第2章 本地用户和组.ppt

企业需求 公司有100个员工，每个人工作内容不同。然而他们中有些人有相同的权限。 需要为每个人创建不同的帐号 还需要把有类似功能的用户放在一个组中 每个用户有自己的特定信息，需要可以自己设置密码 组的概念 本地组：创建在本地的组账户。本地组的账户只能在本地机使用。本地组有两种类型：用户创建的组和系统内置的组。 实训2 实现Windows Server 2008 的用户和组的管理 2.1 创建本地用户User1、User2和User3。 2.2 设置密码策略（启用密码复杂性要求、最短密码长度为8等）。 2.3 更改用户User3的密码。 2.4 创建MyGroup组。 2.5 将User1、User2和User3分别归到Administrators、Power Users和MyGroup组。 2.6 设置MyGroup具有关闭系统、本地登录等本地安全策略权限。 2.7 测试User3的权限。 * * * 第2章 用户和组管理 【本章提要】 Windows Server 2008的用户账户管理 Windows Server 2008的组账户管理 工作组与域环境 账户是计算机的基本安全对象，Windows Server 2008本地计算机包含了两种账户：用户账户和组账户。本章主要介绍Windows Server 2008的用户账户和组账户的设置和管理，以及在网络环境下选择工作组还是域环境。 2.1 本地用户账户 保证Windows Server 2008安全性的主要方法有以下4点： （1）严格定义各种账户权限，阻止用户可能进行具有危害性的网络操作； （2）使用组规划用户权限，简化账户权限的管理； （3）禁止非法计算机连入网络； （4）应用本地安全策略和组策略制定更详细的安全规则。 2.1.1 用户账户的概述 用户账户是计算机的基本安全组件，计算机通过用户账户来辨别用户身份，让有使用权限的人登录计算机，访问本地计算机资源或从网络访问这台计算机的共享资源。 Windows Server 2008支持两种用户账户：域账户和本地账户。域账户可以登录到域上，并获得访问该网络的权限；本地账户则只能登录到一台特定的计算机上，并访问该计算机上的资源。Windows Server 2008还提供内置用户账户，它用于执行特定的管理任务或使用户能够访问网络资源。 2.1.1 用户账户的概述（续） 本地用户账户仅允许用户登录并访问创建该账户的计算机。当创建本地用户账户时，Windows Server 2008仅在计算机位于%Systemroot%\system32\config文件夹下的安全数据库（SAM）中创建该账户。 Windows Server 2008默认只有Administrator账户和Guest账户。Administrator账户可以执行计算机管理的所有操作；而Guest账户是为临时访问计算机的用户而设置的，但默认是禁用的。 2.1.1 用户账户的概述（续） 用户登录后，可以在命令提示符状态下输入“whoami /logonid”命令查询当前用户账户的安全标识符，如图2.1所示。 图2.1 查询当前账户的SID 系统的内置账户Administrator和Guest简单介绍 Administrator：使用内置Administrator账户可以对整台计算机或域配置进行管理，如创建修改用户账户和组、管理安全策略、创建打印机、分配允许用户访问资源的权限等。作为管理员，应该创建一个普通用户账户，在执行非管理任务时使用该用户账户，仅在执行管理任务时才使用Administrator账户。Administrator账户可以更名，但不可以删除。 Guest：一般的临时用户可以使用内置Guest账户进行登录并访问资源。在默认情况下，为了保证系统的安全，Guest账户是禁用的，但在安全性要求不高的网络环境中，可以使用该账户，且通常分配给它一个口令。 2.1.2 用户账户的创建 1．规划新的用户账户 遵循以下的规则和约定可以简化账户创建后的管理工作： （1）命名约定。 ① 账户名必须唯一：本地账户必须在本地计算机上唯一。 ② 账户名不能包含以下字符：* / \ [ ] : : | = ， + / “。 ③ 账户名最长不能超过20个字符。 2.1.2 用户账户的创建（续） （2）密码原则 ① 一定要给Administrator账户指定一个复杂密码，以防止他人随便使用该账户。 ② 确定是管理员还是用户拥有密码的控制权。用户可以给每个用户账户指定一个唯一的密码，并防止他用户对其进行更改，也可以允许用户在第一次登录时输入自己的密码。一般情况下，用户应该可以控制自己的密码。 ③ 密码不能太简单，应该不容易让他人猜出。