2.2 项目二：管理本地组账户

2.2.1 任务1：理解组账户含义

组是多个用户、计算机账号、联系人和其他组的集合，也是操作系统实现其安全管理机制的重要技术手段。属于特定组的用户或计算机称为组的成员。使用组可以同时为多个用户账户或计算机账户指派一组公共的资源访问权限和系统管理权限，而不必单独为每个账户指派权限，从而简化管理，提高效率。

需要注意的是，组账户并不用于登录计算机操作系统，用户在登录系统时均使用用户账户，同一个用户账户可以同时为多个组的成员，这样该用户的权限就是所有组权限的合并。

根据创建方式的不同，组可以分为内置组和用户自定义组。内置组是 WindowsServer 2008操作系统自动创建的一些组，拥有系统事先定义好的执行系统管理任务的权限。

关于内置组的相关描述，可以参看系统内容。具体查看的操作：打开“计算机管理”控制台，在“本地用户和组”结点中的“组”文件夹里，查看本地内置的所有组账户，如图2—10所示。

图2—10 查看内置组账户

管理员不但可以根据自己的需要向内置组添加成员或删除内置组成员，而且可以重命名内置组，但不能删除内置组。

2.2.2 任务2：创建本地用户组

仅使用系统内置组可能无法满足安全性和灵活性的需要。因为通常系统默认的用户组能够满足某些方面的系统管理需要，但是不能满足系统管理的特殊需要，所以管理员必须根据具体情况新增一些组，即用户自定义组。这些组创建之后，就可以像管理系统内置组一样，赋予其权限和增加组成员。只有本地计算机上的Administrators组和PowerUsers组成员有权创建本地用户组。在本地计算机上创建本地用户组的步骤如下：

步骤1：单击开始菜单，打开“控制面板”选择“管理工具”，单击“计算机管理”。

步骤2：从“计算机管理”控制台中展开“本地用户和组”，在“组”文件夹上单击鼠标右键，选择“新建组”命令，如图2—11所示。

步骤3：在“新建组”窗口中输入组名和描述，然后单击“创建”按钮即可完成创建。

可以在创建用户组的同时向组中添加用户。在图2—11所示窗口中，单击“添加”按钮，显示“选择用户”对话框，如图2—12所示。在字段中输入成员名称，或者使用“高级”按钮查找用户，然后单击“确定”按钮。

图2—11 “新建组”对话框

图2—12 “选择用户”对话框

2.2.3 任务3：删除、重命名本地组及修改本地组成员

对于系统不再需要的本地组，系统管理员可以将其删除。但是管理员只能删除自己创建的组，而不能删除系统提供的内置组。当管理员删除系统内置组时，将被系统拒绝。

删除本地组的方法：在“计算机管理”控制台中选择要删除的组账户，鼠标右键单击该组，然后选择“删除”，弹出图2—13所示的对话框，单击“是”即可。

图2—13 删除本地组账户对话框

每个组都拥有一个唯一的安全标识符，所以一旦删除了用户组，就不能重新恢复，即使新建一个与被删除组有相同名字和成员的组，也不会获得被删除组的权限。

重命名组的操作与删除组的操作类似，只需要在弹出的菜单中选择“重命名”，输入相应的名称即可。

修改本地组成员通常包括向组中添加成员或从组中删除已有的成员。如果要添加成员，则选择相应的组，单击“添加”按钮后选择相应用户即可。如果要删除某组的成员，则双击该组的名称，选择相应要删除的成员，单击“删除”按钮即可。