默認本地組
本地用戶和組 Microsoft 管理控制台 (MMC) 中的組資料夾顯示默認本地組以及您創建的本地組。默認本地組是在安裝作業系統時自動創建的。如果一個用戶屬於某個本地組,則該用戶就具有在本地計算機上執行各種任務的權利和能力。
可以向本地組添加本地用戶帳戶、域用戶帳戶、計算機帳戶以及組帳戶。
下表提供了對位於組資料夾中的默認組的描述。此表也列出了每個組的默認用戶許可權。這些用戶許可權是在本地安全策略中分配的。
| 組 | 描述 | 默認用戶許可權 |
|---|---|---|
| Administrators | 此組的成員具有對計算機的完全控制許可權,並且他們可以根據需要向用戶分配用戶許可權和訪問控制許可權。Administrator 帳戶是此組的默認成員。當計算機加入域中時,Domain Admins 組會自動添加到此組中。因為此組可以完全控制計算機,所以向其中添加用戶時要特別謹慎。 | 從網路訪問此計算機 調整進程的記憶體配額 允許本地登錄 允許通過遠程桌面服務登錄 備份檔案和目錄 跳過遍歷檢查 更改系統時間 更改時區 創建頁面檔案 創建全局對象 創建符號連結 調試程式 從遠程系統強制關機 身份驗證後模擬客戶端 提高日程安排的優先權 裝載和卸載設備驅動程式 作為批處理作業登錄 管理審核和安全日誌 修改固件環境變數 執行卷維護任務 配置單一進程 配置系統性能 從擴展塢中取出計算機 還原檔案和目錄 關閉系統 獲得檔案或其他對象的所有權 |
| 備份操作員 | 此組的成員可以備份和還原計算機上的檔案,而不管保護這些檔案的許可權如何。這是因為執行備份任務的權利要高於所有檔案許可權。此組的成員無法更改安全設定。 | 從網路訪問此計算機 允許本地登錄 備份檔案和目錄 跳過遍歷檢查 作為批處理作業登錄 還原檔案和目錄 關閉系統 |
| Cryptographic Operators | 已授權此組的成員執行加密操作。 | 沒有默認的用戶許可權 |
| Distributed COM Users | 允許此組的成員在計算機上啟動、激活和使用 DCOM 對象。 | 沒有默認的用戶許可權 |
| Guests | 該組的成員擁有一個在登錄時創建的臨時配置檔案,在註銷時,此配置檔案將被刪除。來賓帳戶(默認情況下已禁用)也是該組的默認成員。 | 沒有默認的用戶許可權 |
| IIS_IUSRS | 這是 Internet 信息服務 (IIS) 使用的內置組。 | 沒有默認的用戶許可權 |
| Network Configuration Operators | 該組的成員可以更改 TCP/IP 設定,並且可以更新和發布 TCP/IP 地址。該組中沒有默認的成員。 | 沒有默認的用戶許可權 |
| Performance Log Users | 該組的成員可以從本地計算機和遠程客戶端管理性能計數器、日誌和警報,而不用成為管理員組的成員。 | 沒有默認的用戶許可權 |
| Performance Monitor Users | 該組的成員可以從本地計算機和遠程客戶端監視性能計數器,而不用成為管理員組或 Performance Log Users 組的成員。 | 沒有默認的用戶許可權 |
| Power Users | 默認情況下,該組的成員擁有不高於標準用戶帳戶的用戶許可權或許可權。在早期版本的 Windows 中,Power Users 組專門為用戶提供特定的管理員權利和許可權執行常見的系統任務。在此版本 Windows 中,標準用戶帳戶具有執行最常見配置任務的能力,例如更改時區。對於需要與早期版本的 Windows 相同的 Power User 權利和許可權的舊應用程式,管理員可以套用一個安全模板,此模板可以啟用 Power Users 組,以假設具有與早期版本的 Windows 相同的權利和許可權。 | 沒有默認的用戶許可權 |
| Remote Desktop Users | 該組的成員可以遠程登錄計算機。 | 允許通過遠程桌面服務登錄 |
| Replicator | 該組支持複製功能。Replicator 組的唯一成員應該是 域用戶帳戶 ,用於登錄域控制器的複製器服務。不能將實際用戶的用戶帳戶添加到該組中。 | 沒有默認的用戶許可權 |
| 用戶 | 該組的成員可以執行一些常見任務,例如運行應用程式、使用本地和網路印表機以及鎖定計算機。該組的成員無法已分享資料夾或創建本地印表機。默認情況下,Domain Users、Authenticated Users 以及 Interactive 組是該組的成員。因此,在域中創建的任何用戶帳戶都將成為該組的成員。 | 從網路訪問此計算機 允許本地登錄 跳過遍歷檢查 更改時區 增加進程工作集 從擴展塢中取出計算機 關閉系統 |
| 提供遠程協助幫助程式 | 該組的成員可以向此計算機用戶提供遠程協助。 | 沒有默認的用戶許可權 |
管理本地用戶和組
管理本地用戶帳戶的檔案
管理員可以使用主資料夾和文檔資料夾將用戶檔案集中到一個位置。用戶檔案集中在一個位置簡化了備份過程,並使訪問控制管理更容易。
主檔案可以是本地資料夾,也可以是共享資源中的資料夾。可以將其分配給一個用戶或多個用戶。將主資料夾分配給一個用戶後,它就成為該用戶的“打開”和對話框、命令提示符會話以及沒有定義工作資料夾的所有程式的默認資料夾。
文檔資料夾是主資料夾的備用資料夾,但它不會取代主資料夾。當用戶試圖保存或打開檔案時,多數程式都以下面兩種方式之一確定是使用主資料夾還是文檔資料夾:
一些程式先在主資料夾中查找與要打開或保存的檔案的類型(例如,*.doc 或 *.txt)匹配的檔案。如果找到帶匹配擴展名的檔案,則程式將打開主資料夾而忽略文檔資料夾。如果沒有找到帶匹配擴展名的檔案,則程式將打開文檔資料夾。
從命令行管理本地組
可以使用下表中的命令行工具管理本地組。
| 名稱 | 描述 |
|---|---|
| net localgroup | 該命令用來添加、顯示或修改本地組。 |
為什麼您不應該以管理員身份運行計算機
以管理員組成員的身份運行計算機將使系統容易受到特洛伊木馬及其他安全風險的威脅。訪問 Internet 站點或打開電子郵件附屬檔案的簡單行動都可能破壞系統。不熟悉的 Internet 站點或電子郵件附屬檔案可能有特洛伊木馬代碼,這些代碼可以下載到系統並被執行。
如果以本地計算機的管理員身份登錄,特洛伊木馬可能使用管理訪問權重新格式化您的硬碟,刪除檔案並創建新的用戶帳戶。
在本地計算機上,建議將域用戶帳戶僅添加到 Users 組(而非管理員組),以執行例行任務,包括運行程式和訪問 Internet 站點。當需要在本地計算機上執行管理任務時,請通過管理憑據使用“以管理員身份運行”啟動程式。
您可以使用“以管理員身份運行”完成管理任務,而不至將計算機置於不必要的風險中。
如果您需要執行其他管理任務,例如升級作業系統或配置系統參數,請先註銷然後再以管理員身份登錄。
用戶帳戶控制概述
用戶帳戶控制 (UAC) 是一種新的安全組件,使用戶可以用非管理員身份(在此版本的 Windows 中稱為“標準用戶”)以及管理員身份執行常見任務,而無需切換用戶、註銷或使用“以管理員身份運行”命令。標準用戶帳戶與 Microsoft Windows(R) XP 中的用戶帳戶類似。作為本地管理員組成員的用戶帳戶以標準用戶身份運行大多數應用程式。因為 UAC 在進行生產時將用戶功能和管理員功能分隔開來,所以它是此版本的 Windows 的一個重要增強功能。
當管理員登錄到運行此版本 Windows 的計算機時,將為該用戶分配兩個單獨的訪問令牌。Windows 使用訪問令牌(包含用戶的組成員身份、授權數據和訪問控制數據)控制用戶可以訪問的資源和任務。在一些先前版本的 Windows(如 Windows XP)中,管理員帳戶只接收到一個訪問令牌,其中包含的數據可授予該用戶訪問所有 Windows 資源的許可權。此訪問控制模型不包含任何故障保險檢查,而故障保險檢查可以確保用戶真正執行需要他(或她)的管理訪問令牌的任務。因此,惡意軟體可以將其自身安裝在計算機上,而不會通知用戶。此過程通常稱為“無提示”安裝。因為用戶是管理員,所以惡意軟體可以使用管理員的訪問控制數據感染核心作業系統檔案。在某些情況下,惡意軟體可能會變得幾乎不可能被刪除,而且可能會造成更多破壞。
此版本的 Windows 中的標準用戶和管理員之間的主要區別在於他們對計算機有多少控制權。管理員可以更改系統狀態、關閉防火牆、關閉策略、安裝影響計算機上每個用戶的服務或驅動程式等等。管理員可以為整台計算機安裝軟體。標準用戶無法以這種方式更改系統狀態。
本地用戶和組的疑難解答
我接收到錯誤訊息“此系統的本地策略不允許您互動登錄”,或者我無法從本地登錄
原因:從本地登錄到計算機的功能是由本地安全策略控制的。
解決方案:將用戶帳戶添加到 Users 本地組,或使用本地安全策略向特定用戶或組分配允許在本地登錄的許可權。
runas 命令運行失敗。
原因:Secondary Logon 服務沒有運行。
解決方案:啟動 Secondary Logon 服務。
我無法登錄到運行 Windows 95 或 Windows 98 的網路計算機。
原因:密碼超過 14 個字元。
解決方案:創建新用戶帳戶或將密碼更改為適用於 Windows 95 和 Windows 98 的不超過 14 個字元的密碼。
我無法訪問遠程計算機上的計算機管理擴展管理單元
原因:遠程計算機上沒有運行遠程註冊表服務。
解決方案:確保在遠程計算機上啟動了遠程註冊表服務。在遠程計算機上具有相應的許可權才能啟動該服務。
