计算机培训 Windows2008管理 管理本地用户

第1章管理本地用户和组教学目标：本地用户账号创建和管理用户利用组来简化授权管理存储的帐号管理Windowscore上的用户和组使用图形界面远程管理核心服务器普通用户以管理员的身份打开管理工具1.1管理本地用户账号WindowsServer2008操作系统要求所有用户都要进行登录才能访问本地和网络资源。Windows通过实施交互式登录过程（提供用户身份验证）来保护资源。用户帐户是对计算机用户身份的标识，本地用户帐户的帐户、口令存在本地计算机上，只对本机有效，存储在本地安全帐户数据库SAM中。通过本地用户和组，可以为用户和组分配权利和权限，从而限制用户和组执行某些操作的能力。权利可授权用户在计算机上执行某些操作，如备份文件和文件夹或者关机。权限是与对象（通常是文件、文件夹或打印机）相关联的一种规则，它规定哪些用户可以访问该对象以及以何种方式访问。帐户有以下三种不同类型：标准管理员来宾每种帐户类型为用户提供不同的计算机控制级别。标准帐户是日常计算机使用中所使用的帐户。管理员帐户对计算机拥有最高的控制权限，并且应该仅在必要时才使用此帐户。来宾帐户主要供需要临时访问计算机的用户使用。什么是管理员帐户？管理员帐户就是允许您进行将影响其他用户的更改的用户帐户。管理员可以更改安全设置，安装软件和硬件，访问计算机上的所有文件。管理员还可以对其他用户帐户进行更改。设置Windows时，将要求您创建用户帐户。此帐户就是允许您设置计算机以及安装您想使用的所有程序的管理员帐户。完成计算机设置后，建议您使用标准用户帐户进行日常的计算机使用。使用标准用户帐户比使用管理员帐户更安全。什么是标准用户帐户？标准用户帐户允许用户使用计算机的大多数功能，但是如果要进行的更改会影响计算机的其他用户或安全，则需要管理员的许可。使用标准帐户时，可以使用计算机上安装的大多数程序，但是无法安装或卸载软件和硬件，也无法删除计算机运行所必需的文件或者更改计算机上会影响其他用户的设置。如果使用的是标准帐户，则某些程序可能要求您提供管理员密码后才能执行某些任务什么是来宾帐户？来宾帐户是供在计算机或域中没有永久帐户的用户使用的帐户。它允许人们使用计算机，但没有访问个人文件的权限。使用来宾帐户的人无法安装软件或硬件，更改设置或者创建密码。必须打开来宾帐户然后才可以使用它。1.1.1内置的用户帐户本地用户和组Microsoft管理控制台(MMC)管理单元中的用户文件夹显示默认的用户帐户以及您创建的用户帐户。这些默认的用户帐户是在安装操作系统时自动创建的。下表描述了显示在本地用户和组中的每个默认用户帐户。打开服务器管理器，点击“配置”“本地用户和组”“用户”，可以看到默认的用户帐户。Administrator帐户，默认情况下，Administrator帐户处于禁用状态，但也可以启用它。当它处于启用状态时，Administrator帐户具有对计算机的完全控制权限，并可以根据需要向用户分配用户权利和访问控制权限。该帐户必须仅用于需要管理凭据的任务。强烈建议将此帐户设置为使用强密码。Administrator帐户是计算机上Administrators组的成员。永远也不可以从Administrators组删除Administrator帐户，但可以重命名或禁用该帐户。由于大家都知道Administrator帐户存在于许多版本的Windows上，所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。要点：即使已禁用了Administrator帐户，仍然可以在安全模式下使用该帐户访问计算机。Guest帐户，Guest帐户由在这台计算机上没有实际帐户的人使用。如果某个用户的帐户已被禁用，但还未删除，那该用户也可以使用Guest帐户。Guest帐户不需要密码。默认情况下，Guest帐户是禁用的，但也可以启用它。可以像任何用户帐户一样设置Guest帐户的权利和权限。默认情况下，Guest帐户是默认的Guest组的成员，该组允许用户登录计算机。其他权利及任何权限都必须由Administrators组的成员授予Guests组。默认情况下将禁用Guest帐户，并且建议将其保持禁用状态。1.1.2创建本地用户如下图所示，右击“用户”，点击“新用户”，输入用户名、全名、描述和密码。点击“创建”。WindowsServer2008的安全策略默认要求用户的密码必须符合复杂性要求，因此输入的密码如果是全是字符或全是数字会出现一下对话框。您必须输入类似于“a1!”或“p@ssw0rd”这样的密码才能满足默认的安全密码。注意事项若要执行此过程，必须提供本地计算机上Administrator帐户的凭据（如果提示），或必须是本地计算机上Administrators组的成员。用户名不能与被管理的计算机上任何其他用户名或组名相同。用户名最多可以包含除下列字符外的20个大写字符或小写字符：/\[]:;|=,+*?@用户名不能只由句点(.)和空格组成。在“密码”和“确认密码”框中，可以键入包含不超过127个字符的密码。但是，如果网络中包含运行Windows95或Windows98的计算机，请考虑使用不超过14个字符的密码。如果密码超过14个字符，则可能无法从运行Windows95或Windows98的计算机登录到网络。使用强密码和合适的密码策略有利于保护计算机免受攻击。1.1.3重设用户密码右击用户账号，点击“设置密码”，出现提示对话框，点击“继续”，输入新密码，点击“确定”。若要执行此过程，必须提供本地计算机上Administrator帐户的凭据（如果提示），或必须是本地计算机上Administrators组的成员。密码提供了防止对计算机进行未授权的访问的第一道防线。密码越强，就越能保护计算机免受黑客和恶意软件的侵害。应确保计算机上的所有帐户使用的都是强密码。如果您使用的是企业网络，网络管理员可能需要您使用强密码。密码提供了防止对计算机进行未授权的访问的第一道防线。密码越强，就越能保护计算机免受黑客和恶意软件的侵害。应确保计算机上的所有帐户使用的都是强密码。如果您使用的是企业网络，网络管理员可能需要您使用强密码。强密码（或弱密码）由什么构成？长度至少为八个字符。不包含用户名、真实姓名或公司名称。不包含完整的单词。与先前的密码截然不同。包含下列四类字符的每一种：大写字母小写字母数字键盘上的符号（键盘上所有未定义为字母和数字的字符）和空格强密码可以提高计算机和网络的安全性。为了保护受保护信息的安全，一旦在本地用户帐户上重设了用户密码，部分类型的信息将不能再使用，这些信息包括：使用用户公钥加密的电子邮件计算机中保存的Internet密码用户已加密的文件如果要避免丢失这种类型的数据，请不要重设用户的密码。当创建新的本地用户帐户时，请让用户创建一张密码重设盘。以后如果用户忘记了密码，可以使用密码重设盘来重设密码，防止数据损失。但是如果用户忘记了域用户帐户的密码，则必须手工重设该密码。1.1.4创建密码重设盘创建密码重设盘，不论密码更改过多少次，如果忘记了计算机密码，则可以使用密码重设盘创建一个新密码。建议您在创建密码时创建密码重设盘，以便不会失去对文件和信息的访问权限。1.将你的U盘插入计算机，下面的步骤将U盘设置成密码重设盘。2.点击“开始”“控制面板”，如果是传统的“开始菜单”，点击“开始”“设置”“控制面板”，点击左面的“经典视图”，点击“用户帐户”。3.点击“创建密码重设盘”。4.在出现的向导对话框，点击“下一步”。选则刚才插入的U盘，点击“下一步”。5.输入当前用户密码，点击“下一步”，完成。在U盘上创建了一个userkey.psw文件。1.1.5使用密码重设盘重设密码如果你忘记密码，需要使用密码重设盘重新设置新密码。1.输入登录密码出现错误后，会出现重设密码，如下图。2.点击“重设密码”，在出现的对话框中，点击“下一步”，选中U盘，点击“下一步”。3.输入新密码和密码提示，点击“下一步”，完成密码重设。1.1.6管理存储的帐号如果你经常访问某个服务器的共享文件夹，每次都需要你输入访问服务器的账号和密码，您可以将访问该服务器的凭据保存起来。下面是访问文件服务器10.7.1.4上的共享文件夹，时需要输入该文件服务器上的账号和密码。下面的操作会保存访问该服务器的网络凭据。1.点击“开始”“控制面板”，如果是传统的“开始菜单”，点击“开始”“设置”“控制面板”，点击左面的“经典视图”，点击“用户帐户”。2.在出现的“存储的用户和密码”对话框，点击“添加”，输入服务器的地址、访问该服务器用到的用户名和密码，点击“确定”。3.再次访问该服务发现不再需要输入账号和密码。如果您想用计算机名访问10.7.1.4上的共享资源，你需要再添加一个登陆到服务器名的一个网络凭据。如果你访问Windows集成身份验证的网站或FTP站点，你也可存储网站或程序凭据。用户名前面的“sps”是计算机名或域名。再次访问改网站，用户名和密码就不需要输入，直接点击“确定”，就能访问。如下图。1.1.7禁用或激活本地用户打开“服务器管理器”。在控制台树中，单击“用户”，右键单击要更改的用户帐户，然后单击“属性”。执行以下任一操作：若要禁用所选的用户帐户，请选中“帐户已禁用”复选框。若要激活所选的用户帐户，请清除“帐户已禁用”复选框。其他注意事项若要执行此过程，必须提供本地计算机上Administrator帐户的凭据（如果提示），或必须是本地计算机上Administrators组的成员。禁用某个用户帐户时，将不允许该用户登录。该帐户将出现在详细信息窗格中，图标上显示一个号。在激活已禁用的帐户之前，请确保该帐户不是因安全原因而被锁定的。用户帐户被激活后，该用户就可以正常登录。1.1.8删除本地用户帐户打开“服务器管理器”。在控制台树中，单击“用户”。右键单击要删除的用户帐户，然后单击“删除”。其他注意事项若要执行此过程，必须提供本地计算机上Administrator帐户的凭据（如果提示），或必须是本地计算机上Administrators组的成员。当需要删除一个用户帐户时，建议首先禁用该帐户。确信禁用帐户不会引起问题时，便可以放心地删除该帐户。不能恢复已删除的用户帐户。不能删除Administrator帐户和Guest帐户。1.1.9重命名本地用户帐户打开“服务器管理器”。在控制台树中，单击“用户”。右键单击要重命名的用户帐户，然后单击“重命名”。键入新的用户名，然后按Enter。其他注意事项若要执行此过程，必须提供本地计算机上Administrator帐户的凭据（如果提示），或必须是本地计算机上Administrators组的成员。由于重命名的用户帐户会保留其安全标识符(SID)，因此也保留其他所有属性，如描述、密码、组成员身份、用户配置文件、帐户信息以及任何已指派的权限和用户权利。用户名不能与被管理的计算机上任何其他用户名或组名相同。用户名最多可以包含除下列字符外的20个大写字符或小写字符：查看当前用户的SID，在命令行下输入whoami/user显示当前用户的SID。管理员的SID默认后三位是“500”。1.2管理本地组组是用户账号的集合，利用组可以管理对共享资源的访问。这样的共享资源包括网络文件夹、文件、目录和打印机。利用组，可以将访问共享资源的权限一次授予某个组，而不是单独授予多个用户。利用组可以简化授权。如销售部的成员可以访问产品的成本信息，不能访问公司员工的工资信息，而人事部的员工可以访问员工的工资信息却不能访问产品成本信息，当一个销售部的员工调到人事部后，如果我们的权限控制是以每个用户为单位进行控制，则权限设置相当麻烦而且容易出错，如果我们用组进行管理则相当简单，我们只需将该用户从销售组中删除再将之添加进人事组即可。如果销售部门的员工兼职人事部门工作，需要将其加入到人事组，则该用户就有了两个组的权限。1.2.1默认本地组下面列出了每个组的