目录
用户账户概述
用户账户是Windows系统中用于身份验证和授权的基本单元。每个用户账户都有一个唯一的安全标识符(SID),它在系统内部用于控制对各种资源的访问权限。用户账户可以是本地账户(仅在单个计算机上有效)或域账户(在加入同一域的所有计算机上有效)。
用户账户的重要性:
- 安全控制:通过SID控制访问权限。
- 个性化设置:每个账户可以有不同的桌面背景、文件夹图标等。
- 审计跟踪:记录用户活动以供审计。
查看用户SID的方法:
- 命令提示符:使用
whoami /user
查看当前登录用户的SID,或使用wmic useraccount where name='用户名' get sid
查看特定用户的SID。 - PowerShell:运行
Get-WmiObject Win32_UserAccount | Select-Object Name,SID
来查看所有用户的SID,或使用Get-WmiObject Win32_UserAccount | Where-Object {$_.Name-eq '用户名'} | Select-Object SID
查看特定用户的SID。
用户账户管理
用户账户管理包括创建、修改和删除用户账户的操作。
创建用户账户的方法:
- 使用计算机管理:打开“计算机管理”,在“本地用户和组”中创建新用户。
- 打开“开始”菜单,搜索“计算机管理”,并打开它。
- 展开“系统工具”,然后选择“本地用户和组”。
- 右键点击“用户”,选择“新建用户…”。
- 输入用户名、密码以及其他信息,如全名、描述等。
- 点击“创建”,然后“关闭”。
- 使用PowerShell:运行
net user 新用户名 密码 /add
来创建用户。 - 使用Active Directory用户和计算机:适用于域环境。
修改用户账户属性:
- 使用计算机管理工具或PowerShell命令
Set-LocalUser
来修改用户属性。- 如果使用的是Windows Server 2012 R2,由于默认的PowerShell版本是3.0,它不支持
Set-LocalUser
命令。可以使用net user
命令或升级PowerShell版本到5.1。- 升级PowerShell:安装或升级到Windows Management Framework(WMF) 5.1。
- 下载并安装WMF 5.1的具体步骤和资源可以在微软官网找到。
- 升级PowerShell:安装或升级到Windows Management Framework(WMF) 5.1。
- 使用
net user
命令:net user 用户名 /passwordchg:no
- 使用PowerShell命令:
Set-LocalUser -Name "用户名" -PasswordNeverExpires $true
- 如果使用的是Windows Server 2012 R2,由于默认的PowerShell版本是3.0,它不支持
删除用户账户:
- 通过计算机管理、命令提示符或PowerShell删除用户账户。
- 使用计算机管理删除用户:
- 打开“计算机管理”。
- 展开“本地用户和组”,选择“用户”。
- 找到要删除的用户,右键点击,选择“删除”。
- 使用命令提示符删除用户:
net user 用户名 /delete
- 使用PowerShell删除用户:
Remove-LocalUser -Name "用户名"
- 使用计算机管理删除用户:
Guest账户的特点与管理:
- 禁用状态:默认情况下,Guest账户是禁用的。
- 权限受限:Guest账户权限非常有限,只能执行基本操作。
- 安全性建议:除非有特别需求,否则保持该账户禁用。
组账户概述
组账户是一些用户的集合,组内的用户自动具备为组所设置的权限。组账户可以是本地组或域组。
组账户的类型:
- 本地组:在单个计算机上定义,用于管理在该服务器上的权限和资源访问。
- 域组:在Active Directory环境中定义,跨多台计算机统一管理用户的权限。
内置组的特点:
- 手动添加成员的内置组:如Administrators、Guests等,管理员需要显式地将用户账户添加到这些组中。
- 动态包含成员的内置组:如Authenticated Users、Interactive Users等,系统自动管理成员身份。
组账户管理
组账户管理涉及创建、修改和删除组账户的操作。
创建组账户的方法:
- 使用计算机管理或Active Directory用户和计算机创建本地组或域组。
- 打开“计算机管理”。
- 展开“本地用户和组”,选择“组”。
- 右键点击“组”,选择“新建组…”。
- 输入组名和描述,点击“创建”,然后“关闭”。
修改组账户:
- 使用计算机管理或PowerShell修改组账户的属性。
- 使用计算机管理修改本地组:
- 打开“计算机管理”。
- 展开“本地用户和组”,选择“组”。
- 双击要修改的组。
- 在组属性窗口中,可以添加或删除成员,更改组的描述等。
- 点击“应用”并选择“确定”以保存更改。
- 使用PowerShell命令:
Add-ADGroupMember -Identity "GroupName" -Members "username" Remove-ADGroupMember -Identity "GroupName" -Members "username" -Confirm:$false Set-ADGroup -Identity "GroupName" -Description "New Description"
- 使用计算机管理修改本地组:
删除组账户:
- 通过计算机管理、命令提示符或PowerShell删除组账户。
- 使用计算机管理删除本地组:
- 打开“计算机管理”。
- 展开“本地用户和组”,选择“组”。
- 找到要删除的组,右键点击,选择“删除”。
- 使用命令提示符删除本地组:
net localgroup 组名 /delete
- 使用PowerShell删除本地组:
Remove-LocalGroup -Name "GroupName"
- 使用计算机管理删除本地组:
查看组账户:
- 使用命令提示符
net localgroup
查看本地组,或使用PowerShellGet-LocalGroup
命令查看本地组成员。
安全策略与权限分配
安全策略和权限分配是保证系统安全的重要环节。
账户策略:
- 密码策略:规定密码的复杂性和生命周期。
- 账户锁定策略:防止未授权访问。
权限分配:
- 用户权限分配:定义用户或用户组可以执行的特定任务和操作。
- 注意事项:在配置权限分配时,应该遵循最小权限原则,即授予用户和组最少的权限以完成所需的工作。
配置方法:
- 使用本地安全策略管理工具
secpol.msc
进行配置。