前言
操作环境:windows server 2016
用户账户概述
在 windows 系统中,各用户账户都有一个独特的安全标识符(SID),它在系统内部用于控制对各种资源的访问权限。可以通过以下方式查看 SID
查看 SID
命令提示符(CMD)
C:\Users\Administrator>whoami /user
用户信息
----------------
用户名 SID
============================= =============================================
win-hgm2e16p9mg\administrator S-1-5-21-3171794619-1199750620-1374019554-500
C:\Users\Administrator>wmic useraccount where name='administrator' get sid
SID
S-1-5-21-3171794619-1199750620-1374019554-500
Windows Powershell
PS C:\Users\Administrator> get-wmiobject win32_useraccount
AccountType : 512
Caption : WIN-HGM2E16P9MG\Administrator
Domain : WIN-HGM2E16P9MG
SID : S-1-5-21-3171794619-1199750620-1374019554-500
FullName :
Name : Administrator
AccountType : 512
Caption : WIN-HGM2E16P9MG\DefaultAccount
Domain : WIN-HGM2E16P9MG
SID : S-1-5-21-3171794619-1199750620-1374019554-503
FullName :
Name : DefaultAccount
AccountType : 512
Caption : WIN-HGM2E16P9MG\Guest
Domain : WIN-HGM2E16P9MG
SID : S-1-5-21-3171794619-1199750620-1374019554-501
FullName :
Name : Guest
PS C:\Users\Administrator> get-wmiobject win32_useraccount | select-object Name,SID
Name SID
---- ---
Administrator S-1-5-21-3171794619-1199750620-1374019554-500
DefaultAccount S-1-5-21-3171794619-1199750620-1374019554-503
Guest S-1-5-21-3171794619-1199750620-1374019554-501
PS C:\Users\Administrator> Get-WmiObject Win32_UserAccount | Where-Object {$_.Name -eq 'administrator'} | Select-object SID
SID
---
S-1-5-21-3171794619-1199750620-1374019554-500
注册表编辑器
打开注册表编辑器(在开始菜单搜索“regedit”),导航到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
路径,在 ProfileList 下,你会看到多个以SID命名的⼦键。点击每个⼦键,查看 ProfileImagePat
h 条⽬,它显示了与该SID关联的⽤户的配置⽂件路径,通常包含⽤户名称。
CRUD 用户账户
查看用户
使用计算机管理(GUI)
使用命令提示符(CMD)
C:\Users\Administrator>net user
\\WIN-HGM2E16P9MG 的用户帐户
-------------------------------------------------------------------------------
Administrator DefaultAccount Guest
命令成功完成。
C:\Users\Administrator>net user Administrator
用户名 Administrator
全名
注释 管理计算机(域)的内置帐户
用户的注释
国家/地区代码 000 (系统默认值)
帐户启用 Yes
帐户到期 从不
上次设置密码 2024/8/24 16:07:43
密码到期 2024/10/5 16:07:43
密码可更改 2024/8/24 16:07:43
需要密码 Yes
用户可以更改密码 Yes
允许的工作站 All
登录脚本
用户配置文件
主目录
上次登录 2024/8/24 16:19:59
可允许的登录小时数 All
本地组成员 *Administrators
全局组成员 *None
命令成功完成。
使用 Powershell
PS C:\Users\Administrator> Get-LocalUser
Name Enabled Description
---- ------- -----------
Administrator True 管理计算机(域)的内置帐户
DefaultAccount False 系统管理的用户帐户。
Guest False 供来宾访问计算机或访问域的内置帐户
PS C:\Users\Administrator> Get-LocalUser -Name "administrator"
Name Enabled Description
---- ------- -----------
Administrator True 管理计算机(域)的内置帐户
查看服务账户
GUI
CMD
C:\Users\Administrator>sc qc DHCP client
[SC] QueryServiceConfig 成功
SERVICE_NAME: DHCP
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : DHCP Client
DEPENDENCIES : NSI
: Tdx
: Afd
SERVICE_START_NAME : NT Authority\LocalService
新增用户
计算机管理(GUI)
Powershell
PS C:\Users\Administrator> net user dyy P@ssw0rd /add
命令成功完成。
修改用户属性
GUI
CMD
PS C:\Users\Administrator> net user dzq P@ssw0rd123
命令成功完成。
本地安全策略
删除用户
GUI
CMD
C:\Users\Administrator>net user dyy /delete
命令成功完成。
Powershell
PS C:\Users\Administrator> remove-Localuser -Name "dzq"
组账户概述
组是⼀些⽤户的集合,组内的⽤户⾃动具备为组所设置的权限,分为本地组与域组
CRUD 组账户
查看组账户
GUI
CMD
C:\Users\Administrator>net localgroup
\\WIN-HGM2E16P9MG 的别名
-------------------------------------------------------------------------------
*Access Control Assistance Operators
*Administrators
*Backup Operators
*Certificate Service DCOM Access
*Cryptographic Operators
*Distributed COM Users
*Event Log Readers
*Guests
*Hyper-V Administrators
*IIS_IUSRS
*Network Configuration Operators
*Performance Log Users
*Performance Monitor Users
*Power Users
*Print Operators
*RDS Endpoint Servers
*RDS Management Servers
*RDS Remote Access Servers
*Remote Desktop Users
*Remote Management Users
*Replicator
*Storage Replica Administrators
*System Managed Accounts Group
*Users
命令成功完成。
Powershell
Name Description
---- -----------
Access Control Assistance Operators 此组的成员可以远程查询此计算机上资源的授权属性和权限。
Administrators 管理员对计算机/域有不受限制的完全访问权
Backup Operators 备份操作员为了备份或还原文件可以替代安全限制
Certificate Service DCOM Access 允许该组的成员连接到企业中的证书颁发机构
Cryptographic Operators 授权成员执行加密操作。
Distributed COM Users 成员允许启动、激活和使用此计算机上的分布式 COM 对象。
Event Log Readers 此组的成员可以从本地计算机中读取事件日志
Guests 按默认值,来宾跟用户组的成员有同等访问权,但来宾帐户的限制更多
Hyper-V Administrators 此组的成员拥有对 Hyper-V 所有功能的完全且不受限制的访问权限。
IIS_IUSRS Internet 信息服务使用的内置组。
Network Configuration Operators 此组中的成员有部分管理权限来管理网络功能的配置
Performance Log Users 该组中的成员可以计划进行性能计数器日志记录、启用跟踪记录提供程序,以及在本地或通过远程访问此计算...
Performance Monitor Users 此组的成员可以从本地和远程访问性能计数器数据
Power Users 包括高级用户以向下兼容,高级用户拥有有限的管理权限
Print Operators 成员可以管理在域控制器上安装的打印机
RDS Endpoint Servers 此组中的服务器运行虚拟机和主机会话,用户 RemoteApp 程序和个人虚拟桌面将在这些虚拟机和会话中运行。...
RDS Management Servers 此组中的服务器可以在运行远程桌面服务的服务器上执行例程管理操作。需要将此组填充到远程桌面服务部署...
RDS Remote Access Servers 此组中的服务器使 RemoteApp 程序和个人虚拟桌面用户能够访问这些资源。在面向 Internet 的部署中,这些...
Remote Desktop Users 此组中的成员被授予远程登录的权限
Remote Management Users 此组的成员可以通过管理协议(例如,通过 Windows 远程管理服务实现的 WS-Management)访问 WMI 资源。这...
Replicator 支持域中的文件复制
Storage Replica Administrators 此组的成员具有存储副本所有功能的不受限的完全访问权限。
System Managed Accounts Group 此组的成员由系统管理。
Users 防止用户进行有意或无意的系统范围的更改,但是可以运行大部分应用程序
增加组账户
修改组账户
GUI
CMD
C:\Users\Administrator>net localgroup d guest /add
命令成功完成。
C:\Users\Administrator>net localgroup d guest /delete
命令成功完成。
删除组账户
GUI
Powershell
PS C:\Users\Administrator> remove-Localgroup -Name "d"
作业
背景: 在⼀个企业环境中,您作为系统管理员需要设置⼀个⽂件共享⽬录,该⽬录⽤于存放财务报告。
这个⽬录只允许财务部⻔的员⼯访问,⽽且必须确保其他部⻔的员⼯即使能浏览到该共享也⽆法访问。
任务:
- 在Windows Server 上创建⼀个名为“FinanceReports”的本地组。
- 创建⼀个⽂件夹,命名为“Financial Data”。
- 设置该⽂件夹的NTFS权限和共享权限,以确保只有“FinanceReports”组的成员能够访问。
- 添加必要的⽤户到“FinanceReports”组。
- 测试配置的安全性。
操作:
1. 创建“FinanceReports”本地组
-
打开 PowerShell 或命令提示符:
- 以管理员身份运行 PowerShell 或命令提示符。
-
创建本地组:
在 PowerShell 中执行以下命令:New-LocalGroup -Name "FinanceReports" -Description "Group for Finance Department members"
或者在命令提示符中使用
net
命令:net localgroup FinanceReports /add
2. 创建名为“Financial Data”的文件夹
-
创建文件夹:
- 打开文件资源管理器。
- 选择要创建文件夹的位置(例如,
C:\
)。 - 右键单击空白处,选择“新建” > “文件夹”。
- 输入文件夹名称:“Financial Data”。
-
或使用 PowerShell:
New-Item -Path "C:\Financial Data" -ItemType Directory
3. 设置文件夹的 NTFS 权限和共享权限
设置 NTFS 权限
- 右键单击“Financial Data”文件夹,选择“属性”。
- 转到“安全”选项卡。
- 单击“编辑”,然后单击“添加”以添加新的用户或组。
- 输入“FinanceReports”组的名称,单击“检查名称”确保正确,单击“确定”。
- 在权限列表中,为“FinanceReports”组分配所需的权限(例如,“读取和执行”,“列出文件夹目录”,“读取”)。通常,对于只读访问,选择“读取”权限。
- 单击“应用”然后“确定”以保存更改。
设置共享权限
- 转到“共享”选项卡。
- 单击“高级共享”。
- 勾选“共享此文件夹”。
- 单击“权限”按钮。
- 删除“Everyone”组(如果存在),然后单击“添加”以添加“FinanceReports”组。
- 为“FinanceReports”组分配所需的权限(例如“读取”)。通常选择“读取”权限,确保未赋予“完全控制”权限。
- 单击“应用”然后“确定”以保存更改。
4. 添加用户到“FinanceReports”组
-
通过 PowerShell 添加用户:
Add-LocalGroupMember -Group "FinanceReports" -Member "UserName"
将
UserName
替换为需要添加的用户的实际用户名。 -
通过计算机管理添加用户:
- 打开“计算机管理”(右键单击“此电脑”选择“管理”)。
- 转到“本地用户和组” > “组”。
- 右键单击“FinanceReports”组,选择“属性”。
- 单击“添加”以添加用户到该组。
5. 测试配置的安全性
-
以非 FinanceReports 组成员的用户身份登录,尝试访问共享文件夹:
- 该用户应该能看到共享,但不能访问其中的内容。
-
以 FinanceReports 组成员的用户身份登录,尝试访问共享文件夹:
- 该用户应该能成功访问和操作共享文件夹中的内容。
结果
总结
通过上述步骤,你可以成功创建一个文件共享目录,并设置其权限,以确保只有特定的“FinanceReports”组的成员能够访问。此配置包括创建本地组、设置 NTFS 和共享权限、添加用户到组以及测试访问权限。