Windows Server 2008 用户管理

默认用户和组

默认用户

默认只有来宾用户(Guest)和管理员(Administrator)

默认组

创建账户

图形界面创建用户

创建用户选项解析

对于公司新员工，分配给他的电脑，应该让其有一定的自主权。新员工在首次登陆计算机的时候便更改密码，这样用户的计算机只有自己和管理员能动。

有些计算机是共用的，比如医院护士使用的开票计算机，账号是共用的，不允许私自改密码。公共账号可以设置密码永不过期

当公司预计招收10名员工时，可以提前创建好10名用户，并设置“账户已禁用”，当员工来了后在激活账户。

命令行创建用户

net user lisi 111111 /add

查看当前系统下的用户

net suer命令可以接哪些参数

把lisi加入到管理员组

重设lisi密码

查看lisi信息

GUI创建用户简单直观，为何需要命令行？

创建一个用户区别不明显，当需要创建多个用户，并为为他们划分组的时候，把命令写入比处理文件.bat，可以一次性完成所有任务。

创建组

除了内置的组，用户还可以创建自定义组。组中的用户享有相同的权限，可以向组中添加用户，添加默认组，但是不可以添加自定义组

用户配置文件

在WinServ环境C:\Users目录下

比如上图的zhangsan。用户配置文件内容包括输入法设置、IE设置、桌面环境、我的文档中内容、证书、链接的打印机、存储的账号和密码等等。

用户配置文件工作原理

当用户第一次登记计算机时，系统就会在本地磁盘上为用户建立一个本地配置文件。用户的工作环境设置（如开始菜单、文档等信息）会被存储在此文件夹内。用户下次登灵活时，系统会使用此文件夹的内容来设置用户的工作环境

用户配置文件怎么创建的

依据Default文件夹创建，这有点像Linux环境下的skeleton directory

C:\Users\Public

这个目录下存放的文件都是公用的，所有用户都可以访问。

共用桌面默认是隐藏的，需要打开 “显示隐藏的文件和文件夹” 选项才能看到。共用桌面有啥用？举个例子，比如想让所有用户一开机就能在桌面上看到www.github.com的快捷方式，就可以把这个链接的快捷方式放到公共桌面。

SID

参考：Windows Server 2008更改SID

Windows下每创建一个用户，OS就会为该用户分配一个安全标识，即SID。

whoami /all显示用户SID和所属组SID，以及特权信息

C:\Users\Administrator>whoami /all

用户信息
----------------

用户名                  SID
======================= ============================================
winserver\administrator S-------

组信息
-----------------

组名                                 类型          SID          属性

==================================== ============= ============ ================
==========================
Everyone                             已知组        S---      必需的组, 启用于
默认, 启用的组
BUILTIN\Administrators               别名          S---- 必需的组, 启用于
默认, 启用的组, 组的所有者
BUILTIN\Users                        别名          S---- 必需的组, 启用于
默认, 启用的组
NT AUTHORITY\INTERACTIVE             已知组        S---      必需的组, 启用于
默认, 启用的组
NT AUTHORITY\Authenticated Users     已知组        S---     必需的组, 启用于
默认, 启用的组
NT AUTHORITY\This Organization       已知组        S---     必需的组, 启用于
默认, 启用的组
LOCAL                                已知组        S---      必需的组, 启用于
默认, 启用的组
NT AUTHORITY\NTLM Authentication     已知组        S----  必需的组, 启用于
默认, 启用的组
Mandatory Label\High Mandatory Level 未知 SID type S--- 必需的组, 启用于
默认, 启用的组

特权信息
----------------------

特权名                          描述                       状态
=============================== ========================== ======
SeIncreaseQuotaPrivilege        为进程调整内存配额         已禁用
SeSecurityPrivilege             管理审核和安全日志         已禁用
SeTakeOwnershipPrivilege        取得文件或其他对象的所有权 已禁用
SeLoadDriverPrivilege           加载和卸载设备驱动程序     已禁用
SeSystemProfilePrivilege        配置文件系统性能           已禁用
SeSystemtimePrivilege           更改系统时间               已禁用
SeProfileSingleProcessPrivilege 配置文件单个进程           已禁用
SeIncreaseBasePriorityPrivilege 提高计划优先级             已禁用
SeCreatePagefilePrivilege       创建一个页面文件           已禁用
SeBackupPrivilege               备份文件和目录             已禁用
SeRestorePrivilege              还原文件和目录             已禁用
SeShutdownPrivilege             关闭系统                   已禁用
SeDebugPrivilege                调试程序                   已禁用
SeSystemEnvironmentPrivilege    修改固件环境值             已禁用
SeChangeNotifyPrivilege         绕过遍历检查               已启用
SeRemoteShutdownPrivilege       从远程系统强制关机         已禁用
SeUndockPrivilege               从扩展坞上取下计算机       已禁用
SeManageVolumePrivilege         执行卷维护任务             已禁用
SeImpersonatePrivilege          身份验证后模拟客户端       已启用
SeCreateGlobalPrivilege         创建全局对象               已启用
SeIncreaseWorkingSetPrivilege   增加进程工作集             已禁用
SeTimeZonePrivilege             更改时区                   已禁用
SeCreateSymbolicLinkPrivilege   创建符号链接               已禁用

其中管理员的SID有个特点，最后面数字是500

一个用户在某个组，组具有什么权力，用户就具有什么权力。用户在登录的时候会根据自身SID，所属组SID，特权信息构建个人身份证。对于一个已存在的用户，你可以对他改名字，但是该用户SID不变，他相应的权限也不变。但是你把该用户删了，再重新创建一个用户，名称密码不变，但是此时SID可能是变化的（因为之前可能加了某些组，额外赋予了某些权限等）。

例子：

创建新用户zhangsan，加入管理员（administrators）组。然后WinSer开启远程桌面（mstsc微软远程桌面客户端），宿主机使用zhangsan远程桌面链接WinSer，将zhangsan从管理员组剔除，此时zhangsan还有管理员权限吗？

答：有，因为权限的依据是SID，而SID是的登陆时创建的，有什么权利也是登陆时决定的。

禁用管理员

系统刚安装完，默认管理员名称就是administrator。这样很不安全，对于攻击者，只要猜对密码就可以了。可以采用如下步骤增强系统安全性

①新建一个用户，比如lisi，加入到administrators组

②禁用adminstrator用户

③新建一个普通用户，叫adminstrator

这样一来，lisi是管理员，原来的administrator只是个普通用户

创建隐藏账户

WinSer一旦被黑客入侵，黑客可以在系统上创建匿名用户，并将匿名用户加入管理员组。以后直接远程桌面连过去就可以控制电脑。通过如下步骤创隐藏账户

①创建账户，加入到管理员组

②找到对应用户的注册表（regedit），并到处框中的2个注册表

③在服务器管理器->本地用户和组->用户 删除①创建的用户

④将②创建的注册表导入

此时系统上就存在了一个匿名帐户，管理员在 服务器管理器->本地用户和组->用户 根本发现不了。除非WinSer重启，匿名帐户才会显示出来。但是一般服务器不重启。

创建不属于管理员组的管理员

Windows服务器的入侵者一旦成功入侵计算机，首先要获取的便是管理员权限，因此需要将自己加入到管理员组。但是一旦加入管理员组，真正的OS管理员在 服务器管理器->本地用户和组 里面发现陌生的用户就很有肯意识到OS被入侵，进而删掉入侵者的账户。下面演示，使用这种方式，管理员在管理员组里面发现不了入侵者。

①创建账户

②找到对应用户的注册表（regedit），替换新用户与管理员的F值

密码重置盘

参考 Window2008R2中如何创建密码重设盘？

对于企业生成环境，最好为每台服务器创建一个密码重设盘，保存好，以备将来有问题。恢复密码时只认userkey.psw文件，这意味着你可以为多个系统创建密码重设盘，这回生成多个userkey.psw。为了方便区分，你可能会对这些文件改名字，但是在使用密码重设盘恢复密码的时候，必须把文件名字改成userkey.psw。