来源:百度文库 编辑:偶看新闻 时间:2024/05/05 10:39:05
windows 7提供了用户账户和用户组(用户可以是组中的成员)两种机制。用户账户是为了个体准备的,而组账户通常代表一组个体,主要是用于简化众多用户的管理工作。我们可以使用用户账户登录系统,但不能使用组账户登录。
用户账户
本地用户账户 在本机上定义的用户账户叫本地用户账户,这些账户只能访问本机。我们可以使用控制面板中的用户账户选项,或本地用户和组工具添加或删除本地用户账户,本地用户和组工具可以通过计算机管理工具访问,属于微软控制台(MMC)管理单元。
域用户账户 在Active Directory 中定义的用户账户叫域用户账户。通过单点登录功能,这些账户可以访问整个林中的所有资源。如果计算机是Active Directory 域的成员,则可以使用Active Directory用户和计算机控制台创建域用户账户。
无论本地用户账户还是域用户账户,都可以被配置为标准账户或管理员账户。本地上的标准用户账户具有非常有限的权限,而本机上的管理员账户具有所有权限。
以用户Willians为例,该账户在名为ENGPC85的计算机上创建,因此在windows 7中该账户的完整名称是“ENGPC85\Willians”。作为本地账户,Willians只能登录到自己的本地工作站,本访问本地的资源,无法访问域资源。
当处于域环境时,完整的登录名可能是下面任何一种形式。
用户账户名和完整的域名有AT(@)分隔。例如 technology.microsoft.com 域中Willians这个账户的完整名称应该是Willians@technology.microsoft.com。
用户账户名和完整的域名由反斜线(\)分隔。例如technology.microsoft.com 域中Willians这个账户的完整名称应该是technology\Willians。
在安装windows 7时,操作系统会安装默认的用户账户。我可以找到很多系统内建的账户,这些账户的作用类似于windows域中对应的账户。需要注意一下重要账户。
Administrator Administrator是一个预创建账户,对文件,目录,服务以及其他实体具有完全访问权限。该账户无法被删除或者禁用。在Active Directory中,Administrator账户具有整个域范围内的访问和特权;在本地工作站上,Administrator账户只能访问本地系统。
Guest Guest是为偶尔一两次访问系统的临时用户准备的。虽然Guest只有很少的系统特权,不过在使用该账户的时候一定要小心,因为它可能会给系统带来潜在的安全隐患。因为危险性很高,因此在安装windows 7后,该账户会被自动禁用。
除了内建用户,windows 7 还有很多虚拟用户,这些用户主要用于执行特定的系统任务。这些虚拟账户只在本地系统上出现,无法使用管理工具更改这些账户的设置,并且用户也无法使用这些账户登录计算机。可用的虚拟账户如下。
LocalSystem LocalSystem是用于在本机运行系统进程以及处理系统级别任务的虚拟账户。该账户具有以服务身份登录的登录特权。大部分服务都运行在 LocalSystem账户下,在某些情况下,这些服务具有和桌面交互的特权。以 LocalSystem账户运行的服务包括Background Intelligent Tranfer Service、Computer Brower、Group Policy Client、NetLogon、Network Connections、Print Spooler和User Profile Service
LocalService LocalService是用于在本机运行需要较少特权或者登录权限的服务的虚拟账户。默认情况下,使用该账户运行的服务具有以服务身份登录登录特权,同时可能还具有为进程调整内存配额、更改系统时钟、更改时区、生成安全审核和替换进程级令牌的特权。以 LocalSystem账户运行的服务包括Application Layer Gateway Service、Remote Registry、Smart Card、SSDP Discovery Service、Tcp\IP NetBIOS Helper和WebClient。
NetworkService NetworkService是用于在本机运行需要较少特权或者登录权限,但同时必须访问网络资源的服务的虚拟账户。与使用LocalService账户运行的服务类似,默认使用NetworkService运行的服务被指派了以服务身份登录的登录权限,同时还具有为进程调整内存配额、生成安全审核和替换进程级令牌的权限。以 LocalSystem账户运行的服务包括BranchCache、Distributed Transaction Coordinator、DNS Client、 Remote Desktop Services、Remote Procdure Call。NetworkService还可以在远程系统中被认证为计算机账户。
组账户
利用组可以给一系列相似类型的用户指派相同的权限,这样可以简化账户管理工作。如果用户所属的组可以访问某资源,那么这个用户也将可以访问该资源。因此只要将用户添加到相应的组中,就可以直接让该用户访问到所有和工作相关的资源。然而要注意,虽然可以使用用户账户登录系统,但是不能使用组账户登录。因为不同的Active Directory和本地计算机可能会有名称相同的组,组通常写作“域名\组名”或“计算机\组名”。
windows 7使用三种类型的组。
本地组 可且仅可用于本地计算机,可以使用本地用户和组工具创建本地组。
安全组 可以关联一定的安全描述,可以使用windows服务器在域中使用Active Directory用户和计算机工具定义安全组。
通讯组 可用于充当电子邮件列表,该组不能关联安全描述,可以使用Active Directory用户和计算机工具定义通讯组。
在分配用户访问级别时,可以让用户成为不同系统内置或预设组的成员,此时可用的组如下。
Administrator
Backup Operators
Cryptographic Operators
Event Log Readers
Guests
Network Configuration Operators
Performance Log Users
Performance Monitor Users
Power Users
Remote Desktop Users
Replicator
Users
域登录和本地登录
如果计算机是域成员,通常需要使用域账户登录系统和域。域中的所有管理员都可以访问属于该域的工作站上的本地资源。然而对于用户,则只能访问本地工作站上自己具有登录权限的资源。在域环境中,默认情况下任何具有有效域账户的用户都可以登录到任何一台属于该域的计算机上。一旦登录成功,该用户将可以访问所有自己账户,以及自己账户所属的组具有访问权限的一切资源。这里所说的资源包括本机的以及域中的资源。
偶看新闻