Windows 用户管理

简介: Windows 用户管理

简介

       Windows Server2016允许多个用户同时使用计算机。同时,Windows Server2016是网络服务器使用的操作系统,需要为网络上的多个用户提供服务。本章将介绍在 Windows Server2016 中创建,管理用户账户和用户组账户的相关内容,这些内容是第3章及后续各章的基础,Windows10等桌面操作系统也是多用户操作系统,虽然许多家庭用户并不需要多用户管理功能,但在WindowsT作组网络和Windows域网络中,多用户管理却很必要。

1.管理用户账户

1.1用户账户概述

       “用户”是计算机的使用者在计算机系统中的身份映射,不同的身份拥有不同的权限。就像很多

人都可以进入某个私人住宅,但是因为他们相对于这所住宅的身份不同,所以决定进入住宅的每个

人对住宅内的物品拥有不同的权限,住宅的主人可以任意处理这些物品(使用,买卖,丢弃等),主

人家的常住亲属可以使用住宅内的大部分物品,其他访客(如管道维修工、入户调查员等)只可以使用少量的物品。

        某一个人相对于这所住宅可能拥有多个身份,如既是住宅的常住主人,也是房产的拥有者(想

想租房子的情况);某些人相对于这所住宅的身份可能是相同的,如管道维修工和入户调查员都只是

访客的身份。

        计算机系统中的“用户”与这些虽看不见但确实存在的“身份”的作用基本一致,不同的“用户身份”限定了不同的使用者在计算机系统内的操作行为,如哪些使用者可以修改系统时间,哪些使用者不能这样做。

       每个“用户”包含一个名称和一个密码,相当于开启计算机系统的钥匙。与住宅钥匙不同的是,拥有钥匙的人,其在住宅内的行为是靠“道德”和“法律”限定的,而拥有“用户”的计算机使用

者,其在计算机系统内的操作行为是靠计算机程序限定的(也会有法律的约束)。

       如图所示,张无忌是这台计算机的管理员,拥有“Administrator”和“Wuji”两个用户的身份,使用“Administrator”用户可以无限制地使用这台计算机,用干管理,使用“Wuii”用户可以操作这台计算机上的应用程序,可以通过这台计算机访问Internet等,但无法做管理相关的操作“道人甲”和“道人乙”使用这台计算机的需求完全相同,所以管理员为他们创建了一个用户“Wudang”;对于外来使用者,不希望他们拥有过多的操作权限,可以允许他们以“Guest”用户的身份访问计算机系统。

 在Windows中        每个用户账户都有一个唯一的安全标识符(SecurityIdentifier,SID),用户的权

限是通过用户的SID记录的。SID的格式如下所示:

       用户的SID由WindowsID和用户相对ID组成上面的例子中S-1-5-21-3446105432-4244440023-

1384158327是Windows的ID,在Windows的安装过程中产生,每台计算机的WindowsID 不同。500是用户的相对ID(RelativeID,RID),每个用户的RID不同。

                在注册表编辑器中可以查看每个用户的SID,如图2.2所示。展开

                HKEY LOCAL MACHINE\SOFTWAREMicrosoft\Windows NT\Current

                Version\ProfileList项,其中的子项名称就是用户的SID,如S-1-5-21-

                2004355049-3409698953-3165279881-500。

                单击某个SID,从其中的ProfileImagePath的数据中可以看出这个SID的用户名是                             Administrator。

1.2 用户管理

      当一台计算机需要提供给多人使用,或允许其他人通过网络访问这台计算机,并且需要为不同的使用者分配不同的权限,如关闭系统的权限,修改系统时间的权限,访问文件的权限(只读或是可修改)时,就需要创建多个用户账户。

      在Windows Server2016中,用户的管理操作可以在“计算机管理”窗口中进行如图所示,打开“计算机管理”窗口,在左侧的控制台树中依次展开“系统工具”→“本地用户和组”→“用户”,即可查看并管理本地用户。用户的管理操作需要以管理员用户身份进行,默认的管理员是“Administrator”。

                      本地用户是相对于Windows域用户而言的,Windows域用户的概

              念将在后续课程中介绍。

1.创建用户

       在“计算机管理”窗口中选中“用户”,打开“操作”菜单,选择“新用户”即弹出“新用户”

对话框,如图所示。

       在“新用户”对话框中输入用户名,单击“创建”按钮即可完成一个用户的创建。如果不需要

       创建其他用户,单击“关闭”按钮。

下面是对相关选项的说明。

       全名和描述:记录用户持有者的信息,如张三丰,武当派掌门人。

       密码和确认密码:用户的创建者为用户指定的初始密码。在Windows Server 2016中,默认启用了“密码必须符合复杂性要求”的策略,所以为用户设置的密码必须符合复杂性的要求。

       用户下次登录时须更改密码:为防止使用者使用初始密码,而不更改(一般情况下,初始密码比较简单,且有可能与其他用户初始密码一致),选中此项,可以强迫使用者在下次登录时必须更改密码。

       用户不能更改密码:在多个使用者使用同一个用户账户时(如果其中一个人更改了密码就会造成其他使用者无法登录),或其他任何不希望使用者更改密码的情况,可以选中此项。此项在取消选中“用户下次登录时需更改密码”时有效。

       密码永不过期:当用户密码使用超过了密码策略中设置的最长使用期限,用户登录时会提示密码过期,必须更改,如果希望某个用户的密码不受此策略的限制,可以选中此项,此项在取消选中“用户下次登录时须更改密码”时有效。

       账户已禁用:创建用户后,通常需要为用户设置权限,为防止在权限设置完成前,该用户即被使用,可以创建一个禁用的用户账户,待权限设置完成后,再启用该用户。

                                          打开“操作”菜单的方式如下。

                                          单击菜单栏中的“操作”。

                                          在操作对象上右击。

                                          单击右侧操作窗格中的“更多操作”。

2.为用户设置密码

       虽然可以在创建新用户时为用户设置密码,但一旦使用者忘记了密码,还需要管理员为其重新设置密码。在“计算机管理”窗口中选中需要重新设置密码的用户,打开“操作”菜单,选择“设置密码”,在随后弹出的对话框中单击“继续”按钮,然后输入新密码以及确认密码,单击“确认”按钮即可,如图所示,管理员无须知道用户的旧密码。

3.重命名用户

       重命名的操作比较简单,在“计算机管理”窗口中,双击要重命名的用户,打开该用户的属性,

如图所示,重新输入该用户的全名,然后单击“确定”按钮即可。

4.启用、禁用用户账户

       如果在创建用户时选中了“账户已禁用”复选框,当权限设置完毕,需要启用该账户时,在“计算机管理”窗口中,选择要启用的用户,打开“操作”菜单,选择“属性”(或双击该用户)。在打开的用户属性对话框中取消选中“账户已禁用”复选框,单击“确定”按钮即可 如图所示,也可以随时选中“账户已禁用”复选框,将账户再次禁用。

       如果设置了账户锁定策略,并且当某个用户账户的登录失败的次数超过设置的账户锁定阈值,导致用户账号被锁定时,该用户属性对话框中的“账户已锁定”复选框为有效状态。管理员可以取消选中此复选框,解除账户的锁定,也可以等待账户锁定时间过后,该账户自动解除锁定。

5.删除用户账户

      如果某个用户被删除,即使创建一个与被删除用户同名的新用户,其 SID 与原用户也不相同,新用户不会具备原用户的任何权限,需要重新设置。

      要删除某个用户,可以在“计算机管理”窗口中选择该用户,打开“操作”菜单,单击“删除”按钮,Windows会弹出对话框提示SID和权限问题,如图所示,如果确认删除该用户不会为工作带来任何麻烦,单击“是”按钮。

      如果要删除的用户当前已经登录,Windows会弹出如图所示的提示对话框,单击“是”按钮完成删除。

6.为用户设置权限

      新用户创建后,其操作计算机系统的权限是受限的,如不能关闭Windows系统,不能更改系统

时间,不能读写某些文件等。为使该用户既能正常使用其工作所需的计算机资源,又能保护其他资

源不被窥视,破坏,管理员或资源的所有者要为其设置合适的权限。

     下面介绍通过本地安全策略为用户设置权限。用户对文件和文件夹的读写权限将在第3章介绍。单击“开始”按钮,在右侧打开Windows管理工具,双击打开本地安全策略”在弹出的窗口中选择“本地策略”→“用户权限分配”如图所示,在右侧的窗格中可以为用户分配各种权限,

案例为用户设置关闭系统的权限。

       网络服务器需要为网络上的多个用户提供服务,这些用户的访问可能分散在一天中的不同时段(24小时全天候的),不能允许某个用户在自己获得服务后将服务器关闭,所以WindowsServer2016默认只允许管理员和其他少数特殊用户关闭系统,普通的用户默认没有关闭系统的权限,即不能关闭和重新启动Windows

       如果希望普通用户robin能够帮助管理员关闭计算机,可以为其设置关闭系统的权限。展开本地安全策略窗口下面的用户权限分配,在右侧的窗格中双击“关闭系统”策略,如图所示,打开如图所示的“关闭系统属性”对话框。

       在“关闭系统属性”对话框中单击“添加用户或组”按钮,弹出如图2.12所示的“选择用户或组”对话框。

       在“选择用户或组”对话框中输入要添加的用户,如图2.12所示,单击“确定”按钮,返回“关

闭系统属性”对话框,单击“确定”按钮完成权限的设置。

                   服务器通常放置在专门的机房内,普通用户无法进入其中,只要保

           证普通用户不能通过关机程序关闭系统即可。

                   除实验环境外,将服务器置于公共场所也是不可取的。

1.3内置用户账户

       Windows系统有一些内置的用户账户,这些用户账户的权限一般不需要更改,常用于特殊的用途。这些账户可以分为与计算机的使用者(人)关联的账户和与Windows组件(程序)关联的账户

两类,通常无法删除内置账户。

1.与使用者关联的用户账户

1)Administrator

       Administrator是默认的管理员用户,在所有与使用者关联的账户中,其权限最高。在没有其他管理员账户的情况下,建议不要将该账户禁用。为了保证计算机系统的安全,也不建议将Administrator的密码告诉其他使用者,此用户无法删除,建议提高安全性。

2)Guest

     Guest是提供给没有用户账户的访客使用的。该账户默认是禁用的。它拥有的权限非常有限,此账户也无法删除,但是允许改名。

3)DefaultAccount

       DefaultAccount是系统管理的账户,微软为了防止开箱体验(OOBE)时出现问题而准备的默认

账户。

2.与Windows组件关联的用户账户

      这类账户不能被使用者管理,因此无法在用户管理中找到它们,但它们确实存在。

1)SYSTEM(本地系统)

       该账户与使用计算机的人无关,是为Windows的核心组件访问文件等资源提供权限的。这些核心组件包括csrssexe(客户端服务器运行时进程)、lsass.exe(本地安全机构进程)等,如图所示。SYSTEM拥有高于Administrator的权限。

        Administrator 用户所拥有的权限已满足正常的管理需求,不为其分配最高的权限,是防止使用者误操作,影响Windows系统的稳定。

2)LOCAL SERVICE(本地服务)

       LOCAL SERVICE账户与计算机的使用者无关,它是为Windows的一部分服务提供访问系统的权限,如图所示,LOCALSERVICE账户的权限与Users组中用户的权限一致,即使这些服务被入侵控制,也没有访问系统重要位置的权限。

3)NETWORK SERVICE(网络服务)

       NETWORKSERVICE账户与LOCALSERVICE账户一致,也是为Windows的一部分服务提供访问系统的权限,如图所示。两者的区别是:当计算机加入Windows域后,本地NETWORK SERVICE账户与LOCAL SERVICE 账户在其他计算机上以不同的用户身份置换。

相关文章
|
6月前
|
数据安全/隐私保护 Windows
Windows 命令提示符(CMD)操作(三):用户管理
Windows 命令提示符(CMD)操作(三):用户管理
|
安全 数据安全/隐私保护 Windows
Windows 用户管理
Windows 用户管理
214 0
|
Linux Shell 数据安全/隐私保护
linux和windows互传文件/用户配置文件和密码配置文件/用户组管理/用户管理
2.27linux和windows互传文件 3.1 用户配置文件和密码配置文件 3.2 用户组管理 3.3 用户管理 linux和windows互传文件 显示日期date [root@centos_1 ~]# date 2017年 11月 21日 星期二 08:38:...
1342 0
|
Oracle 关系型数据库 Linux
4.windows和Linux下创建oracle用户名表空间,表,插入数据,用户管理表等操作
进入超级管理员,执行以下命令 Window下创建数据库,表空间,用户,插入数据等操作 -- 01 创建表空间 -- 注意表空间的路径 根据实际安装环境进行调整 CREATE TABLESPACE ts_myscott     LOGGING     DATAFI
1269 0
|
4天前
|
网络安全 Windows
Windows server 2012R2系统安装远程桌面服务后无法多用户同时登录是什么原因?
【11月更文挑战第15天】本文介绍了在Windows Server 2012 R2中遇到的多用户无法同时登录远程桌面的问题及其解决方法,包括许可模式限制、组策略配置问题、远程桌面服务配置错误以及网络和防火墙问题四个方面的原因分析及对应的解决方案。