用户和组

第3章:管理本地用户账号与组账号概述本地用户账号概述本地用户账号管理组账号管理管理用户和组之道第一节:本地用户账号概述什么是用户账号本地用户账号预定义账号安全标识符SAM和LSA鉴别熟悉运行方式（RunAs）什么是用户账号?用户账号就是计算机操作系统中或网络中表示使用者的一个标识。本地用户账号本地用户账号(存储在本地计算机）预定义账号Administrator账号Guest账号Internet用户账号安全标识符使用SID，是出于下列目的：鉴别对象所有者。鉴别对象所有者组。鉴别账号用户访问相关的行为。安全标识符（SID）是一个可变长度的用来鉴定相对于安全子系统的账号的惟一值。熟悉运行方式（RunAs）RunAs也称为次级或预备登录。RunAs允许用户执行应用软件，访问资源或者载入某一环境或配置文件等，以及使用另一个用户账号的凭证，而不必从原先登录的计算机上的账号上注销。第二节:本地用户账号管理命名用户账号和设置密码的注意事项创建用户账号重新命名用户账号重新设置密码和删除用户账号禁用用户账号或设置账号的其他属性命名用户账号用户账号的命名要求：用户账号前缀最多能包含20个大小写字符。登录过程并不区分大小写。然而域（field）保留了大小写的区别，允许用户协助命名规范，例如JohnS不同于johns。可以使用字母和破折号或下划线命名，但要注意，账号名也可能用作电子邮件地址。下列字符不允许出现在账号名称中：”?*/\|;:=,+[]。用户账号名称在创建账号的域中必须是独一无二的。设置密码的注意事项设置密码要求：创建的密码不能少于5个字符，本书推荐最少为8个字符。密码中不允许含有：”?*/\|;:=,+[]这些字符。密码长度最多可以达到128个字符。但是,这并不表示微软希望用户设定需要一整天才能输入完毕的密码。然而智能卡或非交互式登录设备可以使用那种长度的密码。用户账号密码选项账号选项说明Usermustchangepasswordatnextlogon用户在下次登录时必须修改密码Usercannotchangepassword用户无权修改自己的密码Passwordneverexpires用户密码用不过期Accountisdisabled用户不能使用此账号登录创建用户账号演示:创建用户账号重新命名用户账号重新设置密码和删除用户账号禁用用户账号或设置账号的其他属性第三节:组账号管理组账号概述预定义组创建组账号管理组的成员组账号概述通过使用组为资源设置权限来简化管理Group预定义组系统组不同的时间包含不同的用户你可以为系统组分配权限或权力，但不能查看和修改组的成员当用户登录或访问网络中的资源时，会自动成为某些系统组的成员系统组EveryoneInteractiveNetworkSystemCreatorOwner创建组账号演示:创建组删除组管理组的成员组的Members和MemberOf属性如何确定用户所属的组如何向组中添加和删除成员组的Members和MemberOf属性GrouporTeamGlobalGroupDomainLocalGroupMembersMemberOfN/ADenverAdminsTom,Jo,andKimMembersMemberOfN/AVancouverAdminsSam,Scott,andAmyMembersMemberOfTom,Jo,KimDenverOUAdminsDenverAdminsMembersMemberOfTom,Jo,KimDenverOUAdminsDenverAdminsMembersMemberOfSam,Scott,AmyVancouverOUAdminsVancouverAdminsDenverOUAdminsMembersMemberOfDenverAdmins,VancouverAdminsN/A演示:如何确定用户所属的组确定用户所属的组如何向组中添加或删除成员演示如何向组中添加和删除成员使用组的策略AGPAPGGlobalGroupsPermissionsUserAccountsADLPAPDLDomainLocalGroupsPermissionsUserAccountsAGDLPAPDomainLocalGroupsDLGPermissionsGlobalGroupsUserAccountsAGUDLPAPDomainLocalGroupsDLGPermissionsGlobalGroupsUserAccountsUniversalGroupsUAGGlobalGroupsUserAccountsAGLPAPLocalGroupsLGPermissionsGlobalGroupsUserAccountsUserAccountsAGlobalGroupsGUniversalGroupsUDomainLocalGroupsDLGroupstrategies:AGPADLPAGDLPAGUDLPAGLPPermissionsPLocalGroupsL第四节:管理用户和组之道委托责任用户和组管理战略决定所需的访问和特权确定安全等级保护资源和减轻本地组负担委托责任各部门领导是否需要新职责？如果策略规定他们必须参与，那么新的主动权下的管理是否能执行策略？建立一个由人力资源部、信息系统安全委员会和网络管理员组成的许可申请委员会或用户访问申请委员会。一旦新用户被清除，负责新用户工作的小组过个人应该收到来自人力资源部的用户和组账号申请。雇员和小组负责人也可以促进或请求对他们掌管的工作人员配置文件和权限进行更改。用户和组管理战略1.管理组，而不要管理用户2.拒绝新组的申请增加了网络和系统通信量。为少许需求创建组是一种浪费。给自己添加了记载和维护组的工作。决定所需的访问和特权访问应用程序和库：如果应用程序在服务器中或者用户是终端服务客户，它们将需要访问包含有应用程序的文件夹和共享资源。它们也需要访问策略和脚本文件夹、主目录、专门路径、附件（例如对于SQL服务器）等等。访问数据：应用程序和用户需要访问数据，包括数据库表、独立数据文件、电子表格，FTP站点、存储等等。确定所需的数据以及如何才能更好地进行访问。访问设备：用户和应用程序需要访问打印机，通信设备，例如传真服务器和调制解器池、扫描仪、CD转换器等等。所有的网络设备都被当做对象，对它们的访问也有许多控制。通信：用户需要邮件服务器、语音信箱上和组件应用程序中的帐号。特权和登录权限：用户需要特定的权限和权利以便在最短的时间内有效地执行任务。