4.1 知识导航——用户与组的概念
4.1.1 用户账户概念
在计算机网络中,计算机的服务对象是用户,用户通过账户访问计算机资源,所以用户也就是账户。所谓用户的管理也就是账户的管理。每个用户都需要有一个账户,以便登录到域访问网络资源或登录到某台计算机访问该机上的资源。组是用户账户的集合,管理员通常通过组来对用户的权限进行设置从而简化了管理。
用户账户由一个账户名和一个密码来标识,二者都需要用户在登录时输入。账户名是用户的文本标签,密码则是用户的身份验证字符串,是在Windows Server 2016网络上的个人唯一标识。用户账户通过验证后登录到工作组或域内的计算机上,通过授权访问相关的资源,它也可以作为某些应用程序的服务账户。
账户名的命名规则如下。
● 账户名必须唯一,且不分大小写。
● 最多包含20个大小写字母和数字,输入时可超过20个字符,但只识别前20个字符。
● 不能使用保留字字符:”^[]:;|=,+*?<>。
● 可以是字母和数字的组合。
● 不能与组名相同。
为了维护计算机的安全,每个账户必须有密码,设立密码应遵循以下规则。
● 必须为Administrator账户分配密码,防止未经授权就使用。
● 明确是管理员还是用户管理密码,最好用户管理自己的密码。
● 密码的长度为8~127个字符。如果网络包含运行Windows 95或Windows 98的计算机,应考虑使用不超过14个字符的密码。如果密码超过14个字符,则可能无法从运行Windows 95或Windows 98的计算机登录到网络。
● 使用不易猜出的字母组合,例如不要使用自己的名字、生日以及家庭成员的名字等。
● 密码可以使用大小写字母、数字和其他合法的字符。
4.1.2 用户账户类型
在前面我们已经了解到,工作组和域都是由一些计算机组成的,例如可以把企业的每个部门组织成一个域或者一个工作组,这种组织关系和物理上计算机之间的连接没有关系,仅仅是是逻辑意义上的。企业的网络中可以创建多个工作组和多个域,工作组和域之间的区别可以归结为以下三点。
1)创建方式不同:工作组可以由任何一个计算机的管理员来创建,用户在系统的“计算机名称更改”对话框中输入新的组名,重新启动计算机后就创建了一个新组,每一台计算机都有权利创建一个组;而域只能由域控制器来创建,然后才允许其他的计算机加入这个域。
2)安全机制不同:在域中有可以登录该域的账户,这些由域管理员来建立;在工作组中不存在工作组的账户,只有本机上的账户和密码。
3)登录方式不同:在工作组方式下,计算机启动后自动就在工作组中;登录域时要提交域用户名和密码,只有用户登录成功之后,才被赋予相应的权限。
Windows Server 2016提供了两种模式、四种类型的用户账户。
1.本地用户账户
本地用户账户对应工作组模式网络,建立在非域控制器的Windows Server独立服务器、成员服务器以及Windows 7/10等客户端。本地账户只能在本地计算机上登录,无法访问域中其他计算机资源。
本地计算机上都有一个管理账户数据的数据库,称为安全账户管理器(Security Accounts Manager,SAM)。SAM数据库文件路径为系统盘下\Windows\system32\config\SAM。在SAM中,每个账户被赋予唯一的安全识别号(Security Identifier,SID),用户要访问本地计算机,都需要经过该机SAM中的SID验证。本地的验证过程,都由创建本地账户的本地计算机完成,没有集中的网络管理。
注意
① 安全识别号在账号创建时就同时创建,一旦账号被删除,安全识别号也同时被删除。安全识别号是唯一的,即使是相同的用户名,在每次创建时获得的安全识别号都是完全不同的。因此,一旦某个账号被删除,它的安全识别号就不再存在了,即使用相同的用户名重建账号,也会被赋予不同的安全标识,不会保留原来的权限。
② SAM是Windows系统账户管理的核心,如果禁用此服务,系统将不能进行添加用户、修改用户密码等操作,还可以导致一些服务无法正确启动。
③ SAM数据库位于注册表HKLM\SAM\SAM下,受到ACL保护,可以使用regedt32.exe打开注册表编辑器并设置适当权限查看SAM中的内容。
④ SAM数据库中包含所有组、账户的信息,包括密码HASH、账户的SID等,SAM数据库在磁盘上就保存在系统\Windows\system32\config\SAM目录下,在这个目录下还包括一个security文件,是安全数据库的内容,和SAM数据库有不少关系。
2.域用户账户
域账户对应域模式网络,域账户和密码存储在域控制器上的Active Directory数据库中,域数据库的路径为域控制器中的系统盘下\Windows\NTDS\NTDS.DIT。因此,域账户和密码受域控制器集中管理。用户可以利用域账户和密码登录域,访问域内资源。域账户建立在Windows Server 2016域控制器上,域用户账户一旦建立,会自动被复制到同域中的其他域控制器上。复制完成后,域中的所有域控制器都能在用户登录时提供身份验证功能。
3.用户账户类型
Windows Server 2016常用到四种类型的账户,不同类型账户的权限也不大相同。
● Administrator账户:属于系统自建账户,拥有最高的权限,很多对系统的高级管理操作都需要使用该账户。系统管理员的默认名字是Administrator,可以更改系统管理员的名字,但不能删除该账户。该账户无法被禁止,永远不会到期,不受登录时间和只能使用指定计算机登录的限制。
● DefaultAccount账户:在安装完Windows后就会对计算机操作系统进行一些基本设置,如语言选项等,为预防开机自检阶段出现卡死等问题,微软专门设置了DefaultAccount账户。此账户默认情况下被禁用,一般不会影响用户的正常使用,如果用户不喜欢的话也可以删除此账户。
● Guest账户:也叫来宾账户,是为临时访问计算机的用户提供的,该账户自动生成,且不能被删除,可以更改名字。Guest只有很少的权限,默认情况下,该账户被禁止使用。例如,当希望网络中的用户都可以登录到自己的计算机,但又不愿意为每一个用户建立一个账户时,就可以启用Guest。
● 标准用户账户:用户自建账户默认情况下都属于管理员账户,可以根据实际需要创建多个用户账户,同时也可以在创建账户时选择该账户属于管理员还是标准用户。例如,在多人共用一台计算机的环境中,可以将部分权限受到限制的用户设置为标准用户账户,这样就能进行一些基础操作。
4.1.3 组的概念
有了用户账户之后,为了简化网络的管理工作,Windows Server中提供了用户组的概念。用户组就是指具有相同或者相似特性的用户集合,可以把组看作一个班级,用户便是班级里的学生。当要给一批用户分配同一个权限时,就可以将这些用户都归到一个组中,只要给这个组分配此权限,组内的用户就都会拥有此权限。就好像给一个班级发了一个通知,班级内的所有学生都会收到这个通知一样,组是为了方便管理用户的权限而设计的。
组是指本地计算机或Active Directory中的对象,包括用户、联系人、计算机和其他组。在Windows Server 2008中,通过组来管理用户和计算机对共享资源的访问。如果赋予某个组访问某个资源的权限,这个组的用户都会自动拥有该权限。例如,网络部的员工可能需要访问所有与网络相关的资源,这时不必逐个向该部门的员工授予对这些资源的访问权限,而是可以使员工成为网络部的成员,以使用户自动获得该组的权限。如果某个用户日后调往另一部门,只需将该用户从组中删除,所有访问权限即会随之撤销。与逐个撤销对各资源的访问权限相比,该技术比较容易实现。
组一般用于以下三个方面:①管理用户和计算机对共享资源的访问,如网络各项文件、目录和打印队列等;②筛选组策略;③创建电子邮件分配列表等。
Windows Server 2016同样使用唯一安全标识符SID来跟踪组,权限的设置都是通过SID进行的,而不是利用组名。更改任何一个组的账户名,并没有更改该组的SID,这意味着在删除组之后又重新创建该组,不能期望所有权限和特权都与以前相同,新的组将有一个新的安全标识符,旧组的所有权限和特权已经丢失。
在Windows Server 2016中,用组账户来表示组,用户只能通过用户账户登录计算机,不能通过组账户登录计算机。
4.1.4 组的类型和作用域
与用户账户一样,可以分别在为本地计算机和域中创建组账户。
1.本地组账户
可以在Windows Server 2016/2012/2008/2003/2000/NT独立服务器或成员服务器、Windows XP/7/10以及Windows NT Workstation等非域控制器的计算机上创建本地组。这些组账户的信息被存储在本地安全账户数据库(SAM)内。本地组只能在本地计算机中使用,它有两种类型:用户自建的组和系统内置的组(后面将详细介绍Windows Server 2016的内置组)。
2.域组账户
域组账户创建在Windows Server 2016的域控制器上,组账户的信息被存储在Active Directory数据库中,这些组能够被使用在整个域中的计算机上。
3.域组账户类型及分类
域组分类方法有很多,根据权限不同,组可以分为安全组和分布式组。
● 安全组:被用来设置组的权限,例如可以设置安全组对某个文件有读取的权限。
● 分布式组:用在与安全(与权限无关)无关的任务上,例如可以将电子邮件发送给分布式组。系统管理员无法设置分布式组的权限。
根据组的作用范围,Windows Server域内的组又分为通用组、全局组和本地域组,这些组的特点说明如下。
(1)通用组
可以指派所有域中的访问权限,以便访问每个域内的资源。具有如下的特性:①可以访问任何一个域内的资源;②成员能够包含整个域目录林中任何一个域内的用户、通用组、全局组,但无法包含任何一个域内的本地域组。
(2)全局组
主要用来组织用户,即可以将多个即将被赋予相同权限的用户账户加入同一个全局组中。具有如下的特性:①可以访问任何一个域内的资源;②成员只能包含与该组所在域相同的用户和其他全局组。
(3)本地域组
主要被用来指派在其所属域内的访问权限,以便可以访问该域内的资源,具有如下的特性:①只能访问同一域内的资源,无法访问其他域内的资源;②成员能够包含任何一个域内的用户、通用组、全局组以及同一个域内的域本地组,但无法包含其他域内的域本地组。