WindowsServer2003本地用戶與本地組內容提要WindowsServer2003的用戶賬戶管理WindowsServer2003的組賬戶管理工作組與域環境賬戶是計算機的基本安全對象，WindowsServer2003本地計算機包含了兩種賬戶：用戶賬戶和組賬戶。本節主要介紹WindowsServer2003的本地用戶賬戶和組賬戶的設置和管理，以及在網絡環境下選擇工作組還是域環境。南方理工技工學校計算機教研室小節目錄5.1.1

本地用戶賬戶5.1.2

組賬戶管理5.1.3

設置本地安全策略南方理工技工學校計算機教研室5.1.1本地用戶賬戶安裝完操作系統并完成操作系統的環境配置后，管理員應規劃一個安全的網絡環境，為用戶提供有效的資源訪問服務。WindowsServer2003通過建立賬戶（包括用戶賬戶和組賬戶）并賦予賬戶合適的權限來保證使用網絡和計算機資源的合法性，以確保數據訪問、存儲和交換服從安全需要。保證WindowsServer2003安全性的主要方法有以下4點：（1）嚴格定義各種賬戶權限，阻止用戶可能進行具有危害性的網絡操作；（2）使用組規劃用戶權限，簡化賬戶權限的管理；（3）禁止非法計算機連入網絡；（4）應用本地安全策略和組策略制定更詳細的安全規則。南方理工技工學校計算機教研室1用戶賬戶概述用戶賬戶是計算機的基本安全組件，計算機通過用戶賬戶來辨別用戶身份，讓有使用權限的人登錄計算機，訪問本地計算機資源或從網絡訪問這臺計算機的共享資源。指派不同用戶不同的權限，可以讓用戶執行不同的計算機管理任務。所以每臺運行WindowsServer2003的計算機，都需要用戶賬戶才能登錄計算機。WindowsServer2003支持兩種用戶賬戶：域用戶賬戶和本地用戶賬戶。域賬戶可以登錄到域上，并獲得訪問該網絡的權限；本地賬戶則只能登錄到一臺特定的計算機上，并訪問該計算機上的資源。WindowsServer2003還提供內置用戶賬戶，它用于執行特定的管理任務或使用戶能夠訪問網絡資源。南方理工技工學校計算機教研室用戶賬戶的概述（續）本地用戶賬戶僅允許用戶登錄并訪問創建該賬戶的計算機。當創建本地用戶賬戶時，WindowsServer2003僅在計算機位于%Systemroot%\system32\config文件夾下的安全數據庫（SAM）中創建該賬戶。WindowsServer2003在工作組模式下默認只有Administrator賬戶和Guest賬戶。Administrator賬戶可以執行計算機管理的所有操作；而Guest賬戶是為臨時訪問計算機的用戶而設置的，但默認是禁用的。南方理工技工學校計算機教研室SID系統內部則使用安全標識符（SecurityIdentifier，SID）來識別用戶身份，每個用戶賬戶都對應一個唯一的安全標識符，這個安全標識符在用戶創建時由系統自動產生。南方理工技工學校計算機教研室AdministratorAdministrator：使用內置Administrator賬戶可以對整臺計算機或域配置進行管理，如創建修改用戶賬戶和組、管理安全策略、創建打印機、分配允許用戶訪問資源的權限等。作為管理員，應該創建一個普通用戶賬戶，在執行非管理任務時使用該用戶賬戶，僅在執行管理任務時才使用Administrator賬戶。Administrator賬戶可以更名，但不可以刪除。南方理工技工學校計算機教研室GuestGuest：一般的臨時用戶可以使用內置Guest賬戶進行登錄并訪問資源。在默認情況下，為了保證系統的安全，Guest賬戶是禁用的，但在安全性要求不高的網絡環境中，可以使用該賬戶，且通常分配給它一個口令。南方理工技工學校計算機教研室5.1.2用戶賬戶的創建規劃新的用戶賬戶遵循以下的規則和約定可以簡化賬戶創建后的管理工作：（1）命名約定。①賬戶名必須唯一：本地賬戶必須在本地計算機上唯一。②賬戶名不能包含以下字符：*/\[]::|=，+/<>“。③賬戶名最長不能超過20個字符。（2）密碼原則。①一定要給Administrator賬戶指定一個密碼，以防止他人隨便使用該賬戶。②確定是管理員還是用戶擁有密碼的控制權。用戶可以給每個用戶賬戶指定一個唯一的密碼，并防止他用戶對其進行更改，也可以允許用戶在第一次登錄時輸入自己的密碼。一般情況下，用戶應該可以控制自己的密碼。③密碼不能太簡單，應該不容易讓他人猜出。④密碼最多可由128個字符組成，推薦最小長度為8個字符。⑤密碼應由大小寫字母、數字以及合法的非字母數字的字符混合組成，如“P@ssw0rd”。南方理工技工學校計算機教研室用戶賬戶的創建（續）創建本地用戶賬戶用戶可以用“計算機管理”中的“本地用戶和組”管理單元來創建本地用戶賬戶，而且用戶必須擁有管理員權限。南方理工技工學校計算機教研室用戶賬戶的創建（續）在“計算機管理”管理控制臺中，展開“本地用戶和組”，在“用戶”目錄上單擊鼠標右鍵，選擇“新用戶”命令，如圖2.3所示。南方理工技工學校計算機教研室設置密碼選項打開“新用戶”對話框后，輸入用戶名、全名和描述，并且輸入密碼，如圖2.4所示。可以設置密碼選項，包括“用戶下次登錄時必須更改密碼”、“用戶不能更改密碼”、“密碼永不過期”、“賬戶已禁用”等，設置完成后，單擊“創建”按鈕新增用戶賬戶，如圖2.4所示。有關密碼的選項描述如表2.1所示。創建完用戶后，單擊“關閉”按鈕返回到“計算機管理”控制臺。南方理工技工學校計算機教研室表2.1密碼選項描述

選

項描

述密碼

要求用戶輸入密碼，系統用“*”顯示確認密碼要求用戶再次輸入密碼以確認輸入正確用戶下次登錄時必須更改密碼要求用戶下次登錄時必須修改該密碼用戶不能更改密碼不允許用戶修改密碼，通常用于多個用戶共用一個用戶賬戶，如Guest等密碼永不過期密碼永久有效，通常用于WindowsServer2003的服務賬戶或應用程序所使用的用戶賬戶賬戶已禁用禁用用戶賬戶南方理工技工學校計算機教研室2.1.3設置用戶賬戶的屬性用戶賬戶不只包括用戶名和密碼等信息，為了管理和使用的方便，一個用戶還包括其他的一些屬性，如用戶隸屬的用戶組、用戶配置文件、用戶的撥入權限、終端用戶設置等。在“本地用戶和組”的右側欄中，雙擊一個用戶，將顯示“用戶屬性”對話框，如圖2.5所示。南方理工技工學校計算機教研室設置用戶賬戶的屬性（續）“常規”選項卡可以設置與賬戶有關的一些描述信息，包括全名、描述、賬戶選項等。管理員可以設置密碼選項或禁用賬戶，如果賬戶已經被系統鎖定，管理員可以解除鎖定。南方理工技工學校計算機教研室設置用戶賬戶的屬性（續）“隸屬于”選項卡在“隸屬于”選項卡中，可以設置將該賬戶加入到其他的本地組中。為了管理的方便，通常都需要對用戶組進行權限的分配與設置，用戶屬于哪個組，用戶就具有該用戶組的權限。新增的用戶賬戶默認的是加入到Users組，Users組的用戶一般不具備一些特殊權限，如安裝應用程序、修改系統設置等。所以當要分配這個用戶一些的權限時，可以將該用戶賬戶加入到其他的組，也可以單擊“刪除”按鈕將用戶從一個或幾個用戶組中刪除。南方理工技工學校計算機教研室設置用戶賬戶的屬性（續）“配置文件”選項卡在“配置文件”選項卡可以設置用戶賬戶的配置文件路徑、登錄腳本和主文件夾路徑。本地用戶賬戶的配置文件，都是保存在本地磁盤%userprofile%文件夾中。注意三種不同的配置文件類型。南方理工技工學校計算機教研室①默認用戶配置文件。默認用戶配置文件是所有用戶配置文件的基礎。當用戶第一次登錄到一臺運行WindowsServer2003的計算機上時，WindowsServer2003會將本地默認用戶配置文件夾復制到%Systemdrive%\DocumentsandSettings\%Username%中，以作為初始的本地用戶配置文件。②本地用戶配置文件。保存在本地計算機上的%Systemdrive%\DocumentsandSettings\%Username%文件夾中，所有對桌面設置的改動都可以修改用戶配置文件。多個不同的本地用戶配置文件可保存在一臺計算機上。③漫游用戶配置文件。為了支持在多臺計算機上工作的用戶，用戶可以設置漫游用戶配置文件。漫游用戶配置文件可以保存在某個網絡服務器上，且只能由系統管理員創建。用戶無論從哪臺計算機登錄，均可獲得這一配置文件。用戶登錄時，WindowsServer2003會將該漫游用戶配置文件從網絡服務器復制到該用戶當前所用的WindowsServer2003機器上。因此，用戶總是能得到自己的桌面環境設置和網絡連接設置。漫游用戶配置文件只能在域環境下實現。三種不同類型的配置文件南方理工技工學校計算機教研室5.1.4刪除本地用戶賬戶當用戶不再需要使用某個用戶賬戶時，可以將其刪除。刪除用戶賬戶會導致與該賬戶有關的所有信息的遺失，所以在刪除之前，最好確認其必要性或者考慮用其他的方法，例如禁用該賬戶。許多企業給臨時員工設置了Windows賬戶，當臨時員工離開企業時將賬戶禁用，但新來的臨時員工需要用該賬戶時，只需改名即可。在“計算機管理”控制臺中，選擇要刪除的用戶賬戶執行刪除功能，如圖2.10所示，但是系統內置賬戶如Administrator、Guest等無法刪除。南方理工技工學校計算機教研室關于SID號每個用戶都有一個名稱之外的唯一標識符SID號，SID號在新增賬戶時由系統自動產生，不同賬戶的SID不會相同。由于系統在設置用戶的權限、訪問控制列表中的資源訪問能力信息時，內部都使用SID號，所以一旦用戶賬戶被刪除，這些信息也就跟著消失了。重新創建一個名稱相同的用戶賬戶，也不能獲得原先用戶賬戶的權限。南方理工技工學校計算機教研室5.2.1本地組賬戶的概述組賬戶是計算機的基本安全組件，用戶賬戶的集合。但是，組賬戶并不能用于登錄計算機，但是可以用于組織用戶賬戶。通過使用組，管理員可以同時向一組用戶分配權限，故可簡化對用戶賬戶的管理。組可以用于組織用戶賬戶，讓用戶繼承組的權限。注意：同一個用戶賬戶可以同時為多個組的成員，這樣該用戶的權限就是所有組權限的合并。WindowsServer2003有幾個內置組，在需要的時候，用戶還可以創建新組。例如，可以創建一個比Users更多的權限，但比PowersUsers較少權限的組。為了使某個組的成員有更多或更少的權限，用戶也可以定義組的權限和優先級，當重新定義組的權限時，這個組中的所有成員用戶將自動更新以響應這些改變。南方理工技工學校計算機教研室內置組賬戶打開“計算機管理”管理控制臺，在“本地用戶和組”樹中的“組”目錄里，可以查看本地內置的所有組賬戶。南方理工技工學校計算機教研室內置組賬戶的權限系統為這些本地組預先指派了權限，如Administrators組對計算機具有完全控制權，具有從網絡訪問此計算機，可以調整進程的內存配額，允許本地登錄等權限。BackupOperators組可以從網絡訪問此計算機，允許本地登錄、備份文件及目錄、備份和還原文件、關閉系統等。南方理工技工學校計算機教研室2.2.3刪除、重命名本地組及修改本地組成員當計算機中的組不需要時，系統管理員可以對組執行清除任務。每個組都擁有一個唯一的安全標識符（SID），所以一旦刪除了用戶組，就不能重新恢復，即使新建一個與被刪除組有相同名字和成員的組，也不會與被刪除組有相同的特性和特權。在“計算機管理”控制臺中選擇要刪除的組賬戶，然后執行刪除功能，如圖2.16所示，在彈出的對話框中選擇“是”即可。南方理工技工學校計算機教研室刪除內置組但是，管理員只能刪除新增的組，不能刪除系統內置的組。當管理員刪除系統內置組時，系統將拒絕刪除操作。若要刪除Administrators組，出現的對話框如圖2.17所示。南方理工技工學校計算機教研室重命名內置組重命名組的操作與刪除組的操作類似，只需要在彈出的菜單中選擇“重命名”，輸入相應的名稱即可。要修改本地組成員，只要雙擊組名稱，彈出如圖2.18所示的對話框。在彈出的對話框中選擇成員單擊“刪除”按鈕，即可以刪除組成員。如果要添加組成員，單擊“添加”按鈕，再選擇相應用戶即可。南方理工技工學校計算機教研室5.3設置本地安全策略在WindowsServer2003中，為了確保計算機的安全，允許管理員對本地安全進行設置，從而達到提高系統安全性的目的。WindowsServer2003對登錄到本地計算機的用戶都定義了一些安全設置。所謂本地計算機是指用戶登錄執行WindowsServer2003的計算機，在沒有活動目錄集中管理的情況下，本地管理員必須為計算機進行設置以確保其安全。例如，限制用戶如何設置密碼、通過賬戶策略設置賬戶安全性、通過鎖定賬戶策略避免他人登錄計算機、指派用戶權限等。將這些安全設置分組管理，就組成了WindowsServer2003的本地安全策略。南方理工技工學校計算機教研室“本地安全設置”控制臺WindowsServer2003在“管理工具”菜單提供了“本地安全設置”控制臺，可以集中管理本地計算機的安全設置原則，使用管理員賬戶登錄到本地計算機，即可打開“本地安全設置”控制臺南方理工技工學校計算機教研室密碼安全設置密碼必須符合復雜性要求；密碼長度最小值；密碼使用期限；強制密碼歷史；南方理工技工學校計算機教研室賬戶鎖定策略南方理工技工學校計算機教研室用戶權限分配WindowsServer2003將計算機管理各項任務設定為默認的權限，例如，從本地登錄系統、更改系統時間、從網絡連接到該計算機、關閉系統等。系統管理員在新增了用戶賬戶和組賬戶后，如果需要指派這些賬戶管理計算機的某項任務，可以將這些賬戶加入到內置組，但這種方式不夠靈活。系統管理員可以單獨為用戶或組指派權限，這種方式提供了更好的靈活性。用戶權限的分配在“本地安全設置”的“本地策略”下設置，如圖2.24所示。南方理工技工學校計算機教研室用戶權限分配南方理工技工學校計算機教研室用戶權限分配從網絡訪問這臺計算機是指允許哪些用戶及組可以通過網絡連接到該計算機，如圖2.25所示。默認為Administrators、BackupOperators、PowerUsers、Users和Everyone組。由于Everyone組允許通過網絡連接到此計算機，所以網絡中的所有用戶，默認都可以訪問這臺計算機。南方理工技工學校計算機教研室用戶權限分配允許本地登錄。允許在本地登錄原則設置，決定哪些用戶可以交互式地登錄此計算機，默認為Administrators、BackupOperators、PowerUsers，如圖2.26所示。另一個安全設置是“拒絕本