**计算机用户账户:**由将用户定义到某一系统的所有信息组成的记录,账户为用户或计算机提供安
全凭证,包括用户名和用户登陆所需要的密码,以及用户使用以便用户和计算机能够登录到网络并
访问域资源的权利和权限。不同的身份拥有不同的权限,就像是一栋别墅,这栋别墅的主人可以对
这栋别墅里的物品做任意处理,包括使用,买卖,丢弃等等,而如果这栋别墅通过主人出租出去的
话,新来的租客对这栋别墅里的物品只有使用的权力而没有使用和丢弃的权利,他的权限是远远低
于这栋别墅的主人的,除了租客以外,还有平时来访的人员比如管道修理工等等,他们与租客相比
的权限更少,通常只是来做一件事情,做完了,就会离开,与租客相比他们的权限会更小。
在计算机中的用户与上述所说的没有任何区别,每一个用户所拥有的权限都是不一样的,比如
哪些用户拥有关机的权力,哪些用户拥有修改文件夹的权力等等,每个用户都包含一个用户名和密
码,相当于开启计算机的钥匙,而其在计算机的系统中的操作行为是靠计算机程序限定的,在
Windows 中,每个用户账户都有一个唯一的安全标识符(SID),用户的权限是通过 SID 来记录的,
SID 的格式如下所示:
S-1-5-21-2156321334-3508546697-3913868112-500
用户的 SID 是由 WindowsID 和用户相对 ID 组成,在上面的例子中,前半部分是 WindowsID,是
Windows 操作系统在安装过程中产生的,每台计算机的 ID 都是不同的,最后的 500 是用户的相对 ID
也就是 RID,每一个用户的 RID 也是不同的。
在注册表编辑器中我们可以查看每个用户的 SID,查看的路径为:HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
在 ProfileList 项里的子项就是用户的 SID,通过点击他的子项,我们可以看到每个用户的 RID,500
是 Administrator 管理员用户的 RID,如下图所示。
当一台 windows 服务器需要给多个人使用时,就需要为不同的使用者分配不同的权限,这个时
候就需要为每个用户都分配与不同的权限,创建多个用户。
在 Windows server2016 中,用户的管理操作的打开方式为,右键此电脑→管理,会打开服务器
管理界面,点击选择工具选项,如下图所示,打开计算机管理选项
打开计算机管理后,依次在新窗口中点击系统工具→本地用户和组→用户选项,如下图所示
打开后即可查看并管理本地用户信息,用户的管理操作需要以管理员用户身份进行,默认的管
理员账户为 Administrator
在计算机管理窗口中选中用户,打开上侧的操作菜单,选择新用户即可弹出新用户对话框,或
者在窗口右侧空白处点击鼠标右键,选择新用户也可以弹出新用户对话框,如下图所示
在新用户的对话框中输入用户名单击创建按钮即可完成用户的创建,如果不需要创建用户,单
击关闭按钮即可。下面对弹出的新用户窗口里的相关选项进行说明
**用户名:**当前所要创建的用户的名字
**全名与描述:**记录用户持有者的信息,通常由管理员自己做信息设置
**密码和确认密码:**用户的创建者为用户指定的初始密码,在 windows server 2016 中,默认开启
了密码必须符合复杂性这一选项,所以创建密码时需要满足包括字母,符号,数字这些必须符合密
码复杂性的要求。
**用户下次登陆时须更改密码:**勾选此选项后,创建出的该用户在下一次登陆时必须更改自己的
登陆密码,取消勾选将不会提示该用户更改密码,通常情况下管理员在创建用户时会勾选此选项。
**用户不能更改密码:**如果在多个用户使用同一个用户账户的这种情况下,如果其中一人对此账
户的密码做了更改而导致其他两个用户使用该账户登陆不上,造成工作效率降低等问题,会选择用
户不能更改密码这一选项。
**密码永不过期:**在密码策略中,每个密码都有一定的使用时间,到期时会自动提示更改密码,
勾选此选项后,可以让某个用户可以不受此密码策略的控制,但是为了服务器的安全等考虑,在此
我们不做勾选。
**账户已禁用:**可以禁用该账户不让对方使用。
在创建新用户时可以为用户创建密码,但是一旦使用者忘记了密码,还是需要管理员为其重新
设置密码,在上述窗口中选中需要重新设置密码的用户单击右键选择设置密码,点击继续后,输入
密码点击确认即可更改完成,管理员无需知道该用户之前的旧密码,新更改的密码会直接覆盖到该
用户,更改密码如下图所示
如果在使用该用户的人员因为一些原因离职而将该用户账户交接给其他用户使用时,就需要更
改该用户账户的用户名,更改用户名如下所示,右键点击该用户,选择属性选项,在弹出的对话框
中直接选中用户名进行修改,点击确认,完成修改。
如果使用该用户账户的员工出现离职的情况,为了安全起见,我们会将该用户禁用,如上图所
示,只需要勾选账户已禁用选项就可以禁用该账户。除了此种情况意外,通过系统登陆该用户账户
时如果密码输入错误多次此选项会自动勾选将当前用户账户锁定,如果不想等待时间太长,可以登
录管理员用户将当前用户的此选项取消,解除锁定。
当该用户账户不被使用需要销毁时,可以对该用户进行删除管理,删除方法为右键单击该用户
选择删除选项,在弹出的对话框中点击是选项进行删除。一旦删除,该用户便会消失,因为每一个
用户都有一个唯一的 SID,所以哪怕是你再创建一个同样名字的用户,也不会具备任何之前用户的权
限,操作步骤如下图所示。
新用户在创建完成以后,其操作计算机系统的权限是受限的,就好比一个刚刚出生的婴儿是不
会做饭洗衣服开车的,新创建的用户也是一样,新用户一般没有关闭系统,更改系统时间以及读写
某些文件等等,为了使该用户既能使用服务器当中的一些资源,又能保护其他资源不被窥视,破坏,
管理员或者该资源的所有者就要为其设置合适的权限。
下面以为用户赋予关闭系统的权限来举例,单击开始按钮,在右侧选择 Windows 管理工具如下
图所示
找到本地安全策略
在新弹出的窗口左侧选择本地策略→用户权限分配→在窗口右侧找到关闭系统选项,如下图所
示
双击关闭系统选项弹出对话框,或者右键点击选择属性,在弹出窗口中选择添加用户或组选项
在弹出的对话框中输入需要添加的用户名称,点击确定按钮,添加完成,使用该用户登陆操作
系统,尝试是否可以关机
Windows 系统有一些内置的用户账户,这些用户账户的权限一般不需要更改,常用于特殊的用
途,这些账户可以分为与计算机的使用者关联的账户和与 windows 组件关联的账户两类,通常是无
法删除内置账户的。
Administrator 原意为管理人或行政官员或遗产管理人,在计算机名词中,它的意思是系统超级管
理员或超级用户。windows 默认的管理员用户,在所有与使用者关联的账户中,其权限最高,在没
有其他管理员账户的情况下,建议不要将该账户禁用,为了保证计算机系统的安全,也不建议将
Administrator 的密码告诉其他使用者,此账户无法删除,建议将其改名以提高安全性。
计算机的来宾账户,是指让给客人访问电脑系统的帐户,该用户是提供给没有用户账户的访客使
用的,该账户默认是禁用的,它拥有的权限非常有限,此用户也无法删除,但是允许改名,打印机
以及共享文件服务器通常会将该用户不设置密码直接启用,通常只有使用打印机的权限,以及文件
服务器中单个文件夹的权限。
这个用户是系统管理的账户,微软为了防止开箱体验(OOBE)时出现问题而准备的默认账户,
开箱体验是 windows 操作系统在首次使用时,跳过安装界面后弹出的系统设置选项,在之前的预览
版中,OOBE 界面容易出现卡死的状态,此用户是为了系统卡死后重新启动进入系统所使用的用户。
这些关联用户账户是不能被使用者管理的,因此它们是无法在用户管理中找到,但它们确实存
在
SYSTEM 的中文意思是系统,在 Windows 中拥有比管理员更大的权限,在 Windows 中主要作为系统服务或进程的运行账户。该账户与使用计算机的人无关,是为 windows 的核心组件访问文件等
资源提供权限的,这些核心组件包括 csrss.exe(客户端服务器运行时进程)、lsass.exe(本地安全机
构进程)等,SYSTEM 拥有高于 Administrator 的权限,并且 Administrator 用户所拥有的权限已满足正
常的管理需求,不为其分配最高权限,是为了防止使用者误操作造成操作系统的不稳定,system 用
户如下图所示。
LOCAL SERVICE 是 windows 中的内置账户,权限比普通用户(Users)更小,在 Windows 中主要
作为系统服务或进程的运行账户。它的全名是:NT AUTHORITY\LOCAL SERVICE,它也与计算机的
使用者无关,它是为操作系统的一部分服务提供访问系统的权限,即使这些服务被入侵控制,也没
有访问系统重要位置的权限。本地服务如下图所示。
NETWORK SERVICE (网络服务)
这个账户与本地服务账户一致,也是为 windows 的一部分服务提供访问系统的权限,两者的区
别在于,当计算机加入 Windows 域后,本地 NETWORK SERVICE 账户与 LOCAL SERVICE 账户在其他
计算机上以不同的用户身份置换