Windows Server 2008 R2 : Forstå Lokale Brukere og Grupper (del 1) – Administrere Lokale Brukere Og Grupper

Selv om Du bruker Active Directory, må du fortsatt forstå hvordan lokale brukere og grupper fungerer. Lokale brukere og grupper har en nøkkelrolle, ikke bare for vedlikehold, men også for sentraladministrasjon.

i denne delen ser du hvordan du administrerer lokale brukere og grupper på Både Windows Server 2008 R2 full serverinstallasjoner og Serverkjerneinstallasjoner. Du vil også lære standard lokale brukere / grupper og standardinnstillingene på disse serverne og hvordan disse innstillingene påvirker infrastrukturen.

1. Lær Standard Lokale Brukere Og Grupper

enten du arbeider med En Windows Server 2008 R2 full installasjon eller Med Server Core, tilbyr administrere lokale grupper noen store likheter. Fra og med standardinstallasjonene har begge systemene samme standardbrukere og grupper installert.

På Windows Server 2008 R2-serveren har du som standard to brukerkontoer som er opprettet, Administrator og Gjest.

  • Administrator Er standard innebygd konto for administrasjon av den lokale maskinen. Administratorkontoen er som standard den eneste kontoen som er aktivert.

  • Gjest er standard innebygd konto for gjest tilgang til systemet; kontoen er imidlertid deaktivert som standard.

Tabell 1 beskriver flere andre grupper installert som standard som du trenger å vite.

Tabell 1. Standard Lokale Grupper
Gruppe Definisjon Og Bruk
Administratorer denne gruppen har ubegrenset tilgang til den lokale datamaskinen. Denne kontoen er hovedkontoen for å utføre en oppgave på en server. Administratorkontoen er som standard det eneste medlemmet i denne gruppen.
Backup Operatører denne gruppen, som navnet antyder, er designet for sikkerhetskopiering og gjenoppretting av filer på serveren.
Certificate Service DCOM Access denne gruppen kan koble til sertifikatmyndigheter for registrering i Din Foretrukne Offentlige Nøkkelinfrastruktur.
Kryptografiske Operatører denne gruppen er tillatt og autorisert til å utføre kryptografioperasjoner på serveren din. Disse innstillingene inkluderer kryptoinnstillingene i IPsec-policyen til Windows-Brannmuren, blant andre innstillinger.
Distribuerte Com-Brukere denne gruppen kan aktivere OG starte dcom-objekter på serveren. DCOM-objekter brukes til kommunikasjon av applikasjonene.
Hendelseslogglesere denne gruppen kan arbeide med og lese de lokale hendelsesloggene på serveren.
Gjester Brukere av denne gruppen har som standard samme tilgang som Brukergruppen, bortsett Fra Gjestekontoen, som er ytterligere begrenset. Som standard er den eneste kontoen i denne gruppen den deaktiverte Gjestekontoen.
IIS_IUSRS dette er standard gruppekonto for Bruk Med Internet Information Services.
Nettverkskonfigurasjonsoperatører Brukere i denne gruppen har noen administrative rettigheter over å administrere konfigurasjonen av nettverksfunksjoner på serveren.
Brukere Av Ytelseslogg denne gruppen lar brukerne planlegge logging av ytelsestellere, aktivere sporingsleverandører og samle hendelsesspor for den lokale serveren. Oppgavene kan utføres lokalt eller eksternt.
Brukere Av Ytelsesmåler denne gruppen kan få tilgang til lokale ytelsestellerdata enten lokalt eller via ekstern administrasjon.
Avanserte Brukere denne gruppen har begrensede administrative funksjoner på systemet og er primært inkludert for bakoverkompatibilitet med tidligere operativsystemer.
Utskriftsoperatører disse brukerne kan arbeide med og administrere skrivere på det lokale serversystemet.
Remote Desktop-Brukere Brukere i denne gruppen får rett til å logge på eksternt til serveren.
Replikator denne gruppen er laget for filreplikasjon.
Brukere har begrenset administrativ tilgang til systemet for å hindre at medlemmer utilsiktet gjør endringer som kan føre til endringer i hele systemet. brukere i denne gruppen kan imidlertid kjøre og få tilgang til de fleste programmer.

Hvis du Plasserer brukerkontoer i disse lokale gruppene, får disse brukerne tilgang til de riktige tillatelsene og ansvarsområdene for gruppene. Det grunnleggende konseptet bak bruk av grupper lar deg tildele tillatelser bare en gang til gruppen, og dermed gi tillatelser til alle medlemmene i gruppen. Dette gir en enkel måte for deg å delegere administrasjon for serveren din. Hvis du for eksempel vil at en bruker skal utføre en daglig sikkerhetskopi av serveren din, trenger du bare å legge dem til Sikkerhetskopieringsoperatørgruppen, og de vil få de nødvendige rettighetene til å utføre sikkerhetskopiering og gjenoppretting.

2. Administrere Lokale Brukere Og Grupper

Administrere lokale brukergrupper på serveren er bare et spørsmål om å laste inn riktig snapin-modul For Microsoft Management Console (MMC). Du kan administrere en Windows Server 2008 r2 full serverinstallasjon eller En Serverkjerneinstallasjon. Men hvis du vil administrere de lokale brukerne og gruppene på Serverkjerneinstallasjonen MED MMC, må du gjøre det eksternt. Det er systemkommandoer som lar Deg administrere Server Core lokalt, og du vil se disse kommandoene senere i denne delen. For å få tilgang til de lokale brukergruppene, kan du gå Til Kontrollpanelet for å administrere kontoene, eller du kan foretrekke en mer grundig titt på brukerne. Du vil se de lokale brukerne og gruppehåndteringsverktøyene for både en full server-og Serverkjerneinstallasjon i følgende trinn.

  1. Velg Start => Kjør, skriv INN MMC, og trykk Enter. Dette laster en tom MMC, som vist I Figur 1.

    Figur 1. Blank MMC

  2. For å utføre arbeid i en tom MMC, må du laste inn riktig snap-in. Hvis du vil laste inn snapin-moduler, velger Du Fil => Legg Til / Fjern Snapin-Moduler. Dette vil laste Inn Dialogboksen Legg Til Eller Fjern Snapin-Moduler, som vist I Figur 2.

    Figur 2. Legge til snapin-moduler

    hvis du vil administrere lokale brukere og grupper, velger Du snapin-modulen Lokale Brukere og Grupper og klikker På Legg til-knappen. Dette åpner Dialogboksen Velg Målmaskin, som vist i Figur 3.

    Figur 3. Target machine

    i Dialogboksen Velg Målmaskin kan du enten velge den lokale datamaskinen for å administrere brukerne på maskinen du kjører konsollen fra, eller velge alternativknappen For En Annen Datamaskin og angi ENTEN IP-adressen eller navnet på datamaskinen du vil administrere. Dette alternativet lar deg administrere lokale brukere og grupper på en ekstern server, for eksempel Server Core, hvis du har de riktige tillatelsene. Når du har valgt, klikker Du Fullfør for å gå tilbake Til Dialogboksen Legg Til Eller Fjern Snapin-Moduler.

  3. i Dialogboksen Legg Til Eller Fjern Snapin-Moduler klikker DU OK for å laste inn snapin-modulen I MMC. Figur 4 viser en lokal brukere OG GRUPPE MMC.

    Figur 4. Administrere lokale brukere og grupper

    Når du har lastet inn snapin-modulene i MMC, kan du lagre DEN tilpassede MMC-en for fremtidig bruk. For å gjøre dette, velg Fil => Lagre.

NÅR DU har lastet INN MMC for å administrere lokale brukere og grupper, kan du enkelt arbeide med brukere og grupper. Opprette bruker-Ider Og grupper, endre passord eller andre egenskaper kan alle enkelt gjøres med grensesnittet.

2.1. Opprett En Lokal Brukerkonto

når du oppretter en lokal brukerkonto, gir du kontoen tilgang til den lokale serveren, noe som er en enkel prosess:

  1. inne I Lokale Brukere OG GRUPPE MMC du opprettet i forrige prosedyre, høyreklikker Du Brukere-beholderen.

  2. Velg Ny Bruker, som vil vise Dialogboksen Ny Bruker, som vist i Figur 5.

    Figur 5. Dialogboksen ny Bruker

  3. Skriv inn brukernavn, fullt navn, og valgfri beskrivelse, samt passord. Passordet som standard må følge passordkompleksitetskravene som er oppført i sidepanelet» Standard Passordkrav». I tillegg kan du merke kontoen deaktivert, hvis du vet at kontoen ikke vil være i bruk i en periode. Du har også følgende alternativer angående innstillingen av det opprinnelige passordet:

    Brukeren Må Endre Passord Ved Neste Pålogging Dette er standardinnstillingen, og du bør vurdere å holde denne avmerkingsboksen aktivert når du oppretter en ny brukerkonto. Den eneste gangen du bør fjerne denne avmerkingsboksen, er når kontoen du oppretter, vil være en tjenestekonto for et program. Denne innstillingen lar brukeren sette sitt eget personlige passord når de logger på systemet første gang. Alt du trenger å gjøre som administrator er å sette et første midlertidig passord for brukeren. Det kan være lurt å vite passordene for brukerne i tilfelle en bruker forlater selskapet eller er på ferie. I virkeligheten, så lenge du kjenner administratorpassordet, har du administrativ rett til å tilbakestille et passord midlertidig og få tilgang til en konto. Selv om det er godt å ha denne evnen, bør du utøve den med forsiktighet og bare når situasjonen garanterer det.

    Bruker Kan ikke Endre Passord som standard denne innstillingen er nedtonet og blir bare tilgjengelig når Du fjerner Brukeren Må Endre Passord Ved neste Påloggingsinnstilling, nevnt tidligere. Dette gjør at du kan kontrollere at passordet for kontoen ikke endres. Dette er også bra for tjenestekontoer for applikasjoner lastet på serveren din. Denne innstillingen vil også omgå noen lokal maskin passord konto policy.

    Passord Utløper aldri som standard denne innstillingen er også nedtonet, og som den forrige innstillingen, blir den bare tilgjengelig når Brukeren Må Endre Passord Ved neste Påloggingsinnstilling er fjernet. Innstillingen, som navnet tilsier, låser ned passordet. Denne innstillingen vil også omgå noen lokal maskin passordpolicy.

  4. når du har fylt ut skjemaet, klikker Du Opprett for å opprette kontoen. Hvis passordet ditt ikke oppfyller kravene til passordkompleksitet, vil du se skjermen i Figur 6.

    Figur 6. Passord kompleksitet feil

    Standard Passordkrav

    standard passordkravene er de samme for både de lokale brukerkontoene og Active Directory-brukerkontoene . Standard passordkravene For en windows Server 2008 R2-server er som følger:

    • kan ikke inneholde brukerens kontonavn eller deler av brukerens fulle navn som overstiger to påfølgende tegn

    • Være minst seks tegn i lengde

    • Inneholder tegn fra tre av følgende fire kategorier:

      engelske store bokstaver (A-Z)

      engelske små bokstaver (a-z)

      Base 10 sifre (0-9)

      Nonalphabetic tegn (for eksempel !, $, #, %)

  5. hvis du ikke har flere lokale brukerkontoer å opprette, klikker Du Lukk. Ellers gjentar du trinn 3 og 4 for å fortsette å opprette lokale kontoer på serveren.

2.2. Opprett En Lokal Gruppe

Når du har opprettet brukerkontoene dine, vil du mest sannsynlig opprette grupper for å legge til brukerne i. Grupper, som du kanskje vet, brukes til å gi tillatelser generelt til filer eller skrivere som ligger På Windows Server 2008 R2-serveren. Disse lokale gruppene kan gis rettigheter og tillatelser til ressurser bare på den lokale serveren.

  1. høyreklikk gruppebeholderen i Lokale Brukere OG GRUPPE MMC du opprettet tidligere.

  2. Velg Ny Gruppe, som vil vise Dialogboksen Ny Gruppe, som vist i Figur 7.

    Figur 7. Dialogboksen ny Gruppe

    Skriv inn navnet på den nye gruppen og en beskrivelse. Hvis du vil legge til medlemmer i gruppen umiddelbart, klikker Du På Legg til-knappen nederst på skjermen. Ved Å klikke På Legg til-knappen vises Dialogboksen Velg Brukere, som vist i figur 8.

    figur 8. Dialogboksen velg Brukere

    hvis du vil legge til brukere, kan du skrive dem inn i tekstboksen navn. Hvis du vil kontrollere stavingen av brukernavnene du vil legge til, kan du klikke Kontroller Navn, som vil bekrefte brukernavnene for deg. Du kan også klikke På Avansert-knappen, som vil utvide dialogboksen slik at du kan liste alle brukerkontoer på systemet. Denne dialogboksen har Et Søk nå-alternativ slik at du raskt kan liste alle brukerne på systemet. Hvis Du klikker På Finn Nå, vil Du se en skjerm som Ligner På Figur 9.

    Figur 9. Avansert valg av brukere

  3. når du har klikket Finn Nå, vil du se en liste over brukere på systemet, samt lokale systembruker-og gruppekontoer. Velg brukeren eller brukerne du vil være i gruppen din. Hvis du vil velge flere brukere, kan du holde Nede Ctrl-tasten på tastaturet mens du klikker. Du kan også velge en liste ved Hjelp Av Skift-tasten. Hvis du klikker på det øverste elementet i listen, holder Nede Skift-tasten og klikker på det nederste elementet i listen, velger du alle elementene mellom og inkluderer topp-og bunnvalg.

Spesielle Identitetsgrupper

Det kan hende at når du legger til brukere i gruppen, hadde du flere kontoer og grupper som du ikke opprettet. Dette er spesielle identitetsgrupper, og du kan ikke kontrollere medlemskapet i disse gruppene. Brukerne dine blir medlemmer av disse gruppene gjennom handlingene de utfører på serverne dine eller hvordan de får tilgang til servere, og medlemskapet til disse gruppene er midlertidig og endres normalt gitt hvordan brukeren vil jobbe med systemet. Systemgrupper kan brukes til å angi tillatelser basert på hvordan brukere får tilgang til eller samhandler med serveren. Tabell 2 viser noen av systemgruppene du kan støte på når du arbeider med serveren.

gruppene som ikke er oppført i tabellen, er normalt systemgrupper som er reservert for bruk av operativsystemet og tjenestene som kjører På Windows Server 2008 R2-serveren. Spesielt må du være spesielt oppmerksom på en spesiell identitetskonto, SYSTEMKONTOEN. SYSTEMKONTOEN representerer operativsystemet Windows Server 2008 R2. Når du arbeider med filene på serveren din og brukerrettighetene, kan DU støte PÅ SYSTEMKONTOEN, og du bør la denne kontoen være uendret. Hvis DU endrer tillatelsene ELLER rettighetene SYSTEMKONTOEN har på serveren din, kan du deaktivere serveren, noe som kan føre til at du installerer operativsystemet på nytt.

Tabell 2. Spesielle Identitetsgrupper
Gruppe Beskrivelse
Anonym Pålogging dette representerer når brukere ikke bruker legitimasjon av noe slag for å få tilgang til systemet.
Godkjente Brukere Brukere plasseres automatisk i denne gruppen når de logger seg lokalt på systemet. Å utnytte denne gruppen er en fin måte å sikre at bare gyldige, godkjente brukere kan få tilgang til ressurser.
Creator Owner når en bruker oppretter et objekt, for eksempel en fil eller mappe på serveren, plasseres de i Creator Owner-gruppen for objektet. Generelt Sett, Skaperen Eier brukeren har full kontroll over det opprettede objektet.
Oppringt når en bruker kobler til serveren via en oppringt tilkobling, for eksempel en ekstern VPN-tilkobling, blir de lagt til i denne gruppen.
Alle Alle er medlem av denne gruppen uavhengig av hvordan de får tilgang til serveren.
Interaktiv når en bruker logger seg lokalt på serveren (med andre ord, de har fysisk tilgang til serveren og logger seg fysisk på serveren), plasseres brukerne i denne gruppen.
Nettverk Når en bruker får ekstern tilgang til serveren via en nettverkstilkobling, for eksempel når de kobler til en fildeling, plasseres de i denne gruppen.
Remote Interactive Logon når en bruker får tilgang til serveren eksternt med en lokal bruker-ID og aktivt logger seg på systemet for å utføre eksterne oppgaver, for eksempel når en administrator logger seg på serveren fra en ekstern arbeidsstasjon, plasseres de i denne gruppen.
System dette er kontogruppe-IDEN som brukes Av Operativsystemet Windows Server 2008 R2.
Terminal Server-Bruker når brukere får tilgang til serveren Ved Hjelp Av Remote Desktop Services, plasseres de automatisk i denne gruppen.

2.3. Administrer Lokale Brukere Og Grupper

når du er ferdig med å opprette brukergruppene dine, må du vedlikeholde og administrere de lokale kontoene. Hvis du vil begynne å administrere lokale grupper, høyreklikker du bare brukeren eller gruppen du vil administrere. De deler noen vanlige oppgaver. Når du høyreklikker en bruker eller gruppe, kan du slette, gi nytt navn til, åpne hjelp eller vise de unike egenskapene for objektet.

når du høyreklikker brukeren, kan du angi et nytt passord for brukeren. Den eneste gangen du bør angi passordet for en eksisterende konto er hvis brukeren har glemt eller mistet passordet sitt. Brukeren vil miste tilgang til informasjon som krypterte filer, lagrede internett-passord (selv om brukeren kan gjenskape disse med det nye passordet), e-post som er kryptert med brukerens offentlige nøkkel, og eventuelle lagrede sertifikater(igjen, nye sertifikater kan utstedes for å fortsatt gi tilgang). Den potensielle risikoen her er å miste data i filer som er kryptert AV encrypted file system (EFS). Hvis du har sikkerhetskopiert gjenopprettingsnøklene, vil du kunne hente data; men hvis det ikke er noen sikkerhetskopi av nøklene, vil du ikke kunne få tilgang til dataene.

når du høyreklikker en brukerkonto, får du valget om å angi passordet. Når du velger alternativet, vil du motta advarselen vist I Figur 10.

Figur 10. Angi passord advarsel

når du høyreklikker en gruppe og velger Legg Til I Gruppe, starter dette den samme prosessen for å legge til medlemmer i gruppen som brukt i den forrige prosedyren da du opprettet gruppen. I tillegg, når du velger Alternativet Egenskaper etter at du høyreklikker gruppen, vil det ta deg til egenskapene der Du kan bruke Dialogboksen Legg Til Medlemmer.

når Du velger Egenskaper alternativet etter at du høyreklikker vil åpne en liste over egenskaper du kan endre for brukerkontoen, som vist I Figur 11.

egenskapene som er oppført her, er deldokumentasjon og delkontokonfigurasjon. Fanene oppført vil tillate deg å konfigurere grunnleggende brukernavn og beskrivelse informasjon og gruppemedlemskap. Du kan også angi egenskaper for tilkoblingsinformasjon For Eksterne Skrivebordstjenester, brukerprofiler, informasjon om hjemmekatalogen og innringingstilgang.

Figur 11. Brukeregenskaper

2.4. Behandle Lokale Brukere Og Grupper På Server Core

du har kanskje ikke tilgang Til En Microsoft Management Console, og du må kanskje gjøre endringer i de lokale brukerne og gruppene på En Windows Server 2008 R2 Server Core-installasjon. Du kan legge til, slette og endre alle aspekter av lokale brukere og grupper via ledeteksten. Spesielt er net-kommandoen hvordan du arbeider med brukere og grupper direkte på Server Core. Net-kommandoen vil også fungere på En Windows Server 2008 r2 full server installasjon.

net-kommandoen har mange funksjoner, inkludert å starte og stoppe tjenester og konfigurere IP-adressen på serveren. Du vil se i denne delen hvordan du bruker net-kommandoen til å jobbe med lokale brukere og grupper.

alle net-kommandoene begynner med net; for brukere vil dette bli etterfulgt av bruker, og for lokale grupper vil dette bli etterfulgt av localgroup. Hvis du for eksempel vil se den gjeldende listen over lokale brukere eller lokale grupper, skriver du inn en av følgende enkle kommandoer Og trykker Enter:

  • Bruk nettbruker til å se en liste over lokale brukere.

  • bruk net localgroup til å se en liste over lokale grupper.

for å legge til en bruker eller lokal gruppe i systemet, følger kommandoene lignende syntaks. Kommandoene vil inkludere / add-bryteren. For eksempel, for å legge til en bruker som heter Harold med et passord til systemet ditt, vil du bruke følgende kommando:

net user Harold /add

for å legge til En lokal gruppe Kalt Forfattere til serveren din, bruker du følgende kommando:

net localgroup Writers /add

for å legge Til Harold I Writers-gruppen, bruker du følgende kommando:

net localgroup Writers Harold /add

for å se gjeldende medlemskap for lokale gruppeforfattere, bruker du følgende kommando: 

net localgroup Writers

Write a Comment

Din e-postadresse vil ikke bli publisert.