一、用户账户概述:
”用户”是计算机的使用者在计算机系统中的身份映射,不同的用户身份拥有不同的权限,每个用户包含一个名称和一个密码;
在Windows中,每个用户帐户有一个唯一的安全标识符(Security Identifier,SID),用户的权限是通过用户的SID记录的。SID的格式如下所示:S-1-5-21-3277649422-2592888033-1324599837-500
注:在注册表中可以产看每个用户的SID。
位置:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList项,其中的子项名称就是用户的SID。
1、用户管理:
当一台计算机需要提供给多人使用,或允许其他人通过网络访问这台计算机,并且需要为不同的使用者分配不同的权限,如关闭系统的权限,修改系统时间的权限,访问文件的权限(只读或是可修改),就需要创建多个用户帐户。
打开服务器管理器——配置——本地用户和组——用户:
2、创建用户:
如果后期用更改用户设置,可以单击对应用户鼠标右键选择属性进行编辑:
3、删除用户:
可以通过鼠标右键用户名选择删除或者选中用户后单击红X:
4、为用户设置权限:
Eg:为新用户user01赋予关闭系统、更改系统时间的权限:
首先单击开始菜单——管理工具——打开本地安全策略:
选择安全设置——本地策略——用户权限分配:
二、内置用户账户:
用于特殊用途,一般不需更改其权限
l 与使用者关联的用户帐户
? Administrator:是默认的管理员用户,在所有与使用者关联的帐户中,其权限最高。在没有其他管理员帐户的情况下,建议不要将该帐户禁用。为了保证计算机系统的安全,也不建议将Administrator的密码告诉其他使用者。
? Guest:是提供给没有用户帐户的访客使用的。该帐户默认是禁用的。
l 与Windows组件关联的用户帐户:
? SYSTEM(本地系统):该帐户与使用计算机的人无关,是为Windows的核心组件访问文件等资源提供权限。这些核心组件包括csrss.exe(客户端服务器运行时进程)、lsass.exe(本地安全机构进程)等。SYSTEM拥有高于Administrator的权限。
? LOCAL SERVICE帐户与使用计算机的人无关,而是为Windows的一部分服务提供访问系统的权限。LOCAL SERVICE帐户的权限与Users一致,一旦这些服务被入侵控制,也没有访问系统重要位置的权限。
? NETWORK SERVICE帐户与LOCAL SERVICE帐户一致,为Windows的一部分服务提供访问系统的权限。两者的区别是:当计算机加入Windows域,本地NETWORK SERVICE帐户与LOCAL SERVICE帐户在其他计算机上以不同的用户身份置换。
三、管理组账户:
组账户:组是一些用户的集合,组内的用户自动具备为组所设置的权限
1、新建组:
打开服务器管理器——配置——本地用户和组——组:
2、添加组成员:
3、删除组:
4、为组设置权限:
内置组账户:
需要人为添加成员的内置组:
Administrators(管理员组)、Guests(来宾组)、Power Users(兼容低版本的特殊组)、Users(标准用户);
动态包含成员的内置组:
其成员由Windows程序“自动添加”;Windows会根据用户的状态来决定用户所属的组;组内的成员也随之动态变化,无法修改。
Interactive:动态包含在本地登录的用户;
Authenticated Users:动态包含了通过验证的用户,不包含来宾用户;
Everyone:包含任何用户,设置开放的权限时经常使用。
补充:
No1、用户更改密码方式: 1.用户自己更改;2.管理员为用户设置密码;
No2、查看当前登录用户SID:whoami /user
附:
WhoAmI 有三种使用方法:
语法 1:WHOAMI [/UPN | /FQDN | /LOGONID]
语法 2:WHOAMI { [/USER] [/GROUPS] [/CLAIMS] [/PRIV] } [/FO format] [/NH]
语法 3:WHOAMI /ALL [/FO format] [/NH]
描述:
这个工具可以用来获取本地系统上当前用户(访问令牌)的用户名和组信息,以及相应的安全标识符(SID)、声明、本地系统上当前用户的权限、登录标识符(登录 ID)。例如,谁是当前已登录的用户、用户名。
参数列表:
/UPN :用用户主体 (User Principal) 格式显示用户名名称 (UPN)格式。
/FQDN:用完全合格的 (Fully Qualified) 格式显示用户名可分辨名称(FQDN) 格式。
/USER:显示当前用户的信息以及安全标识符 (SID)。
/GROUPS:显示当前用户的组成员信息、帐户类型和安全、标识符 (SID) 和属性。
/CLAIMS:显示当前用户的声明,包括声明名称、标志、类型和值。
/PRIV:显示当前用户的安全特权
/LOGONID:显示当前用户的登录 ID。
/ALL :显示当前用户名、所属的组以及安全等级当前用户访问令牌的标识符(SID)、声明和权限。
/FO format指定要显示的输出格式。有效值为 TABLE、LIST、CSV。默认格式为 TABLE。
No3、命令行创建用户: net user 用户名 密码 /add
命令行删除已创建用户: net user 用户名 /del
命令行更改已创建用户密码: net user 用户名 密码
No4、命令行创建组:
创建组:net localgroup 组名 /add
删除组:net localgroup 组名 /del
将用户加入到组:net localgroup 组名 用户名 /add
No5、相对使用者来说,administrator权限最高,相对于系统来说,system的权限最高。