第三章 本地用户和组的管理

admin管理员组

文章数量:1533086

2024年1月4日发(作者：)

第三章 本地用户和组的管理

〖教学目标〗

理解什么是用户，什么是组；掌握创建账户和组的方法；掌握常用的本地账户和组的管理操作；熟悉MMC的操作；树立使用账户和组保护计算机和网络系统安全的意识；了解用户和组的管理中一些基本的原则和技巧。

〖教学重点〗

账户和组的概念；Administrator和Administrators；账户和组的常用管理操作。

〖教学难点〗

组的概念。

〖教学内容〗

本章主要介绍用户和组的基本概念；账户和组的类型；本地账户的创建和常用管理操作；用户组的创建和常用管理操作。

3.1 概述

怎么保护计算机系统和网络系统的安全？怎么限制用户对系统的访问？怎么保护你计算机中的信息不被人非法窃取？我们要为自己的系统加上一个海关检查站，而用户的账户就是进入海关的通行证。使用用户账户和组，是保护系统安全和网络资源的基本方法。

计算机和网络系统通过账户把使用者区别和隔离开来，让用户可以定制自己的使用环境；防止用户破坏其他用户的数据等。任何人访问你管理的系统，都应该由你给他们分配唯一的账户，这可以让你知道谁做了什么事，并且防止破坏其他用户的设置和非法获得其他人的文件等。

一个账户包括账户名、密码、权限等信息，这些信息存储在计算机中，是Windows Server 2003网络上的个人唯一标识；系统通过账户来确认用户的身份，并赋予用户对资源的访问权限。

第27页

SID：每一个账号在创建的时候都有一个Security ID（SID,安全标识符），当用户访问系统的资源时，系统根据其账户的SID，检查用户是否具有和具有哪些权利和权限，然后再让用户在其权利和权限范围内进行访问。

Windows不是根据用户名来识别用户的，而是根据这个SID来识别用户的，如果SID不一样，就算用户名等其它设置一模一样，Windows也会认为是不一样的两个账号。这就像我们的户籍管理，只认你的身份证号是否正确，而不管你的名字是否相同是一个道理的。而且SID是Windows在创建该账号的时候随机给的，所以说当删除了一个账号后，即使再次建立一个一模一样的账号，其SID和原来的那个是不一样，那么他的NTFS权限就必须重新设置。

3.1.1 账户命名规则

账户包括用户名和密码，作为管理员，需要给计算机或网络的使用者建立用户账户。普通用户的用户名应该简单好记、有一定的规律，以方便管理。用户名和密码有如下规则：

1．账户名的命名规则如下：

 一个系统中，账户名必须惟一，且不区分大小写字母。

 最多可以有20个字符，由字符和数字组成。输入时可超过20个字符，但只识别前20个字符。

 不能使用的保留字符有：/ ” ^ [ ] : ；| = , + * ? < > @ 。

 不能与用户组的组名相同。

2．密码命名规则如下：

 为了系统的安全，每个账户都应该有密码。

 密码长度应该在8～128位之间。

 建议使用大小写字母、数字和其他合法字符的组合。

 密码尽量不要有规律，如不要使用名字、生日、电话号码等。

3.1.2 账户的类型

Windows Server 2003有两种工作模式，工作组模式和域模式。针对这两种工作模式，也有两种用户身份，本地账户和域账户。本章只介绍本地账户管理，域账户的管理在第八章进行介绍。

本地账户都是在Windows Server 2003独立服务器、域中的成员服务器以第28页

及Windows XP客户端上建立。本地账户只能在本地计算机上登录，在本地计算机上进行身份认证，只能按权限访问本地计算机的资源。本地账户又可分为下面两类：

1．系统内置账户

Windows Server 2003安装完成后，系统会自动创建一些内置账户。不管是工作组模式还是域模式，都有内置账户。经常使用的内置账户有Administrator账户和Guest账户。

Administrator（系统管理员）账户：拥有本地计算机最高的权限，管理整个计算机系统。系统管理员的默认名字是Administrator，要求大家务必牢记。我们可以更改系统管理员的名字，但不能删除该账户，也不能禁止该账户登录。

Guest（来宾）账户：是为临时访问计算机的用户提供的。该账户自动生成，可以更改名字，但不能被删除，Guest账户只有很少的权限，而且默认情况下，该账户被禁止使用。

2．用户建立的账户

由具有管理员权限的用户建立的，可以登录本地计算机的账户。我们通常说的账户管理主要是对这部分账户的管理。

3.2 本地账户的管理

3.2.1 新建/删除账户

1. 创建账户

情景描述：公司的一台电脑是由小王使用，但有时同事小张也会用他的电脑，小王不想让小张和他一样用管理员的身份登录，并进行诸如安装/删除软件、格式化磁盘等操作。于是小王可以在自己的计算机上为小张建立了一个普通账户，并设置相应的权限，当小张登录计算机后，就只能完成允许的操作。

操作方法：开始菜单→管理工具→计算机管理→本地用户和组。

创建用户时的选项说明：

第29页

2. 删除账户

在账户上点右键，在弹出的快捷菜单中选“删除”，然后点击“是（Y）”即可。

注意：账户删除后，不可能再恢复。

3.2.2 更改账户名和密码

提示：只有管理员才有权限更改其他用户的用户名和密码。

1．更改账户名

在账户上点右键，在弹出的快捷菜单中选“重命名”，然后输入新的用户名即可。

2．更改密码

情景描述：因为意外的原因，系统管理员密码被他人知道了；或者某用户不小心忘记了自己的密码。这个时候都需要管理员进行更改密码的操作。

在需要更改密码的账户上点右键，在弹出的快捷菜单中选“设置密码”，然后输入新密码即可。

第30页

注：用上述方法更改用户密码后，可能会造成不可逆的信息丢失，用户将无法访问自己以前受保护的数据，如用户加密文件，用户存储在本机的Internet连接密码等。

如果用户在知道自己密码的情况下想更改原密码，应该是在登录后按Ctrl+Alt+Del键，在出现的对话框中选择“更改密码”。如下图所示：

3．创建密码重设盘

情景描述：做为系统唯一的管理员，小王担心忘记自己的密码，于是他建立了一个密码重设盘，以便万一忘记密码后，还可以重设密码，正常进入计算机。为此他需要准备一张空的软盘，并进行如下操作：

第31页

 登录后按Ctrl+Alt+Del，单击“更改密码”按钮，在出现的对话框中选“备份”按钮。

 在“忘记密码向导”中，按提示插入空白软盘。

 按提示输入当前的密码后，系统开始创建密码重设盘。

 如果忘记了密码，在登录时输入错误密码后，在提示对话框中选“重设”，并插入密码重设盘，按提示设置新的密码即可。

提示：请一定要小心保管密码重设盘，不能被他人获得！

3.2.3 禁用与激活账户

情景描述：某用户要出差一个月，在这期间他用来登录系统的账户应该停止使用，以免有其他人盗用。此时可以禁用该账户，当他回来后，再重新激活。

操作方法：右击账户→属性→在对话框中选中“账户已停用”。

第32页

当用户出差回来后，再取消选中即可。

3.3 组的管理

3.3.1 概述

为了简化用户的管理，Windows引入了用户组的形式。可以将若干用户加入到用户组中，通过设置某个组对资源的权限，组中的用户都会自动拥有该权限。组的引入方便了管理权限相同的一些用户账户。

那么组到底是什么意思呢？组是系统中同类对象的集合，比如有工作组、用户组、计算机组等。我们可以把用户组看作是班级，用户就是班级里的学生。当要给一批用户分配同一权限时，就可以将这些用户都归到一个组中，只要给这个组分配此权限，组内的用户就都会拥有此权限（如下图所示）。就好像给一个班级发了一个通知，班级内的所有学生都会收到这个通知一样。

例如，财务处的员工可以需要访问网络中所有与财务相关的资源。这时不用逐个向该部门的员工授予对这些资源的访问权限，而是可以建立一个财务组，让这些员工的账户都成为财务组的成员，使这些用户自动获得财务组的权限。如果某个用户日后调往另一部门，只需将该用户从财务组中删除，加入到另一部门的用户组中即可。

Windows Server 2003也使用惟一安全标识符SID来标识用户组。权限的设置和检查都是利用SID进行的。

3.3.2 组的类型

当计算机处在工作组的网络模式中时，计算机上的用户组分为系统内置组和用户自定义组两种类型。

1．系统内置组

第33页

安装Windows Server 2003操作系统时，系统自动建立的用户组，如下图所示：

常见的默认本地组的说明和所具有的权限参见下表（引自Microsoft

Windows Server 2003 TechCenter）

组名 描述 组的默认权限

从网络访问此计算机；调整某个进程的内存配额；允许本地登录；允许通过终端服务登录；备份文件和目录；忽略遍历检查；更改系统时间；创建页面文件；调试程序；从远程系统强制关 该组的成员具有对服务器的完全机；提高调度优先级；加载Administrators 控制权限，并且可以根据需要向用户指和卸载设备驱动程序；管理派用户权利和访问控制权限。

审核和安全日志；修改固件环境变量；执行卷维护任务；调整单一进程；调整系统性能；从扩展坞中取出计算机；恢复文件和目录；关闭系统；取得文件或其他对象的所有权。

第34页

该组的成员可以备份和还原服务 从网络访问此计算机；器上的文件，而不管保护这些文件的权允许本地登录；备份文件和Backup Operators 限如何。这是因为执行备份任务的权利目录；忽略遍历检查；还原要高于所有文件权限。他们不能更改安文件和目录；关闭系统。

全设置。

该组的成员具有对“动态主机配置协议 (DHCP) 服务器”服务的管理访问权限。该组提供了一种方式，仅授DHCP Administrators予对 DHCP 服务器的有限管理访问权，（与 DHCP 服务器服没有默认的用户权利。

而不提供对服务器的完全访问权。该组务一起安装）

的成员可以使用 DHCP 控制台或

Netsh 命令在服务器上管理 DHCP，但不能在服务器执行其他管理任务。

该组的成员具有对 DHCP 服务器服务的只读访问权。该权限允许成员查DHCP Users（与 DHCP

看存储在特定 DHCP 服务器上的信息服务器服务一起安装）

和属性。当支持人员需要获得 DHCP 状态报告时，这种信息对他们很有用。

该组的成员拥有一个在登录时创建的临时配置文件，在注销时，该配置文件将被删除。来宾账户（默认情况下已禁用）也是该组的默认成员。

没有默认的用户权利。

Guests 没有默认的用户权利。

该组允许管理员将对所有支持应用程序的权利设置成公用的。默认情况HelpServicesGroup 下，该组的唯一成员是与 Microsoft 没有默认的用户权利。

支持应用程序相关的账户，例如远程协助。不要在该组中添加用户。

Network

Configuration

Operators

该组的成员可以更改 TCP/IP 设置并更新和发布 TCP/IP 地址。该组中没有默认的成员。

没有默认的用户权利。

该组的成员可以从本地服务器和Performance Monitor 远程客户端监视性能计数器，而不用成没有默认的用户权利。

Users 为 Administrators 或 Performance

Log Users 组的成员。

该组的成员可以从本地服务器和Performance Log 远程客户端管理性能计数器、日志和警Users 报，而不用成为 Administrators 组的成员。

没有默认的用户权利。

第35页

Power Users

该组的成员可以创建用户账户，然后修改并删除所创建的账户。他们可以创建本地组，然后在他们已创建的本地 从网络访问此计算机；组中添加或删除用户。还可以在 Power

允许本地登录；忽略遍历检Users 组、Users 组和 Guests 组中添查；更改系统时间；调整单加或删除用户。成员可以创建共享资源一进程；从扩展坞中取出计并管理所创建的共享资源。他们不能取算机；关闭系统。

得文件的所有权、备份或还原目录、加载或卸载设备驱动程序，或者管理安全性以及审核日志。

该组的成员可以管理打印机和打印队列。

没有默认的用户权利。 Print Operators

Remote Desktop Users 该组的成员可以远程登录服务器。 允许通过终端服务登录。

该组的成员可以执行一些常见任 从网络访问此计算机；务，例如运行应用程序、使用本地和网允许本地登录；忽略遍历检络打印机以及锁定服务器。用户不能共查。

享目录或创建本地打印机。

Users

提示：

（1）新创建用户，默认属于“Users”组。

（2）出于安全考虑，服务器管理员平时不建议使用“Administrator”账户登录；而应该新建一个用户账户，并且把该账户加入到“Administrators”组中，使该账户具有管理员组的权限，平时使用新建的账户管理服务器。

2．用户自己建立的组

情景描述：公司的每个员工在文件服务器上都有自己的账户信息。文件服务器“E:caiwu”文件夹中存储着财务处的很多数据，这些数据只允许财务处的几位员工访问。如果为每个财务处员工单独设置访问权限，显然工作量比较大。

解决方案：管理员建立“财务处”的用户组，设置该用户组具有访问“E:caiwu”文件夹的权限；然后将财务处员工的账户加入该组中。如果有员工调出或新员工调入时，只需添加或删除该组的成员即可。

操作方法：如管理员为财务处员工建立一个用户组，并给予相应的权限。

3.3.3 管理本地用户组

可以创建本地组的用户必须是Administrators组的成员。

第36页

1．建立本地用户组

以管理员身份登录，单击〖开始〗→〖程序〗→〖管理工具〗→〖计算机管理〗→〖本地用户和组〗→〖组〗→在组上面右击→选择“新建组”命令。

图：创建的用户自定义组

2．将用户加入组中

方法一：

① 在组名上右击；②选择属性→单击“添加到组”按钮；③选择用户后，点击确定。

方法二：

① 在要加入的用户名上右击；② 选择属性→“隶属于”；③ 单击“添加”按钮；④ 找到要加入的组后，点击确定。

3．管理本地组

在“计算机管理”窗口中，右击要管理的组，选择快捷菜单中的相应命令可以进行删除组、更改组名、为组添加或删除组成员等操作。

第37页

3.4 账户安全策略

1．用户数据库

计算机上所有本地账户和组的安全信息都存储在用户数据库SAM（安全账户管理器）中。SAM数据库的文件路径是“%windir%system32configsam”。如果该文件被删除，则本地计算机所有账户信息都会丢失，Administrator账户的密码将被置为空。

提示：重要的服务器上最好不要安装多系统。

2．在BIOS中禁止从软盘或光盘启动服务器

3．禁用Guest账户

启用Guest账户会带来安全上的隐患，因此Windows Server 2003操作系统默认禁用了Guest账户。除非你希望局域网中所有用户都可以访问这台计算机，但又不愿意为每一个用户建立一个账户；或者局域网中还有Windows 98系统要访问这台计算机时，才有必要启用Guest账户。

4．不要轻易使用Administrator账户

管理员应该根据服务器管理的需要，建立新的管理账户并赋予恰当的权限。例如DHCP服务器，平时只使用能够管理DHCP服务的账户登录就可以了，不要轻易使用Administrator账户登录。

由于Administrator账户权限太大，管理员可能会误操作带来意想不到的后果；另外Administrator账户也是网络攻击的重点对象。建议将Administrator账户重命名，设置复杂的随机密码，并及时更换密码。

5．合理的建立用户组，并设置相应权限

Windows Server 2003中，可以为用户账户或组指定某些权限。方法是在管理工具中，打开“本地安全策略”窗口，选择“本地策略”→用户权限分配。

第38页

6．设定安全策略

可以在“管理工具→本地安全策略→账户策略”中，设置合理的账户锁定策略和密码策略，如下图所示：密码策略和账户锁定策略。

第39页

本章小结

账户和密码是保护用户计算机和网络安全的钥匙，是进入计算机和网络的通行证，我们必须合理的设置账户名及密码。本章主要介绍本地计算机上的本地账户和组的管理。账户分为系统内置账户和用户两种。系统账户是操作系统为了管理系统而自动创建的账户，又称为内置账户，如系统管理员账户administrator和来宾账户guest等。用户账户是管理员创建的，主要用于让其他用户登录的账户。对于本地账户的管理主要有创建新账户、删除账户、禁用账户、更改密码等。为了方便对用户的管理，又引入了用户组的概念。组同样分为系统内置组和用户自定义组。管理员可以创建新的用户组，将用户账户加入到某个组中，就可以继承该组的权限。最后Windows还提供了一些账户安全策略来保证用户账户的安全。

第40页

本文标签： 账户用户密码权限管理