2023年12月12日发(作者:毕业实习鉴定)
第三章 本地用户和组的管理
〖教学目标〗
理解什么是用户,什么是组;掌握创建账户和组的方法;掌握常用的本地账户和组的管理操作;熟悉MMC的操作;树立使用账户和组保护计算机和网络系统安全的意识;了解用户和组的管理中一些基本的原则和技巧。
〖教学重点〗
账户和组的概念;Administrator和Administrators;账户和组的常用管理操作。
〖教学难点〗
组的概念。
〖教学内容〗
本章主要介绍用户和组的基本概念;账户和组的类型;本地账户的创建和常用管理操作;用户组的创建和常用管理操作。
3.1 概述
怎么保护计算机系统和网络系统的安全?怎么限制用户对系统的访问?怎么保护你计算机中的信息不被人非法窃取?我们要为自己的系统加上一个海关检查站,而用户的账户就是进入海关的通行证。使用用户账户和组,是保护系统安全和网络资源的基本方法。
计算机和网络系统通过账户把使用者区别和隔离开来,让用户可以定制自己的使用环境;防止用户破坏其他用户的数据等。任何人访问你管理的系统,都应该由你给他们分配唯一的账户,这可以让你知道谁做了什么事,并且防止破坏其他用户的设置和非法获得其他人的文件等。
一个账户包括账户名、密码、权限等信息,这些信息存储在计算机中,是Windows Server 2003网络上的个人唯一标识;系统通过账户来确认用户的身份,并赋予用户对资源的访问权限。
第27页 SID:每一个账号在创建的时候都有一个Security ID(SID,安全标识符),当用户访问系统的资源时,系统根据其账户的SID,检查用户是否具有和具有哪些权利和权限,然后再让用户在其权利和权限范围内进行访问。
Windows不是根据用户名来识别用户的,而是根据这个SID来识别用户的,如果SID不一样,就算用户名等其它设置一模一样,Windows也会认为是不一样的两个账号。这就像我们的户籍管理,只认你的身份证号是否正确,而不管你的名字是否相同是一个道理的。而且SID是Windows在创建该账号的时候随机给的,所以说当删除了一个账号后,即使再次建立一个一模一样的账号,其SID和原来的那个是不一样,那么他的NTFS权限就必须重新设置。
3.1.1 账户命名规则
账户包括用户名和密码,作为管理员,需要给计算机或网络的使用者建立用户账户。普通用户的用户名应该简单好记、有一定的规律,以方便管理。用户名和密码有如下规则:
1.账户名的命名规则如下:
一个系统中,账户名必须惟一,且不区分大小写字母。
最多可以有20个字符,由字符和数字组成。输入时可超过20个字符,但只识别前20个字符。
不能使用的保留字符有:/ ” ^ [ ] : ;| = , + * ? < > @ 。
不能与用户组的组名相同。
2.密码命名规则如下:
为了系统的安全,每个账户都应该有密码。
密码长度应该在8~128位之间。
建议使用大小写字母、数字和其他合法字符的组合。
密码尽量不要有规律,如不要使用名字、生日、电话号码等。
3.1.2 账户的类型
Windows Server 2003有两种工作模式,工作组模式和域模式。针对这两种工作模式,也有两种用户身份,本地账户和域账户。本章只介绍本地账户管理,域账户的管理在第八章进行介绍。
本地账户都是在Windows Server 2003独立服务器、域中的成员服务器以第28页 及Windows XP客户端上建立。本地账户只能在本地计算机上登录,在本地计算机上进行身份认证,只能按权限访问本地计算机的资源。本地账户又可分为下面两类:
1.系统内置账户
Windows Server 2003安装完成后,系统会自动创建一些内置账户。不管是工作组模式还是域模式,都有内置账户。经常使用的内置账户有Administrator账户和Guest账户。
Administrator(系统管理员)账户:拥有本地计算机最高的权限,管理整个计算机系统。系统管理员的默认名字是Administrator,要求大家务必牢记。我们可以更改系统管理员的名字,但不能删除该账户,也不能禁止该账户登录。
Guest(来宾)账户:是为临时访问计算机的用户提供的。该账户自动生成,可以更改名字,但不能被删除,Guest账户只有很少的权限,而且默认情况下,该账户被禁止使用。
2.用户建立的账户
由具有管理员权限的用户建立的,可以登录本地计算机的账户。我们通常说的账户管理主要是对这部分账户的管理。
3.2 本地账户的管理
3.2.1 新建/删除账户
1. 创建账户
情景描述:公司的一台电脑是由小王使用,但有时同事小张也会用他的电脑,小王不想让小张和他一样用管理员的身份登录,并进行诸如安装/删除软件、格式化磁盘等操作。于是小王可以在自己的计算机上为小张建立了一个普通账户,并设置相应的权限,当小张登录计算机后,就只能完成允许的操作。
操作方法:开始菜单→管理工具→计算机管理→本地用户和组。
创建用户时的选项说明:
第29页
2. 删除账户
在账户上点右键,在弹出的快捷菜单中选“删除”,然后点击“是(Y)”即可。
注意:账户删除后,不可能再恢复。
3.2.2 更改账户名和密码
提示:只有管理员才有权限更改其他用户的用户名和密码。
1.更改账户名
在账户上点右键,在弹出的快捷菜单中选“重命名”,然后输入新的用户名即可。
2.更改密码
情景描述:因为意外的原因,系统管理员密码被他人知道了;或者某用户不小心忘记了自己的密码。这个时候都需要管理员进行更改密码的操作。
在需要更改密码的账户上点右键,在弹出的快捷菜单中选“设置密码”,然后输入新密码即可。
第30页
注:用上述方法更改用户密码后,可能会造成不可逆的信息丢失,用户将无法访问自己以前受保护的数据,如用户加密文件,用户存储在本机的Internet连接密码等。
如果用户在知道自己密码的情况下想更改原密码,应该是在登录后按Ctrl+Alt+Del键,在出现的对话框中选择“更改密码”。如下图所示:
3.创建密码重设盘
情景描述:做为系统唯一的管理员,小王担心忘记自己的密码,于是他建立了一个密码重设盘,以便万一忘记密码后,还可以重设密码,正常进入计算机。为此他需要准备一张空的软盘,并进行如下操作:
第31页 登录后按Ctrl+Alt+Del,单击“更改密码”按钮,在出现的对话框中选“备份”按钮。
在“忘记密码向导”中,按提示插入空白软盘。
按提示输入当前的密码后,系统开始创建密码重设盘。
如果忘记了密码,在登录时输入错误密码后,在提示对话框中选“重设”,并插入密码重设盘,按提示设置新的密码即可。
提示:请一定要小心保管密码重设盘,不能被他人获得!
3.2.3 禁用与激活账户
情景描述:某用户要出差一个月,在这期间他用来登录系统的账户应该停止使用,以免有其他人盗用。此时可以禁用该账户,当他回来后,再重新激活。
操作方法:右击账户→属性→在对话框中选中“账户已停用”。
第32页 当用户出差回来后,再取消选中即可。
3.3 组的管理
3.3.1 概述
为了简化用户的管理,Windows引入了用户组的形式。可以将若干用户加入到用户组中,通过设置某个组对资源的权限,组中的用户都会自动拥有该权限。组的引入方便了管理权限相同的一些用户账户。
那么组到底是什么意思呢?组是系统中同类对象的集合,比如有工作组、用户组、计算机组等。我们可以把用户组看作是班级,用户就是班级里的学生。当要给一批用户分配同一权限时,就可以将这些用户都归到一个组中,只要给这个组分配此权限,组内的用户就都会拥有此权限(如下图所示)。就好像给一个班级发了一个通知,班级内的所有学生都会收到这个通知一样。
例如,财务处的员工可以需要访问网络中所有与财务相关的资源。这时不用逐个向该部门的员工授予对这些资源的访问权限,而是可以建立一个财务组,让这些员工的账户都成为财务组的成员,使这些用户自动获得财务组的权限。如果某个用户日后调往另一部门,只需将该用户从财务组中删除,加入到另一部门的用户组中即可。
Windows Server 2003也使用惟一安全标识符SID来标识用户组。权限的设置和检查都是利用SID进行的。
3.3.2 组的类型
当计算机处在工作组的网络模式中时,计算机上的用户组分为系统内置组和用户自定义组两种类型。
1.系统内置组
第33页 安装Windows Server 2003操作系统时,系统自动建立的用户组,如下图所示:
常见的默认本地组的说明和所具有的权限参见下表(引自Microsoft
Windows Server 2003 TechCenter)
组名 描述 组的默认权限
从网络访问此计算机;调整某个进程的内存配额;允许本地登录;允许通过终端服务登录;备份文件和目录;忽略遍历检查;更改系统时间;创建页面文件;调试程序;从远程系统强制关 该组的成员具有对服务器的完全机;提高调度优先级;加载Administrators 控制权限,并且可以根据需要向用户指和卸载设备驱动程序;管理派用户权利和访问控制权限。
审核和安全日志;修改固件环境变量;执行卷维护任务;调整单一进程;调整系统性能;从扩展坞中取出计算机;恢复文件和目录;关闭系统;取得文件或其他对象的所有权。
第34页 该组的成员可以备份和还原服务 从网络访问此计算机;器上的文件,而不管保护这些文件的权允许本地登录;备份文件和Backup Operators 限如何。这是因为执行备份任务的权利目录;忽略遍历检查;还原要高于所有文件权限。他们不能更改安文件和目录;关闭系统。
全设置。
该组的成员具有对“动态主机配置协议 (DHCP) 服务器”服务的管理访问权限。该组提供了一种方式,仅授DHCP Administrators予对 DHCP 服务器的有限管理访问权,(与 DHCP 服务器服没有默认的用户权利。
而不提供对服务器的完全访问权。该组务一起安装)
的成员可以使用 DHCP 控制台或
Netsh 命令在服务器上管理 DHCP,但不能在服务器执行其他管理任务。
该组的成员具有对 DHCP 服务器服务的只读访问权。该权限允许成员查DHCP Urs(与 DHCP
看存储在特定 DHCP 服务器上的信息服务器服务一起安装)
和属性。当支持人员需要获得 DHCP 状态报告时,这种信息对他们很有用。
该组的成员拥有一个在登录时创建的临时配置文件,在注销时,该配置文件将被删除。来宾账户(默认情况下已禁用)也是该组的默认成员。
没有默认的用户权利。
Guests 没有默认的用户权利。
该组允许管理员将对所有支持应用程序的权利设置成公用的。默认情况HelpServicesGroup 下,该组的唯一成员是与 Microsoft 没有默认的用户权利。
支持应用程序相关的账户,例如远程协助。不要在该组中添加用户。
Network
Configuration
Operators
该组的成员可以更改 TCP/IP 设置并更新和发布 TCP/IP 地址。该组中没有默认的成员。
没有默认的用户权利。
该组的成员可以从本地服务器和Performance Monitor 远程客户端监视性能计数器,而不用成没有默认的用户权利。
Urs 为 Administrators 或 Performance
Log Urs 组的成员。
该组的成员可以从本地服务器和Performance Log 远程客户端管理性能计数器、日志和警Urs 报,而不用成为 Administrators 组的成员。
没有默认的用户权利。
第35页 Power Urs
该组的成员可以创建用户账户,然后修改并删除所创建的账户。他们可以创建本地组,然后在他们已创建的本地 从网络访问此计算机;组中添加或删除用户。还可以在 Power
允许本地登录;忽略遍历检Urs 组、Urs 组和 Guests 组中添查;更改系统时间;调整单加或删除用户。成员可以创建共享资源一进程;从扩展坞中取出计并管理所创建的共享资源。他们不能取算机;关闭系统。
得文件的所有权、备份或还原目录、加载或卸载设备驱动程序,或者管理安全性以及审核日志。
该组的成员可以管理打印机和打印队列。
没有默认的用户权利。 Print Operators
Remote Desktop Urs 该组的成员可以远程登录服务器。 允许通过终端服务登录。
该组的成员可以执行一些常见任 从网络访问此计算机;务,例如运行应用程序、使用本地和网允许本地登录;忽略遍历检络打印机以及锁定服务器。用户不能共查。
享目录或创建本地打印机。
Urs
提示:
(1)新创建用户,默认属于“Urs”组。
(2)出于安全考虑,服务器管理员平时不建议使用“Administrator”账户登录;而应该新建一个用户账户,并且把该账户加入到“Administrators”组中,使该账户具有管理员组的权限,平时使用新建的账户管理服务器。
2.用户自己建立的组
情景描述:公司的每个员工在文件服务器上都有自己的账户信息。文件服务器“E:caiwu”文件夹中存储着财务处的很多数据,这些数据只允许财务处的几位员工访问。如果为每个财务处员工单独设置访问权限,显然工作量比较大。
解决方案:管理员建立“财务处”的用户组,设置该用户组具有访问“E:caiwu”文件夹的权限;然后将财务处员工的账户加入该组中。如果有员工调出或新员工调入时,只需添加或删除该组的成员即可。
操作方法:如管理员为财务处员工建立一个用户组,并给予相应的权限。
3.3.3 管理本地用户组
可以创建本地组的用户必须是Administrators组的成员。
第36页 1.建立本地用户组
以管理员身份登录,单击〖开始〗→〖程序〗→〖管理工具〗→〖计算机管理〗→〖本地用户和组〗→〖组〗→在组上面右击→选择“新建组”命令。
图:创建的用户自定义组
2.将用户加入组中
方法一:
① 在组名上右击;②选择属性→单击“添加到组”按钮;③选择用户后,点击确定。
方法二:
① 在要加入的用户名上右击;② 选择属性→“隶属于”;③ 单击“添加”按钮;④ 找到要加入的组后,点击确定。
3.管理本地组
在“计算机管理”窗口中,右击要管理的组,选择快捷菜单中的相应命令可以进行删除组、更改组名、为组添加或删除组成员等操作。
第37页 3.4 账户安全策略
1.用户数据库
计算机上所有本地账户和组的安全信息都存储在用户数据库SAM(安全账户管理器)中。SAM数据库的文件路径是“%windir%system32configsam”。如果该文件被删除,则本地计算机所有账户信息都会丢失,Administrator账户的密码将被置为空。
提示:重要的服务器上最好不要安装多系统。
2.在BIOS中禁止从软盘或光盘启动服务器
3.禁用Guest账户
启用Guest账户会带来安全上的隐患,因此Windows Server 2003操作系统默认禁用了Guest账户。除非你希望局域网中所有用户都可以访问这台计算机,但又不愿意为每一个用户建立一个账户;或者局域网中还有Windows 98系统要访问这台计算机时,才有必要启用Guest账户。
4.不要轻易使用Administrator账户
管理员应该根据服务器管理的需要,建立新的管理账户并赋予恰当的权限。例如DHCP服务器,平时只使用能够管理DHCP服务的账户登录就可以了,不要轻易使用Administrator账户登录。
由于Administrator账户权限太大,管理员可能会误操作带来意想不到的后果;另外Administrator账户也是网络攻击的重点对象。建议将Administrator账户重命名,设置复杂的随机密码,并及时更换密码。
5.合理的建立用户组,并设置相应权限
Windows Server 2003中,可以为用户账户或组指定某些权限。方法是在管理工具中,打开“本地安全策略”窗口,选择“本地策略”→用户权限分配。
第38页
6.设定安全策略
可以在“管理工具→本地安全策略→账户策略”中,设置合理的账户锁定策略和密码策略,如下图所示:密码策略和账户锁定策略。
第39页
本章小结
账户和密码是保护用户计算机和网络安全的钥匙,是进入计算机和网络的通行证,我们必须合理的设置账户名及密码。本章主要介绍本地计算机上的本地账户和组的管理。账户分为系统内置账户和用户两种。系统账户是操作系统为了管理系统而自动创建的账户,又称为内置账户,如系统管理员账户administrator和来宾账户guest等。用户账户是管理员创建的,主要用于让其他用户登录的账户。对于本地账户的管理主要有创建新账户、删除账户、禁用账户、更改密码等。为了方便对用户的管理,又引入了用户组的概念。组同样分为系统内置组和用户自定义组。管理员可以创建新的用户组,将用户账户加入到某个组中,就可以继承该组的权限。最后Windows还提供了一些账户安全策略来保证用户账户的安全。
第40页
本文发布于:2023-12-12 12:20:30,感谢您对本站的认可!
本文链接:https://www.wtabcd.cn/zhishi/a/1702354830241303.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
本文word下载地址:第三章 本地用户和组的管理.doc
本文 PDF 下载地址:第三章 本地用户和组的管理.pdf
留言与评论(共有 0 条评论) |