Windows用户/组管理和权限
 一、用户帐户管理
 1、用户帐户不同的用户身份拥有不同的权限每个用户包含一个名称和一个密码用户帐户拥有唯一的安全标识符（SID）
 2、用户管理创建用户、为用户重置密码、重命名用户、启用、禁用用户帐户删除用户帐户（删除用户后再创建同名同密用户也不具有以前用户的权限，因为SID安全标识符不同）
 
二、内置用户帐户用于特殊用途，一般不需更改其权限
 1、Administrator（管理员用户）默认的管理员用户。无法删除此帐户，为了安全建议改名。
 2、Guest（来宾用户）默认是禁用的，提供给没有帐户的用户来临时使用，它只拥有有限权限。无法删除。
 
三、管理组帐户
 1、组账户组是一些用户的集合组内的用户自动具备为组所设置的权限
 2、组帐户管理新建组、向组内添加成员（可以双击组添加成员或右击用户—属性—隶属于）、重命名组、删除组
 3、常见内置组的作用：
 1）Administrators：此组内用户具有系统管理员权限。
 2）Backup Operators：具有备份和还原的权限
 3）Guests：如果注销位于此组的成员，其用户配置文件将被删除，默认guest 即属于此组。
 4）Network Configuration Operators：具有管理网络功能的配置，如更改IP地址
 5）Power Users：旧版windows系统就已经存在的组，为简化组即将被淘汰。
 6）Remote Desktop Users：此组内的用户可以从远程计算机使用远程桌面服务来登录
 7）Users：新用户的默认组8）Print Operators：具有管理打印机的权限
 4、特殊本地内置组Everyone：任何一个用户都属于这个组Authenticated Users：任何使用有效用户来登录此计算机的用户，都属于此组Interactive:任何在本地登录（按ctrl+alt+del键登录）的用户，都属于此组Network:任何通过网络来登录此计算机的用户，都属于此组。注：本地组不能包含本地组，可以包含某些内置组。
 
四、ALP规则将本地用户加入本地组，最后只给本地组分配权限（ALP规则的含义）
 
五、文件系统概述
 1、文件系统：即在外部存储设备上组织文件的方法
 2、常用的文件系统FAT、NTFS、EXT3、NTFS文件系统的优点
 1）提高磁盘读写性能
 2）可靠性：加密、访问控制列表
 3）磁盘利用率：压缩、磁盘配额
 4）AD需要NTFS的支持
 
六、常见NTFS权限
 1、文件夹的NTFS权限读取、写入、列出文件夹目录、读取和执行、修改、完全控制、特殊权限:与文件和文件夹的数据无关，与【安全】选项卡读取、更改相关
 2、文件的NTFS权限注：和文件夹的权限相比少了列出文件夹目录
 3、特殊权限读取权限、更改权限、取得所有权七、NTFS权限规则
 1、权限的累加：在权限不冲突的基础上用户的有效NTFS权限累加
 2、拒绝优先（拒绝大于一切）
 3、继承权限默认子文件夹或子文件会继承上级文件夹的权限，子文件夹可以取消继承上级文件夹的权限（在子文件夹上右击属性—安全—高级—权限—更改权限—禁用继承）—确定—点击编辑修改继承用户的权限。强制继承
 ４、取得所有权

 
用户与组管理、NTFS权限
 
一、用户与组管理
用户
SID
本地用户默认有内置账户：
查看用户管理：计算机右键管理
Windows用户与组管理的操作练习
   
二、NTFS权限：
三、文件共享服务器
隐藏共享
UNC地址
彻底删除系统隐藏共享的产生——修改注册表
关闭445服务 共享服务依赖445端口
   
四、用户组与NTFS权限实验
实验一：
实验二：
实验三
  
 

 
一、用户与组管理
 
用户
 
账户=账号/用户名+密码
 　　每个账户有自己唯一的SID
 　　账户密码存储位置： c:\windows\system32\config\SAM 暴力破解/撞库
 　　windows系统上，默认密码最长有效期42天
 每个用户账号都有自己配置文件
 
win7/win2008 c:\用户
xp/win2003 c:\Documents and Settings
 
SID
 
不同的账户拥有不同的权限！
 为不同的账户赋权限，也就是为不用账户的SID赋权限！
 查看sid值：whoami /user
 administraotr的SID：S字符串+500（UID）
 
本地用户默认有内置账户：
 
1）给人使用的账户：管理员账户administrator、来宾账户guest
 2）计算机服务组件相关的系统账号
 system 系统账户 == 权限至高无上 （等于Linux的root）
 local services 本地服务账户 = 权限等于普通用户
 network services 网络服务账户 = 权限等于普通用户
 
查看用户管理：计算机右键管理
 
用户管理
备注
net user
查看用户列表
net user 用户名 密码
更改密码
net user 用户名 密码 /add
添加用户
net user 用户名 /active:no
no禁用用户/yes激活用户
net user 用户名 /del
删除用户
 
组管理
备注
net localgroup
查看组列表
net localgroup 组名
查看组成员
net localgroup 组名 /add
添加组
net localgroup 组名 用户名 /add
添加成员到组
net localgroup 组名 用户名 /del
从组中踢出成员
net localgroup 组名 /del
删除组
组的意义：简化权限的的赋予
 内置组：内置组的权限默认已经被系统赋予。
 
administrators ：管理员组
guests： 来宾组
users： 普通用户组，默认新建用户都属于该组
network 网络配置组
print 打印机组
Remote Desktop 远程桌面组
 
Windows用户与组管理的操作练习
 

 
 
 
二、NTFS权限：
 
（文件或文件夹右键属性–安全–ACL）ACL用来做过滤
 
 
1.文件系统类型：
 NTFS：支持单个文件大于4个G，支持文件权限设置
 FAT32：不支持单个文件大于4G，不支持文件权限设置
 
 
2.取消权限继承：
 作用：取消后，可以任意修改权限列表了。
 方法：文件夹右键属性—安全—高级—去掉第一个对号–选择复制即可
 
 
3.权限累加：
 当用户同时属于多个组时，权限是累加的!
 
 
4.拒绝最大：
 当用户权限累加时，如遇到拒绝权限，拒绝最大！
 
 
5.取得所有权：
 默认只有administrator有这个权限！
 作用：可以将任何文件夹的所有者改为administrator
 
 
6.强制继承：
 作用：对下强制继承父子关系！
 方法：文件夹右键属性–安全–高级–勾上第二个对号，即可！
 
 
注意：文件复制后，文件的权限会被目标文件夹的权限覆盖，即获得上一级目录的权限
 
三、文件共享服务器
 
文件共享服务器：（类似于FTP服务器）
 
注：
 
①本地登录时，只受NTFS权限的影响
②在远程登录时，将受共享及NTFS权限共同影响，且取交集！
 
创建共享：
 文件夹右键属性-共享-开启共享-设置共享名-设置共享权限
 (先允许everyone完全控制，再根据权限需求在“安全”菜单设置NTFS权限)
 
局域网共享协议 cifs
 
设置共享
备注
net share
列出本地所有的共享
net share 共享名 /del
删除共享
shutdown -r 重启 shutdown -s 关机
 shutdown -s -t 强制关机
 shutdown -s -t 0 强制立即关机
 
共享名
 
 访问共享时，客户机远程访问共享看不到文件本名，只能看到共享名。
 
 
隐藏共享
 
服务器创建隐藏共享：共享名$
 
 访问隐藏共享： \192.168.1.1\共享名$
 commond+R输入\192.168.1.1远程访问服务器回车后进入共享文件夹
 进入共享文件夹后不会显示隐藏共享文件，需要手动写出来：
 \192.168.1.1\gjjm$ 
 
UNC地址
 
反斜杠\ 命令行访问法 访问网上邻居，实际上应该称作UNC路径访问法。
 UNC（Universal Naming Convention）通用命名规则，也叫通用命名规范、通用命名约定。 网络（主要指局域网）上资源的完整名称。
 
UNC共享，就是网络硬盘的共享。
 
符合\\servername\sharename 格式， servername 是服务器名，sharename 是共享资源的名称
 
目录或文件的 UNC 名称可以包括共享名称下的目录路径，格式为：\\servername\sharename\directory\filename。
 \\文件共享服务器IP
 \\文件共享服务器IP\共享名
 或者conmmond+R打开命令行输入
 
 
彻底删除系统隐藏共享的产生——修改注册表
 
打开注册表编辑器：regedit
 定位到：
 HKEY_Local_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\
 右键新建REG_DWORD类型的AutoShareServer 键，值为 0
 
关闭445服务 共享服务依赖445端口
 
commond+R进入 services.msc ，并停止及使用server服务
 
 
 
四、用户组与NTFS权限实验
 
实验一：
 
实验要求：创建一个文件夹，实现本地登录时，tom用户只能创建新的文件，cat用户只能读取及下载文件。
 
实验步骤：
 分别创建tom、cat用户。
 
 进入D盘创建文件夹“权限”，右键“属性”选择“安全”菜单，点击添加按钮，输入tom和cat，用分号；隔开，并确定。
 
 删除其他用户和组，仅保留如下3个用户
 
 分别设置tom和cat权限如下：
 
 取消继承
 
 验证：
 Tom能打开文件夹但无法打开访问其中的内容，可以创建文件。
 
 cat能打开并访问内容，但是无法创建也写入无法删除。
 
 
 
实验二：
 
实验要求：新建用户jack，并将用户jack加入到hr组及IT组，为文件夹jimi设置权限，只允许hr组读取不能创建文件，it组只能创建文件不能读取，使用jack用户登录并访问jimi文件夹，验证jack的权限。
 
实验步骤：
 分别创建用户jack、组HR、组IT并将jack添加到组HR及IT，并创建文件夹jimi
 
 添加组HR、IT准备设置权限
 
 给HR组设置权限只能读取，给IT组设置权限只能写入
 
 此时组中的jack应同时具备读取与创建文件的权限
 验证：
 可以读取文件，可以创建文件。
 
 
实验三
 
实验要求：新建用户wxf，并将用户wxf加入到ceo组，且不能从该组中剔除,为文件夹jimi赋权限，要求ceo组可以完全控制jimi文件夹，但wxf不能访问该文件夹。
 
实验步骤：
 创建用户wxf、组ceo，并将wxf添加到组ceo
 
 在jimi文件的属性下添加wxf、ceo，设置ceo组的权限和wxf用户的权限
 
 验证：
 
 
实验四
 
删除所有组和用户
 
 
 然后用管理员添加用户，此时可以访问
 

 
 
下面介绍Windows Server 2008本地用户和组的管理包括创建用户、删除用户、重设密码、将用户添加到组、普通用户跟管理员的区别 、用户配置文件包括桌面上文件，桌面背景，桌面上图标，IE设置，数字证书，我的文档，存储网络密码、公共配置文件、默认的配置文件、管理用户密码、更改密码、重设密码、密码重设盘，远程登入。
 
 
1.打开始菜单，选择管理工具，找到服务器管理器，然后打开。
 
 
 
 
2.打开服务器管理器，先选择配置，然后打开本地用户和组，点击用户，可以查看电脑上面的所有本地用户，鼠标右键会弹出一个对话框，点击新用户。
 
 
 
 
3.点击新用户之后，用户名：输入你要创建的账号，这里我输入user然后设置密码，可以点击密码永不过期，然后创建。
 
 
 
 
4.点击创建之后，鼠标右键刷新，现在user用户已经显示出来了，选择user右键可以重设密码，删除用户等。
 
 
 
 
5.鼠标点击user用户右键打开属性，找到隶属于 默认创建一个新用户只属于User组，点击下面添加按钮可以把管理员添加进来。
 
 
 
 
6.点击添加按钮，输入计算机名SERVER\Administrator 然后检查名称，最后点击确定按钮。
 
 
 
 
7.点击组，然后选择administrator鼠标右键添加到组，这样也是可以添加管理员权限，效果一样。
 
 
 
 
8.打开之后，可以打开user用户已经属于administrator组了，然后再添加一个CREATOR GROUP这个组，点击确定按钮。
 
 
 
 
9.使用命令行创建一个suer1用户，密码为123abCD，使用net user命令就可以创建新用户了，创建之后鼠标刷新一下就显示出来了suer1用户。
 
 
 
 
10.创建好用户之后，点击开始菜单，选择切换用户。
 
 
 
 
11.点击切换用户之后，默认电脑上面有多少个本地用户都会显示出来，选择suer1这个用户，输入密码进行登入。
 
 
 
 
12.使用suer1这个用户登入系统之后，想把C盘根目录下面的一个文件夹删除，提示没有权限，因为suer1是普通用户，没有添加到管理员组。
 
 
 
 
13.点击删除按钮，弹出一个密码授权框，如果不知道管理员密码是不能删除。
 
 
 
 
14.使用suer1这个用户在C盘根目录下面创建了一个suer1文件夹，里面创建了一个文件夹跟一个文本文件，现在选择删除提示是否要删除这两个文件，普通用户只能在自己创建的文件夹里面创建文件，修改文件以及删除文件。
 
 
 
 
15.现在suer1这个普通用户想打开计算机属性，提示需要授权才能访问，这就是普通用户跟管理员用户的区别。
 
 
 
 
16.默认创建一个用户，他的配置文件都会保存在C盘用户文件夹里面，包括桌面上文件，桌面背景，桌面上图标，IE设置，数字证书，我的文档，存储网络密码。
 
 
 
 
17.公用文件夹，从字面意思理解就是公用的文件夹，在这里面保存的东西所有用户都可以看到。
 
 
 
 
18.在桌面这个文件夹里面创建一个共享文件夹，所有用户登入到这台电脑桌面都会显示一个共享文件夹。
 
 
 
 
19.现在切换用户，使用user登入之后，桌面默认就有一个共享文件夹。
 
 
 
 
20.在C盘用户文件夹里面有一个Default用户，默认创建一个新用户都是从这个文件夹里面复制的，如果想影响所有用户，在Desktop这个桌面文件夹里面新建一些文档，或者资料，下次再创建新用户的时候会自动把里面的资料复制一份到新的用户环境。
 
 
 
 
21.打开控制面板，找到用户账号 点击用户账号，可以也可以修改密码，删除密码以及更改用户头像。
 
 
 
 
22.点击更改密码，先输入旧密码，然后输入两次新密码，点击更改密码。
 
 
 
 
23.创建密码重设盘，先把U盘插入到电脑，这里我的U盘为E盘大小是64G，然后点击创建密码重设盘按钮
 
 
 
 
24.点击创建密码重设盘然后，点击下一步。
 
 
 
 
25.这里会自动检测到U盘，如果有多个U盘可以手动选择，然后下一步。
 
 
 
 
26.输入当前的密码，现在的密码你当然记得，如果更改了密码，或者时间过得太久了，密码不记得了可以使用。
 
 
 
 
27.等待完成，然后下一步。
 
 
 
 
28.现在密码重设盘已经创建好了，点击完成。
 
 
 
 
29.打开计算机，选择我的U盘里面有一个userkey.psw文件，如果有多台电脑或者服务器可以命名为userkey1.psw这样存储，就不会把原来的覆盖掉。
 
 
 
 
30.现在suer1这个用户，把密码忘记了并且电脑里面有很重要的资料，不能重装系统，就可以使用之前创建的密码重设盘进行修改密码，插入U盘然后点击重设密码按钮。
 
 
 
 
31.点击下一步，系统会自己检测U盘。
 
 
 
 
32.如果有多个U盘，选择U盘里面有userkey.psw文件的这个U盘，也可以把这个文件备份到其他U盘，只要有这个密码重设的文件就能修改密码。
 
 
 
 
33.现在直接输入新密码，然后下一步就可以了。
 
 
 
 
34.修改完成之后，点击完成，使用刚刚修改的密码登入系统。
 
 
 
 
35.输入刚刚修改的密码，然后就能登入系统了，这就是密码重设盘的作用，非常方便。
 
 
 
 
36.打开服务器管理器，点击组 内置的组 代表的是对系统的访问权限 SID  用户登录计算机构造了用户令牌 注销时释放令牌 用户的SID 所属组的SID、现在Remote Deskop User这个远程管理组里面没有ser1这个用户，如果这个用户想远程登入Windows Server提示没有权限。
 
 
 
 
37.这里输入127.0.0.1代表的是本地计算机，输入完点击连接提示远程桌面没有打开，下面在系统里面进行设置一下。
 
 
 
 
38.鼠标点击计算机右键打开属性，然后点击远程设置，打开之后选择允许任意版本远程桌面的计算机连接，然后确定。
 
 
 
 
39.现在远程桌面已打开，使用suer1用户远程登入，提示连接被拒绝，没有授权此用户，点击确定。
 
 
 
 
40.打开服务器管理器，选择本地用户和组，点击组，找到Remote Desktop User这个组，然后把suer1用户添加进去，点击确定。
 
 
 
 
41.现在使用suer1这个用户远程登入，这里点击是。
 
 
 
 
42.添加授权之后suer1这个用户已经登入到Windows Server操作系统。
 
 
 

【实验目的】：
 
1.    学会在Windows 2003 Sever下管理本地用户和组
 
2.    熟悉 indows 2003 Sever用户管理机制
 
 
 
【实验内容】：
 
1.    帐号的创建、修改、删除
 
2.    组的创建、修改、删除
 
3.    本地用户权限管理、分配
 
4.    远程用户权限管理、分配
 
 
 
【实验原理及相关知识】：
 
 
 
1．1本地用户的含义
 
     用户分为本地用户和全局用户。所谓“本地”用户指平时直接使用的计算机，本地用户对应着对等网工作组模式，用户验证都在各自的本地计算机上进行。全局用户对应着客户机/服务器工作模式，用户验证都在域控制器上进行。
 
        本地用户只能建立在Windows 2003独立服务器、Windows 2003成员服务器或基于Windows 2003 Professional的计算机中，这种用户的作用范围仅限于在创建该用户的计算机上，以控制用户对该计算机上资源的访问。也就是说，如果一个用户需要访问多台计算机上的资源，而这些计算机不属于某个域，则用户要在每一台需要访问的计算机上拥有相应的本地用户帐号，并在登录某台计算机时由该计算机验证。
 
 
 
1．3系统内建用户
 
     系统内建用户是Windows 2003操作系统自带的，在安装好Windows 2003之后这些用户就已存在，并已经赋予了相应的权限。Windows 2003利用这此用户完成某些特定的工作。
 
        Windows2003中常见的内置用户包括系统管理员用户Administrator和来宾用户guest（默认禁用）。系统内建用户和组都不允许被删除，并且Administrator帐号也不允许被禁用，但内建用户帐号允许更名。
 
     没有能过系统验证的用户，都将自动转为guest用户访问系统。所以，从安全性角度考虑，guest用户不要轻易启用。
 
 
 
1．4组的相关知识
 
组是Windows 2003网络环境中的一个非常重要的概念，是用户帐号的集合，当用户较多的时候，就通常将具有相同身份和属性的用户组合到一个逻辑的集合中，并且一次赋予该集合访问资源的权限而不再单独给用户赋予权限，从而简化了管理。
 
一个用户帐号可属于多个组。用户登录后，如果又修改了权力权限，要再次登录才能生效。
 
本地组中有两种主要的组类型：用户创建的本地组和系统内置组。
 
 
 
 
 
 
 
 
 
a)     Administrators 组的特点
 
1． 它是所有的Windows 2003上都有的惟一的一个被赋予了所有内建权力的组
 
2． 它可以给自己赋予所有自己没有的权力
 
3． 它可添加系统组件，升级系统
 
4． 它可配置系统重要参数，如注册表的修改
 
5． 它可配置安全信息
 
 
 
b)       Power Users 组
 
1． 它存在于非域控制器上
 
2． 它可进行基本的系统管理工作
 
3． 它不能修改Administrators 组和Backup Operators组
 
4． 它不能备份/恢复文件
 
5． 它不能修改注册表
 
 
 
c)        Backup Operators 组
 
1． 它是所有的Windows 2003上都有的
 
2． 它可以忽略文件系统的权限进行备份和恢复
 
3． 它可以登录系统和关闭系统
 
4． 它对加密文件也可以做备份
 
 
 
d)       Users 组
 
1． 它是一般用户所在的组，对系统可使用基本的权力。
 
2． 它可运行程序，使用网络
 
3． 它可以关闭Windows 2003Professional，但不能关闭Windows 2003Sever
 
4． 它不能创建共享目录和本地打印机
 
 
 
e)        系统内建的特殊组
 
1． Everyone 组：它包括所有的用户，包括guest
 
2． Authenticated Users组：它包含所有被身份验证成功的用户，但不包括guest组的成员，在Windows 2003Sever 中是Users组的成员
 
3． Interactive组：包含所有交互试登录的用户
 
 
 
【实验过程及主要步骤】
 
 
 
该实验中具体就是在计算机上建立实验文件夹，对本地访问的用户分配不同的权限，测试用户具有何种操作权限，然后将该文件夹发布于局域网中，再对远程访问用户给与不同的权限，测试远程用户的操作权限。下面具体的对用户和组的权限设置与管理进行详细介绍。
 
在该实验中用到的网络拓扑图如下：
 
 
 
 
创建帐号
 
1． 启动Windows 2003Sever，以管理员（Administrator）身份登录系统
 
右键点击“我的电脑”，选择管理菜单，就进入到“计算机管理”界面
 
 
 
2． 单击“本地用户和组”前面的加号，展开出现“用户”图标。在“用户”图标上右击，在弹出的快捷菜单中单击“新用户”
 
3. 打开“新用户”对话框后，在“用户名”文本框中输入用户帐号的登录名称，如输入“bdfw001”；在“全名”文本框中输入用户的全名，在“描述”文本框中输入帐号的简单描述，以方便日后的管理工作；在“密码”和“确认密码”文本框中输入相同的密码。
 
 
4.单击“创建”按钮后，该用户帐号会被创建，但新用户对话框不会消失，可以接着创建下一个用户帐号，如bdfw002, bdfw003。最后，单击“关闭”按钮，结束新用户的创建.。
 
 
 
创建本地组
 
创建本地组的操作要由本地计算机的Administrators组或Account Operators组的成员进行，方法与创建本地用户类似，操作步骤如下：
 
 
 
 
 
 
 
．单击“创建”按钮，再单击“关闭”按钮，返回到“计算机管理”窗口中。这时在右侧的子窗口中可以看到新建的组。
 
 
 
本地用户权限分配
 
1.      按照上述方法，建立用于本地访问资源的用户组”bdfw”，并建立用户”bdfw001”让它只隶属于组”bdfw”，不属于组”User”
 
然后在建立用于远程访问资源的用户组”ycfw”，并建立用户”ycwf001”让它只隶属于组”ycfw”.不属于组”User”. 
 
在D盘新建一个文件夹，取名“试验1”，再建几个子文件夹，放少许文件再里面，打开文件“试验1”属性对话框，切换到“安全”标签。
 
点击添加按钮，把组”bdfw”加上，然后对它的权限进行分配，注意此时给权限的时候应该一项一项的加入，不要一次全给，这样方便看用户有何种操作权限。这里首先给”读取、禁止写入”权限。
 
 
 
2.      然后把现在的用户”Administrator”注销掉，用“bdfw001”这个用户登陆，看该用户对文件夹有何种操作权限。大家还可以尝试多建几个用户，分别赋予其他的权限，操作方法一致。需要注意的是每给一个权限以后都必须看一下用户具有何种操作！
 
远程用户权限分配
 
方法和上面类似，首先应将现在的账户“administrator”密码进行修改，不能为“123456”，然后建立一个文件夹“试验1-1”，将该文件共享，并且给“Administrator”组读取权限，给“ycfw”组完全控制权限。
 
 
 
3.       然后在其他电脑上访问你刚才共享的文件，打开我的电脑，在地址栏输入\\共享电脑IP分别用账户”Administrator”用户和“ycfw001”进行访问，看两个用户之间的操作权限区别。如图1-11  注意：当用一个用户登陆以后，系统将记住该用户，在一定时间内在访问的话就不用输入用户名和密码了，为了换用户登陆可以进行一下操作，打开命令提示符，输入net use \\共享电脑IP /del 即可。
 
 
 
此文章为  强子的好东西  原创，特此声明！