4.1 知识导航——用户与组的概念_网络操作系统教程：Windows Server 2016管理与配置-QQ阅读男生轻小说网

书名：网络操作系统教程：Windows Server 2016管理与配置
作者名：刘本军杨君主编
本章字数：3677字
更新时间：2021-11-12 10:42:28

4.1 知识导航——用户与组的概念

4.1.1 用户账户概念

在计算机网络中，计算机的服务对象是用户，用户通过账户访问计算机资源，所以用户也就是账户。所谓用户的管理也就是账户的管理。每个用户都需要有一个账户，以便登录到域访问网络资源或登录到某台计算机访问该机上的资源。组是用户账户的集合，管理员通常通过组来对用户的权限进行设置从而简化了管理。

用户账户由一个账户名和一个密码来标识，二者都需要用户在登录时输入。账户名是用户的文本标签，密码则是用户的身份验证字符串，是在Windows Server 2016网络上的个人唯一标识。用户账户通过验证后登录到工作组或域内的计算机上，通过授权访问相关的资源，它也可以作为某些应用程序的服务账户。

账户名的命名规则如下。

● 账户名必须唯一，且不分大小写。

● 最多包含20个大小写字母和数字，输入时可超过20个字符，但只识别前20个字符。

● 不能使用保留字字符：”^[]：；|=，+＊？<>。

● 可以是字母和数字的组合。

● 不能与组名相同。

为了维护计算机的安全，每个账户必须有密码，设立密码应遵循以下规则。

● 必须为Administrator账户分配密码，防止未经授权就使用。

● 明确是管理员还是用户管理密码，最好用户管理自己的密码。

● 密码的长度为8～127个字符。如果网络包含运行Windows 95或Windows 98的计算机，应考虑使用不超过14个字符的密码。如果密码超过14个字符，则可能无法从运行Windows 95或Windows 98的计算机登录到网络。

● 使用不易猜出的字母组合，例如不要使用自己的名字、生日以及家庭成员的名字等。

● 密码可以使用大小写字母、数字和其他合法的字符。

4.1.2 用户账户类型

在前面我们已经了解到，工作组和域都是由一些计算机组成的，例如可以把企业的每个部门组织成一个域或者一个工作组，这种组织关系和物理上计算机之间的连接没有关系，仅仅是是逻辑意义上的。企业的网络中可以创建多个工作组和多个域，工作组和域之间的区别可以归结为以下三点。

1）创建方式不同：工作组可以由任何一个计算机的管理员来创建，用户在系统的“计算机名称更改”对话框中输入新的组名，重新启动计算机后就创建了一个新组，每一台计算机都有权利创建一个组；而域只能由域控制器来创建，然后才允许其他的计算机加入这个域。

2）安全机制不同：在域中有可以登录该域的账户，这些由域管理员来建立；在工作组中不存在工作组的账户，只有本机上的账户和密码。

3）登录方式不同：在工作组方式下，计算机启动后自动就在工作组中；登录域时要提交域用户名和密码，只有用户登录成功之后，才被赋予相应的权限。

Windows Server 2016提供了两种模式、四种类型的用户账户。

1.本地用户账户

本地用户账户对应工作组模式网络，建立在非域控制器的Windows Server独立服务器、成员服务器以及Windows 7/10等客户端。本地账户只能在本地计算机上登录，无法访问域中其他计算机资源。

本地计算机上都有一个管理账户数据的数据库，称为安全账户管理器（Security Accounts Manager，SAM）。SAM数据库文件路径为系统盘下\Windows\system32\config\SAM。在SAM中，每个账户被赋予唯一的安全识别号（Security Identifier，SID），用户要访问本地计算机，都需要经过该机SAM中的SID验证。本地的验证过程，都由创建本地账户的本地计算机完成，没有集中的网络管理。

注意

① 安全识别号在账号创建时就同时创建，一旦账号被删除，安全识别号也同时被删除。安全识别号是唯一的，即使是相同的用户名，在每次创建时获得的安全识别号都是完全不同的。因此，一旦某个账号被删除，它的安全识别号就不再存在了，即使用相同的用户名重建账号，也会被赋予不同的安全标识，不会保留原来的权限。

② SAM是Windows系统账户管理的核心，如果禁用此服务，系统将不能进行添加用户、修改用户密码等操作，还可以导致一些服务无法正确启动。

③ SAM数据库位于注册表HKLM\SAM\SAM下，受到ACL保护，可以使用regedt32.exe打开注册表编辑器并设置适当权限查看SAM中的内容。

④ SAM数据库中包含所有组、账户的信息，包括密码HASH、账户的SID等，SAM数据库在磁盘上就保存在系统\Windows\system32\config\SAM目录下，在这个目录下还包括一个security文件，是安全数据库的内容，和SAM数据库有不少关系。

2.域用户账户

域账户对应域模式网络，域账户和密码存储在域控制器上的Active Directory数据库中，域数据库的路径为域控制器中的系统盘下\Windows\NTDS\NTDS.DIT。因此，域账户和密码受域控制器集中管理。用户可以利用域账户和密码登录域，访问域内资源。域账户建立在Windows Server 2016域控制器上，域用户账户一旦建立，会自动被复制到同域中的其他域控制器上。复制完成后，域中的所有域控制器都能在用户登录时提供身份验证功能。

3.用户账户类型

Windows Server 2016常用到四种类型的账户，不同类型账户的权限也不大相同。

● Administrator账户：属于系统自建账户，拥有最高的权限，很多对系统的高级管理操作都需要使用该账户。系统管理员的默认名字是Administrator，可以更改系统管理员的名字，但不能删除该账户。该账户无法被禁止，永远不会到期，不受登录时间和只能使用指定计算机登录的限制。

● DefaultAccount账户：在安装完Windows后就会对计算机操作系统进行一些基本设置，如语言选项等，为预防开机自检阶段出现卡死等问题，微软专门设置了DefaultAccount账户。此账户默认情况下被禁用，一般不会影响用户的正常使用，如果用户不喜欢的话也可以删除此账户。

● Guest账户：也叫来宾账户，是为临时访问计算机的用户提供的，该账户自动生成，且不能被删除，可以更改名字。Guest只有很少的权限，默认情况下，该账户被禁止使用。例如，当希望网络中的用户都可以登录到自己的计算机，但又不愿意为每一个用户建立一个账户时，就可以启用Guest。

● 标准用户账户：用户自建账户默认情况下都属于管理员账户，可以根据实际需要创建多个用户账户，同时也可以在创建账户时选择该账户属于管理员还是标准用户。例如，在多人共用一台计算机的环境中，可以将部分权限受到限制的用户设置为标准用户账户，这样就能进行一些基础操作。

4.1.3 组的概念

有了用户账户之后，为了简化网络的管理工作，Windows Server中提供了用户组的概念。用户组就是指具有相同或者相似特性的用户集合，可以把组看作一个班级，用户便是班级里的学生。当要给一批用户分配同一个权限时，就可以将这些用户都归到一个组中，只要给这个组分配此权限，组内的用户就都会拥有此权限。就好像给一个班级发了一个通知，班级内的所有学生都会收到这个通知一样，组是为了方便管理用户的权限而设计的。

组是指本地计算机或Active Directory中的对象，包括用户、联系人、计算机和其他组。在Windows Server 2008中，通过组来管理用户和计算机对共享资源的访问。如果赋予某个组访问某个资源的权限，这个组的用户都会自动拥有该权限。例如，网络部的员工可能需要访问所有与网络相关的资源，这时不必逐个向该部门的员工授予对这些资源的访问权限，而是可以使员工成为网络部的成员，以使用户自动获得该组的权限。如果某个用户日后调往另一部门，只需将该用户从组中删除，所有访问权限即会随之撤销。与逐个撤销对各资源的访问权限相比，该技术比较容易实现。

组一般用于以下三个方面：①管理用户和计算机对共享资源的访问，如网络各项文件、目录和打印队列等；②筛选组策略；③创建电子邮件分配列表等。

Windows Server 2016同样使用唯一安全标识符SID来跟踪组，权限的设置都是通过SID进行的，而不是利用组名。更改任何一个组的账户名，并没有更改该组的SID，这意味着在删除组之后又重新创建该组，不能期望所有权限和特权都与以前相同，新的组将有一个新的安全标识符，旧组的所有权限和特权已经丢失。

在Windows Server 2016中，用组账户来表示组，用户只能通过用户账户登录计算机，不能通过组账户登录计算机。

4.1.4 组的类型和作用域

与用户账户一样，可以分别在为本地计算机和域中创建组账户。

1.本地组账户

可以在Windows Server 2016/2012/2008/2003/2000/NT独立服务器或成员服务器、Windows XP/7/10以及Windows NT Workstation等非域控制器的计算机上创建本地组。这些组账户的信息被存储在本地安全账户数据库（SAM）内。本地组只能在本地计算机中使用，它有两种类型：用户自建的组和系统内置的组（后面将详细介绍Windows Server 2016的内置组）。

2.域组账户

域组账户创建在Windows Server 2016的域控制器上，组账户的信息被存储在Active Directory数据库中，这些组能够被使用在整个域中的计算机上。

3.域组账户类型及分类

域组分类方法有很多，根据权限不同，组可以分为安全组和分布式组。

● 安全组：被用来设置组的权限，例如可以设置安全组对某个文件有读取的权限。

● 分布式组：用在与安全（与权限无关）无关的任务上，例如可以将电子邮件发送给分布式组。系统管理员无法设置分布式组的权限。

根据组的作用范围，Windows Server域内的组又分为通用组、全局组和本地域组，这些组的特点说明如下。

（1）通用组

可以指派所有域中的访问权限，以便访问每个域内的资源。具有如下的特性：①可以访问任何一个域内的资源；②成员能够包含整个域目录林中任何一个域内的用户、通用组、全局组，但无法包含任何一个域内的本地域组。

（2）全局组

主要用来组织用户，即可以将多个即将被赋予相同权限的用户账户加入同一个全局组中。具有如下的特性：①可以访问任何一个域内的资源；②成员只能包含与该组所在域相同的用户和其他全局组。

（3）本地域组

主要被用来指派在其所属域内的访问权限，以便可以访问该域内的资源，具有如下的特性：①只能访问同一域内的资源，无法访问其他域内的资源；②成员能够包含任何一个域内的用户、通用组、全局组以及同一个域内的域本地组，但无法包含其他域内的域本地组。