Windows管理本地用户文档格式.docx
- 文档编号:21218744
- 上传时间:2023-01-28
- 格式:DOCX
- 页数:26
- 大小:1.24MB
Windows管理本地用户文档格式.docx
《Windows管理本地用户文档格式.docx》由会员分享,可在线阅读,更多相关《Windows管理本地用户文档格式.docx(26页珍藏版)》请在冰豆网上搜索。
使用标准用户帐户比使用管理员帐户更安全。
什么是标准用户帐户?
标准用户帐户允许用户使用计算机的大多数功能,但是如果要进行的更改会影响计算机的其他用户或安全,则需要管理员的许可。
使用标准帐户时,可以使用计算机上安装的大多数程序,但是无法安装或卸载软件和硬件,也无法删除计算机运行所必需的文件或者更改计算机上会影响其他用户的设置。
如果使用的是标准帐户,则某些程序可能要求您提供管理员密码后才能执行某些任务
什么是来宾帐户?
来宾帐户是供在计算机或域中没有永久帐户的用户使用的帐户。
它允许人们使用计算机,但没有访问个人文件的权限。
使用来宾帐户的人无法安装软件或硬件,更改设置或者创建密码。
必须打开来宾帐户然后才可以使用它。
1.1.1内置的用户帐户
本地用户和组Microsoft管理控制台(MMC)管理单元中的用户文件夹显示默认的用户帐户以及您创建的用户帐户。
这些默认的用户帐户是在安装操作系统时自动创建的。
下表描述了显示在本地用户和组中的每个默认用户帐户。
打开服务器管理器,点击“配置”à
“本地用户和组”à
“用户”,可以看到默认的用户帐户。
✓Administrator帐户,默认情况下,Administrator帐户处于禁用状态,但也可以启用它。
当它处于启用状态时,Administrator帐户具有对计算机的完全控制权限,并可以根据需要向用户分配用户权利和访问控制权限。
该帐户必须仅用于需要管理凭据的任务。
强烈建议将此帐户设置为使用强密码。
✓Administrator帐户是计算机上Administrators组的成员。
永远也不可以从Administrators组删除Administrator帐户,但可以重命名或禁用该帐户。
由于大家都知道Administrator帐户存在于许多版本的Windows上,所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。
♦要点:
即使已禁用了Administrator帐户,仍然可以在安全模式下使用该帐户访问计算机。
✓Guest帐户,Guest帐户由在这台计算机上没有实际帐户的人使用。
如果某个用户的帐户已被禁用,但还未删除,那该用户也可以使用Guest帐户。
Guest帐户不需要密码。
默认情况下,Guest帐户是禁用的,但也可以启用它。
✓可以像任何用户帐户一样设置Guest帐户的权利和权限。
默认情况下,Guest帐户是默认的Guest组的成员,该组允许用户登录计算机。
其他权利及任何权限都必须由Administrators组的成员授予Guests组。
默认情况下将禁用Guest帐户,并且建议将其保持禁用状态。
1.1.2创建本地用户
如下图所示,右击“用户”,点击“新用户”,输入用户名、全名、描述和密码。
点击“创建”。
WindowsServer2008的安全策略默认要求用户的密码必须符合复杂性要求,因此输入的密码如果是全是字符或全是数字会出现一下对话框。
您必须输入类似于“a1!
”或“p@ssw0rd”这样的密码才能满足默认的安全密码。
注意事项
✓若要执行此过程,必须提供本地计算机上Administrator帐户的凭据(如果提示),或必须是本地计算机上Administrators组的成员。
✓用户名不能与被管理的计算机上任何其他用户名或组名相同。
用户名最多可以包含除下列字符外的20个大写字符或小写字符:
♦"
/\[]:
;
|=,+*?
<
>
@
♦用户名不能只由句点(.)和空格组成。
✓在“密码”和“确认密码”框中,可以键入包含不超过127个字符的密码。
但是,如果网络中包含运行Windows95或Windows98的计算机,请考虑使用不超过14个字符的密码。
如果密码超过14
个字符,则可能无法从运行Windows
95或Windows
98的计算机登录到网络。
♦使用强密码和合适的密码策略有利于保护计算机免受攻击。
1.1.3重设用户密码
右击用户账号,点击“设置密码”,出现提示对话框,点击“继续”,输入新密码,点击“确定”。
若要执行此过程,必须提供本地计算机上Administrator帐户的凭据(如果提示),或必须是本地计算机上Administrators组的成员。
密码提供了防止对计算机进行未授权的访问的第一道防线。
密码越强,就越能保护计算机免受黑客和恶意软件的侵害。
应确保计算机上的所有帐户使用的都是强密码。
如果您使用的是企业网络,网络管理员可能需要您使用强密码。
强密码(或弱密码)由什么构成?
✓长度至少为八个字符。
✓不包含用户名、真实姓名或公司名称。
✓不包含完整的单词。
✓与先前的密码截然不同。
包含下列四类字符的每一种:
✓大写字母
✓小写字母
✓数字
✓键盘上的符号(键盘上所有未定义为字母和数字的字符)和空格
强密码可以提高计算机和网络的安全性。
为了保护受保护信息的安全,一旦在本地用户帐户上重设了用户密码,部分类型的信息将不能再使用,这些信息包括:
✓使用用户公钥加密的电子邮件
✓计算机中保存的Internet密码
✓用户已加密的文件
如果要避免丢失这种类型的数据,请不要重设用户的密码。
当创建新的本地用户帐户时,请让用户创建一张密码重设盘。
以后如果用户忘记了密码,可以使用密码重设盘来重设密码,防止数据损失。
但是如果用户忘记了域用户帐户的密码,则必须手工重设该密码。
1.1.4创建密码重设盘
创建密码重设盘,不论密码更改过多少次,如果忘记了计算机密码,则可以使用密码重设盘创建一个新密码。
建议您在创建密码时创建密码重设盘,以便不会失去对文件和信息的访问权限。
1.将你的U盘插入计算机,下面的步骤将U盘设置成密码重设盘。
2.点击“开始”à
“控制面板”,如果是传统的“开始菜单”,点击“开始”à
“设置”à
“控制面板”,点击左面的“经典视图”,点击“用户帐户”。
3.点击“创建密码重设盘”。
4.在出现的向导对话框,点击“下一步”。
选则刚才插入的U盘,点击“下一步”。
5.输入当前用户密码,点击“下一步”,完成。
在U盘上创建了一个userkey.psw文件。
1.1.5使用密码重设盘重设密码
如果你忘记密码,需要使用密码重设盘重新设置新密码。
6.输入登录密码出现错误后,会出现重设密码,如下图。
7.点击“重设密码”,在出现的对话框中,点击“下一步”,选中U盘,点击“下一步”。
8.输入新密码和密码提示,点击“下一步”,完成密码重设。
1.1.6管理存储的帐号
如果你经常访问某个服务器的共享文件夹,每次都需要你输入访问服务器的账号和密码,您可以将访问该服务器的凭据保存起来。
下面是访问文件服务器10.7.1.4上的共享文件夹,时需要输入该文件服务器上的账号和密码。
下面的操作会保存访问该服务器的网络凭据。
9.点击“开始”à
10.在出现的“存储的用户和密码”对话框,点击“添加”,输入服务器的地址、访问该服务器用到的用户名和密码,点击“确定”。
11.再次访问该服务发现不再需要输入账号和密码。
如果您想用计算机名访问10.7.1.4上的共享资源,你需要再添加一个登陆到服务器名的一个网络凭据。
如果你访问Windows集成身份验证的网站或FTP站点,你也可存储网站或程序凭据。
用户名前面的“sps”是计算机名或域名。
再次访问改网站,用户名和密码就不需要输入,直接点击“确定”,就能访问。
如下图。
1.1.7禁用或激活本地用户
打开“服务器管理器”。
在控制台树中,单击“用户”,右键单击要更改的用户帐户,然后单击“属性”。
执行以下任一操作:
✓若要禁用所选的用户帐户,请选中“帐户已禁用”复选框。
✓若要激活所选的用户帐户,请清除“帐户已禁用”复选框。
其他注意事项
✓禁用某个用户帐户时,将不允许该用户登录。
该帐户将出现在详细信息窗格中,图标上显示一个
号。
✓在激活已禁用的帐户之前,请确保该帐户不是因安全原因而被锁定的。
✓用户帐户被激活后,该用户就可以正常登录。
1.1.8删除本地用户帐户
在控制台树中,单击“用户”。
右键单击要删除的用户帐户,然后单击“删除”。
✓当需要删除一个用户帐户时,建议首先禁用该帐户。
确信禁用帐户不会引起问题时,便可以放心地删除该帐户。
✓不能恢复已删除的用户帐户。
✓不能删除Administrator帐户和Guest帐户。
1.1.9重命名本地用户帐户
右键单击要重命名的用户帐户,然后单击“重命名”。
键入新的用户名,然后按Enter。
✓由于重命名的用户帐户会保留其安全标识符(SID),因此也保留其他所有属性,如描述、密码、组成员身份、用户配置文件、帐户信息以及任何已指派的权限和用户权利。
查看当前用户的SID,在命令行下输入whoami/user显示当前用户的SID。
管理员的SID默认后三位是“500”。
1.2管理本地组
组是用户账号的集合,利用组可以管理对共享资源的访问。
这样的共享资源包括网络文件夹、文件、目录和打印机。
利用组,可以将访问共享资源的权限一次授予某个组,而不是单独授予多个用户。
利用组可以简化授权。
如销售部的成员可以访问产品的成本信息,不能访问公司员工的工资信息,而人事部的员工可以访问员工的工资信息却不能访问产品成本信息,当一个销售部的员工调到人事部后,如果我们的权限控制是以每个用户为单位进行控制,则权限设置相当麻烦而且容易出错,如果我们用组进行管理则相当简单,我们只需将该用户从销售组中删除再将之添加进人事组即可。
如果销售部门的员工兼职人事部门工作,需要将其加入到人事组,则该用户就有了两个组的权限。
1.2.1默认本地组
下面列出了每个组的默认用户权利。
这些用户权利是在本地安全策略中分配的。
✓Administrators此组的成员具有对计算机的完全控制权限,并且他们可以根据需要向用户分配用户权利和访问控制权限。
Administrator帐户是此组的默认成员。
当计算机加入域中时,DomainAdmins组会自动添加到此组中。
因为此组可以完全控制计算机,所以向其中添加用户时要特别谨慎。
以下列出了该组默认用户权利。
♦从网络访问此计算机
♦调整进程的内存配额
♦允许本地登录
♦允许通过终端服务登录
♦备份文件和目录
♦跳过遍历检查
♦更改系统时间
♦更改时区
♦创建页面文件
♦创建全局对象
♦创建符号链接
♦调试程序
♦从远程系统强制关机
♦身份验证后模拟客户端
♦提高日程安排的优先级
♦装载和卸载设备驱动程序
♦作为批处理作业登录
♦管理审核和安全日志
♦修改固件环境变量
♦执行卷维护任务
♦配置单一进程
♦配置系统性能
♦从扩展坞中取出计算机
♦还原文件和目录
♦关闭系统
♦获得文件或其他对象的所有权
✓BackupOperators此组的成员可以备份和还原计算机上的文件,而不管保护这些文件的权限如何。
这是因为执行备份任务的权利要高于所有文件权限。
此组的成员无法更改安全设置。
✓CryptographicOperators已授权此组的成员执行加密操作。
没有默认的用户权利。
✓DistributedCOMUsers允许此组的成员在计算机上启动、激活和使用DCOM对象。
✓Guests该组的成员拥有一个在登录时创建的临时配置文件,在注销时,此配置文件将被删除。
来宾帐户(默认情况下已禁用)也是该组的默认成员。
✓IIS_IUSRS这是Internet信息服务(IIS)使用的内置组。
✓NetworkConfigurationOperators该组的成员可以更改TCP/IP设置,并且可以更新和发布TCP/IP地址。
该组中没有默认的成员。
✓PerformanceLogUsers该组的成员可以从本地计算机和远程客户端管理性能计数器、日志和警报,而不用成为Administrators组的成员。
没有默认的用户权利
✓PerformanceMonitorUsers该组的成员可以从本地计算机和远程客户端监视性能计数器,而不用成为Administrators组或PerformanceLogUsers组的成员。
✓PowerUsers默认情况下,该组的成员拥有不高于标准用户帐户的用户权利或权限。
在早期版本的Windows中,PowerUsers组专门为用户提供特定的管理员权利和权限执行常见的系统任务。
在此版本Windows中,标准用户帐户具有执行最常见配置任务的能力,例如更改时区。
对于需要与早期版本的Windows相同的PowerUser权利和权限的旧应用程序,管理员可以应用一个安全模板,此模板可以启用PowerUsers组,以假设具有与早期版本的Windows相同的权利和权限。
✓RemoteDesktopUsers该组的成员可以远程登录计算机。
允许通过终端服务登录。
✓Replicator该组支持复制功能。
Replicator组的唯一成员应该是域用户帐户,用于登录域控制器的复制器服务。
不能将实际用户的用户帐户添加到该组中。
✓Users该组的成员可以执行一些常见任务,例如运行应用程序、使用本地和网络打印机以及锁定计算机。
该组的成员无法共享目录或创建本地打印机。
默认情况下,DomainUsers、AuthenticatedUsers以及Interactive组是该组的成员。
因此,在域中创建的任何用户帐户都将成为该组的成员。
♦增加进程工作集
✓提供远程协助帮助程序该组的成员可以向此计算机用户提供远程协助。
1.2.2创建本地组
如果默认本地组不能满足你的授权要求,需要创建新的组。
在控制台树中,右击“组“,单击“新建组”。
在“组名”中,键入新组的名称。
在“描述”框中,键入新组的描述。
若要向新组添加一个或多个成员,请单击“添加”。
在“选择用户、计算机或组”对话框中,执行下列操作:
若要向该组添加用户帐户或组帐户,请在“输入对象名称来选择”下,键入要添加的用户帐户或组帐户的名称,然后单击“确定”。
若要向该组添加计算机帐户,请单击“对象类型”,选中“计算机”复选框,然后单击“确定”。
在“输入对象名称来选择”下,键入要添加的计算机帐户的名称,然后单击“确定”。
在“新建组”对话框中单击“创建”,然后单击“关闭”。
1.2.3管理组的成员
打开服务器管理器,双击组,在组的属性对话框,可以看到该组的成员,点击“添加”,可以添加用户到该组。
选中其中的成员,点击“删除”,可以将用户从该组删除。
1.2.4管理用户所属的组
打开服务器管理器,双击用户帐户,打开用户属性对话框,点击“隶属于”标签。
可以看到用户所属的组。
可以点击“添加”,可以将该用户添加到某个组,选中某个组,点击“删除”,可以将该用户从某个组删除。
1.2.5删除本地组
打开“服务器管理器”
右键单击要删除的组,然后单击“删除”。
✓无法删除系统默认组
✓不能恢复已删除的组。
✓删除某个本地组将仅删除该组。
而不会删除作为该组成员的用户帐户、计算机帐户或组帐户。
✓如果删除某个组,然后用相同的组名创建另一个组,则必须为新组设置新的权限。
新组将不会继承分配给旧组的权限。
1.3管理ServerCore上的账号和组
由于WindowsServerrCore操作系统只有命令行界面,因此用户帐户和组的管理只能在命令行下实现。
也可以在有图形界面的WindowsServer2008的服务器上使用图形化的管理工具管理ServerCore上的账户。
1.3.1ServerCore上使用命令行管理用户和组
用管理员的身份登录到服务器核心。
输入netuser查看服务器上所有账号。
输入netuserzhanga1!
/add添加一个zhang用户密码是a1!
输入netuserzhanga2!
更改用户的密码为a2!
输入netuserzhang查看用户详细信息
输入netuserzhang/del
输入netlocalgroupmanagers/add创建一个组managers
输入netlogcalgroupmanagerszhang/add将zhang用户添加到managers组。
1.3.2使用WindowsServer图形界面管理WindowsServerCore
以下配置将会实现用安装了WindowsServer2008企业版的WebServer管理工具来管理WindowsServerCore。
以管理员的身份登录到WindowsServerCore。
输入ipconfig查看IP地址。
输入netshfirewallsetopmodedisable关闭Windows防火墙。
如果不关闭防火墙可以运行一下命令只打开特定端口:
netshfirewallsetopmodeenable开启防火墙
netshfirewalladdportopeningTCP445Netbios-ds
输入netuseradministratora1!
更改管理员administator的密码和WebServer上计算机上的管理员administrator账号的密码一样,这样在WebServer使用图形界面管理工具连接WindowsServerCore时才能成功。
在安装WindowsServer2008企业版的WebServer上,以管理员administrator密码a1!
登录。
点击“开始”à
“运行”,输入MMC,点击“确定”。
MMC是微软管理控制台,可以将多个管理单元添加到一个管理控制台,使用起来较为方便。
在控制台对话框,点击“文件”à
“添加/删除管理单元”。
在出现的“添加或删除管理单元”对话框,选中“本地用户和组”,点击“添加”。
在出现的“选则目标机器”对话框,选择“另一台计算机”,输入WindowsServerCore计算机的IP地址,点击“完成”,点击“确定”。
现在改管理工具可以管理WindowsServerCore服务器上的用户和组了。
为了以后管理方便,可以将其保存,点击“文件”,输入文件名“ServerCore的用户和组”。
以后点击管理工具就能直接打开这个管理单元。
在MMC同样可以可以添加更多的管理单元。
如下图,添加了管理ServerCore服务器的服务管理单元,可以管理ServerCore上的服务。
1.4用户帐户控制概述
用户帐户控制(UAC)是Microsoft®
Windows
Vista™和Windows
Server®
2008操作系统的一个新安全组件。
UAC使用户可以用非管理员(在此版本的Windows中称为“标准用户”)以及管理员身份执行常见任务,而无需切换用户、注销或使用“以管理员身份运行”命令。
标准用户帐户与MicrosoftWindows®
XP中的用户帐户类似。
作为本地Administrators组成员的用户帐户以标准用户身份运行大多数应用程序。
因为UAC在进行生产时将用户功能和管理员功能分隔开来,所以它是此版本的Windows的一个重要增强功能。
当管理员登录到Windows
Vista或WindowsServer
2008计算机时,将为用户分配两个单独的访问令牌。
Windows使用访问令牌(包含用户的组成员身份、授权数据和访问控制数据)控制用户可以访问的资源和任务。
在先前版本的Windows中,管理员帐户接收的一个访问令牌包含授予用户访问所有Windows资源权限的数据。
此访问控制模型不包含任何故障保险检查,而故障保险检查可以确保用户真正执行需要他(或她)的管理访
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Windows 管理 本地 用户