《Windows serves 服务器管理》课件-第二章 本地用户和组

第二章

本地用户和组WindowsServer操作系统01用户和组的概念02本地用户与组账户的创建与管理03设置本地安全策略学习目标

用户账户概念在计算机网络中，计算机的服务对象是用户，用户通过账户访问计算机资源，所以用户也就是账户。所谓用户的管理也就是账户的管理。每个用户都需要有一个账户，以便登录到域访问网络资源或登录到某台计算机访问该机上的资源。组是用户账户的集合，管理员通常通过组来对用户的权限进行设置从而简化了管理。用户账户由一个账户名和一个密码来标识，二者都需要用户在登录时键入。账户名是用户的文本标签，密码则是用户的身份验证字符串，是在WindowsServer2016网络上的个人唯一标识。用户账户通过验证后登录到工作组或是域内的计算机上，通过授权访问相关的资源，它也可以作为某些应用程序的服务账户。账户名的命名规则如下：账户名必须唯一，且不分大小写。最多包含20个大小写字符和数字，输入时可超过20个字符，但只识别前20个字符。不能使用保留字字符：”^[]：；｜＝，＋＊？＜＞可以是字符和数字的组合。不能与组名相同。

用户账户概念

组的概念

有个用户之后，为了简化网络的管理工作，WindowsServer中提供了用户组的概念。用户组就是指具有相同或者相似特性的用户集合，我们可以把组看作一个班级，用户便是班级里的学生。当要给一批用户分配同一个权限时，就可以将这些用户都归到一个组中，只要给这个组分配此权限，组内的用户就都会拥有此权限。就好像给一个班级发了一个通知，班级内的所有学生都会收到这个通知一样，组是为了方便管理用户的权限而设计的。组是指本地计算机或ActiveDirectory中的对象，包括用户、联系人、计算机和其它组。在Server2008中，通过组来管理用户和计算机对共享资源的访问。如果赋予某个组访问某个资源的权限，这个组的用户都会自动拥有该权限。例如，网络部的员工可能需要访问所有与网络相关的资源，这时不用逐个向该部门的员工授予对这些资源的访问权限，而是可以使员工成为网络部的成员，以使用户自动获得该组的权限。如果某个用户日后调往另一部门，只需将该用户从组中删除，所有访问权限

即会随之撤销。与逐个撤销对各资源的访问权限相比，该技术容易实现。

组的概念

有个用户之后，为了简化网络的管理工作，WindowsServer中提供了用户组的概念。用户组就是指具有相同或者相似特性的用户集合，我们可以把组看作一个班级，用户便是班级里的学生。当要给一批用户分配同一个权限时，就可以将这些用户都归到一个组中，只要给这个组分配此权限，组内的用户就都会拥有此权限。就好像给一个班级发了一个通知，班级内的所有学生都会收到这个通知一样，组是为了方便管理用户的权限而设计的。组是指本地计算机或ActiveDirectory中的对象，包括用户、联系人、计算机和其它组。在Server2008中，通过组来管理用户和计算机对共享资源的访问。如果赋予某个组访问某个资源的权限，这个组的用户都会自动拥有该权限。例如，网络部的员工可能需要访问所有与网络相关的资源，这时不用逐个向该部门的员工授予对这些资源的访问权限，而是可以使员工成为网络部的成员，以使用户自动获得该组的权限。如果某个用户日后调往另一部门，只需将该用户从组中删除，所有访问权限

即会随之撤销。与逐个撤销对各资源的访问权限相比，该技术容易实现。

组的概念一般组用于以下三个方面：（1）管理用户和计算机对于共享资源的访问，如网络各项文件、目录和打印队列等；

（2）筛选组策略；（3）创建电子邮件分配列表等。WindowsServer2016同样使用唯一安全标识符SID来跟踪组，权限的设置都是通过SID进行的，而不是利用组名。更改任何一个组的账户名，并没有更改该组的SID，这意味着在删除组之后又重新创建该组，不能期望所有权限和特权都与以前相同，新的组将有一个新的安全标识符，旧组的所有权限和特权已经丢失。

在WindowsServer2016中，用组账户来表示组，用户只能通过用户账户登录计算机，不能通过组账户登录计算机。组的类型和作用域

1．本地组账户：

可以在WindowsServer2016/2008/2008/2003/2000/NT独立服务器或成员服务器、WindowsXP/7/10以及WindowsNTWorkstation等非域控制器的计算机上创建本地组。这些组账户的信息被存储在本地安全账户数据库（SAM）内。本地组只能在本地计算机中使用，它有两种类型：用户自建的组和系统内置的组（后面将详细介绍WindowsServer2016的内置组）。

2．域组账户：

域组账户创建在WindowsServer2016的域控制器上，组账户的信息被存储在ActiveDirectory数据库中，这些组能够被使用在整个域中的计算机上。本地安全策略

在WindowsServer操作系统中，为了确保计算机的安全，允许管理员对本地安全进行设置，从而达到提高系统安全性的目的。WindowsServer2016对登录本地计算机的用户都定义了一些安全设置。所谓的本地计算机，是指用户登录执行WindowsServer2016的计算机，在没有ActiveDirectory集中管理的情况下，本地管理员必须为计算机进行设置以确保其安全。例如，限制用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登录计算机、指派用户权限等。将这些安全设置分组管理，就组成了WindowsServer2016的本地安全策略。

系统管理员可以通过本地安全策略，确保执行计算机的安全，例如，判断账户的密码长度的最小值是否符合密码复杂性要求，管理员可以设置哪些用户允许登录本地计算机，以及从网络访问这台计算机的资源，进而控制用户对本地计算机资源和共享资源的访问。

组的概念一般组用于以下三个方面：（1）管理用户和计算机对于共享资源的访问，如网络各项文件、目录和打印队列等；

（2）筛选组策略；（3）创建电子邮件分配列表等。WindowsServer2016同样使用唯一安全标识符SID来跟踪组，权限的设置都是通过SID进行的，而不是利用组名。更改任何一个组的账户名，并没有更改该组的SID，这意味着在删除组之后又重新创建该组，不能期望所有权限和特权都与以前相同，新的组将有一个新的安全标识符，旧组的所有权限和特权已经丢失。

在WindowsServer2016中，用组账户来表示组，用户只能通过用户账户登录计算机，不能通过组账户登录计算机。组的类型和作用域

1．本地组账户：

可以在WindowsServer2016/2008/2008/2003/2000/NT独立服务器或成员服务器、WindowsXP/7/10以及WindowsNTWorkstation等非域控制器的计算机上创建本地组。这些组账户的信息被存储在本地安全账户数据库（SAM）内。本地组只能在本地计算机中使用