Windows Server 2008 R2入门之用户管理

erqe211

今天为大家带来的是Windows Server 2008 R2入门之用户管理，以便大家更快的熟悉2008r2工作组中用户、组的创建、删除、日常管理等，接下来我们直接进入正文。
一、用户账户概述：
”用户”是计算机的使用者在计算机系统中的身份映射，不同的用户身份拥有不同的权限，每个用户包含一个名称和一个密码；
在Windows中，每个用户帐户有一个唯一的安全标识符（Security Identifier，SID），用户的权限是通过用户的SID记录的。SID的格式如下所示：S-1-5-21-3277649422-2592888033-1324599837-500
注：在注册表中可以产看每个用户的SID。
位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList项，其中的子项名称就是用户的SID。

1、用户管理：
当一台计算机需要提供给多人使用，或允许其他人通过网络访问这台计算机，并且需要为不同的使用者分配不同的权限，如关闭系统的权限，修改系统时间的权限，访问文件的权限（只读或是可修改），就需要创建多个用户帐户。
打开服务器管理器——配置——本地用户和组——用户：


2、创建用户：


如果后期用更改用户设置，可以单击对应用户鼠标右键选择属性进行编辑：


3、删除用户：
可以通过鼠标右键用户名选择删除或者选中用户后单击红X：


4、为用户设置权限：
Eg：为新用户user01赋予关闭系统、更改系统时间的权限：
首先单击开始菜单——管理工具——打开本地安全策略：


选择安全设置——本地策略——用户权限分配：






二、内置用户账户：
用于特殊用途，一般不需更改其权限
l 与使用者关联的用户帐户
? Administrator：是默认的管理员用户，在所有与使用者关联的帐户中，其权限最高。在没有其他管理员帐户的情况下，建议不要将该帐户禁用。为了保证计算机系统的安全，也不建议将Administrator的密码告诉其他使用者。
? Guest：是提供给没有用户帐户的访客使用的。该帐户默认是禁用的。
l 与Windows组件关联的用户帐户:
? SYSTEM（本地系统）：该帐户与使用计算机的人无关，是为Windows的核心组件访问文件等资源提供权限。这些核心组件包括csrss.exe（客户端服务器运行时进程）、lsass.exe（本地安全机构进程）等。SYSTEM拥有高于Administrator的权限。
? LOCAL SERVICE帐户与使用计算机的人无关，而是为Windows的一部分服务提供访问系统的权限。LOCAL SERVICE帐户的权限与Users一致，一旦这些服务被入侵控制，也没有访问系统重要位置的权限。
? NETWORK SERVICE帐户与LOCAL SERVICE帐户一致，为Windows的一部分服务提供访问系统的权限。两者的区别是：当计算机加入Windows域，本地NETWORK SERVICE帐户与LOCAL SERVICE帐户在其他计算机上以不同的用户身份置换。


三、管理组账户：
组账户：组是一些用户的集合，组内的用户自动具备为组所设置的权限
1、新建组：
打开服务器管理器——配置——本地用户和组——组：



2、添加组成员：




3、删除组：



4、为组设置权限：

内置组账户：
需要人为添加成员的内置组：
Administrators（管理员组）、Guests（来宾组）、Power Users（兼容低版本的特殊组）、Users（标准用户）；
动态包含成员的内置组：
其成员由Windows程序“自动添加”；Windows会根据用户的状态来决定用户所属的组；组内的成员也随之动态变化，无法修改。
Interactive：动态包含在本地登录的用户；
Authenticated Users：动态包含了通过验证的用户，不包含来宾用户；
Everyone：包含任何用户，设置开放的权限时经常使用。
补充：
No1、用户更改密码方式： 1.用户自己更改；2.管理员为用户设置密码；
No2、查看当前登录用户SID：whoami /user

附：
WhoAmI 有三种使用方法:
语法 1：WHOAMI [/UPN | /FQDN | /LOGONID]
语法 2：WHOAMI { [/USER] [/GROUPS] [/CLAIMS] [/PRIV] } [/FO format] [/NH]
语法 3：WHOAMI /ALL [/FO format] [/NH]
描述:
这个工具可以用来获取本地系统上当前用户(访问令牌)的用户名和组信息，以及相应的安全标识符(SID)、声明、本地系统上当前用户的权限、登录标识符(登录 ID)。例如，谁是当前已登录的用户、用户名。
参数列表:
/UPN ：用用户主体 (User Principal) 格式显示用户名名称 (UPN)格式。
/FQDN：用完全合格的 (Fully Qualified) 格式显示用户名可分辨名称(FQDN) 格式。
/USER：显示当前用户的信息以及安全标识符 (SID)。
/GROUPS：显示当前用户的组成员信息、帐户类型和安全、标识符 (SID) 和属性。
/CLAIMS：显示当前用户的声明，包括声明名称、标志、类型和值。
/PRIV：显示当前用户的安全特权
/LOGONID：显示当前用户的登录 ID。
/ALL ：显示当前用户名、所属的组以及安全等级当前用户访问令牌的标识符(SID)、声明和权限。
/FO format指定要显示的输出格式。有效值为 TABLE、LIST、CSV。默认格式为 TABLE。
No3、命令行创建用户： net user 用户名 密码 /add

命令行删除已创建用户： net user 用户名 /del
命令行更改已创建用户密码： net user 用户名 密码

No4、命令行创建组：
创建组：net localgroup 组名 /add
删除组：net localgroup 组名 /del
将用户加入到组：net localgroup 组名 用户名 /add

No5、相对使用者来说，administrator权限最高，相对于系统来说，system的权限最高。

这一段时间手头工作比较繁忙，可能更新文章速度及文章的内容可能稍打折扣，呵呵，还请大家谅解，本人尽快补充更正，如有错误还请大家及时提出批评指正。谢谢。