Windows Server 2008 用户管理
默认用户和组
默认用户
默认只有来宾用户(Guest)和管理员(Administrator)
默认组
创建账户
图形界面创建用户
创建用户选项解析
对于公司新员工,分配给他的电脑,应该让其有一定的自主权。新员工在首次登陆计算机的时候便更改密码,这样用户的计算机只有自己和管理员能动。
有些计算机是共用的,比如医院护士使用的开票计算机,账号是共用的,不允许私自改密码。公共账号可以设置密码永不过期
当公司预计招收10名员工时,可以提前创建好10名用户,并设置“账户已禁用”,当员工来了后在激活账户。
命令行创建用户
net user lisi 111111 /add
查看当前系统下的用户
net suer命令可以接哪些参数
把lisi加入到管理员组
重设lisi密码
查看lisi信息
GUI创建用户简单直观,为何需要命令行?
创建一个用户区别不明显,当需要创建多个用户,并为为他们划分组的时候,把命令写入比处理文件.bat,可以一次性完成所有任务。
创建组
除了内置的组,用户还可以创建自定义组。组中的用户享有相同的权限,可以向组中添加用户,添加默认组,但是不可以添加自定义组
用户配置文件
在WinServ环境C:\Users目录下
比如上图的zhangsan。用户配置文件内容包括输入法设置、IE设置、桌面环境、我的文档中内容、证书、链接的打印机、存储的账号和密码等等。
用户配置文件工作原理
当用户第一次登记计算机时,系统就会在本地磁盘上为用户建立一个本地配置文件。用户的工作环境设置(如开始菜单、文档等信息)会被存储在此文件夹内。用户下次登灵活时,系统会使用此文件夹的内容来设置用户的工作环境
用户配置文件怎么创建的
依据Default文件夹创建,这有点像Linux环境下的skeleton directory
C:\Users\Public
这个目录下存放的文件都是公用的,所有用户都可以访问。
共用桌面默认是隐藏的,需要打开 “显示隐藏的文件和文件夹” 选项才能看到。共用桌面有啥用?举个例子,比如想让所有用户一开机就能在桌面上看到www.github.com的快捷方式,就可以把这个链接的快捷方式放到公共桌面。
SID
Windows下每创建一个用户,OS就会为该用户分配一个安全标识,即SID。
whoami /all显示用户SID和所属组SID,以及特权信息
C:\Users\Administrator>whoami /all 用户信息
---------------- 用户名 SID
======================= ============================================
winserver\administrator S------- 组信息
----------------- 组名 类型 SID 属性 ==================================== ============= ============ ================
==========================
Everyone 已知组 S--- 必需的组, 启用于
默认, 启用的组
BUILTIN\Administrators 别名 S---- 必需的组, 启用于
默认, 启用的组, 组的所有者
BUILTIN\Users 别名 S---- 必需的组, 启用于
默认, 启用的组
NT AUTHORITY\INTERACTIVE 已知组 S--- 必需的组, 启用于
默认, 启用的组
NT AUTHORITY\Authenticated Users 已知组 S--- 必需的组, 启用于
默认, 启用的组
NT AUTHORITY\This Organization 已知组 S--- 必需的组, 启用于
默认, 启用的组
LOCAL 已知组 S--- 必需的组, 启用于
默认, 启用的组
NT AUTHORITY\NTLM Authentication 已知组 S---- 必需的组, 启用于
默认, 启用的组
Mandatory Label\High Mandatory Level 未知 SID type S--- 必需的组, 启用于
默认, 启用的组 特权信息
---------------------- 特权名 描述 状态
=============================== ========================== ======
SeIncreaseQuotaPrivilege 为进程调整内存配额 已禁用
SeSecurityPrivilege 管理审核和安全日志 已禁用
SeTakeOwnershipPrivilege 取得文件或其他对象的所有权 已禁用
SeLoadDriverPrivilege 加载和卸载设备驱动程序 已禁用
SeSystemProfilePrivilege 配置文件系统性能 已禁用
SeSystemtimePrivilege 更改系统时间 已禁用
SeProfileSingleProcessPrivilege 配置文件单个进程 已禁用
SeIncreaseBasePriorityPrivilege 提高计划优先级 已禁用
SeCreatePagefilePrivilege 创建一个页面文件 已禁用
SeBackupPrivilege 备份文件和目录 已禁用
SeRestorePrivilege 还原文件和目录 已禁用
SeShutdownPrivilege 关闭系统 已禁用
SeDebugPrivilege 调试程序 已禁用
SeSystemEnvironmentPrivilege 修改固件环境值 已禁用
SeChangeNotifyPrivilege 绕过遍历检查 已启用
SeRemoteShutdownPrivilege 从远程系统强制关机 已禁用
SeUndockPrivilege 从扩展坞上取下计算机 已禁用
SeManageVolumePrivilege 执行卷维护任务 已禁用
SeImpersonatePrivilege 身份验证后模拟客户端 已启用
SeCreateGlobalPrivilege 创建全局对象 已启用
SeIncreaseWorkingSetPrivilege 增加进程工作集 已禁用
SeTimeZonePrivilege 更改时区 已禁用
SeCreateSymbolicLinkPrivilege 创建符号链接 已禁用
其中管理员的SID有个特点,最后面数字是500
一个用户在某个组,组具有什么权力,用户就具有什么权力。用户在登录的时候会根据自身SID,所属组SID,特权信息构建个人身份证。对于一个已存在的用户,你可以对他改名字,但是该用户SID不变,他相应的权限也不变。但是你把该用户删了,再重新创建一个用户,名称密码不变,但是此时SID可能是变化的(因为之前可能加了某些组,额外赋予了某些权限等)。
例子:
创建新用户zhangsan,加入管理员(administrators)组。然后WinSer开启远程桌面(mstsc微软远程桌面客户端),宿主机使用zhangsan远程桌面链接WinSer,将zhangsan从管理员组剔除,此时zhangsan还有管理员权限吗?
答:有,因为权限的依据是SID,而SID是的登陆时创建的,有什么权利也是登陆时决定的。
禁用管理员
系统刚安装完,默认管理员名称就是administrator。这样很不安全,对于攻击者,只要猜对密码就可以了。可以采用如下步骤增强系统安全性
①新建一个用户,比如lisi,加入到administrators组
②禁用adminstrator用户
③新建一个普通用户,叫adminstrator
这样一来,lisi是管理员,原来的administrator只是个普通用户
创建隐藏账户
WinSer一旦被黑客入侵,黑客可以在系统上创建匿名用户,并将匿名用户加入管理员组。以后直接远程桌面连过去就可以控制电脑。通过如下步骤创隐藏账户
①创建账户,加入到管理员组
②找到对应用户的注册表(regedit),并到处框中的2个注册表
③在服务器管理器->本地用户和组->用户 删除①创建的用户
④将②创建的注册表导入
此时系统上就存在了一个匿名帐户,管理员在 服务器管理器->本地用户和组->用户 根本发现不了。除非WinSer重启,匿名帐户才会显示出来。但是一般服务器不重启。
创建不属于管理员组的管理员
Windows服务器的入侵者一旦成功入侵计算机,首先要获取的便是管理员权限,因此需要将自己加入到管理员组。但是一旦加入管理员组,真正的OS管理员在 服务器管理器->本地用户和组 里面发现陌生的用户就很有肯意识到OS被入侵,进而删掉入侵者的账户。下面演示,使用这种方式,管理员在管理员组里面发现不了入侵者。
①创建账户
②找到对应用户的注册表(regedit),替换新用户与管理员的F值
密码重置盘
对于企业生成环境,最好为每台服务器创建一个密码重设盘,保存好,以备将来有问题。恢复密码时只认userkey.psw文件,这意味着你可以为多个系统创建密码重设盘,这回生成多个userkey.psw。为了方便区分,你可能会对这些文件改名字,但是在使用密码重设盘恢复密码的时候,必须把文件名字改成userkey.psw。
Windows Server 2008 用户管理的更多相关文章
- Windows Server 2008磁盘管理
下面学习一下磁盘管理,基本磁盘 分区 空间只能是同一块磁盘的空间,动态磁盘 卷 空间可以是多块硬盘上的空间,怎么创建 RAID-0 条带卷 读写快 无容错 适合存放不太重要的数据 ,RAID-1 ...
- 管理Windows Server 2008本地用户和组
下面介绍Windows Server 2008本地用户和组的管理包括创建用户.删除用户.重设密码.将用户添加到组.普通用户跟管理员的区别 .用户配置文件包括桌面上文件,桌面背景,桌面上图标,IE设置, ...
- Windows Server 2008 R2组策略设置计算机配置和用户配置
一.认识Windows Server 2008 R2域控组策略管理 1.域控服务器zhuyu.com的组策略管理默认会读取AD用户和计算机目录下创建的OU容器(组织单元), 在对应的OU容器创建对应的 ...
- 在Windows Server 2008上部署SVN代码管理总结
这段时间在公司开发Flex程序,所以使用TortoiseSVN作为团队代码管理器,今天在公司服务器上部署SVN服务器,并实验成功,总结如下: 服务器环境: 操作系统:Windows Server 20 ...
- Windows Server 2008防火墙问题及Sql Server2005用户登录问题
一.Windows Server 2008防火墙问题 1. 问题: 1.在 Windows 安全中心中单击“立即打开”以打开 Windows 防火墙时,会收到以下错误消息:安全中心无法打开 Wind ...
- Windows server 2008普通用户不能远程登录问题
1.查登录权限 如果文件服务器没有为用户授权,那么用户自然就不能远程登录服务器系统了,为此笔者决定先仔细检查一下文件服务器系统是否为自己使用的登录账号,授予了远程登录权限.在进行这种检查时,笔者先是在 ...
- Windows Server 2008 R2之五操作主控的管理
一.概述 操作主控(FSMO)也称作操作主机(OM),它是指在AD中一个或多个特殊的DC,用来执行某些特殊的功能(资源标识符SID分配.架构修改.PDC选择等). 1.操作主控的分类 基于森林的操作主 ...
- 在Windows Server 2008 R2中使用web方式修改域用户账户密码
在Windows的domain环境下,加域的客户端修改账户密码是一件很easy的事情:即使没有加域的客户端如果组织中,使用Exchange邮件系统,借助Exchange的owa也可以轻松修改账户密码. ...
- windows server 2008 远程桌面(授权、普通用户登录)~ .
大家好,因公司上ERP系统,用户端需要远程到服务器,但大家都知道微软默认只有2个,所以没有办法达到我公司的要求. 在网上找了很久也没有找到合适的文章,要不就这里说一点,那里说一点,没有一个全的,还有很 ...
随机推荐
- C#中,子线程与主线程之间的通信是如何实现(转)
注: 项目中按照这个方法调试成功: 通常我们会有这种需求: 一个支持慢速设备的处理类,如网络通信.串口通信.打印等 此时经常需要将线程封装在类里面,让类支持异步处理,然后发布事件或者回调委托通知主线程 ...
- 【计算机视觉】OpenCV篇(4) - Pycharm+PyQt5+Python小项目实战
1.下载安装 (1)Pycharm:下载链接 (2)推荐使用Qt Designer来设计界面,如果你装的是Anaconda的话,就已经自带了designer.exe,我这里使用的是Pycharm的虚拟 ...
- Swift4.0复习Optional
1.Optional基本使用: 当我们声明一个Optional对象时,无论该对象是在文件作用域还是在函数体内作为局部对象声明,如果不对它初始化,那么它的值默认为空(nil). // 声明a为Int类型 ...
- centos配置/etc/mail.rc发邮件
安装mailx: yum install mailx vi /etc/mail.rc set from=524755798@qq.comset smtp="smtps://smtp.qq.c ...
- Given a family tree, find out if two people are blood related
Given a family tree for a few generations for the entire population and two people write a routine t ...
- shell每隔一秒钟就记录下netstat状态
说明 木马可能类似随机发送心跳包的操作,随机sleep.对这类情况写好了一个监听shell脚本,每隔一秒钟就记录下netstat状态. 代码 #!/bin/bash #功能:用于定时执行lsof 和 ...
- 常见问题:MySQL/B+树
平衡二叉树 此前讲红黑树时也提到了平衡二叉树,红黑树和AVL树都是能保证树不退化的平衡二叉树,平衡二叉树采用二分思想组织数据,能大大提高单点查找数据的效率,其组装过程略. 作为对比,此处也列出平衡二叉 ...
- 问题(一)升级Appium最新遇到滑动的坑
Appium的JAVA客户端更新到java-client 6.0.0-BETA3后,发现其中有关于界面滑动(swipe TouchAction)方面的升级(也有可能在之前的版本已经更新过类似的内容,没 ...
- <automate the boring stuff with python> 正则强口令实例
书中7.18的强口令实践题 写一个函数,它使用正则表达式,确保传入的口令字符串是强口令.强口令的定义是: 长度不少于8 个字符,同时包含大写和小写字符,至少有一位数字. 你可能需要用多个正则表达式来测 ...
- hdoj1247(字典树)
题目链接:https://vjudge.net/problem/HDU-1247 题意:给定n个字符串(n<=50000),判断其中哪些字符串恰能由另外两个不同的字符串连接而成. 思路: 暴力字 ...