用戶賬戶與組的管理

1、第5章 用戶賬戶與組的管理,用戶賬戶與組的管理,一、 管理本地用戶(lusrmgr.msc,賬戶 賬戶是計算機的基本安全對象，Windows Server 2003包含了兩種賬戶：用戶賬戶和組賬戶,保證Windows 安全性的主要方法有以下4點： 嚴(yán)格定義各種賬戶權(quán)限； 使用組規(guī)劃用戶權(quán)限，簡化賬戶權(quán)限的管理； 禁止非法計算機連入網(wǎng)絡(luò)； 應(yīng)用本地安全策略和組策略,用戶賬戶與組的管理,管理本地用戶,用戶賬戶是計算機的基本安全組件，計算機通過用戶賬戶來辨別用戶身份，讓有使用權(quán)限的人登錄計算機，訪問本地計算機資源或從網(wǎng)絡(luò)訪問這臺計算機的共享資源。指派不同用戶不同的權(quán)限，可以讓用戶執(zhí)行不同的計算機管理

2、任務(wù),1.1 用戶賬戶的概述,5.1 管理本地用戶,本地用戶賬戶僅允許用戶登錄訪問創(chuàng)建該賬戶計算機,5.1.2 本地用戶賬戶,Windows Server 2003默認只有： （1）Administrator賬戶（2）Guest賬戶 Administrator賬戶可以執(zhí)行計算機管理的所有操作；而Guest賬戶是為臨時訪問用戶而設(shè)置的，默認是禁用的,5.1 管理本地用戶,系統(tǒng)指派權(quán)利、授權(quán)資源訪問權(quán)限等都需要使用安全標(biāo)識符。當(dāng)刪除一個用戶賬戶后，重新創(chuàng)建名稱相同的賬戶并不能獲得先前賬戶的權(quán)利。用戶登錄后，可以在命令提示符狀態(tài)下輸入“whoami/logonid”命令查詢當(dāng)前用戶賬戶的安全標(biāo)識符,

3、5.1.2 本地用戶賬戶,5.1 管理本地用戶,遵循以下的規(guī)則和約定可以簡化賬戶創(chuàng)建后的管理工作,5.1.3 本地用戶賬戶的創(chuàng)建,規(guī)劃新的用戶賬戶,1）命名約定,2）密碼原則,5.1 管理本地用戶,創(chuàng)建的步驟如下: （1）打開“開始”“管理工具”“計算機管理”。 （2）展開“本地用戶和組”，在“用戶”目錄上單擊鼠標(biāo)右鍵，選擇“新用戶”命令,5.1.3 本地用戶賬戶的創(chuàng)建,2.創(chuàng)建本地用戶賬戶,3）打開 “新用戶” 對話框后，輸入用戶名、全名和描述，并且輸入密碼,5.1 管理本地用戶,5.1.3 本地用戶賬戶的創(chuàng)建,2.創(chuàng)建本地用戶賬戶,5.1 管理本地用戶,2“隸屬于”選項卡,常規(guī)”選項卡,5

4、.1.4 設(shè)置本地用戶賬戶的屬性,3“配置文件”選項卡,1）用戶配置文件。用戶配置文件有以下幾種類型： 默認用戶配置文件,5.1 管理本地用戶,2）用戶主文件夾,5.1.4 設(shè)置本地用戶賬戶的屬性,強制用戶配置文件。 “Ntuser.dat”改成“Ntuser.man,3）登錄腳本。%SystemRoot%System32ReplImportScripts,本地用戶配置文件。 漫游用戶配置文件,5.1 管理本地用戶,5.1.4 設(shè)置本地用戶賬戶的屬性,5.1 管理本地用戶,5.1.4 設(shè)置本地用戶賬戶的屬性,5.1 管理本地用戶,當(dāng)用戶不再需要使用某個用戶賬戶時，可以將其刪除。刪除用戶賬戶會導(dǎo)

5、致與該賬戶有關(guān)的所有信息的遺失,5.1.5 刪除本地用戶賬戶,一旦用戶賬戶被刪除,這些信息也就跟著消失了。重新創(chuàng)建一個名稱相同的用戶賬戶，也不能獲得原先用戶賬戶的權(quán)限,5.1 管理本地用戶,用命令行方式創(chuàng)建一個新用戶： net user username password /add,5.1.6 使用命令行創(chuàng)建用戶,用命令行方式修改密碼： net user username password,5.2 管理本地組,5.2.1 本地組概述,常用的默認組包括： Administrators,Backup Operators Guests,Power Users,Print Operators Remo

6、te Desktop Users Users,第5章 用戶賬戶與組的管理,以下幾種特殊組： Anonymous Logon,5.2 管理本地用戶,5.2.1 本地組概述,Anonymous Logon Everyone Network,Network組的成員： Interactive,1.Windows方式 打開“計算機管理”管理單元。右擊“組”文件夾，從快捷菜單中選擇“新建組”。在“新建組”對話框中，輸入組名和描述，然后單擊“添加”向組中添加成員,5.2 管理本地用戶,5.2.2 創(chuàng)建本地組,2.命令方式創(chuàng)建一個組,命令格式為： net localgroup groupname /add,5

7、.2 管理本地用戶,5.2.2 創(chuàng)建本地組,1.Windows操作： 1.右擊“我的電腦”，選擇“管理”，打開“計算機管理”管理單元,5.2 管理本地用戶,5.2.3 為本地組添加成員,2.在左窗格中展開“本地用戶和組”對象;選擇“組”對象，顯示本地組。 3.雙擊要添加成員的組,打開組的“屬性”對話框。 4.單擊“添加”按鈕，選擇要加入的用戶即可。,2.使用命令行的話，可以使用命令： net localgroup groupname username /add,本地用戶賬戶DEMO,1）DEMO利用注冊表（SAM） A：克隆管理員用戶 B: 隱藏賬戶,第5章 用戶賬戶與組的管理,分類： （1）

8、用戶賬戶 提供對資源的訪問和單點登錄 （2）組賬戶 幫助簡化管理 （3）計算機賬戶 啟用對資源的驗證和審核,5.3管理域用戶和組,1. 域用戶賬戶 安裝完活動目錄，就已經(jīng)添加了一些內(nèi)置域賬戶，它們位于Users容器中，如： Administrator 、 Guest Administrator賬戶是以下組的成員： Administrators、Domain Admins、Enterprise Admins、Group Policy Creator Owners和Schema Admins,5.3 管理域用戶和組,5.3.1 管理域用戶和計算機賬戶,域用戶賬號,域用戶賬戶用來使用戶能夠登錄到域或

9、其他計算機中，從而獲得對網(wǎng)絡(luò)資源的訪問權(quán)。經(jīng)常訪問網(wǎng)絡(luò)的用戶都應(yīng)擁有網(wǎng)絡(luò)惟一的用戶賬戶。如果網(wǎng)絡(luò)中有多個域控制器，可以在任何域控制器上創(chuàng)建新的用戶賬戶，因為這些域控制器都是對等的。當(dāng)在一個域控制器上創(chuàng)建新的用戶賬戶時，這個域控制器會把信息復(fù)制到其他域控制器，從而確保該用戶可以登錄并訪問任何一個域控制器,內(nèi)置用戶賬號,Windows Server 2003自動創(chuàng)建若干個用戶賬號，并且賦予了相應(yīng)的權(quán)限，稱為內(nèi)置賬號。內(nèi)置用戶賬號不允許被刪除。 最常用的兩個內(nèi)置賬號是Administrator和Guest。 使用內(nèi)置Administrator（管理員）賬號管理計算機和域配置 。 Guest（來客）賬

10、號一般被用于在域中或計算機中沒有固定賬號的用戶臨時訪問域或計算機時使用的,創(chuàng)建域用戶賬號,管理工具”“Active Directory用戶和計算機,新建對象用戶,輸入密碼,強密碼的特征,長度至少有7個字符。 不包含用戶名、真實姓名或公司名稱。 不包含完整的字典詞匯。 包含全部下列4組字符類型：大寫字母（A、B、C）、小寫字母（a、b、c）、數(shù)字（0、l、2、3、4、5、6、7、8、9）、鍵盤上的符號（鍵盤上所有未定義為字母和數(shù)字的字符，如!#$%,.）。 賬戶已禁用。防止用戶使用選定的賬戶登錄，當(dāng)用戶暫時離開企業(yè)時，可以使用該選項，以便日后迅速啟用。也可以禁用一個可能有威脅的賬戶，當(dāng)排除問題之

11、后，再重新啟用該賬戶。許多管理員將禁用的賬戶用做公用用戶賬戶的模板。以后擬再使用該賬戶時，可以在該賬戶上右擊，并在彈出的快捷菜單中選擇“啟用賬戶”選項即可,密碼策略,用戶何時需要重置密碼 忘記密碼時； 重置密碼后，用戶將不能訪問某些資源：使用用戶公鑰加密的EMAIL 本地保存的IE密碼 用戶加密的文件,設(shè)置用戶賬號屬性,1.設(shè)置個人屬性常規(guī)、地址選項卡,設(shè)置個人屬性電話、單位選項卡,2. 設(shè)置賬號屬性,3.設(shè)置登錄時間,4. 設(shè)置用戶可登錄的計算機,維護用戶賬號,1. 禁用、啟用、重命名和刪除用戶賬號,2. 重設(shè)密碼,5.3 管理域用戶和組,5.3.2 組對象的管理 組的種類及作用域 1. 組

12、的種類 組在Windows Server 2003中分為安全組和通信組。 1）安全組 安全組列在定義資源和對象權(quán)限的選擇性訪問控制表（DACL）中，它將用戶、計算機和其他組對象作為一個可管理的單位。 2）通信組 通信組不列在定義資源和對象權(quán)限的選擇性訪問控制表（DACL）中，它不采用安全機制,5.3.2 組對象的管理,2. 組的作用域 組在域樹或域林中的應(yīng)用范圍稱為組的作用域，它有三種類型： 1）通用組 有通用作用域的組稱為通用組。 2）全局組 有全局作用域的組稱為全局組。 3）本地組 有本地作用域的組稱為本地組,1. 創(chuàng)建組 （1）打開“Active Directory用戶和計算機”管理工具

13、，選擇要新建的組所屬的域、容器或組織單位。以在“Users”中創(chuàng)建組為例，用右鍵單擊“Users”，選擇“新建”，再單擊“組” 。 （2）這時系統(tǒng)彈出“新建對象組”窗口。輸入組名，并根據(jù)需要選擇組作用域和組類型。 （3）按“確定”按鈕，完成組的創(chuàng)建，便可在“Active Directory用戶和計算機”管理工具中看見我們新創(chuàng)建的組,用戶組的創(chuàng)建與管理,創(chuàng)建組,2. 設(shè)置組 可以對剛才創(chuàng)建的組進行移動該組到其他容器、向全組發(fā)送郵件、刪除、重命名等操作，如圖所示,用戶組的創(chuàng)建與管理,1）設(shè)置組成員 選擇“屬性”，系統(tǒng)彈出“Check屬性”窗口，再選擇“成員”選項卡，如圖所示,用戶組的創(chuàng)建與管理,2

14、）設(shè)置組隸屬于 選擇“屬性”，系統(tǒng)彈出“Check屬性”窗口，再選擇“隸屬于”選項卡，如圖所示。選擇該組所屬的其他安全組，該設(shè)置可確定該組的權(quán)限,用戶組的創(chuàng)建與管理,3）移動組 選擇“移動”，系統(tǒng)會出現(xiàn)如圖所示窗口。再選擇要移入的容器，最后按“確定”按鈕便可完成移動,用戶組的創(chuàng)建與管理,5.3.3 計算機賬戶的管理 在域中創(chuàng)建計算機賬戶 在域中每臺計算機的賬戶都是惟一的，可以通過“Active Directory用戶和計算機”管理工具來創(chuàng)建計算機用戶 （1）打開“Active Directory用戶和計算機”管理工具，用右鍵單擊窗口右邊的“Computer”（也可以選擇其他容器）進行添加計算機賬戶，單擊“計算機”，彈出一個“新建對象計算機”窗口,5.3 管理域用戶和組,5.3.3 計算機賬戶的管理,2）在窗口中填入該域的計算機名，所輸入的計算機名必須在客戶機中存在。按“下一步”按鈕，系統(tǒng)會彈出一個“管理”窗口。 （3）按“下一步”按鈕，出現(xiàn)提示此計算機對象將被創(chuàng)建窗口。 （4）按“完成”按鈕，“Computer”容器便會顯示剛剛新建的計算機對象，表示已經(jīng)完成該計算機賬戶的創(chuàng)建,5.3.2 計算機賬戶屬性的設(shè)置 （1）用右鍵單擊剛才所新建的計算機賬戶，選擇“屬性”。 （2）在計算機賬戶屬性窗口中可以分別對