windows server2012 安全配置方案—多个管理员账号、管理员帐号改名、陷阱帐号

---

1.多个管理员账号

创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物，另一个拥有Administrator权限的帐户只在需要的时候使用。

因为只要登录系统以后，密码就存储在WinLogon进程中，当有其他用户入侵计算机的时候就可以得到登录用户的密码，尽量减少Administrator登录的次数和时间。

方法：
打开控制面板，依次点击“用户账户”→“用户账户”→“管理用户账户”
然后将“要使用本计算机，用户必须输入用户名和密码”勾起来。然后就可以选择添加或删除用户名

添加用户：
输入用户名，然后点击“浏览”→“高级”→“立即查找”，单击确定选择域，然后下一步



选择“其他”，然后再右边的下拉选框选择 Users

点击下一步，然后点击完成

2.管理员帐号改名

Windows server中的Administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。

不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone。具体操作的时候只要选中帐户名改名就可以了。

从控制面板的“管理用户账户”是修改不了用户名的，所以我们换一种方法：
打开“控制面板”→“系统和安全”→“管理工具”→“Active Director用户和计算机”→“heyunhui.cn”→“Users”，找到Administrator

选中Administrator，鼠标右击选择“属性”，找到“账户”模块。将Administrator改为guestone

改完后单击应用并确定。
然后我们来看一下系统用户名修改了没有：
打开控制面板，依次点击“用户账户”→“用户账户”→“管理用户账户”

3.陷阱帐号

所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。

这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组

方法：
（1）打开“控制面板”→“系统和安全”→“管理工具”→“Active Director用户和计算机”→“heyunhui.cn”→“Users”。在菜单栏选择“操作”→“新建”→“用户”

用户名为Administrator

单击“下一步”输入密码，这里输入一个超10位的复杂密码，最好自己也记不住那种

点击“下一步”，然后点击“完成”

（2）该用户隶属的组修改成Guests组，它的权限设最低

选中新建的账号，右键选择“”。找到“添加到组”

选择“高级”，然后查找

这些都弄完后，我们**打开控制面板，依次点击“用户账户”→“用户账户”→“管理用户账户”**查看：

如图，陷阱账号添加完成