本地用户和组
本地用户和组
本地用户和组概述
本地用户和组位于计算机管理中,用户可以使用这一组管理工具来管理单台本地或远程计算机。可以使用本地用户和组保护并管理存储在本地计算机上的用户帐户和组。可以在特定计算机上(只能是这台计算机)分配本地用户帐户或组帐户的权限和权利。
通过本地用户和组,可以为用户和组分配权利和权限,从而限制用户和组执行某些操作的能力。权利可授权用户在计算机上执行某些操作,如备份文件和文件夹或者关机。权限是与对象(通常是文件、文件夹或打印机)相关联的一种规则,它规定哪些用户可以访问该对象以及以何种方式访问。
本地用户帐户
本地用户和组 Microsoft 管理控制台 (MMC) 管理单元中的用户文件夹显示默认的用户帐户以及您创建的用户帐户。这些默认的用户帐户是在安装操作系统时自动创建的。下表描述了显示在本地用户和组中的每个默认用户帐户。
默认用户帐户 描述
Administrator 账户 默认情况下,Administrator 帐户处于禁用状态,但也可以启用它。当它处于启用状态时,Administrator 帐户具有对计算机的完全控制权限,并可以根据需要向用户分配用户权利和访问控制权限。该帐户必须仅用于需要管理凭据的任务。强烈建议将此帐户设置为使用强密码。
Administrator 帐户是计算机上管理员组的成员。永远也不可以从管理员组删除 Administrator 帐户,但可以重命名或禁用该帐户。由于大家都知道 Administrator 帐户存在于许多版本的 Windows 上,所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。
重要 即使已禁用了 Administrator 帐户,仍然可以在安全模式下使用该帐户访问计算机。
Guest 帐户 Guest 帐户由在这台计算机上没有实际帐户的人使用。如果某个用户的帐户已被禁用,但还未删除,那该用户也可以使用 Guest 帐户。Guest 帐户不需要密码。默认情况下,Guest 帐户是禁用的,但也可以启用它。
可以像任何用户帐户一样设置 Guest 帐户的权限。默认情况下,Guest 帐户是默认的 Guest 组的成员,该组允许用户登录计算机。其他权利及任何权限都必须由管理员组的成员授予 Guests 组。默认情况下将禁用 Guest 帐户,并且建议将其保持禁用状态。
默认本地组
本地用户和组 Microsoft 管理控制台 (MMC) 中的组文件夹显示默认本地组以及您创建的本地组。默认本地组是在安装操作系统时自动创建的。如果一个用户属于某个本地组,则该用户就具有在本地计算机上执行各种任务的权利和能力。
可以向本地组添加本地用户帐户、域用户帐户、计算机帐户以及组帐户。
下表提供了对位于组文件夹中的默认组的描述。此表也列出了每个组的默认用户权限。这些用户权限是在本地安全策略中分配的。
组 描述 默认用户权限
Administrators 此组的成员具有对计算机的完全控制权限,并且他们可以根据需要向用户分配用户权限和访问控制权限。Administrator 帐户是此组的默认成员。当计算机加入域中时,Domain Admins 组会自动添加到此组中。因为此组可以完全控制计算机,所以向其中添加用户时要特别谨慎。 从网络访问此计算机
调整进程的内存配额
允许本地登录
允许通过远程桌面服务登录
备份文件和目录
跳过遍历检查
更改系统时间
更改时区
创建页面文件
创建全局对象
创建符号链接
调试程序
从远程系统强制关机
身份验证后模拟客户端
提高日程安排的优先级
装载和卸载设备驱动程序
作为批处理作业登录
管理审核和安全日志
修改固件环境变量
执行卷维护任务
配置单一进程
配置系统性能
从扩展坞中取出计算机
还原文件和目录
关闭系统
获得文件或其他对象的所有权
备份操作员 此组的成员可以备份和还原计算机上的文件,而不管保护这些文件的权限如何。这是因为执行备份任务的权利要高于所有文件权限。此组的成员无法更改安全设置。 从网络访问此计算机
允许本地登录
备份文件和目录
跳过遍历检查
作为批处理作业登录
还原文件和目录
关闭系统
Cryptographic Operators 已授权此组的成员执行加密操作。 没有默认的用户权限
Distributed COM Users 允许此组的成员在计算机上启动、激活和使用 DCOM 对象。 没有默认的用户权限
Guests 该组的成员拥有一个在登录时创建的临时配置文件,在注销时,此配置文件将被删除。来宾帐户(默认情况下已禁用)也是该组的默认成员。 没有默认的用户权限
IIS_IUSRS 这是 Internet 信息服务 (IIS) 使用的内置组。 没有默认的用户权限
Network Configuration Operators 该组的成员可以更改 TCP/IP 设置,并且可以更新和发布 TCP/IP 地址。该组中没有默认的成员。 没有默认的用户权限
Performance Log Users 该组的成员可以从本地计算机和远程客户端管理性能计数器、日志和警报,而不用成为管理员组的成员。 没有默认的用户权限
Performance Monitor Users 该组的成员可以从本地计算机和远程客户端监视性能计数器,而不用成为管理员组或 Performance Log Users 组的成员。 没有默认的用户权限
Power Users 默认情况下,该组的成员拥有不高于标准用户帐户的用户权限或权限。在早期版本的 Windows 中,Power Users 组专门为用户提供特定的管理员权利和权限执行常见的系统任务。在此版本 Windows 中,标准用户帐户具有执行最常见配置任务的能力,例如更改时区。对于需要与早期版本的 Windows 相同的 Power User 权利和权限的旧应用程序,管理员可以应用一个安全模板,此模板可以启用 Power Users 组,以假设具有与早期版本的 Windows 相同的权利和权限。 没有默认的用户权限
Remote Desktop Users 该组的成员可以远程登录计算机。 允许通过远程桌面服务登录
Replicator 该组支持复制功能。Replicator 组的唯一成员应该是域用户帐户,用于登录域控制器的复制器服务。不能将实际用户的用户帐户添加到该组中。 没有默认的用户权限
用户 该组的成员可以执行一些常见任务,例如运行应用程序、使用本地和网络打印机以及锁定计算机。该组的成员无法共享目录或创建本地打印机。默认情况下,Domain Users、Authenticated Users 以及 Interactive 组是该组的成员。因此,在域中创建的任何用户帐户都将成为该组的成员。 从网络访问此计算机
允许本地登录
跳过遍历检查
更改时区
增加进程工作集
从扩展坞中取出计算机
关闭系统
提供远程协助帮助程序 该组的成员可以向此计算机用户提供远程协助。 没有默认的用户权限
管理本地用户和组
管理本地用户帐户的文件
管理员可以使用主文件夹和文档文件夹将用户文件集中到一个位置。用户文件集中在一个位置简化了备份过程,并使访问控制管理更容易。
主文件可以是本地文件夹,也可以是共享资源中的文件夹。可以将其分配给一个用户或多个用户。将主文件夹分配给一个用户后,它就成为该用户的“打开”和“另存为”对话框、命令提示符会话以及没有定义工作文件夹的所有程序的默认文件夹。
文档文件夹是主文件夹的备用文件夹,但它不会取代主文件夹。当用户试图保存或打开文件时,多数程序都以下面两种方式之一确定是使用主文件夹还是文档文件夹:
一些程序先在主文件夹中查找与要打开或保存的文件的类型(例如,*.doc 或 *.txt)匹配的文件。如果找到带匹配扩展名的文件,则程序将打开主文件夹而忽略文档文件夹。如果没有找到带匹配扩展名的文件,则程序将打开文档文件夹。
从命令行管理本地组
可以使用下表中的命令行工具管理本地组。
名称 描述
net localgroup 该命令用来添加、显示或修改本地组。
为什么您不应该以管理员身份运行计算机
以管理员组成员的身份运行计算机将使系统容易受到特洛伊木马及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码,这些代码可以下载到系统并被执行。
如果以本地计算机的管理员身份登录,特洛伊木马可能使用管理访问权重新格式化您的硬盘,删除文件并创建新的用户帐户。
在本地计算机上,建议将域用户帐户仅添加到 Users 组(而非管理员组),以执行例行任务,包括运行程序和访问 Internet 站点。当需要在本地计算机上执行管理任务时,请通过管理凭据使用“以管理员身份运行”启动程序。
您可以使用“以管理员身份运行”完成管理任务,而不至将计算机置于不必要的风险中。
如果您需要执行其他管理任务,例如升级操作系统或配置系统参数,请先注销然后再以管理员身份登录。
用户帐户控制概述
用户帐户控制 (UAC) 是一种新的安全组件,使用户可以用非管理员身份(在此版本的 Windows 中称为“标准用户”)以及管理员身份执行常见任务,而无需切换用户、注销或使用“以管理员身份运行”命令。标准用户帐户与 Microsoft Windows(R) XP 中的用户帐户类似。作为本地管理员组成员的用户帐户以标准用户身份运行大多数应用程序。因为 UAC 在进行生产时将用户功能和管理员功能分隔开来,所以它是此版本的 Windows 的一个重要增强功能。
当管理员登录到运行此版本 Windows 的计算机时,将为该用户分配两个单独的访问令牌。Windows 使用访问令牌(包含用户的组成员身份、授权数据和访问控制数据)控制用户可以访问的资源和任务。在一些先前版本的 Windows(如 Windows XP)中,管理员帐户只接收到一个访问令牌,其中包含的数据可授予该用户访问所有 Windows 资源的权限。此访问控制模型不包含任何故障保险检查,而故障保险检查可以确保用户真正执行需要他(或她)的管理访问令牌的任务。因此,恶意软件可以将其自身安装在计算机上,而不会通知用户。此过程通常称为“无提示”安装。因为用户是管理员,所以恶意软件可以使用管理员的访问控制数据感染核心操作系统文件。在某些情况下,恶意软件可能会变得几乎不可能被删除,而且可能会造成更多破坏。
此版本的 Windows 中的标准用户和管理员之间的主要区别在于他们对计算机有多少控制权。管理员可以更改系统状态、关闭防火墙、关闭策略、安装影响计算机上每个用户的服务或驱动程序等等。管理员可以为整台计算机安装软件。标准用户无法以这种方式更改系统状态。
本地用户和组的疑难解答
我接收到错误消息“此系统的本地策略不允许您交互登录”,或者我无法从本地登录
原因:从本地登录到计算机的功能是由本地安全策略控制的。
解决方案:将用户帐户添加到 Users 本地组,或使用本地安全策略向特定用户或组分配允许在本地登录的权限。
runas 命令运行失败。
原因:Secondary Logon 服务没有运行。
解决方案:启动 Secondary Logon 服务。
我无法登录到运行 Windows 95 或 Windows 98 的网络计算机。
原因:密码超过 14 个字符。
解决方案:创建新用户帐户或将密码更改为适用于 Windows 95 和 Windows 98 的不超过 14 个字符的密码。
我无法访问远程计算机上的计算机管理扩展管理单元
原因:远程计算机上没有运行远程注册表服务。
解决方案:确保在远程计算机上启动了远程注册表服务。在远程计算机上具有相应的权限才能启动该服务。