1、2018年11月5日,第2章 Windows Server 2008本地用户和组,2.1 本地用户账户 2.1.1 用户账户的概述 2.1.2 用户账户的创建 2.1.3 设置用户账户的属性 2.1.4 删除本地用户账户 2.2 组账户管理 2.2.1 本地组账户的概述 2.2.2 创建本地用户组 2.2.3 删除、重命名本地组及修改本地组成员 2.3 设置本地安全策略,【本章提要】,Windows Server 2008的用户账户管理 Windows Server 2008的组账户管理 工作组与域环境 账户是计算机的基本安全对象,Windows Server 2008本地计算机包含了两种账户
2、:用户账户和组账户。本章主要介绍Windows Server 2008的用户账户和组账户的设置和管理,以及在网络环境下选择工作组还是域环境。,2.1 本地用户账户,保证Windows Server 2008安全性的主要方法有以下4点: (1)严格定义各种账户权限,阻止用户可能进行具有危害性的网络操作; (2)使用组规划用户权限,简化账户权限的管理; (3)禁止非法计算机连入网络; (4)应用本地安全策略和组策略制定更详细的安全规则。,2.1.1 用户账户的概述,用户账户是计算机的基本安全组件,计算机通过用户账户来辨别用户身份,让有使用权限的人登录计算机,访问本地计算机资源或从网络访问这台计算机
3、的共享资源。 Windows Server 2008支持两种用户账户:域账户和本地账户。域账户可以登录到域上,并获得访问该网络的权限;本地账户则只能登录到一台特定的计算机上,并访问该计算机上的资源。Windows Server 2008还提供内置用户账户,它用于执行特定的管理任务或使用户能够访问网络资源。,2.1.1 用户账户的概述(续),本地用户账户仅允许用户登录并访问创建该账户的计算机。当创建本地用户账户时,Windows Server 2008仅在计算机位于%Systemroot%system32config文件夹下的安全数据库(SAM)中创建该账户。 Windows Server 20
4、08默认只有Administrator账户和Guest账户。Administrator账户可以执行计算机管理的所有操作;而Guest账户是为临时访问计算机的用户而设置的,但默认是禁用的。,2.1.1 用户账户的概述(续),用户登录后,可以在命令提示符状态下输入“whoami /logonid”命令查询当前用户账户的安全标识符,如图2.1所示。,图2.1 查询当前账户的SID,系统的内置账户Administrator和Guest简单介绍,Administrator:使用内置Administrator账户可以对整台计算机或域配置进行管理,如创建修改用户账户和组、管理安全策略、创建打印机、分配允许用
5、户访问资源的权限等。作为管理员,应该创建一个普通用户账户,在执行非管理任务时使用该用户账户,仅在执行管理任务时才使用Administrator账户。Administrator账户可以更名,但不可以删除。 Guest:一般的临时用户可以使用内置Guest账户进行登录并访问资源。在默认情况下,为了保证系统的安全,Guest账户是禁用的,但在安全性要求不高的网络环境中,可以使用该账户,且通常分配给它一个口令。,2.1.2 用户账户的创建,1规划新的用户账户 遵循以下的规则和约定可以简化账户创建后的管理工作: (1)命名约定。 账户名必须唯一:本地账户必须在本地计算机上唯一。 账户名不能包含以下字符:
6、* / : : | = , + / “。 账户名最长不能超过20个字符。,2.1.2 用户账户的创建(续),(2)密码原则 一定要给Administrator账户指定一个复杂密码,以防止他人随便使用该账户。 确定是管理员还是用户拥有密码的控制权。用户可以给每个用户账户指定一个唯一的密码,并防止他用户对其进行更改,也可以允许用户在第一次登录时输入自己的密码。一般情况下,用户应该可以控制自己的密码。 密码不能太简单,应该不容易让他人猜出。 密码最多可由128个字符组成,推荐最小长度为8个字符。 密码应由大小写字母、数字以及合法的非字母数字的字符混合组成,如“Pssw0rd”。,2创建本地用户账户,
7、用户可以用“计算机管理”中的“本地用户和组”管理单元来创建本地用户账户,而且用户必须拥有管理员权限。创建的步骤如下: (1)打开“开始 | 管理工具 | 计算机管理”,如图2.2所示。,图2.2 计算机管理,2创建本地用户账户(续),(2)在“计算机管理”管理控制台中,展开“本地用户和组”,在“用户”目录上单击鼠标右键,选择“新用户”命令,如图2.3所示。 (3)打开“新用户”对话框后,输入用户名、全名和描述,并且输入密码,如图2.4所示。,图2.3 选择“新用户”命令,图2.4 “新增用户”对话框,2.1.3 设置用户账户的属性,用户账户不只包括用户名和密码等信息,为了管理和使用的方便,一个
8、用户还包括其他的一些属性,如用户隶属的用户组、用户配置文件、用户的拨入权限、终端用户设置等。在“本地用户和组”的右侧栏中,双击一个用户,将显示“用户属性”对话框,如图2.5所示。,图2.5 “用户属性”对话框,2.1.3 设置用户账户的属性(续),1“常规”选项卡 2“隶属于”选项卡 3“配置文件”选项卡,2.1.4 删除本地用户账户,在“计算机管理”控制台中,选择要删除的用户账户执行删除功能,如图2.10所示,但是系统内置账户如Administrator、Guest等无法删除。,图2.10 删除用户账户,2.2 组账户管理,2.2.1 本地组账户的概述 组账户是计算机的基本安全组件,用户账户
9、的集合。组账户并不能用于登录计算机,但可以用于组织用户账户。通过使用组,管理员可以同时向一组用户分配权限,故可简化对用户账户的管理。 组可以用于组织用户账户,让用户继承组的权限。,2.2.1 本地组账户的概述(续),打开“计算机管理”管理控制台,在“本地用户和组”树中的“组”目录里,可以查看本地内置的所有组账户,如图2.12所示。,图2.12 内置组账户,Windows Server 2008内置的组账户的权限,2.2.2 创建本地用户组,从“计算机管理”控制台中展开“本地用户和组”,鼠标右键单击“组”按钮,选择“新建组”命令,如图2.13所示。在“新建组”窗口中输入组名和描述,如图2.14所
10、示,然后单击“创建”按钮即可完成创建。,图2.13 “新建组”对话框,2.2.3 删除、重命名本地组及修改本地组成员,当计算机中的组不需要时,系统管理员可以对组执行清除任务。每个组都拥有一个唯一的安全标识符(SID),所以一旦删除了用户组,就不能重新恢复,即使新建一个与被删除组有相同名字和成员的组,也不会与被删除组有相同的特性和特权。在“计算机管理”控制台中选择要删除的组账户,然后执行删除功能,如图2.16所示,在弹出的对话框中选择“是”即可。,图2.16 “删除组”操作,2.2.3 删除、重命名本地组及修改本地组成员(续),管理员只能删除新增的组,不能删除系统内置的组。当管理员删除系统内置组
11、时,系统将拒绝删除操作。 重命名组的操作与删除组的操作类似,只需要在弹出的菜单中选择“重命名”,输入相应的名称即可。,2.3 设置本地安全策略,在Windows Server 2008中,为了确保计算机的安全,允许管理员对本地安全进行设置,从而达到提高系统安全性的目的。 Windows Server 2008对登录到本地计算机的用户都定义了一些安全设置。所谓本地计算机是指用户登录执行Windows Server 2008的计算机,在没有活动目录集中管理的情况下,本地管理员必须为计算机进行设置以确保其安全。 例如,限制用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登录计算
12、机、指派用户权限等。将这些安全设置分组管理,就组成了Windows Server 2008的本地安全策略。,2.3 设置本地安全策略(续),系统管理员可以通过本地安全原则,确保执行的Windows Server 2008计算机的安全。 例如,判断账户的密码长度的最小值是否应该符合密码复杂性要求,系统管理员可以设置哪些用户允许登录本地计算机,以及从网络访问这台计算机的资源,进而控制用户对本地计算机资源和共享资源的访问。,2.3 设置本地安全策略(续),Windows Server 2008在“管理工具”菜单提供了“本地安全设置”控制台,可以集中管理本地计算机的安全设置原则,使用管理员账户登录到本
13、地计算机,即可打开“本地安全设置”控制台,如图2.19所示。,图2.19 “本地安全设置”控制台,1密码安全设置,用户密码是保证计算机安全的第一道屏障,是计算机安全的基础。如果用户账户特别是管理员账户没有设置密码,或者设置的密码非常简单,那么计算机将很容易被非授权用户登录,进而访问计算机资源或更改系统配置。 目前互联网上的攻击很多都是因为密码设置过于简单或根本没设置密码造成的,因此应该设置合适的密码和密码设置原则,从而保证系统的安全。,1密码安全设置(续),Windows Server 2008的密码原则主要包括以下4项:密码必须符合复杂性要求,密码长度最小值,密码使用期限和强制密码历史等。,
14、图2.20 启用密码复杂性要求,2账户锁定策略,Windows Server 2008在默认情况下,没有对账户锁定进行设定,为了保证系统的安全,最好设置账户锁定策略。账户锁定原则包括如下设置:账户锁定阈值、账户锁定时间和重设账户锁定计算机的时间间隔。,图2.23 账户锁定阈值,3用户权限分配,Windows Server 2008将计算机管理各项任务设定为默认的权限。例如,从本地登录系统、更改系统时间、从网络连接到该计算机、关闭系统等。 系统管理员在新增了用户账户和组账户后,如果需要指派这些账户管理计算机的某项任务,可以将这些账户加入到内置组,但这种方式不够灵活。系统管理员可以单独为用户或组指
15、派权限,这种方式提供了更好的灵活性。,3用户权限分配,系统管理员可以单独为用户或组指派权限,这种方式提供了更好的灵活性。用户权限的分配在“本地安全设置”的“本地策略”下设置,如图2.24所示。,图2.24 用户权限分配,习题2,2.1 什么是本地用户和本地组? 2.2 简述本地用户账户和域用户账户的区别。 2.3 什么是本地安全策略? 2.4 如何设置本地安全策略?,实训2 实现Windows Server 2008 的用户和组的管理,2.1 创建本地用户User1、User2和User3。 2.2 设置密码策略(启用密码复杂性要求、最短密码长度为8等)。 2.3 更改用户User3的密码。 2.4 创建MyGroup组。 2.5 将User1、User2和User3分别归到Administrators、Power Users和MyGroup组。 2.6 设置MyGroup具有关闭系统、本地登录等本地安全策略权限。 2.7 测试User3的权限。,
