1、用户账号安全.ppt

用户账号安全管理 毛 颉 浙江工业职业技术学院计算机分院 mj_edu@163.com 实训目的 掌握密码安全设置原则 掌握账户策略的设置 掌握用户的管理操作 掌握系统账户权限的设置 理论知识 1．账号的定义：用户账号是用来登录到计算机或通过网络访问计算机或访问网络资源的凭证，是用户在系统的惟一标识。 2．账号的类型：根据用户登录和使用资源范围的不同, 可以把账号分为本地用户账号和域用户账号两种类型。根据创建方式的不同, 可以把账号分为内置用户账号和自定义用户账号两种类型。 理论知识 活动目录：我们的电话本、地址本也是一种目录，微软的活动目录（AD，Active Directory）也是一种存放信息的方式而已 域控制器（DC，Domain Controller）上存放有域中所有用户、组、计算机等信息。域控制器就把这些信息存放在活动目录中，活动目录实际上就是一个特殊的数据库 理论知识 用户帐户的类型 本地用户帐户（工作组模型） 使用“本地用户和组”创建 存储在SAM数据库中（system32-config） 登录时进行本地身份验证 域用户帐户（域模型） 使用“AD用户和计算机”创建 存储在Active Directory数据库中（Windows-NTDS文件夹中：ntds.dat） 登录时进行网络身份验证 理论知识 密码安全设置原则 不可让账号与密码相同 不可使用自己的姓名 不可使用英文词组 不可使用特定意义的日期 不可使用简单的密码 理论知识 账户策略 密码策略 账户锁定策略 理论知识 系统管理员设置原则 更改管理员账户名 禁用Administrator账户 强密码设置 理论知识 用户安全管理 限制用户登录工作站 限制用户登录时间 理论知识 用户访问权限 共享文件夹权限 文件夹共享设置 共享实现方式 通过网上邻居 映射网络驱动器 通过UNC路径 如:\\56 \共享名 通过命令 如:net use z: \\56\共享名 共享权限设置 实验内容和步骤 在Windows Server 2003中创建域控制器。 在Windows Server 2003中创建域帐户abc，密码：abc123！； 将一台计算机加入到域； 在域设置用户abc的访问时间为周一—周五上午8：00~下午5：00； 在XP的虚拟机里创建本地帐户aaa和bbb,密码均为：123 实验内容和步骤 将帐户aaa加入到管理员组； 在注册表里将bbb帐户变成帐户aaa的克隆帐户； 创建隐藏帐户ccc$，使ccc$具有管理员权限； 在组策略里，设置密码策略：开启复杂性要求、设置最小密码长度为6、密码最长留存期为30天；然后创建新用户ddd;设置帐户锁定策略：锁定阀值为3； 实验内容和步骤 在Windows Server 2003的虚拟机中创建共享文件夹：share；在XP的虚拟机中映射驱动器访问共享文件夹； 在Windows Server 2003的虚拟机中创建隐藏共享文件夹：share$； 设置share文件夹的共享权限为：帐户ddd具有完全控制权限。 * ZJIPC