户参数：用户名、全名、描述、密码、确认密码，并设置密码选项。,新的本地用户帐户创建完后，就可以用该帐户登录计算机了。,注意：必须用具有管理员权限的帐户登录计算机才能创建新帐户。,使用本地用户帐户登录计算机,方法一：在开机或重启时登录在开机或重启时，出现登录画面后，输入帐户名和密码，就可用指定的帐户登录计算机。,方法二：切换用户打开“开始|注销”，可以注销当前帐户，然后切换到另一个用户帐户。,方法三：在网络的其它计算机上通过“网上邻居”等方式访问该计算机，并用该计算机的用户帐户登录。,2.1.3修改用户帐户的属性,对系统的内置帐户和管理员新建的帐户都可以修改它的各种属性值。包括帐户名、密码、隶属的组、配置文件等，还可以禁用某帐户或解除某帐户的禁用。,注意：必须用具有管理员权限的帐户登录计算机才能修改本帐户和其它用户帐户的属性。,修改帐户名,打开“开始|管理工具|计算机管理”，展开“本地用户和组”，选中“用户”目录，在右边用户窗口的用户名称上单击右键，选择“重命名”。也可以在用户名称上两次单击，然后输入新名字即可。,选择“重命名”菜单项。,修改帐户密码,方法一（推荐）：用相应帐户登录计算机，登录后，按“Ctrl+Alt+Del”组合键，选择“修改密码”。先输入该帐户原来的密码，再输入新密码和确认密码。方法二：打开“开始|管理工具|计算机管理”，展开“本地用户和组”，选中“用户”目录，在右边用户窗口的用户名称上单击右键，选择“设置密码”。这种方法不需要输入原来的密码，用于忘记密码的情况，但会导致该帐户一些信息的丢失。,选择“设置密码”菜单项。,修改帐户全名、描述和密码选项,打开“开始|管理工具|计算机管理”，展开“本地用户和组”，选中“用户”目录，在右边用户窗口的用户名称上单击右键，选择“属性”。,选择“属性”菜单项。,禁用帐户或解除禁用的帐户,设置用户帐户隶属的组,用户帐户的权限取决于所在的组。新增的用户帐户默认是加入到“User组”，该组的用户只具备最基本的访问权限，想要提高用户的权限，应该变更他的组设置。,变更组的方法：打开用户的“属性”对话框，选择“隶属于”选项卡，可以查看或变更帐户所在的组。,在“隶属于”列表中列出的是当前帐户所在的组。更改组设置，应该单击“添加”按钮。,如果知道组的名称，可直接在框中添入组名，然后用“检查名称”按钮，检查是否输入有误。如果对组名称没有把握，可以单击“高级”按钮选择组。,选择合适的组(本例为PowerUsers)后，单击“确定”按钮。,一个用户帐户可以同时隶属于多个组，这时该用户的权限就是各个组权限的组合。用“删除”按钮，可以把用户帐户从一个组中删除。,设置用户帐户的配置文件,每个用户帐户都可以有一个配制文件，其中保存了该用户帐户的桌面环境、应用程序设置、个人文件夹、网络连接等。当用户更改了他的桌面环境等设置后，他的配制文件也会做相应的更改。用户的配置文件在该用户第一次登录时，WindowsServer2003自动创建一个用户配置文件并保存在该计算机上。,配置文件的种类,1、默认用户配置文件在用户第一次登录时，由系统自动建立，如果用户没有另行指定，就会一直使用该配置文件。默认用户配置文件夹位于计算机的“%Systemdrive%DocumentsandSettings%Username%”其中%Systemdrive%是操作系统所在驱动器，%Username%是用户帐户名。用户配置文件夹中包括了“我的文档”、“桌面”、“开始菜单”、“收藏夹”等文件夹，这些都是用户的个人配置信息，它可以使每个用户按照自己的习惯进行设置，而不影响其他用户的设置。,2、本地用户配置文件通常就是默认用户配置文件，用户可以在用户属性的“配置文件”选项卡中修改该配置文件的路径，把它放在指定的位置。,3、漫游用户配置文件漫游用户配置文件只适用于域环境。这种配置文件可以保存在域中的某台服务器上，用户无论在哪台计算机上登录，都可获得这一个配置文件，WindowsServer2003会将该文件从服务器上复制到该用户所在的计算机上。如果用户做了修改，当用户注销时，系统会把修改复制到服务器上。,4、强制用户配置文件强制配置文件是一个只读的用户配置文件。当用户注销时，他所做的修改不会被保存。强制用户配置文件主要用于一些不希望用户随意变更设置的公用计算机。在用户配置文件夹中有一个名为“Ntuser.dat”的隐藏文件，如果把它改名为“Ntuser.man”，就成了强制用户配置文件。（必须以管理员身份登录，才有更改的权力。）,主文件夹,除了MyDocuments文件夹外，WindowsServer2003还可以定义主文件夹，用于存放用户的个人文档。主文件夹可以定义在本地计算机中，也可以定义在一台服务器的共享文件夹中。如果主文件夹设置在服务器中，则用户可以在网络中任一台计算机上访问其主文件夹。主文件夹最好存放在NTFS卷中，这样可以通过设置NTFS权限保护主文件夹。,登录脚本,登录脚本是用户在登录时希望自动运行的脚本文件，它可以是扩展名为VBS、BAT或CMD的文件。,2.1.4删除本地用户帐户,如果一个用户帐户没有用了，可以考虑将其删除。删除方法：打开“计算机管理”控制台，选择要删除的用户帐户，单击右键，选择“删除”。说明：删除帐户将导致与该帐户有关的所有信息的丢失，所以如果一个用户帐户只是临时不用，可采用禁用的办法，而不是删除。系统内置的帐户如Administrator、Guest等无法删除。,2.2组帐户管理,组帐户是用户帐户的集合。它不能用于登录计算机，主要用于组织用户帐户。,每个组可以设置一定的权限，则该组中的所有用户帐户都可继承这些权限。一个用户帐户可以同时成为几个组的成员，该用户帐户的权限就是几个组权限的合并。,WindowsServer2003有几个内置的组，用户还可以创建新组，并为组设置权限。,2.2.1系统内置组,Administrators组：默认成员有Administrator帐户。该组的用户具有对服务器的完全控制权，并且可以为其它用户指派权限。,Guests组：默认成员有Guest帐户。该组的用户只用来临时登录计算机，登录时会创建临时配置文件，注销时，该配置文件被删除。,PowerUsers组：该组的成员具有较高的应用权限，但缺少安全管理权限。,Users组：新增的用户默认加入Users组，他们只具备基本的访问权限，没有管理权限。,2.2.2创建新组,通常情况下，系统内置组就可以满足需求，但为满足一些特殊安全性和灵活性的需要，可以创建新组。创建组的方法：打开“计算机管理”控制台，展开“本地用户和组”，在“组”上单击右键，选择“新建组”，打开新建组对话框。添入组名和描述就可以创建一个组，用“添加”按钮可以向组中添加一些用户。新建的组没有默认用户权限，管理员可以为组添加权限，同时该组的用户也具备了这些权限。,2.2.3删除、重命名组及修改组的成员,删除组：在“计算机管理”控制台中可以删除一个组。每个组都拥有一个安全标识符SID，所以组一旦删除就不能恢复。只有新增的组可以被删除，系统内置的组不能被删除。,重命名组：在“计算机管理”控制台中可以更改组的名称。更改了组的名称不影响组的权限。,修改组的成员：方法一：在“计算机管理”控制台中，双击一个组的名字或单击右键选择属性，打开组属性对话框，可看到该组的成员列表。用“添加”按钮可向组中添加用户，用“删除”按钮可删除组成员。方法二：在“计算机管理”控制台中，双击一个用户的名字或单击右键选择属性，打开用户属性对话框，在“隶属于”选项卡中更改该用户所在的组。,2.3设置本地安全策略,本地安全策略：是对登录本地计算机的安全性要求。包括：密码的安全性；允许哪些用户从本地登录计算机；允许哪些用户从网络登录计算机；用户登录计算机后的访问权限。,1、密码安全设置,(1)启用密码必须符合复杂性要求：打开管理工具|本地安全设置，选中账户策略中的密码策略，双击密码必须符合复杂性要求，选择启用。启用后，用户密码必须包含字母、数字和符号才能满足要求。复杂的密码有利于保护系统的安全性，但设置时一定要先记下密码，再进行设置，之后把记录下来的密码保存妥当。至少要保证一个管理员权限的密码被妥善保管，如果有用户密码遗失，可由该管理员登录计算机为用户重设密码，但这样可能会导致用户的部分信息丢失。,(2)设置密码长度最小值：打开本地安全设置对话框，双击密码策略中的密码长度最小值，可以设置密码的最短长度。,(3)设置密码使用期限：如果密码被破解，定期更改密码可以减少损失。打开本地安全设置对话框，双击密码策略中的密码最长使用期限，可以设置密码的有效期。,(4)设置强制密码历史：打开本地安全设置对话框，双击密码策略中的强制密码历史，可以设置强制密码历史的个数。强制密码历史是防止用户每次用相同的值更改密码，默认为0个，表示新密码可以和原密码相同，如果设置为3个，则新密码不能与最近3次的密码相同。,密码策略设置好后，它会强制用户遵循这种设置使用密码，这样就可以有效地把好密码关。,2、账户锁定策略,为了防止恶意人员用密码猜解的方式破译密码，可以设置账户锁定策略，它可以在用户输入了几次错误的密码时，将该账户锁定，以防止他继续猜测密码。,打开管理工具|本地安全设置，选中账户策略中的账户锁定策略，可以设置账户锁定办法。(1)账户锁定阈值如果该值为0，则未启用账户锁定，用户登录时的无效登录次数不受限制。双击账户锁定阈值，设置一个大于0的值（假设为5），则当用户连续5次无效登录时，该账户被锁定。,(2)账户锁定时间如果设置为0，则该账户被锁定后不能自动解除锁定，需要由管理员手工解除锁定。如果设置为大于0的值（比如30分钟），则该账户被锁定30分钟后，就自动解锁。,3、用户权限分配,管理员可以为用户或组指派权限，也可以变更内置组的默认权限。通常，当管理员在建立一个新组后，需要为它指派权限。,设置或更改权限的方法：单击“开始|管理工具|本地安全设置”；展开“本地策略”，选择“用户权限分配”；双击一种权限，弹出权限属性对话框，之后，可以把一些组或用户添加到该权限列表中，也可以从权限列表中删除组和用户。,常用权限,(1)从网络访问此计算机拥有此权限的默认组有Administrators、BackupOperators、PowerUsers、Users组和Everyone。其中Everyone是指所有用户（包括拥有账户的用户和不拥有账户的用户）。所以，默认情况下，所有用户都能从网络访问该计算机。如果需要设置一台只能由指定用户访问的服务器，应该把Everyone从该权限中删除。,(2)拒绝从网络访问这台计算机该权限下没有默认组。如果一个组或账户同时设置了“从网络访问此计算机”和“拒绝从网络访问此计算机”，则拒绝访问优先于允许访问。在实际应用中，最好把Administrator账户（不是Administrators组）设置为拒绝从网络访问。这样该账户可专用于本地登录和管理，这可在一定程度上提高系统的安全性。如果需要远程的管理员权限，可另外建立Administrator组的账户。,(3)允许本地登录默认的有Administrators、BackupOperators、PowerUsers、Users组。(4)拒绝本地登录如果一个组或账户既属