简介

       Windows Server2016允许多个用户同时使用计算机。同时，Windows Server2016是网络服务器使用的操作系统，需要为网络上的多个用户提供服务。本章将介绍在 Windows Server2016 中创建，管理用户账户和用户组账户的相关内容，这些内容是第3章及后续各章的基础，Windows10等桌面操作系统也是多用户操作系统，虽然许多家庭用户并不需要多用户管理功能，但在WindowsT作组网络和Windows域网络中，多用户管理却很必要。

1.管理用户账户

1.1用户账户概述

       “用户”是计算机的使用者在计算机系统中的身份映射，不同的身份拥有不同的权限。就像很多

人都可以进入某个私人住宅，但是因为他们相对于这所住宅的身份不同，所以决定进入住宅的每个

人对住宅内的物品拥有不同的权限，住宅的主人可以任意处理这些物品(使用，买卖，丢弃等)，主

人家的常住亲属可以使用住宅内的大部分物品，其他访客(如管道维修工、入户调查员等)只可以使用少量的物品。

        某一个人相对于这所住宅可能拥有多个身份，如既是住宅的常住主人，也是房产的拥有者(想

想租房子的情况);某些人相对于这所住宅的身份可能是相同的，如管道维修工和入户调查员都只是

访客的身份。

        计算机系统中的“用户”与这些虽看不见但确实存在的“身份”的作用基本一致，不同的“用户身份”限定了不同的使用者在计算机系统内的操作行为，如哪些使用者可以修改系统时间，哪些使用者不能这样做。

       每个“用户”包含一个名称和一个密码，相当于开启计算机系统的钥匙。与住宅钥匙不同的是，拥有钥匙的人，其在住宅内的行为是靠“道德”和“法律”限定的，而拥有“用户”的计算机使用

者，其在计算机系统内的操作行为是靠计算机程序限定的(也会有法律的约束)。

       如图所示，张无忌是这台计算机的管理员，拥有“Administrator”和“Wuji”两个用户的身份，使用“Administrator”用户可以无限制地使用这台计算机，用干管理，使用“Wuii”用户可以操作这台计算机上的应用程序，可以通过这台计算机访问Internet等，但无法做管理相关的操作“道人甲”和“道人乙”使用这台计算机的需求完全相同，所以管理员为他们创建了一个用户“Wudang”;对于外来使用者，不希望他们拥有过多的操作权限，可以允许他们以“Guest”用户的身份访问计算机系统。

 在Windows中        每个用户账户都有一个唯一的安全标识符(SecurityIdentifier，SID)，用户的权

限是通过用户的SID记录的。SID的格式如下所示:

       用户的SID由WindowsID和用户相对ID组成上面的例子中S-1-5-21-3446105432-4244440023-

1384158327是Windows的ID，在Windows的安装过程中产生，每台计算机的WindowsID 不同。500是用户的相对ID(RelativeID，RID)，每个用户的RID不同。

                在注册表编辑器中可以查看每个用户的SID，如图2.2所示。展开

                HKEY LOCAL MACHINE\SOFTWAREMicrosoft\Windows NT\Current

                Version\ProfileList项，其中的子项名称就是用户的SID，如S-1-5-21-

                2004355049-3409698953-3165279881-500。

                单击某个SID，从其中的ProfileImagePath的数据中可以看出这个SID的用户名是                             Administrator。

1.2 用户管理

      当一台计算机需要提供给多人使用，或允许其他人通过网络访问这台计算机，并且需要为不同的使用者分配不同的权限，如关闭系统的权限，修改系统时间的权限，访问文件的权限(只读或是可修改)时，就需要创建多个用户账户。

      在Windows Server2016中，用户的管理操作可以在“计算机管理”窗口中进行如图所示，打开“计算机管理”窗口，在左侧的控制台树中依次展开“系统工具”→“本地用户和组”→“用户”，即可查看并管理本地用户。用户的管理操作需要以管理员用户身份进行，默认的管理员是“Administrator”。

                      本地用户是相对于Windows域用户而言的，Windows域用户的概

              念将在后续课程中介绍。

1.创建用户

       在“计算机管理”窗口中选中“用户”，打开“操作”菜单，选择“新用户”即弹出“新用户”

对话框，如图所示。

       在“新用户”对话框中输入用户名，单击“创建”按钮即可完成一个用户的创建。如果不需要

       创建其他用户，单击“关闭”按钮。

下面是对相关选项的说明。

       全名和描述:记录用户持有者的信息，如张三丰，武当派掌门人。

       密码和确认密码:用户的创建者为用户指定的初始密码。在Windows Server 2016中，默认启用了“密码必须符合复杂性要求”的策略，所以为用户设置的密码必须符合复杂性的要求。

       用户下次登录时须更改密码:为防止使用者使用初始密码，而不更改(一般情况下，初始密码比较简单，且有可能与其他用户初始密码一致)，选中此项，可以强迫使用者在下次登录时必须更改密码。

       用户不能更改密码:在多个使用者使用同一个用户账户时(如果其中一个人更改了密码就会造成其他使用者无法登录)，或其他任何不希望使用者更改密码的情况，可以选中此项。此项在取消选中“用户下次登录时需更改密码”时有效。

       密码永不过期:当用户密码使用超过了密码策略中设置的最长使用期限，用户登录时会提示密码过期，必须更改，如果希望某个用户的密码不受此策略的限制，可以选中此项，此项在取消选中“用户下次登录时须更改密码”时有效。

       账户已禁用:创建用户后，通常需要为用户设置权限，为防止在权限设置完成前，该用户即被使用，可以创建一个禁用的用户账户，待权限设置完成后，再启用该用户。

                                          打开“操作”菜单的方式如下。

                                          单击菜单栏中的“操作”。

                                          在操作对象上右击。

                                          单击右侧操作窗格中的“更多操作”。

2.为用户设置密码

       虽然可以在创建新用户时为用户设置密码，但一旦使用者忘记了密码，还需要管理员为其重新设置密码。在“计算机管理”窗口中选中需要重新设置密码的用户，打开“操作”菜单，选择“设置密码”，在随后弹出的对话框中单击“继续”按钮，然后输入新密码以及确认密码，单击“确认”按钮即可，如图所示，管理员无须知道用户的旧密码。

3.重命名用户

       重命名的操作比较简单，在“计算机管理”窗口中，双击要重命名的用户，打开该用户的属性，

如图所示，重新输入该用户的全名，然后单击“确定”按钮即可。

4.启用、禁用用户账户

       如果在创建用户时选中了“账户已禁用”复选框，当权限设置完毕，需要启用该账户时，在“计算机管理”窗口中，选择要启用的用户，打开“操作”菜单，选择“属性”(或双击该用户)。在打开的用户属性对话框中取消选中“账户已禁用”复选框，单击“确定”按钮即可 如图所示，也可以随时选中“账户已禁用”复选框，将账户再次禁用。

       如果设置了账户锁定策略，并且当某个用户账户的登录失败的次数超过设置的账户锁定阈值，导致用户账号被锁定时，该用户属性对话框中的“账户已锁定”复选框为有效状态。管理员可以取消选中此复选框，解除账户的锁定，也可以等待账户锁定时间过后，该账户自动解除锁定。

5.删除用户账户

      如果某个用户被删除，即使创建一个与被删除用户同名的新用户，其 SID 与原用户也不相同，新用户不会具备原用户的任何权限，需要重新设置。

      要删除某个用户，可以在“计算机管理”窗口中选择该用户，打开“操作”菜单，单击“删除”按钮，Windows会弹出对话框提示SID和权限问题，如图所示，如果确认删除该用户不会为工作带来任何麻烦，单击“是”按钮。

      如果要删除的用户当前已经登录，Windows会弹出如图所示的提示对话框，单击“是”按钮完成删除。

6.为用户设置权限

      新用户创建后，其操作计算机系统的权限是受限的，如不能关闭Windows系统，不能更改系统

时间，不能读写某些文件等。为使该用户既能正常使用其工作所需的计算机资源，又能保护其他资

源不被窥视，破坏，管理员或资源的所有者要为其设置合适的权限。

     下面介绍通过本地安全策略为用户设置权限。用户对文件和文件夹的读写权限将在第3章介绍。单击“开始”按钮，在右侧打开Windows管理工具，双击打开本地安全策略”在弹出的窗口中选择“本地策略”→“用户权限分配”如图所示，在右侧的窗格中可以为用户分配各种权限，

案例为用户设置关闭系统的权限。

       网络服务器需要为网络上的多个用户提供服务，这些用户的访问可能分散在一天中的不同时段(24小时全天候的)，不能允许某个用户在自己获得服务后将服务器关闭，所以WindowsServer2016默认只允许管理员和其他少数特殊用户关闭系统，普通的用户默认没有关闭系统的权限，即不能关闭和重新启动Windows

       如果希望普通用户robin能够帮助管理员关闭计算机，可以为其设置关闭系统的权限。展开本地安全策略窗口下面的用户权限分配，在右侧的窗格中双击“关闭系统”策略，如图所示，打开如图所示的“关闭系统属性”对话框。

       在“关闭系统属性”对话框中单击“添加用户或组”按钮，弹出如图2.12所示的“选择用户或组”对话框。

       在“选择用户或组”对话框中输入要添加的用户，如图2.12所示，单击“确定”按钮，返回“关

闭系统属性”对话框，单击“确定”按钮完成权限的设置。

                   服务器通常放置在专门的机房内，普通用户无法进入其中，只要保

           证普通用户不能通过关机程序关闭系统即可。

                   除实验环境外，将服务器置于公共场所也是不可取的。

1.3内置用户账户

       Windows系统有一些内置的用户账户，这些用户账户的权限一般不需要更改，常用于特殊的用途。这些账户可以分为与计算机的使用者(人)关联的账户和与Windows组件(程序)关联的账户

两类，通常无法删除内置账户。

1.与使用者关联的用户账户

1)Administrator

       Administrator是默认的管理员用户，在所有与使用者关联的账户中，其权限最高。在没有其他管理员账户的情况下，建议不要将该账户禁用。为了保证计算机系统的安全，也不建议将Administrator的密码告诉其他使用者，此用户无法删除，建议提高安全性。

2)Guest

     Guest是提供给没有用户账户的访客使用的。该账户默认是禁用的。它拥有的权限非常有限，此账户也无法删除，但是允许改名。

3)DefaultAccount

       DefaultAccount是系统管理的账户，微软为了防止开箱体验(OOBE)时出现问题而准备的默认

账户。

2.与Windows组件关联的用户账户

      这类账户不能被使用者管理，因此无法在用户管理中找到它们，但它们确实存在。

1)SYSTEM(本地系统)

       该账户与使用计算机的人无关，是为Windows的核心组件访问文件等资源提供权限的。这些核心组件包括csrssexe(客户端服务器运行时进程)、lsass.exe(本地安全机构进程)等，如图所示。SYSTEM拥有高于Administrator的权限。

        Administrator 用户所拥有的权限已满足正常的管理需求，不为其分配最高的权限，是防止使用者误操作，影响Windows系统的稳定。

2)LOCAL SERVICE(本地服务)

       LOCAL SERVICE账户与计算机的使用者无关，它是为Windows的一部分服务提供访问系统的权限，如图所示，LOCALSERVICE账户的权限与Users组中用户的权限一致，即使这些服务被入侵控制，也没有访问系统重要位置的权限。

3)NETWORK SERVICE(网络服务)

       NETWORKSERVICE账户与LOCALSERVICE账户一致，也是为Windows的一部分服务提供访问系统的权限，如图所示。两者的区别是:当计算机加入Windows域后，本地NETWORK SERVICE账户与LOCAL SERVICE 账户在其他计算机上以不同的用户身份置换。