第二章 Windows Server 2003本地用户和组.pptVIP

* * * * * * * * * * * * * * * 密码安全设置 密码必须符合复杂性要求； 密码长度最小值； 密码使用期限； 强制密码历史； 账户锁定策略 用户权限分配 Windows Server 2003将计算机管理各项任务设定为默认的权限，例如，从本地登录系统、更改系统时间、从网络连接到该计算机、关闭系统等。系统管理员在新增了用户账户和组账户后，如果需要指派这些账户管理计算机的某项任务，可以将这些账户加入到内置组，但这种方式不够灵活。系统管理员可以单独为用户或组指派权限，这种方式提供了更好的灵活性。 用户权限的分配在“本地安全设置”的“本地策略”下设置，如图2.24所示。 用户权限分配 用户权限分配 从网络访问这台计算机是指允许哪些用户及组可以通过网络连接到该计算机，如图2.25所示。默认为Administrators、Backup Operators、Power Users、Users和Everyone组。由于Everyone组允许通过网络连接到此计算机，所以网络中的所有用户，默认都可以访问这台计算机。 用户权限分配 允许本地登录。允许在本地登录原则设置，决定哪些用户可以交互式地登录此计算机，默认为Administrators、Backup Operators、Power Users，如图2.26所示。另一个安全设置是“拒绝本地登录”，默认用户或组为空。同样的，如果某用户既属于“允许在本地登录”又属于“拒绝本地登录”，那么该用户将无法在本地登录计算机。 用户权限分配 关闭系统。关闭系统原则设置，决定哪些本地登录计算机的用户可以关闭操作系统。默认能够关闭系统的是Administrators、Backup Operators和Power Users，如图2.27所示。默认Users组用户可以从本地登录计算机，但是在“关闭系统”成员列表中，所以Users组用户能从本地登录计算机，但是登录后无法关闭计算机。这样可避免普通权限用户误操作导致关闭计算机而影响关键业务系统的正常运行。 习题 2.1 什么是本地用户和本地组？ 2.2 简述本地用户账户和域用户账户的区别。 2.3 什么是本地安全策略？ 2.4 如何设置本地安全策略？ 实训2 实现Windows Server 2003 的用户和组的管理 1 创建本地用户User1、User2和User3。 2 设置密码策略（启用密码复杂性要求、最短密码长度为8等）。 3 更改用户User3的密码。 4 创建MyGroup组。 5 将User1、User2和User3分别归到Administrators、Power Users和MyGroup组。 6 设置MyGroup具有关闭系统、本地登录等本地安全策略权限。 7 测试User3的权限。 * * * * * * * * * * * * * * * * * * * * * * Windows Server 2003本地用户和组 第二章 本章提要 Windows Server 2003的用户账户管理 Windows Server 2003的组账户管理 工作组与域环境 账户是计算机的基本安全对象，Windows Server 2003本地计算机包含了两种账户：用户账户和组账户。本章主要介绍Windows Server 2003的用户账户和组账户的设置和管理，以及在网络环境下选择工作组还是域环境。 章节目录 2.1 本地用户账户 2.2 组账户管理 2.3 设置本地安全策略 2.1 本地用户账户 安装完操作系统并完成操作系统的环境配置后，管理员应规划一个安全的网络环境，为用户提供有效的资源访问服务。Windows Server 2003通过建立账户（包括用户账户和组账户）并赋予账户合适的权限来保证使用网络和计算机资源的合法性，以确保数据访问、存储和交换服从安全需要。保证Windows Server 2003安全性的主要方法有以下4点： （1）严格定义各种账户权限，阻止用户可能进行具有危害性的网络操作； （2）使用组规划用户权限，简化账户权限的管理； （3）禁止非法计算机连入网络； （4）应用本地安全策略和组策略制定更详细的安全规则。 2.1.1 用户账户概述 用户账户是计算机的基本安全组件，计算机通过用户账户来辨别用户身份，让有使用权限的人登录计算机，访问本地计算机资源或从网络访问这台计算机的共享资源。指派不同用户不同的权限，可以让用户执行不同的计算机管理任务。所以每台运行Windows Server 2003的计算机，都需要用户账户才能登录计算机。 Windows Server 2003支持两种用户账户：域账户和本地账户。域账户可以登录到域上，并获得访问该网络的权限；本地账户则只能登录到一