用户账户和组帐户

第5章用户账户与组帐户学习要点管理本地用户管理本地组管理域用户和组用户账户与组的管理一、管理本地用户(lusrmgr.msc)账户账户是计算机的根本平安对象，WindowsServer2003包含了两种账户：用户账户和组账户。保证Windows平安性的主要方法有以下4点：严格定义各种账户权限；使用组规划用户权限，简化账户权限的管理；禁止非法计算机连入网络；应用本地平安策略和组策略。

用户账户与组的管理管理本地用户用户账户是计算机的根本平安组件，计算机通过用户账户来区分用户身份，让有使用权限的人登录计算机，访问本地计算机资源或从网络访问这台计算机的共享资源。指派不同用户不同的权限，可以让用户执行不同的计算机管理任务。1.1

用户账户的概述5.1管理本地用户本地用户账户仅允许用户登录访问创立该账户计算机。5.1.2

本地用户账户WindowsServer2003默认只有：〔1〕Administrator账户

〔2〕Guest账户Administrator账户可以执行计算机管理的所有操作；而Guest账户是为临时访问用户而设置的，默认是禁用的。5.1管理本地用户系统指派权利、授权资源访问权限等都需要使用平安标识符。当删除一个用户账户后，重新创立名称相同的账户并不能获得先前账户的权利。用户登录后，可以在命令提示符状态下输入“whoami/logonid〞命令查询当前用户账户的平安标识符。5.1.2

本地用户账户5.1管理本地用户遵循以下的规那么和约定可以简化账户创立后的管理工作：5.1.3本地用户账户的创立规划新的用户账户

〔1〕命名约定〔2〕密码原那么5.1管理本地用户创立的步骤如下:〔1〕翻开“开始〞→“管理工具〞→“计算机管理〞。〔2〕展开“本地用户和组〞，在“用户〞目录上单击鼠标右键，选择“新用户〞命令。5.1.3本地用户账户的创立2.创立本地用户账户〔3〕翻开“新用户〞对话框后，输入用户名、全名和描述，并且输入密码。5.1管理本地用户5.1.3本地用户账户的创立2.创立本地用户账户5.1管理本地用户2．“隶属于〞选项卡“常规〞选项卡5.1.4

设置本地用户账户的属性3．“配置文件〞选项卡〔1〕用户配置文件。用户配置文件有以下几种类型：①默认用户配置文件。5.1管理本地用户〔2〕用户主文件夹。5.1.4

设置本地用户账户的属性④强制用户配置文件。“Ntuser.dat〞改成“Ntuser.man〞〔3〕登录脚本。%SystemRoot%\System32\Repl\Import\Scripts②本地用户配置文件。③漫游用户配置文件。5.1管理本地用户5.1.4

设置本地用户账户的属性5.1管理本地用户5.1.4

设置本地用户账户的属性5.1管理本地用户当用户不再需要使用某个用户账户时，可以将其删除。删除用户账户会导致与该账户有关的所有信息的遗失。5.1.5

删除本地用户账户一旦用户账户被删除,这些信息也就跟着消失了。重新创立一个名称相同的用户账户，也不能获得原先用户账户的权限。5.1管理本地用户用命令行方式创立一个新用户：netuserusernamepassword/add5.1.6使用命令行创立用户用命令行方式修改密码：netuserusernamepassword

5.2管理本地组5.2.1本地组概述常用的默认组包括：

﹡Administrators﹡BackupOperators

﹡Guests

﹡PowerUsers﹡PrintOperators﹡RemoteDesktopUsers﹡Users第5章用户账户与组的管理以下几种特殊组：﹡AnonymousLogon5.2管理本地用户5.2.1本地组概述﹡AnonymousLogon﹡Everyone﹡NetworkNetwork组的成员：﹡Interactive1.Windows方式翻开“计算机管理〞管理单元。右击“组〞文件夹，从快捷菜单中选择“新建组〞。在“新建组〞对话框中，输入组名和描述，然后单击“添加〞向组中添加成员。5.2管理本地用户5.2.2创立本地组2.命令方式创立一个组,命令格式为：netlocalgroupgroupname/add5.2管理本地用户5.2.2创立本地组1.Windows操作：1.右击“我的电脑〞，选择“管理〞，翻开“计算机管理〞管理单元。5.2管理本地用户5.2.3为本地组添加成员2. 在左窗格中展开“本地用户和组〞对象;选择“组〞对象，显示本地组。3.双击要添加成员的组,翻开组的“属性〞对话框。4.单击“添加〞按钮，选择要参加的用户即可。、2.使用命令行的话，可以使用命令：

netlocalgroupgroupnameusername/add

本地用户账户DEMO〔1〕DEMO利用注册表〔SAM〕A：克隆管理员用户B:隐藏账户

第5章用户账户与组的管理分类：〔1〕用户账户提供对资源的访问和单点登录〔2〕组账户帮助简化管理〔3〕计算机账户启用对资源的验证和审核5.3管理域用户和组1.域用户账户安装完活动目录，就已经添加了一些内置域账户，它们位于Users容器中，如：Administrator、Guest

Administrator账户是以下组的成员：Administrators、DomainAdmins、EnterpriseAdmins、GroupPolicyCreatorOwners和SchemaAdmins

5.3管理域用户和组

5.3.1管理域用户和计算机账户域用户账号域用户账户用来使用户能够登录到域或其他计算机中，从而获得对网络资源的访问权。经常访问网络的用户都应拥有网络惟一的用户账户。如果网络中有多个域控制器，可以在任何域控制器上创立新的用户账户，因为这些域控制器都是对等的。当在一个域控制器上创立新的用户账户时，这个域控制器会把信息复制到其他域控制器，从而确保该用户可以登录并访问任何一个域控制器。内置用户账号WindowsServer2003自动创立假设干个用户账号，并且赋予了相应的权限，称为内置账号。内置用户账号不允许被删除。最常用的两个内置账号是Administrator和Guest。使用内置Administrator〔管理员〕账号管理计算机和域配置。Guest〔来客〕账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。创立域用户账号“管理工具〞——“ActiveDirectory用户和计算机〞新建对象——用户输入密码

强密码的特征长度至少有7个字符。不包含用户名、真实姓名或公司名称。不包含完整的字典词汇。包含全部以下4组字符类型：大写字母〔A、B、C．．．〕、小写字母〔a、b、c．．．〕、数字〔0、l、2、3、4、5、6、7、8、9〕、键盘上的符号〔键盘上所有未定义为字母和数字的字符，如`～!@#$%^&〔〕*_+-{}[]|\/?:〞;’<>,.〕。账户已禁用。防止用户使用选定的账户登录，当用户暂时离开企业时，可以使用该选项，以便日后迅速启用。也可以禁用一个可能有威胁的账户，当排除问题之后，再重新启用该账户。许多管理员将禁用的账户用做公用用户账户的模板。以后拟再使用该账户时，可以在该账户上右击，并在弹出的快捷菜单中选择“启用账户〞选项即可。密码策略用户何时需要重置密码忘记密码时；重置密码后，用户将不能访问某些资源：使用用户公钥加密的EMAIL

本地保存的IE密码用户加密的文件设置用户账号属性1.设置个人属性——常规、地址选项卡设置个人属性——、单位选项卡2.设置账号属性

3.设置登录时间4.设置用户可登录的计算机

维护用户账号1.禁用、启用、重命名和删除用户账号2.重设密码5.3管理域用户和组

5.3.2组对象的管理组的种类及作用域1.组的种类组在WindowsServer2003中分为平安组和通信组。1〕平安组平安组列在定义资源和对象权限的选择性访问控制表〔DACL〕中，它将用户、计算机和其他组对象作为一个可管理的单位。2〕通信组通信组不列在定义资源和对象权限的选择性访问控制表〔DACL〕中，它不采用平安机制。5.3.2组对象的管理2.组的作用域组在域树或域林中的应用范围称为组的作用域，它有三种类型：1〕通用组有通用作用域的组称为通用组。2〕全局组有全局作用域的组称为全局组。3〕本地组有本地作用域的组称为本地组。1.创立组〔1〕翻开“ActiveDirectory用户和计算机〞管理工具，选择要新建的组所属的域、容器或组织单位。以在“Users〞中创立组为例，用右键单击“Users〞，选择“新建〞，再单击“组〞。〔2〕这时系统弹出“新建对象－组〞窗口。输入组名，并根据需要选择组作用域和组类型。〔3〕按“确定〞按钮，完成组的创立，便可在“ActiveDirectory用户和计算机〞管理工具中看见我们新创立的组。用户组的创立与管理创立组2.设置组可以对刚刚创立的组进行移动该组到其他容器、向全组发送邮件、删除、重命名等操作，如下图。用户组的创立与管理1〕设置组成员选择“属性〞，系统弹出“Check属性〞窗口，再选择“成员〞选项卡，如下图。用户组的创立与管理2〕设置组隶属于选择“属性〞，系统弹出“Check属性〞窗口，再选择“隶属于〞选项卡，如下图。选择该组所属的其他平安组，该设置可确定该组的权限。用户组的创立与管理3〕移动组选择“移动〞，系统会出现如下图窗口。再选择要移入的容器，最后按“确定〞按钮便可完成移动。用户组的创立与管理5.3.3计算机账户的管理在域中创立计算机账户在域中每台计算机的账户都是惟一的，可以通过“ActiveDirectory用户和计算机〞管理工具来创立计算机用户〔1〕翻开“ActiveDirectory用户和计算机〞管理工具，用右键单击窗口右边的“Computer〞〔也可以选择其他容器〕进行添加计算机账户，单击“计算机〞，弹出一个“新建对象－计算机〞窗口。5.3管理域用户和组计算机账户的管理〔2〕在窗口中填入该域的计算机名，所输入的计算机名必须在客户机中存在。按“下一步〞按钮，系统会弹出一个“管理〞窗口。〔3〕按“下一步〞按钮，出现提示此计算机对象将被创立窗口。〔4〕按“完成〞按钮，“Computer〞容器便会显示刚刚新建的计算机对象，表示已经完成该计算机账户的创立。5.3.2计算机账户属性的设置〔1〕用右键单击刚刚所新建的计算机账户，选择“属性〞。〔2〕在