本地用户和组的管理.docx
- 文档编号:11336910
- 上传时间:2023-02-27
- 格式:DOCX
- 页数:33
- 大小:1.28MB
本地用户和组的管理.docx
《本地用户和组的管理.docx》由会员分享,可在线阅读,更多相关《本地用户和组的管理.docx(33页珍藏版)》请在冰豆网上搜索。
本地用户和组的管理
本地用户和组的管理(总33页)
本地用户和组的管理
(以下操作均在WindowsServer2003系统中实现,在客户端操作系统XP中部份操作可能会有所不同)
一、概述
和win95/98等操作系统不同,2000/XP/2003等操作系统是区分用户的。
每个用户有自己独立的工作环境,相互独立;用户可以保存自己的文档而不用担心会被其他用户查看;还可以分别为每个用户设置不同的访问资源的权限等。
在工作组环境中,所有计算机是独立的,要让用户能够登录到计算机并使用计算机的资源,必须为每个用户建立本地用户帐户。
同时,为了方便对用户受予对资源的访问权限,我们可以使用本地组来实现。
本地用户帐户和组主要用在本地计算机。
本地用户帐户只能登录到本地计算机;本地用户帐户保存在本地计算机;本地用户若需要访问其它计算机,需要在其它计算机上有相应的用户帐户以便进行身份验证。
二、“本地用户和组”管理工具
要创建本地帐户,需要使用“本地用户和组”管理工具。
此工具包含在“计算机管理”工具里,也可以从MMC控制台添加。
1、要打开“计算机管理”工具,右击“我的电脑”,在快捷菜单中选择“管理”
打开的“计算机管理”工具如下图所示。
2、要使用MMC控制台,请在“运行”里输入“mmc”,打开MMC控制台
在MMC控制台“文件”菜单中选择“添加/删除管理单元”
在弹出的“添加/删除管理单元”对话框中选择“添加”
在“添加独立管理单元”对话框中,找到“本地用户和组”,按“添加”
在“选择目标机器”对话框中,选择“本地计算机”,点击“完成”
分别点击“关闭”和“确定”按钮退出“添加管理单元”的对话框,现在已经在MMC控制台中添加了“本地用户和组”管理单元了。
三、创建本地用户
双击“本地用户和组”管理单元,打开“用户”和“组”两个子项
点击“用户”项,在右边的窗口可以看到当前的用户帐户。
这些帐户是系统内置的帐户,是我们在安装操作系统时系统自动建立的。
其中有一个管理员帐户“administrator”,这个帐户是用于管理用途的,它的权限是最大的。
由于这个帐户是系统内置的帐户,所以它不能被删除,也不能被禁用。
要新建用户帐户,右击“用户”项或在右边的窗口的空白处单击鼠标右键,在弹出的快捷菜单中选择“新用户”
在弹出的“新用户”对话框中,分别设置“用户名”、“密码”以及其它的一些选项。
在“用户名”文本框中,输入用户的帐号。
用户帐号最好使用英文字符,尽量不要使用中文(主要是考虑到管理上的方便),比如可以使用用户姓名的拼音作为用户名;而在“全名”和“描述”中,则可以输入一些中文信息,这些信息是可选的,可以不填,但如果用户较多的话,这些信息有助于我们快速识别该帐户。
在“密码”中为用户输入一个初始密码。
作为管理员,在为用户创建帐户时,可以为所有用户使用相同的密码,然后通过下面的选项来强制用户在第一次登录时更改密码。
设置密码时,为了安全,请设置复杂的密码。
复杂的密码包括大写字母、小写字母、数字和特殊符号中的其中三种,但建议把这四种字符都用上,同时密码的长度最好在七到八位以上。
例如“P@ssw0rd”这个密码就是一个安全的复杂密码,它包括了大写字母“P”,小写字母“sswrd”,特殊符号“@”和数字“0”,同时长度有8位。
“用户下次登录时须更改密码”选项:
勾选了该选项后,用户下次在登录时必须更改一个新的密码才能够正常登录,否则系统拒绝用户登录;“用户不能更改密码”选项:
勾选该选项后,用户就不能更改密码,该选项通常用在一些公共帐号中。
例如有一个企业,经常有客人来访,公司为了方便客人使用计算机,可以在专用的计算机上添加一个公用帐户,并勾选该选项,使客人无法随意更改密码,保证任何人都可正常登录并使用该计算机。
“密码永不过期”选项:
默认情况下,用户的密码使用期限是42天,也就是说42天之后用户必须更改一个新密码才能够继续正常使用计算机。
但对于一些特殊的帐号,比如一个专门为远程用户拨入时使用的帐号,我们可能不希望定期更改密码,这时可以勾选该选项以达到目的。
“帐户已停用”选项:
如果一个用户暂时(或永久)不使用计算机,可以把该用户的帐户暂时停用。
注意尽量不要删除帐户,因为当我们创建用户帐户时,系统会为每个用户帐户分配一个“SID”,这个SID叫做“安全的标识符”它是一个非常长的字符串,并且系统创建的每一个SID都不可能重复,它用于唯一的标识一个对象。
当我们删除了一个帐户后,即使再重新建立一个同名的帐户,系统也会认为这两个帐户是不同的帐户,因为它们的SID不一样,这样原来的帐户可以访问的资源对于新的用户帐户来说都是不能正常访问的。
所以对于不用的帐户,尽可能选择禁用(停用)帐户而不是删除帐户。
输入信息
完成并创建了一个用户帐户
四、管理本地用户帐户
1、本地用户帐户数据库的保存路径:
保存本地用户帐户的数据库文件名称是“SAM”,它保存在“%systemroot%\system32\config”文件夹里。
同时,用户的密码是以加密的形式保存的。
2、重设密码
当用户忘记密码而无法登录时,管理员可以为用户重新设置密码。
但要注意,如果使用重设密码,用户原有的加密文件就再也打不开了,用户申请的数字证书也不能用了。
所以只有在逼不得已的情况下才使用“重设密码”。
使用重设密码无须提供旧密码,通常该操作由管理员完成。
要重设密码,选择要重设密码的用户帐户,单击鼠标右键,在出现的快捷菜单中选择“设置密码”
系统弹出一个警告的对话框,按“继续”
打开“为XXX设置密码”的对话框,在这里为用户输入新的密码后点击“确定”
系统会提示密码已设置成功的对话框,重设密码完成。
3、更改密码
为了安全,用户自己可以随时更改密码。
由用户自己更改密码的操作叫“更改密码”,它是由用户自己完成,同时在更改密码时需要提供旧密码。
用户要更改密码,按“ctrl+alt+del”打开“Windows安全”对话框
在对话框中点击“更改密码”按钮,打开更改密码对话框
输入旧密码和两次新密码后点击确定,经系统确认后提示“您的密码已更改”,说明用户已成功更改密码。
4、删除用户
要删除一个用户帐户,右击该用户帐户,在弹出的快捷菜单中选择“删除”
系统弹出一个警告对话框,提示每个用户帐户用一个唯一的标识符所标识,删除后即使重建一个同名帐户,系统也会把两个帐户当作是不同的帐户对待,原有用户所能够访问的资源新用户都不能访问。
如果确定要删除用户,点击确定,帐户将被删除;不删除用户请点击否。
5、重命名帐户
如果一个员工离职了,来了一个新员工接替旧员工的工作,我们可以选择重命名旧员工的帐户,让新员工继续使用这个帐户,原有的权限将不会改变。
要重命名一个帐户,右击该帐户,在弹出的快捷菜单中选择“重命名”
这时该帐户的“名称”变成可编辑状态,我们可以直接输入一个新的名字,完成后按回车。
6、设置用户帐户的属性
要设置用户帐户的属性,右击该用户帐户,在弹出的快捷菜单中选择“属性”,打开“XXX属性”对话框
a、“常规”选项卡
全名:
可以更改用户的全名。
这里可以为用户设置中文名称,以方便识别。
该选项可选。
描述:
为用户输入一些描述信息,例如:
部门、职位等,可以用中文,该选项可选。
“用户下次登录时须更改密码”、“用户不能更改密码”、“密码永不过期”、“帐户已禁用”等选项在前面已有讲述,此处略过。
“帐户已锁定”:
当用户因为输错一定次数的密码时帐户可能会被锁定,类似于银行提款机在用户输错三次密码后会吞卡。
当用户帐户被锁定时,用户将不能登录系统。
管理员需要使用自己的帐户登录系统后取消该选项即可立即解除锁定。
b、“隶属于”选项卡
该选项卡用于设置该用户属于哪个组。
我们可以为不同的组设置不同的权限,以控制用户对资源的访问。
关于组的概念在后面会有讲述。
c、“配置文件”选项卡
该选项卡用于设置用户配置文件的存放路径以及用户主文件夹的位置。
在工作组环境很少用到(意义不大),但在域环境非常常用,所以该选项卡留在讲解域环境的用户和组管理时才详细介绍。
d、“环境”、“会话”、“远程控制”和“终端服务配置文件”选项卡
这四个选项卡主要和终端服务相关,在使用终端服务时才进行配置。
该选项卡在讲解终端服务时才进一步讨论。
在此略过。
e、“拨入”选项卡
该选项卡主要用于设置当用户使用拨号或VPN拨入时的一些参数。
在讲解VPN相关技术时才进一步讨论。
在此略过。
五、认识组
组是用户的集合,主要是为了方便为用户分配权限而设的。
举个例子,假如系统中有十个用户,你想为这十个用户分配权限以访问某资源,如果不使用组,你可能须要分别为这十全用户单独地设置权限,相同的工作你可能要做十次;如果使用组,你只需要把这十个用户加入到同一个组里,然后为这一个组设置权限,那么这十个用户就同时具备了相同的权限,你不须要重复地做相同的工作。
而且,假如现在不只十个用户,而是有一千个用户,那你怎么办?
所以,使用组来管理帐户会使管理工作变得更轻松。
六、系统内置组
在安装操作系统时,系统除了会自动建立一些内置帐号外,也会同时建立一些内置组。
要查看这些内置组,选中“本地用户和组”管理单元中的“组”,然后在右边的窗口中显示的这些组就是系统内置的组。
系统已经预先为这些组定义了不同的权限,属于不同的组的成员就会具有不同的权限。
下面介绍一下常用的系统内置组:
“administrators”管理员组:
属于这个组的成员具有不受限制的管理员的权限,可以在系统中执行任何操作;“users”普通用户组:
当我们新建一个用户时,这个用户默认就是属于这个组的成员。
该组的成员不能执行任何管理的工作,只能在系统内运行经过授权的程序和软件,可以对自己的文档执行各种操作,也可以访问经过授权的其它资源。
“powerusers”超级用户组:
权限比普通“users”组的成员要大,可以执行部份管理工作,例如管理用户帐户,但不能管理“管理员组”的成员;可以建立共享资源等。
“NetworkConfigurationOperators”网络配置操作员组:
可以更改网络连接的配置,例如可以修改网络连接的“TCP/IP”属性。
“BackupOperators”备份操作员组:
该组的成员可以对系统内的数据执行备份和还原的操作,而不管他是否具有访问这些数据的权限。
七、新建组
要新建组,在“本地用户和组”管理工具中找到“组”项,右击鼠标右键,在弹出的快捷菜单中选择“新建组”
在打开的“新建组”对话框中,输入组名。
组名最好使用英文字符以方便管理,并在“描述”中输入一些描述信息以方便我们识别该组,描述信息可以使用中文。
下面有一个显示成员的列表框,我们可以按“添加”按钮为该组添加成员,也可以以后再添加。
我们以后再添加,按“创建”完成新建组,并按“关闭”关闭该对话框。
八、为组添加成员
a、要为组添加成员,右击该组,在弹出的快捷菜单中选择“属性”
在打开的属性对话框中,点击“添加”按钮,打开“选择用户”对话框
在该对话框中,按“高级”按钮打开另一个“选择用户”的对话框
再按“立即查找”按钮
这时在对话框下面就会列出可以添加到该组的成员,包括了用户和系统的内置组,但不包括本地组。
(注:
本地组不能包括本地组,但可以包括某些系统的内置组;系统内置组不能包括本地组)
选中需要添加的用户或组,点击“确定”按钮,也可以按“CTRL”键同时选择多个对象
再按“确定”按钮,回到上一个“选择用户”的对话框
这时可以看到我们已经选择了的用户。
点击“确定”后关闭“选择用户”对话框,在组的属性对话框中,我们刚才选择的用户已经被添加到该组里。
b、也可以把用户添加到组
右击某用户,在弹出的快捷菜单中选择“属性”,打开用户的属性对话框,在该对话框中找到“隶属于”选项卡
在该选项卡里可以看到该用户属于哪个组。
一个用户可以属于多个组,从而有多种不同的权限。
要把用户添加到某个组,按“添加”按钮,打开选择组的对话框
该对话框和刚才“选择用户”对话框非常相似,只不过在这里选择的是组而不是用户。
(操作略)
这是添加完的结果。
九、组的其它管理
a、删除组
和帐号类似,我们在新建组时系统会为该组分配一个唯一的SID,该SID也是不会重复的,用于唯一的识别该组。
所以如果删除该组,那么即使再新建一个同名的组,也不能恢复原组的成员的访问权限,所有对该组设置的权限需要重新设置。
即使误删除组后也不会对用户的加密文件和证书等造成影响,但要为组成员重新设置权限。
要删除组,右击该组,在弹出的快捷菜单中选择“删除”,在弹出的警告对话框中按“确定”即可删除组。
b、重命名组
要重命名组,右击该组,在弹出的快捷菜单中选择“重命名”
这时组的名称就变成可编辑状态,直接为组输入新的名字并按回车即可。
十、本地组的应用规则
使用本地组应遵循“ALP”规则。
在这个规则中,“A”代表用户帐户,“L”代表本地组,“P”代表权限。
ALP规则的意思是:
把用户加入本地组,对本地组设置权限。
ALP规则主要用于工作组环境。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 本地 用户 管理