默认用户和组

默认用户

默认只有来宾用户(Guest)和管理员(Administrator)

默认组

创建账户

图形界面创建用户

创建用户选项解析

对于公司新员工,分配给他的电脑,应该让其有一定的自主权。新员工在首次登陆计算机的时候便更改密码,这样用户的计算机只有自己和管理员能动。

有些计算机是共用的,比如医院护士使用的开票计算机,账号是共用的,不允许私自改密码。公共账号可以设置密码永不过期

当公司预计招收10名员工时,可以提前创建好10名用户,并设置“账户已禁用”,当员工来了后在激活账户。

命令行创建用户

net user lisi 111111 /add

查看当前系统下的用户

net suer命令可以接哪些参数

把lisi加入到管理员组

重设lisi密码

查看lisi信息

GUI创建用户简单直观,为何需要命令行?

创建一个用户区别不明显,当需要创建多个用户,并为为他们划分组的时候,把命令写入比处理文件.bat,可以一次性完成所有任务。

创建组

除了内置的组,用户还可以创建自定义组。组中的用户享有相同的权限,可以向组中添加用户,添加默认组,但是不可以添加自定义组

用户配置文件

在WinServ环境C:\Users目录下

比如上图的zhangsan。用户配置文件内容包括输入法设置、IE设置、桌面环境、我的文档中内容、证书、链接的打印机、存储的账号和密码等等。

用户配置文件工作原理

当用户第一次登记计算机时,系统就会在本地磁盘上为用户建立一个本地配置文件。用户的工作环境设置(如开始菜单、文档等信息)会被存储在此文件夹内。用户下次登灵活时,系统会使用此文件夹的内容来设置用户的工作环境

用户配置文件怎么创建的

依据Default文件夹创建,这有点像Linux环境下的skeleton directory

C:\Users\Public

这个目录下存放的文件都是公用的,所有用户都可以访问。

共用桌面默认是隐藏的,需要打开 “显示隐藏的文件和文件夹” 选项才能看到。共用桌面有啥用?举个例子,比如想让所有用户一开机就能在桌面上看到www.github.com的快捷方式,就可以把这个链接的快捷方式放到公共桌面。

SID

参考:Windows Server 2008更改SID

Windows下每创建一个用户,OS就会为该用户分配一个安全标识,即SID。

whoami /all显示用户SID和所属组SID,以及特权信息

C:\Users\Administrator>whoami /all

用户信息
---------------- 用户名 SID
======================= ============================================
winserver\administrator S------- 组信息
----------------- 组名 类型 SID 属性 ==================================== ============= ============ ================
==========================
Everyone 已知组 S--- 必需的组, 启用于
默认, 启用的组
BUILTIN\Administrators 别名 S---- 必需的组, 启用于
默认, 启用的组, 组的所有者
BUILTIN\Users 别名 S---- 必需的组, 启用于
默认, 启用的组
NT AUTHORITY\INTERACTIVE 已知组 S--- 必需的组, 启用于
默认, 启用的组
NT AUTHORITY\Authenticated Users 已知组 S--- 必需的组, 启用于
默认, 启用的组
NT AUTHORITY\This Organization 已知组 S--- 必需的组, 启用于
默认, 启用的组
LOCAL 已知组 S--- 必需的组, 启用于
默认, 启用的组
NT AUTHORITY\NTLM Authentication 已知组 S---- 必需的组, 启用于
默认, 启用的组
Mandatory Label\High Mandatory Level 未知 SID type S--- 必需的组, 启用于
默认, 启用的组 特权信息
---------------------- 特权名 描述 状态
=============================== ========================== ======
SeIncreaseQuotaPrivilege 为进程调整内存配额 已禁用
SeSecurityPrivilege 管理审核和安全日志 已禁用
SeTakeOwnershipPrivilege 取得文件或其他对象的所有权 已禁用
SeLoadDriverPrivilege 加载和卸载设备驱动程序 已禁用
SeSystemProfilePrivilege 配置文件系统性能 已禁用
SeSystemtimePrivilege 更改系统时间 已禁用
SeProfileSingleProcessPrivilege 配置文件单个进程 已禁用
SeIncreaseBasePriorityPrivilege 提高计划优先级 已禁用
SeCreatePagefilePrivilege 创建一个页面文件 已禁用
SeBackupPrivilege 备份文件和目录 已禁用
SeRestorePrivilege 还原文件和目录 已禁用
SeShutdownPrivilege 关闭系统 已禁用
SeDebugPrivilege 调试程序 已禁用
SeSystemEnvironmentPrivilege 修改固件环境值 已禁用
SeChangeNotifyPrivilege 绕过遍历检查 已启用
SeRemoteShutdownPrivilege 从远程系统强制关机 已禁用
SeUndockPrivilege 从扩展坞上取下计算机 已禁用
SeManageVolumePrivilege 执行卷维护任务 已禁用
SeImpersonatePrivilege 身份验证后模拟客户端 已启用
SeCreateGlobalPrivilege 创建全局对象 已启用
SeIncreaseWorkingSetPrivilege 增加进程工作集 已禁用
SeTimeZonePrivilege 更改时区 已禁用
SeCreateSymbolicLinkPrivilege 创建符号链接 已禁用

其中管理员的SID有个特点,最后面数字是500

一个用户在某个组,组具有什么权力,用户就具有什么权力。用户在登录的时候会根据自身SID,所属组SID,特权信息构建个人身份证。对于一个已存在的用户,你可以对他改名字,但是该用户SID不变,他相应的权限也不变。但是你把该用户删了,再重新创建一个用户,名称密码不变,但是此时SID可能是变化的(因为之前可能加了某些组,额外赋予了某些权限等)。

例子:

创建新用户zhangsan,加入管理员(administrators)组。然后WinSer开启远程桌面(mstsc微软远程桌面客户端),宿主机使用zhangsan远程桌面链接WinSer,将zhangsan从管理员组剔除,此时zhangsan还有管理员权限吗?

答:有,因为权限的依据是SID,而SID是的登陆时创建的,有什么权利也是登陆时决定的。

禁用管理员

系统刚安装完,默认管理员名称就是administrator。这样很不安全,对于攻击者,只要猜对密码就可以了。可以采用如下步骤增强系统安全性

①新建一个用户,比如lisi,加入到administrators组

②禁用adminstrator用户

③新建一个普通用户,叫adminstrator

这样一来,lisi是管理员,原来的administrator只是个普通用户

创建隐藏账户

WinSer一旦被黑客入侵,黑客可以在系统上创建匿名用户,并将匿名用户加入管理员组。以后直接远程桌面连过去就可以控制电脑。通过如下步骤创隐藏账户

①创建账户,加入到管理员组

②找到对应用户的注册表(regedit),并到处框中的2个注册表

③在服务器管理器->本地用户和组->用户 删除①创建的用户

④将②创建的注册表导入

此时系统上就存在了一个匿名帐户,管理员在 服务器管理器->本地用户和组->用户 根本发现不了。除非WinSer重启,匿名帐户才会显示出来。但是一般服务器不重启。

创建不属于管理员组的管理员

Windows服务器的入侵者一旦成功入侵计算机,首先要获取的便是管理员权限,因此需要将自己加入到管理员组。但是一旦加入管理员组,真正的OS管理员在 服务器管理器->本地用户和组 里面发现陌生的用户就很有肯意识到OS被入侵,进而删掉入侵者的账户。下面演示,使用这种方式,管理员在管理员组里面发现不了入侵者。

①创建账户

②找到对应用户的注册表(regedit),替换新用户与管理员的F值

密码重置盘

参考 Window2008R2中如何创建密码重设盘?

对于企业生成环境,最好为每台服务器创建一个密码重设盘,保存好,以备将来有问题。恢复密码时只认userkey.psw文件,这意味着你可以为多个系统创建密码重设盘,这回生成多个userkey.psw。为了方便区分,你可能会对这些文件改名字,但是在使用密码重设盘恢复密码的时候,必须把文件名字改成userkey.psw。

Windows Server 2008 用户管理的更多相关文章

  1. Windows Server 2008磁盘管理

    下面学习一下磁盘管理,基本磁盘 分区 空间只能是同一块磁盘的空间,动态磁盘  卷 空间可以是多块硬盘上的空间,怎么创建 RAID-0  条带卷 读写快 无容错 适合存放不太重要的数据 ,RAID-1  ...

  2. 管理Windows Server 2008本地用户和组

    下面介绍Windows Server 2008本地用户和组的管理包括创建用户.删除用户.重设密码.将用户添加到组.普通用户跟管理员的区别 .用户配置文件包括桌面上文件,桌面背景,桌面上图标,IE设置, ...

  3. Windows Server 2008 R2组策略设置计算机配置和用户配置

    一.认识Windows Server 2008 R2域控组策略管理 1.域控服务器zhuyu.com的组策略管理默认会读取AD用户和计算机目录下创建的OU容器(组织单元), 在对应的OU容器创建对应的 ...

  4. 在Windows Server 2008上部署SVN代码管理总结

    这段时间在公司开发Flex程序,所以使用TortoiseSVN作为团队代码管理器,今天在公司服务器上部署SVN服务器,并实验成功,总结如下: 服务器环境: 操作系统:Windows Server 20 ...

  5. Windows Server 2008防火墙问题及Sql Server2005用户登录问题

    一.Windows Server 2008防火墙问题 1.  问题: 1.在 Windows 安全中心中单击“立即打开”以打开 Windows 防火墙时,会收到以下错误消息:安全中心无法打开 Wind ...

  6. Windows server 2008普通用户不能远程登录问题

    1.查登录权限 如果文件服务器没有为用户授权,那么用户自然就不能远程登录服务器系统了,为此笔者决定先仔细检查一下文件服务器系统是否为自己使用的登录账号,授予了远程登录权限.在进行这种检查时,笔者先是在 ...

  7. Windows Server 2008 R2之五操作主控的管理

    一.概述 操作主控(FSMO)也称作操作主机(OM),它是指在AD中一个或多个特殊的DC,用来执行某些特殊的功能(资源标识符SID分配.架构修改.PDC选择等). 1.操作主控的分类 基于森林的操作主 ...

  8. 在Windows Server 2008 R2中使用web方式修改域用户账户密码

    在Windows的domain环境下,加域的客户端修改账户密码是一件很easy的事情:即使没有加域的客户端如果组织中,使用Exchange邮件系统,借助Exchange的owa也可以轻松修改账户密码. ...

  9. windows server 2008 远程桌面(授权、普通用户登录)~ .

    大家好,因公司上ERP系统,用户端需要远程到服务器,但大家都知道微软默认只有2个,所以没有办法达到我公司的要求. 在网上找了很久也没有找到合适的文章,要不就这里说一点,那里说一点,没有一个全的,还有很 ...

随机推荐

  1. c# vs2010 连接access数据库(转)

    第一次在博客园写博文,由于文采不怎么好,即使是自己很熟悉的东西,写起来也会感觉到不知从何讲起,我想写的多了就好了. 这篇文章主要是介绍怎么用c# 语言 vs2010连接access数据库的,连接字符串 ...

  2. 使用wkhtmltopdf将多个html批量转成pdf

    相关工具:wkhtmltopdf 场景:比如笔者有 ognl中文文档,全部是html,现在想把它转成pdf,放到ipad阅读,文件如下: 下载好wkhtmltox(本地安装目录 D:\develop\ ...

  3. swift 修改 Navigationbar Tabbar 字体颜色背景等属性

    1.navigationBar的设置 let navColor = UIColor(red: 41/255, green: 160/255, blue: 230/255, alpha: 1) func ...

  4. Java学习,从入门到放弃(一)SpringMVC+Maven+Mybits 多种数据库配置(mysql+sqlserver)AOP方式

    多数据库配置需求有两种,一种是因为项目太大,访问量太高,不得不分布多个数据库减轻访问压力,比较多的应用就是读写分离:另一种就是原本不同的两个数据库业务现在要整合到一起,甚至连数据库都不一样,一个mys ...

  5. 基于libuv的TCP设计(二)

    一.本人设想的TCP服务器有如下特性: 1.启动服务,一直监听端口. 2.有新连接(客户端)就通知用户.并把连接接收到的数据回调给用户. 3.客户端连接上后用户可在任意时间发送数据给它. 4.客户端断 ...

  6. Keras.NET

    [翻译]Keras.NET简介 - 高级神经网络API in C#   Keras.NET是一个高级神经网络API,它使用C#编写,并带有Python绑定,可以在Tensorflow.CNTK或The ...

  7. python 爬虫实例(四)

    环境: OS:Window10 python:3.7 爬取链家地产上面的数据,两个画面上的数据的爬取 效果,下面的两个网页中的数据取出来 代码 import datetime import threa ...

  8. PHP去重的简单写法

    PHP去重的简单写法用array_flip实现去重效果 <pre><?php$arr =array("a"=>"a1","b& ...

  9. [转帖]一文尽懂 USB4

    一文尽懂 USB4 https://www.ithome.com/0/451/062.htm 今年 3 月份,USB Promoter Group(领导小组)首次发布了 USB4 规范,即下一代 US ...

  10. 虚拟环境搭建Django项目

    下载虚拟环境包 pip install virtualenv 创建虚拟环境 virtualenv   env 进入env文件夹 cd env 进入Scripts文件夹 cd Scripts 启动虚拟环 ...