Windows Server 2008 用户管理
默认用户和组
默认用户
默认只有来宾用户(Guest)和管理员(Administrator)
默认组
创建账户
图形界面创建用户
创建用户选项解析
对于公司新员工,分配给他的电脑,应该让其有一定的自主权。新员工在首次登陆计算机的时候便更改密码,这样用户的计算机只有自己和管理员能动。
有些计算机是共用的,比如医院护士使用的开票计算机,账号是共用的,不允许私自改密码。公共账号可以设置密码永不过期
当公司预计招收10名员工时,可以提前创建好10名用户,并设置“账户已禁用”,当员工来了后在激活账户。
命令行创建用户
net user lisi 111111 /add
查看当前系统下的用户
net suer命令可以接哪些参数
把lisi加入到管理员组
重设lisi密码
查看lisi信息
GUI创建用户简单直观,为何需要命令行?
创建一个用户区别不明显,当需要创建多个用户,并为为他们划分组的时候,把命令写入比处理文件.bat,可以一次性完成所有任务。
创建组
除了内置的组,用户还可以创建自定义组。组中的用户享有相同的权限,可以向组中添加用户,添加默认组,但是不可以添加自定义组
用户配置文件
在WinServ环境C:\Users目录下
比如上图的zhangsan。用户配置文件内容包括输入法设置、IE设置、桌面环境、我的文档中内容、证书、链接的打印机、存储的账号和密码等等。
用户配置文件工作原理
当用户第一次登记计算机时,系统就会在本地磁盘上为用户建立一个本地配置文件。用户的工作环境设置(如开始菜单、文档等信息)会被存储在此文件夹内。用户下次登灵活时,系统会使用此文件夹的内容来设置用户的工作环境
用户配置文件怎么创建的
依据Default文件夹创建,这有点像Linux环境下的skeleton directory
C:\Users\Public
这个目录下存放的文件都是公用的,所有用户都可以访问。
共用桌面默认是隐藏的,需要打开 “显示隐藏的文件和文件夹” 选项才能看到。共用桌面有啥用?举个例子,比如想让所有用户一开机就能在桌面上看到www.github.com的快捷方式,就可以把这个链接的快捷方式放到公共桌面。
SID
Windows下每创建一个用户,OS就会为该用户分配一个安全标识,即SID。
whoami /all显示用户SID和所属组SID,以及特权信息
C:\Users\Administrator>whoami /all 用户信息
---------------- 用户名 SID
======================= ============================================
winserver\administrator S------- 组信息
----------------- 组名 类型 SID 属性 ==================================== ============= ============ ================
==========================
Everyone 已知组 S--- 必需的组, 启用于
默认, 启用的组
BUILTIN\Administrators 别名 S---- 必需的组, 启用于
默认, 启用的组, 组的所有者
BUILTIN\Users 别名 S---- 必需的组, 启用于
默认, 启用的组
NT AUTHORITY\INTERACTIVE 已知组 S--- 必需的组, 启用于
默认, 启用的组
NT AUTHORITY\Authenticated Users 已知组 S--- 必需的组, 启用于
默认, 启用的组
NT AUTHORITY\This Organization 已知组 S--- 必需的组, 启用于
默认, 启用的组
LOCAL 已知组 S--- 必需的组, 启用于
默认, 启用的组
NT AUTHORITY\NTLM Authentication 已知组 S---- 必需的组, 启用于
默认, 启用的组
Mandatory Label\High Mandatory Level 未知 SID type S--- 必需的组, 启用于
默认, 启用的组 特权信息
---------------------- 特权名 描述 状态
=============================== ========================== ======
SeIncreaseQuotaPrivilege 为进程调整内存配额 已禁用
SeSecurityPrivilege 管理审核和安全日志 已禁用
SeTakeOwnershipPrivilege 取得文件或其他对象的所有权 已禁用
SeLoadDriverPrivilege 加载和卸载设备驱动程序 已禁用
SeSystemProfilePrivilege 配置文件系统性能 已禁用
SeSystemtimePrivilege 更改系统时间 已禁用
SeProfileSingleProcessPrivilege 配置文件单个进程 已禁用
SeIncreaseBasePriorityPrivilege 提高计划优先级 已禁用
SeCreatePagefilePrivilege 创建一个页面文件 已禁用
SeBackupPrivilege 备份文件和目录 已禁用
SeRestorePrivilege 还原文件和目录 已禁用
SeShutdownPrivilege 关闭系统 已禁用
SeDebugPrivilege 调试程序 已禁用
SeSystemEnvironmentPrivilege 修改固件环境值 已禁用
SeChangeNotifyPrivilege 绕过遍历检查 已启用
SeRemoteShutdownPrivilege 从远程系统强制关机 已禁用
SeUndockPrivilege 从扩展坞上取下计算机 已禁用
SeManageVolumePrivilege 执行卷维护任务 已禁用
SeImpersonatePrivilege 身份验证后模拟客户端 已启用
SeCreateGlobalPrivilege 创建全局对象 已启用
SeIncreaseWorkingSetPrivilege 增加进程工作集 已禁用
SeTimeZonePrivilege 更改时区 已禁用
SeCreateSymbolicLinkPrivilege 创建符号链接 已禁用
其中管理员的SID有个特点,最后面数字是500
一个用户在某个组,组具有什么权力,用户就具有什么权力。用户在登录的时候会根据自身SID,所属组SID,特权信息构建个人身份证。对于一个已存在的用户,你可以对他改名字,但是该用户SID不变,他相应的权限也不变。但是你把该用户删了,再重新创建一个用户,名称密码不变,但是此时SID可能是变化的(因为之前可能加了某些组,额外赋予了某些权限等)。
例子:
创建新用户zhangsan,加入管理员(administrators)组。然后WinSer开启远程桌面(mstsc微软远程桌面客户端),宿主机使用zhangsan远程桌面链接WinSer,将zhangsan从管理员组剔除,此时zhangsan还有管理员权限吗?
答:有,因为权限的依据是SID,而SID是的登陆时创建的,有什么权利也是登陆时决定的。
禁用管理员
系统刚安装完,默认管理员名称就是administrator。这样很不安全,对于攻击者,只要猜对密码就可以了。可以采用如下步骤增强系统安全性
①新建一个用户,比如lisi,加入到administrators组
②禁用adminstrator用户
③新建一个普通用户,叫adminstrator
这样一来,lisi是管理员,原来的administrator只是个普通用户
创建隐藏账户
WinSer一旦被黑客入侵,黑客可以在系统上创建匿名用户,并将匿名用户加入管理员组。以后直接远程桌面连过去就可以控制电脑。通过如下步骤创隐藏账户
①创建账户,加入到管理员组
②找到对应用户的注册表(regedit),并到处框中的2个注册表
③在服务器管理器->本地用户和组->用户 删除①创建的用户
④将②创建的注册表导入
此时系统上就存在了一个匿名帐户,管理员在 服务器管理器->本地用户和组->用户 根本发现不了。除非WinSer重启,匿名帐户才会显示出来。但是一般服务器不重启。
创建不属于管理员组的管理员
Windows服务器的入侵者一旦成功入侵计算机,首先要获取的便是管理员权限,因此需要将自己加入到管理员组。但是一旦加入管理员组,真正的OS管理员在 服务器管理器->本地用户和组 里面发现陌生的用户就很有肯意识到OS被入侵,进而删掉入侵者的账户。下面演示,使用这种方式,管理员在管理员组里面发现不了入侵者。
①创建账户
②找到对应用户的注册表(regedit),替换新用户与管理员的F值
密码重置盘
对于企业生成环境,最好为每台服务器创建一个密码重设盘,保存好,以备将来有问题。恢复密码时只认userkey.psw文件,这意味着你可以为多个系统创建密码重设盘,这回生成多个userkey.psw。为了方便区分,你可能会对这些文件改名字,但是在使用密码重设盘恢复密码的时候,必须把文件名字改成userkey.psw。
Windows Server 2008 用户管理的更多相关文章
- Windows Server 2008磁盘管理
下面学习一下磁盘管理,基本磁盘 分区 空间只能是同一块磁盘的空间,动态磁盘 卷 空间可以是多块硬盘上的空间,怎么创建 RAID-0 条带卷 读写快 无容错 适合存放不太重要的数据 ,RAID-1 ...
- 管理Windows Server 2008本地用户和组
下面介绍Windows Server 2008本地用户和组的管理包括创建用户.删除用户.重设密码.将用户添加到组.普通用户跟管理员的区别 .用户配置文件包括桌面上文件,桌面背景,桌面上图标,IE设置, ...
- Windows Server 2008 R2组策略设置计算机配置和用户配置
一.认识Windows Server 2008 R2域控组策略管理 1.域控服务器zhuyu.com的组策略管理默认会读取AD用户和计算机目录下创建的OU容器(组织单元), 在对应的OU容器创建对应的 ...
- 在Windows Server 2008上部署SVN代码管理总结
这段时间在公司开发Flex程序,所以使用TortoiseSVN作为团队代码管理器,今天在公司服务器上部署SVN服务器,并实验成功,总结如下: 服务器环境: 操作系统:Windows Server 20 ...
- Windows Server 2008防火墙问题及Sql Server2005用户登录问题
一.Windows Server 2008防火墙问题 1. 问题: 1.在 Windows 安全中心中单击“立即打开”以打开 Windows 防火墙时,会收到以下错误消息:安全中心无法打开 Wind ...
- Windows server 2008普通用户不能远程登录问题
1.查登录权限 如果文件服务器没有为用户授权,那么用户自然就不能远程登录服务器系统了,为此笔者决定先仔细检查一下文件服务器系统是否为自己使用的登录账号,授予了远程登录权限.在进行这种检查时,笔者先是在 ...
- Windows Server 2008 R2之五操作主控的管理
一.概述 操作主控(FSMO)也称作操作主机(OM),它是指在AD中一个或多个特殊的DC,用来执行某些特殊的功能(资源标识符SID分配.架构修改.PDC选择等). 1.操作主控的分类 基于森林的操作主 ...
- 在Windows Server 2008 R2中使用web方式修改域用户账户密码
在Windows的domain环境下,加域的客户端修改账户密码是一件很easy的事情:即使没有加域的客户端如果组织中,使用Exchange邮件系统,借助Exchange的owa也可以轻松修改账户密码. ...
- windows server 2008 远程桌面(授权、普通用户登录)~ .
大家好,因公司上ERP系统,用户端需要远程到服务器,但大家都知道微软默认只有2个,所以没有办法达到我公司的要求. 在网上找了很久也没有找到合适的文章,要不就这里说一点,那里说一点,没有一个全的,还有很 ...
随机推荐
- C# 实现生产者消费者队列 (转)
按语:按照下面文档,测试成功: https://www.cnblogs.com/samgk/p/4772806.html 开发过程中经常会碰到这样的场景:需要从一个地方获取一些数据,然后处理数据并将其 ...
- WAV相关:从PCM16 Little Endian数据转WAV文件
数据格式 [0.0, -0.0, -0.0, 0.0, 0.0, 0.0, 5.960464477539063e-08, 5.960464477539063e-08, 1.19209289550781 ...
- 细聊Oracle通过ODBC数据源连接SQL Server数据库
类似文章搜索引擎上有很多,内容大致相同,今天所谓细聊是因为我在借鉴这些文章时候走了些弯路,所以写此文,为自己备忘,同时如果能为初涉此处知识点的小伙伴提供些帮助就更好了,文章结尾处的一些扩展有一定实战意 ...
- delphi十六进制字符串hex转byte数组互相转换bmp图片
procedure Hex2Png(str: string; out png: TPngObject); var stream: TMemoryStream; begin if not Assigne ...
- html的输出&,空格,大小于号
最近定做安装程序,因为这次定做名字里有&符号,用微软的txt文本打开配置文件,在配置文件里修改了名称,名称在文本里显示正常,但是定做出来后,发现&符号变成了_下划线,在本来的& ...
- Swoole练习 安装
仅支持 Linux,FreeBSD,MacOS,3类操作系统 Linux 内核版本 2.3.32 以上 PHP-5.3.10 以上版本,包括PHP7 gcc4.4 以上版本或者clang cmake2 ...
- 学习笔记:oracle学习三:SQL语言基础之sql语言简介、用户模式
目录 1.sql语言简介 1.1 sql语言特点 1.2 sql语言分类 1.3 sql语言的编写规则 2.用户模式 2.1 模式与模式对象 2.2 实例模式scott 本系列是作为学习笔记,用于记录 ...
- 《ucore lab1》实验报告
资源 ucore在线实验指导书 我的ucore实验代码 练习1:理解通过make生成执行文件的过程 详见<ucore lab1 exercise1>实验报告 练习2:使用qemu执行并调试 ...
- django 相关配置(pycharm)
第二步
- 02 Python 函数的一些小笔记
函数的返回值 1.使用return可以返回多个值,如:return a,b 返回的数据类型是元组型2.接收返回的元组可以如:c,d=demo() (假设demo()返回a,b元组),需要注意的是,接收 ...