[解析] 用户账户Account是用户在本机或网络上的标识。为了整个系统的安全与提供良好的服务,每个用户都有自己的账户,并被赋予使用相应资源的权限及许可。为了权限分配的便利,可将多个用户加入组中,从而简化管理。
(1)Windows Server 2003用户和组概述
用户的权限是为用户设置的,存储在系统中,在用户登录系统时生效。用户的许可是对资源设置,存储在资源的访问控制列表(ACL)中,不需要用户重新登录就会生效。
通过对账号的管理,实现对资源的访问权限的管理。系统内部使用安全标识符(Security Identifier,SID)识别用户身份,每个用户账户都对应一个唯一的SID,这个SID在用户账户创建时由系统自动产生。用户账号的管理由管理员完成,而管理员也是计算机的用户,是具有管理权限的用户账户。除了单独设置个人账户之外,也可以使用组将一些用户账户集中起来,通过更改组的属性,从而影响组中的每个成员,这样既能增加管理的弹性,也可以减少修改用户属性带来的麻烦。
Windows Server 2003是一个可建立多个域、可供多人使用的操作系统,既可以作为域控制器,也可以作为成员服务器或独立服务器。在进一步了解Windows Server 2003中用户和组的知识之前,有必要先了解安装有Windows Server 2003的计算机所扮演的角色。
如果计算机是在某个域中作为服务器使用,那么它具有1至2个角色:域控制器或成员服务器。
域控制器建立在网络的基础上,是安装有活动目录的计算机。用户依靠这些域控制器来物理地存储活动目录和账户。域控制器主要负责管理用户对网络的各种权限,包括登录网络、账号的身份验证以及访问目录和共享资源等。
成员服务器是运行Windows Server 2003的计算机是域的成员,但不是域控制器。因为它不是域控制器,所以成员服务器不处理与账户相关的信息,如登入网络、身份验证等,不需要安装活动目录,不参与活动目录复制,不存储域安全策略信息。成员服务器具有一套与安全性相关的公用功能,遵循为站点、域或组织单位定义的组策略设置。成员服务器一般用作以下类型的服务器:文件服务器、应用服务器、数据库服务器、Web服务器、证书服务器、防火墙、远程访问服务器等。
虽然运行有Windows Server 2003操作系统,但是如果不加入域,不作为域成员的计算机,称其为独立服务器。独立服务器是一台具有独立操作功能的计算机,在此计算机上不再提供其他用户的账号信息,也不提供登录网络的身份验证等工作。如果Windows Server 2003作为工作组成员安装,则该服务器是独立的服务器。独立服务器可与网络上的其他计算机共享资源,但是它们不接受活动目录所提供的任何好处。
要把成员服务器与独立服务器区分开,成员服务器就是加入到域里并提供一定服务的服务器,成员服务器是域的成员,虽然它不处理与账号相关的信息,也不存储与系统安全策略相关的信息,但在成员服务器上可以为用户或组设置访问权限,允许用户连接到该服务器并使用相应的资源。成员服务器就像一个独立服务器,在该服务器上也有它们自己的本地账户数据库,即安全账户管理器(SAM),同时它们又具有附加的能力以增强对象的安全性,这些对象是按照保存在域中的安全规则存储在域内的。
根据计算机所扮演的角色的不同,Windows Server 2003提供3种不同类型的用户账户,即域用户账户(Domain User Account)、本地用户账户(Local User Account)和内建用户账户(Built-in Account)。
域用户账户存在于活动目录中,可以登录到域上,用于访问网络资源,因此域用户账户的权限比本地用户账户权限大。当在域控制器的活动目录数据库的组织单位(OU)中建立域用户账户之后,域控制器会将该用户信息复制到其他的域控制器中。通常,将域用户账号信息复制到其他的域控制器需要花一点时间,在这段期间内用户可能无法登录,但当复制完成后,所有的域控制器都可以在用户登录期间对用户进行验证。
本地用户账户是指在本地建立的用户账户,存在于独立服务器和Professional上。本地账户具有使用本地资源的权限。当建立一个本地用户账户时,Windows 2003会在本地的计算机安全数据库中建立该用户账户的信息,并存在于本地账户数据库(Security Account Manager,SAM)中,但不会将该信息复制到域控制器中。本地安全数据库是由用户名和密码构成的简单数据库。一旦本地用户账户建立,本地计算机就会用这个本地安全数据库来验证用户登录,如果符合,就会允许用户登录。
内建用户账户是在Windows 2000、Windows XP及Windows Server 2003中的一类在安装时创建的用户账户,通常可以改名,但不能被删除,可以用它来完成管理工作或者访问网络资源。所有运行Windows 2000、Windows XP及Windows Server 2003的计算机都具有两类内建的用户账户:Administrator与Guest。
1)Administrator账户
可以对本地计算机进行管理工作,提供对操作系统所有特性的管理性访问,可以赋予自己任何权限,该账户为初次安装Windows 2003 Server系统后的预设系统管理员,具有无上的权利,须妥善保护。该账户可对整个域或计算机进行设置,例如,建立用户账号与组、建立打印机、分配资源等。该账户可以更名,但无法删除。为了安全起见,进入系统后应将Administrator更名。
2)Guest账户
为临时用户提供对网络资源访问的权利,该账户作为偶尔需要使用域用户权力存取资源的人暂时使用。该账号也不能删除,但可以更名与禁用。在预设的情况下,Guest账户是停用的,如果需要,可以自行启动该账户,但除非用户对网络安全的需求不高,否则不会建议启用Guest账户。在某些情况下,如把Windows 2003服务器当成文件服务器使用,如果给每个人都设置一个账户,操作就非常麻烦,这时可以使用Windows Server 2003中提供的Guest账户,供在这台服务器上没有账号的用户(访客)临时使用而设置,不过只有少部分的权限。当用户在基于网络的计算机上没有合法账户时,启用Guest账户,可以登录Windows 2003服务器、浏览共享文件夹等。
Windows的组(Group)是用户账户的集合,组也可以被赋予对资源的访问权限及许可,组内的用户账户会获得组被赋予的相应的所有权限及许可。用户可以同时属于多个组,并获得多个组所拥有的优先权。作为系统管理员,可以创建用户,把用户放置到组并授权给组。因为计算机的角色不同,既有本地组,也有存在于活动目录中的组。同样,当将Windows Server 2003安装成独立服务器或成员服务器时,也拥有内建的本地组(Local Group)。内建的本地组提供了在单一的计算机上执行系统丁作的权力。
(2)Windows Server 2003本地用户和本地组
正如前面所提到的,普通账户是本机建立的用户,账户,域账户是域服务器上由管理员分配的账户。普通用户在本机登录,不能访问域上的资源,域账户受域的权限管理,也可以访问本机上的资源。域账户可以在域内任何一台计算机上登录,普通用户则不行。起着独立服务器作用的Windows Server 2003及Windows工作站只有本地的用户账户,这些本地账户没有存储在活动目录中,而是存储在创建该账户的独立服务器、成员服务器或Windows工作站上的本地安全数据库中。
在系统安装之后,独立的Windows Server 2003就会自动生成几个内置的用户账户。按默认设置,Windows Server 2003创建的两个账户是Administrator和Guest。在安装Windows Server 2003的过程中,当安装程序要求输入系统管理员的密码时,就已经创建了Administrator,在安装过程中不要求输入Guest的密码,因为它没有密码。本地账户没有以下选项:登录时间(Logon Hours)、登录机器、账户过期(Account Expire)。
“本地用户和组”位于“计算机管理”中,用户,可以利用这一管理工具来管理单台本地或远程计算机,可以使用“本地用户和组”保护并管理存储在本地计算机上的用户账户和组,也可以在特定计算机和仅这台计算机上分配本地用户或组账户的权限和权利,如图所示。
(3)Windows Server 2003本地组管理
组(Group)是用户账户的集合,组会被赋予对资源的访问权限及许可。当用户较多时,需要设置的存取权限也就特别复杂。如果能利用组的特性,则会收到事半功倍之效。我们知道,组可分为本地组(Local Group)和域上的组,小地组存在于本地的安全账户数据库,可被赋予对本地资源的访问许可。域控制器上没有本地组,域上的组存在于活动目录中,可用于赋予对网上资源的访问权限。处于独立模式的Windows Server 2003中的组是本地组。本地组是一个用户库,库中的用户分配有特定的权限。本地组就像本地用户账户一样,本地组只对创建它们的机器有用。只有在该特定机器上定义的用户账户才可能是本地组的成员。因此,本地组不包括其他机器上的用户,并且不能够把本地组进行嵌套(把本地组放置在其他本地组之内)。删除组后组内的成员不被删除。
本地组有以下两种风格。
1)用户定义的组:这是系统管理员创建的用来存储特定用户的组。
2)内置组:根据安装时的选项,这些组会由系统自动创建。这些内置组是特定的,它们的成员身份被授予了特殊的系统优先权。当把一个或多个用户添加到这些内置组之后,这些用户就会立刻获得该组的优先权。组内成员身份及其优先权起作用之前,用户必须注销并重新登录。Windows 2003为系统内建的组赋了权限,如本地登录、改变系统时间、关闭系统等。
独立服务器上的内置组如图所示。
1)Administrators:系统管理员组。该组的成员具有对服务器的完全控制权限,并且可以根据需要向用户指派用户权利和访问控制权限。管理员账户也是默认成员。当该服务器加入域中时,Domain Admins组会自动添加到该组中。由于该组可以完全控制服务器,所以向该组添加用户时请谨慎。该组的默认用户权力为:从网络访问此计算机,调整某个进程的内存配额,允许本地登录,允许通过终端服务臀录,备份文件和目录,忽略遍历检查,更改系统时间,创建页面文件,调试程序,从远程系统强制关机,提高调度优先级,加载和卸载设备驱动程序,管理审核和安全日志等。
2)Backup Operators:备份操作员组。这个组的成员具有绕过常规文件安全性,并能够执行备份操作的权限。通常,备份程序把它们自定义的用户账户放置在这里。该组的成员可使用Windows备份工具来进行备份或还原的工作,但只能因为备份或还原文件的因素才能覆盖安全性限制。此外,该组的成员还具有从网络访问此计算机,允许本地登录,关闭系统的权力。
3)Everyone:所有的用户。这个计算机上的所有用户都属于这个组。
4)Users:普通用户所在的组。在创建了新的用户时,他们就会自动被放置在这个组中。Users组的成员没有被授予特殊的权限,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users组提供了一个最安全的程序运行环境,是最安全的组。Users组可对系统使用基本权力,如运行程序、使用网络、关闭工作站、忽略遍历检查等,但不能关闭服务器。Users组不能创建共享目录,不能创建本地打印机,不能安装能让其他人使用的软件。在计算机加入一个域之后,域上的Domain Users会自动被加入该计算机的Users之中。另外,Users可以创建本地组,但只能修改自己创建的本地组。
5)Guests:来宾组。这是从LAN Manager时代遗留来的。如果可能,应避免使用这个组。来宾组成员跟普通组Users的成员有同等访问权,但来宾账户的限制更多。该组的成员只能享有管理员授权的权限以及存取指定权限的资源。来宾账户(默认情况下已禁用)是该组的默认成员。该组的成员拥有一个在登录时创建的临时配置文件,在注销时,该配置文件将被删除。在计算机加入一个域之后,域上的Domain Guests会自动被加入该计算机的Guests中。
6)Power Users:高级用户组,Power Users可以执行除了为Administrators组保留的任务外的其他任何操作系统任务。在权限设置中,这个组的权限是仅次于Administrators的。该组的成员可以新建、删除、修改本地用户账户,并且拥有管理本地共享文件夹与打印机的权力。分配给:Power Users组的默认权限是允许Power Users组的成员修改整个计算机的设置,但Power Users不具有将自己添加到Administrators组的权限。这个组中的用户有能力创建本地用户账户,但他们只能够删除自己创建的账户。另外,Power Users可以修改桌面设置。在非域控制器上,可以进行基本的系统管理工作,如共享本地文件夹、服务的管理、打印机的管理、本地用户的管理以及安装不修改注册表的软件。注意:它不能修改的组是Administrators和Backup Operators。