Windows 服务器的用户账户及组账户管理笔记

Windows 服务器的用户账户及组账户管理详解

在 Windows 服务器环境中，用户账户和组账户的管理至关重要，它涉及到权限分配、安全策略以及用户访问控制等多个方面。本文将详细介绍 Windows 服务器的用户账户类型、组账户管理、创建与管理用户账户的方法、组策略的应用等内容。

---

一、Windows 服务器用户账户概述

Windows 服务器中的用户账户可以分为以下几种类型：

1. 本地用户账户（Local User Account）

   • 仅存在于本地计算机，适用于独立服务器或非域环境。

   • 存储于 C:\Windows\System32\Config\SAM 中。

   • 适用于小型网络或单机环境。

2. 域用户账户（Domain User Account）

   • 由 Active Directory（AD）管理，适用于域环境。

   • 存储在域控制器（DC）数据库中。

   • 用户可在域内任意已授权的计算机上登录。

3. 内置账户（Built-in Accounts）

   • Windows 服务器默认提供的账户，例如：

     • Administrator（管理员账户）：默认最高权限的用户，通常用于管理服务器。

     • Guest（来宾账户）：默认禁用，适用于临时用户访问。

     • DefaultAccount（默认账户）：系统使用的默认管理账户。

4. 服务账户（Service Accounts）

   • 供 Windows 服务或应用程序运行时使用。

   • 包括 本地服务（Local Service）、网络服务（Network Service） 和 本地系统（Local System） 账户。

   • 在 Windows Server 2012 及以上版本中，引入了 托管服务账户（Managed Service Accounts, MSA） 和 组托管服务账户（gMSA），用于更安全的自动化管理。

---

二、Windows 服务器用户账户管理

1. 使用计算机管理创建本地用户账户（图形化界面）

1. 右键单击 “此电脑”，选择 “管理”，打开 “计算机管理” 界面。

2. 在左侧导航栏，展开 “本地用户和组” → 选择 “用户”。

3. 右键空白处，选择 “新用户”。

4. 在弹出的窗口中，填写以下信息：

   • 用户名（如 testuser）

   • 全名（可选）

   • 描述（可选）

   • 密码（建议符合复杂性要求）

   • 取消勾选 “用户下次登录时必须更改密码”（根据需求选择）

   • 选择 “密码永不过期”（如果不想让密码过期）

5. 点击 “创建”，然后 “关闭”。

2. 使用 PowerShell 创建本地用户账户

1. New-LocalUser -Name "testuser" -Password (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force) -FullName "Test User" -Description "本地测试用户"

复制代码

解释：

• New-LocalUser：创建本地用户。

• -Name：用户名。

• -Password：设置密码（必须使用 ConvertTo-SecureString）。

• -FullName：用户全名。

• -Description：用户描述信息。

3. 使用命令行创建本地用户账户

1. net user testuser P@ssw0rd! /add

复制代码

解释：

• net user：管理本地用户账户。

• testuser：新账户名称。

• P@ssw0rd!：密码。

• /add：创建账户。

4. 删除本地用户账户

1. net user testuser /delete

复制代码

---

三、Windows 服务器组账户管理

组账户用于管理多个用户的权限，以便简化权限分配。Windows 服务器提供以下几种组类型：

1. 本地组（Local Groups）

• 仅在本地计算机上有效，无法跨计算机使用。

• 例如：Administrators、Users、Guests。

2. 全局组（Global Groups）

• 适用于域用户管理，可用于分配权限。

• 例如：Domain Users、Domain Admins。

3. 通用组（Universal Groups）

• 可用于不同域中的多个用户，适用于大型组织。

4. 组管理操作（图形化界面）

添加用户到组

1. 打开 计算机管理 → 本地用户和组 → 组。

2. 右键点击目标组（如 Administrators），选择 “添加成员”。

3. 在 “选择用户或组” 界面中输入用户名，点击 “检查名称”，然后点击 “确定”。

使用命令行添加用户到组

1. net localgroup Administrators testuser /add

复制代码

解释：

• net localgroup：管理本地组。

• Administrators：目标组名。

• testuser：要添加的用户。

---

四、Windows 服务器用户账户策略和权限管理

Windows 服务器提供组策略（GPO）和本地安全策略用于管理用户账户的权限及安全策略。

1. 账户锁定策略

• 路径：gpedit.msc → 计算机配置 → Windows 设置 → 安全设置 → 账户策略 → 账户锁定策略

• 可配置项：

  • 账户锁定阈值（尝试失败多少次锁定账户）

  • 账户锁定时间

  • 复位账户锁定计数时间

2. 密码策略

• 路径：gpedit.msc → 计算机配置 → Windows 设置 → 安全设置 → 账户策略 → 密码策略

• 可配置项：

  • 密码最小长度

  • 密码复杂性要求

  • 密码过期时间

3. 使用 PowerShell 配置密码策略

1. secedit /export /cfg C:\SecurityPolicy.inf
2. notepad C:\SecurityPolicy.inf
3. secedit /configure /db secedit.sdb /cfg C:\SecurityPolicy.inf

复制代码

此方法用于导出、修改并重新应用安全策略。

---

五、Windows 服务器远程用户管理

1. 远程桌面用户管理

1. net localgroup "Remote Desktop Users" testuser /add

复制代码

解释：

• 将 testuser 添加到 Remote Desktop Users 组，允许远程登录。

2. 远程注销用户

1. logoff <session_id>

复制代码

查看当前会话 ID：

1. query session

复制代码

---

六、Windows 服务器账户管理常见问题

1. 无法创建用户账户？

   • 检查是否有管理员权限。

   • 检查 gpedit.msc 中的账户策略。

2. 用户账户密码复杂性要求过高？

   • gpedit.msc → 计算机配置 → 安全设置 → 账户策略 → 密码策略，修改相关选项。

3. 账户被锁定？

   • 使用 net user /active:yes 重新激活账户。

---

七、总结

• Windows 服务器用户账户分为本地用户、域用户、内置用户和服务账户等类型。

• 组账户用于批量管理用户权限，提高管理效率。

• 账户管理可以通过图形化界面、命令行和 PowerShell 实现。

• 组策略（GPO）可用于配置密码策略、账户锁定策略等安全规则。

• 远程管理用户账户需要适当的权限和策略配置。

通过合理配置 Windows 服务器用户账户和组账户，可以提高系统的安全性和可管理性。