每个用户都必须有一个帐户,以便利用这个帐户登录到计算机,访问该计算机内的资源,或者利用该帐户登录到域,访问域中的资源。
l 帐户和密码的命名规则
帐户名的命名规则如下:
帐户名必须惟一,且不分大小写。
最多可包含20个大小写字符和数字,输入时可超过20个字符,但只识别前20个字符。
不能使用保留字字符:"∧[]:;|=,+*?<>@。
可以是字符和数字的组合。
不能与组名相同。
l 密码命名规则如下:
必须为administrator帐户分配密码,防止未经授权就使用。
密码的长度在8-128之间。
密码可以使用大小写字母、数字和其他合法的字符。
(1)本地用户帐户
本地用户帐户创建在本地安全账户数据库SAM中,只具有本地意义。SAM数据库文件路径为\windows\system32\config\sam。用户可以利用本地用户帐户登录该帐户所在的计算机,但是这个帐户只能够访问这台计算机内的资源。如果要访问其他计算机内的资源,则必须输入其他计算机内的用户帐户名称和密码。
(2)域用户帐户
域用户帐户存储在域控制器的Active Directory数据库内。当用户登录时,该域内的所有域控制器都可以检查用户帐户名称和密码是否正确。在以后的章节中会详细介绍。
(3)内置帐户
当Windows Server 2003安装完毕后,会自动创建一些内置的帐户,从计算机管理界面可以查看到这些帐户。其中,Administrator(系统管理员)和Guest(客户)是比较常见的两个内置帐户。
组是指本地计算机或active directory中的对象,包括用户、联系人、计算机和其他组。在Windows Server 2003中,通过组来管理用户和计算机对共享资源的访问。如果赋予某个组访问某个资源的权限,这个组的用户就会自动拥有该权限。引入组的概念主要是为了方便管理访问权限相同的一系列用户帐户。
4.组的类型
用户帐户一样,根据Windows Server 2003服务器的工作组模式和域模式,组分为本地组和域组。
本地组:创建在本地的组帐户。这些组帐户的信息被存储在本地安全帐户数据库(SAM)内。本地组只能在本地机上使用。本地组有两种类型:用户创建的组和系统内置的组。
域组:组帐户的信息被存储在active directory数据库中,这些组能够被使用在整个域中的计算机上。域组可以分为安全组和分布式组。
5.帐户设置策略
通过“本地安全策略”可以增加计算机的安全。用户可以通过“开始”→“管理工具”→“本地安全策略”的途径进行设置。
(1) 密码策略
在单击“密码策略”后,可以在图中的右方找到多项与密码相关的策略,可以通过双击对这些策略进行设置。
密码复杂性要求:如果启动该设置,用户密码应满足以下要求:密码长度最少为6个字符;密码至少包含以下大写英文字符(A-Z)、小写英文字符(a-z)、阿拉伯数字(0-9)、非字母数字字符(例如:!、$、#或%)4种字符中的3种;密码不能包含用户帐户名称中的3个或3个以上字符,在更改密码或创建密码时,将强制实施这些复杂性要求。建议:用户启用。
密码长度最小值:用来确定密码的最少字符数,设置的值在0-14之间。如果将该值设置为0,则允许用户使用空白密码。建议:该值设置为8个字符。
密码最长使用期限:确定在要求用户更改密码之前可以使用它的天数。该设置的值可以在0-999之间;如果将其设置为0,密码将永不过期。如果将该值设置得太低,则可能会给用户带来麻烦;如果设置得过高或禁用,黑客就会有更充足的时间来破解密码。建议:设置为42天。
密码最短期限:确定在用户可以更改新密码前必须将其保持的天数。该设置与“强制密码历史”设置搭配使用,使用户不能快速将密码重设所需的次数。该设置的值可以在0-999之间;如果将其设置为0,则用户可以立即更改新密码。建议将该值设置为2天。
强制密码历史:确定在用户可以重用旧密码前必须使用唯一新密码的数量。该设置的值可以在0和24之间;如果将其设置为0,则禁用强制密码历史。对于大多数组织,应该将该值设置为24个密码。
(2) 帐户锁定策略
帐户锁定策略中主要包括复位帐户锁定计数器、帐户锁定时间、帐户锁定值3种设置方式。
帐户锁定值:用来设置在用户登录多次失败后,就将该用户锁定,在未被解锁之前,用户无法再利用该帐户登录,此值可为0-999之间,如果设置为0,则表示帐户永远不会被锁定。
帐户锁定时间:用来设置帐户锁定的时间长度,时间过后自动解除,其值范围为0-99999分钟,如果设置为0,表示该帐户将被永久锁定,不会被自动解除,此时必须由系统管理员手工解除。
复位帐户锁定计数器:“帐户锁定计数器”是用来记录用户登录失败的次数,起始值为0,如果登录失败,起始值自动加1,如果登录成功,则计数器会被自动清0,如果连续登录失败的次数达到了规定的次数,则用户帐户将被自动锁定。
任务实施
1.创建本地帐户
本地帐户是工作在本地机的,只有系统管理员才能在本地创建用户。例如,创建本地帐户xiaoli的具体操作步骤如下:
(1)选择“开始”→“程序”→“管理工具”→“计算机管理”→“本地用户和组”选项,在弹出的窗口中右击“用户”,选择“新用户”命令。
弹出“新用户”对话框中,如图所示。依次填入用户名、密码和确认密码。
2.更改帐户
要对已经建立的帐户更改登录名,则在“计算机管理”中→“本地用户和组”→“用户”在列表中选择,右击该帐户,选择“重命名”→输入新名字。例如将用户名xiaoli改为SAM。
3.删除帐户
如果某用户离开公司,为防止其他用户使用该用户帐户登录,就要删除该用户的帐户。在“计算机管理窗口”中,选择“本地用户和组”→“用户”,在列表中选择,右击该帐户,选择“删除”;单击“是”按钮,即可删除。例如将用户名SAM删除。
4.禁用与激活帐户
5.帐户策略的设置
在以上的实验中,建立一个帐户对密码复杂度没有要求,也允许建立空密码,这存在很多不安全的因素。为了增加服务器的安全性,需要使用帐户策略,增加安全性。例如,对SAM这个帐户设置帐户策略,具体要求如下:不允许使用空白密码;密码长度至少6个字符,密码中至少包含大写字符,小写字符,阿拉伯数字和非字母数字字符(!、#、%或$)4个字符中的1种;密码登录3次失败帐户被自动锁定。具体步骤如下:
点击“开始”→“管理工具”→“本地安全策略”命令,打开本地安全设置窗口,点击“帐户策略”→“密码策略”,将“密码必须符合复杂性要求”启用,“密码长度最小值”为6个字符。
点击“帐户策略”→“帐户锁定策略”,将帐户锁定阂值为3次无效登录。
原文:https://www.cnblogs.com/ferachan/p/12505746.html