本地用户和组管理(精选)

用户和组的管理

passwd文件格式
账号名称：密码：UID：GID：个人资料：主目录：Shell 每个字段的说明如下： (1) 账号名称：用户登录Linux 系统时使用的名称。 (2) 密码：这里的密码是经过加密后的密码，而不是真正的密码，若为“x”，说明密码已经被移动到shadow 这个加密过后的文件。 (3) UID：用户的标识，是一个数值，Linux 系统内部使用它来区分不同的用户。通常Linux 对于UID 有几个限制，具体如下。 ① 0 为系统管理员，即root 用户，所以新建另一个系统管理员账号时，可以将该账号的UID 改成0 即可。 ② 1～500 为保留给系统使用的ID，其实1～65534 之间的账号并没有不同，也就是除了0 之外，其他的UID 并没有区别，但将500 以下的ID 留给系统作为保留账号是一个好习惯。 ③ 500～65535 在Fedora中是给一般使用者用的，passwd 文件最后一行的记录Bob用户的UID就是500。 (4) GID：用户所在组的标识，是一个数值，Linux 系统内部使用它来区分不同的组，相同的组具有相同的GID。 (5) 个人资料：可以记录用户的个人信息，如姓名、电话等信息。 (6) 主目录：root 的主目录为/root，所以当root 用户登录之后，当前的目录就是/root；对于其他用户通常是/home/username，这里username 是用户名，用户执行“cd～”命令时当前目录会切换到个人主目录，如Bob用户的主目录为/home/Bob。 (7) Shell：定义用户登录后使用的Shell 版本，默认是bash。
Linux 的用户
在Linux系统中，每个用户对应一个帐号。Fedora 8安装完成后，系统本身已创建了一些特殊用户，它们具有特殊的意义，其中最重要的是超级用户，即 root。还有一类用户是系统用户，是Linux 系统正常工作所必需的内建用户，主要是为了满足相应的系统进程对文件属主的要求而建立的，如bin、daemon、adm、lp 等用户。系统用户不能用来登录。系统用户也被称为虚拟用户。

《网络操作系统Windows Server 2016系统管理》教学课件02本地用户和组的管理

2.3 与本地用户相关的安全管理操作
2.账户锁定策略管理
账户锁定策略指用户设置什么时候及多长时间
内账户将在系统中被锁定不能使用。Windows Sever 2016 在默认情况下,没有对账户锁定进行设定,为了保证系统的安全,最好设置账户锁定策略。账户锁定原则包括如下设置:账户锁定时间、账户锁定阈值和复位账户锁定计数器。
每个组都拥有一个唯一的安全标识符(SID),所以一旦删除了用户组,就不能重新恢复,即使新建一个与被删除组有相同名字和成员的组,也不会与被删除组有相同的特性和特权。
重命名组的操作与删除组的操作类似,只需要在弹出的菜单中选择“重命名”,输入相应的名称即可。
2.3 与本地用户相关的安全管理操作
Windows Server 2016的安全设置在“管理工具”提供的“本地安全策略”单元控制台中进行,此控制台可以集中管理本地计算机的安全设置原则。使用管理员账户登录到本地计算机,即可打开“本地安全策略”控制台,如图2-14所示。
2.1 管理本地用户账户
2.1.2 创建用户账户
步骤2:在“计算机管理”窗口中,展开 “本地用户和组”结点,在“用户”文件夹上单击鼠标右键。选择“新用户”命令,打开图2-2所示的“新用户”对话框。
2.1 管理本地用户账户
2.1.2 创建用户账户
(3)打开“新用户”对话框后,输入用户名、全名和用户描述信息和用户密码。指定用户密码选项,单击“创建”按钮新增用户账户。创建完用户后,单击“关闭”按钮返回到 “计算机管理”控制台。
另外,Windows Server 2016还提供内置用户账户(即系统用户账户),用于执行特定的管理任务或使用户能够访问网络资源。Windows Server 2016系统的最常用的两个内置账户是Administrator和Guest。

用户和组管理

在Windows Server 2003中，用组账户来表示组，用户只能通过用户账户登录计算机，不能通过组账户登录。
1. 组的类型
与用户账户一样，根据Windows Server 2003服务器的工作组模式和域模式，组分为本地组和域组。 1）本地组
创建在本地的组账户叫本地组。这些组账户的信息被存储在本地安全账户数据库（SAM）中。本地组只能在本地计算机上使用，它有两种类型：用户创建的组和系统内置的组。 2）域组
（2）弹出“user属性”对话框，在“常规”选项卡中选中 “账户已禁用”复选框，如下图B所示，单击“确定”按钮，该账户即被禁用。
（3）如果要重新启用该账户，只要取消选中“账户已禁用”复选框即可。
图A
图B
1.2 组的管理
组是指本地计算机或Active Directory中的对象，包括用户、联系人、计算机和其他组。通过组来管理用户和计算机对共享资源的访问。引入组的概念主要是为了方便管理访问权限相同的一系列用户账户。
5）禁用与激活账户
当某个用户长期不使用时，就要禁用该账户，不允许该账户登录，禁用后该账户信息会显示为“╳”。禁用与激活本地账户的操作步骤如下：
（1）在“计算机管理”窗口的左窗格中，选择“本地用户和组”→“用户”选项，在右窗格中右击需要禁用的账户，这里选择user账户，然后选择快捷菜单中的“属性”命令，如下图A所示。
（3）设置好以上选项后，单击“创建”按钮，即可完成新用户的创建。
图A
图B
2）更改账户
要对已经建立的账户更改登录名，具体操作为：
在“计算机管理”窗口左侧的目录树列表中选择“本地用户和组”→“用户”选项，在右侧用户列表格中右击需要重命名的账户，选择快捷菜单中的“重命名”命令，如右图所示。然后输入新的名称。

第三章本地用户和组的管理

第三章本地用户和组的管理〖教学目标〗理解什么是用户，什么是组；掌握创建账户和组的方法；掌握常用的本地账户和组的管理操作；熟悉MMC的操作；树立使用账户和组保护计算机和网络系统安全的意识；了解用户和组的管理中一些基本的原则和技巧。

〖教学重点〗账户和组的概念；Administrator和Administrators；账户和组的常用管理操作。

〖教学难点〗组的概念。

〖教学内容〗本章主要介绍用户和组的基本概念；账户和组的类型；本地账户的创建和常用管理操作；用户组的创建和常用管理操作。

3.1 概述怎么保护计算机系统和网络系统的安全？怎么限制用户对系统的访问？怎么保护你计算机中的信息不被人非法窃取？我们要为自己的系统加上一个海关检查站，而用户的账户就是进入海关的通行证。

使用用户账户和组，是保护系统安全和网络资源的基本方法。

计算机和网络系统通过账户把使用者区别和隔离开来，让用户可以定制自己的使用环境；防止用户破坏其他用户的数据等。

任何人访问你管理的系统，都应该由你给他们分配唯一的账户，这可以让你知道谁做了什么事，并且防止破坏其他用户的设置和非法获得其他人的文件等。

一个账户包括账户名、密码、权限等信息，这些信息存储在计算机中，是Windows Server 2003网络上的个人唯一标识；系统通过账户来确认用户的身份，并赋予用户对资源的访问权限。

SID：每一个账号在创建的时候都有一个Security ID（SID,安全标识符），当用户访问系统的资源时，系统根据其账户的SID，检查用户是否具有和具有哪些权利和权限，然后再让用户在其权利和权限范围内进行访问。

Windows不是根据用户名来识别用户的，而是根据这个SID来识别用户的，如果SID不一样，就算用户名等其它设置一模一样，Windows也会认为是不一样的两个账号。

这就像我们的户籍管理，只认你的身份证号是否正确，而不管你的名字是否相同是一个道理的。

而且SID是Windows在创建该账号的时候随机给的，所以说当删除了一个账号后，即使再次建立一个一模一样的账号，其SID和原来的那个是不一样，那么他的NTFS权限就必须重新设置。

项目配置与管理本地用户与组(PPT46页)

2.4.4 创建本地组
STEP03 为组添加新成员
（3）或直接单击“高级”按钮，在打开的对话框中单击“立即查找” 按钮搜索出可用组，如图2-25所示。
（4）或者在如图2-22所示的窗口中，右击需要加入组office的成员 xesuxn，从弹出的快捷菜单中选择”属性”命令，选择“隶属于”选项，单击“添加”按钮，如图2-26所示。
2.4.2 修改用户账户属性
任务描述
新建用户账户后，为了管理和使用的方便，管理员要对账户做进一步的设置。例如设置密码选项或禁用账户、添加用户个人信息、账户信息、用户的拨入权限、用户配置文件终端等，这些都是通过设置账户属性来完成的。
2.4.2 修改用户账户属性
【任务案例2-2】新的本地用户账户创建后，为了管理的方便，需要对相关属性进行必要的设置。请修改新用户xesuxn的相关属性。
2.4.6 系统账户权限设置
STEP02 设置用户安全
打开“计算机管理”管理控制台，完成Administrator用户重命名（改成xintian ）、禁用Guest账户、限制不必要的用户、创建陷阱用户、把共享文件的权限从Everyone组改成授权用户和开启用户策略等几个方面的安全设置。
2.4.6 系统账户权限设置
STEP03 本地安全设置在Windows Server 2008中，选择“开始”→“管理工具”→“本
地安全策略”命令，打开“本地安全策略”窗口，如图2-32所示，展开 “安全设置”项目设置本地安全策略。
2.4.6 系统账户权限设置
STEP03 本地安全设置
（1）帐户策略→密码策略 ① 设置“强制密码历史”策略。进入如图2-33所示的“强制密码历史属性”对话框，输入数值后单

管理本地用户与组账户

管理本地用户与组账户
(1) 每台 Windows计算机都有一个“本地安全帐户管理器”，称为 Security Accounts Manager database （SAM）数据库。

(2) “用户”与“用户帐户”具有不同的含义。

简单地说，“用户”是指在网络中工作的人；而“用户帐户”是指用户在网络中工作时所使用的身份标志。

(3) 一个用户可以拥有多个用户帐户。

(4) 一个用户帐户也可以同时被多个用户使用。

(5) 在工作组中，每台Windows计算机的管理员都能够在本地计算机的SAM数据库中创建并管理本地用户帐户。

(6) 在工作组中，用户只能使用本地用户帐户登录到该帐户所在的计算机上，身份验证由这台计算机通过查询本机的SAM数据库完成。

登录成功后，用户只能使用这个用户帐户访问本台计算机上的资源，而不能访问其他计算机上的资源。

(7) 内置的本地用户帐户主要有：Administrator和Guest。

(8) 使用组帐户的主要目的是简化为用户分配权限和权利的管理工作。

(9) 在一个工作组中，每台计算机的管理员可以在本地计算机的SAM数据库中创建组帐户。

这种组帐户只能对本地计算机上的本地用户帐户进行组织，只能拥有对本地计算机的权限和权利，因此称为“本地组帐户”。

(10) 一旦给某个组分配了权限或权利，那么这个组中的所有成员都将具有该组所拥有的权限或权利。

(11) 管理员经常会遇到为多个用户帐户分配相同权限或权利的情形，因此，如果把这些用户帐户加入一个组中，然后给该组而不是给该组中的用户帐户分配权限或权利，这样可以大大减少权限或权利的分配次数，从而减轻管理员的工作负担。

《用户和组的管理》

第5讲用户和组的管理
精选课件
1
企业需求
公司有100个员工，每个人工作内容不同。然而他们中有些人有相同的权限。
需要为每个人创建不同的帐号还需要把有类似功能的用户放在一个组中每个用户有自己的特定信息，需要可以自
己设置密码
精选课件
2
本讲任务
为每个用户创建一个帐号把有共同点的用户放在同一组中。设置每个用户的信息，同时要求用户
精选课件
11
5.1.2账户的类型
本地账户域账户内置账户
精选课件
12
本地账户
本地账户对应对等网的工作组模式，建立在非域控制器的Windows Server 2003独立服务器、成员服务器以及Windows XP客户端。本地账户只能在本地计算机上登录，无法访问域中其它计算机资源。
SAM数据库文件路径为系统盘下
它有两种类型：用户创建的组和系统内置
的组。
精选课件
20
5.2 组的分类
组的分类
根据组的作用范围，Windows Server 2003域组分为通用组、全局组和本地域组，它们的成员和权限作用范围见表
特性成员权限范围转换
通用组
所有域的用户、全局组、通用组，不包括任何域的本地域组
所有域
可以转换为本地域组，可以转换为全局组（只要该组的成员不含通用组）
什么是组 “组”：相同权限的用户的集合。组的信息存放在本地安全账户数据库中（SAM) 。
精选课件
18
5.2组的分类
本地组域组
精选课件
19
5.2组的分类
➢域本组地：组：该创账建户在创本地建的在组W账户in。d可o以w在s
WSeinrdvoewrs 2S0er0ve3r的20域03控／2制00器0／上N，T独立组服账务户器的或成信员息服被务器存、储W在indAocwtsivXeP、 W 器信D能的ii息n够rd计e被o被c算wt存机s使o储上rN用yT创在数在W 建本据o本整地r地k库个s安组t中a域全。tio，这账中n些等这户的组非数些计账域据组户控算库的制（机S上AM。）内。本地组只能在本地机使用，