用户账户与组的管理

第一页，共五十页，2022年，8月28日一、管理本地用户(lusrmgr.msc)账户账户是计算机的基本安全对象，WindowsServer2003包含了两种账户：用户账户和组账户。保证Windows安全性的主要方法有以下4点：

严格定义各种账户权限；使用组规划用户权限，简化账户权限的管理；禁止非法计算机连入网络；应用本地安全策略和组策略。

用户账户与组的管理第二页，共五十页，2022年，8月28日管理本地用户用户账户是计算机的基本安全组件，计算机通过用户账户来辨别用户身份，让有使用权限的人登录计算机，访问本地计算机资源或从网络访问这台计算机的共享资源。指派不同用户不同的权限，可以让用户执行不同的计算机管理任务。1.1用户账户的概述第三页，共五十页，2022年，8月28日5.1管理本地用户本地用户账户仅允许用户登录访问创建该账户计算机。5.1.2本地用户账户WindowsServer2003默认只有：（1）Administrator账户

（2）Guest账户Administrator账户可以执行计算机管理的所有操作；而Guest账户是为临时访问用户而设置的，默认是禁用的。第四页，共五十页，2022年，8月28日5.1管理本地用户系统指派权利、授权资源访问权限等都需要使用安全标识符。当删除一个用户账户后，重新创建名称相同的账户并不能获得先前账户的权利。用户登录后，可以在命令提示符状态下输入“whoami/logonid”命令查询当前用户账户的安全标识符。5.1.2本地用户账户第五页，共五十页，2022年，8月28日5.1管理本地用户遵循以下的规则和约定可以简化账户创建后的管理工作：5.1.3本地用户账户的创建规划新的用户账户

（1）命名约定

（2）密码原则第六页，共五十页，2022年，8月28日5.1管理本地用户创建的步骤如下:（1）打开“开始”→“管理工具”→“计算机管理”。（2）展开“本地用户和组”，在“用户”目录上单击鼠标右键，选择“新用户”命令。5.1.3本地用户账户的创建2.创建本地用户账户（3）打开“新用户”对话框后，输入用户名、全名和描述，并且输入密码。第七页，共五十页，2022年，8月28日5.1管理本地用户5.1.3本地用户账户的创建2.创建本地用户账户第八页，共五十页，2022年，8月28日5.1管理本地用户2．“隶属于”选项卡“常规”选项卡5.1.4设置本地用户账户的属性3．“配置文件”选项卡（1）用户配置文件。用户配置文件有以下几种类型：①默认用户配置文件。第九页，共五十页，2022年，8月28日5.1管理本地用户（2）用户主文件夹。5.1.4设置本地用户账户的属性④强制用户配置文件。“Ntuser.dat”改成“Ntuser.man”

（3）登录脚本。%SystemRoot%\System32\Repl\Import\Scripts

②本地用户配置文件。③漫游用户配置文件。第十页，共五十页，2022年，8月28日5.1管理本地用户5.1.4设置本地用户账户的属性第十一页，共五十页，2022年，8月28日5.1管理本地用户5.1.4设置本地用户账户的属性第十二页，共五十页，2022年，8月28日5.1管理本地用户当用户不再需要使用某个用户账户时，可以将其删除。删除用户账户会导致与该账户有关的所有信息的遗失。5.1.5删除本地用户账户一旦用户账户被删除,这些信息也就跟着消失了。重新创建一个名称相同的用户账户，也不能获得原先用户账户的权限。第十三页，共五十页，2022年，8月28日5.1管理本地用户用命令行方式创建一个新用户：netuserusernamepassword/add

5.1.6使用命令行创建用户用命令行方式修改密码：netuserusernamepassword

第十四页，共五十页，2022年，8月28日5.2管理本地组5.2.1本地组概述常用的默认组包括：﹡Administrators﹡BackupOperators﹡Guests﹡PowerUsers﹡PrintOperators﹡RemoteDesktopUsers﹡Users第5章用户账户与组的管理第十五页，共五十页，2022年，8月28日以下几种特殊组：﹡AnonymousLogon5.2管理本地用户5.2.1本地组概述﹡AnonymousLogon﹡Everyone﹡NetworkNetwork组的成员：﹡Interactive第十六页，共五十页，2022年，8月28日1.Windows方式打开“计算机管理”管理单元。右击“组”文件夹，从快捷菜单中选择“新建组”。在“新建组”对话框中，输入组名和描述，然后单击“添加”向组中添加成员。5.2管理本地用户5.2.2创建本地组2.命令方式创建一个组,命令格式为：netlocalgroupgroupname/add第十七页，共五十页，2022年，8月28日5.2管理本地用户5.2.2创建本地组第十八页，共五十页，2022年，8月28日1.Windows操作：1.右击“我的电脑”，选择“管理”，打开“计算机管理”管理单元。5.2管理本地用户5.2.3为本地组添加成员2. 在左窗格中展开“本地用户和组”对象;选择“组”对象，显示本地组。3.双击要添加成员的组,打开组的“属性”对话框。4.单击“添加”按钮，选择要加入的用户即可。、2.使用命令行的话，可以使用命令：netlocalgroupgroupnameusername/add第十九页，共五十页，2022年，8月28日本地用户账户DEMO（1）DEMO利用注册表（SAM）

A：克隆管理员用户

B:隐藏账户

第二十页，共五十页，2022年，8月28日第5章用户账户与组的管理分类：

（1）用户账户提供对资源的访问和单点登录（2）组账户帮助简化管理（3）计算机账户启用对资源的验证和审核5.3管理域用户和组第二十一页，共五十页，2022年，8月28日1.域用户账户安装完活动目录，就已经添加了一些内置域账户，它们位于Users容器中，如：Administrator、GuestAdministrator账户是以下组的成员：Administrators、DomainAdmins、EnterpriseAdmins、GroupPolicyCreatorOwners和SchemaAdmins

5.3管理域用户和组

5.3.1管理域用户和计算机账户第二十二页，共五十页，2022年，8月28日域用户账号域用户账户用来使用户能够登录到域或其他计算机中，从而获得对网络资源的访问权。经常访问网络的用户都应拥有网络惟一的用户账户。如果网络中有多个域控制器，可以在任何域控制器上创建新的用户账户，因为这些域控制器都是对等的。当在一个域控制器上创建新的用户账户时，这个域控制器会把信息复制到其他域控制器，从而确保该用户可以登录并访问任何一个域控制器。第二十三页，共五十页，2022年，8月28日内置用户账号WindowsServer2003自动创建若干个用户账号，并且赋予了相应的权限，称为内置账号。内置用户账号不允许被删除。最常用的两个内置账号是Administrator和Guest。使用内置Administrator（管理员）账号管理计算机和域配置。Guest（来客）账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。第二十四页，共五十页，2022年，8月28日创建域用户账号“管理工具”——“ActiveDirectory用户和计算机”第二十五页，共五十页，2022年，8月28日新建对象——用户第二十六页，共五十页，2022年，8月28日输入密码

第二十七页，共五十页，2022年，8月28日强密码的特征长度至少有7个字符。不包含用户名、真实姓名或公司名称。不包含完整的字典词汇。包含全部下列4组字符类型：大写字母（A、B、C．．．）、小写字母（a、b、c．．．）、数字（0、l、2、3、4、5、6、7、8、9）、键盘上的符号（键盘上所有未定义为字母和数字的字符，如`～!@#$%^&（）*_+-{}[]|\/?:”;’<>,.）。账户已禁用。防止用户使用选定的账户登录，当用户暂时离开企业时，可以使用该选项，以便日后迅速启用。也可以禁用一个可能有威胁的账户，当排除问题之后，再重新启用该账户。许多管理员将禁用的账户用做公用用户账户的模板。以后拟再使用该账户时，可以在该账户上右击，并在弹出的快捷菜单中选择“启用账户”选项即可。第二十八页，共五十页，2022年，8月28日密码策略用户何时需要重置密码忘记密码时；重置密码后，用户将不能访问某些资源：使用用户公钥加密的EMAIL

本地保存的IE密码用户加密的文件第二十九页，共五十页，2022年，8月28日设置用户账号属性第三十页，共五十页，2022年，8月28日1.设置个人属性——常规、地址选项卡第三十一页，共五十页，2022年，8月28日设置个人属性——电话、单位选项卡第三十二页，共五十页，2022年，8月28日2.设置账号属性

第三十三页，共五十页，2022年，8月28日3.设置登录时间第三十四页，共五十页，2022年，8月28日4.设置用户可登录的计算机

第三十五页，共五十页，2022年，8月28日维护用户账号1.禁用、启用、重命名和删除用户账号第三十六页，共五十页，2022年，8月28日2.重设密码第三十七页，共五十页，2022年，8月28日5.3管理域用户和组

5.3.2组对象的管理组的种类及作用域

1.组的种类组在WindowsServer2003中分为安全组和通信组。

1）安全组安全组列在定义资源和对象权限的选择性访问控制表（DACL）中，它将用户、计算机和其他组对象作为一个可管理的单位。

2）通信组通信组不列在定义资源和对象权限的选择性访问控制表（DACL）中，它不采用安全机制。第三十八页，共五十页，2022年，8月28日5.3.2组对象的管理2.组的作用域组在域树或域林中的应用范围称为组的作用域，它有三种类型：

1）通用组有通用作用域的组称为通用组。

2）全局组有全局作用域的组称为全局组。

3）本地组有本地作用域的组称为本地组。第三十九页，共五十页，2022年，8月28日1.创建组（1）打开“ActiveDirectory用户和计算机”管理工具，选择要新建的组所属的域、容器或组织单位。以在“Users”中创建组为例，用右键单击“Users”，选择“新建”，再单击“组”。（2）这时系统弹出“新建对象－组”窗口。输入组名，并根据需要选择组作用域和组类型。（3）按“确定”按钮，完成组的创建，便可在“ActiveDirectory用户和计算机”管理工具中看见我们新创建的组。用户组的创建与管理第四十页，共五十页，2022年，8月28日创建组第四十一页，共五十页，2022年，8月28日2.设置组可以对刚才创建的组进行移动该组到其他容器、向全组发送邮件、删除、重命名等操作，如图所示。用户组的创建与管理第四十二页，共五十页，2022年，8月28日1）设置组成员选择“属性”，系统弹出“Check属性”窗口，再选择“成员”选项卡，如图所示。用户组的创建与管理第四十三页，共五十页，2022年，8月28日2）设置组隶属于选择“属性”，系统弹出“Check属性”窗口，再选择“隶属于”选项卡，如图所示。选择该组所属的其他安全组，该设置可确定该组的权限。用户组的创建与管理第四十四页，共五十页，2022年，8月28日3）移动组选择“移动”，系统会出现如图所示窗口。再选择要移入的容器，最后按“确定”按钮便可完成移动。用户组的创建与管理第四十五页，共五十页，2022年，8月28日5.3.3计算机账户的管理在域中创建计算机账户在域中每台计算机的账户都是惟一的，可以通过“ActiveDirectory用户和计算机”管理工具来创建计算机用户（1）打开“ActiveDirectory用户和计算机”管理工具，用右键单击窗口右边的“Computer”（也可以选择其他容器）进行添加计算机账户，单击“计算机”，弹出一个“