3、本地用户和组.docxVIP

本地用户帐号（提升为域时，本地账户会提升为域用户）(存储在本地计算机上,允许用户在特定的计算机登录并访问资源)域用户帐号(存储在活动目录中允许用户登录域并访问网络资源)内置用户帐号（可以重命名，不能删除）允许用户使用管理工具或临时访问网络资源存储在SAM (本地内置用户帐号)存储在 Active Directory中 (域内置用户帐号)对SAM数据库进行加密，防止远程破解SAM数据库：选择密码启动会在系统启动时要求输入密码，选择启动密钥则不是交互式的，在后台进行。创建用户帐号指导命名指导（用户名不能与被管理的计算机上任何其他用户名或组名相同）用户登录名:可以包含最多20个字符可以包含专用字符和字母数字字符的组合命名约定应该:处理重复的雇员名称标识出临时雇员密码操作指导为Administrator帐号指定强密码建议重命名或禁用administrator帐号决定由谁控制密码告诉用户如何使用密码小技巧：实习员工（设置用户不能更改密码，密码永不过期）（情形：实习员工三个月后走，还修改了密码）密码不应包括下列任何一项：全部或部分用户帐户名用户名或电子邮件别名用户的儿女、父母、配偶/伴侣或朋友的名字任何字典中找得到的字通过追加数字重复使用的旧密码用户的出生日期用户的手机号码用户的社会保障号或其他 ID 号任何能轻易获得的个人信息（例如：出生城市）弱密码：根本没有密码包含用户名、真实姓名或公司名称包含完整的字典词汇例如，Password 就属于弱密码复杂性密码：必须符合以下最低要求：不包含全部或部分的用户帐户名 长度至少为六个字符 包含来自以下四个类别中的三个的字符：英文大写字母（从 A 到 Z） 英文小写字母（从 a 到 z） 10 个基本数字（从 0 到 9） 非字母字符（例如，!、$、#、%）强密码：长度至少为七个字符不包含用户名、真实姓名或公司名称不是完整的字典中的词汇与先前的密码大不相同。递增密码（Password1、Password2、Password3 ...）不能算作强密码包含全部下列四组字符类型：英文大写字母（从 A 到 Z） 英文小写字母（从 a 到 z） 10 个基本数字（从 0 到 9） 非字母字符（例如，!、$、#、%）创建密码重设盘（忘记密码，修改新密码，可以从 移动硬盘，U盘，软盘...恢复，只需要做一次，改完密码下一次还可以使用）使用密码重设盘：管理网络密码（Windows可以存储服务器、网站和程序的登录凭据。当重新访问其中任何一个地方时，Windows将尝试让您自动登录，而不用再输入用户名和密码)组的介绍（用组的目的是为了简化授权）组是一个用户帐号的集合，可以利用组对用户帐号进行组织，从而一次授予他们共享资源的权力和权限，不必再针对每一个组中的用户帐号进行授权当你把一个用户帐号加入到一个组中的时候，也就是将你授予该组的所有权力和权限给了该用户一个用户可以成为多个组的成员。组可以被理解为只是一个成员列表好处：不用多次操作才能对多个用户进行权限的设置。减少产生磁盘碎片（不用在资源进行修改）本地组最好策略（Agp，A(账户)-g（组）-p（权限））：账户加入到组里，对组进行授权权利和权限权利（登陆上来以后可以执行的任务）用户执行特定任务的权利，通常会影响整个计算机系统，而不只是某个对象。特权作为计算机安全设置的一部分由管理员指派给单个用户或组。如：登录系统、关机、修改系统时间和日期(secpol.msc)权限（对资源访问的深度，相对资源来讲的）与对象关联的规则，用来控制谁可以访问对象及访问的方式如何。权限由对象的所有者授予或拒绝。如：文件修改，文件夹写入内置本地组:内置本地组:成员有执行系统任务的权力特殊身份 (特殊组):针对系统用途自动组织用户自动成为成员，管理员不能修改删除组不能恢复已删除的组删除某个本地组将仅删除该组。而不会删除作为该组成员的用户帐户、计算机帐户或组帐户如果删除某个组，然后用相同的组名创建另一个组，则必须为新组设置新的权限。新组将不会继承分配给旧组的权限无法删除默认组用户账户控制概述（防止木马病毒）UAC使用户可以非管理员以及管理员身份执行常见任务，而无须切换用户、注销或使用“以管理员身份运行”命令。“以管理员身份运行”命令本地用户和组最佳实践作为安全性的最佳实践，建议不要使用管理凭据登录到计算机。未使用管理凭据登录到计算机时，可以使用“以管理员身份运行”来完成比标准用户更高级别权限的任务。若要进一步保护本地计算机，建议遵循下列安全指南：限制Administrator组中的用户数量。禁用Guest帐户。禁用Administrator帐户。分配给特定默认本地组的某些默认用户权限可能允许这些组的成员获得计算机的额外权限，包括管理权限。因此必须信任属于Administrators和Backup O