Windows的账号:
本地用户账户:存储在非DC的计算机的SAM数据库中(本地用户和组)(存储在C:\Windows\System32\config\SAM中,早期可以删除sam可以重置密码)
域用户账号:存储在DC的活动目录数据库中ADDB(存储在服务器C:\Windows\NTD32\ntds.dit内,PC也有自己的SAM文件,依旧可以使用本地账户登录, ./本地用户名)
Windows系统的环境有两种:
1、 工作组:WorkGroup(默认是WORKGROUP,但是每个PC都是独立的)不宜使用于大环境中——本地账号
2、 域(Domain)——统一专业化管理,统一账号(所有的用户账号都存储在一台服务器上)(PCC登录时先输入域名,然后加/和用户名字)
查看自身是域账户合适本地账户在CMD中输入:set,查看LOGONSERVER=,如果是本地计算机名字,则是本地认证登陆的,如果是server的名字,则是由DC做身份验证的
用户的创建:
用户名最长20位,密码最长127位
微软推荐的复杂长度:大写字母、小写字母、数字、特征字符,4个满足3个
长度>=7
在server创建域账户时,勾选下次登录时修改密码,是不可将计算机加入域内的,而密码过期是可以将计算机加入域内的
作为一般的服务账号要选择密码用不过期,当密码过期服务可能会停掉
在组策略管理器中修改账户策略:计算机配置\Windows设置\安全策略\账户策略\密码策略
命令
创建用户:
netuser 用户名密码 /add
删除用户:
netuser 用户名密码 /del
修改密码:
netuser 用户名新密码
(注如何查看所有的共享文件夹:控制面板\管理工具\计算机管理\系统工具\共享文件夹,或者在服务器管理器/文件和存储服务/共享里面查看,可以做更高级的策略,建议使用第二种)
用户访问共享的文件夹身份验证:
1、 用当前的用户名和密码尝试连接服务器
2、 用Guest尝试连接服务器
3、 跳出窗体进行身份验证
新创建的账号可以访问整个磁盘的原因是因为默认组是user组,组权限拥有访问权限
系统账户:
在计算机开机之后,输入账户名密码之前,执行计算机策略使用的就是system账户,之后登陆账户再执行的策略是登陆账户的权限
用户配置文件:
记录了每个用户操作计算机的时候的个性化的数据:桌面数据、我的文档数据、IE中的数据。
每个用户在登陆计算机的时候,会使用登陆名名称一样的配置文件来初始化自己的操作环境
用户配置文件的类型:
1、 本地用户配置文件
PC加入域,登陆后产生的在本地,当切换PC登陆的时候,产生的文件不会同步
2、 漫游用户配置文件
在server上有共享的存储,所有的配置文件会存在共享路径上(一定要有共享文件夹)(创建共享文件夹之后,修改账户的属性,在配置文件中修改配置文件的路径:
\\server名字.域名\共享文件夹名\%username%)(可以在系统\高级系统设置\用户配置文件查看),注销后会同步到服务器,突然断电不会同步
3、 强制漫游用户配置文件
在登陆之后,server的配置文件会同步到本地,但是在本地修改之后,本地修改的文件不会同步到服务器上,例如网吧
修改方法:修改服务器端的NTUSER.DAT改为NTUSER.MAN,改文件是隐藏文件,更改会在下次PC登录才生效,PC本次注销关机依旧会同步,文件会被同步为NTUSER.DAT,所以本次PC注销关机时不要将文件同步,强制关机或者断网
用户加入域,如何保证原先工作组下的配置文件能够迁移到账号中:
使用第三方软件:profwiz
组:
组是用来包容用户的容器,组的好处是为了方便管理:
常见的用户组:
administrators
powerusers
backupoperators
remotedesktop users
users
everyone
everyone与users的区别:
1、 用户属于everyone组的隶属关系无法编辑,而用户属于users的隶属关系可以编辑
2、 guest默认属于everyone,不属于user
本地组不可以嵌套,AD的组可以嵌套
Guest可以登陆
命令操作:
创建组
netlocalgroup 组名 /add
用户加入组:
netlocalgroup 组名用户名 /add
用户从组中删除:
netlocalgroup 组名用户名 /del
删除组:
netlocalgroup 组名 /del