Linux多用户多任务操作系统，可以多用户同时登陆做不同的事情，这就是多用户多任务
 Windows也是多用户多任务操作系统，但是远程只能登陆一个，Linux可以登录多个，多个同时做不同的事情。
 一、用户和组的关系及类型
 二、用户和组的相关文件详解
 三、用户、组操作
 四、用户和组账户查询
 
一、用户和组的关系
 1.每个账户有一个唯一的UID（用户的id）
 账户就是Linux中的用户名，Linux中必须有用户名和密码才能登陆。Linux内核看id不看名字，如果手工将两个用户的uid改成一样的，Linux内核就认为这两个用户就是一个用户，uid相同时，权限就是一样的。在计算机中，两个用户名可以一样，但是一般不设置成一样的，一般情况下，用户名不要相同，uid也不要相同。
 2.每个组也有一个唯一的GID（用户组的id）
 组是方便对用户权限的简单设置。
 3.多个账户可以属于同一个组
 4.一个用户可以加入不同的组，但是一定有一个组是主要组（也叫基本组），其他的都是次要的。
 
 二、用户和组的相关文件（重要）
 
和账户相关文件：/etc/passwd、/etc/shadow
 和组相关文件：/etc/group、/etc/gshadow
 账户宿主（家）目录中文件来源：新建用户帐号时，从 /etc/skel 目录中复制而来
 如果创建用户时有家目录，直接进入家目录，否则进入根目录，正常情况下，用户都应该有家目录
 默认定义账户的属性文件：
 /etc/login.defs //密码加密算法，有效期等属性
 1.用于保存用户的帐号基本信息
 文件位置：/etc/passwd
 每一行对应一个用户的帐号记录，多少行代表多少个用户，一行中用：分割，共7个字段，都要记住。如果这个文件删除了，就不能登系统了，删一行少一个用户。
 
 字段1：用户帐号的名称 //用户名
 字段2：密码占位符“x” //表示有密码，但是密码不在这个文件，密码在另外一个文件， 如果把x删除，用户就没有密码了，就可以空密码登陆了。Passwd u1给u1换密码。
 字段3：用户帐号的UID号 //管理员的uid为0,0为管理员，Passwd u1给u1换密码。
 字段4：所属基本组帐号的GID号 //基本组的gid
 字段5：用户全名 //自己随便写，可以写用户名对应的人的姓名，电话什么的，也可以不写是空的
 字段6：宿主目录 //家目录，普通用户的家目录可以不在home下，可以改
 字段7：登录Shell信息 //登录成功自动启动的shell，默认的一般是/bin/bash，/sbin/nologin注销，一登录就注销，回到登录界面，再登录注销，表示该用户不可以登录，不正常。如果想创建一个用户但是不想让它登录，可以将它的shell设置为/sbin/nologin，也可以设置为/bin/fdse，这个也是不能登陆的。
 Passwd的很多用户都是不能登陆的，这些用户是Linux安装时自动创建的用户，称为程序用户，这些用户可以指定运行程序的时候，指定用什么用户去运行，如果不指定的话，用当前用户去运行。为什么用不同的用户运行呢？管理员运行程序时，如果程序有漏洞，就有可能通过这个漏洞得到管理员的密码，比较危险，为了安全，创建普通用户，用普通用户去运行程序，但是这些程序只是运行程序，不用远程登录，所以将它们设置为不可登录的。
 
用户账户：管理员，非管理员
 超级用户root
 程序用户
 普通用户//可以通过这些用户远程登录
 UID （User Identity，用户标识号）
 超级用户root的UID为0 相同uid用户一样，一般uid都是唯一的
 程序用户的UID1-499 //范围不用记，没有用，可以改
 普通用户的UID大于等于500
 
2.用于保存密码字串、密码有效期等信息
 文件位置：/etc/shadow
 每一行对应一个用户的密码记录，也是：分割，九个字段
 
 
 字段1：用户帐号的名称，这个用户名和passwd的用户名一样记住
 字段2：加密的密码字串信息 //密码的密文，该字段用$分割算法记住
 字段3：上次修改密码的时间
 字段4：密码的最短有效天数，默认值为0 //随时可以改密码
 字段5：密码的最长有效天数，默认值为99999 //永久有效
 字段6：提前多少天警告用户口令将过期，默认值为7
 字段7：在密码过期之后多少天禁用此用户，一般是0 //宽松的时间
 字段8：帐号失效时间，默认值为空 //宽松的时间也过去之后
 字段9：保留字段（未使用）
 加密算法
 1 MD5
 2a Blowfish
 5 SHA-256
 6 SHA-512
 
3.组相关的文件
 /etc/group文件
 组帐号：
 主要组(私有组，基本组)
 次要组(附属组)
 GID： （Group Identify，组标识号）
 也是：分割，四个字段
 
 字段一：组账号名
 字段二：密码占位符 //组密码在/etc/gshadow文件中，一般情况下不设置组密码
 字段三：gid
 字段四：组成员列表，但是当u1用户在u1组内时，组成员列表里没有u1
 
Linux组帐号
 主要组(私有组)
 与用户相关的默认组，在/etc/passwd文件的第四个字段定义
 一个用户必须属于一个组，这个组就是主要组。
 次要组(附属组)
 用户可以同时属于其他的组，在/etc/group文件的第四个字段定义
 用户的主要组的名称和GID相关
 
用户至少属于一个组（主要组）
 用户也可以属于多个组（除了主要组其他都是次要组）
 默认情况下，创建用户时，会自动创建一个组，组名和用户名一样，这个组就是这个用户的主要组，
 
/etc/skel/*文件（隐藏文件）（公司必读文件可以放在这个目录下）（其实就是脚本）
 新建用户帐号时，这个文件会复制到用户宿主目录中
 主要控制用户初始配置文件
 .bash_profile：用户每次登录时执行，改了只会影响一个用户
 .bashrc：每次进入新的Bash环境时执行
 .bash_logout：用户每次退出登录时执行
 /etc/profile 所有用户每次登录时会执行，改了影响所有用户
 
.bash_profile：.bashrc .bash_logout：这三个文件在每个用户家目录下都有。
 
/etc/gshadow文件（可以不用管）
 保存组帐号的密码信息
 /etc/gshadow文件的应用极少，知道有这个文件即可
 
 
/etc/login.defs文件
 对账户初始的属性设置
 设置普通用户的UID和GID范围等
 
cat /etc/login.defs
 
 
三、添加与删除用户（其实就是通过命令对配置文件进行创建或修改）
 useradd命令
 格式：useradd [选项]… 用户名
 常用命令选项
 -u：指定 UID 标记号，不用考虑范围，无所谓，不指定当前最大加一
 -d：指定宿主目录，可以不在home下缺省为 /home/用户名，指定的目录是不存在的，自 动创建
 -e：指定帐号失效时间
 -g：指定用户的基本组名（或GID号），不指定时，默认的创建一个组，这个组和用户名一 样
 -G：指定用户的附加组名（或GID号）
 -M：不为用户建立并初始化宿主目录
 -s：指定用户的登录Shell，默认/bin/bash
 
useradd命令在后台到底做了哪些工作
 
 改文件/etc/passwd
 添加/etc/shadow，/etc/group文件内容
 在/home创建目录
 将整个文件复制到家目录
 还会创建邮箱文件
 
创建的用户默认没有密码，不能登录，要设置密码激活才可以登录
 创建用户可以不创建家目录
 passwd命令：管理密码
 格式：passwd [选项]… 用户名
 常用命令选项
 -d：清空用户的密码，使之无需密码即可登录，空密码，如图：
 

 -l：锁定用户帐号，锁定的有！！
 -S：查看用户帐号的状态（是否被锁定）
 -u：解锁用户帐号，没有！了
 –stdin：接收标准输入作为密码，实现非交互，一般设密码要输入两次例如
 
 
Cat /etc/shadow如图：
 
 
字段二有！的说明锁定了，禁用的，
 
root用户可以修改所有用户密码，不要求复杂性
 普通用户只能改自己的密码，要求复杂性（长度，大小写混合等要求）
 
普通用户要先输入正确的旧密码，才能修改新的密码，且新密码符合复杂度要求
 管理员不用输入旧密码
 ！！禁用的
 锁定！！有了，解锁没有！！了
 
！！没密码，不能登录
 
userdel命令
 格式：userdel [-r] 用户名
 添加 -r 选项时，表示连用户的宿主目录（家目录）一并删除
 一般不删除家目录，防止重要文件被删除
 
 修改用户参数
 usermod命令：修改用户账号
 格式：usermod [选项]… 用户名
 常用命令选项
 -l（小写）：更改用户帐号的登录名称，例如： usermod -l u1oo u1将u1改为u100
 -L：锁定用户账户！锁定原理是破坏字段二（结果去/etc/shadow看），！的数量和位置都无 关，加了！就破坏了密文就可以了
 -U：解锁用户账户（结果去/etc/shadow看）
 以下选项与useradd命令中的含义相同
 -u、-d、-e、-g、-G、-s如下：
 -u：指定 UID 标记号，不指定当前最大加一
 -d：指定宿主目录，缺省为 /home/用户名，指定的目录是不存在的，自动创建
 -e：指定帐号失效时间
 -g：指定用户的基本组名（或GID号），默认的创建一个组，这个组和用户名一样
 -G：指定用户的附加组名（或GID号）
 -s：指定用户的登录Shell，默认/bin/bash
 
修改用户密码相关参数
 chage命令
 格式：chage [选项]… 用户名
 功能：查看用户的密码信息
 常用命令选项
 -l：列出密码时效的具体信息，从1970 j 1开始计算的
 -d：设置密码什么时候改过，，如果改为0，用户就会在下一次登录时被强制改密码，新员 工必须改密码就可以这样设置，例如：先创建一个用户useradd u2，在改密码 为123456 passwd u2，设置为0，chage -d 0 u2 ，然后在另一个会话登录u2 ，如图：
 
 
 
groupadd命令
 格式：groupadd [-g GID] 组帐号名
 功能：创建组
 
 一般的顺序是，先创建组再创建用户，创建用户时一般要指定组
 
groupdel命令：删除组
 格式：groupdel 组帐号名
 
 groupmod命令
 用途：设置组名和组id
 格式：groupmod [选项]… 组帐号名
 常用命令选项
 -n：修改组名
 -g：修改组id
 
gpasswd命令
 用途：设置组帐号密码（极少用）、添加/删除组成员
 格式：gpasswd [选项]… 组帐号名
 常用命令选项
 -a：向组内添加一个用户
 -d：从组内删除一个用户成员，让用户不属于这个组
 -M：定义组成员列表，以逗号分隔，相当于重置
 
 
 
查询
 id命令
 用途：查询用户身份标识
 格式：id [用户名]//看用户是否存在
 
 
chfn命令
 用途：修改用户的备注信息，/etc/passwd第5字段
 who、w、users命令
 用途：查询已登录到主机的用户信息，在线的
 
 groups命令
 用途:查询用户所属的组

Linux用户与用户组配置文件详解
 
 
 
出发点
 
 
Linux是一个多用户多任务的操作系统，用户需要使用系统，就必须在系统中拥有属于自己的账号。
 作为一个Linux管理员，对用户增删改查等操作当然离不开用户与用户组的配置文件了，熟练的掌握与运用用户与用户组的配置文件是必不可少的学习一步，接下来我会详细介绍用户与用户组的配置文件。
 
1、与用户有关的配置文件（/etc/passwd），所有用户权限为可读
 
 
 
Linux基本思想之一：一切都是文件
 
 
passwd：存放用户账户及其相关信息(密码除外)
 
vim打开passwd用户配置文件
 
 
 passwd文件中包含了系统所有用户的基本信息，一行定义一个用户账户，每行均由7个不同的字段构成，各字段用“:”分割
 
第一个字段（第一个root）：用户名
 第二个字段（x）：加密的密码（为了安全去，使用“x”占位代表）
 第三个字段（第一个0）：用户ID
 第四个字段（第二个0）：用户组ID
 第五个字段（第二个root）:用户的描述信息（默认用户的全名或空值）
 第六个字段（/root）：用户的主目录
 第七个字段（/bin/bash）：登录shell（字段为/sbin/nologin,表示禁止登录）
 
 
 
用户名：加密的密码：UID：GID：用户名全名或描述信息：用户主目录：登录shell
 
 
 
 
如果要禁用某个用户账户，可以修改/etc/passwd文件，在该用户对应的行首添加“#”符号(linux中行首第一个字符为#，代表这一行为注释)，或者用户的shell设置为/sbin/nologin
 
 
2、用户账户密码信息配置文件（/etc/shadow）,只有超级用户root可读，普通用户无法读取
 
shadow文件中，每个用户信息也是占用一行，由9个字段组成，中间用冒号“：”分割
 
vim打开shadow配置文件
 
 
 
从左往右依次是：
 第一个字段（root）：用户名
 第二个字段（$…0）：加密后的密码（如果为空，用户不需要输入密码即可登录）
 第三个字段（空值）：密码的最后一次修改时间（这是一个相对时间，即从1970年1月1日到修改时的天数）
 第四个字段（0）：密码在多少天内不能更改
 第五个字段（99999）：密码在多少天后必须更改
 第六个字段（7）：密码到期前多少天给用户发出警告
 第七个字段（空值）：密码在多少天后用户账户将被禁用
 第八个字段（空值）：密码被禁用的具体日期（这是一个相对时间，即从1970年1月1日到禁止时的天数）
 第九个字段（空值）：保留字段
 
 
 
通过vim打开/etc/shadow文件，通过修改相关内容可以达到管理用户的目的
 
 
3、设置用户属性的配置文件（/etc/login.defs）
 
建立用户账户是会根据/etc/login.defs文件的配置信息设置用户的某些属性
 
vim打开login.defs
 
 
 MAIL_DIR /var/spool/mail （用户邮箱所在的目录）
 PASS_MAX_DAYS 99999 （账户密码最长有效天数）
 PASS_MIN_DAYS 0 （账户密码最短有效天数）
 PASS_MIN_LEN 5 （账户密码的最小长度）
 PASS_WARN_AGE 7 （账户密码过期前，提前警告的天数）
 UID_MIN 1000 （使用useradd命令添加账户是自动产生UID，最小UID值）
 UID_MAX 60000 （使用useradd命令添加账户是自动产生UID，最大UID值）
 SYS_UID_MIN 201 （使用useradd -r 添加账户时自动产生的系统UID，最小UID值）
 SYS_UID_MAX 999 使用useradd -r 添加账户时自动产生的系统UID，最大UID值）
 GID_MIN 1000 （使用groupadd命令添加账户组时自动产生GID，最小GID值）
 GID_MAX 60000 （使用groupadd命令添加账户组时自动产生GID，最大GID值）
 SYS_GID_MIN 201 使用groupadd -r 添加账户组时自动产生的系统GID，最小GID值）
 SYS_GID_MAX 999 使用groupadd -r 添加账户组时自动产生的系统GID，最大GID值）
 CREATE_HOME yes （创建用户时是否为用户创建主目录）
 USERGROUPS_ENAB yes （创建用户是是否为用户常见同名的组）
 ENCRYPT_METHOD SHA512 （密码加密方式）
 
 
 
/etc/login.defs文件中某些设置不会影响超级管理员root用户
 
 
4、用户组管理配置文件（/etc/group）
 
group文件用于存放用户组的加密密码，每个用户组账户的信息在改文件中占用一行，每行分为4个字段，中间用“：”分割
 通过修改group文件，达到管理用户组的目的。
 
vim打开group
 

 
 
 
 
组名：加密后的组密码：GID：组成员列表
 
 
第一个字段（root）：用户组的组名
 第二个字段（x）：加密后的用户组密码
 第三个字段（0）：用户组ID，GID
 第四个字段（空值）：用户组的成员列表（多个组成员用逗号分割）
 
 
 
group文件中，用户的主组并不把该用户作为成员列出，只有用户的附属组才能把该用户作为成员列出
 
 
5、用户组密码配置文件（/etc/gshadow）
 
gpasswd用于存放组的加密密码，每个组账户在该行占用一行，每行分为4个字段，中间用“：”分割
 
vim打开gshadow
 
 
 
 
 
组名：加密后的组密码：组的管理员：组成员列表
 
 
第一个字段（root）：用户组的组名
 第二个字段（空值）：加密后的用户组密码（空值代表没密码）
 第三个字段（空值）：用户组管理员（空值代表无组管理员）
 第四个字段（空值）：用户组的成员列表（空值代表无成员列表）
 
 
 
可以通过修改gshadow文件达到管理用户组的目的
 

项目二 本地用户与组账户的管理、组策略
 
一、项目背景
 
公司内有5位员工，为了完成项目任务，需要为每一名员工，在他们所可能使用所有计算机上创建账户。由于所属部门不同，职位不同，为了今后分配权限的便利，还需要根据用户所属部门分别创建用户组。部门经理拥有更多的资源权限，因此，为两位部门经理也设置了专门的账户组。
 
二、实施计划（大概流程、任务分工）
 在Windows server 2012 系统上操作
 三、实施过程（步骤）
 1使用计算机管理界面创建本地用户账户
 

 
 
 2使用net user 命令创建本地用户账户
 
 
 3批量创建本地账户
 
 
 
 
 1管理本地账户的的属性
 常规选项卡
  
 隶属于选项卡
 

 配置文件选项卡
 
 2本地账户安全管理
 重设密码
 
 用命令行设置密码
 

 3密码策略和账户锁定策略设置
 

 本地账户的其他管理
 1删除账户
 
 用命令行删除用户
 使用命令”net user 账户名 /delete”删除用户
 2重命名账户
 
 创建本地用户组
 1使用计算机管理界面创建本地组
 
 用命令创建本地组
 
 管理本地用户组
 1添加组成员
 
 删除成员
 
 使用命令添加或删除成员
 
 删除本地组用户
 
 重命名本地组账户
 

之前的博客中讲到，在Linux中有三个跟用户、用户组相关的文件值得注意，分别是/etc/passwd、/etc/shadow、/etc/group。本文将对这三个文件本身的意义以及各自的内容进行详细的解读。
 1./etc/passwd
        这个文件主要是存储我们Linux中的用户信息，每一个用户都对应着文件中的一条记录，每行记录又被冒号分割为7个字段。
 命令：vim /etc/passwd
 
        里面的每一条记录的格式组成如下：
        用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell
        对每个字段的解读如下：
 
 
.用户名
 代表用户账号字段，一般为不超过8个字符的字符串，由大小写字母以及数组组成，不能含有冒号，最好不要含有点字符（.），不要以加号（+）或（-）开头。
 
 
口令
 虽然口令都是加密的，但是由于/etc/passwd这个文件对所有人可见，为了安全起见，很多Linux发现版都采用了shadow技术，即将真正的口令存放在shadow文件中，这里的口令一般用“x”或“*”进行代替。
 
 
用户标识号
 一般情况下，用户的标识号是与用户名一一对应的，若是几个用户都是一样的用户标识号，那么在系统看来是同一个用户，但它们可以拥有不同的口令、主目录以及登录shell。
 
 
组标识号
 记录着用户所属的主用户组的id,对应着/etc/group中的一条记录。
 
 
注释性描述
 记录着一些用户的个人描述，如姓名、电话等等。这个字段并没有什么实际的用途。在不同的Linux 系统中，这个字段的格式并没有统一。在许多Linux系统中，这个字段存放的是一段任意的注释性描述文字，用做finger命令的输出。
 
 
主目录
 用户登录到系统之后所处的目录，用户的主目录名称就是该用户的登录名，自己对主目录有完整的读、写、操作权限，其他用户视情况设置权限。
 
 
登录shell
 用户登录到系统后，会启动一个进程负责将用户的操作传递到系统内核，这个进程就是系统登录后的命令解释器或程序，我们称之为shell,主要起到人机之间的联通作用。
 Shell是用户与Linux之间的一个接口（详见我的另一篇shell博文），Linux中的shell有很多种如，sh(Bounce Shell)、csh(C Shell)、ksh(Korn Shell)、bash(Bounce Again Shell)等等。
 选择哪个shell需要系统管理员具体情况集体分析，一把Linux默认使用sh或bash,对应的软链为/bin/bash–>POSIX、/bin/bash。
 注释：
 之后我会写一篇博文，详细介绍一下sh、bash。
 用户的登录Shell也可以指定为某个特定的程序（此程序不是一个命令解释器）。
 利用这一特点，我们可以限制用户只能运行指定的应用程序，在该应用程序运行结束后，用户就自动退出了系统。有些Linux 系统要求只有那些在系统中登记了的程序才能出现在这个字段中。
 
 
特别地
 系统中有这样的一群存在，我们称之为伪用户，伪用户与用户的最大区别就是，伪用户无法进行登录，也就是说她们的登录shell为空或者是/sbin/nologin,它们存在的意义是为了支持系统的运行，满足相应的系统进程对文件属主的要求。（它们在passwd中也占有一条记录哦）
 常见的伪用户如下：
        伪用户名         含义
           bin           拥有可执行的用户命令文件
           sys          拥有系统文件
           adm         拥有帐户文件
           uucp        UUCP使用
           lp             lp或lpd 子系统使用
           nobody    NFS使用
 
 
 
2./etc/shadow
        /etc/shadow文件主要承担的事存储每个用户的口令（密码）任务，她里面每一条记录与passwd文件里面的每个用户记录一一对应，由pwconv命令根据passwd中的内容自动生成。
 命令:vim /etc/shadow(或者用cat 命令也行)
 
 格式如下：
       登录名:加密口令:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不活动时间:失效时间:标志
 
 
登录名
 与/etc/passwd文件中的登录名相一致的用户账号
 
 
加密口令
 “口令”字段存放的是加密后的用户口令字，长度为13个字符。如果为空，则对应用户没有口令，登录时不需要口令；如果含有不属于集合 { $./0-9A-Za-z }中的字符，则对应的用户不能登录。
 
 
最后一次修改时间
 自创建密码时刻起，到用户最后一次修改口令时的天数。时间起点对不同的系统可能最后一次修改时间”表示的是从某个不一样。例如在SCO Linux 中，这个时间起点是1970年1月1日。(最近一次修改的日期)
 
 
最小时间间隔
 指的是两次修改口令之间所需的最小天数。(自上次修改密码后多久之内不能被修改)
 
 
最大时间间隔
 指的是口令保持有效的最大天数。(密码最久使用的时间)
 
 
警告时间
 表示的是从系统开始警告用户到用户密码正式失效之间的天数。(密码到期前提醒修改的时间。)
 
 
不活动时间
 表示密码失效后，但账号仍能保持有效的最大天数。(密码过期后最多几天内还能登录或着理解为密码过期后的存活期)
 
 
失效时间
 该字段给出的是一个绝对的天数，如果使用了这个字段，那么就给出相应账号的生存期。期满后，该账号就不再是一个合法的账号，也就不能再用来登录了。（密码无效时间）
 
 
注释：authconfig --test | grep hashing 可以查出你当前系统的加密方式，如md5、sha512等。
        当你忘记密码想要找回时，可以先去查看加密口令，然后根据你系统的加密方式去网上搜在线解密工具进行解密。
 
 
3./etc/group
 用户组的所有信息都存在这个文件里面了。
 命令：cat /etc/group
 注意，用户组中所记录的组是主组，不是附加组。
 
 内容组成：
         组名:口令:组标识号:组内用户列表
 
 
"组名"是用户组的名称，由字母或数字构成。与/etc/passwd中的登录名一样，组名不应重复。
 
 
"口令"字段存放的是用户组加密后的口令字。一般Linux 系统的用户组都没有口令，即这个字段一般为空，或者是*。
 
 
"组标识号"与用户标识号类似，也是一个整数，被系统内部用来标识组。
 
 
"组内用户列表"是属于这个组的所有用户的列表/b]，不同用户之间用逗号(,)分隔。这个用户组可能是用户的主组，也可能是附加组。