Windows Server 2008 R2入门之用户管理

一、用户账户概述：

”用户”是计算机的使用者在计算机系统中的身份映射，不同的用户身份拥有不同的权限，每个用户包含一个名称和一个密码；

在Windows中，每个用户帐户有一个唯一的安全标识符（Security Identifier，SID），用户的权限是通过用户的SID记录的。SID的格式如下所示：S-1-5-21-3277649422-2592888033-1324599837-500

注：在注册表中可以产看每个用户的SID。

位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList项，其中的子项名称就是用户的SID。

1、用户管理：

当一台计算机需要提供给多人使用，或允许其他人通过网络访问这台计算机，并且需要为不同的使用者分配不同的权限，如关闭系统的权限，修改系统时间的权限，访问文件的权限（只读或是可修改），就需要创建多个用户帐户。

打开服务器管理器——配置——本地用户和组——用户：

2、创建用户：

如果后期用更改用户设置，可以单击对应用户鼠标右键选择属性进行编辑：

3、删除用户：

可以通过鼠标右键用户名选择删除或者选中用户后单击红X：

4、为用户设置权限：

Eg：为新用户user01赋予关闭系统、更改系统时间的权限：

首先单击开始菜单——管理工具——打开本地安全策略：

选择安全设置——本地策略——用户权限分配：

二、内置用户账户：

用于特殊用途，一般不需更改其权限

l 与使用者关联的用户帐户

? Administrator：是默认的管理员用户，在所有与使用者关联的帐户中，其权限最高。在没有其他管理员帐户的情况下，建议不要将该帐户禁用。为了保证计算机系统的安全，也不建议将Administrator的密码告诉其他使用者。

? Guest：是提供给没有用户帐户的访客使用的。该帐户默认是禁用的。

l 与Windows组件关联的用户帐户:

? SYSTEM（本地系统）：该帐户与使用计算机的人无关，是为Windows的核心组件访问文件等资源提供权限。这些核心组件包括csrss.exe（客户端服务器运行时进程）、lsass.exe（本地安全机构进程）等。SYSTEM拥有高于Administrator的权限。

? LOCAL SERVICE帐户与使用计算机的人无关，而是为Windows的一部分服务提供访问系统的权限。LOCAL SERVICE帐户的权限与Users一致，一旦这些服务被入侵控制，也没有访问系统重要位置的权限。

? NETWORK SERVICE帐户与LOCAL SERVICE帐户一致，为Windows的一部分服务提供访问系统的权限。两者的区别是：当计算机加入Windows域，本地NETWORK SERVICE帐户与LOCAL SERVICE帐户在其他计算机上以不同的用户身份置换。

三、管理组账户：

组账户：组是一些用户的集合，组内的用户自动具备为组所设置的权限

1、新建组：

打开服务器管理器——配置——本地用户和组——组：

2、添加组成员：

3、删除组：

4、为组设置权限：

内置组账户：

需要人为添加成员的内置组：

Administrators（管理员组）、Guests（来宾组）、Power Users（兼容低版本的特殊组）、Users（标准用户）；

动态包含成员的内置组：

其成员由Windows程序“自动添加”；Windows会根据用户的状态来决定用户所属的组；组内的成员也随之动态变化，无法修改。

Interactive：动态包含在本地登录的用户；

Authenticated Users：动态包含了通过验证的用户，不包含来宾用户；

Everyone：包含任何用户，设置开放的权限时经常使用。

补充：

No1、用户更改密码方式： 1.用户自己更改；2.管理员为用户设置密码；

No2、查看当前登录用户SID：whoami /user

附：

WhoAmI 有三种使用方法:

语法 1：WHOAMI [/UPN | /FQDN | /LOGONID]

语法 2：WHOAMI { [/USER] [/GROUPS] [/CLAIMS] [/PRIV] } [/FO format] [/NH]

语法 3：WHOAMI /ALL [/FO format] [/NH]

描述:

这个工具可以用来获取本地系统上当前用户(访问令牌)的用户名和组信息，以及相应的安全标识符(SID)、声明、本地系统上当前用户的权限、登录标识符(登录 ID)。例如，谁是当前已登录的用户、用户名。

参数列表:

/UPN ：用用户主体 (User Principal) 格式显示用户名名称 (UPN)格式。

/FQDN：用完全合格的 (Fully Qualified) 格式显示用户名可分辨名称(FQDN) 格式。

/USER：显示当前用户的信息以及安全标识符 (SID)。

/GROUPS：显示当前用户的组成员信息、帐户类型和安全、标识符 (SID) 和属性。

/CLAIMS：显示当前用户的声明，包括声明名称、标志、类型和值。

/PRIV：显示当前用户的安全特权

/LOGONID：显示当前用户的登录 ID。

/ALL ：显示当前用户名、所属的组以及安全等级当前用户访问令牌的标识符(SID)、声明和权限。

/FO format指定要显示的输出格式。有效值为 TABLE、LIST、CSV。默认格式为 TABLE。

No3、命令行创建用户： net user 用户名 密码 /add

命令行删除已创建用户： net user 用户名 /del

命令行更改已创建用户密码： net user 用户名 密码

No4、命令行创建组：

创建组：net localgroup 组名 /add

删除组：net localgroup 组名 /del

将用户加入到组：net localgroup 组名 用户名 /add

No5、相对使用者来说，administrator权限最高，相对于系统来说，system的权限最高。