网络管理——?建立本地用户和组(WinXP)
一、用户账户:域账户、本地账户
域账户(网络账户):存储在Active Directory中,作用在Windows网络安全环境中用户账户对象。
本地账户:对应特定计算机的对象,一个本地账户只对一个特定计算机的本地安全数据库SAM(安全账户管理器)有效。自家家门钥匙只能开自家家门的门。
二、规划用户账户:
1.用户账户命名规则:用户名长度:1~20字符、不能重名、不能包含特殊字符(*:[];|=,+*?<>")、不能有句点(。.)和空格
2.密码规则:最多密码长度127位字符,最多支持14个字符的密码,区分大小写。
?
三、内置用户帐户:
Administrator(系统管理员):具有最高的管理权限(可增加删除或禁用各个账号,为不同用户设置权限,无法删除内置账号,但可以改名为Admin,有时登录计算机需要该帐户的密码要牢记)
Guest(来宾):供用户临时访问计算机设置的帐号,权利有限,默认时,此帐号被禁用。
IUSR_ComputerName(Internet来宾):此帐户与Guest相似,可以匿名访问IIS(Internet信息服务)
IWAM_ComputerName(启动IIS进程):用于启动进程外应用程序的Internet信息服务。
(本计算机中还有其他一些用户是我做其他配置时带上的,新的系统默认基本就是这四种)
建议:本机系统管理员应为自己设两个帐号:管理员帐号(高级管理)和普通用户帐号(平时上机),更利于系统安全。
?
?四、用户组有以下几种:
1.管理员组(Administrators):赋予组内的成员对系统完全控制的最高权力。Administrator是默认的组成员。本组是唯一被自动授予所有内置权利和能力的组。
2.备份操作员组(Backup Operators):可以备份和恢复计算机上的文件,而不受保护文件权限的限制,成员也可以登录计算机上关闭系统。然而该组成员无法改变系统安全配置。默认权限:网络访问计算机、允许本地登录、备份还原文件和目录、忽略遍历检查、关闭系统。
3.高级用户(Power Users):本组成员可以添加新的用户帐号,但只能管理(修改删除)自己设置的帐号,对其他帐号无能为力。能够创造本地组,以及从自己创造的本地组中删除用户,或者从高级用户、用户组、来宾组(权利不如高级用户组的组)中删除用户。
4.普通用户(Users):能执行大多数的普通任务。(如执行应用程序、使用本地和网络打印机、关闭系统、锁定工作站等),能够创建本地组,但同样只能修改自己创建的本地组,成员不能共享目录或添加本地打印机。
5.来宾组(Guests):偶尔一次性访问的用户成员所拥有的十分有限的权利,可登录也可关闭系统。作用不及普通用户。
6.复制员组(Replicators):只支持目录复制功能。它的唯一成员是登录到域控制服务的域用户帐号,不要将实际的用户帐号加入本组,否则该成员根本没有任何权利进入系统执行操作。
7.其他特殊组:比如全局组——内置的Domain Admins组、Domain Guests组、Domain Users组等等。
Windows 2000 用户和计算机帐户管理
在一个网络中,用户和计算机都是网络的主体,两者缺一不可。拥有计算机帐户是计算机接入Windows 2000和Windows NT网络的基础,拥有用户帐户是用户登录到网络并使用网络资源的基础,因此用户和计算机帐户管理是Windows 2000和Windows NT网络管理中最必要且最经常的工作。下面就分别从用户和计算机帐户简介、创建用户和计算机帐户、删除用户和计算机帐户、停用用户和计算机帐户、为用户和计算机帐户添加组、重设用户密码等方面进行介绍。用户和计算机帐户简介活动目录用户和计算机帐户表示诸如计算机或个人等物理实体。帐户为用户或计算机提供安全凭据,以便用户和计算机能够登录到网络并访问域资源。活动目录的帐户主要用于:验证用户或计算机的身份;授权对域资源的访问;审核使用用户或计算机帐户所执行的操作等。活动目录用户帐户????用户帐户是用来记录用户的用户名和口令、隶属的组、可以访问的网络资源,以及用户的个人文件和设置。每个用户都应在域控制器中有一个用户帐户,才能访问服务器,使用网络上的资源。用户帐户由一个“用户名”和一个“口令”来标识,二者都需要用户在登录时键入。活动目录用户帐户使用户以经验证和授权访问域资源的身份登录到计算机和域。而且,用户帐户也可作为某些应用程序的服务帐户。 ????Windows 2000 提供可用于登录到Windows 2000 计算机的预定义用户帐户。这些预定义帐户包括:管理员帐户和客户帐户。预定义帐户是默认的用户帐户,它用于使用户登录到本地计算机