第5章用户账户的管理.ppt

禁用账户、启用账户：如果某个职员请长假，则可设该用户的账户禁用，等该职员回来后，再启用账户。如设某个账户禁用，则在该用户帐户的图形上会有一个红色的“X”符号。 重设密码：当用户忘记密码或密码到期时，系统管理员可为该用户帐户设置新的密码。 删除账户：若某个账户不再使用，如某个职员离职，则可删除该账户。 重命名：如某个职员离职时，可暂时将其账户设为禁用，当有新职员加入时，再将此账户重新命名，重设密码与个人信息即可。重命名后，该账户原有的权限、权利与组关系都不会改变。 规划新的用户账户 遵循以下的规则和约定可以简化账户创建后的管理工作： （1）命名约定。 ① 账户名必须唯一：本地账户必须在本地计算机上唯一。 ② 账户名不能包含以下字符：* / \ [ ] : : | = ， + / “。 ③ 账户名最长不能超过20个字符。 （2）密码原则。 ① 一定要给Administrator账户指定一个密码，以防止他人随便使用该账户。 ② 确定是管理员还是用户拥有密码的控制权。用户可以给每个用户账户指定一个唯一的密码，并防止他用户对其进行更改，也可以允许用户在第一次登录时输入自己的密码。一般情况下，用户应该可以控制自己的密码。 ③ 密码不能太简单，应该不容易让他人猜出。 ④ 密码最多可由128个字符组成，推荐最小长度为8个字符。 ⑤ 密码应由大小写字母、数字以及合法的非字母数字的字符混合组成，如“P@ssw0rd”。 关于SID 系统内部使用安全标识符（Security Identifier，SID）来识别用户身份，每个用户账户都对应一个唯一的安全标识符，这个安全标识符在用户创建时由系统自动产生。 SID号 每个用户都有一个名称之外的唯一标识符SID号，SID号在新增账户时由系统自动产生，不同账户的SID不会相同。由于系统在设置用户的权限、访问控制列表中的资源访问能力信息时，内部都使用SID号，所以一旦用户账户被删除，这些信息也就跟着消失了。重新创建一个名称相同的用户账户，也不能获得原先用户账户的权限。 设置本地安全策略 在Windows Server 2003中，为了确保计算机的安全，允许管理员对本地安全进行设置，从而达到提高系统安全性的目的。Windows Server 2003对登录到本地计算机的用户都定义了一些安全设置。所谓本地计算机是指用户登录执行Windows Server 2003的计算机，在没有活动目录集中管理的情况下，本地管理员必须为计算机进行设置以确保其安全。例如，限制用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登录计算机、指派用户权限等。将这些安全设置分组管理，就组成了Windows Server 2003的本地安全策略。 “本地安全设置”控制台 Windows Server 2003在“管理工具”菜单提供了“本地安全设置”控制台，可以集中管理本地计算机的安全设置原则，使用管理员账户登录到本地计算机，即可打开“本地安全设置”控制台 密码安全设置 密码必须符合复杂性要求； 密码长度最小值； 密码使用期限； 强制密码历史； 账户锁定策略 用户权限分配 Windows Server 2003将计算机管理各项任务设定为默认的权限，例如，从本地登录系统、更改系统时间、从网络连接到该计算机、关闭系统等。系统管理员在新增了用户账户和组账户后，如果需要指派这些账户管理计算机的某项任务，可以将这些账户加入到内置组，但这种方式不够灵活。系统管理员可以单独为用户或组指派权限，这种方式提供了更好的灵活性。 用户权限的分配在“本地安全设置”的“本地策略”下设置，如图所示。 用户权限分配 用户权限分配 从网络访问这台计算机是指允许哪些用户及组可以通过网络连接到该计算机，如图所示。默认为Administrators、Backup Operators、Power Users、Users和Everyone组。由于Everyone组允许通过网络连接到此计算机，所以网络中的所有用户，默认都可以访问这台计算机。 用户权限分配 允许本地登录。允许在本地登录原则设置，决定哪些用户可以交互式地登录此计算机，默认为Administrators、Backup Operators、Power Users，如图所示。另一个安全设置是“拒绝本地登录”，默认用户或组为空。同样的，如果某用户既属于“允许在本地登录”又属于“拒绝本地登录”，那么该用户将无法在本地登录计算机。 用户权限分配 关闭系统。关闭系统原则设置，决定哪些本地登录计算机的用户可以关闭操作系统。默认能够关闭系统的是Administrators、Backup Operators和Power Users，如图2.27所示。默认Users组用户可以从本地登录计算机，但是在“关