第 2 章 本地用户和组的管理

第 2 章 本地用户和组的管理

每个用户都需要有一个账户名和密码才能访问计算机上的资源。用户的账户类 型有域账户、本地账户和内置账户。域账户用来访问域内资源（将在后面章节介 绍），本地账户用来本地登录，不能访问域内的资源，内置账户用来对计算机进行 管理。

组是权限相同账户的集合，管理员通常通过组来对用户的权限进行设置，从而 简化了管理。本章将详细介绍用户和组的管理。

1．了解本地账户的类型与命名规则 2．为企业用户创建和管理本地账户 3．了解本地组的概念

4．为企业各部门创建和管理本地组

2.1 本地账户

2.1.1 账户的类型

Windows Server 2008 作为独立服务器或域中的成员服务器时，在计算机操作系统中有两 种本地账户：系统管理员创建的本地账户和

内置本地账户。

1．本地账户

本 地 账 户 可 以 建 立 在 Windows Server 2008 独立服务器、成员服务器以及 Windows Vista 等系统中。本地账户只能在本地计算机 上登录，无法访问其他计算机资源。

本地计算机上有一个管理账户数据的数 据 库 ， 称 为 SAM （ Security Accounts Managers，安全账户管理器），SAM 数据库文 件 路 径 为 “ \Windows\system32\config\

SAM”。在 SAM 中 ，每个账户 被赋予唯一的 SID （Security Identifier，安全识别号）。

用户

计算机

数据库 本地安全数据库

图 2-1 本地账户登录验证 本地安全账户 数据库

第 2 章 本地用户和组的管理 27

Windows 内部进程识别账户是用 SID，而不是用账户名。用户要访问本地计算机，都需要经 过该机 SAM 中的 SID 验证。如图 2-1 所示。

2．内置本地账户

Windows Server 2008 中还有一种账户类型叫内置账户。当系统安装完毕后，系统会在服 务器上自动创建它们。在独立服务器上或是成员服务器上，内置本地账户有：Administrator 和 Guest，创建在 SAM 中。

Administrator（系统管理员）：它拥有最高的权限，管理着 Windows Server 2008 系统。

可以将 Administrator 的名字进行更改，但不能删除该账户。该账户无法被禁止，永远不会到 期，不受登录时间限制。

Guest（来宾）：是为临时访问计算机的用户提供的。该账户自动生成，且没有密码，不 能被删除，可以更改名字。Guest 只有很少的权限，默认情况下，该账户被禁止使用。例如 当我们希望局域网中的用户都可以登录到自己的电脑，但又不愿意为每一个用户建立一个账 户，就可以启用 Guest。

2.1.2 账户名与密码的命名规则 账户名的命名规则如下：

 账户名必须唯一，且不分大小写。

 用户名最多可包含 256 个字符。

 在账户名中不能使用的字符有：‘、/、\、[、]、:、;、|、＝、，、＋、*、？、<、>。

 用户名可以是字符和数字的组合。

 用户名不能与组名相同。

账户密码规则如下：

 必须为 Administrator 账户分配密码，防止未经授权就使用。

 系统默认用户的密码至少 6 个字符，还要至少包含 A～Z、a～z、0～9、非字母数 字（例如!、#、$、%）等四组字符中的三种。

 密码的长度在 8～128 之间。

 密码不包含全部和部分的用户账户名。

 密码中不能使用以下字符：‘、/、\、|、；、:、=、,、+、[、]。

2.1.3 创建本地账户

本地账户是工作在本地机的，只有 Administrators 组的成员例如 Administrator 才能创建 本地用户。下面我们举例说明如何创建本地用户。例如：在 Windows Server 2008 独立服务 器或成员服务器上创建本地账户 Emily，设置密码，并用该账户登录系统。操作如下：

步骤 1：从“开始”→“管理工具”→“计算机管理”→“本地用户和组”菜单，打开

“本地用户和组”窗口，在窗口中右击“用户”，选择“新用户”菜单。

步骤 2：打开“新用户”窗口，输入如图 2-2 所示内容。

 用户名：系统本地登录时使用的名称。

 全名：用户的全称。

 描述：关于该用户的说明文字。

28 Windows Server 2008 网络管理

图 2-2 创建本地新账户

 密码：用户登录时使用的密码。

 确认密码：为防止密码输入错误，需再输入一遍。

 用户下次登录时须更改密码：用户首次登录时，使用管理员分配的密码，当用户再 次登录时，强制用户更改密码，用户更改后的密码就只有自己知道，保证了安全使 用。我们这里是管理员统一创建账户，应该选择此项。

 用户不能更改密码：通常用于公共账户，防止有人更改密码。

 密码永不过期：密码默认的有限期为 42 天，超过 42 天系统会提示用户更改密码。

选择此项表示系统永远不会提示用户改密码。

 账户已禁用：选择该项表示任何人都无法使用这个账户登录，适用于某员工休假 时，防止他人冒用该账户登录。

步骤 3：注销当前账户，用新账户测试是否可以正常登录。

步骤 4：重复以上步骤为企业内全部员工创建账户。

2.1.4 更改账户

如果要对已经建立的账户更改登录名，则在“计算机管理”→“本地用户和组”→“用 户”列表中选择，右击该账户，选择“重命名”，输入新名字，如图 2-3 所示。

图 2-3 更改账户

第 2 章 本地用户和组的管理 29

2.1.5 删除账户

如果某用户离开公司，为防止其他用户使用该用户账户登录，就要删除该用户的账户。

在“计算机管理”→“本地用户和组”→“用户”列表中选择，右击该账户，选择“删除”

→“是”，如图 2-3 所示。

2.1.6 更改账户密码

重设密码可能会造成不可逆的信息丢失。出于安全的原因，要更改用户的密码分以下几 种情况：

如果用户在知道密码的情况下想更改密码，他在登录后按 Ctrl+Alt+Delete 组合键，如图 2-4 所示，输入正确的旧密码，然后输入新密码。

图 2-4 更改密码

如果用户忘记了登录密码，并且事先已经创建了“密码重设盘”，则使用密码重设盘来 进行密码重设，密码重设只能在本地机中设置。创建密码重设盘的步骤如下：

步骤 1：用户登录后按 Ctrl+Alt+Delete 组合键，单击“创建密码重设盘”（见图 2-4），

打开“忘记密码向导”窗口，如图 2-5 所示，选择“下一步”按钮。

图 2-5 进入向导

30 Windows Server 2008 网络管理

步骤 2：如图 2-6 所示，按照提示，选择优盘作为密码重置盘，单击“下一步”按钮。

步骤 3：如图 2-7 所示，输入当前的密码。单击“下一步”按钮。

图 2-6 用优盘作为密码重置盘 图 2-7 输入密码

步骤 4：如图 2-8 所示，系统开始创建密码重置盘，单击“下一步”按钮完成密码重置 盘的创建。

用户忘记密码后，可以利用密码重置盘设置新密码。步骤如下：

步骤 1：在用户登录输入密码有错时，会出现如图 2-9 所示窗口，单击“重设密码”。

图 2-8 创建密码重置盘 图 2-9 登录失败

步骤 2：打开“重置密码向导”窗口，如图 2-10 所示，选择密码重置盘所在的驱动器，

单击“下一步”按钮。

步骤 3：如图 2-11 所示，输入新的密码和密码提示，单击“下一步”按钮，完成密码重 置工作。用户 Emily 就可用新密码登录了。

如果用户 Emily 既忘了自己密码又没有密码重置盘，可以让 Administrator 为其更改密 码。更改账户密码的步骤为：以 Administrator 账户登录，在“计算机管理”→“本地用户和 组”→“用户”列表中选择，右击 Emily 账户，选择“设置密码”菜单项，如图 2-12 所 示，输入新密码即可。

第 2 章 本地用户和组的管理 31 图 2-10 使用密码重置盘 图 2-11 输入新密码

图 2-12 用 Administrator 重设账户密码

2.1.7 禁用与激活本地账户

当某个用户长期休假，就要禁用该用户的账户，不允许该账户登录。该账户信息会在计 算机管理窗口中显示为“×”。禁用 Emily 账户的步骤如下：

右击 Emily 账户，选择“属性”，打开如图 2-13 所示的窗口，选择“账户已禁用”。如 果要重新启用某账户，只要取消“账户已禁用”复选框即可。

图 2-13 禁用本地账户

32 Windows Server 2008 网络管理

【提示】为了安全起见，可以使用以上步骤把内置账户 Guest 禁用。

2.1.8 账户属性

账户的属性如图 2-14 所示，包括常规、隶属于、配置文件、环境、会话、拨入、终端 服务配置文件和远程控制等项目。

图 2-14 账户属性

 “常规”选项卡主要设置用户名描述和密码期限的问题，见 2.1.7 节。

 “隶属于”选项卡设置用户所属组，通过“添加”按钮，将用户添加到合适的用户 组中去。

 “配置文件”选项卡说明了用户每次登录系统时都使用的配置文件设置的桌面、控 制面板设置、可用的菜单选项以及应用程序等。

 “拨入”选项卡和远程访问 VPN 的设置有关。

 “环境”、“会话”、“远程控制”和“终端服务配置文件”选项卡都和终端服务有 关。具体配置见有关终端服务器配置的内容。

2.2 本地组

2.2.1 组的概念

组是账户、联系、计算机和其他组的集合。组用于以下目的：管理用户和计算机的访 问，其访问范围包括网络对象、本地对象、共享、打印机队列和设备等；创建分配表；筛选 组策略等。

Windows Server 2008 也使用唯一安全标识符 SID 来跟踪组。权限的设置都是通过 SID 设置的，不是利用组名。

第 2 章 本地用户和组的管理 33

2.2.2 组的类型

在 Windows Server 2008 独立服务器或成员服务器上的工作组称为本地组。该组的成员 是本地账户，这些组账户的信息被存储在本地安全账户数据库（SAM）内。本地组有两种类 型：用户组和系统内置的组。

2.2.3 创建本地组

创建本地组的用户必须是 Administrators 组、Account Operators 组的成员。例如在 Windows Server 2008 上建立本地组 wl 并将本地账户 Emily 添加到该组中，步骤如下：

步骤 1：以 Administrator 身份登录。

步骤 2：单击“开始”→“管理工具”→“计算机管理”→“本地用户和组”→

“组”，右击“组”，选择“新建组”，如图 2-15 所示，打开“新建组”窗口。

图 2-15 新建本地组

步骤 3：如图 2-16 所示，在“新建组”窗口中，输入组名、组的描述。

图 2-16 输入组名

步骤 4：如图 2-16 所示，单击“添加”按钮打开如图 2-17 所示的窗口，手工输入用户

34 Windows Server 2008 网络管理

名或者通过查找选择用户名，单击“确定”按钮。

步骤 5：回到如图 2-18 所示的窗口，单击“创建”按钮完成创建工作，本地组是用背景 为计算机的两个人头像来表示。

图 2-17 选择用户 图 2-18 创建完毕

步骤 6：重复以上步骤，根据第 1 章 1.1.2 节的规划，为企业各部门创建组，并把各部 门的账户加入到组中。

2.2.4 管理本地组

在“计算机管理”窗口右边的组列表中，用鼠标右击选定的组，如图 2-19 所示，选择 菜单中的相应选项可以删除组、更改组名等。

图 2-19 管理本地组

2.2.5 内置组

Windows Server 2008 在安装时会自动创建一些组，这种组叫内置组，如图 2-20 所示。

内置组创建在 Windows Server 2008、Windows Server 2003/Windows 2000 Server/Windows NT

第 2 章 本地用户和组的管理 35

独立服务器或成员服务器、Windows Vista、Windows NT Workstation 等非域控制器的本地安 全账户数据库中。这些组在建立的同时就已被赋予一些权力，以便管理计算机。

图 2-20 内置组

 Administrators：在系统内有最高权限，可以赋予权限；添加系统组件，升级系统；

配置系统参数，如注册表的修改；配置安全信息等权限。内置的系统管理员账户是 Administrators 组的成员。如果这台计算机加入到域中，域管理员自动加入到该 组，并且有系统管理员的权限。

 Backup Operators：该组的成员可以备份和还原服务器上的文件，而不管保护这些文 件的权限如何。因为执行备份任务的权限高于所有文件权限。但是该组成员不能更 改文件安全设置。该组成员的具体权限有通过网络访问此计算机；允许本地登录；

备份文件和目录；跳过遍历检查；作为批处理登录；还原文件和目录；关闭系统。

 Cryptographic Operators：已授权此组的成员执行加密操作。

 Distributed COM Users：允许成员启动、激活和使用此计算机上的分布式 COM 对象。

 Guests：内置的 Guest 账户是该组的成员，该组的成员拥有一个在登录时创建的临 时配置文件，在注销时，该配置文件被删除。

 IIS_IUSRS：这是 Internet 信息服务（IIS）使用的内置组。

 Network Configuration Operators：该组的成员可以更改 TCP/IP 设置并更新和发布 TCP/IP 地址。

 Performance Monitor Users：该组的成员可以从本地服务器和远程客户端监视性能计 数器。

 Performance Log Users：该组的成员可以从本地或远程管理性能计数器、日志和警报。

 Power Users：存在于非域控制器上，可进行基本的系统管理；如共享本地文件夹、

管理系统访问和打印机、管理本地普通用户；但是它不能修改 Administrators 组、

Backup Operators 组，不能备份/恢复文件，不能修改注册表。

 Remote Desktop Users：该组的成员可以通过网络远程登录。

 Users：是一般用户所在的组，新建的用户都会自动加入该组；对系统有基本的权 力，如运行程序，使用网络；不能关闭 Windows Server 2008；不能创建共享目录和

36 Windows Server 2008 网络管理

本地打印机。如果这台计算机加入到域，则域的用户自动被加入到该机的 Users 组。

本章小结

本章首先介绍用户的分类，在 Windows Server 中用户包括本地账户和域账户（后面章节 介绍）以及各种内置账户。本地账户对应工作组模式，只能在本地机运行；内置账户是为了 方便管理系统而设置的账户。然后又介绍了如何管理不同账户，如：建立账户、删除账户、

更改密码等。本章最后介绍了 Windows 组的概念以及对它的管理。组是权限相同的用户的 集合，是为了方便管理这些权限相同的用户引入的概念。根据工作模式不同组分为本地组和 域组。本章重点介绍本地组的创建和管理。本地组信息被存储在本地安全账户数据库

（SAM）内。

习题二

一、理论习题

1．Windows Server 2008 本地账户存储在________中；Windows Server 2008 内置账户中，默认被禁用 的是________。

2．下列哪个账户名不是合法的账户名？________。

A．abc_123 B．windows book

C．dictionar* D．abdkeofFHEKLLOP 3．本地账户的类型分为________和________。

4．用户忘记密码，该采取什么方式处置？

二、上机练习项目

1．项目 1：在独立或成员服务器上建立本地组 Group_test、本地账户 User1，把 User1 加入到 Group_test 组中；设置 User1 用户下次登录时要修改密码。

2．项目 2：用项目 1 建立的账户 User1 登录，修改密码。