Windows用户和组、域
Windows用户
1、内置用户
内置用户:系统运行必须用到的服务。是默认的、自带的,且不可删除。(分类如下)
①Administrator:管理员账户(主人)
②Guest:来宾账户,权限非常小,连下载的文件保存不了。(客人)
在客户端上,这两个账户是默认禁用;在服务器版本上,管理员是默认禁用,guest是默认启用(可以手动解禁)。
2、系统用户
计算机服务组件相关的系统账号:(这个并不是真正账户/服务--判断方法:可否登录)(分类如下)
①system:系统账户(权限非常高)
②local services:本地服务账户(权限等于普通用户)
③network services:网络服务账户(权限等于普通用户)
services.msc:打开的窗口就是服务窗口,每一个服务都需要一个账户来管理。
3、创建用户
法一:图形化操作
使用lusrmgr.msc命令-->点击用户,并在空白地方右键新建用户(需设置成强密码)
法二:命令行操作
以管理员模式打开CMD(服务器版本可直接打开使用)-->如下
c:\windows\system32>net user Lin Aa123789/add 模板:net user 账户名密码/add //添加账户
命令成功完成。
c:\windows\system32>net user Lin / del 模板:net user账户名/del //删除账户
命令成功完成。
组
为什么会出现组这个概念:相同权限的用户都拉进个组里面,简化权限的赋予。实现多个不同类型的组实现分权,符合计算机的安全策略。
Windows系统为了给不同的用户赋予不同的权限,所以就内置了许多本地用户组,这些用户组本身都已经被赋予一些权限(permissions),它们具有管理本地计算机或访问本地资源的权限。只要用户账户加入到这些本地组内,这回用户账户也将具备该组所拥有的权限。
默认情况下,系统为用户分了7个组,并给每个组赋予不同的操作权限,管理员组(Administrators)、高权限用户组(Power Users)、普通用户组(Users)、备份操作组(Backup Operators)、文件复制组(Replicator)、来宾用户组(Guests),身份验证用户组(Authenticated users)。其中备份操作组和文件复制组为维护系统而设置,平时不会被使用。
打开组进行管理的图形化界面:输入命令lusrmgr.msc
1、基本用户组
(内置普通组)
①Administrators
属于该administrators本地组内的用户,都具备系统管理员的权限,它们拥有对这台计算机最大的控制权限【理论上最高权限是system这个账户,但是理论的,实际不可登入;则实际最高级别的账户就是Administrator】,可以执行整台计算机的管理任务。内置的系统管理员账号Administrator就是本地组的成员,而且无法将它从该组删除。如果这台计算机已加入域,则域的Domain Admins会自动地加入到该计算机的Administrators组内。也就是说,域上的系统管理员在这台计算机上也具备着系统管理员的权限。
②Backup Operators
在该组内的成员,不论它们是否有权访问这台计算机中的文件夹或文件,都可以通过“开始”-“所有程序”-“附件”-“系统工具”-“备份”的途径,备份与还原这些文件夹与文件。
③Guests
该组是提供没有用户帐户,但是需要访问本地计算机内资源的用户使用,该组的成员无法永久地改变其桌面的工作环境。该组最常见的默认成员为用户帐号Guest。
④Network Configuration Operators
该组内的用户可以在客户端执行一般的网络设置任务,例如更改IP地址,但是不可以安装/删除驱动程序与服务,也不可以执行与网络服务器设置有关的任务,例如DNS服务器、DHCP服务器的设置。
⑤Power Users
该组内的用户具备比Users组更多的权利,但是比Administrators组拥有的权利更少一些,例如,可以:创建、删除、更改本地用户帐户;创建、删除、管理本地计算机内的共享文件夹与共享打印机;自定义系统设置,例如更改计算机时间、关闭计算机等。但是不可以更改Administrators与Backup Operators、无法夺取文件的所有权、无法备份与还原文件、无法安装删除与删除设备驱动程序、无法管理安全与审核日志。
⑥Remote Desktop Users
该组的成员可以通过远程计算机登录,例如,利用终端服务器从远程计算机登录。
⑦Users
该组员只拥有一些基本的权利,例如运行应用程序,但是他们不能修改操作系统的设置、不能更改其它用户的数据、不能关闭服务器级的计算机。所有添加的本地用户帐户者自动属于该组。如果这台计算机已经加入域,则域的Domain Users会自动地被加入到该计算机的Users组中。
2、内置特殊组
①Everyone
任何一个用户都属于这个组。注意,如果Guest帐号被启用时,则给Everyone这个组指派权限时必须小心,因为当一个没有帐户的用户连接计算机时,他被允许自动利用Guest帐户连接,但是因为Guest也是属于Everyone组,所以他将具备Everyone所拥有的权限。
②Authenticated Users
任何一个利用有效的用户帐户连接的用户都属于这个组。建议在设置权限时,尽量针对Authenticated Users组进行设置,而不要针对Everyone进行设置。
③Interactive
任何在本地登录的用户都属于这个组。
④Network
任何通过网络连接此计算机的用户都属于这个组。
⑤Creator Owner
文件夹、文件或打印文件等资源的创建者,就是该资源的Creator Owner(创建所有者)。不过,如果创建者是属于Administrators组内的成员,则其Creator Owner为Administrators组。
⑥Anonymous Logon
任何未利用有效的Windows Server 2003帐户连接的用户,都属于这个组。注意,在windows 2003内,Everone 组内并不包含“Anonymous Logon”组。
3、备注
用户名 LOCAL SERVICE 、 NETWORK SERVICE 、SYSTEM是系统用户,是系统自带的而不是病毒或入侵,都是正常的用户。注册表中的 BUILTIN 是 built in 的意思,表示内建帐户,属正常。
4、组的作用
组的作用是简化权限的赋予。
赋权限的方式:用户-->组-->赋权限用户-->赋枫限
域
内网的环境/基础
1、工作组(work gorup)
在工作组模式的网络中,各服务器都是独立的,而且各服务器中的帐户和资源也是各自进行管理的。所以,管理员需要为每台服务器建立帐户,在管理时也需要分别登录各服务器完成管理工作。授权用户访问不同的服务器时,也需要分别登录。
2、域(Domain)
在域模式的网络中,服务器集中进行管理,域中的帐户和资源也是集中管理的。所以,管理员登录到服务器后就可以管理整个域并可以访问所有共享资源。在域模式的网络中,需要一个对帐户和资源进行统一管理的机制,这个机制就是活动目录(Active Directory)。域中所有的帐户和共享资源都需要在活动目录中进行登记(所以可以在活动目录当中看共享资源),用户可以利用活动目录查找和使用这些资源。基于域模式的网络可大大减轻管理的复杂度和工作量,通常用于结构较复杂的网络。
3、域与工作组的关系
在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。登陆到域中的时候,身份验证是采用Kerberos协议在域控制器上进行的,登陆到此计算机则是通过SAM来进行NTLM验证的。一台电脑要么属于工作组要么属于域,两者对立存在。
4、域控制器
域控制器(Domain Controller,简写为DC)
是一台安装并运行Active Directory的服务器,它管理用户和域交互之间的所有安全相关方面,集中安全性和管理。一个域可以有一个或多个域控制器,各域控制器间地位平等,管理员可以在任一台域控制器上更新域中的信息,更新的信息会自动传递到网络中的其他域控制器中。(老大-不止一个)
域控的部署---->实验当中有(完整)
5、活动目录
活动目录AD(Active Directory)
域内所有的计算机共享一个集中式的目录数据库(又称为活动目录数据库),它包含着整个域内的对象(用户账户、计算机账户、打印机、共享文件等)和安全信息等等,而活动目录负责目录数据库的添加,修改,更新和删除。所以我们要在Windows Server 2003上实现域环境,其实就是要安装活动目录。活动目录为我们实现了目录服务,提供对企业网络环境的集中式管理。(管理)
6、其他概念(考)
域能实现文件的共享,集中统一,便于管理。
域是windows网络中独立运行的基本单位,域之间相互访问则需要建立信任关系,域有安全边界的作用。
域既是windows网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在window操作系统中,域是安全边界。
域是共享用户账号,计算机账号和安全策略的计算机集合。
7、域/域树/域林/林根域
(1)域是一种管理单元,也是一个管理边界在同一个域内共享某些功能和参数;一个域可以有多台域控制器如domain1.com/A.domain1.com/domain2.com分别代表三个独立的域。
(2)域树是指基于在DNS命名空间,如果一个域是另一个域的子域,那么这两个域可以组成一个域树,例如domain1.com/A.domain1.com组成一个域树,domain2.com/A.domain2.com组成—个域树。
(3)域林是指一个或多个不连续DNS名的域(树)的集合;例如上图中的domain1.com/domain2.com/domain3.com组成一个域林。
(4)域林中的第一个被创建的域,称之为林根域。
8、DNS与域的关系
DNS服务器对域来说不可或缺。域中的计算机使用DNS域名,DNS需费为域中的计算机提供域名解服务。
域中的计算机需要利用DNS提供的SRV记录来定位域控制器。
9、DNS对AD域的作用
名称解析:1.DNS将计算机名称转换为IP地址2.计算机使用DNS在网络上相互定位
Windows 2000/2003/2008域的名称:Windows 2000/2003/2008使用DNS命名标准。DNS域和活动自录的域使用共同的名称层析结构。
定位活动目录的物理组件:DNS使用域控制器提供的服务。域中计算机使用DNS来定位域控制器和全局编录。
10、AD域与工作组的区别
管理模式:工作组实现的是分散的管理模式,每一台计算机都是独自自主的;域实现的是主/从管理模式,通过一台域控制器集中管理域内用户帐导和权限。
资源访问:在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作。
管理模式:域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。工作组只是进行本地电脑的信息与安全的认证。
11、域的信任关系
由于域控制器的作用,域内的用户是不能够跨段进行访问的,如果一定要进行跨段访问,则需要在两个域之间建立信任关系。域与域之间具有一定的信任关系,域信任关系使得一个域中的用户可由另一域中的域控制器进行验证,才能使一个域中的用户访问另一个域中的资源。
域的信任关系---->信任关系域---->被信任关系域
信任关系域的作用:允许一个域内的用户能够访问。
12、组策略
意义:方便管理AD中用户和计算机的工作环境
1.用户桌面环境
2.计算机启动/关机与用户登录/注销时所执行的脚本文件
3.软件分发
4.安全设置
组策略的作用:组策略不适用于早期的Windows操作系统,如Windows 9x/NT,那时使用的是“系统策略”。组策略是系统策略的更高级扩展,它是由Windows 9x/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能。
13、域账号登录成员机的过程
使用域账号进行登录---->成员机检查本地没有这个账号,如果没有则成员机向DNS服务器解析DC的IP---->向DC汇报有人想要进行登录,将账号密码发送给DC---->DC在AD里面找有没有这个账号,有就返回可以登录的指示Access Key,这时候成员机接到Access Key就会让它登录并且在C:\user里面为a账号创建家目录和配置文件---->登陆成功后成员机会问DC还有什么要求,DC查询AD将组策略发给成员机---->成员机按照组策略来加载一些特定要求,例如:强制成员机有特定桌面壁纸,不能更改等。
14、域控配置
服务器:
1,安装AD域服务2.设置静态IP地址,并将DNS指向域控3.添加域内用户
客户端:
1,设置静态IP地址,并将DNS指向域控2.把用户加入域
