第2章 本地用户和组管理
教学重点
● 管理本地用户账户
● 管理本地组账户
● 与本地用户相关的安全管理操作
教学情景导读
你是否了解并创建过由一台计算机服务器为成百上千 (或是成千上万)名用户同时提供信息共享的环境?如果该计算机的所有物理系统资源为实现共享而提供了一定的物质基础,那么由于其上运行了不合适 (或是缺乏用户安全管理功能)的操作系统软件,结果将是无法统筹管理系统资源而造成资源使用的低效甚至无法正常使用。WindowsServer 2008提供的用户账户管理功能机制可以安全解决该问题。作为多用户、多任务的操作系统,WindowsServer2008拥有一个完备的系统账户和安全、稳定的工作环境,系统所提供的账户类型主要包括用户账户和组账户。用户只有首先登录到系统中,才能够使用系统所提供的资源。系统管理员可根据不同用户的具体使用情况,设立不同的用户账户,设置不同的权限。用户只有通过某个账户才能登录到计算机,并且只能拥有管理员分配给该账户的资源的使用权。
2.1 项目一:管理本地用户账户
用户账户是用来登录到计算机或通过网络访问计算机及网络资源的凭证,它是用户在WindowsServer2008操作系统中的唯一标识。如果用户要登录到 WindowsServer2008计算机系统或者 WindowsServer2008所支持的网络资源环境,那么必须拥有一个合法的用户账户。WindowsServer2008通过创建账户 (包括用户账户和组账户),并赋予账户合适的权限来保证网络和计算机资源使用的合法性,以确保数据访问、存储的安全需要。
2.1.1 任务1:理解用户账户管理原理
用户账户是计算机操作系统实现其安全机制的一种重要技术手段,操作系统通过用户账户来辨别用户身份,让具有一定有使用权限的人登录计算机,访问本地计算机资源或从网络访问这台计算机上的共享资源。系统管理员根据不同用户的具体工作情景,指派不同用户以不同的使用权限,从而使用户执行并完成不同的管理任务。因此,运行 WindowsServer 2008系统的计算机,都需要有用户账户才能登录计算机。在WindowsServer2008启动运行或登录已运行系统的过程中,都要求用户输入指定的用户账户名和密码,只有用户输入的账户名和密码与本地数据库中的相关信息一致,才允许用户登录到本地计算机或从网络上获取对相关资源的访问权限。
用户登录系统时,本地系统验证用户账户有效性的基本原理:如果用户提供正确的用户名和密码,则本地系统分配给用户一个访问令牌 (AccessToken),该令牌定义了用户在本地计算机系统的访问权限,资源所在的计算机系统负责对该令牌进行鉴别,以保证用户只能在管理员定义的权限范围内使用本地计算机上的资源。对访问令牌的分配和鉴别是由本地计算机的安全权限功能负责的。
WindowsServer2008支持两种用户账户:本地用户账户和域用户账户。
本地用户账户是指安装了 WindowsServer2008的计算机在本地安全目录数据库中建立的账户。使用本地账户只能登录到建立该账户的计算机,并访问该计算机的系统资源。此类账户通常在工作组网络中使用,其显著特点是基于本机的。
域用户账户是建立在域控制器的活动目录数据库中的账户。此类账户具有全局性,可以登录到域网络环境模式中的任何一台计算机,并获得访问该网络的权限。这需要系统管理员在域控制器中,为每个登录到域的用户创建一个用户账户。
另外,WindowsServer2008还提供内置用户账户 (即系统用户账户),用于执行特定的管理任务或使用户能够访问网络资源。WindowsServer2008系统最常用的两个内置账户是Administrator和Guest。
Administrator即系统管理员账户,拥有最高的资源使用权限,可以对该计算机或域配置进行管理,如创建修改用户账户和组、管理安全策略、创建打印机、分配用户访问资源的权限等。Administrator账户是在安装WindowsServer2008的过程中创建的,系统默认的名称是Administrator,用户无法删除它。
Guest即为临时访问计算机的用户提供的账户。Guest账户也是在系统安装中自动添加的,并且不能删除。在默认情况下,为了保证系统安全,Guest账户是禁用的,但在安全性要求不高的网络环境中,可以使用该账户。Guest账户只拥有很少的权限,系统管理员可以更改其权限。
2.1.2 任务2:创建用户账户
1.用户账户创建前的规划
在系统中创建用户账户前,应先制定一个创建账户所遵循的规则或约定,这样便于统一管理账户,提供高效、稳定的系统应用环境。
(1)用户账户命名规则。
1)用户账户命名注意事项。一个良好的用户账户命名策略有助于系统账户的管理。
● 账户名必须唯一:本地账户名称在本地计算机系统中是唯一的。
● 账户名不能包含的字符:“? ”、“+”、“*”、“∧”、“[]”、“=”、“<”、“>”等。
● 账户名称最长只能包含20个字符。不论用户输入多少个字符,但系统只识别前20个字符。
● 用户名不区分大小写。
2)用户账户命名推荐策略。为加强用户管理,在企业应用环境中通常采用下列命名规范。
● 用户全名:建议用户全名以企业员工的真实姓名命名,便于管理员、管理用户账户。比如张玉婷,管理员创建用户账户将其姓指定为“张”,名指定为“玉婷”,则用户在打开“活动目录用户和计算机”时可以方便地查找到该用户账户。
● 用户登录名:用户登录名一般要符合方便记忆和具有安全性的特点。用户登录名一般采用姓的拼音加名的首字母,如将张玉婷登录名命名为Zhangyt。
(2)用户账户密码设置规则。
1)用户账户密码设置注意事项。
● Administrator账户必须指定一个密码,并且除系统管理员外的用户不能随便使用该账户。
● 系统管理员在创建用户账户时,可给每个用户账户指定一个唯一的密码。为防止其他用户对其进行更改,该用户在第一次登录时最好修改其登录密码。
2)用户账户密码设置推荐策略。
● 采用长密码:WindowsServer2008用户账户密码最长可以包含127个字符,理论上来说,用户账户密码越长,安全性就越高。
● 采用大小写、数字和特殊字符组合密码:WindowsServer2008用户账户密码严格区分大小写,采用大小写、数字和特殊字符组合密码将使用户密码更加安全。
2.创建本地用户账户
创建本地用户账户的操作用户必须拥有管理员权限,才可以执行。可以通过使用“计算机管理”中的“本地用户和组”管理单元来创建本地用户账户,创建步骤如下:
步骤1:单击开始菜单,打开“控制面板”,选择“管理工具”,单击“计算机管理”,打开如图2—1所示的“计算机管理”窗口。
图2—1 “计算机管理”窗口
步骤2:在“计算机管理”窗口中,展开“本地用户和组”结点,在“用户”文件夹上单击鼠标右键。选择“新用户”命令,打开如图2—2所示的“新用户”对话框。
图2—2 “新用户”对话框
步骤3:打开“新用户”对话框后,输入用户名、全名、描述和用户密码。指定用户密码选项,单击“创建”按钮新增用户账户。创建完用户后,单击“关闭”按钮返回到“计算机管理”控制台。
表2—1详细说明了各个用户密码选项的作用。
表2—1 用户密码选项说明
注意:密码选项中的“用户下次登录时须更改密码”、“用户不能更改密码”和“密码永不过期”互相排斥,不能同时选择。
本地用户账户仅允许用户登录并访问创建该账户的计算机。当创建本地用户账户时, WindowsServer2008使用的数据库是位于%Systemroot%\system32\config文件夹下的安全数据库 (SAM)。
WindowsServer2008创建的用户账户不允许相同,系统内部通过安全标识符 (Security Identifiers, SID)来识别每个用户账户。每个用户账户都对应一个唯一的安全标识符,它在用户创建时由系统自动产生。系统分配权限需要使用这个安全标识符。
注意:当删除一个用户账户后,重新创建名称相同的账户并不能获得先前账户的权限。
用户登录后,可以在命令提示符状态下输入“whoami/logonid”命令查询当前用户账户的安全标识符,如图2—3所示。
图2—3 查询当前用户账户的安全标识符
2.1.3 任务3:设置用户账户属性
为了管理和使用的方便,一个用户账户不仅包括用户名和密码,还包括一些其他属性,如用户隶属的用户组、用户配置文件、用户的拨入权限、终端用户设置等。可以根据需要对账户的属性进行设置。在“本地用户和组”窗口的右侧栏中,双击一个用户,将显示该用户的“用户属性”对话框。图2—4所示的是Administrator用户的属性设置窗口。
1.“常规”选项卡
在“常规”选项卡中,设置与账户有关的一些描述信息,包括全名、描述、用户密码选项等。管理员可以设置密码选项,如果账户已经被系统锁定,管理员可以解除锁定。
2.“隶属于”选项卡
在“隶属于”选项卡中,设置该账户和组之间的隶属关系,如把账户加入到合适的本地组中,或者将用户从组中删除,如图2—5所示。
图2—4 “Administrator属性”窗口
图2—5 “隶属于”选项卡
为了管理方便,通常把用户加入到组中,通过设置组的权限统一管理用户的权限。根据需要对用户组进行权限的分配与设置,用户属于哪个组,就具有哪一个组的权限。新增的用户账户默认的是加入到Users组中,Users组的用户通常不具备一些特殊权限 (如安装应用程序、修改系统设置等)。因此当为用户分配某些特殊权限时,可以将该用户账户加入到拥有这些权限的组。如果需要将用户从一个或几个组中删除,则单击“删除”按钮。
下面以将本地用户账户“UserA”添加到管理员组为例,介绍添加用户到组的操作步骤。
步骤1:在“隶属于”选项卡中,单击图2—5中的“添加”按钮。
步骤2:在图2—6所示的“选择组”对话框中输入管理员组的名称“Administrators”。单击“检查名称”按钮,检查该名称是否正确,如果输入了错误的组名称,系统将提示找不到该名称。如果没有错误,则该名称会改变为本地计算机名称\组名称。这里单击“检查名称”按钮后,名称会改变为“ABC\Administrator”。
也可以找出可用的组的列表,从中选择需要的组,这样可以不用手动输入组名称。单击图2—6中的“高级”按钮,在弹出的窗口中单击“立即查找”按钮,出现可用的组列表,如图2—7所示,从列表中选择需要的组即可。
图2—6 “选择组”对话框
图2—7 查找可用的组
3.“配置文件”选项卡
在“配置文件”选项卡中,可以设置用户账户的配置文件路径、登录脚本和主文件夹路径等。用户配置文件是存储当前桌面环境、应用程序设置以及个人数据的文件夹和数据的集合,还包括所有登录到计算机上所建立的网络连接。由于用户配置文件提供的桌面环境与用户最近一次登录到该计算机上所用的桌面相同,因此就保持了用户桌面环境及其他设置的一致性。当用户第一次登录到计算机时,WindowsServer2008会自动创建一个用户配置文件并将其保存。本地用户账户的配置文件则保存在本地磁盘%Userpro-file%文件夹中。
“配置文件”选项卡如图2—8所示。下面分别介绍用户配置文件、登录脚本和主文件夹的相关知识。
图2—8 “配置文件”选项卡
(1)用户配置文件有以下几种类型:
1)默认用户配置文件。默认用户配置文件是所有用户配置文件的基础。当用户第一次登录WindowsServer2008时,WindowsServer2008会将本地默认用户配置文件夹复制到%Sys-temdrive%\DocumentsandSettings\%Username%中,以作为初始的本地用户配置文件。
2)本地用户配置文件。本地用户配置文件保存在本地计算机上的%Systemdrive%Docu-mentsandSettings\Username%文件夹中,所有对桌面设置的改动都可以通过修改本地用户配置文件实现。
3)强制用户配置文件。强制配置文件是一个只读的用户配置文件。当用户注销时, WindowsServer2008不保存用户在会话期内所做的任何改变。可以为需要同样桌面环境的多个用户定义一份强制配置文件。在配置文件中,隐藏文件Ntuser.at包含应用单个用户账户的 WindowsServer2008的部分系统设置和用户环境设置,管理员可以通过将其改名为Nmset.man,把该文件属性变成只读型,即创建强制用户配置文件。
4)漫游用户配置文件。通过设置漫游用户配置文件,可以支持用户在多台计算机上工作。漫游用户配置文件只能由系统管理员创建,可以保存在某个网络服务器上,用户无论从哪台计算机登录,均可获得这一配置文件。用户登录时,WindowsServer2008会将该漫游用户配置文件从网络服务器复制到该用户当前所用的 WindowsServer2008机器上。因此,用户总是能得到自己的桌面环境设置和网络连接设置。漫游用户配置文件只能在域环境下实现。
在第一次登录时,WindowsServer2008将所有的文件都复制到本地计算机上。此后,当用户再次登录时,WindowsServer2008只需比较本地储存的用户配置文件和漫游用户配置文件。这时,系统只复制用户最后一次登录并使用这台计算机时被修改的文件,因此缩短了登录时间。当用户注销时,WindowsServer2008会把对漫游用户配置文件本地备份所做的修改复制到该漫游配置文件的服务器上。
(2)登录脚本。登录脚本是希望用户登录计算机时自动运行的脚本文件,脚本文件的扩展名可以是.VBS、.BAT或.CMD。
(3)主文件夹。主文件夹是 WindowsServer2008为用户提供的用于存放个人文档的主文件夹。主文件夹可以保存在客户机上,也可以保存在一个文件服务器的共享文件夹中。用户可以将所有的用户主文件夹都定位在某个网络服务器的中心位置,因为主文件夹不属于漫游配置文件的一部分,所以它的大小并不影响登录时网络的通信量。管理员在设置主文件夹参数时,应考虑以下因素:在实现对用户文件的集中备份和管理时,基于安全性考虑,应将用户主文件夹存放在NTFS卷中,利用NTFS的权限来保护用户文件 (放在FAT卷中只能通过共享文件夹权限来限制用户对主目录的访问)。用户可以通过网络中任意一台联网的计算机访问其主文件夹。
2.1.4 任务4:删除本地用户账户
对于不再需要的账户可以将其删除,但在执行删除操作之前应确认其必要性,因为删除用户账户会丢失与该账户有关的所有信息。从前面的学习我们知道,每个用户都有一个名称之外的唯一的标识符SID, SID在新增账户时由系统自动产生,不同账户的SID是不同的。由于系统在设置用户权限、访问计算机或网络中的资源时都需要使用SID,所以一旦用户账户被删除,这些信息也就消失了。即使重新创建一个名称相同的用户账户,也不能获得原来用户账户的权限。系统内置账户如Administrator、Guest等是无法删除的。
删除本地用户账户在“计算机管理”控制台中进行,选择要删除的用户账户,执行删除功能,出现如图2—9所示对话框,进一步确认即可。
图2—9 删除本地用户账户对话框