-
本地用户和組
鎖定
- 中文名
- 本地用户和組
- 屬 性
- 軟件
- 類 型
- 管理工具
- 用 途
- 管理單台本地或遠程計算機
目錄
本地用户和組本地用户帳户
本地用户和組 Microsoft 管理控制枱 (MMC) 管理單元中的用户文件夾顯示默認的用户帳户以及您創建的用户帳户。這些默認的用户帳户是在安裝操作系統時自動創建的。下表描述了顯示在本地用户和組中的每個默認用户帳户。
默認用户帳户 | 描述 |
|---|---|
Administrator 賬户 | 默認情況下,Administrator 帳户處於禁用狀態,但也可以啓用它。當它處於啓用狀態時,Administrator 帳户具有對計算機的完全控制權限,並可以根據需要向用户分配用户權利和訪問控制權限。該帳户必須僅用於需要管理憑據的任務。強烈建議將此帳户設置為使用強密碼。 Administrator 帳户是計算機上管理員組的成員。永遠也不可以從管理員組刪除 Administrator 帳户,但可以重命名或禁用該帳户。由於大家都知道 Administrator 帳户存在於許多版本的 Windows 上,所以重命名或禁用此帳户將使惡意用户嘗試並訪問該帳户變得更為困難。 重要 即使已禁用了 Administrator 帳户,仍然可以在安全模式下使用該帳户訪問計算機。 |
Guest 帳户 | Guest 帳户由在這台計算機上沒有實際帳户的人使用。如果某個用户的帳户已被禁用,但還未刪除,那該用户也可以使用 Guest 帳户。Guest 帳户不需要密碼。默認情況下,Guest 帳户是禁用的,但也可以啓用它。 可以像任何用户帳户一樣設置 Guest 帳户的權限。默認情況下,Guest 帳户是默認的 Guest 組的成員,該組允許用户登錄計算機。其他權利及任何權限都必須由管理員組的成員授予 Guests 組。默認情況下將禁用 Guest 帳户,並且建議將其保持禁用狀態。 |
本地用户和組默認本地組
本地用户和組 Microsoft 管理控制枱 (MMC) 中的組文件夾顯示默認本地組以及您創建的本地組。默認本地組是在安裝操作系統時自動創建的。如果一個用户屬於某個本地組,則該用户就具有在本地計算機上執行各種任務的權利和能力。
組 | 描述 | 默認用户權限 |
|---|---|---|
Administrators | 此組的成員具有對計算機的完全控制權限,並且他們可以根據需要向用户分配用户權限和訪問控制權限。Administrator 帳户是此組的默認成員。當計算機加入域中時,Domain Admins 組會自動添加到此組中。因為此組可以完全控制計算機,所以向其中添加用户時特別謹慎。 | 從網絡訪問此計算機 調整進程的內存配額 允許本地登錄 關閉系統 備份文件和目錄 跳過遍歷檢查 更改系統時間 更改時區 創建頁面文件 創建全局對象 創建符號鏈接 調試程序 提高日程安排的優先級 身份驗證後模擬客户端 從遠程系統強制關機 裝載和卸載設備驅動程序 作為批處理作業登錄 管理審核和安全日誌 修改固件環境變量 執行卷維護任務 配置單一進程 配置系統性能 從擴展塢中取出計算機 還原文件和目錄 允許通過遠程桌面服務登錄 獲得文件或其他對象的所有權 |
備份操作員 | 此組的成員可以備份和還原計算機上的文件,而不管保護這些文件的權限如何。這是因為執行備份任務的權利要高於所有文件權限。此組的成員無法更改安全設置。 | 從網絡訪問此計算機 允許本地登錄 備份文件和目錄 跳過遍歷檢查 作為批處理作業登錄 還原文件和目錄 關閉系統 |
Cryptographic Operators | 已授權此組的成員執行加密操作。 | 沒有默認的用户權限 |
Distributed COM Users | 允許此組的成員在計算機上啓動、激活和使用 DCOM 對象。 | |
Guests | 該組的成員擁有一個在登錄時創建的臨時配置文件,在註銷時,此配置文件將被刪除。來賓帳户(默認情況下已禁用)也是該組的默認成員。 | |
IIS_IUSRS | 這是 Internet 信息服務 (IIS) 使用的內置組。 | |
Network Configuration Operators | 該組的成員可以更改 TCP/IP 設置,並且可以更新和發佈 TCP/IP 地址。該組中沒有默認的成員。 | |
Performance Log Users | 該組的成員可以從本地計算機和遠程客户端管理性能計數器、日誌和警報,而不用成為管理員組的成員。 | |
Performance Monitor Users | 該組的成員可以從本地計算機和遠程客户端監視性能計數器,而不用成為管理員組或 Performance Log Users 組的成員。 | |
Power Users | 默認情況下,該組的成員擁有不高於標準用户帳户的用户權限或權限。在早期版本的 Windows 中,Power Users 組專門為用户提供特定的管理員權利和權限執行常見的系統任務。在此版本 Windows 中,標準用户帳户具有執行最常見配置任務的能力,例如更改時區。對於需要與早期版本的 Windows 相同的 Power User 權利和權限的舊應用程序,管理員可以應用一個安全模板,此模板可以啓用 Power Users 組,以假設具有與早期版本的 Windows 相同的權利和權限。 | |
Remote Desktop Users | 該組的成員可以遠程登錄計算機。 | 允許通過遠程桌面服務登錄 |
Replicator | 該組支持複製功能。Replicator 組的唯一成員應該是域用户帳户,用於登錄域控制器的複製器服務。不能將實際用户的用户帳户添加到該組中。 | 沒有默認的用户權限 |
用户 | 該組的成員可以執行一些常見任務,例如運行應用程序、使用本地和網絡打印機以及鎖定計算機。該組的成員無法共享目錄或創建本地打印機。默認情況下,Domain Users、Authenticated Users 以及 Interactive 組是該組的成員。因此,在域中創建的任何用户帳户都將成為該組的成員。 | 從網絡訪問此計算機 允許本地登錄 跳過遍歷檢查 更改時區 增加進程工作集 從擴展塢中取出計算機 關閉系統 |
提供遠程協助幫助程序 | 該組的成員可以向此計算機用户提供遠程協助。 | 沒有默認的用户權限 |
本地用户和組管理本地用户和組
本地用户和組管理本地用户帳户的文件
管理員可以使用主文件夾和文檔文件夾將用户文件集中到一個位置。用户文件集中在一個位置簡化了備份過程,並使訪問控制管理更容易。
主文件可以是本地文件夾,也可以是共享資源中的文件夾。可以將其分配給一個用户或多個用户。將主文件夾分配給一個用户後,它就成為該用户的“打開”和“另存為”對話框、命令提示符會話以及沒有定義工作文件夾的所有程序的默認文件夾。
文檔文件夾是主文件夾的備用文件夾,但它不會取代主文件夾。當用户試圖保存或打開文件時,多數程序都以下面兩種方式之一確定是使用主文件夾還是文檔文件夾:
一些程序先在主文件夾中查找與要打開或保存的文件的類型(例如,*.doc 或 *.txt)匹配的文件。如果找到帶匹配擴展名的文件,則程序將打開主文件夾而忽略文檔文件夾。如果沒有找到帶匹配擴展名的文件,則程序將打開文檔文件夾。
本地用户和組從命令行管理本地組
可以使用下表中的命令行工具管理本地組。
名稱 | 描述 |
|---|---|
net localgroup | 該命令用來添加、顯示或修改本地組。 |
本地用户和組為什麼您不應該以管理員身份運行計算機
以管理員組成員的身份運行計算機將使系統容易受到特洛伊木馬及其他安全風險的威脅。訪問 Internet 站點或打開電子郵件附件的簡單行動都可能破壞系統。不熟悉的 Internet 站點或電子郵件附件可能有特洛伊木馬代碼,這些代碼可以下載到系統並被執行。
如果以本地計算機的管理員身份登錄,特洛伊木馬可能使用管理訪問權重新格式化您的硬盤,刪除文件並創建新的用户帳户。
在本地計算機上,建議將域用户帳户僅添加到 Users 組(而非管理員組),以執行例行任務,包括運行程序和訪問 Internet 站點。當需要在本地計算機上執行管理任務時,請通過管理憑據使用“以管理員身份運行”啓動程序。
您可以使用“以管理員身份運行”完成管理任務,而不至將計算機置於不必要的風險中。
如果您需要執行其他管理任務,例如升級操作系統或配置系統參數,請先註銷然後再以管理員身份登錄。
本地用户和組用户帳户控制概述
用户帳户控制 (UAC) 是一種新的安全組件,使用户可以用非管理員身份(在此版本的 Windows 中稱為“標準用户”)以及管理員身份執行常見任務,而無需切換用户、註銷或使用“以管理員身份運行”命令。標準用户帳户與 Microsoft Windows(R) XP 中的用户帳户類似。作為本地管理員組成員的用户帳户以標準用户身份運行大多數應用程序。因為 UAC 在進行生產時將用户功能和管理員功能分隔開來,所以它是此版本的 Windows 的一個重要增強功能。
當管理員登錄到運行此版本 Windows 的計算機時,將為該用户分配兩個單獨的訪問令牌。Windows 使用訪問令牌(包含用户的組成員身份、授權數據和訪問控制數據)控制用户可以訪問的資源和任務。在一些先前版本的 Windows(如 Windows XP)中,管理員帳户只接收到一個訪問令牌,其中包含的數據可授予該用户訪問所有 Windows 資源的權限。此訪問控制模型不包含任何故障保險檢查,而故障保險檢查可以確保用户真正執行需要他(或她)的管理訪問令牌的任務。因此,惡意軟件可以將其自身安裝在計算機上,而不會通知用户。此過程通常稱為“無提示”安裝。因為用户是管理員,所以惡意軟件可以使用管理員的訪問控制數據感染核心操作系統文件。在某些情況下,惡意軟件可能會變得幾乎不可能被刪除,而且可能會造成更多破壞。
此版本的 Windows 中的標準用户和管理員之間的主要區別在於他們對計算機有多少控制權。管理員可以更改系統狀態、關閉防火牆、關閉策略、安裝影響計算機上每個用户的服務或驅動程序等等。管理員可以為整台計算機安裝軟件。標準用户無法以這種方式更改系統狀態。
本地用户和組本地用户和組的疑難解答
我接收到錯誤消息“此係統的本地策略不允許您交互登錄”,或者我無法從本地登錄
原因:從本地登錄到計算機的功能是由本地安全策略控制的。
解決方案:將用户帳户添加到 Users 本地組,或使用本地安全策略向特定用户或組分配允許在本地登錄的權限。
runas 命令運行失敗。
原因:Secondary Logon 服務沒有運行。
解決方案:啓動 Secondary Logon 服務。
原因:密碼超過 14 個字符。
解決方案:創建新用户帳户或將密碼更改為適用於 Windows 95 和 Windows 98 的不超過 14 個字符的密碼。
我無法訪問遠程計算機上的計算機管理擴展管理單元
原因:遠程計算機上沒有運行遠程註冊表服務。
解決方案:確保在遠程計算機上啓動了遠程註冊表服務。在遠程計算機上具有相應的權限才能啓動該服務。
