Windows用户和组账户系列一
一.Windows账户类型分类:
1.本地用户账户:使用本地用户和组进行创建,存储在SAM数据库中。SAM文件目录:C:\Windows\System32\Config\SAM
用户使用本地账户登录时,系统会去查询SAM数据库来进行验证。
称为本地身份验证类型。
2.域用户账户:使用AD和计算机创建,存储在活动目录数据库。
活动目录数据库:C:\Windows\NTDS\Ntds.dit
用户登录时,选择登录到域,会去联系域控制器来查询活动目录数据库Ntds.dit来进行验证。 称为网络身份验证类型。
 
二.Windows SID简介
  SID称为安全标识符(Security Identifiers),是标识用户、组和计算机账户的唯一号码。第一次创建账户时,系统会默认生成一个SID。操作系统底层是通过SID来标识用户并完成身份验证。
 
SID产生具有一定的规则:通常情况下由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。(因此容易理解,当删除了一个用户后,创建相同名字的用户,其实本质上的SID不一样,因此两个用户也不相同)
具体需要了解SID,请参考:http://jerryhui.blog.51cto.com/109787/239829
 
三.Windows用户组(例举Administrators和Users)
默认情况下,Windows管理员组具有完全权限,但是对于某些注册表项,管理员也不具有相应权限,需要通过夺取所有者权限。如
HKLM\SAM\SAM项。
默认情况下,Winxp的Users组用户,无法更改系统时间,无法共享文件夹,无法添加本地打印机,但可以关机。
默认情况下,Win2003的Users组用户,无法更改系统时间,无法共享文件夹,无法添加本地打印机,且无法关机(因为服务器一般运行过程很少关机,一般用户无权关机)
 
四.Windows账户相关信息
Windows密码默认过期时间为42天。(当未设置密码永不过期)
当设置用户不能更改密码之后,如果用户要更改密码,会出现拒绝访问的提示。
当设置账户被停用,开机用户登录的时候会提示您的账户已被停用。
Windows本地账户的信息,除了存储在SAM数据库中,还有一部分信息存储在注册表中。在HKEY_LOCAL_Machine\SAM\SAM中,使用管理员也无法查看,需要修改权限。操作方式为:右键点击SAM,选择权限,然后赋予相应的权限给管理员。
 
五.用户账户的创建方式
1.本地用户账户
1)本地用户和组:lusrmgr.msc
2)Net user命令:(eg:net user jerry 123 /add ,添加用户jerry,密码为123)修改密码:net user jerry 456,密码改为456. 删除用户:net user jerry /del
3)脚本
 
2.域用户账户
1)AD用户和计算机:dsa.msc
2)User add
3)脚本