项目2 管理信息中心的用户与组

项目2管理信息中心的用户与组本地用户账户本地用户账户解析本地用户账户仅限于创建该账户的计算机登录，无法访问域内其他资源。每个账户通过安全标识符（SID）唯一标识，存储在本地SAM数据库中，确保系统资源的安全性与独立性。本地账户特性01安全账户管理器（SAM）位于系统盘“C:\Windows\system32\config\”目录下，负责管理本地账户数据。用户访问计算机时需通过SAM中的SID验证，保障本地资源的安全访问控制。SAM数据库作用02本地账户的使用范围严格受限于本机，无法跨设备访问域资源。这种设计强化了单机环境的安全性，但限制了网络化协作场景下的灵活性与扩展性。登录权限限制03内置账户内置账户01WindowsServer2025系统中还有一种账户叫作内置账户，它与服务器的工作模式无关。当WindowsServer2025系统安装完毕后，会在服务器上自动创建一些内置账户，Administrator（系统管理员）和Guest（来宾）是其中最重要的两个。02Administrator：拥有最高的权限，管理着WindowsServer2025系统和域。系统管理员账户的默认名字是Administrator，系统管理员账户的名字可以被更改，但该账户不能被删除。该账户可以被永久禁用，且不受登录时间和登录计算机的限制。03Guest：为临时访问计算机而设置的账户。该账户由系统自动生成，可以更改名字，但不能被删除，默认情况下，该账户被禁用。Guest账户只有很小的权限，例如，当临时的工作人员需要登录公司的计算机时，可以提供Guest账户给该工作人员使用，而不需要单独建立一个新的账户。组的概念组的概念为了简化用户账户的管理工作，WindowsServer2025系统提供了组的概念。组是指具有相同或者相似特性的用户集合，当要给一批用户分配同一个权限时，就可以将这些用户归到一个组中，只要给这个组分配此权限，组内的用户就都会拥有此权限。例如，一个班级或一个部门就相当于一个组，班级里的学生或部门里的成员就是用户。同一个班级的学生可能需要访问很多相同的资源，这时不用逐个向该班级的学生授予对这些资源的访问权限，而可以将这些学生归到同一个组中，从而使这些学生自动获得该组的权限。如果某个学生要退学或转专业，只需将该学生从组中删除，其所拥有的所有访问权限就会随之撤销。与逐个撤销该学生对各类资源的访问权限相比，这种方式实现起来更方便，大大减少了管理员的工作量。在WindowsServer2025系统中，用组账户来表示组，用户只能通过用户账户登录计算机，而不能通过组账户登录计算机。内置本地组内置本地组Administrators：在系统内具有最高权限，可赋予权限、添加系统组件、升级系统、配置系统参数、配置安全信息等。内置的系统管理员账户是Administrators组的成员，而且无法将其从此组中删除。如果将这台计算机加入域中，则域管理员自动加入该组，并且拥有系统管理员的权限。Administrators组中的成员都具备系统管理员的权限，拥有对这台计算机最大的控制权。Guests：内置的Guest账户是该组的成员，一般被用于在域中或计算机中没有固定账户的用户临时访问域或计算机。默认情况下不允许Guest账户对域或计算机中的设置和资源做出更改，且出于安全考虑，Guest账户在WindowsServer2025系统安装好之后是被禁用的，如果需要可以手动启用。应该注意分配给Guest账户的权限，因为其是黑客攻击的主要对象。内置本地组是在系统安装时默认创建的，并被授予特定权限以便于管理计算机，常见的内置本地组有下面几个。内置本地组IS_IUSRS：这是互联网信息服务（InternetInformationService，IIS）使用的内置组。Users：一般用户所在的组，所有创建的本地账户都默认属于此组。Users组的权限受到很大的限制，只有基本的系统权限，如可以运行程序、使用网络，但不能关闭WindowsServer2025系统，不能创建共享目录和使用本地打印机。如果这台计算机加入域，则域用户自动加入该组。NetworkConfigurationOperators：该组的成员可以更改TCP/IP设置，并且可以更新和发布TCP/IP地址。该组没有默认的成员。内置特殊组内置特殊组Everyone：包括所有访问该计算机的用户账户。如果为Everyone组指定了权限，那么在启用Guest账户时一定要小心，系统会将没有有效账户的用户当成Guest账户，Guest账户会自动得到Everyone组的权限。除了以上所述的内置本地组以外，还有一些内置特殊组，他们存在于每一台装有WindowsServer2025系统的计算机内。用户无法更改内置特殊组的成员，也就是说，无法在“ActiveDirectory用户和计算机”或“本地用户与组”内看到并管理这些组。用户只有在设置权限时才能看到这些组，以下列出3个常用的内置特殊组。内置特殊组CreatorOwner：文件等资源的创建者就是该资源的CreatorOwner。不过，如果创建者是Administrators组内的成员，则资源的CreatorOwner为Administrators组。Hyper-VAdministrators：一般来说，都是系统管理员进行虚拟机设置，但是有时候也需要一