用戶(hù)賬戶(hù)與組的管理

第一頁(yè)，共五十頁(yè)，2022年，8月28日一、管理本地用戶(hù)(lusrmgr.msc)賬戶(hù)賬戶(hù)是計(jì)算機(jī)的基本安全對(duì)象，WindowsServer2003包含了兩種賬戶(hù)：用戶(hù)賬戶(hù)和組賬戶(hù)。保證Windows安全性的主要方法有以下4點(diǎn)：

嚴(yán)格定義各種賬戶(hù)權(quán)限；使用組規(guī)劃用戶(hù)權(quán)限，簡(jiǎn)化賬戶(hù)權(quán)限的管理；禁止非法計(jì)算機(jī)連入網(wǎng)絡(luò)；應(yīng)用本地安全策略和組策略。

用戶(hù)賬戶(hù)與組的管理第二頁(yè)，共五十頁(yè)，2022年，8月28日管理本地用戶(hù)用戶(hù)賬戶(hù)是計(jì)算機(jī)的基本安全組件，計(jì)算機(jī)通過(guò)用戶(hù)賬戶(hù)來(lái)辨別用戶(hù)身份，讓有使用權(quán)限的人登錄計(jì)算機(jī)，訪(fǎng)問(wèn)本地計(jì)算機(jī)資源或從網(wǎng)絡(luò)訪(fǎng)問(wèn)這臺(tái)計(jì)算機(jī)的共享資源。指派不同用戶(hù)不同的權(quán)限，可以讓用戶(hù)執(zhí)行不同的計(jì)算機(jī)管理任務(wù)。1.1用戶(hù)賬戶(hù)的概述第三頁(yè)，共五十頁(yè)，2022年，8月28日5.1管理本地用戶(hù)本地用戶(hù)賬戶(hù)僅允許用戶(hù)登錄訪(fǎng)問(wèn)創(chuàng)建該賬戶(hù)計(jì)算機(jī)。5.1.2本地用戶(hù)賬戶(hù)WindowsServer2003默認(rèn)只有：（1）Administrator賬戶(hù)

（2）Guest賬戶(hù)Administrator賬戶(hù)可以執(zhí)行計(jì)算機(jī)管理的所有操作；而Guest賬戶(hù)是為臨時(shí)訪(fǎng)問(wèn)用戶(hù)而設(shè)置的，默認(rèn)是禁用的。第四頁(yè)，共五十頁(yè)，2022年，8月28日5.1管理本地用戶(hù)系統(tǒng)指派權(quán)利、授權(quán)資源訪(fǎng)問(wèn)權(quán)限等都需要使用安全標(biāo)識(shí)符。當(dāng)刪除一個(gè)用戶(hù)賬戶(hù)后，重新創(chuàng)建名稱(chēng)相同的賬戶(hù)并不能獲得先前賬戶(hù)的權(quán)利。用戶(hù)登錄后，可以在命令提示符狀態(tài)下輸入“whoami/logonid”命令查詢(xún)當(dāng)前用戶(hù)賬戶(hù)的安全標(biāo)識(shí)符。5.1.2本地用戶(hù)賬戶(hù)第五頁(yè)，共五十頁(yè)，2022年，8月28日5.1管理本地用戶(hù)遵循以下的規(guī)則和約定可以簡(jiǎn)化賬戶(hù)創(chuàng)建后的管理工作：5.1.3本地用戶(hù)賬戶(hù)的創(chuàng)建規(guī)劃新的用戶(hù)賬戶(hù)

（1）命名約定

（2）密碼原則第六頁(yè)，共五十頁(yè)，2022年，8月28日5.1管理本地用戶(hù)創(chuàng)建的步驟如下:（1）打開(kāi)“開(kāi)始”→“管理工具”→“計(jì)算機(jī)管理”。（2）展開(kāi)“本地用戶(hù)和組”，在“用戶(hù)”目錄上單擊鼠標(biāo)右鍵，選擇“新用戶(hù)”命令。5.1.3本地用戶(hù)賬戶(hù)的創(chuàng)建2.創(chuàng)建本地用戶(hù)賬戶(hù)（3）打開(kāi)“新用戶(hù)”對(duì)話(huà)框后，輸入用戶(hù)名、全名和描述，并且輸入密碼。第七頁(yè)，共五十頁(yè)，2022年，8月28日5.1管理本地用戶(hù)5.1.3本地用戶(hù)賬戶(hù)的創(chuàng)建2.創(chuàng)建本地用戶(hù)賬戶(hù)第八頁(yè)，共五十頁(yè)，2022年，8月28日5.1管理本地用戶(hù)2．“隸屬于”選項(xiàng)卡“常規(guī)”選項(xiàng)卡5.1.4設(shè)置本地用戶(hù)賬戶(hù)的屬性3．“配置文件”選項(xiàng)卡（1）用戶(hù)配置文件。用戶(hù)配置文件有以下幾種類(lèi)型：①默認(rèn)用戶(hù)配置文件。第九頁(yè)，共五十頁(yè)，2022年，8月28日5.1管理本地用戶(hù)（2）用戶(hù)主文件夾。5.1.4設(shè)置本地用戶(hù)賬戶(hù)的屬性④強(qiáng)制用戶(hù)配置文件。“Ntuser.dat”改成“Ntuser.man”

（3）登錄腳本。%SystemRoot%\System32\Repl\Import\Scripts

②本地用戶(hù)配置文件。③漫游用戶(hù)配置文件。第十頁(yè)，共五十頁(yè)，2022年，8月28日5.1管理本地用戶(hù)5.1.4設(shè)置本地用戶(hù)賬戶(hù)的屬性第十一頁(yè)，共五十頁(yè)，2022年，8月28日5.1管理本地用戶(hù)5.1.4設(shè)置本地用戶(hù)賬戶(hù)的屬性第十二頁(yè)，共五十頁(yè)，2022年，8月28日5.1管理本地用戶(hù)當(dāng)用戶(hù)不再需要使用某個(gè)用戶(hù)賬戶(hù)時(shí)，可以將其刪除。刪除用戶(hù)賬戶(hù)會(huì)導(dǎo)致與該賬戶(hù)有關(guān)的所有信息的遺失。5.1.5刪除本地用戶(hù)賬戶(hù)一旦用戶(hù)賬戶(hù)被刪除,這些信息也就跟著消失了。重新創(chuàng)建一個(gè)名稱(chēng)相同的用戶(hù)賬戶(hù)，也不能獲得原先用戶(hù)賬戶(hù)的權(quán)限。第十三頁(yè)，共五十頁(yè)，2022年，8月28日5.1管理本地用戶(hù)用命令行方式創(chuàng)建一個(gè)新用戶(hù)：netuserusernamepassword/add

5.1.6使用命令行創(chuàng)建用戶(hù)用命令行方式修改密碼：netuserusernamepassword

第十四頁(yè)，共五十頁(yè)，2022年，8月28日5.2管理本地組5.2.1本地組概述常用的默認(rèn)組包括：﹡Administrators﹡BackupOperators﹡Guests﹡PowerUsers﹡PrintOperators﹡RemoteDesktopUsers﹡Users第5章用戶(hù)賬戶(hù)與組的管理第十五頁(yè)，共五十頁(yè)，2022年，8月28日以下幾種特殊組：﹡AnonymousLogon5.2管理本地用戶(hù)5.2.1本地組概述﹡AnonymousLogon﹡Everyone﹡NetworkNetwork組的成員：﹡Interactive第十六頁(yè)，共五十頁(yè)，2022年，8月28日1.Windows方式打開(kāi)“計(jì)算機(jī)管理”管理單元。右擊“組”文件夾，從快捷菜單中選擇“新建組”。在“新建組”對(duì)話(huà)框中，輸入組名和描述，然后單擊“添加”向組中添加成員。5.2管理本地用戶(hù)5.2.2創(chuàng)建本地組2.命令方式創(chuàng)建一個(gè)組,命令格式為：netlocalgroupgroupname/add第十七頁(yè)，共五十頁(yè)，2022年，8月28日5.2管理本地用戶(hù)5.2.2創(chuàng)建本地組第十八頁(yè)，共五十頁(yè)，2022年，8月28日1.Windows操作：1.右擊“我的電腦”，選擇“管理”，打開(kāi)“計(jì)算機(jī)管理”管理單元。5.2管理本地用戶(hù)5.2.3為本地組添加成員2. 在左窗格中展開(kāi)“本地用戶(hù)和組”對(duì)象;選擇“組”對(duì)象，顯示本地組。3.雙擊要添加成員的組,打開(kāi)組的“屬性”對(duì)話(huà)框。4.單擊“添加”按鈕，選擇要加入的用戶(hù)即可。、2.使用命令行的話(huà)，可以使用命令：netlocalgroupgroupnameusername/add第十九頁(yè)，共五十頁(yè)，2022年，8月28日本地用戶(hù)賬戶(hù)DEMO（1）DEMO利用注冊(cè)表（SAM）

A：克隆管理員用戶(hù)

B:隱藏賬戶(hù)

第二十頁(yè)，共五十頁(yè)，2022年，8月28日第5章用戶(hù)賬戶(hù)與組的管理分類(lèi)：

（1）用戶(hù)賬戶(hù)提供對(duì)資源的訪(fǎng)問(wèn)和單點(diǎn)登錄（2）組賬戶(hù)幫助簡(jiǎn)化管理（3）計(jì)算機(jī)賬戶(hù)啟用對(duì)資源的驗(yàn)證和審核5.3管理域用戶(hù)和組第二十一頁(yè)，共五十頁(yè)，2022年，8月28日1.域用戶(hù)賬戶(hù)安裝完活動(dòng)目錄，就已經(jīng)添加了一些內(nèi)置域賬戶(hù)，它們位于Users容器中，如：Administrator、GuestAdministrator賬戶(hù)是以下組的成員：Administrators、DomainAdmins、EnterpriseAdmins、GroupPolicyCreatorOwners和SchemaAdmins

5.3管理域用戶(hù)和組

5.3.1管理域用戶(hù)和計(jì)算機(jī)賬戶(hù)第二十二頁(yè)，共五十頁(yè)，2022年，8月28日域用戶(hù)賬號(hào)域用戶(hù)賬戶(hù)用來(lái)使用戶(hù)能夠登錄到域或其他計(jì)算機(jī)中，從而獲得對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)權(quán)。經(jīng)常訪(fǎng)問(wèn)網(wǎng)絡(luò)的用戶(hù)都應(yīng)擁有網(wǎng)絡(luò)惟一的用戶(hù)賬戶(hù)。如果網(wǎng)絡(luò)中有多個(gè)域控制器，可以在任何域控制器上創(chuàng)建新的用戶(hù)賬戶(hù)，因?yàn)檫@些域控制器都是對(duì)等的。當(dāng)在一個(gè)域控制器上創(chuàng)建新的用戶(hù)賬戶(hù)時(shí)，這個(gè)域控制器會(huì)把信息復(fù)制到其他域控制器，從而確保該用戶(hù)可以登錄并訪(fǎng)問(wèn)任何一個(gè)域控制器。第二十三頁(yè)，共五十頁(yè)，2022年，8月28日內(nèi)置用戶(hù)賬號(hào)WindowsServer2003自動(dòng)創(chuàng)建若干個(gè)用戶(hù)賬號(hào)，并且賦予了相應(yīng)的權(quán)限，稱(chēng)為內(nèi)置賬號(hào)。內(nèi)置用戶(hù)賬號(hào)不允許被刪除。最常用的兩個(gè)內(nèi)置賬號(hào)是Administrator和Guest。使用內(nèi)置Administrator（管理員）賬號(hào)管理計(jì)算機(jī)和域配置。Guest（來(lái)客）賬號(hào)一般被用于在域中或計(jì)算機(jī)中沒(méi)有固定賬號(hào)的用戶(hù)臨時(shí)訪(fǎng)問(wèn)域或計(jì)算機(jī)時(shí)使用的。第二十四頁(yè)，共五十頁(yè)，2022年，8月28日創(chuàng)建域用戶(hù)賬號(hào)“管理工具”——“ActiveDirectory用戶(hù)和計(jì)算機(jī)”第二十五頁(yè)，共五十頁(yè)，2022年，8月28日新建對(duì)象——用戶(hù)第二十六頁(yè)，共五十頁(yè)，2022年，8月28日輸入密碼

第二十七頁(yè)，共五十頁(yè)，2022年，8月28日強(qiáng)密碼的特征長(zhǎng)度至少有7個(gè)字符。不包含用戶(hù)名、真實(shí)姓名或公司名稱(chēng)。不包含完整的字典詞匯。包含全部下列4組字符類(lèi)型：大寫(xiě)字母（A、B、C．．．）、小寫(xiě)字母（a、b、c．．．）、數(shù)字（0、l、2、3、4、5、6、7、8、9）、鍵盤(pán)上的符號(hào)（鍵盤(pán)上所有未定義為字母和數(shù)字的字符，如`～!@#$%^&（）*_+-{}[]|\/?:”;’<>,.）。賬戶(hù)已禁用。防止用戶(hù)使用選定的賬戶(hù)登錄，當(dāng)用戶(hù)暫時(shí)離開(kāi)企業(yè)時(shí)，可以使用該選項(xiàng)，以便日后迅速啟用。也可以禁用一個(gè)可能有威脅的賬戶(hù)，當(dāng)排除問(wèn)題之后，再重新啟用該賬戶(hù)。許多管理員將禁用的賬戶(hù)用做公用用戶(hù)賬戶(hù)的模板。以后擬再使用該賬戶(hù)時(shí)，可以在該賬戶(hù)上右擊，并在彈出的快捷菜單中選擇“啟用賬戶(hù)”選項(xiàng)即可。第二十八頁(yè)，共五十頁(yè)，2022年，8月28日密碼策略用戶(hù)何時(shí)需要重置密碼忘記密碼時(shí)；重置密碼后，用戶(hù)將不能訪(fǎng)問(wèn)某些資源：使用用戶(hù)公鑰加密的EMAIL

本地保存的IE密碼用戶(hù)加密的文件第二十九頁(yè)，共五十頁(yè)，2022年，8月28日設(shè)置用戶(hù)賬號(hào)屬性第三十頁(yè)，共五十頁(yè)，2022年，8月28日1.設(shè)置個(gè)人屬性——常規(guī)、地址選項(xiàng)卡第三十一頁(yè)，共五十頁(yè)，2022年，8月28日設(shè)置個(gè)人屬性——電話(huà)、單位選項(xiàng)卡第三十二頁(yè)，共五十頁(yè)，2022年，8月28日2.設(shè)置賬號(hào)屬性

第三十三頁(yè)，共五十頁(yè)，2022年，8月28日3.設(shè)置登錄時(shí)間第三十四頁(yè)，共五十頁(yè)，2022年，8月28日4.設(shè)置用戶(hù)可登錄的計(jì)算機(jī)

第三十五頁(yè)，共五十頁(yè)，2022年，8月28日維護(hù)用戶(hù)賬號(hào)1.禁用、啟用、重命名和刪除用戶(hù)賬號(hào)第三十六頁(yè)，共五十頁(yè)，2022年，8月28日2.重設(shè)密碼第三十七頁(yè)，共五十頁(yè)，2022年，8月28日5.3管理域用戶(hù)和組

5.3.2組對(duì)象的管理組的種類(lèi)及作用域

1.組的種類(lèi)組在WindowsServer2003中分為安全組和通信組。

1）安全組安全組列在定義資源和對(duì)象權(quán)限的選擇性訪(fǎng)問(wèn)控制表（DACL）中，它將用戶(hù)、計(jì)算機(jī)和其他組對(duì)象作為一個(gè)可管理的單位。

2）通信組通信組不列在定義資源和對(duì)象權(quán)限的選擇性訪(fǎng)問(wèn)控制表（DACL）中，它不采用安全機(jī)制。第三十八頁(yè)，共五十頁(yè)，2022年，8月28日5.3.2組對(duì)象的管理2.組的作用域組在域樹(shù)或域林中的應(yīng)用范圍稱(chēng)為組的作用域，它有三種類(lèi)型：

1）通用組有通用作用域的組稱(chēng)為通用組。

2）全局組有全局作用域的組稱(chēng)為全局組。

3）本地組有本地作用域的組稱(chēng)為本地組。第三十九頁(yè)，共五十頁(yè)，2022年，8月28日1.創(chuàng)建組（1）打開(kāi)“ActiveDirectory用戶(hù)和計(jì)算機(jī)”管理工具，選擇要新建的組所屬的域、容器或組織單位。以在“Users”中創(chuàng)建組為例，用右鍵單擊“Users”，選擇“新建”，再單擊“組”。（2）這時(shí)系統(tǒng)彈出“新建對(duì)象－組”窗口。輸入組名，并根據(jù)需要選擇組作用域和組類(lèi)型。（3）按“確定”按鈕，完成組的創(chuàng)建，便可在“ActiveDirectory用戶(hù)和計(jì)算機(jī)”管理工具中看見(jiàn)我們新創(chuàng)建的組。用戶(hù)組的創(chuàng)建與管理第四十頁(yè)，共五十頁(yè)，2022年，8月28日創(chuàng)建組第四十一頁(yè)，共五十頁(yè)，2022年，8月28日2.設(shè)置組可以對(duì)剛才創(chuàng)建的組進(jìn)行移動(dòng)該組到其他容器、向全組發(fā)送郵件、刪除、重命名等操作，如圖所示。用戶(hù)組的創(chuàng)建與管理第四十二頁(yè)，共五十頁(yè)，2022年，8月28日1）設(shè)置組成員選擇“屬性”，系統(tǒng)彈出“Check屬性”窗口，再選擇“成員”選項(xiàng)卡，如圖所示。用戶(hù)組的創(chuàng)建與管理第四十三頁(yè)，共五十頁(yè)，2022年，8月28日2）設(shè)置組隸屬于選擇“屬性”，系統(tǒng)彈出“Check屬性”窗口，再選擇“隸屬于”選項(xiàng)卡，如圖所示。選擇該組所屬的其他安全組，該設(shè)置可確定該組的權(quán)限。用戶(hù)組的創(chuàng)建與管理第四十四頁(yè)，共五十頁(yè)，2022年，8月28日3）移動(dòng)組選擇“移動(dòng)”，系統(tǒng)會(huì)出現(xiàn)如圖所示窗口。再選擇要移入的容器，最后按“確定”按鈕便可完成移動(dòng)。用戶(hù)組的創(chuàng)建與管理第四十五頁(yè)，共五十頁(yè)，2022年，8月28日5.3.3計(jì)算機(jī)賬戶(hù)的管理在域中創(chuàng)建計(jì)算機(jī)賬戶(hù)在域中每臺(tái)計(jì)算機(jī)的賬戶(hù)都是惟一的，可以通過(guò)“ActiveDirectory用戶(hù)和計(jì)算機(jī)”管理工具來(lái)創(chuàng)建計(jì)算機(jī)用戶(hù)（1）打開(kāi)“ActiveDirectory用戶(hù)和計(jì)算機(jī)”管理工具，用右鍵單擊窗口右邊的“Computer”（也可以選擇其他容器）進(jìn)行添加計(jì)算機(jī)賬戶(hù)，單擊“計(jì)算機(jī)”，彈出一個(gè)“