本地用戶和組

本地用戶和組

本地用戶和組位於計算機管理中,用戶可以使用這一組管理工具來管理單台本地或遠程計算機。可以使用本地用戶和組保護並管理存儲在本地計算機上的用戶帳戶和組。可以在特定計算機上(只能是這台計算機)分配本地用戶帳戶或組帳戶的許可權和權利。

通過本地用戶和組,可以為用戶和組分配權利和許可權,從而限制用戶和組執行某些操作的能力。權利可授權用戶在計算機上執行某些操作,如備份檔案和資料夾或者關機。許可權是與對象(通常是檔案、資料夾或印表機)相關聯的一種規則,它規定哪些用戶可以訪問該對象以及以何種方式訪問。

基本介紹

  • 中文名:本地用戶和組
  • 屬性:軟體
  • 類型:管理工具
  • 用途:管理單台本地或遠程計算機
本地用戶帳戶,默認本地組,管理本地用戶和組,管理本地用戶帳戶的檔案,從命令行管理本地組,為什麼您不應該以管理員身份運行計算機,用戶帳戶控制概述,本地用戶和組的疑難解答,

本地用戶帳戶

本地用戶和組 Microsoft 管理控制台 (MMC) 管理單元中的用戶資料夾顯示默認的用戶帳戶以及您創建的用戶帳戶。這些默認的用戶帳戶是在安裝作業系統時自動創建的。下表描述了顯示在本地用戶和組中的每個默認用戶帳戶。
默認用戶帳戶描述
Administrator 賬戶
默認情況下,Administrator 帳戶處於禁用狀態,但也可以啟用它。當它處於啟用狀態時,Administrator 帳戶具有對計算機的完全控制許可權,並可以根據需要向用戶分配用戶權利和訪問控制許可權。該帳戶必須僅用於需要管理憑據的任務。強烈建議將此帳戶設定為使用強密碼。
Administrator 帳戶是計算機上管理員組的成員。永遠也不可以從管理員組刪除 Administrator 帳戶,但可以重命名或禁用該帳戶。由於大家都知道 Administrator 帳戶存在於許多版本的 Windows 上,所以重命名或禁用此帳戶將使惡意用戶嘗試並訪問該帳戶變得更為困難。
重要 即使已禁用了 Administrator 帳戶,仍然可以在安全模式下使用該帳戶訪問計算機。
Guest 帳戶
Guest 帳戶由在這台計算機上沒有實際帳戶的人使用。如果某個用戶的帳戶已被禁用,但還未刪除,那該用戶也可以使用 Guest 帳戶。Guest 帳戶不需要密碼。默認情況下,Guest 帳戶是禁用的,但也可以啟用它。
可以像任何用戶帳戶一樣設定 Guest 帳戶的許可權。默認情況下,Guest 帳戶是默認的 Guest 組的成員,該組允許用戶登錄計算機。其他權利及任何許可權都必須由管理員組的成員授予 Guests 組。默認情況下將禁用 Guest 帳戶,並且建議將其保持禁用狀態。

默認本地組

本地用戶和組 Microsoft 管理控制台 (MMC) 中的組資料夾顯示默認本地組以及您創建的本地組。默認本地組是在安裝作業系統時自動創建的。如果一個用戶屬於某個本地組,則該用戶就具有在本地計算機上執行各種任務的權利和能力。
可以向本地組添加本地用戶帳戶、域用戶帳戶、計算機帳戶以及組帳戶。
下表提供了對位於組資料夾中的默認組的描述。此表也列出了每個組的默認用戶許可權。這些用戶許可權是在本地安全策略中分配的。
描述默認用戶許可權
Administrators
此組的成員具有對計算機的完全控制許可權,並且他們可以根據需要向用戶分配用戶許可權和訪問控制許可權。Administrator 帳戶是此組的默認成員。當計算機加入域中時,Domain Admins 組會自動添加到此組中。因為此組可以完全控制計算機,所以向其中添加用戶時特別謹慎。
從網路訪問此計算機 調整進程的記憶體配額
允許本地登錄關閉系統
備份檔案和目錄 跳過遍歷檢查
更改系統時間更改時區
創建頁面檔案創建全局對象
創建符號連結調試程式
提高日程安排的優先權 身份驗證後模擬客戶端
從遠程系統強制關機 裝載和卸載設備驅動程式
作為批處理作業登錄 管理審核和安全日誌
修改固件環境變數 執行卷維護任務
配置單一進程配置系統性能
從擴展塢中取出計算機 還原檔案和目錄
允許通過遠程桌面服務登錄
獲得檔案或其他對象的所有權
備份操作員
此組的成員可以備份和還原計算機上的檔案,而不管保護這些檔案的許可權如何。這是因為執行備份任務的權利要高於所有檔案許可權。此組的成員無法更改安全設定。
從網路訪問此計算機 允許本地登錄
備份檔案和目錄 跳過遍歷檢查
作為批處理作業登錄 還原檔案和目錄
關閉系統
Cryptographic Operators
已授權此組的成員執行加密操作。
沒有默認的用戶許可權
Distributed COM Users
允許此組的成員在計算機上啟動、激活和使用 DCOM 對象。
Guests
該組的成員擁有一個在登錄時創建的臨時配置檔案,在註銷時,此配置檔案將被刪除。來賓帳戶(默認情況下已禁用)也是該組的默認成員。
IIS_IUSRS
這是 Internet 信息服務 (IIS) 使用的內置組。
Network Configuration Operators
該組的成員可以更改 TCP/IP 設定,並且可以更新和發布 TCP/IP 地址。該組中沒有默認的成員。
Performance Log Users
該組的成員可以從本地計算機和遠程客戶端管理性能計數器、日誌和警報,而不用成為管理員組的成員。
Performance Monitor Users
該組的成員可以從本地計算機和遠程客戶端監視性能計數器,而不用成為管理員組或 Performance Log Users 組的成員。
Power Users
默認情況下,該組的成員擁有不高於標準用戶帳戶的用戶許可權或許可權。在早期版本的 Windows 中,Power Users 組專門為用戶提供特定的管理員權利和許可權執行常見的系統任務。在此版本 Windows 中,標準用戶帳戶具有執行最常見配置任務的能力,例如更改時區。對於需要與早期版本的 Windows 相同的 Power User 權利和許可權的舊應用程式,管理員可以套用一個安全模板,此模板可以啟用 Power Users 組,以假設具有與早期版本的 Windows 相同的權利和許可權。
Remote Desktop Users
該組的成員可以遠程登錄計算機。
允許通過遠程桌面服務登錄
Replicator
該組支持複製功能。Replicator 組的唯一成員應該是域用戶帳戶,用於登錄域控制器的複製器服務。不能將實際用戶的用戶帳戶添加到該組中。
沒有默認的用戶許可權
用戶
該組的成員可以執行一些常見任務,例如運行應用程式、使用本地和網路印表機以及鎖定計算機。該組的成員無法已分享資料夾或創建本地印表機。默認情況下,Domain Users、Authenticated Users 以及 Interactive 組是該組的成員。因此,在域中創建的任何用戶帳戶都將成為該組的成員。
從網路訪問此計算機 允許本地登錄
跳過遍歷檢查更改時區
增加進程工作集 從擴展塢中取出計算機
關閉系統
提供遠程協助幫助程式
該組的成員可以向此計算機用戶提供遠程協助。
沒有默認的用戶許可權

管理本地用戶和組

管理本地用戶帳戶的檔案

管理員可以使用主資料夾和文檔資料夾將用戶檔案集中到一個位置。用戶檔案集中在一個位置簡化了備份過程,並使訪問控制管理更容易。
主檔案可以是本地資料夾,也可以是共享資源中的資料夾。可以將其分配給一個用戶或多個用戶。將主資料夾分配給一個用戶後,它就成為該用戶的“打開”“另外儲存為”對話框、命令提示符會話以及沒有定義工作資料夾的所有程式的默認資料夾。
文檔資料夾是主資料夾的備用資料夾,但它不會取代主資料夾。當用戶試圖保存或打開檔案時,多數程式都以下面兩種方式之一確定是使用主資料夾還是文檔資料夾:
一些程式先在主資料夾中查找與要打開或保存的檔案的類型(例如,*.doc 或 *.txt)匹配的檔案。如果找到帶匹配擴展名的檔案,則程式將打開主資料夾而忽略文檔資料夾。如果沒有找到帶匹配擴展名的檔案,則程式將打開文檔資料夾。

從命令行管理本地組

可以使用下表中的命令行工具管理本地組。
名稱描述
net localgroup
該命令用來添加、顯示或修改本地組。

為什麼您不應該以管理員身份運行計算機

以管理員組成員的身份運行計算機將使系統容易受到特洛伊木馬及其他安全風險的威脅。訪問 Internet 站點或打開電子郵件附屬檔案的簡單行動都可能破壞系統。不熟悉的 Internet 站點或電子郵件附屬檔案可能有特洛伊木馬代碼,這些代碼可以下載到系統並被執行。
如果以本地計算機的管理員身份登錄,特洛伊木馬可能使用管理訪問權重新格式化您的硬碟,刪除檔案並創建新的用戶帳戶。
在本地計算機上,建議將域用戶帳戶添加到 Users 組(而非管理員組),以執行例行任務,包括運行程式和訪問 Internet 站點。當需要在本地計算機上執行管理任務時,請通過管理憑據使用“以管理員身份運行”啟動程式。
您可以使用“以管理員身份運行”完成管理任務,而不至將計算機置於不必要的風險中。
如果您需要執行其他管理任務,例如升級作業系統或配置系統參數,請先註銷然後再以管理員身份登錄。

用戶帳戶控制概述

用戶帳戶控制 (UAC) 是一種新的安全組件,使用戶可以用非管理員身份(在此版本的 Windows 中稱為“標準用戶”)以及管理員身份執行常見任務,而無需切換用戶、註銷或使用“以管理員身份運行”命令。標準用戶帳戶與 Microsoft Windows(R) XP 中的用戶帳戶類似。作為本地管理員組成員的用戶帳戶以標準用戶身份運行大多數應用程式。因為 UAC 在進行生產時將用戶功能和管理員功能分隔開來,所以它是此版本的 Windows 的一個重要增強功能。
當管理員登錄到運行此版本 Windows 的計算機時,將為該用戶分配兩個單獨的訪問令牌。Windows 使用訪問令牌(包含用戶的組成員身份、授權數據和訪問控制數據)控制用戶可以訪問的資源和任務。在一些先前版本的 Windows(如 Windows XP)中,管理員帳戶只接收到一個訪問令牌,其中包含的數據可授予該用戶訪問所有 Windows 資源的許可權。此訪問控制模型不包含任何故障保險檢查,而故障保險檢查可以確保用戶真正執行需要他(或她)的管理訪問令牌的任務。因此,惡意軟體可以將其自身安裝在計算機上,而不會通知用戶。此過程通常稱為“無提示”安裝。因為用戶是管理員,所以惡意軟體可以使用管理員的訪問控制數據感染核心作業系統檔案。在某些情況下,惡意軟體可能會變得幾乎不可能被刪除,而且可能會造成更多破壞。
此版本的 Windows 中的標準用戶和管理員之間的主要區別在於他們對計算機有多少控制權。管理員可以更改系統狀態、關閉防火牆、關閉策略、安裝影響計算機上每個用戶的服務或驅動程式等等。管理員可以為整台計算機安裝軟體。標準用戶無法以這種方式更改系統狀態。

本地用戶和組的疑難解答

我接收到錯誤訊息“此系統的本地策略不允許您互動登錄”,或者我無法從本地登錄
原因:從本地登錄到計算機的功能是由本地安全策略控制的。
解決方案:將用戶帳戶添加到 Users 本地組,或使用本地安全策略向特定用戶或組分配允許在本地登錄的許可權。
runas 命令運行失敗。
原因:Secondary Logon 服務沒有運行。
解決方案:啟動 Secondary Logon 服務。
我無法登錄到運行 Windows 95 或 Windows 98 的網路計算機
原因:密碼超過 14 個字元。
解決方案:創建新用戶帳戶或將密碼更改為適用於 Windows 95 和 Windows 98 的不超過 14 個字元的密碼。
我無法訪問遠程計算機上的計算機管理擴展管理單元
原因:遠程計算機上沒有運行遠程註冊表服務。
解決方案:確保在遠程計算機上啟動了遠程註冊表服務。在遠程計算機上具有相應的許可權才能啟動該服務。

相關詞條

熱門詞條

聯絡我們