Windows用户和组管理

SID

​ 每个用户账户拥有唯一的安全标识符，用来记录用户的权限

组成：

• SID = Windows ID + 用户的相对ID
• Windows ID：在安装Windows 的过程每台计算机都会产生不同的WindowsID（克隆的新虚拟机与原虚拟机SID相同）
• 相对ID(用户ID)： 500 是Administrator账户的相对ID ；新建的第一个用户是1000，第二个是1001，依次类推。

举个栗子：

S-1-5-21-2884017511-3916249987-3152507841-1001
WIndows-ID：S-1-5-21-2884017511-3916249987-3152507841
User-ID：1001

账户分类

1. 与使用者相关联的账户

• Administrator：默认管理员账户（使用者中权限最高）
• Guest： 访客使用（默认禁用）

2. 与Windows 组件关联的账户

• SYSTEM ：本地系统账户；为Windows 核心组件访问文件提供权限 （拥有高于Administrator的权限）
• Local Service：本地服务， 一部分服务提供访问系统权限 ；权限非常低
• Network Service ：（网络服务， 一部分网络提供访问系统的权限；权限非常低

用户管理相关操作

图形化界面管理用户

1. 新建test用户。服务器管理器 → 配置 → 本地用户和组 → 用户 → 右键选择【新用户…】选项。

   

2. 删除test用户。服务器管理器 → 配置 → 本地用户和组 → 用户 → 选中test用户右键选择【删除】选项。

   

命令行界面管理用户

1.查看所有用户
net user

查看admin用户信息
net user admin

2.启用或禁用指定用户：
-- 启用admin用户
net user admin /active:yes # 启用
-- 禁用admin用户
net user admin /active:no	# 禁用

3.命令创建用户
-- 创建用户zhangsan密码为123.com
net user zhangsan 123.com /add 

4.命令重置用户密码
-- 将zhangsan用户密码重置位空
net user zhangsan ""

5.修改用户密码
-- 将admin用户的密码修改为[email protected]
net user admin [email protected]

6.命令删除用户
-- 删除zhangsan用户
net user zhangsan /del 

5.将用户加入指定组qq.com
-- 将zhangsanj加入administrators管理组
net localgroup administrators zhangsan /add

组的定义

​ 一些账户的集合，为“组”设置权限后，隶属于该组的账户默认具有这些权限，方便管理

组的分类

1. 需要人为添加成员的组

• Administrators组：默认管理员组 （可以将账户加入该组让用户具有管理员权限）
• Guests组：默认来宾组
• Power Users组：Windows Server 2008上为向下兼容保留的组 （不再使用）
• Users组：新用户的默认组

2. 动态包含成员的组

• INTERACTIVE：默认包含在本地登录的账户
• Authenticated Users：包含了通过验证的账户，不包含来宾用户
• Everyone：所有账户 （设置开放权限时使用）

组的相关操作

图形化管理用户

1. 新建tests组。服务器管理器 → 配置 → 本地用户和组 → 组 → 右键选择【新建组…】选项。

   

2. 删除tests组。服务器管理器 → 配置 → 本地用户和组 → 组 → 选中tests组右键选择【删除】选项。

   

命令管理用户

1.	命令创建组
-- 创建jishubu组
net localgroup jishubu /add 

2.	命令删除组
-- 删除jishubu组
net localgroup jishubu /del

3.	命令添加用户到指定组
-- 将zhangsanj加入administrators管理组
net localgroup administrators zhangsan /add

4.  把指定用户踢出组
-- 将用户zhangsan踢出administrators组
net localgroup administrators zhangsan /del

实验练习

• Windows访问控制列表配置实验