windowsserver2008本地用户和组

（第2版）2020年1月10日项目2本地用户和组项目2本地用户和组项目情境在岭南信息技术有限公司成立初期，信息系统应用较少，主要有一台安装WindowsServer2008系统的服务器，服务器管理的资源和用户数量都较少。公司管理层希望按用户使用资源的应用需求、权限和访问资源的安全策略对用户进行设置、分类和管理。这样既满足员工工作的便利和效率，又能为服务器系统的安全提供保证。本项目以公司的财务部和销售部为例，其中财务部主要的工作岗位有主管、会计和出纳，销售部主要的工作岗位有主管、销售员、文员等。针对公司业务环境需要了解公司服务器的用户有哪些应用需求？哪些用户具有对服务器的管理需求？用户具有对服务器的哪些资源的访问权限？如何对员工按工作需要进行分类？如何有效配置本地计算机的安全环境？如何配置本地计算机的安全策略？项目2本地用户和组项目分析（1）在服务器创建本地用户及规则，按用户应用的需求配置账户属性。（2）在服务器创建本地组，按用户使用资源分类设置本地组。（3）通过设置本地安全策略，配置用户访问本地服务器的安全性，另外还可配置用户账户对服务器管理与访问的权限。项目2本地用户和组项目目标（1）理解本地用户和组在企业的应用需求。（2）学会创建用户和组，学会按用户工作需求配置用户属性和实现组的管理。（3）学会根据应用需求配置本地计算机的安全环境和本地安全策略。项目2本地用户和组项目任务任务1本地用户账户创建与配置任务2本地组的创建与管理任务3设置本地安全策略项目2本地用户和组任务1本地用户账户创建与管理1任务1本地用户账户创建与管理任务知识准备安装完操作系统并完成操作系统的环境配置后，管理员应规划一个安全的网络环境，为用户提供有效的资源访问服务。WindowsServer2008通过建立账户（包括用户账户和组账户）并赋予账户合适的权限来保证使用网络和计算机资源的合法性，以确保数据访问、存储和交换服从安全需要。保证WindowsServer2008安全性的主要方法如下。（1）严格定义各种账户权限，阻止用户可能进行具有危害性的网络操作。（2）使用组规划用户权限，简化账户权限的管理。（3）禁止非法计算机接入网络。（4）应用本地安全策略和组策略制定更详细的安全规则。任务1本地用户账户创建与管理1．用户账户的概述用户账户是计算机的基本安全组件，计算机通过用户账户来辨别用户身份，让有使用权限的人登录计算机，访问本地计算机资源或从网络访问这台计算机的共享资源。指派不同用户拥有不同的权限，可以让用户执行不同的计算机管理任务。所以每台运行WindowsServer2008的计算机，都需要用户账户才能登录计算机。任务1本地用户账户创建与管理WindowsServer2008支持两种用户账户：域账户和本地账户。域账户可以登录到域上，并获得访问该网络的权限；本地账户则只能登录到一台特定的计算机上，并访问该计算机上的资源。WindowsServer2008还提供内置用户账户，它用于执行特定的管理任务或使用户能够访问网络资源。注意：对于域环境的域用户账户，将在项目3介绍。本项目主要介绍本地计算机的用户和组的管理。任务1本地用户账户创建与管理本地用户账户仅允许用户登录并访问创建该账户的计算机。当创建本地用户账户时，WindowsServer2008仅在计算机位于%Systemroot%\system32\config文件夹下的安全数据库（SAM）中创建该账户。WindowsServer2008默认只有Administrator账户和Guest账户。Administrator账户可以执行计算机管理的所有操作；而Guest账户是为临时访问计算机的用户而设置的，但默认是禁用的。任务1本地用户账户创建与管理WindowsServer2008为每个账户提供了名称，如Administrator、Guest等，这些名称是为了方便用户记忆、输入和使用的。在本地计算机中的用户账户是不允许相同的。而系统内部则使用安全标识符（SecurityIdentifier，SID）来识别用户身份，每个用户账户都对应一个唯一的安全标识符，这个安全标识符在用户创建时由系统自动产生。系统指派权利、授权资源访问权限等都需要使用安全标识符。当删除一个用户账户后，重新创建名称相同的账户并不能获得先前账户的权利。用户登录后，可以在命令提示符状态下输入“whoami/logonid”命令查询当前用户账户的安全标识符，如图2.1所示。任务1本地用户账户创建与管理图2.1查询当前账户的SID任务1本地用户账户创建与管理系统的内置Administrator和Guest账户的简单介绍如下。（1）Administrator：使用内置Administrator账户可以对整台计算机或域配置进行管理，如创建修改用户账户和组、管理安全策略、创建打印机、分配允许用户访问资源的权限等。作为管理员，应该创建一个普通用户账户，在执行非管理任务时使用该用户账户，仅在执行管理任务时才使用Administrator账户。Administrator账户可以更名，但不可以删除。（2）Guest：一般的临时用户可以使用内置Guest账户进行登录并访问资源。在默认情况下，为了保证系统的安全，Guest账户是禁用的，但在安全性要求不高的网络环境中，可以使用该账户，且通常给它分配一个口令。任务1本地用户账户创建与管理2．规划新的用户账户遵循以下的规则和约定可以简化账户创建后的管理工作。（1）命名约定。①账户名必须唯一：本地账户名必须在本地计算机上是唯一的。②账户名不能包含以下字符：*/\[]::|=,+/“。③账户名最长不能超过20个字符。任务1本地用户账户创建与管理（2）密码原则。①一定要给Administrator账户指定一个密码，以防止他人随便使用该账户。②确定是管理员还是用户拥有密码的控制权。用户可以给每个用户账户指定一个唯一的密码，并防止其他用户对其进行更改，也可以允许用户在第一次登录时输入自己的密码。一般情况下，用户应该可以控制自己的密码。③密码不能太简单，应该不容易让他人猜出。④密码最多可由128个字符组成，推荐最小长度为8个字符。⑤密码应由大小写字母、数字以及合法的非字母数字的字符混合组成，如“P@ssw0rd”。任务1本地用户账户创建与管理任务实施1．创建本地用户账户用户可以用“计算机管理”控制台（如图2.2所示）中的“本地用户和组”管理单元来创建本地用户账户，而且用户必须拥有管理员权限。创建的步骤如下。（1）执行“开始”→“管理工具”→“计算机管理”命令。（2）在“计算机管理”控制台中，展开“本地用户和组”，在“用户”目录上单击鼠标右键，选择“新用户”命令，如图2.3所示。任务1本地用户账户创建与管理图2.2“计算机管理”控制台任务1本地用户账户创建与管理图2.3选择“新用户”命令任务1本地用户账户创建与管理（3）打开“新用户”对话框后，输入用户名、全名和描述，并且输入密码，如图2.4所示。可以设置密码选项，包括“用户下次登录时须更改密码”、“用户不能更改密码”、“密码永不过期”、“账户已禁用”等。设置完成后，单击“创建”按钮新增用户账户。有关密码的选项的描述如表2.1所示。创建完用户后，单击“关闭”按钮返回到“计算机管理”控制台。任务1本地用户账户创建与管理图2.4“新用户”对话框任务1本地用户账户创建与管理选项描述密码要求用户输入密码，系统用“*”显示确认密码要求用户再次输入密码以确认输入正确用户下次登录时须更改密码要求用户下次登录时须修改该密码用户不能更改密码不允许用户修改密码，通常用于多个用户合用一个用户账户，如Guest等密码永不过期密码永久有效，通常用于WindowsServer2008的服务账户或应用程序所使用的用户账户账户已禁用禁用用户账户任务1本地用户账户创建与管理2．设置用户账户的属性用户账户不仅包括用户名和密码等信息，为了方便管理和使用，一个用户还包括其他的一些属性，如用户隶属的用户组、用户配置文件、用户的拨入权限、终端用户设置等。在“本地用户和组”的右侧栏中，双击一个用户，将出现“userl属性”对话框，如图2.5所示。任务1本地用户账户创建与管理图2.5“userl属性”对话框任务1本地用户账户创建与管理1）“常规”选项卡可以设置与账户有关的一些描述信息，包括全名、描述、账户选项等。管理员可以设置密码选项或禁用账户，如果账户已经被系统锁定，管理员可以解除锁定。2）“隶属于”选项卡在“隶属于”选项卡中，可以设置将该账户加入到其他的本地组中。为了管理的方便，通常都需要对用户组进行权限的分配与设置。用户属于哪个组，用户就具有该用户组的权限。新增的用户账户默认的是加入到Users组，Users组的用户一般不具备一些特殊权限，如安装应用程序、修改系统设置等。所以当要分配这个用户一些权限时，可以将该用户账户加入到其他的组，也可以单击“删除”按钮将用户从一个或几个用户组中删除。“隶属于”选项卡如图2.6所示。例如，将“user1”添加到管理员组的操作步骤如下。任务1本地用户账户创建与管理图2.6“隶属于”选项卡任务1本地用户账户创建与管理单击图2.6中的“添加”按钮，在如图2.7所示的对话框中直接输入组的名称，例如管理员组的名称“Administrators”、高级用户组名称“PowerUsers”。输入组名称后，如需要检查名称是否正确，则单击“检查名称”按钮，名称会改变为“PUMA\Administrators”。前面部分表示本地计算机名称，后面为组名称。如果输入了错误的组名称，检查时，系统将提示找不到该名称。任务1本地用户账户创建与管理图2.7“选择组”对话框任务1本地用户账户创建与管理如果不希望手动输入组名称，也可以单击“高级”按钮，再单击“立即查找”按钮，从列表中选择一个或多个组，如图2.8所示。图2.8查找可用的组任务1本地用户账户创建与管理3）“配置文件”选项卡在“配置文件”选项卡中可以设置用户账户的配置文件路径、登录脚本和主文件夹路径。本地用户账户的配置文件，都是保存在本地磁盘%userprofile%文件夹中。“配置文件”选项卡如图2.9所示。用户配置文件是存储当前桌面环境、应用程序设置以及个人数据的文件夹和数据的集合，还包括所有登录到某台计算机上所建立的网络连接。由于用户配置文件提供的桌面环境与用户最近一次登录到该计算机上所用的桌面相同，因此就保持了用户桌面环境及其他设置的一致性。任务1本地用户账户创建与管理图2.9“配置文件”选项卡当用户第一次登录到某台计算机上时，WindowsServer2008自动创建一个用户配置文件并将其保存在该计算机上。任务1本地用户账户创建与管理（1）用户配置文件。用户配置文件有以下几种类型。①默认用户配置文件。默认用户配置文件是所有用户配置文件的基础。当用户第一次登录到一台运行WindowsServer2008的计算机上时，WindowsServer2008会将本地默认用户配置文件夹复制到%Systemdrive%\DocumentsandSettings\%Username%中，以作为初始的本地用户配置文件。②本地用户配置文件。保存在本地计算机上的%Systemdrive%\DocumentsandSettings\%Username%文件夹中，所有对桌面设置的改动都可以修改用户配置文件。多个不同的本地用户配置文件可保存在一台计算机上。任务1本地用户账户创建与管理③漫游用户配置文件。为了支持在多台计算机上工作的用户，用户可以设置漫游用户配置文件。漫游用户配置文件可以保存在某个网络服务器上，且只能由系统管理员创建。用户无论从哪台计算机登录，均可获得这一配置文件。用户登录时，WindowsServer2008会将该漫游用户配置文件从网络服务器复制到该用户当前所用的WindowsServer2008机器上。因此，用户总是能得到自己的桌面环境设置和网络连接设置。漫游用户配置文件只能在域环境下实现。任务1本地用户账户创建与管理在第一次登录时，WindowsSer