目录
在Windows系统中,每当用户需要登录到系统时就需要对用户进行身份验证;而验证用户身份的前提就是需要拥有一个记录用户身份信息的数据库;在Windows中有两种用户,分别是本地用户账号和域用户账号;在本地用户账号中,用户的身份信息存放在SAM数据库中,由于每一台计算机都是相互独立的,在管理上就显得十分困难;而在加入域的计算机中,所有的域用户账号都存放在DC的活动目录数据库中,但是加入域的计算机同样也有存放在SAM数据库的本地账号;用户可以登录到域,也可以登录到本地;这样就便于对其进行管理
本地用户目录:C:\Windows\System32\config中SAM文件
域用户目录:C:\Windows\NTDS中的ntds.dit文件中
注:在如果这一台计算机是域控制器,那么该计算机没有本地用户账号;
创建用户:net user zhangsan 123.com /add
删除用户:net user zhangsan 123.com /del
修改密码:net user zhangsan passwd1!
注:在创建用户密码时候必须要满足密码复杂性要求
密码复杂性要求:1、大写字母、小写字母、数字、特殊字符4个满足三个
2、长度>=7
关于域中的用户密码策略:
1、如果针对OU配置密码策略,最终生效的不是当前OU中的域账号,而是OU中的计算机对象的本地用户策略(意思就是说如果只是在相应组织架构或者目录中的用户配置密码策略,只是对当中用户计算机的本地组策略做出了改变)
2、如果配置域用户账号密码策略,只能在域级别上配置密码策略
一个关于密码访问资源的案例:实现计算机互相访问
步骤:
1、配置两台计算机IP地址
2、Server机上创建共享文件夹
用户访问共享文件夹身份验证的流程:
1、使用当前的用户名和密码尝试与对方建立连接
2、使用Guest和空密码尝试与对方建立连接
3、跳出窗体进行身份验证
问题
问题1:为什么新创建的用户可以访问计算机中所有的数据?
因为新创建的用户默认属于users组,users组默认具有对计算机文件的读取权限
问题2:system账号有什么用处?
System用户指的是系统本身,是windows平台权限最大的用户;这个用户不允许登录操作系统,用户如果指定了计算机策略,默认情况下是以system账号在每个客户端来执行
在计算机系统中,用户配置文件记录了每个用户在操作计算机时所作的一些个性化数据;例如桌面数据、我的文档数据、IE中的一些数据。每当用户在登录计算机的时候,系统会用与登录名称一样的配置文件来初始化自己的操作环境。Windows中有三种用户配置文件,分别是本地用户配置文件、漫游用户配置文件、强制漫游用户配置文件。
本地用户配置文件:每个用户的配置文件只记录在当前所登录的计算机中,更换登录的计算机之前的用户配置文件即丢失(系统默认)
漫游用户配置文件:用户无论在哪一台计算机上登录系统,都会同步用户的配置文件(必须处于域环境才可以)
强制漫游用户配置文件:基于漫游用户配置文件,即每个用户的漫游文件都是固定的;即使用户做出了修改,也不会同步更新
1、首先,将两台计算机加入到域中
2、在域中新建账号zhangsan,新建一个所有用户可以读写的公共文件夹Public;用于存放用户的配置文件信息
3、选择在域中创建的账号,在属性中选择配置文件:\\域控制器计算机全名\公共文件夹名\%userName%
4、使用创建的用户zhangsan登录到域中,查看用户的漫游配置文件:右键选择计算机 - 属性 - 高级系统设置 - 用户配置文件
5、在桌面创建几个文件,创建完成之后注销系统
6、在另一台计算机上使用相同的账号zhangsan登录系统,用户配置文件漫游成功
原理:当在域环境中设置用户配置文件属性时,用户在系统中所做的修改都会被记录在域控制器上创建的公共文件夹中;当用户在其他计算机上登录系统时系统首先会根据用户名,在域控制器上的公共文件夹中检查与之对应的用户配置文件。在登录系统的时候,初始化这些用户配置文件并将其加载
由于微软在强制漫游这块的配置显得十分的不正规,此处只作简单说明。不予演示
在登录到域的客户机中,将隐藏文件、受保护的隐藏文件以及已知文件类型的扩展名等打开,在用户的文件夹中会出现一个NTUSER.DAT的文件,可以将其后缀更改为.man;但是由于权限的原因本地用户并不能修改成功。这时候可以修改域控制器上公共文件夹中的NTUSER.DAT文件,将其后缀改为.man;修改完成之后,已经登录到域中的客户机不能采用正常的关机、注销;而需要采用强行关机的方式,之后在其他计算机上登录系统之后就会发现用户配置文件已经被改为强制漫游用户配置文件;用户之前所做的所有修改,并不会被同步;
组是用来封装用户的容器,好处就是为了方便管理,常见的组有Administrators、Power users、Backup Operators、Remote Desktop users、Users、Everyone等
创建组:Net localgroup SalesGroup /add
用户加入组:Net localgroup SalesGroup zhangsan /add
用户从组中删除:Net localgroup SalesGroup zhangsan /del
删除组:Net localgroup SalesGroup /del
问题
问:Users和Everyone的区别:
1、Guest用户属于Everyone组,而不属于Users组
2、用户属于Users组的隶属关系可以编辑,而用户属于Everyone组的隶属关系无法编辑
案例:在某某公司中,为了实现统一化管理,公司部署了域架构,所有的员工都以Domain users账号登录域,而且只能以域账号登录系统,公司配置有DHCP服务器给用户分发地址。公司小李带着笔记本回家,但是小李家没有配置DHCP服务,只能手工设置IP地址才能上网,而普通用户登录计算机无法更改网络设置,这样给公司的用户带来麻烦。为了解决此问题,让普通用户也可以更改本地网络设置有什么好的方案?
方案一:在每台计算机上执行将用户加入Network Configrations组;
方案二:通过组策略,在域控制器上的组策略中新建基于域的策略;新建本地组,将所有的域用户加入到Network Configrations组;
原创文章,转载请注明出处
