Windows_Server_2003本地用户和组.pptVIP

*南方理工技工学校计算机教研室 Windows Server 2003本地用户与本地组 内容提要 Windows Server 2003的用户账户管理 Windows Server 2003的组账户管理 工作组与域环境 账户是计算机的基本安全对象，Windows Server 2003本地计算机包含了两种账户：用户账户和组账户。本节主要介绍Windows Server 2003的本地用户账户和组账户的设置和管理，以及在网络环境下选择工作组还是域环境。 小节目录 5.1.1 本地用户账户 5.1.2 组账户管理 5.1.3 设置本地安全策略 5.1.1 本地用户账户 安装完操作系统并完成操作系统的环境配置后，管理员应规划一个安全的网络环境，为用户提供有效的资源访问服务。Windows Server 2003通过建立账户（包括用户账户和组账户）并赋予账户合适的权限来保证使用网络和计算机资源的合法性，以确保数据访问、存储和交换服从安全需要。保证Windows Server 2003安全性的主要方法有以下4点： （1）严格定义各种账户权限，阻止用户可能进行具有危害性的网络操作； （2）使用组规划用户权限，简化账户权限的管理； （3）禁止非法计算机连入网络； （4）应用本地安全策略和组策略制定更详细的安全规则。 1 用户账户概述 用户账户是计算机的基本安全组件，计算机通过用户账户来辨别用户身份，让有使用权限的人登录计算机，访问本地计算机资源或从网络访问这台计算机的共享资源。指派不同用户不同的权限，可以让用户执行不同的计算机管理任务。所以每台运行Windows Server 2003的计算机，都需要用户账户才能登录计算机。 Windows Server 2003支持两种用户账户：域用户账户和本地用户账户。域账户可以登录到域上，并获得访问该网络的权限；本地账户则只能登录到一台特定的计算机上，并访问该计算机上的资源。Windows Server 2003还提供内置用户账户，它用于执行特定的管理任务或使用户能够访问网络资源。 用户账户的概述（续） 本地用户账户仅允许用户登录并访问创建该账户的计算机。当创建本地用户账户时，Windows Server 2003仅在计算机位于%Systemroot%\system32\config文件夹下的安全数据库（SAM）中创建该账户。 Windows Server 2003在工作组模式下默认只有Administrator账户和Guest账户。Administrator账户可以执行计算机管理的所有操作；而Guest账户是为临时访问计算机的用户而设置的，但默认是禁用的。 SID 系统内部则使用安全标识符（Security Identifier，SID）来识别用户身份，每个用户账户都对应一个唯一的安全标识符，这个安全标识符在用户创建时由系统自动产生。 Administrator Administrator：使用内置Administrator账户可以对整台计算机或域配置进行管理，如创建修改用户账户和组、管理安全策略、创建打印机、分配允许用户访问资源的权限等。作为管理员，应该创建一个普通用户账户，在执行非管理任务时使用该用户账户，仅在执行管理任务时才使用Administrator账户。Administrator账户可以更名，但不可以删除。 Guest Guest：一般的临时用户可以使用内置Guest账户进行登录并访问资源。在默认情况下，为了保证系统的安全，Guest账户是禁用的，但在安全性要求不高的网络环境中，可以使用该账户，且通常分配给它一个口令。 5.1.2 用户账户的创建 规划新的用户账户 遵循以下的规则和约定可以简化账户创建后的管理工作： （1）命名约定。 ① 账户名必须唯一：本地账户必须在本地计算机上唯一。 ② 账户名不能包含以下字符：* / \ [ ] : : | = ， + / “。 ③ 账户名最长不能超过20个字符。 （2）密码原则。 ① 一定要给Administrator账户指定一个密码，以防止他人随便使用该账户。 ② 确定是管理员还是用户拥有密码的控制权。用户可以给每个用户账户指定一个唯一的密码，并防止他用户对其进行更改，也可以允许用户在第一次登录时输入自己的密码。一般情况下，用户应该可以控制自己的密码。 ③ 密码不能太简单，应该不容易让他人猜出。 ④ 密码最多可由128个字符组成，推荐最小长度为8个字符。 ⑤ 密码应由大小写字母、数字以及合法的非字母数字的字符混合组成，如“P@ssw0rd”。 用户账户的创建（续） 创建本地用户账户 用户可以用“计算机管理”中的“本地用户和组”管理单元来创建本地用户账户，而且用户必须拥有管理员权限。 用户账户的创建（续） 在“