1、Windows ServerWindows Server操作系统维护与管理项目教程操作系统维护与管理项目教程 学习情境2 管理本地用户和组项目一 认识本地用户账户和本地组账户任务1 认识用户账户1、什么是用户账户 用户账户是用来登录到计算机或通过网络访问计算机及网络资源的凭证,是操作系统实现其安全机制的一种重要技术手段,操作系统通过用户账户来辨别用户身份,让具有一定有使用权限的人登录计算机,访问本地计算机资源或从网络访问这台计算机上的共享资源。系统管理员根据不同用户的具体工作情景,指派不同用户以不同的使用权限,从而使用户执行并完成不同的管理任务。因此,运行Windows Server 2016
2、系统的计算机,都需要有用户账户才能登录计算机,在Windows Server 2016启动运行或登录已运行系统的过程中,都要求用户输入指定的用户账户名和密码,只有用户输入的账户名和密码与本地数据库中的相关信息一致,才允许用户登录到本地计算机或从网络上获取对相关资源的访问权限。用户登录系统时,本地系统验证用户账户有效性的基本原理:如果用户提供正确的用户名和密码,则本地系统分配给用户一个访问令牌(Access Token),该令牌定义了用户在本地计算机系统的访问权限,资源所在的计算机系统负责对该令牌进行鉴别,以保证用户只能在管理员定义的权限范围内使用本地计算机上的资源,对访问令牌的分配和鉴别是由本
3、地计算机的安全权限功能负责的。2、本地用户账户和域用户账户 Windows Server 2016支持两种用户账户,即本地用户账户和域用户账户。在了解“账户”之前,我们先来了一下两种“用户”。所谓“本地用户”指平时直接使用的服务器,对应着对等网工作组模式,用户验证都在各自的本地服务器上进行。而“域用户”对应着客户机/服务器工作模式,用户验证都在域控制器上进行。3、系统内置用户账户 Windows Server 2016还提供内置用户账户(即系统用户账户),用于执行特定的管理任务或使用户能够访问网络资源。Windows Server 2016系统最常用的两个内置账户是Administrator和
4、Guest。Administrator即系统管理员账户,拥有最高的资源使用权限,可以对该计算机或域配置进行管理,如创建修改用户账户和组、管理安全策略,创建打印机、分配用户访问资源的权限等。Administrator账户是在安装Windows Server 2016的过程中创建的,系统默认的名称是Administrator,用户可以修改其名称,但无法删除它。Guest即为临时访问计算机的用户提供的账户账户。Guest账户也是在系统安装中自动添加的,并且不能删除。在默认情况下,为了保证系统安全,Guest账户是禁用的,但在安全性要求不高的网络环境中,可以使用该账户。Guest账户只拥有很少的权限,
5、系统管理员可以更改其权限。任务2 认识组账户 组账户是是用户账号的集合,其是Windows Server网络环境中的一个非常重要的概念。其可以用于组织用户账户,让用户继承组的权限。例如,管理员需要向若干个具有相同身份和属性的用户账户分配相同的权限,他可以先将以上用户账户组合到一个逻辑的集合中,然后一次赋予该集合相应的权限,而不必单独为每个用户赋予权限,很大程度上简化对用户账户的管理,提高工作效率。本地账户和组的关系:一个账户必须属于某个组,一个账户也可以同时属于多个组。如果管理员为组设立了权力和权限,则该组的所有账户都会拥有这些权力和权限。如果一个账户同时属于多个组,则该账户拥有多个组的权力和权限,是所有组的权利和权限的叠加。Windows Server 2016也内置了一些常用的组:Administrators:管理员组,该组成员在操作上不受限制。默认成员有 Administrator 账户。加入该组的所有成员都拥有和 Administrator 账户一样的权利。Guests:来宾组,该组成员在操作上很受限制。默认成员有 Guest 账户。Power Users:高级用户组,该组成员可进行大多数操作,只在部分管理型的操作上受到限制。Users:普通用户组,该组成员可执行一些常见任务,但几乎没有管理权利。所有新创建的用户账户都默认加入 Users 组。