Windows Server 2003 本地用户和组

本地用户帐户是用来限定允许哪些用户访问此计算机，本地组用于组织本地用户帐户。

本地帐户和组的关系：

①每个帐户必须属于某个组，一个帐户也可以同时属于多个组。

②管理员可以为帐户或组设置权利和权限，如果是为组设立了权利和权限，则该组的所有帐户都会拥有这些权利和权限。

③如果一个帐户同时属于多个组，则他的权利和权限是所有组的权利和权限的叠加。

本地帐户和组的一般设置方法：

①创建组（也可以使用内置组），以组为单位权利和权限。

②创建帐户，把它加入到适当的组中。

注：除非有特别的需要，尽量不要直接为帐户设置权利和权限，这样不容易管理。

常用内置帐户：

① Administrator ：管理员，操作上不受任何限制。可以重命名，但不能删除。

② Guest ：来宾，只能进行极有限的操作，默认是禁用的。

③ IUSR_Computername 和 IWAM_Computername ：这两个帐户在安装了IIS后会自动创建，其中 Computername 是计算机名。IUSR_Computername 帐户用于让用户可以匿名访问IIS中的网站。IWAM_Computername 帐户用于启动进程需要的应用程序，如ASP、ASP.NET等应用程序。

常用内置组：

① Administrators ：管理员组，该组成员在操作上不受限制。默认成员有 Administrator 帐户。加入该组的所有成员都拥有和 Administrator 帐户一样的权利。

② Guests ：来宾组，该组成员在操作上很受限制。默认成员有 Guest 帐户。

③ Power Users ：高级用户组，该组成员可进行大多数操作，只在部分管理型的操作上受到限制。

④ Users ：普通用户组，该组成员可执行一些常见任务，但几乎没有管理权利。所有新创建的用户帐户都默认加入 Users 组。

本地帐户的主要操作：

本地帐户和组的管理工具位于“计算机管理”控制台中：“开始︱管理工具︱计算机管理”。

展开目录树中的“本地用户和组”就可以进行帐户管理了。

1、创建新用户

操作：在目录树的“用户”上单击右键，选择“新用户”。

参数：①用户名：长度不能超过20个字符，同一台计算机中的帐户不能重名。②密码：长度不能超过128个字符。③密码选项。

说明：只有 Administrators 组和Power Users组的成员有权创建用户帐户。

2、创建组

操作：在目录树的“组”上单击右键，选择“新建组”。

3、设置帐户所在的组

新建的帐户默认属于Users组。更改帐户所在的组主要有两种方法：①打开帐户的属性，在“隶属于”选项卡中设置该用户所在的组。②打开组的属性，在“成员”选项卡中设置该组的成员。

这里要注意，由于一个帐户可同时属于多个组，其权利是各组权利的叠加，所以如果想限定用户只属于某个组，应该把它从其余组中删除。

Administrators 组的成员有权将帐户加入任意组中，Power Users 组的成员只有权将帐户加入Power Users组、User组和Guest组。

4、设置用户或组的权利

权利设置在“本地安全设置”控制台中：“开始︱管理工具︱本地安全设置”。

展开目录树中的“本地策略”，选择“用户权限分配”。

在右侧的窗口中列出的是各种权利，以及拥有权利的用户和组。设置时，只要双击权利名称，就可以修改拥有该权利的用户和组了。

说明：有些权利同时具有“允许”和“拒绝”两种，如有“允许本地登录”权利，也有“拒绝本地登录”权利。如果一个用户或组同时设置了这两种权利，则“拒绝”权利优先。

5、更改帐户密码

方法一：用帐户本地登录计算机，按下“Ctrl+Alt+Del”组合键，选择“修改密码”功能。

这种方法需要先输入正确的旧密码，再输入新密码。

方法二：用一个管理员帐户登录计算机，打开“计算机管理”控制台，在相应帐户上单击右键，选择“设置密码”。

这种方法不需要输入旧密码，可直接输入新密码。

说明：方法二应该只用于忘记密码的情况，这时由管理员为你设置一个新密码。这种方法会导致该帐户的一些信息丢失，比如加密的信息会打不开等。

6、禁用帐户

如果一个帐户暂不使用，可以禁用它，将来需要时再启用。

方法：用管理员身份登录计算机，打开“计算机管理”控制台，打开相应帐户的属性，选中属性中的“帐户已禁用”复选框。

解除禁用时只需去除该复选框即可。

本地安全策略的设置：

为了保护计算机的安全，可以通过设置一些安全策略强制使用者养成使用计算机的良好习惯。

打开“本地安全设置”控制台：“开始︱管理工具︱本地安全设置”。

展开目录树中的“帐户策略”。设置某项策略时，只需双击该项策略就可以进行设置。主要设置项目有：

1、密码必须符合复杂性要求：默认为禁用。如果启用了，则用户在设置密码时必须使用复杂密码，即必须包含字母、数字和符号。

2、密码长度最小值：默认为0，此时可以设置空密码。设置后就可以要求用户必须使用足够长的密码。

3、密码最长使用期限：默认为42天。当超过此期限时，用户在登录时会被要求更改密码。

说明：如果一个帐户的密码选项设置为“密码永不过期”，则该帐户的密码不受该期限限制。

4、密码最短使用期限：默认为0，此时用户可随时更改密码。如果设置为1天，则用户更改密码后，必须在1天之后才能再次更改密码。

5、强制密码历史：默认为0，此时用户设置的新密码可以和旧密码相同。假如设置为3，则用户设置的新密码不能与最近3次用过的密码相同。

6、帐户锁定阈值：默认为0，此时用户输入错误密码不会导致帐户锁定。假如设置为5，则当一个用户登录时，如果输入了5次错误的密码，则该帐户将被自动锁定。

7、帐户锁定时间：假如该值设置为10分钟，则当一个帐户被锁定后，过10分钟就自动解除锁定。如果该值设置为0，则该帐户不会自动解锁，只能由管理员手工解锁。

说明：设置锁定功能的目的是防止有人用猜测的方式破解密码。如果一个帐户被锁定，则在解锁之前，该帐户不能登录计算机。

解除锁定的方法：可以耐心等待，直到系统自动解锁。也可以由管理员登录计算机，打开该帐户的属性，去除属性中的“帐户已锁定”复选框。

用户帐户的一些特性：

1、安全标识符 SID：

帐户的名字是为了让人识别和使用帐户的，而SID是计算机识别一个帐户的方法，是帐户的内部名。SID在创建帐户时由系统建立，不能人为设置和修改，当帐户被删除时，它的SID也被删除。

假如某个帐户被删除了，后来又建立了一个与它同名的新帐户，由于新帐户的SID与原帐户不同，所以它不能继承原帐户拥有过的权利和权限。只能看作是一个与原帐户无关的新帐户。

查看帐户的SID：在命令行方式下输入命令“whoami /logonid”，可以看到当前帐户的SID。

2、用户配置文件

当一个用户第一次本地登录计算机时，系统会为他建立用户配置文件。

用户配置文件是由多个文件组成，它默认的位置在“%Systemdrive%/Documents and Settings/%Username%”，%Systemdrive%表示系统分区，%Username%表示用户名。所以如果系统安装在C盘，则用户001的配置文件就位于C:盘的Documents and Settings文件夹下的001文件夹中。

用户配置文件是每个本地用户的私人信息，对它进行的修改只影响本用户。

用户配置文件中主要包括桌面、开始菜单、我的文档、我的收藏等。所以，如果你在桌面上或我的文档中添加了内容，其他用户登录时是看不到的。

有的用户安装了新软件，如果该软件在开始菜单和桌面上添加了信息，其他用户也是看不到的。

在配置文件的文件夹中有一个名为“All Users”的配置文件，它存放的是各用户公有的信息，如果你在该文件夹的桌面或开始菜单中添加信息，则所有用户都可以看到。

总结：

对个人计算机来说，通常没有必要进行复杂的帐户设置，但对于服务器来说，帐户是保证合法用户访问的基本设施。

1、用帐户可以限定有哪些人员可以本地登录计算机，还可以限定其登录后可以行使的权利。

2、用帐户可以限定访问者（包括本地访问者和网络访问者）能够访问的资源，还可以限定他的访问权限。（参考NTFS文件系统和资源共享的相关内容）

3、对于作为Web网站或Ftp站点的服务器，可以用帐户限定允许访问人员的身份。（参考IIS的配置与使用）