每一位用户要使用计算机前都必须登录该计算机,而登录时必须输入有效的用户账户与密码;另外,若我们能够有效利用组来管理用户权限,则必定能够减轻许多网络管理的负担。
- 内置的本地账户
- 本地用户账户的管理
- 密码的更改、备份与还原
- 本地组账户的管理
4.1 内置的本地账户
我们在第1章介绍过,每一台Windows计算机都有一个本地安全账户数据库(SAM),用户在使用计算机前都必须登录该计算机,也就是要提供有效的用户账户与密码,而这个用户账户就是建立在本机安全账户数据库内,这个账户被称为本地用户账户,而建立在此数据库内的组被称为本地组账户。
4.1.1 内置的本地用户账户
Windows Server 2016内置了两个可供使用的用户账户:
- Administrator(系统管理员):它拥有最高的权限,您可以利用它来管理计算机,例如建立/更改/删除用户账户与组账户、设置安全策略、建立打印机、设置用户权限等。无法删除此账户,不过为了安全起见,建议对其改名。
- Guest(来宾):它是供没有账户的用户来临时使用的,它只有很少的权限。可以更改名称,但无法将其删除。此账户默认是被停用的。
4.1.2 内置的本地组账户
系统内置了许多本地组,它们本身都已经被赋予了一定的权限(rights),以便让它们具备管理本地计算机或访问本机资源的能力。只要用户账户被加入到本地组中,此用户就会具备该组所拥有的权限。下面列出一些常用的本地组:
- Administrators:此组内的用户具备系统管理员的权限,他们拥有对这台计算机最大的控制权,可以执行整台计算机的管理工作。内置的系统管理员Administrator就是隶属于此组,而且无法将它从此组内删除。
- Backup Operators:此组内的用户可以通过Windows Server Backup工具来备份与还原计算机内的文件,不论他们是否有权限访问这些文件。
- Guests:此组内的用户无法永久改变桌面的工作环境,当他们登录时,系统会为他们建立一个临时的用户配置文件(参见第10章的说明),而注销时此配置文件就会被删除。此组默认成员为用户账户Guest。
- Network Configuration Operators:此组内的用户可以执行常规的网络配置工作,例如更改IP地址,但是不可安装、删除驱动程序与服务,也不能执行与网络服务器配置有关的工作,例如DNS服务器与DHCP服务器的设置。
- Performance Monitor Users:此组内的用户可监视本地计算机的运行性能。
- Power Users:为了简化组,这个在旧版Windows系统就已经存在的组就要被淘汰Windows Server 2008(含)之后的系统虽然还留着这个组(以便维持与旧版Windows系统的兼容性),不过并没有像旧版系统一样被赋予较多的特殊权限,也就是它的权限并没有比普通用户多。
- Remote Desktop Users:此组内的用户可以从远程计算机利用远程桌面服务登录。
- Users:此组内的用户只拥有一些基本权限,例如运行应用程序、使用本地与网络打印机、锁定计算机等,但是他们不能将文件夹共享给网络上其他的用户、不能将计算机关机等。所有新建的本地用户账户都会自动隶属于此组。
4.1.3 特殊组账户
除了前面所介绍的组之外,WindowsServer 2016内还有一些特殊组,而且无法更改这些组的成员。下面列出几个常见的特殊组:
- Everyone:所有用户都属于这个组。若Guest账户被启用的话,则在分配权限给Everyone时要小心,因为如果一位在计算机内没有账户的用户通过网络登录计算机时,他会被自动允许利用Guest账户来连接,此时因为Guest也是隶属于Everyone组,所以他将具备Everyone所拥有的权限。
- Authenticated Users:凡是利用有效用户账户来登录此计算机的用户,都隶属于此组。
- Interactive:凡是在本地登录(通过按Ctrl + Alt + Del方式登录)的用户,都隶属于此组。
- Network:凡是通过网络来登录此计算机的用户,都隶属于此组。
- Anonymous Logon:凡是未利用有效的普通用户账户登录的用户(匿名用户),都 隶属于此组。 AnonymousLogon默认并不隶属于Eve可one组。
- Dialup:凡是利用拨号方式连接的用户,都隶属于此组。
4.2 本地用户账户的管理
系统默认只有Adminis位ators组内的用户才有权限来管理用户账户与组账户,所以此时请 利用隶属于该组的Administrator登录系统来执行以下操作。
4.2.1 新建本地用户账户
我们可以利用本地用户和组来建立本地用户账户: 【单击左下角的开始图标:→Windows 系统管理工具→计算机管理→系统工具3本地用户和组→如图4-2-1中背景图所示,选中用户 后右击→新用户→在前景图中输入用户的相关数据→单击创建按钮】 。
【注意】
也可以通过【开始·控制面板つ用户账户】来管理用户账户。
- 用户名:它是用户登录时需要输入的账户名称。
- 全名、描述:用户的完整名称,用来描述此用户账户的说明文字
- 密码、确认密码:设置用户账户的密码。所输入的密码会以黑点来显示,以免被其他人看到,必须再一次输入密码来确认所输入的密码是正确的。
【注意】
- 密码中英文字母大小写被视为不同的字符,例如abc12#与ABCl却是不同密码,还有 如果密码为空白,贝lj系统默认是此用户账户只能够本地登录,无法通过网络登录(无 法从其他计算机利用此账户来连接)。
- 如果设置密码,贝IJ默认要求用户的密码必须至少6个字符,且不可包含用户账户名称 或全名,还有至少要包含A-Z, a - z、 0- 9、非字母字符(例如!、$、#、%)等4组 字符申的3组,例如12abAB是一个有效的密码,而123456是无效的密码。
- 用户下次登录时须史改密码:用户在下次登录时,系统会强制用户史改密码,这个 操作可以确保只有该用户知道自己所设置的密码。
【注意】
若该用户是通过网络来登录的话,请勿勾选此选项,否则用户将无法登录,因为用户通 过网络登录时无法更改密码。
- 用户不能史改密码:它可防止用户更改密码。如果没有勾选此选项的话,用户可以 在登录完成后,通过【按Ctr!+ Alt + Del S更改密码】的方法来更改自己的密码.
- 密码永不过期:系统默认是42天后会要求用户修改密码,但若勾选此选项的话,则 系统永远不会要求该用户史改密码(42天是系统默认值,可以通过账户策略来史 改,见第11章).
- 账户已禁用:它可防止用户利用此账户登录,例如预先为新员工所建立的账户,但 该员工尚未报到,或某位请长假的员工账户,都可以利用“账户已禁用”暂时将该 账户停用.被停用的账户前面会有一个向下的箭头↓符号。
用户账户建立好后,请注销,然后在图4-2-2中单击此新账户,以便练习利用此账户来登 录。完成练习后,再注销,改用Administrator登录。
4.2.2 修改本地用户账户
如图4-2-3所示,选中用户账户,右击,然后通过界面中的选项来设置:
- 设置密码:用来更改用户的密码(请参阅下一节的说明).
- 删除、重命名:您可以删除不需要的账户,也可以更改用户的账户名称,不过请注 意以下4兑明。
- 系统会为每一个用户账户建立一个唯一的安全标识符(security identifier, SID,它是 一串字母数字的组合),在系统内部是利用SID末代表该用户的,例如文件权限列表 中是通过SID来记录该用户具备何种权限的,而不是通过用户账户名称来记录的,不 过为了使于查看这些列表,当通过文件资源管理器来查看这些列表时,系统所显示 的是用户账户名称。
- 当将账户删除后,即使再新建一个名称相同的账户,此时因为系统会为这个新账户 分配一个新SID,它与原账户的SID不同,所以这个新账户不会拥有原账户的权恨。 若是重命名账户的话,由于SID不会改变,因此用户原来所拥有的权限与权利都不会 受到影响. 例如,当某员工离职时,您可以暂时先将其用户账户停用,等到新员工接 替他的工作时,再将此账户改为新员工的名称并重新设直密码与相关的个人资料。
若要修改用户账户的其他相关数据, 【选中用户账户后右击3属性】 。
4.2.3 控制面板中的用户账户管理工具
也可以通过【开始→控制面极→用户账户→用户账户→管理其他账户(如图4-2-4所 示) 】的方法来管理用户账户,它与前面所使用的本地用户和组各有特色。
4.3 本地组账户的管理
作为系统管理员,若能够善于利用组来管理用户账户的权限,则必定能够减轻许多管理 负担。举例来说,当针对业务部设置权限后,业务部内的所有用户都会自动拥有此权限,不 需要为每个用户单独设置权限。建立本地组账户的方法为: 【单击左下角开始图标→Windows 管理工具→计算机管理→如图4-3-1所示选中组右击→新建组】。
接着在图4-3-2的界面中:【输入该组的名称(例如业务部)→单击添加按钮来将用户加 入到此组→单击创建按钮】。
以后若要再将其他用户账户加入到此组的话,【双击该组→单击添加按钮】,或是【双 击用户账户→隶属于→单击添加按钮】。