本地用户是可以在本地登陆的帐户,不同的用户有不同的权限和登陆界面以及相关的用户程序
组是本地用户的管理单元
本地用户和组 用户账户 User Accounts 组 Groups 用户权力 User Rights 许可 Permissions 以下为非域网 一.本地安全账户数据库 SAM(Security Account Manager) 用户账户存储在SAM中,使用计算机首先要用账户登录,进行本机的身份验证,若是网络上其它用户使用计算机,也要使用存储在将要使用的计算机的上的本地的SAM中的账户进行登录,进行身份验证, 对于SAM而言,不管本地登录还是网络登录,使用的都是要登录的计算机的SAM上的身份验证。 例如:一个网络上的SERVER上的一个用户USER1属于Administrators组,访问下面的一个PC03的主机,而PC03上用一个USER1属于USERs组,这么进行的访问工作只能为USERS的权限。 如果你希望USER1能访问网络里的每一台主机,则要在每一台主机上创建USER1的账户; 如果你希望每个人都能访问每一台主机,则要在每台主机上创建每个USER的用户账户; 本地用户账户只能访问本地资源。 二.用户名 ---用户名可以有空格 "\/[]:;|=,+*?<>不可用 常用@_ 以这两个字符为开头的用户常常显示在所有账户的最前面 ---密码: 最长128位(NT4.0 最长14位),最短长6位 User Must Change Password at Next Logon(用户下次登录时须更改密码): 对于这个选项,在新建的用户系统将会自动选中,这样该用在第一次登录的时候系统将会提示更改密码,而该用户更改密码后系统将自动把这个选项去掉。 ---User Profile 用户的基本配置文件,给每个用户在第一次登录时,系统将会创建一个文件夹存储每个用户的各种设置。存储目录为 User Profile C:\Documents and Settings\User1 \User2 \User3 \All users User Profile主要针对NT4和Windows2000. 在98、DOS系统上在Logon script(登陆脚本),即用户登陆时的执行的批处理。 HomeFolder(主目录),当用户访问硬盘时,系统默认的第一个访问路径。主要是针对对计算机不熟悉的人。 三.账户系统内建的本地账户Built-in User Accounts Administrator 是系统内建的第一个用户账户 -----对本地计算机进行管理工作 -----可以赋予臫任何权限 -----妥善保存好密码 Guser 客户账户,当客户的账户在本地SAM验证不了时,可以将Guest Enable,可以被所有人访问。 四.用户的权力和许可 -----Right 权力 -----Permission 许可(权限)这权力和许可是有差别的 Right -------为用户设置的 -------存储在系统中在 -------用户重新登录系统时生效是随着用户走的 而许可的设置是即时生效的 五.组简介 l 组Group 组是用户账户的集合,组里面的所有人可能获得组的所有权限和许可 用户少时可能不用组,当用户账户多时应用组。 例如一个文件由用户访问时,文件所属的SAM将会检查用户账号,在设置时应将要访问该文件的用户账户加入到本地的SAM中,但若在多个用户账户要访问该文件,不可能一个一个的添加,正确方便为,将这些用户全部归为USERS组,只在本地的SAM加入对USERS组的许可即可。 l 组的类型 n 本地组Local Group ---存在于本地的安全账户数据库 ---可被赋予对本地资源的访问许可 ---域控制器上没有本地组 n 域上的组 ---存在于AD中 ---可用于赋予对网上资源的访问权限 n Local Group的成员 ---本地用户账户能成为本地组的成员 ---本地组不能成为其它本地组的成员 n 有创建本地组权限的人 ---Administrators ---Account Operators ---Power users 把组删除,组里的成员并没有删除,只把组的许可和权限删除。 六.各组相应的权力 l Administrators组的权力 ---所有的2000上都有唯一的一个被赋予了所有内建权力的组 ---它可以给臫赋予所有自己没有的权力 ---可添加系统组件,升级系统 ---配置系统重要参数,如注册表的修改等 ---配置安全信息 l Power Users组 ---在非域控制器上 ---可以进行基本的系统管理工作 共享本地文件夹 服务的管理,打印机的管理 本地用户的管理 安装不修改注册表的软件 可以创建用户,不能创建Administrators和Backup Operators组成员,也不能修改 不能备份恢复文件 不能修改注册表 l Backup Operators组的权力 ---所有2000上都有的组 ---可以忽略文件系统的权力进行备份和恢复 ---可以登录机器和Shutdown系统 ---加密文件也可以做备份 l Users组的权力 ---一般用户所在的组,对系统使用的基本权力 ---可以运行程序、使用网络等 ---可以Shutdown Professional,不能Shudown Server ---不能创建共享目录,不能创建本地打印机只要被身份验证的成员都属于该组,唯一不属于这个组的成员是Guest 系统除了创建内置的组,还创建了其它组 l Special identities特殊组,这个组成员是系统自动维护 ---原NT中的系统组System Group ---组成员不能被修改 ---成员随机器的运行自动修改 ---Everyone用户通过网络访问主机(不管验证成功与否)都将成为本组成员,guest组属于这个组 ---Authenticated users(被身份验证成功用户,guest组不属于这个组) 与Everyone 组的差别 n 在2000Professional中是以下组的成员 Power Users Users n 在2000Server中是以下组的成员 Users 如果是在系统环境安全要求高的条件下,推荐用本组替代Everyone组---Interactive 七.一般的用户权力所有管理员组的权力都是通过本地安全策略来查看的 Local security policy(本地安全策略) | | | |---Logon Locally(本地登陆) |------User Right-| |---Deny Logon Locally(拒绝本地登陆) 如果想在本机中只由Administrators登录,在Deny中拒绝本地Users组,这样任何将无法登录包括Administrators。因为Deny是优先的,而Administrators也是属于USERS组的。 八.SID SID Security Identifier 记录身份的标识,每一个用户都不同,例如你创建了一个刚删除的账户都不是一样的。对于升级NT4升级为Win2000的止的是保留原用户的SID,赋予原用户的Right和Permission都不会丢失。
参考资料:http://mkii.blog.hexun.com/233120_d.html