本地用户和组

软件本地用户和组01本地用户帐户管理默认本地组的疑难解答目录030204基本信息本地用户和组位于计算机管理中，用户可以使用这一组管理工具来管理单台本地或远程计算机。可以使用本地用户和组保护并管理存储在本地计算机上的用户帐户和组。可以在特定计算机上（只能是这台计算机）分配本地用户帐户或组帐户的权限和权利。通过本地用户和组，可以为用户和组分配权利和权限，从而限制用户和组执行某些操作的能力。权利可授权用户在计算机上执行某些操作，如备份文件和文件夹或者关机。权限是与对象（通常是文件、文件夹或打印机）相关联的一种规则，它规定哪些用户可以访问该对象以及以何种方式访问。本地用户帐户本地用户帐户本地用户和组Microsoft管理控制台(MMC)管理单元中的用户文件夹显示默认的用户帐户以及您创建的用户帐户。这些默认的用户帐户是在安装操作系统时自动创建的。下表描述了显示在本地用户和组中的每个默认用户帐户。默认本地组默认本地组本地用户和组Microsoft管理控制台(MMC)中的组文件夹显示默认本地组以及您创建的本地组。默认本地组是在安装操作系统时自动创建的。如果一个用户属于某个本地组，则该用户就具有在本地计算机上执行各种任务的权利和能力。可以向本地组添加本地用户帐户、域用户帐户、计算机帐户以及组帐户。下表提供了对位于组文件夹中的默认组的描述。此表也列出了每个组的默认用户权限。这些用户权限是在本地安全策略中分配的。管理管理本地用户帐户的文件从命令行管理本地组为什么您不应该以管理员身份运行计算机用户帐户控制概述管理管理本地用户帐户的文件管理员可以使用主文件夹和文档文件夹将用户文件集中到一个位置。用户文件集中在一个位置简化了备份过程，并使访问控制管理更容易。主文件可以是本地文件夹，也可以是共享资源中的文件夹。可以将其分配给一个用户或多个用户。将主文件夹分配给一个用户后，它就成为该用户的“打开”和“另存为”对话框、命令提示符会话以及没有定义工作文件夹的所有程序的默认文件夹。文档文件夹是主文件夹的备用文件夹，但它不会取代主文件夹。当用户试图保存或打开文件时，多数程序都以下面两种方式之一确定是使用主文件夹还是文档文件夹：一些程序先在主文件夹中查找与要打开或保存的文件的类型（例如，.doc或.txt）匹配的文件。如果找到带匹配扩展名的文件，则程序将打开主文件夹而忽略文档文件夹。如果没有找到带匹配扩展名的文件，则程序将打开文档文件夹。从命令行管理本地组可以使用下表中的命令行工具管理本地组。为什么您不应该以管理员身份运行计算机以管理员组成员的身份运行计算机将使系统容易受到特洛伊木马及其他安全风险的威胁。访问Internet站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的Internet站点或电子邮件附件可能有特洛伊木马代码，这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录，特洛伊木马可能使用管理访问权重新格式化您的硬盘，删除文件并创建新的用户帐户。在本地计算机上，建议将域用户帐户仅添加到Users组（而非管理员组），以执行例行任务，包括运行程序和访问Internet站点。当需要在本地计算机上执行管理任务时，请通过管理凭据使用“以管理员身份运行”启动程序。您可以使用“以管理员身份运行”完成管理任务，而不至将计算机置于不必要的风险中。如果您需要执行其他管理任务，例如升级操作系统或配置系统参数，请先注销然后再以管理员身份登录。用户帐户控制概述用户帐户控制(UAC)是一种新的安全组件，使用户可以用非管理员身份（在此版本的Windows中称为“标准用户”）以及管理员身份执行常见任务，而无需切换用户、注销或使用“以管理员身份运行”命令。标准用户帐户与MicrosoftWindows(R)XP中的用户帐户类似。作为本地管理员组成员的用户帐户以标准用户身份运行大多数应用程序。因为UAC在进行生产时将用户功能和管理员功能分隔开来，所以它是此版本的Windows的一个重要增强功能。当管理员登录到运行此版本Windows的计算机时，将为该用户分配两个单独的访问令牌。Windows使用访问令牌（包含用户的组成员身份、授权数据和访问控制数据）控制用户可以访问的资源和任务。在一些先前版本的Windows（如WindowsXP）中，管理员帐户只接收到一个访问令牌，其中包含的数据可授予该用户访问所有Windows资源的权限。此访问控制模型不包含任何故障保险检查，而故障保险检查可以确保用户真正执行需要他（或她）的管理访问令牌的任务。因此，恶意软件可以将其自身安装在计算机上，而不会通知用户。此过程通常称为“无提示”安装。因为用户是管理员，所以恶意软件可以使用管理员的访问控制数据感染核心操作系统文件。在某些情况下，恶意软件可能会变得几乎不可能被删除，而且可能会造成更多破坏。此版本的Windows中的标准用户和管理员之间的主要区别在于他们对计算机有多少控制权。管理员可以更改系统状态、关闭防火墙、关闭策略、安装影响计算机上每个用户的服务或驱动程序等等。管理员可以为整台计算机安装软件。标准用户无法以这种方式更改系统状态。的疑难解答的疑难解答我接收到错误消息“此系统的本地策略不允许您交互登录”，或者我无法从本地登录原因：从本地登录到计算机的功能是由本地安全策略控制的。解决方案：将用户帐户添加到Users本地组，或使用本地安全策略向特定用户或组分配允许在本地登录的权限。runas命令运行失败。原因：SecondaryLogon服务没有运行。解决方案：启动SecondaryLogon服务。我无法登录到运行Windows