2.1 本地用户账户

安装完操作系统并完成操作系统的环境配置后，管理员应规划一个安全的网络环境，为用户提供有效的资源访问服务。Windows Server 2008通过建立账户（包括用户账户和组账户）并赋予账户合适的权限来保证使用网络和计算机资源的合法性，以确保数据访问、存储和交换服从安全需要。保证Windows Server 2008安全性的主要方法有以下4点：

（1）严格定义各种账户权限，阻止用户可能进行具有危害性的网络操作；

（2）使用组规划用户权限，简化账户权限的管理；

（3）禁止非法计算机接入网络；

（4）应用本地安全策略和组策略制定更详细的安全规则。

2.1.1 用户账户的概述

用户账户是计算机的基本安全组件，计算机通过用户账户来辨别用户身份，让有使用权限的人登录计算机，访问本地计算机资源或从网络访问这台计算机的共享资源。指派不同用户拥有不同的权限，可以让用户执行不同的计算机管理任务。所以每台运行Windows Server 2008的计算机，都需要用户账户才能登录计算机。在登录过程中，Windows Server 2008要求用户指定或输入不同的用户名和密码，当计算机比较用户输入的账户和密码与本地安全数据库中的用户信息一致时，才能让用户登录到本地计算机或从网络上获取对资源的访问权限。用户登录时，本地计算机验证用户账户的有效性，如用户提供了正确的用户账户和密码，则本地计算机分配给用户一个访问令牌（Access Token），该令牌定义了用户在本地计算机上的访问权限，资源所在的计算机负责对该令牌进行鉴别，以保证用户只能在管理员定义的权限范围内使用本地计算机上的资源。对访问令牌的分配和鉴别是由本地计算机的本地安全权限（LSA）负责的。

Windows Server 2008支持两种用户账户：域账户和本地账户。域账户可以登录到域上，并获得访问该网络的权限；本地账户则只能登录到一台特定的计算机上，并访问该计算机上的资源。Windows Server 2008还提供内置用户账户，它用于执行特定的管理任务或使用户能够访问网络资源。

注意：对于域环境的域用户账户，将在第3 章介绍。本章主要介绍本地计算机的用户和组的管理。

本地用户账户仅允许用户登录并访问创建该账户的计算机。当创建本地用户账户时，Windows Server 2008仅在计算机位于%Systemroot%\system32\config文件夹下的安全数据库（SAM）中创建该账户。

Windows Server 2008默认只有Administrator账户和Guest账户。Administrator账户可以执行计算机管理的所有操作；而Guest账户是为临时访问计算机的用户而设置的，但默认是禁用的。

Windows Server 2008为每个账户提供了名称，如Administrator、Guest等，这些名称是为了方便用户记忆、输入和使用的。在本地计算机中的用户账户是不允许相同的。而系统内部则使用安全标识符（Security Identifier，SID）来识别用户身份，每个用户账户都对应一个唯一的安全标识符，这个安全标识符在用户创建时由系统自动产生。系统指派权利、授权资源访问权限等都需要使用安全标识符。当删除一个用户账户后，重新创建名称相同的账户并不能获得先前账户的权利。用户登录后，可以在命令提示符状态下输入“whoami /logonid”命令查询当前用户账户的安全标识符，如图2.1所示。

系统的内置账户Administrator和Guest简单介绍如下：

Administrator：使用内置Administrator账户可以对整台计算机或域配置进行管理，如创建修改用户账户和组、管理安全策略、创建打印机、分配允许用户访问资源的权限等。作为管理员，应该创建一个普通用户账户，在执行非管理任务时使用该用户账户，仅在执行管理任务时才使用Administrator账户。Administrator账户可以更名，但不可以删除。

Guest：一般的临时用户可以使用内置Guest账户进行登录并访问资源。在默认情况下，为了保证系统的安全，Guest账户是禁用的，但在安全性要求不高的网络环境中，可以使用该账户，且通常分配给它一个口令。

2.1.2 用户账户的创建

1.规划新的用户账户

遵循以下的规则和约定可以简化账户创建后的管理工作：

（1）命名约定。

① 账户名必须唯一：本地账户名必须在本地计算机上是唯一的。

② 账户名不能包含以下字符：* / \ [ ] : : | = , + / ＜ ＞ “。

③ 账户名最长不能超过20个字符。

（2）密码原则。

① 一定要给Administrator账户指定一个密码，以防止他人随便使用该账户。

② 确定是管理员还是用户拥有密码的控制权。用户可以给每个用户账户指定一个唯一的密码，并防止其他用户对其进行更改，也可以允许用户在第一次登录时输入自己的密码。一般情况下，用户应该可以控制自己的密码。

③ 密码不能太简单，应该不容易让他人猜出。

④ 密码最多可由128个字符组成，推荐最小长度为8个字符。

⑤ 密码应由大小写字母、数字以及合法的非字母数字的字符混合组成，如“P@ssw0rd”。

2.创建本地用户账户

用户可以用“计算机管理”中的“本地用户和组”管理单元来创建本地用户账户，而且用户必须拥有管理员权限。创建的步骤如下：

（1）执行“开始”→“管理工具”→“计算机管理”命令，如图2.2所示。

（2）在“计算机管理”管理控制台中，展开“本地用户和组”，在“用户”目录上单击鼠标右键，选择“新用户”命令，如图2.3所示。

（3）打开“新用户”对话框后，输入用户名、全名和描述，并且输入密码，如图2.4所示。可以设置密码选项，包括“用户下次登录时须更改密码”、“用户不能更改密码”、“密码永不过期”、“账户已禁用”等，设置完成后，单击“创建”按钮新增用户账户。有关密码的选项的描述如表2.1 所示。创建完用户后，单击“关闭”按钮返回到“计算机管理”控制台。

2.1.3 设置用户账户的属性

用户账户不只包括用户名和密码等信息，为了方便管理和使用，一个用户还包括其他的一些属性，如用户隶属的用户组、用户配置文件、用户的拨入权限、终端用户设置等。在“本地用户和组”的右侧栏中，双击一个用户，将显示“userl属性”对话框，如图2.5所示。

1.“常规”选项卡

可以设置与账户有关的一些描述信息，包括全名、描述、账户选项等。管理员可以设置密码选项或禁用账户，如果账户已经被系统锁定，管理员可以解除锁定。

2.“隶属于”选项卡

在“隶属于”选项卡中，可以设置将该账户加入到其他的本地组中。为了管理的方便，通常都需要对用户组进行权限的分配与设置，用户属于哪个组，用户就具有该用户组的权限。新增的用户账户默认的是加入到Users组，Users组的用户一般不具备一些特殊权限，如安装应用程序、修改系统设置等。所以当要分配这个用户一些权限时，可以将该用户账户加入到其他的组，也可以单击“删除”按钮将用户从一个或几个用户组中删除。“隶属于”选项卡如图2.6所示。例如，将“user1”添加到管理员组的操作步骤如下：

单击图2.6 中的“添加”按钮，在如图2.7所示的对话框中直接输入组的名称，例如管理员组的名称“Administrators”、高级用户组名称“Power Users”。输入组名称后，如需要检查名称是否正确，则单击“检查名称”按钮，名称会改变为“PUMA\Administrators”。前面部分表示本地计算机名称，后面为组名称。如果输入了错误的组名称，检查时，系统将提示找不到该名称。

如果不希望手动输入组名称，也可以单击“高级”按钮，再单击“立即查找”按钮，从列表中选择一个或多个组，如图2.8所示。

3.“配置文件”选项卡

在“配置文件”选项卡中可以设置用户账户的配置文件路径、登录脚本和主文件夹路径。本地用户账户的配置文件，都是保存在本地磁盘%userprofile%文件夹中。“配置文件”选项卡如图2.9所示。

用户配置文件是存储当前桌面环境、应用程序设置以及个人数据的文件夹和数据的集合，还包括所有登录到某台计算机上所建立的网络连接。由于用户配置文件提供的桌面环境与用户最近一次登录到该计算机上所用的桌面相同，因此就保持了用户桌面环境及其他设置的一致性。

当用户第一次登录到某台计算机上时，Windows Server 2008自动创建一个用户配置文件并将其保存在该计算机上。

（1）用户配置文件。用户配置文件有以下几种类型：

① 默认用户配置文件。默认用户配置文件是所有用户配置文件的基础。当用户第一次登录到一台运行Windows Server 2008的计算机上时，Windows Server 2008会将本地默认用户配置文件夹复制到%Systemdrive%\Documents and Settings\%Username%中，以作为初始的本地用户配置文件。

② 本地用户配置文件。保存在本地计算机上的%Systemdrive%\Documents and Settings\% Username%文件夹中，所有对桌面设置的改动都可以修改用户配置文件。多个不同的本地用户配置文件可保存在一台计算机上。

③ 漫游用户配置文件。为了支持在多台计算机上工作的用户，用户可以设置漫游用户配置文件。漫游用户配置文件可以保存在某个网络服务器上，且只能由系统管理员创建。用户无论从哪台计算机登录，均可获得这一配置文件。用户登录时，Windows Server 2008会将该漫游用户配置文件从网络服务器复制到该用户当前所用的Windows Server 2008机器上。因此，用户总是能得到自己的桌面环境设置和网络连接设置。漫游用户配置文件只能在域环境下实现。

在第一次登录时，Windows Server 2008将所有的文件都复制到本地计算机上。此后，当用户再次登录时，Windows Server 2008只需比较本地储存的用户配置文件和漫游用户配置文件。这时，系统只复制用户最后一次登录并使用这台计算机时被修改的文件，因此缩短了登录时间。当用户注销时，Windows Server 2008会把对漫游用户配置文件本地备份所做的修改复制到存储该漫游配置文件的服务器上。

关于漫游用户配置文件的创建过程，可参阅Windows Server 2008帮助文档。

④ 强制用户配置文件。强制配置文件是一个只读的用户配置文件。当用户注销时，Windows Server 2008不保存用户在会话期内所做的任何改变。可以为需要同样桌面环境的多个用户定义一份强制用户配置文件。

配置文件中，隐藏文件Ntuser.dat包含了应用于单个用户账户的Windows Server 2008的部分系统设置和用户环境设置，管理员可以通过将其改名为Ntuser.man，从而把该文件变成只读型，即创建了强制用户配置文件。

（2）用户主文件夹。除了“My Documents”文件夹外，Windows Server 2008还为用户提供了用于存放个人文档的主文件夹。主文件夹可以保存在客户机上，也可以保存在一个文件服务器的共享文件夹里。因为主文件夹不属于漫游配置文件的一部分，所以，它的大小并不影响登录时网络的通信量。用户可以将所有的用户主文件夹都定位在某个网络服务器的中心位置上。

管理员在为用户实现主文件夹时，应考虑以下因素：用户可以通过网络中任意一台联网的计算机访问其主文件夹。在实现对用户文件的集中备份和管理时，基于安全性考虑，应将用户主文件夹存放在NTFS卷中，可以利用NTFS的权限来保护用户文件（放在FAT卷中只能通过共享文件夹权限来限制用户对主目录的访问）。

（3）登录脚本。登录脚本是希望用户登录计算机时自动运行的脚本文件，脚本文件的扩展名可以是VBS、BAT或CMD。

用户账户的其他选项卡（如拨入、远程控制选项卡）将在后面相关章节进行介绍。

2.1.4 删除本地用户账户

当用户不再需要使用某个用户账户时，可以将其删除。删除用户账户会导致与该账户有关的所有信息的遗失，所以在删除之前，最好确认其必要性或者考虑用其他的方法，例如禁用该账户。许多企业给临时员工设置了Windows账户，当临时员工离开企业时将账户禁用，但新来的临时员工需要用该账户时，只需改名即可。

在“计算机管理”控制台中，选择要删除的用户账户执行删除功能，如图2.10所示，但是系统内置账户如Administrator、Guest等无法删除。

在2.1.1 节提到，每个用户都有一个名称之外的唯一标识符SID，SID在新增账户时由系统自动产生，不同账户的SID不会相同。由于系统在设置用户的权限、访问控制列表中的资源访问能力信息时，内部都使用SID，所以一旦用户账户被删除，这些信息也就跟着消失了。重新创建一个名称相同的用户账户，也不能获得原先用户账户的权限。删除用户账户时会出现如图2.11所示的对话框。