Windows网络服务器配置与管理案例教程 第4章 本地用户和组的管理.ppt

《Windows网络服务器配置与管理案例教程 第4章 本地用户和组的管理.ppt》由会员分享，可在线阅读，更多相关《Windows网络服务器配置与管理案例教程 第4章 本地用户和组的管理.ppt（26页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第4章章本地用户和组的管理本地用户和组的管理41 概述概述计算机和网络系统通过帐户把使用者区别计算机和网络系统通过帐户把使用者区别和隔离开来，让用户可以定制自己的使用和隔离开来，让用户可以定制自己的使用环境；防止用户破坏其他用户的数据等。环境；防止用户破坏其他用户的数据等。任何人访问你管理的系统，都应该由你给任何人访问你管理的系统，都应该由你给他们分配唯一的帐户，这可以让你知道谁他们分配唯一的帐户，这可以让你知道谁做了什么事，并且防止破坏其他用户的设做了什么事，并且防止破坏其他用户的设置和非法获得其他人的文件等。置和非法获得其他人的文件等。一个帐户包括帐户名、密码、权限等信息，这一个帐户包括

2、帐户名、密码、权限等信息，这一个帐户包括帐户名、密码、权限等信息，这一个帐户包括帐户名、密码、权限等信息，这些信息存储在计算机中，是些信息存储在计算机中，是些信息存储在计算机中，是些信息存储在计算机中，是Windows Server Windows Server 20032003网络上的个人唯一标识；系统通过帐户来网络上的个人唯一标识；系统通过帐户来网络上的个人唯一标识；系统通过帐户来网络上的个人唯一标识；系统通过帐户来确认用户的身份，并赋予用户对资源的访问权确认用户的身份，并赋予用户对资源的访问权确认用户的身份，并赋予用户对资源的访问权确认用户的身份，并赋予用户对资源的访问权限。限。限。限。

3、每一个帐号在创建的时候都有一个每一个帐号在创建的时候都有一个每一个帐号在创建的时候都有一个每一个帐号在创建的时候都有一个Security Security IDID（SID,SID,安全标识符），当用户访问系统的资安全标识符），当用户访问系统的资安全标识符），当用户访问系统的资安全标识符），当用户访问系统的资源时，系统根据其帐户的源时，系统根据其帐户的源时，系统根据其帐户的源时，系统根据其帐户的SIDSID，检查用户具有，检查用户具有，检查用户具有，检查用户具有哪些权利和权限，然后再让用户在其权利和权哪些权利和权限，然后再让用户在其权利和权哪些权利和权限，然后再让用户在其权利和权哪些权利和权限

4、，然后再让用户在其权利和权限范围内进行访问。限范围内进行访问。限范围内进行访问。限范围内进行访问。WindowsWindows不是根据用户名来识别用户的，而是不是根据用户名来识别用户的，而是不是根据用户名来识别用户的，而是不是根据用户名来识别用户的，而是根据这个根据这个根据这个根据这个SIDSID来识别用户的，如果来识别用户的，如果来识别用户的，如果来识别用户的，如果SIDSID不一样，不一样，不一样，不一样，就算用户名等其它设置一模一样，就算用户名等其它设置一模一样，就算用户名等其它设置一模一样，就算用户名等其它设置一模一样，WindowsWindows也也也也会认为是不一样的两个帐号。这就

5、像我们的户会认为是不一样的两个帐号。这就像我们的户会认为是不一样的两个帐号。这就像我们的户会认为是不一样的两个帐号。这就像我们的户籍管理，只认你的身份证号是否正确，而不管籍管理，只认你的身份证号是否正确，而不管籍管理，只认你的身份证号是否正确，而不管籍管理，只认你的身份证号是否正确，而不管你的名字是否相同是一个道理的。而且你的名字是否相同是一个道理的。而且你的名字是否相同是一个道理的。而且你的名字是否相同是一个道理的。而且SIDSID是是是是WindowsWindows在创建该帐号的时候随机给的，所以在创建该帐号的时候随机给的，所以在创建该帐号的时候随机给的，所以在创建该帐号的时候随机给的，所

6、以说当删除了一个帐号后，即使再次建立一个一说当删除了一个帐号后，即使再次建立一个一说当删除了一个帐号后，即使再次建立一个一说当删除了一个帐号后，即使再次建立一个一模一样的帐号，其模一样的帐号，其模一样的帐号，其模一样的帐号，其SIDSID和原来的那个是不一样，和原来的那个是不一样，和原来的那个是不一样，和原来的那个是不一样，那么他的那么他的那么他的那么他的NTFSNTFS权限就必须重新设置。权限就必须重新设置。权限就必须重新设置。权限就必须重新设置。域用户账户域用户账户域用户账户域用户账户 n使用户能够登录到域以访问网络资源n这些用户账户驻留在 Active Directory 目录服务里 本

7、地用户账户本地用户账户本地用户账户本地用户账户 n使用户能够登录到某台计算机并访问该计算机上的资源n账户驻留在计算机的“安全账户管理器”(SAM)里 内置用户账户内置用户账户内置用户账户内置用户账户 n使用户能够执行管理任务或者能临时访问网络资源n本地的 Administrator 和 Guest 用户账户驻留在 SAM 中 n域中的 Administrator 和 Guest 用户账户驻留在 Active Directory 里 Administrator 和 Guestv本地帐户又可分为下面两类：本地帐户又可分为下面两类：1 1、系统内置帐户、系统内置帐户、系统内置帐户、系统内置帐户 Ad

8、ministratorAdministratorAdministratorAdministrator（系统管理员）帐户：拥有本地计算（系统管理员）帐户：拥有本地计算（系统管理员）帐户：拥有本地计算（系统管理员）帐户：拥有本地计算机最高的权限，管理整个计算机系统。系统管理员机最高的权限，管理整个计算机系统。系统管理员机最高的权限，管理整个计算机系统。系统管理员机最高的权限，管理整个计算机系统。系统管理员的默认名字是的默认名字是的默认名字是的默认名字是AdministratorAdministratorAdministratorAdministrator，要求大家务必牢记。，要求大家务必牢记。，要

9、求大家务必牢记。，要求大家务必牢记。我们可以更改系统管理员的名字，但不能删除该帐我们可以更改系统管理员的名字，但不能删除该帐我们可以更改系统管理员的名字，但不能删除该帐我们可以更改系统管理员的名字，但不能删除该帐户，也不能禁止该帐户登录。户，也不能禁止该帐户登录。户，也不能禁止该帐户登录。户，也不能禁止该帐户登录。GuestGuestGuestGuest（来宾）帐户：是为临时访问计算机的用户提（来宾）帐户：是为临时访问计算机的用户提（来宾）帐户：是为临时访问计算机的用户提（来宾）帐户：是为临时访问计算机的用户提供的。该帐户自动生成，可以更改名字，但不能被供的。该帐户自动生成，可以更改名字，但不

10、能被供的。该帐户自动生成，可以更改名字，但不能被供的。该帐户自动生成，可以更改名字，但不能被删除，删除，删除，删除，GuestGuestGuestGuest帐户只有很少的权限，而且默认情况下，帐户只有很少的权限，而且默认情况下，帐户只有很少的权限，而且默认情况下，帐户只有很少的权限，而且默认情况下，该帐户被禁止使用。该帐户被禁止使用。该帐户被禁止使用。该帐户被禁止使用。2 2、用户建立的帐户、用户建立的帐户、用户建立的帐户、用户建立的帐户由具有管理员权限的用户建立的，可以登录本由具有管理员权限的用户建立的，可以登录本由具有管理员权限的用户建立的，可以登录本由具有管理员权限的用户建立的，可以登录

11、本地计算机的帐户。我们通常说的帐户管理主要地计算机的帐户。我们通常说的帐户管理主要地计算机的帐户。我们通常说的帐户管理主要地计算机的帐户。我们通常说的帐户管理主要是对这部分帐户的管理。是对这部分帐户的管理。是对这部分帐户的管理。是对这部分帐户的管理。v411 帐户命名规则帐户命名规则帐户包括用户名和密码，作为管理员，需要给帐户包括用户名和密码，作为管理员，需要给帐户包括用户名和密码，作为管理员，需要给帐户包括用户名和密码，作为管理员，需要给计算机或网络的使用者建立用户帐户。普通用计算机或网络的使用者建立用户帐户。普通用计算机或网络的使用者建立用户帐户。普通用计算机或网络的使用者建立用户帐户。普

12、通用户的用户名应该简单好记、有一定的规律，以户的用户名应该简单好记、有一定的规律，以户的用户名应该简单好记、有一定的规律，以户的用户名应该简单好记、有一定的规律，以方便管理。用户名和密码有如下规则：方便管理。用户名和密码有如下规则：方便管理。用户名和密码有如下规则：方便管理。用户名和密码有如下规则：1 1、帐户名的命名规则：、帐户名的命名规则：、帐户名的命名规则：、帐户名的命名规则：一个系统中，帐户名必须惟一，且不区分大小写。一个系统中，帐户名必须惟一，且不区分大小写。一个系统中，帐户名必须惟一，且不区分大小写。一个系统中，帐户名必须惟一，且不区分大小写。最多可以有最多可以有最多可以有最多可以

13、有20202020个字符，由字符和数字组成。输入时个字符，由字符和数字组成。输入时个字符，由字符和数字组成。输入时个字符，由字符和数字组成。输入时可超过可超过可超过可超过20202020个字符，但只识别前个字符，但只识别前个字符，但只识别前个字符，但只识别前20202020个字符。个字符。个字符。个字符。不能使用的保留字符有不能使用的保留字符有不能使用的保留字符有不能使用的保留字符有”:;|=,+*:;|=,+*:;|=,+*:;|=,+*?。不能与用户组的组名相同。不能与用户组的组名相同。不能与用户组的组名相同。不能与用户组的组名相同。2 2、密码命名规则：、密码命名规则：、密码命名规则：、

14、密码命名规则：为了系统的安全，每个帐户都应该有密码。为了系统的安全，每个帐户都应该有密码。为了系统的安全，每个帐户都应该有密码。为了系统的安全，每个帐户都应该有密码。密码长度应该在密码长度应该在密码长度应该在密码长度应该在8128812881288128位之间。位之间。位之间。位之间。建议使用大小写字母、数字和其他合法字符的组合。建议使用大小写字母、数字和其他合法字符的组合。建议使用大小写字母、数字和其他合法字符的组合。建议使用大小写字母、数字和其他合法字符的组合。密码尽量不要有规律，如不要使用名字、生日、电密码尽量不要有规律，如不要使用名字、生日、电密码尽量不要有规律，如不要使用名字、生日、

15、电密码尽量不要有规律，如不要使用名字、生日、电话号码等。话号码等。话号码等。话号码等。v412 帐户的类型帐户的类型Windows Server 2003Windows Server 2003有两种工作模式，工作有两种工作模式，工作有两种工作模式，工作有两种工作模式，工作组模式和域模式。针对这两种工作模式，也有组模式和域模式。针对这两种工作模式，也有组模式和域模式。针对这两种工作模式，也有组模式和域模式。针对这两种工作模式，也有两种用户身份，本地帐户和域帐户。本章只介两种用户身份，本地帐户和域帐户。本章只介两种用户身份，本地帐户和域帐户。本章只介两种用户身份，本地帐户和域帐户。本章只介绍本地帐

16、户管理，域帐户的管理将在第绍本地帐户管理，域帐户的管理将在第绍本地帐户管理，域帐户的管理将在第绍本地帐户管理，域帐户的管理将在第7 7章进章进章进章进行介绍。行介绍。行介绍。行介绍。本地帐户都是在本地帐户都是在本地帐户都是在本地帐户都是在Windows Server 2003Windows Server 2003独立服独立服独立服独立服务器、域中的成员服务器以及务器、域中的成员服务器以及务器、域中的成员服务器以及务器、域中的成员服务器以及Windows XPWindows XP客客客客户端上建立。本地帐户只能在本地计算机上登户端上建立。本地帐户只能在本地计算机上登户端上建立。本地帐户只能在本地

17、计算机上登户端上建立。本地帐户只能在本地计算机上登录，在本地计算机上进行身份认证，只能按权录，在本地计算机上进行身份认证，只能按权录，在本地计算机上进行身份认证，只能按权录，在本地计算机上进行身份认证，只能按权限访问本地计算机的资源。限访问本地计算机的资源。限访问本地计算机的资源。限访问本地计算机的资源。42 本地帐户的管理本地帐户的管理v421 新建新建/删除帐户删除帐户1 1、创建帐户、创建帐户、创建帐户、创建帐户2 2、删除帐户、删除帐户、删除帐户、删除帐户v422 更改帐户名和密码更改帐户名和密码只有管理员才有权限更改其他用户的用户名和只有管理员才有权限更改其他用户的用户名和只有管理员

18、才有权限更改其他用户的用户名和只有管理员才有权限更改其他用户的用户名和密码。密码。密码。密码。1 1、更改帐户名、更改帐户名、更改帐户名、更改帐户名2 2、更改密码、更改密码、更改密码、更改密码 注意：用上述方法更改用户密码后，可能会造成不注意：用上述方法更改用户密码后，可能会造成不注意：用上述方法更改用户密码后，可能会造成不注意：用上述方法更改用户密码后，可能会造成不可逆的信息丢失，用户将无法访问自己以前受保护可逆的信息丢失，用户将无法访问自己以前受保护可逆的信息丢失，用户将无法访问自己以前受保护可逆的信息丢失，用户将无法访问自己以前受保护的数据，如用户加密文件，用户存储在本机的的数据，如用

19、户加密文件，用户存储在本机的的数据，如用户加密文件，用户存储在本机的的数据，如用户加密文件，用户存储在本机的InternetInternetInternetInternet连接密码等。连接密码等。连接密码等。连接密码等。如果用户在知道自己密码的情况下想更改原密码，如果用户在知道自己密码的情况下想更改原密码，如果用户在知道自己密码的情况下想更改原密码，如果用户在知道自己密码的情况下想更改原密码，应该是在登录后按应该是在登录后按应该是在登录后按应该是在登录后按Ctrl+Alt+DelCtrl+Alt+DelCtrl+Alt+DelCtrl+Alt+Del键，在出现的对话键，在出现的对话键，在出现的

20、对话键，在出现的对话框中点击框中点击框中点击框中点击“更改密码更改密码更改密码更改密码”按钮。按钮。按钮。按钮。3 3、创建密码重设盘、创建密码重设盘、创建密码重设盘、创建密码重设盘 请一定要小心保管密码重设盘，不能被他人获得请一定要小心保管密码重设盘，不能被他人获得请一定要小心保管密码重设盘，不能被他人获得请一定要小心保管密码重设盘，不能被他人获得 v423 禁用与激活帐户禁用与激活帐户43 组的管理组的管理v431 概述概述为了简化用户的管理，为了简化用户的管理，为了简化用户的管理，为了简化用户的管理，WindowsWindows引入了用户组引入了用户组引入了用户组引入了用户组的形式。可以

21、将若干用户加入到用户组中，通的形式。可以将若干用户加入到用户组中，通的形式。可以将若干用户加入到用户组中，通的形式。可以将若干用户加入到用户组中，通过设置某个组对资源的权限，组中的用户都会过设置某个组对资源的权限，组中的用户都会过设置某个组对资源的权限，组中的用户都会过设置某个组对资源的权限，组中的用户都会自动拥有该权限。组的引入方便了管理权限相自动拥有该权限。组的引入方便了管理权限相自动拥有该权限。组的引入方便了管理权限相自动拥有该权限。组的引入方便了管理权限相同的一些用户帐户。同的一些用户帐户。同的一些用户帐户。同的一些用户帐户。那么组到底是什么意思呢？组是系统中同类对那么组到底是什么意思

22、呢？组是系统中同类对那么组到底是什么意思呢？组是系统中同类对那么组到底是什么意思呢？组是系统中同类对象的集合，比如有工作组、用户组、计算机组象的集合，比如有工作组、用户组、计算机组象的集合，比如有工作组、用户组、计算机组象的集合，比如有工作组、用户组、计算机组等。我们可以把用户组看作是班级，用户就是等。我们可以把用户组看作是班级，用户就是等。我们可以把用户组看作是班级，用户就是等。我们可以把用户组看作是班级，用户就是班级里的学生。当要给一批用户分配同一权限班级里的学生。当要给一批用户分配同一权限班级里的学生。当要给一批用户分配同一权限班级里的学生。当要给一批用户分配同一权限时，就可以将这些用户

23、都归到一个组中，只要时，就可以将这些用户都归到一个组中，只要时，就可以将这些用户都归到一个组中，只要时，就可以将这些用户都归到一个组中，只要给这个组分配此权限，组内的用户就都会拥有给这个组分配此权限，组内的用户就都会拥有给这个组分配此权限，组内的用户就都会拥有给这个组分配此权限，组内的用户就都会拥有此权限。就好像给一个班级发了一个通知，班此权限。就好像给一个班级发了一个通知，班此权限。就好像给一个班级发了一个通知，班此权限。就好像给一个班级发了一个通知，班级内的所有学生都会收到这个通知一样。级内的所有学生都会收到这个通知一样。级内的所有学生都会收到这个通知一样。级内的所有学生都会收到这个通知一

24、样。v432 组的类型组的类型当计算机处在工作组的网络模式中时，计算机当计算机处在工作组的网络模式中时，计算机当计算机处在工作组的网络模式中时，计算机当计算机处在工作组的网络模式中时，计算机上的用户组分为系统内置组和用户自定义组两上的用户组分为系统内置组和用户自定义组两上的用户组分为系统内置组和用户自定义组两上的用户组分为系统内置组和用户自定义组两种类型。种类型。种类型。种类型。1 1、系统内置组、系统内置组、系统内置组、系统内置组2 2、用户自己建立的组、用户自己建立的组、用户自己建立的组、用户自己建立的组 可以创建本地组的用户必须是可以创建本地组的用户必须是可以创建本地组的用户必须是可以创

25、建本地组的用户必须是AdministratorsAdministratorsAdministratorsAdministrators组的组的组的组的成员。成员。成员。成员。n组仅可在域控制器上创建组仅可在域控制器上创建 n组驻留在组驻留在 Active Directory 目录服务里目录服务里 n用来控制访问域资源用来控制访问域资源 n组被创建在非域控制器的计组被创建在非域控制器的计算机上算机上 n组驻留在组驻留在“安全账户管理器安全账户管理器”(SAM)中中 n用来控制访问计算机资源用来控制访问计算机资源域控制器域控制器客户端客户端计算机计算机成员成员服务器服务器SAMSAMSAMSAMv使

26、用本地组所要遵循的准则有：使用本地组所要遵循的准则有：只在不隶属于域的计算机上设置本地组只在不隶属于域的计算机上设置本地组 本地组可以用来控制对本地计算机上资源的访问并本地组可以用来控制对本地计算机上资源的访问并且被用来对本地计算机执行系统任务且被用来对本地计算机执行系统任务 v本地组的成员身份所要遵循的准则有：本地组的成员身份所要遵循的准则有：本地组只能包含创建该本地组的计算机上的本地用本地组只能包含创建该本地组的计算机上的本地用户账户户账户 本地组不能是其他任何组的成员本地组不能是其他任何组的成员 v只有只有 Administrators 组或者组或者 Power Users 组的成员才有

27、权创建本地组。组的成员才有权创建本地组。A A用户账户用户账户=P P=授权访问授权访问L L本地组本地组=工作组工作组Windows XPlWindows XPWindows XPL LP PA A添加添加L LP PA A添加添加L LP PA A添加添加Windows 2003L LP PA A添加添加授权授权授权授权授权授权授权授权在工作在工作组组中使用本地中使用本地组组的策略的策略v433 管理本地用户组管理本地用户组1 1、建立本地用户组、建立本地用户组、建立本地用户组、建立本地用户组2 2、将用户加入组中、将用户加入组中、将用户加入组中、将用户加入组中3 3、管理本地组、管理本地

28、组、管理本地组、管理本地组44 帐户安全策略帐户安全策略v用户帐户和密码是进入系统的安全凭证，为保证计用户帐户和密码是进入系统的安全凭证，为保证计用户帐户和密码是进入系统的安全凭证，为保证计用户帐户和密码是进入系统的安全凭证，为保证计算机和网络系统的安全，必须对用户帐户和密码进算机和网络系统的安全，必须对用户帐户和密码进算机和网络系统的安全，必须对用户帐户和密码进算机和网络系统的安全，必须对用户帐户和密码进行有效的安全管理。行有效的安全管理。行有效的安全管理。行有效的安全管理。4 44 41 1 帐户安全常识帐户安全常识帐户安全常识帐户安全常识vv1 1、用户数据库、用户数据库、用户数据库、用

29、户数据库 计算机上所有本地帐户和组的安全信息都存储在用户数据库计算机上所有本地帐户和组的安全信息都存储在用户数据库计算机上所有本地帐户和组的安全信息都存储在用户数据库计算机上所有本地帐户和组的安全信息都存储在用户数据库SAMSAM（Security Accounts ManagersSecurity Accounts Managers，安全帐户管理器）中。，安全帐户管理器）中。，安全帐户管理器）中。，安全帐户管理器）中。SAMSAM数据库的文件位于数据库的文件位于数据库的文件位于数据库的文件位于“%windir%system32configsam”%windir%system32configs

30、am”。如果。如果。如果。如果该文件被删除，则本地计算机所有帐户信息都会丢失，该文件被删除，则本地计算机所有帐户信息都会丢失，该文件被删除，则本地计算机所有帐户信息都会丢失，该文件被删除，则本地计算机所有帐户信息都会丢失，AdministratorAdministrator帐户的密码将被置为空。帐户的密码将被置为空。帐户的密码将被置为空。帐户的密码将被置为空。vv2 2、重要的服务器上最好不要安装多系统，以防止从其他系、重要的服务器上最好不要安装多系统，以防止从其他系、重要的服务器上最好不要安装多系统，以防止从其他系、重要的服务器上最好不要安装多系统，以防止从其他系统登录后，删除统登录后，删除

31、统登录后，删除统登录后，删除SamSam数据库。数据库。数据库。数据库。vv3 3、在、在、在、在BIOSBIOS中禁止从软盘或光盘启动服务器，以防止从软中禁止从软盘或光盘启动服务器，以防止从软中禁止从软盘或光盘启动服务器，以防止从软中禁止从软盘或光盘启动服务器，以防止从软盘启动，删除盘启动，删除盘启动，删除盘启动，删除SamSam数据库。数据库。数据库。数据库。vv4 4、禁用、禁用、禁用、禁用GuestGuest帐户帐户帐户帐户5 5、不要轻易使用、不要轻易使用、不要轻易使用、不要轻易使用AdministratorAdministrator帐户帐户帐户帐户 管理员应该根据服务器管理的需要，

32、建立新的管理管理员应该根据服务器管理的需要，建立新的管理管理员应该根据服务器管理的需要，建立新的管理管理员应该根据服务器管理的需要，建立新的管理帐户并赋予恰当的权限。例如帐户并赋予恰当的权限。例如帐户并赋予恰当的权限。例如帐户并赋予恰当的权限。例如DHCPDHCPDHCPDHCP服务器，平时只服务器，平时只服务器，平时只服务器，平时只使用能够管理使用能够管理使用能够管理使用能够管理DHCPDHCPDHCPDHCP服务的帐户登录就可以了，不要服务的帐户登录就可以了，不要服务的帐户登录就可以了，不要服务的帐户登录就可以了，不要轻易使用轻易使用轻易使用轻易使用AdministratorAdminis

33、tratorAdministratorAdministrator帐户登录。帐户登录。帐户登录。帐户登录。由于由于由于由于AdministratorAdministratorAdministratorAdministrator帐户权限太大，使用帐户权限太大，使用帐户权限太大，使用帐户权限太大，使用AdministratorAdministratorAdministratorAdministrator可能会因误操作带来意想不到的后果；可能会因误操作带来意想不到的后果；可能会因误操作带来意想不到的后果；可能会因误操作带来意想不到的后果；另外另外另外另外AdministratorAdministrat

34、orAdministratorAdministrator帐户也是网络攻击的重点对象。帐户也是网络攻击的重点对象。帐户也是网络攻击的重点对象。帐户也是网络攻击的重点对象。建议将建议将建议将建议将AdministratorAdministratorAdministratorAdministrator帐户重命名，设置复杂密码，帐户重命名，设置复杂密码，帐户重命名，设置复杂密码，帐户重命名，设置复杂密码，并经常更换密码。并经常更换密码。并经常更换密码。并经常更换密码。6 6、合理的建立用户组，并设置恰当的权限。、合理的建立用户组，并设置恰当的权限。、合理的建立用户组，并设置恰当的权限。、合理的建立用户

35、组，并设置恰当的权限。v442 设置帐户安全策略设置帐户安全策略Windows Server 2003Windows Server 2003为了加强用户帐户和密为了加强用户帐户和密码的安全性，提供了账户策略。码的安全性，提供了账户策略。可以在可以在可以在可以在“开始开始开始开始所有程序所有程序所有程序所有程序管理工具管理工具管理工具管理工具本地安全策略本地安全策略本地安全策略本地安全策略帐户策略帐户策略帐户策略帐户策略”中，设置合理的中，设置合理的中，设置合理的中，设置合理的帐户锁定策略和密码策略所示。帐户锁定策略和密码策略所示。帐户锁定策略和密码策略所示。帐户锁定策略和密码策略所示。所谓复杂

36、密码是指构成密码的字符至少包括大所谓复杂密码是指构成密码的字符至少包括大所谓复杂密码是指构成密码的字符至少包括大所谓复杂密码是指构成密码的字符至少包括大写字母、小写字母、数字和标点符号这四类中写字母、小写字母、数字和标点符号这四类中写字母、小写字母、数字和标点符号这四类中写字母、小写字母、数字和标点符号这四类中的三类。的三类。的三类。的三类。组的最佳实践组的最佳实践 仅在不属于域中的计算机上使用本地组仅在不属于域中的计算机上使用本地组 尽量使用内置组而不要创建一个新组尽量使用内置组而不要创建一个新组 总是把用户账户添加到限制最多的组中总是把用户账户添加到限制最多的组中当使用本地组时，推荐使用当使用本地组时，推荐使用 A L P 策略策略 实验实验实验实验v本地用户和组的管理本地用户和组的管理