第6次课-本地账户和组的管理.ppt

,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第6次课-本地账户和组的管理,1.,引语,身为公司的网络技术专业人员，樊大伟深知服务器用户和组的管理是网络安全的第一道防线。,公司在未购买服务器前，公司电脑上的用户账户几乎是员工随意设置的。部分员工计算机账户甚至未设密码。由于安全保护意识的淡漠，致使公司花费很大精力为客户设计的广告作品，还未提交给客户，就被泄露出去。,这次樊大伟决定在服务器上划出一部分存储空间，用来存放公司的作品、客户资料、素材等资源，同时通过对用户权限的限定严格控制公司资源的访问权限。,为了避免盲目性，樊大伟草拟了一份,账户规划一览表,。,2,2.,用户账户简介,用户账户是操作系统辨别用户身份的唯一标识，从而让具有一定使用权限的人登录计算机、访问本地计算机资源或从网络访问计算机的共享资源。,Windows Server 2008,支持两种用户账户：,本地账户,域账户,本地账户：在本地安全数据库中建立的账户。只能登录到本机，只能访问本机资源。通常在工作组网络中使用。用户信息被保存在系统根目录的,windowssystem32config,文件夹下的,SAM,（安全数据库）中。,域账户：建立在域控制器的活动目录数据库中的账户。具有全局性，可以登录到域网络环境模式中的任何一台计算机，并获得访问该网络的权限。（第四章介绍）,3,3.,默认用户账户,Windows Server 2008,提供两个默认用户账户：,Administrator,Guest,Administrator,：系统管理员、超级用户，不但拥有最高的使用资源权限（即完全控制权限），而且可以根据需要向其他用户分配权限。能更名，能禁用，不能删除。,Guest,：来宾账户，为临时访问计算机的用户提供的账户，不需要密码（当然也可以设置密码）。为了保证系统安全，默认是禁用的。仅拥有很少权限。能更名、能禁用，不能删除。,注,1,：即使禁用了,Administrator,账户，仍然可以在安全模式下使用该账户访问计算机。,Net user,命令查看本地账户,4,4.,创建本地账户,服务器管理器,/,计算机管理本地用户和组右击用户新用户,命名规则：,本地账户必须在本地计算机系统中唯一,账户名不能包括句号、空格以及,/“:+=;,?*,长度不超过,20,个字符（只能识别前,20,个）,不区分大小写,注,1,：用户名可以使用汉字，但不推荐，因为在命令提示符下操作会产生麻烦。,注,2,：企业内部账户命名推荐策略是登录名采用员工真实姓名的拼音或缩写，同时用户全名使用汉字全名。,5,4.,创建本地账户,密码复杂性规则：,至少,6,位长度,至少包含大写字母、小写字母、符号、数字中的三种,不能包含用户名，不能包含用户姓名超过两个连续字符的部分,账户密码选项,用户下次登录时必须更改密码,用户不能更改密码,密码永不过期,账户已禁用,强制密码策略：,管理工具本地安全策略账户策略密码策略,强制密码历史,密码最长使用期限,6,4.,创建本地账户,使用命令行创建账户,Net user,用户名,密码,/add,/active:yes|no,启用或禁用账户，默认,yes,/comment:,”,text”,账户描述,/fullname:,”,text”,全名,/passwordchg:yes|no,用户能否更改密码，默认,yes,/passwordreq:yesno,用户是否必须有密码，默认,yes,例：,net user fandawei FDWfdw!/comment:”,未来广告公司技术主管,”/fullname:”,樊大伟,”/add,注：只有具备管理员权限的用户才能创建账户,注：命令行可以做成批处理文件,.bat,7,5.,管理本地账户,用户配置文件：存储当前桌面环境、应用程序设置以及个人数据的文件夹和数据的集合，保持用户桌面环境及其他设置的一致性。一般位于,%userprofile%,重设用户密码：,当用户忘记密码并且没有密码重设盘时，管理员可以为其重设密码。,会导致某些信息不能访问，因此尽量建议用户自己更改密码或使用密码重设盘修改密码。,Net user,用户名*,创建密码重设盘：,每一个管理员都应当为管理员账号创建密码重设盘，以防因忘记密码导致无法进入系统或者引起关键数据丢失。,用户登录计算机控制面板用户账户创建密码重设盘将软盘插入软驱,8,大家有疑问的，可以询问和交流,可以互相讨论下，但要小声点,9,5.,管理本地账户,禁用,/,激活账户：,当账户暂时不用，为防止其他人员非法利用，可以禁用,Net user,用户名,/active:no,Net user,用户名,/active:yes,删除账户：,员工离职时，应收回账户，防止其继续使用。,Windows,创建的用户账户在系统内部是使用安全标识符（,Security Identifier,，,SID,）来识别每一个用户账户的，在创建时由系统自动产生。设置权限、资源访问控制时，都是使用,SID,记录的。,查看自己账户的,SID,：,whoami/logonid,一旦用户账户被删除，,SID,权限信息等也就消失了。即使重新创建名称相同的账户，由于,SID,不同，也无法获得原先用户的权限。,建议在删除前先禁用账户，确保没有问题再删除。,Net user,用户名,/delete,10,5.,管理本地账户,重命名账户：,当账户名称不规范或错误时，可以重命名，不改变,SID,，不影响权限。,小技巧：如果公司有人离职，但该岗位还需招新员工。可以不删除账户而直接通过重命名的方式传递给新员工，可以保证账户数据不丢失。,小技巧：由于,Windows,系统管理员和来宾账号名众所周知，因此出于安全，重命名可以为猜测增加难度。,11,6.,组账户介绍,组是多个用户账户、计算机账户和其他组的集合，也是操作系统实现其安全管理机制的重要技术手段。使用组可以同时为多个用户账户指派资源访问权限，简化管理，提高效率。,默认本地组账户：,计算机管理,/,服务器管理器本地用户和组组,Net localgroup,命令,P71,Administrators,Guests,Users,12,7.,创建本地组账户,组名命名规则：,不能含有,/“:+=;,?*,不能只由空格和句点组成,不能与已有用户名和组名相同,Net localgroup,组名,/add,13,8.,本地组账户管理,修改本地组成员：,将用户账户添加进组或从组中删除,用户账户“隶属于”选项卡,Net localgroup,组名 用户名（一个或多个）,/add,Net localgroup,组名 用户名（一个或多个）,/delete,Net localgroup,组名 组名,/add,删除组账户,组账户与用户账户一样有,SID,只能删除自建组，不能删除默认组,重命名组账户,与用户账户重命名基本相同,14,