本地用户帐户
本地用户和组 Microsoft 管理控制台 (MMC) 管理单元中的用户资料夹显示默认的用户帐户以及您创建的用户帐户。这些默认的用户帐户是在安装作业系统时自动创建的。下表描述了显示在本地用户和组中的每个默认用户帐户。| 默认用户帐户 | 描述 |
|---|---|
| Administrator 账户 | 默认情况下,Administrator 帐户处于禁用状态,但也可以启用它。当它处于启用状态时,Administrator 帐户具有对计算机的完全控制许可权,并可以根据需要向用户分配用户权利和访问控制许可权。该帐户必须仅用于需要管理凭据的任务。强烈建议将此帐户设定为使用强密码。Administrator 帐户是计算机上管理员组的成员。永远也不可以从管理员组删除 Administrator 帐户,但可以重命名或禁用该帐户。由于大家都知道 Administrator 帐户存在于许多版本的 Windows 上,所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。重要 即使已禁用了 Administrator 帐户,仍然可以在安全模式下使用该帐户访问计算机。 |
Guest 帐户 | Guest 帐户由在这台计算机上没有实际帐户的人使用。如果某个用户的帐户已被禁用,但还未删除,那该用户也可以使用 Guest 帐户。Guest 帐户不需要密码。默认情况下,Guest 帐户是禁用的,但也可以启用它。可以像任何用户帐户一样设定 Guest 帐户的许可权。默认情况下,Guest 帐户是默认的 Guest 组的成员,该组允许用户登录计算机。其他权利及任何许可权都必须由管理员组的成员授予 Guests 组。默认情况下将禁用 Guest 帐户,并且建议将其保持禁用状态。 |
默认本地组
本地用户和组 Microsoft 管理控制台 (MMC) 中的组资料夹显示默认本地组以及您创建的本地组。默认本地组是在安装作业系统时自动创建的。如果一个用户属于某个本地组,则该用户就具有在本地计算机上执行各种任务的权利和能力。
可以向本地组添加本地用户帐户、域用户帐户、计算机帐户以及组帐户。
下表提供了对位于组资料夹中的默认组的描述。此表也列出了每个组的默认用户许可权。这些用户许可权是在本地安全策略中分配的。
| 组 | 描述 | 默认用户许可权 |
|---|---|---|
| Administrators | 此组的成员具有对计算机的完全控制许可权,并且他们可以根据需要向用户分配用户许可权和访问控制许可权。Administrator 帐户是此组的默认成员。当计算机加入域中时,Domain Admins 组会自动添加到此组中。因为此组可以完全控制计算机,所以向其中添加用户时特别谨慎。 | 从网路访问此计算机 调整进程的记忆体配额允许本地登录关闭系统备份档案和目录 跳过遍历检查更改系统时间更改时区创建页面档案创建全局对象创建符号连结调试程式提高日程安排的优先权 身份验证后模拟客户端从远程系统强制关机 装载和卸载设备驱动程式作为批处理作业登录 管理审核和安全日誌修改固件环境变数 执行卷维护任务配置单一进程配置系统性能从扩展坞中取出计算机 还原档案和目录允许通过远程桌面服务登录获得档案或其他对象的所有权 |
备份操作员 | 此组的成员可以备份和还原计算机上的档案,而不管保护这些档案的许可权如何。这是因为执行备份任务的权利要高于所有档案许可权。此组的成员无法更改安全设定。 | 从网路访问此计算机 允许本地登录备份档案和目录 跳过遍历检查作为批处理作业登录 还原档案和目录关闭系统 |
Cryptographic Operators | 已授权此组的成员执行加密操作。 | 没有默认的用户许可权 |
Distributed COM Users | 允许此组的成员在计算机上启动、激活和使用 DCOM 对象。 | |
Guests | 该组的成员拥有一个在登录时创建的临时配置档案,在注销时,此配置档案将被删除。来宾帐户(默认情况下已禁用)也是该组的默认成员。 | |
IIS_IUSRS | 这是 Internet 信息服务 (IIS) 使用的内置组。 | |
Network Configuration Operators | 该组的成员可以更改 TCP/IP 设定,并且可以更新和发布 TCP/IP 地址。该组中没有默认的成员。 | |
Performance Log Users | 该组的成员可以从本地计算机和远程客户端管理性能计数器、日誌和警报,而不用成为管理员组的成员。 | |
Performance Monitor Users | 该组的成员可以从本地计算机和远程客户端监视性能计数器,而不用成为管理员组或 Performance Log Users 组的成员。 | |
Power Users | 默认情况下,该组的成员拥有不高于标準用户帐户的用户许可权或许可权。在早期版本的 Windows 中,Power Users 组专门为用户提供特定的管理员权利和许可权执行常见的系统任务。在此版本 Windows 中,标準用户帐户具有执行最常见配置任务的能力,例如更改时区。对于需要与早期版本的 Windows 相同的 Power User 权利和许可权的旧应用程式,管理员可以套用一个安全模板,此模板可以启用 Power Users 组,以假设具有与早期版本的 Windows 相同的权利和许可权。 | |
Remote Desktop Users | 该组的成员可以远程登录计算机。 | 允许通过远程桌面服务登录 |
Replicator | 该组支持複製功能。Replicator 组的唯一成员应该是域用户帐户,用于登录域控制器的複製器服务。不能将实际用户的用户帐户添加到该组中。 | 没有默认的用户许可权 |
用户 | 该组的成员可以执行一些常见任务,例如运行应用程式、使用本地和网路印表机以及锁定计算机。该组的成员无法已分享资料夹或创建本地印表机。默认情况下,Domain Users、Authenticated Users 以及 Interactive 组是该组的成员。因此,在域中创建的任何用户帐户都将成为该组的成员。 | 从网路访问此计算机 允许本地登录跳过遍历检查更改时区增加进程工作集 从扩展坞中取出计算机关闭系统 |
提供远程协助帮助程式 | 该组的成员可以向此计算机用户提供远程协助。 | 没有默认的用户许可权 |
管理本地用户和组
管理本地用户帐户的档案
管理员可以使用主资料夹和文档资料夹将用户档案集中到一个位置。用户档案集中在一个位置简化了备份过程,并使访问控制管理更容易。主档案可以是本地资料夹,也可以是共享资源中的资料夹。可以将其分配给一个用户或多个用户。将主资料夹分配给一个用户后,它就成为该用户的“打开”和“另外储存为”对话框、命令提示符会话以及没有定义工作资料夹的所有程式的默认资料夹。
文档资料夹是主资料夹的备用资料夹,但它不会取代主资料夹。当用户试图保存或打开档案时,多数程式都以下面两种方式之一确定是使用主资料夹还是文档资料夹:
一些程式先在主资料夹中查找与要打开或保存的档案的类型(例如,*.doc 或 *.txt)匹配的档案。如果找到带匹配扩展名的档案,则程式将打开主资料夹而忽略文档资料夹。如果没有找到带匹配扩展名的档案,则程式将打开文档资料夹。
从命令行管理本地组
可以使用下表中的命令行工具管理本地组。
| 名称 | 描述 |
|---|---|
| net localgroup | 该命令用来添加、显示或修改本地组。 |
为什么您不应该以管理员身份运行计算机
以管理员组成员的身份运行计算机将使系统容易受到特洛伊木马及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附属档案的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附属档案可能有特洛伊木马代码,这些代码可以下载到系统并被执行。
如果以本地计算机的管理员身份登录,特洛伊木马可能使用管理访问权重新格式化您的硬碟,删除档案并创建新的用户帐户。
在本地计算机上,建议将域用户帐户仅添加到 Users 组(而非管理员组),以执行例行任务,包括运行程式和访问 Internet 站点。当需要在本地计算机上执行管理任务时,请通过管理凭据使用“以管理员身份运行”启动程式。
您可以使用“以管理员身份运行”完成管理任务,而不至将计算机置于不必要的风险中。
如果您需要执行其他管理任务,例如升级作业系统或配置系统参数,请先注销然后再以管理员身份登录。
用户帐户控制概述
用户帐户控制 (UAC) 是一种新的安全组件,使用户可以用非管理员身份(在此版本的 Windows 中称为“标準用户”)以及管理员身份执行常见任务,而无需切换用户、注销或使用“以管理员身份运行”命令。标準用户帐户与 Microsoft Windows(R) XP 中的用户帐户类似。作为本地管理员组成员的用户帐户以标準用户身份运行大多数应用程式。因为 UAC 在进行生产时将用户功能和管理员功能分隔开来,所以它是此版本的 Windows 的一个重要增强功能。
当管理员登录到运行此版本 Windows 的计算机时,将为该用户分配两个单独的访问令牌。Windows 使用访问令牌(包含用户的组成员身份、授权数据和访问控制数据)控制用户可以访问的资源和任务。在一些先前版本的 Windows(如 Windows XP)中,管理员帐户只接收到一个访问令牌,其中包含的数据可授予该用户访问所有 Windows 资源的许可权。此访问控制模型不包含任何故障保险检查,而故障保险检查可以确保用户真正执行需要他(或她)的管理访问令牌的任务。因此,恶意软体可以将其自身安装在计算机上,而不会通知用户。此过程通常称为“无提示”安装。因为用户是管理员,所以恶意软体可以使用管理员的访问控制数据感染核心作业系统档案。在某些情况下,恶意软体可能会变得几乎不可能被删除,而且可能会造成更多破坏。
此版本的 Windows 中的标準用户和管理员之间的主要区别在于他们对计算机有多少控制权。管理员可以更改系统状态、关闭防火墙、关闭策略、安装影响计算机上每个用户的服务或驱动程式等等。管理员可以为整台计算机安装软体。标準用户无法以这种方式更改系统状态。
本地用户和组的疑难解答
我接收到错误讯息“此系统的本地策略不允许您互动登录”,或者我无法从本地登录
原因:从本地登录到计算机的功能是由本地安全策略控制的。
解决方案:将用户帐户添加到 Users 本地组,或使用本地安全策略向特定用户或组分配允许在本地登录的许可权。
runas 命令运行失败。
原因:Secondary Logon 服务没有运行。
解决方案:启动 Secondary Logon 服务。
我无法登录到运行 Windows 95 或 Windows 98 的网路计算机。
原因:密码超过 14 个字元。
解决方案:创建新用户帐户或将密码更改为适用于 Windows 95 和 Windows 98 的不超过 14 个字元的密码。
我无法访问远程计算机上的计算机管理扩展管理单元
原因:远程计算机上没有运行远程注册表服务。
解决方案:确保在远程计算机上启动了远程注册表服务。在远程计算机上具有相应的许可权才能启动该服务。
