第6次课-本地账户和组的管理

第6次课-本地账户和组的管理1、引语

身为公司得网络技术专业人员,樊大伟深知服务器用户与组得管理就是网络安全得第一道防线。公司在未购买服务器前,公司电脑上得用户账户几乎就是员工随意设置得。部分员工计算机账户甚至未设密码。由于安全保护意识得淡漠,致使公司花费很大精力为客户设计得广告作品,还未提交给客户,就被泄露出去。这次樊大伟决定在服务器上划出一部分存储空间,用来存放公司得作品、客户资料、素材等资源,同时通过对用户权限得限定严格控制公司资源得访问权限。为了避免盲目性,樊大伟草拟了一份《账户规划一览表》。2、用户账户简介

用户账户就是操作系统辨别用户身份得唯一标识,从而让具有一定使用权限得人登录计算机、访问本地计算机资源或从网络访问计算机得共享资源。WindowsServer2008支持两种用户账户:本地账户域账户本地账户:在本地安全数据库中建立得账户。只能登录到本机,只能访问本机资源。通常在工作组网络中使用。用户信息被保存在系统根目录得\windows\system32\config文件夹下得SAM(安全数据库)中。域账户:建立在域控制器得活动目录数据库中得账户。具有全局性,可以登录到域网络环境模式中得任何一台计算机,并获得访问该网络得权限。(第四章介绍)3、默认用户账户WindowsServer2008提供两个默认用户账户:AdministratorGuestAdministrator:系统管理员、超级用户,不但拥有最高得使用资源权限(即完全控制权限),而且可以根据需要向其她用户分配权限。能更名,能禁用,不能删除。Guest:来宾账户,为临时访问计算机得用户提供得账户,不需要密码(当然也可以设置密码)。为了保证系统安全,默认就是禁用得。仅拥有很少权限。能更名、能禁用,不能删除。注1:即使禁用了Administrator账户,仍然可以在安全模式下使用该账户访问计算机。Netuser命令查瞧本地账户4、创建本地账户

服务器管理器/计算机管理→本地用户与组→右击用户→新用户命名规则:本地账户必须在本地计算机系统中唯一账户名不能包括句号、空格以及\/“[]:<>+=;,?*

长度不超过20个字符(只能识别前20个)不区分大小写

注1:用户名可以使用汉字,但不推荐,因为在命令提示符下操作会产生麻烦。注2:企业内部账户命名推荐策略就是登录名采用员工真实姓名得拼音或缩写,同时用户全名使用汉字全名。4、创建本地账户

密码复杂性规则:至少6位长度至少包含大写字母、小写字母、符号、数字中得三种不能包含用户名,不能包含用户姓名超过两个连续字符得部分

账户密码选项用户下次登录时必须更改密码用户不能更改密码密码永不过期账户已禁用强制密码策略:管理工具→本地安全策略→账户策略→密码策略强制密码历史密码最长使用期限4、创建本地账户

使用命令行创建账户Netuser用户名[密码]

/add/active:{yes|no}启用或禁用账户,默认yes/ment:”text”账户描述/fullname:”text”全名/passwordchg:{yes|no}用户能否更改密码,默认yes/passwordreq:{yes}no}用户就是否必须有密码,默认yes例:netuserfandaweiFDWfdw!/ment:”未来广告公司技术主管”/fullname:”樊大伟”/add注:只有具备管理员权限得用户才能创建账户注:命令行可以做成批处理文件、bat5、管理本地账户

用户配置文件:存储当前桌面环境、应用程序设置以及个人数据得文件夹与数据得集合,保持用户桌面环境及其她设置得一致性。一般位于%userprofile%重设用户密码:当用户忘记密码并且没有密码重设盘时,管理员可以为其重设密码。会导致某些信息不能访问,因此尽量建议用户自己更改密码或使用密码重设盘修改密码。Netuser用户名*创建密码重设盘:每一个管理员都应当为管理员账号创建密码重设盘,以防因忘记密码导致无法进入系统或者引起关键数据丢失。用户登录计算机→控制面板→用户账户→创建密码重设盘→将软盘插入软驱5、管理本地账户禁用/激活账户:当账户暂时不用,为防止其她人员非法利用,可以禁用Netuser用户名/active:noNetuser用户名/active:yes删除账户:员工离职时,应收回账户,防止其继续使用。Windows创建得用户账户在系统内部就是使用安全标识符(SecurityIdentifier,SID)来识别每一个用户账户得,在创建时由系统自动产生。设置权限、资源访问控制时,都就是使用SID记录得。查瞧自己账户得SID:whoami/logonid一旦用户账户被删除,SID权限信息等也就消失了。即使重新创建名称相同得账户,由于SID不同,也无法获得原先用户得权限。建议在删除前先禁用账户,确保没有问题再删除。Netuser用户名/delete5、管理本地账户重命名账户:当账户名称不规范或错误时,可以重命名,不改变SID,不影响权限。小技巧:如果公司有人