本地用户和组位于
计算机管理中,用户可以使用这一组
管理工具来管理单台本地或远程计算机。可以使用本地用户和组保护并管理存储在本地计算机上的
用户帐户和组。可以在特定计算机上(只能是这台计算机)分配本地用户帐户或组帐户的权限和权利。
本地用户帐户
本地用户和组 Microsoft 管理控制台 (MMC)
管理单元中的用户文件夹显示默认的用户帐户以及您创建的用户帐户。这些默认的用户帐户是在安装操作系统时自动创建的。下表描述了显示在本地用户和组中的每个默认用户帐户。
默认本地组
本地用户和组
Microsoft 管理控制台 (MMC) 中的组文件夹显示默认
本地组以及您创建的本地组。默认本地组是在安装操作系统时自动创建的。如果一个用户属于某个本地组,则该用户就具有在本地计算机上执行各种任务的权利和能力。
可以向
本地组添加本地用户帐户、
域用户帐户、计算机帐户以及组帐户。
下表提供了对位于组文件夹中的默认组的描述。此表也列出了每个组的默认
用户权限。这些用户权限是在
本地安全策略中分配的。
管理本地用户和组
管理本地用户帐户的文件
管理员可以使用主文件夹和文档文件夹将用户文件集中到一个位置。用户文件集中在一个位置简化了备份过程,并使访问控制管理更容易。
主文件可以是
本地文件夹,也可以是
共享资源中的文件夹。可以将其分配给一个用户或多个用户。将主文件夹分配给一个用户后,它就成为该用户的“打开”和“另存为”对话框、
命令提示符会话以及没有定义
工作文件夹的所有程序的默认文件夹。
文档文件夹是主文件夹的备用文件夹,但它不会取代主文件夹。当用户试图保存或打开文件时,多数程序都以下面两种方式之一确定是使用主文件夹还是文档文件夹:
一些程序先在主文件夹中查找与要打开或保存的文件的类型(例如,*.
doc 或 *.
txt)匹配的文件。如果找到带匹配
扩展名的文件,则程序将打开主文件夹而忽略文档文件夹。如果没有找到带匹配扩展名的文件,则程序将打开文档文件夹。
从命令行管理本地组
可以使用下表中的命令行工具管理本地组。
为什么您不应该以管理员身份运行计算机
以管理员组成员的身份运行计算机将使系统容易受到
特洛伊木马及其他
安全风险的威胁。访问 Internet 站点或打开
电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码,这些代码可以下载到系统并被执行。
如果以本地计算机的管理员身份登录,特洛伊木马可能使用管理访问权重新格式化您的硬盘,
删除文件并创建新的用户帐户。
在本地计算机上,建议将
域用户帐户仅添加到 Users 组(而非管理员组),以执行例行任务,包括运行程序和访问 Internet 站点。当需要在本地计算机上执行管理任务时,请通过管理凭据使用“以管理员身份运行”启动程序。
您可以使用“以管理员身份运行”完成管理任务,而不至将计算机置于不必要的风险中。
如果您需要执行其他管理任务,例如升级操作系统或配置
系统参数,请先注销然后再以管理员身份登录。
用户帐户控制概述
用户帐户控制 (UAC) 是一种新的
安全组件,使用户可以用非管理员身份(在此版本的 Windows 中称为“标准用户”)以及管理员身份执行常见任务,而无需
切换用户、注销或使用“以管理员身份运行”命令。标准用户帐户与
Microsoft Windows(R) XP 中的用户帐户类似。作为本地管理员组成员的用户帐户以标准用户身份运行大多数
应用程序。因为 UAC 在进行生产时将用户功能和管理员功能分隔开来,所以它是此版本的 Windows 的一个重要增强功能。
当管理员登录到运行此版本 Windows 的计算机时,将为该用户分配两个单独的
访问令牌。Windows 使用访问令牌(包含用户的
组成员身份、授权数据和访问控制数据)控制用户可以访问的资源和任务。在一些先前版本的 Windows(如
Windows XP)中,管理员帐户只接收到一个访问令牌,其中包含的数据可授予该用户访问所有 Windows 资源的权限。此访问
控制模型不包含任何故障保险检查,而故障保险检查可以确保用户真正执行需要他(或她)的管理访问令牌的任务。因此,
恶意软件可以将其自身安装在计算机上,而不会通知用户。此过程通常称为“无提示”安装。因为用户是管理员,所以恶意软件可以使用管理员的访问控制数据感染核心操作系统文件。在某些情况下,恶意软件可能会变得几乎不可能被删除,而且可能会造成更多破坏。
此版本的 Windows 中的标准用户和管理员之间的主要区别在于他们对计算机有多少
控制权。管理员可以更改
系统状态、关闭防火墙、关闭策略、安装影响计算机上每个用户的服务或
驱动程序等等。管理员可以为整台计算机安装软件。标准用户无法以这种方式更改系统状态。
本地用户和组的疑难解答
我接收到错误消息“此系统的本地策略不允许您交互登录”,或者我无法从本地登录
原因:从本地登录到计算机的功能是由
本地安全策略控制的。
解决方案:将用户帐户添加到 Users
本地组,或使用本地安全策略向特定用户或组分配允许在本地登录的权限。
解决方案:启动 Secondary Logon 服务。
原因:密码超过 14 个字符。
解决方案:创建新用户帐户或将密码更改为适用于 Windows 95 和 Windows 98 的不超过 14 个字符的密码。
解决方案:确保在远程计算机上启动了远程注册表服务。在远程计算机上具有相应的权限才能启动该服务。