Windows网络服务器配置与管理案例教程 第4章 本地用户和组的管理.pptVIP

使用本地组所要遵循的准则有： 只在不隶属于域的计算机上设置本地组 本地组可以用来控制对本地计算机上资源的访问并且被用来对本地计算机执行系统任务 本地组的成员身份所要遵循的准则有： 本地组只能包含创建该本地组的计算机上的本地用户账户 本地组不能是其他任何组的成员 只有 Administrators 组或者 Power Users 组的成员才有权创建本地组。 4．4．1 帐户安全常识 1、用户数据库 计算机上所有本地帐户和组的安全信息都存储在用户数据库SAM（Security Accounts Managers，安全帐户管理器）中。SAM数据库的文件位于“%windir%\system32\config\sam”。如果该文件被删除，则本地计算机所有帐户信息都会丢失，Administrator帐户的密码将被置为空。 2、重要的服务器上最好不要安装多系统，以防止从其他系统登录后，删除Sam数据库。 3、在BIOS中禁止从软盘或光盘启动服务器，，以防止从软盘启动，删除Sam数据库。 4、禁用Guest帐户 实验 本地用户和组的管理 * * 第4章本地用户和组的管理 4．1 概述 计算机和网络系统通过帐户把使用者区别和隔离开来，让用户可以定制自己的使用环境；防止用户破坏其他用户的数据等。任何人访问你管理的系统，都应该由你给他们分配唯一的帐户，这可以让你知道谁做了什么事，并且防止破坏其他用户的设置和非法获得其他人的文件等。 一个帐户包括帐户名、密码、权限等信息，这些信息存储在计算机中，是Windows Server 2003网络上的个人唯一标识；系统通过帐户来确认用户的身份，并赋予用户对资源的访问权限。 每一个帐号在创建的时候都有一个Security ID（SID,安全标识符），当用户访问系统的资源时，系统根据其帐户的SID，检查用户具有哪些权利和权限，然后再让用户在其权利和权限范围内进行访问。 Windows不是根据用户名来识别用户的，而是根据这个SID来识别用户的，如果SID不一样，就算用户名等其它设置一模一样，Windows也会认为是不一样的两个帐号。这就像我们的户籍管理，只认你的身份证号是否正确，而不管你的名字是否相同是一个道理的。而且SID是Windows在创建该帐号的时候随机给的，所以说当删除了一个帐号后，即使再次建立一个一模一样的帐号，其SID和原来的那个是不一样，那么他的NTFS权限就必须重新设置。 域用户账户 使用户能够登录到域以访问网络资源 这些用户账户驻留在 Active Directory? 目录服务里 本地用户账户 使用户能够登录到某台计算机并访问该计算机上的资源 账户驻留在计算机的“安全账户管理器” (SAM) 里 内置用户账户 使用户能够执行管理任务或者能临时访问网络资源 本地的 Administrator 和 Guest 用户账户驻留在 SAM 中 域中的 Administrator 和 Guest 用户账户驻留在 Active Directory 里 Administrator 和 Guest 本地帐户又可分为下面两类： 1、系统内置帐户 Administrator（系统管理员）帐户：拥有本地计算机最高的权限，管理整个计算机系统。系统管理员的默认名字是Administrator，要求大家务必牢记。我们可以更改系统管理员的名字，但不能删除该帐户，也不能禁止该帐户登录。 Guest（来宾）帐户：是为临时访问计算机的用户提供的。该帐户自动生成，可以更改名字，但不能被删除，Guest帐户只有很少的权限，而且默认情况下，该帐户被禁止使用。 2、用户建立的帐户 由具有管理员权限的用户建立的，可以登录本地计算机的帐户。我们通常说的帐户管理主要是对这部分帐户的管理。 4．1．1 帐户命名规则 帐户包括用户名和密码，作为管理员，需要给计算机或网络的使用者建立用户帐户。普通用户的用户名应该简单好记、有一定的规律，以方便管理。用户名和密码有如下规则： 1、帐户名的命名规则： 一个系统中，帐户名必须惟一，且不区分大小写。 最多可以有20个字符，由字符和数字组成。输入时可超过20个字符，但只识别前20个字符。 不能使用的保留字符有 ” ^ [ ] : ; | = , + * ? 。 不能与用户组的组名相同。 2、密码命名规则： 为了系统的安全，每个帐户都应该有密码。 密码长度应该在8~128位之间。 建议使用大小写字母、数字和其他合法字符的组合。 密码尽量不要有规律，如不要使用名字、生日、电话号码等。 4．1．2 帐户的类型 Windows Server 2003有两种工作模式，工作组模式和域模式。针对这两种工作模式，也有两种用户身份，本地帐户和域帐户。本章只介绍本地帐户