目录
简介
1.管理用户账户
1.1用户账户概述
1.2 用户管理
1.创建用户
2.为用户设置密码
3.重命名用户
4.启用、禁用用户账户
5.删除用户账户
6.为用户设置权限
1.3内置用户账户
1.与使用者关联的用户账户
1)Administrator
2)Guest
3)DefaultAccount
2.与Windows组件关联的用户账户
1)SYSTEM(本地系统)
2)LOCAL SERVICE(本地服务)
3)NETWORK SERVICE(网络服务)
Windows Server2016允许多个用户同时使用计算机。同时,Windows Server2016是网络服务器使用的操作系统,需要为网络上的多个用户提供服务。本章将介绍在 Windows Server2016 中创建,管理用户账户和用户组账户的相关内容,这些内容是第3章及后续各章的基础,Windows10等桌面操作系统也是多用户操作系统,虽然许多家庭用户并不需要多用户管理功能,但在WindowsT作组网络和Windows域网络中,多用户管理却很必要。
“用户”是计算机的使用者在计算机系统中的身份映射,不同的身份拥有不同的权限。就像很多
人都可以进入某个私人住宅,但是因为他们相对于这所住宅的身份不同,所以决定进入住宅的每个
人对住宅内的物品拥有不同的权限,住宅的主人可以任意处理这些物品(使用,买卖,丢弃等),主
人家的常住亲属可以使用住宅内的大部分物品,其他访客(如管道维修工、入户调查员等)只可以使用少量的物品。
某一个人相对于这所住宅可能拥有多个身份,如既是住宅的常住主人,也是房产的拥有者(想
想租房子的情况);某些人相对于这所住宅的身份可能是相同的,如管道维修工和入户调查员都只是
访客的身份。
计算机系统中的“用户”与这些虽看不见但确实存在的“身份”的作用基本一致,不同的“用户身份”限定了不同的使用者在计算机系统内的操作行为,如哪些使用者可以修改系统时间,哪些使用者不能这样做。
每个“用户”包含一个名称和一个密码,相当于开启计算机系统的钥匙。与住宅钥匙不同的是,拥有钥匙的人,其在住宅内的行为是靠“道德”和“法律”限定的,而拥有“用户”的计算机使用
者,其在计算机系统内的操作行为是靠计算机程序限定的(也会有法律的约束)。
如图所示,张无忌是这台计算机的管理员,拥有“Administrator”和“Wuji”两个用户的身份,使用“Administrator”用户可以无限制地使用这台计算机,用干管理,使用“Wuii”用户可以操作这台计算机上的应用程序,可以通过这台计算机访问Internet等,但无法做管理相关的操作“道人甲”和“道人乙”使用这台计算机的需求完全相同,所以管理员为他们创建了一个用户“Wudang”;对于外来使用者,不希望他们拥有过多的操作权限,可以允许他们以“Guest”用户的身份访问计算机系统。
在Windows中 每个用户账户都有一个唯一的安全标识符(SecurityIdentifier,SID),用户的权
限是通过用户的SID记录的。SID的格式如下所示:
用户的SID由WindowsID和用户相对ID组成上面的例子中S-1-5-21-3446105432-4244440023-
1384158327是Windows的ID,在Windows的安装过程中产生,每台计算机的WindowsID 不同。500是用户的相对ID(RelativeID,RID),每个用户的RID不同。
在注册表编辑器中可以查看每个用户的SID,如图2.2所示。展开
HKEY LOCAL MACHINE\SOFTWAREMicrosoft\Windows NT\Current
Version\ProfileList项,其中的子项名称就是用户的SID,如S-1-5-21-
2004355049-3409698953-3165279881-500。
单击某个SID,从其中的ProfileImagePath的数据中可以看出这个SID的用户名是 Administrator。
当一台计算机需要提供给多人使用,或允许其他人通过网络访问这台计算机,并且需要为不同的使用者分配不同的权限,如关闭系统的权限,修改系统时间的权限,访问文件的权限(只读或是可修改)时,就需要创建多个用户账户。
在Windows Server2016中,用户的管理操作可以在“计算机管理”窗口中进行如图所示,打开“计算机管理”窗口,在左侧的控制台树中依次展开“系统工具”→“本地用户和组”→“用户”,即可查看并管理本地用户。用户的管理操作需要以管理员用户身份进行,默认的管理员是“Administrator”。
本地用户是相对于Windows域用户而言的,Windows域用户的概
念将在后续课程中介绍。
在“计算机管理”窗口中选中“用户”,打开“操作”菜单,选择“新用户”即弹出“新用户”
对话框,如图所示。
在“新用户”对话框中输入用户名,单击“创建”按钮即可完成一个用户的创建。如果不需要
创建其他用户,单击“关闭”按钮。
下面是对相关选项的说明。
全名和描述:记录用户持有者的信息,如张三丰,武当派掌门人。
密码和确认密码:用户的创建者为用户指定的初始密码。在Windows Server 2016中,默认启用了“密码必须符合复杂性要求”的策略,所以为用户设置的密码必须符合复杂性的要求。
用户下次登录时须更改密码:为防止使用者使用初始密码,而不更改(一般情况下,初始密码比较简单,且有可能与其他用户初始密码一致),选中此项,可以强迫使用者在下次登录时必须更改密码。
用户不能更改密码:在多个使用者使用同一个用户账户时(如果其中一个人更改了密码就会造成其他使用者无法登录),或其他任何不希望使用者更改密码的情况,可以选中此项。此项在取消选中“用户下次登录时需更改密码”时有效。
密码永不过期:当用户密码使用超过了密码策略中设置的最长使用期限,用户登录时会提示密码过期,必须更改,如果希望某个用户的密码不受此策略的限制,可以选中此项,此项在取消选中“用户下次登录时须更改密码”时有效。
账户已禁用:创建用户后,通常需要为用户设置权限,为防止在权限设置完成前,该用户即被使用,可以创建一个禁用的用户账户,待权限设置完成后,再启用该用户。
打开“操作”菜单的方式如下。
单击菜单栏中的“操作”。
在操作对象上右击。
单击右侧操作窗格中的“更多操作”。
虽然可以在创建新用户时为用户设置密码,但一旦使用者忘记了密码,还需要管理员为其重新设置密码。在“计算机管理”窗口中选中需要重新设置密码的用户,打开“操作”菜单,选择“设置密码”,在随后弹出的对话框中单击“继续”按钮,然后输入新密码以及确认密码,单击“确认”按钮即可,如图所示,管理员无须知道用户的旧密码。
重命名的操作比较简单,在“计算机管理”窗口中,双击要重命名的用户,打开该用户的属性,
如图所示,重新输入该用户的全名,然后单击“确定”按钮即可。
如果在创建用户时选中了“账户已禁用”复选框,当权限设置完毕,需要启用该账户时,在“计算机管理”窗口中,选择要启用的用户,打开“操作”菜单,选择“属性”(或双击该用户)。在打开的用户属性对话框中取消选中“账户已禁用”复选框,单击“确定”按钮即可 如图所示,也可以随时选中“账户已禁用”复选框,将账户再次禁用。
如果设置了账户锁定策略,并且当某个用户账户的登录失败的次数超过设置的账户锁定阈值,导致用户账号被锁定时,该用户属性对话框中的“账户已锁定”复选框为有效状态。管理员可以取消选中此复选框,解除账户的锁定,也可以等待账户锁定时间过后,该账户自动解除锁定。
如果某个用户被删除,即使创建一个与被删除用户同名的新用户,其 SID 与原用户也不相同,新用户不会具备原用户的任何权限,需要重新设置。
要删除某个用户,可以在“计算机管理”窗口中选择该用户,打开“操作”菜单,单击“删除”按钮,Windows会弹出对话框提示SID和权限问题,如图所示,如果确认删除该用户不会为工作带来任何麻烦,单击“是”按钮。
如果要删除的用户当前已经登录,Windows会弹出如图所示的提示对话框,单击“是”按钮完成删除。
新用户创建后,其操作计算机系统的权限是受限的,如不能关闭Windows系统,不能更改系统
时间,不能读写某些文件等。为使该用户既能正常使用其工作所需的计算机资源,又能保护其他资
源不被窥视,破坏,管理员或资源的所有者要为其设置合适的权限。
下面介绍通过本地安全策略为用户设置权限。用户对文件和文件夹的读写权限将在第3章介绍。单击“开始”按钮,在右侧打开Windows管理工具,双击打开本地安全策略”在弹出的窗口中选择“本地策略”→“用户权限分配”如图所示,在右侧的窗格中可以为用户分配各种权限,
案例为用户设置关闭系统的权限。
网络服务器需要为网络上的多个用户提供服务,这些用户的访问可能分散在一天中的不同时段(24小时全天候的),不能允许某个用户在自己获得服务后将服务器关闭,所以WindowsServer2016默认只允许管理员和其他少数特殊用户关闭系统,普通的用户默认没有关闭系统的权限,即不能关闭和重新启动Windows
如果希望普通用户robin能够帮助管理员关闭计算机,可以为其设置关闭系统的权限。展开本地安全策略窗口下面的用户权限分配,在右侧的窗格中双击“关闭系统”策略,如图所示,打开如图所示的“关闭系统属性”对话框。
在“关闭系统属性”对话框中单击“添加用户或组”按钮,弹出如图2.12所示的“选择用户或组”对话框。
在“选择用户或组”对话框中输入要添加的用户,如图2.12所示,单击“确定”按钮,返回“关
闭系统属性”对话框,单击“确定”按钮完成权限的设置。
服务器通常放置在专门的机房内,普通用户无法进入其中,只要保
证普通用户不能通过关机程序关闭系统即可。
除实验环境外,将服务器置于公共场所也是不可取的。
Windows系统有一些内置的用户账户,这些用户账户的权限一般不需要更改,常用于特殊的用途。这些账户可以分为与计算机的使用者(人)关联的账户和与Windows组件(程序)关联的账户
两类,通常无法删除内置账户。
Administrator是默认的管理员用户,在所有与使用者关联的账户中,其权限最高。在没有其他管理员账户的情况下,建议不要将该账户禁用。为了保证计算机系统的安全,也不建议将Administrator的密码告诉其他使用者,此用户无法删除,建议提高安全性。
Guest是提供给没有用户账户的访客使用的。该账户默认是禁用的。它拥有的权限非常有限,此账户也无法删除,但是允许改名。
DefaultAccount是系统管理的账户,微软为了防止开箱体验(OOBE)时出现问题而准备的默认
账户。
这类账户不能被使用者管理,因此无法在用户管理中找到它们,但它们确实存在。
该账户与使用计算机的人无关,是为Windows的核心组件访问文件等资源提供权限的。这些核心组件包括csrssexe(客户端服务器运行时进程)、lsass.exe(本地安全机构进程)等,如图所示。SYSTEM拥有高于Administrator的权限。
Administrator 用户所拥有的权限已满足正常的管理需求,不为其分配最高的权限,是防止使用者误操作,影响Windows系统的稳定。
LOCAL SERVICE账户与计算机的使用者无关,它是为Windows的一部分服务提供访问系统的权限,如图所示,LOCALSERVICE账户的权限与Users组中用户的权限一致,即使这些服务被入侵控制,也没有访问系统重要位置的权限。
NETWORKSERVICE账户与LOCALSERVICE账户一致,也是为Windows的一部分服务提供访问系统的权限,如图所示。两者的区别是:当计算机加入Windows域后,本地NETWORK SERVICE账户与LOCAL SERVICE 账户在其他计算机上以不同的用户身份置换。
谢谢观看,下期继续