问答式学03(一)
实验一 Windows Server 2003本地账户管理
一、实验目的:
1、学习 Windows Server 2003 中的本地用户账户设置方法。
2、学习 Windows Server 2003 中的本地组账户的使用方法。
3、学习 Windows Server 2003 中本地本地安全策略的设置方法。
二、实验环境:
操作系统:Windows Server 2003;每2台计算机组成一个合作小组,可以通过网上邻居互相访问。
三、准备工作:
1、用 Administrator 账户登录计算机;把除了内置的用户帐户和内置的组帐户外的所有帐户都删除。
2、检查能否通过网上邻居访问合作者的计算机。
①要求合作者检查本地帐户权利,将 Everyone 从允许“从网络访问此计算机”的权利中删除;
②要求合作者的 Administrator 账户密码不是空。(建议 Administrator 账户设置的密码为“abc,123”)
四、实验内容:
1、建立用户账户实验
用 Administrator 账户登录计算机;按照下面的要求创建用户账户:
帐户名
密码
密码选项
隶属于
123
******
用户下次登录时必须修改密码
Power Users
切换到新帐户中,进行以下操作:
①让合作者通过网上邻居登录本机。
问:如果登录时要求输入密码,应该输入哪台计算机上的帐户名和密码?
被访问的计算机
②用“whoami /logonid”命令查看本帐户的安全标识符,并记录下来。
S-1-5-5-0-195055
③到系统分区中找到本帐户的用户配置文件,利用这个配置文件在桌面上增加一个文本文件。
问:在本帐户中,能否打开和修改 Administrator 账户的配置文件?
④修改本帐户的密码。
问:你是如何做的?
⑤切换回 Administrator 账户。
问:桌面上能否看到新帐户添加的文件?
⑥删除上面创建的新帐户
。
问:该帐户的用户配置文件是否也一并被删除了?
⑦再创建一个与上面帐户同名的帐户。
问:这个帐户的用户配置文件和原来的是否一样?这个帐户的安全标识符与原来的是否一样?
2、组账户实验
用 Administrator 账户登录计算机;按照下面的要求创建组帐户:
组名
权利
MyGroup
允许本地登录,拒绝本地登录,允许从网络访问此计算机,不允许关闭系统
① 创建一个用户帐户,把它加入 MyGroup 组,如果该帐户还同时属于其它组,都应该删除。
②用切换帐户功能登录本帐户。
问:能否登录?为什么?
取最严格的权限,所以不能登录。
去掉拒绝权限后就可以登录了。
③更改帐户权利,使它可以本地登录,然后切换到该帐户下,尝试进行以下操作,测试能否进行?
操作
能否
在C盘中新建一个文件夹
能
在我的文档中新建一个文件夹
能
更改桌面背景
能
更改系统时间
不能,权限不够
通过网上邻居访问其它计算机
可以
关闭计算机
不能
3、本地安全策略实验
用 Administrator 账户登录计算机;按照下面的要求设置本地安全策略:
密码必须符合复杂性要求
启用
密码长度最小值
6
密码最长使用期限
30天
强制密码历史
3
帐户锁定阈值
3
账户锁定时间
10分钟
切换到一个非管理员的帐户,进行如下操作:
① 更改该帐户的密码。
问:能否更改为类似于“123”的简单密码或“a=1”这样的短密码?你最终设置的密码是什么?
②再次更改该帐户的密码。
问:新密码能否设置为与前一个密码相同的密码?
③用切换帐户功能重新登录本帐户,故意输入几次错误密码。
问:当连续输入3次错误密码后会出现什么现象?
④改用管理员帐户登录,用手工解除被锁定的帐户。
五、练习题:
某服务器有如下使用要求:
1、管理员 1人,无操作限制;
2、一般维护人员 2人,可以进行安装、卸载软件,创建、删除文件,开机、关机等一般维护任务,但无权进行管理型操作;
3、访问人员 2人,可以通过网络访问该服务器,但不能本地登录服务器。
试规划该服务器中的本地用户帐户,使它能满足使用要求。
六、结束实验:
1、用 Administrator 账户登录计
算机,把本实验中自己建立的用户帐户和组帐户都删除;
2、修改本地安全策略:禁用“密码必须符合复杂性要求”,清除“密码长度最小值”,清除“强制密码历史”;
3、将 Administrator 账户的密码设置为空。(此项必做!!如果没有清除密码,将视为事故)
七、思考题:
1、登录时,用户名是否区分大小写?密码是否区分大小写?
用户名不区分大小写,密码是区分大小写
2、当启用了“密码必须符合复杂性要求”后,如果现有账户使用了简单密码或空密码,是否需要立即更改?
不需要
3、账户锁定与账户禁用有什么区别?
禁用帐户是管理员手动设置的,而帐户锁定有可能是用户自己或别人误输入密码或恶意试探密码造成的。
4、如果想要在一台服务器上创建一些只能本地登录的帐户,且这些帐户可以进行添加、删除文件等常规操作,一般该如何做?如果想要创建一些只能从网络访问的帐户,一般该如何做?
你对本地用户帐户和本地组帐户是如何理解的?
本地用户帐户可以用于登录计算机,而组帐户只能被一些用户所加入而更好的管理(如分配权限等)
对本实验的建议和意见: