资源简介

(共13张PPT)
*
任务3.2 管理本地组账户
项目3　管理本地用户和本地组
任务描述
某公司的网络管理员小赵为公司员工创建了用户账户，但没有对他们进行分组，显得有些杂乱，现准备对所有员工按照部门进行分类管理，并通过建立本地组来实现。组是多个用户、计算机账号、联系人和其他组的集合，也是操作系统实现其安全管理机制的重要 技术手段。
任务3.2　管理本地组账户
任务要求
使用组可以同时为多个用户账户或计算机账户指派一组公共的资源访问权限和系统管 理权利，而不必单独为每个账户指派权限和权利，从而简化管理、提高效率。小赵对各部 门员工按照部门名称建立组。组账户及权限分配如表3.2.1所示。
任务3.2　管理本地组账户
任务实施
1．创建本地组账户
教师演示实现过程
2．管理本地组账户
任务3.2　管理本地组账户
知识链接
任务3.2　管理本地组账户
1．认识本地组账户
系统管理员如能利用组来管理用户账户的权限，则可简化操作。组是账户的集合，合理使用组来管理用户账户权限，能够为管理员减轻负担。例如，当针对业务部组设置权限后，业务部组内的所有用户都会自动拥有此权限，不需要单独为每个用户设置权限。
与用户账户类似，安装完操作系统后会自动建立一些特殊用途的内置本地组，因为这些内置本地组具有特殊用途，所以一般不需要修改。
知识链接
任务3.2　管理本地组账户
（1）内置本地组
内置本地组是在系统安装时默认创建的，并被授予特定的权限以方便计算机的管理。常见的内置本地组有下面几个。
●Administrators：在系统内具有最高权限，如赋予权限、添加系统组件、升级系统、配置系统参数和配置安全信息等。内置的系统管理员账户是Administrators组的成员。属于Administrators组的用户都具备系统管理员的权限，拥有对这台计算机最大的控制权，内置的系统管理员Administrator就是此本地组的成员，而且无法将其从此组中删除。
●Guests：内置的Guest账户是该组的成员，一般是在域中或计算机中没有固定账户的用户临时访问域或计算机时使用。该账户在默认情况下不允许对域或计算机中的设置和资源进行更改。出于安全考虑，Guest账户在 Windows Server 2019安装好之后是被禁用的，如果需要，可以手动启用。应该注意分配给该账户的权限，因为该账户经常是黑客攻击的主要对象。
知识链接
任务3.2　管理本地组账户
●IIS_IUSRS：这是 Internet信息服务（IIS）使用的内置组。
●Users：是一般用户所在的组，所有创建的本地账户都自动属于此组。Users组对系统有基本的权限，如运行程序，但其权限会受到很大的限制。Uses组可以对系统有基本的权限，如运行程序、使用网络，但不能关闭Windows Server 2019，不能创建共享目录和使用本地打印机。如果这台计算机加入域，则域用户自动被加入该组。
●Network Configuration Operators：该组的成员可以更改TCP/IP设置，并且可以更新和发布 TCP/IP地址。该组中没有默认的成员。
知识链接
任务3.2　管理本地组账户
（2）内置特殊组
除了以上所述的内置本地组和内置域组，还有一些内置特殊组。内置特殊组存在于每台装有Windows Server 2019系统的计算机内，用户无法更改这些组的成员。也就是说，无法在“Active Directory用户和计算机”或“本地用户和组”内看到并管理这些组，这些组只有在设置权限时才会被看到。下面列出了3个常用的内置特殊组。
●Everyone：包括所有访问该计算机的用户，如果Everyone指定了权限并启用了Guest账户时一定要小心，这是因为Windows 会将没有有效账户的用户当成Guest 账户，使该账户将会自动得到Everyone的权限。
●Creator Owner：文件等资源的创建者就是该资源的Creator Owner。但是，如果创建者是属于Administrators组内的成员，则其 Creator Owner为 Administrators组。
●Hyper-V Administrators：虽然在一般情况下都是由系统管理员进行虚拟机的设置，但是有时候也需要一些受限用户来操作虚拟机，也就是普通用户。在默认情况下，普通用户是没有虚拟机管理权限的，但是可以通过添加用户（aaa)、添加 Hyper-V管理员组（Hyper-V Admins，HVA）的方式，将普通用户设置为Hyper-V管理员。
知识链接
任务3.2　管理本地组账户
2．使用net localgroup命令创建本地组
与创建本地用户一样，本地组也可以使用命令来创建。
（1）命令规则语法如下：
NET LOCALGROUP [groupname [/COMMENT:"text"]] [/DOMAIN] groupname {/ADD [/COMMENT:"text"] | /DELETE} [/DOMAIN] groupname name [...] {/ADD | /DELETE} [/DOMAIN]
●NET LOCALGROUP：用于修改计算机上的本地组。当不带选项使用本命令时，它会显示计算机上的本地组。
●groupname：需要添加、扩充或删除的本地组的名字。只要输入组名就可以浏览本地组中的用户或全局组列表。
●/COMMENT:"text"：为一个新的或已存在的组添加注释。 需将文本包含在引号中。
知识链接
任务3.2　管理本地组账户
●/DOMAIN：在当前域的主域控制器上执行操作。否则在本地计算机上执行这个操作。
●name [ ...]：列出一个或多个需要从一个本地组中添加或删除的用户名或组名。可以用空格来将多个用户名分隔开。名字可以是用户或全局组，但不可以是其它的本地组。如果一个用户来自另外一个域，就应在用户名前加上域名(例如 SALES\RALPHR)。
●/ADD：将一个组名或一个用户名添加到一个本地组中。必须为使用此命令添加到本地组中的用户或全局组建立一个帐户。
●/DELETE：将一个组名或一个用户名从一个本地组中删除。
知识链接
任务3.2　管理本地组账户
（2）命令示例
①创建一个组Managers，相关命令如图3.2.1所示。
②将Sunqi用户（该用户已存在）加入到NM组中，相关命令如图3.2.2所示。
知识链接
任务3.2　管理本地组账户
③删除一个Managers组，相关命令如图3.2.3所示。
任务小结
（1）组是用户的逻辑集合，使用组对具有相同权限要求的用户进行管理。
（2）一个组中可以有多个用户作为成员，一个用户也可以隶属于多个组。
任务3.2　管理本地组账户

展开更多......

收起↑