本地用戶和組位于計算機管理中,用戶可以使用這一組管理工具來管理單臺本地或遠程計算機。可以使用本地用戶和組保護并管理存儲在本地計算機上的用戶帳戶和組。可以在特定計算機上(只能是這臺計算機)分配本地用戶帳戶或組帳戶的權限和權利。
通過本地用戶和組,可以為用戶和組分配權利和權限,從而限制用戶和組執行某些操作的能力。權利可授權用戶在計算機上執行某些操作,如備份文件和文件夾或者關機。權限是與對象(通常是文件、文件夾或打印機)相關聯的一種規則,它規定哪些用戶可以訪問該對象以及以何種方式訪問。
內容簡介
本地用戶和組 微軟 管理控制臺 (MMC) 管理單元中的用戶文件夾顯示默認的用戶帳戶以及您創建的用戶帳戶。這些默認的用戶帳戶是在安裝操作系統時自動創建的。下表描述了顯示在本地用戶和組中的每個默認用戶帳戶。
默認本地組
本地用戶和組 Microsoft 管理控制臺 (MMC) 中的組文件夾顯示默認本地組以及您創建的本地組。默認本地組是在安裝操作系統時自動創建的。如果一個用戶屬于某個本地組,則該用戶就具有在本地計算機上執行各種任務的權利和能力。
可以向本地組添加本地用戶帳戶、域用戶帳戶、計算機帳戶以及組帳戶。
下表提供了對位于組文件夾中的默認組的描述。此表也列出了每個組的默認用戶權限。這些用戶權限是在本地安全策略中分配的。
管理簡介
管理本地用戶帳戶的文件
管理員可以使用主文件夾和文檔文件夾將用戶文件集中到一個位置。用戶文件集中在一個位置簡化了備份過程,并使訪問控制管理更容易。
主文件可以是本地文件夾,也可以是共享資源中的文件夾。可以將其分配給一個用戶或多個用戶。將主文件夾分配給一個用戶后,它就成為該用戶的“打開”和“另存為”對話框、命令提示符會話以及沒有定義工作文件夾的所有程序的默認文件夾。
文檔文件夾是主文件夾的備用文件夾,但它不會取代主文件夾。當用戶試圖保存或打開文件時,多數程序都以下面兩種方式之一確定是使用主文件夾還是文檔文件夾:
一些程序先在主文件夾中查找與要打開或保存的文件的類型(例如,*.doc 或 *.txt)匹配的文件。如果找到帶匹配擴展名的文件,則程序將打開主文件夾而忽略文檔文件夾。如果沒有找到帶匹配擴展名的文件,則程序將打開文檔文件夾。
從命令行管理本地組
可以使用下表中的命令行工具管理本地組。
為什么您不應該以管理員身份運行計算機
以管理員組成員的身份運行計算機將使系統容易受到特洛伊木馬及其他安全風險的威脅。訪問 Internet 站點或打開電子郵件附件的簡單行動都可能破壞系統。不熟悉的 Internet 站點或電子郵件附件可能有特洛伊木馬代碼,這些代碼可以下載到系統并被執行。
如果以本地計算機的管理員身份登錄,特洛伊木馬可能使用管理訪問權重新格式化您的硬盤,刪除文件并創建新的用戶帳戶。
在本地計算機上,建議將域用戶帳戶僅添加到 Users 組(而非管理員組),以執行例行任務,包括運行程序和訪問 Internet 站點。當需要在本地計算機上執行管理任務時,請通過管理憑據使用“以管理員身份運行”啟動程序。
您可以使用“以管理員身份運行”完成管理任務,而不至將計算機置于不必要的風險中。
如果您需要執行其他管理任務,例如升級操作系統或配置系統參數,請先注銷然后再以管理員身份登錄。
用戶帳戶控制概述
用戶帳戶控制 (UAC) 是一種新的安全組件,使用戶可以用非管理員身份(在此版本的 Windows 中稱為“標準用戶”)以及管理員身份執行常見任務,而無需切換用戶、注銷或使用“以管理員身份運行”命令。標準用戶帳戶與 Microsoft Windows(R) XP 中的用戶帳戶類似。作為本地管理員組成員的用戶帳戶以標準用戶身份運行大多數應用程序。因為 UAC 在進行生產時將用戶功能和管理員功能分隔開來,所以它是此版本的 Windows 的一個重要增強功能。
當管理員登錄到運行此版本 Windows 的計算機時,將為該用戶分配兩個單獨的訪問令牌。Windows 使用訪問令牌(包含用戶的組成員身份、授權數據和訪問控制數據)控制用戶可以訪問的資源和任務。在一些先前版本的 Windows(如 Windows XP)中,管理員帳戶只接收到一個訪問令牌,其中包含的數據可授予該用戶訪問所有 Windows 資源的權限。此訪問控制模型不包含任何故障保險檢查,而故障保險檢查可以確保用戶真正執行需要他(或她)的管理訪問令牌的任務。因此,惡意軟件可以將其自身安裝在計算機上,而不會通知用戶。此過程通常稱為“無提示”安裝。因為用戶是管理員,所以惡意軟件可以使用管理員的訪問控制數據感染核心操作系統文件。在某些情況下,惡意軟件可能會變得幾乎不可能被刪除,而且可能會造成更多破壞。
此版本的 Windows 中的標準用戶和管理員之間的主要區別在于他們對計算機有多少控制權。管理員可以更改系統狀態、關閉防火墻、關閉策略、安裝影響計算機上每個用戶的服務或驅動程序等等。管理員可以為整臺計算機安裝軟件。標準用戶無法以這種方式更改系統狀態。
疑難解答
我接收到錯誤消息“此系統的本地策略不允許您交互登錄”,或者我無法從本地登錄
原因:從本地登錄到計算機的功能是由本地安全策略控制的。
解決方案:將用戶帳戶添加到 Users 本地組,或使用本地安全策略向特定用戶或組分配 允許在本地登錄的權限。
runas 命令運行失敗。
原因:Secondary Logon 服務沒有運行。
解決方案:啟動 Secondary Logon 服務。
我無法登錄到運行 Windows 95 或 Windows 98 的網絡計算機。
原因:密碼超過 14 個字符。
解決方案:創建新用戶帳戶或將密碼更改為適用于 Windows 95 和 Windows 98 的不超過 14 個字符的密碼。
我無法訪問遠程計算機上的計算機管理擴展管理單元
原因:遠程計算機上沒有運行遠程注冊表服務。
解決方案:確保在遠程計算機上啟動了遠程注冊表服務。在遠程計算機上具有相應的權限才能啟動該服務。
參考資料 >