Windows Server 2008 R2 : förstå lokala användare och grupper (del 1) – administrera Lokala användare och grupper

även om du använder Active Directory måste du fortfarande förstå hur lokala användare och grupper fungerar. Lokala användare och grupper spelar en nyckelroll inte bara för underhåll utan också för central administration.

i det här avsnittet ser du hur du hanterar lokala användare och grupper på både Windows Server 2008 R2 fullständiga serverinstallationer och Server Core-installationer. Du kommer också att lära dig de lokala standardanvändarna / grupperna och standardinställningarna på dessa servrar och hur dessa inställningar påverkar din Infrastruktur.

1. Lär standard lokala användare och grupper

oavsett om du arbetar med en Windows Server 2008 R2 fullständig installation eller Med Server Core, hantera lokala grupper erbjuder några stora likheter. Från och med standardinstallationerna har båda systemen samma standardanvändare och grupper installerade.

på din Windows Server 2008 R2-server har du som standard två användarkonton som skapas, administratör och gäst.

  • administratör är det inbyggda standardkontot för att administrera den lokala datorn. Administratörskontot är som standard det enda kontot som är aktiverat.

  • gäst är det inbyggda standardkontot för gäståtkomst till systemet; kontot är dock inaktiverat som standard.

Tabell 1 beskriver flera andra grupper installerade som standard som du behöver veta.

Tabell 1. Standard lokala grupper
grupp Definition och användning
administratörer den här gruppen har obegränsad åtkomst till den lokala datorn. Detta konto är huvudkontot för att utföra alla uppgifter på en server. Som standard är administratörskontot den enda medlemmen i den här gruppen.
Backup operatörer denna grupp, som namnet antyder, är utformad för säkerhetskopiering och återställning av filer på servern.
Certifikatservice DCOM Access den här gruppen får ansluta till certifikatutfärdare för registrering i din önskade offentliga nyckelinfrastruktur.
kryptografiska operatorer den här gruppen är tillåten och behörig att utföra kryptografioperationer på din server. Dessa inställningar inkluderar kryptoinställningarna i IPsec-policyn för Windows-brandväggen, bland andra inställningar.
distribuerade COM-användare denna grupp kan aktivera och starta DCOM-objekt på servern. DCOM-objekt används för kommunikation av applikationerna.
Händelseloggläsare den här gruppen kan arbeta med och läsa de lokala händelseloggarna på servern.
gäster användare av denna grupp har som standard samma åtkomst som användargruppen, förutom gästkontot, vilket är ytterligare begränsat. Som standard är det enda kontot i den här gruppen det inaktiverade gästkontot.
IIS_IUSRS detta är standardgruppskontot för användning med Internet Information Services.
operatörer för nätverkskonfiguration användare i den här gruppen har vissa administratörsbehörigheter över att hantera konfigurationen av nätverksfunktioner på servern.
prestanda Log användare denna grupp tillåter sina användare att schemalägga loggning av prestandaräknare, aktivera spår leverantörer, och samla händelse spår för den lokala servern. Uppgifterna kan utföras lokalt eller på distans.
Prestandaövervakare den här gruppen kan komma åt lokala prestandaräknardata antingen lokalt eller via fjärradministration.
avancerade användare denna grupp har begränsade administrativa funktioner på systemet och ingår främst för bakåtkompatibilitet med tidigare operativsystem.
Utskriftsoperatörer dessa användare kan arbeta med och administrera skrivare på det lokala serversystemet.
användare av fjärrskrivbord användare i den här gruppen har rätt att logga in på servern på distans.
Replicator denna grupp är avsedd för fil replikering.
användare har begränsad administrativ åtkomst till systemet för att förhindra att medlemmar oavsiktligt gör ändringar som kan orsaka systemomfattande ändringar; användare i den här gruppen kan dock köra och komma åt de flesta applikationer.

att placera användarkonton i dessa lokala grupper ger användarna tillgång till rätt behörigheter och ansvar för grupperna. Det grundläggande konceptet bakom att använda grupper låter dig tilldela behörigheter bara en gång till gruppen, vilket ger behörigheter till alla medlemmar i gruppen. Detta erbjuder ett enkelt sätt för dig att delegera administration för din server. Om du till exempel vill att en användare ska utföra en daglig säkerhetskopiering av din server behöver du helt enkelt lägga till dem i gruppen Backup Operators, och de skulle få de nödvändiga rättigheterna för att utföra säkerhetskopiering och återställning.

2. Administrera Lokala användare och grupper

hantera lokala användargrupper på din server handlar bara om att ladda rätt snapin-modul för Microsoft Management Console (MMC). Du kan hantera antingen en Windows Server 2008 R2 full serverinstallation eller en Server Core-installation. Men om du vill hantera de lokala användarna och grupperna på din Server Core-installation med MMC måste du göra det på distans. Det finns systemkommandon som låter dig hantera Server Core lokalt, och du kommer att se dessa kommandon senare i det här avsnittet. För att komma åt de lokala användargrupperna kan du gå till kontrollpanelen för att hantera kontona, eller du kanske föredrar en mer grundlig titt på användarna. Du kommer att se de lokala användarna och grupphanteringsverktygen för både en fullständig server-och Serverkärninstallation i följande steg.

  1. Välj Start => Kör, skriv in MMC och tryck på Enter. Detta laddar en tom MMC, som visas i Figur 1.

    Figur 1. Blank MMC

  2. för att utföra arbete i någon tom MMC måste du ladda in lämplig snap-in. Om du vill ladda snapin-moduler väljer du File = > Lägg till/ta bort snapin-moduler. Detta laddar dialogrutan Lägg till eller ta bort snapin-moduler, som bilden i Figur 2.

    Figur 2. Lägga till snapin-moduler

    om du vill hantera lokala användare och grupper väljer du snapin-modulen Lokala användare och grupper och klickar på knappen Lägg till. Detta öppnar dialogrutan Välj målmaskin, som bilden i Figur 3.

    Figur 3. Target machine

    i dialogrutan Välj målmaskin kan du antingen välja den lokala datorn för att hantera användarna på datorn du kör konsolen från eller välja alternativknappen en annan dator och ange antingen IP-adressen eller namnet på den dator du vill hantera. Med det här alternativet kan du hantera lokala användare och grupper på en fjärrserver som Server Core, om du har lämpliga behörigheter. När du har gjort ditt val klickar du på Slutför för att återgå till dialogrutan Lägg till eller ta bort snapin-moduler.

  3. i dialogrutan Lägg till eller ta bort snapin-moduler klickar du på OK för att ladda snapin-modulen i din MMC. Figur 4 visar en lokal användare och grupp MMC.

    Figur 4. Hantera lokala användare och grupper

    när du har laddat dina snapin-moduler i MMC kan du spara din anpassade MMC för framtida användning. För att göra det, välj Arkiv => spara.

när du har laddat MMC för att hantera lokala användare och grupper kan du enkelt arbeta med dina användare och grupper. Skapa användar-ID och grupper, Ändra lösenord eller andra egenskaper kan alla enkelt göras med gränssnittet.

2.1. Skapa ett lokalt användarkonto

när du skapar ett lokalt användarkonto ger du kontot åtkomst till den lokala servern, vilket är en enkel process:

  1. högerklicka på behållaren användare i de lokala användarna och gruppen MMC som du skapade i föregående procedur.

  2. Välj Ny användare, som visar dialogrutan Ny användare, som visas i Figur 5.

    Figur 5. Dialogrutan Ny användare

  3. skriv in användarnamnet, fullständigt namn och valfri beskrivning samt lösenordet. Lösenordet som standard måste följa kraven på lösenordskomplexitet som anges i sidofältet” Standardlösenordskrav”. Dessutom kan du markera kontot inaktiverat om du vet att kontot inte kommer att användas under en tidsperiod. Du har också följande alternativ angående inställningen av det ursprungliga lösenordet:

    användaren måste ändra lösenord vid nästa inloggning detta är standardinställningen, och du bör överväga att hålla den här kryssrutan aktiverad när du skapar ett nytt användarkonto. Den enda gången du bör avmarkera den här kryssrutan är när kontot du skapar kommer att vara ett servicekonto för en applikation. Med den här inställningen kan användaren ställa in sitt eget personliga lösenord när de loggar in på systemet första gången. Allt du behöver göra som administratör är ett första tillfälligt lösenord för användaren. Du kanske vill veta lösenorden för dina användare om en användare lämnar företaget eller är på semester. I verkligheten, så länge du känner till administratörslösenordet, har du administrativ rätt att återställa ett lösenord tillfälligt och få åtkomst till ett konto. Även om det är bra att ha denna förmåga, bör du utöva den med försiktighet och endast när situationen motiverar det.

    användaren kan inte ändra lösenord som standard den här inställningen är nedtonad och blir endast tillgänglig när du rensar användaren måste ändra lösenord vid nästa Inloggningsinställning, som nämnts tidigare. Detta gör att du kan se till att lösenordet för kontot inte ändras. Detta är också bra för servicekonton för applikationer som laddas på din server. Den här inställningen kommer också att kringgå någon lokal maskinlösenordskontopolicy.

    lösenord upphör aldrig som standard den här inställningen är också gråtonad, och som den tidigare inställningen blir den endast tillgänglig när användaren måste ändra lösenord vid nästa Inloggningsinställning rensas. Inställningen, som namnet antyder, låser lösenordet. Den här inställningen kommer också att kringgå någon lokal maskinlösenordspolicy.

  4. när du har fyllt i formuläret klickar du på Skapa för att skapa kontot. Om ditt lösenord inte uppfyller kraven för lösenordskomplexitet ser du skärmen i Figur 6.

    Figur 6. Fel vid lösenordskomplexitet

    Standardlösenordskrav

    standardlösenordskraven är desamma för både de lokala användarkontona och Active Directory-användarkontona . Standardlösenordskraven för en Windows Server 2008 R2-server är följande:

    • kan inte innehålla användarens kontonamn eller delar av användarens fullständiga namn som överstiger två på varandra följande tecken

    • vara minst sex tecken i längd

    • innehåller tecken från tre av följande fyra kategorier:

      engelska versaler (A–Z)

      engelska gemener (A–z)

      bas 10 Siffror (0-9)

      Nonalphabetic tecken (till exempel !, $, #, %)

  5. om du inte har fler lokala användarkonton att skapa klickar du på Stäng. Annars upprepar du steg 3 och 4 för att fortsätta skapa lokala konton på din server.

2.2. Skapa en lokal grupp

när du har skapat dina användarkonton vill du troligen skapa grupper att lägga till dina användare i. Grupper, som du kanske vet, används för att bevilja behörigheter i allmänhet till filer eller skrivare som finns på Windows Server 2008 R2-servern. Dessa lokala grupper kan endast beviljas rättigheter och behörigheter till resurser på den lokala servern.

  1. högerklicka på behållaren grupper i lokala användare och grupp MMC som du skapade tidigare.

  2. Välj Ny grupp, som visar dialogrutan Ny grupp, som visas i Figur 7.

    Figur 7. Dialogrutan Ny grupp

    skriv in namnet på den nya gruppen och en beskrivning. För att omedelbart lägga till medlemmar i din grupp, klicka på knappen Lägg till längst ner på skärmen. Om du klickar på knappen Lägg till visas dialogrutan Välj användare, som visas i Figur 8.

    figur 8. Dialogrutan Välj användare

    för att lägga till användare kan du skriva dem i textrutan Namn. För att verifiera stavningen av de användarnamn du vill lägga till kan du klicka på Kontrollera namn, vilket kommer att verifiera användarnamnen för dig. Du kan också klicka på knappen Avancerat, som expanderar dialogrutan så att du kan lista alla användarkonton på systemet. Den här dialogrutan har ett Sök nu-alternativ så att du snabbt kan lista alla användare på systemet. Om du klickar på Sök nu ser du en skärm som liknar Figur 9.

    Figur 9. Avancerade val av användare

  3. när du har klickat på Sök nu ser du en lista över användare på systemet, såväl som lokala systemanvändar-och gruppkonton. Välj den eller de användare du vill vara i din grupp. För att välja flera användare kan du hålla ner Ctrl-tangenten på tangentbordet när du klickar. Du kan också välja en lista med hjälp av Shift-tangenten. Om du klickar på det översta objektet i listan, håller ned Skift-tangenten och klickar på det nedre objektet i listan väljer du alla objekt mellan och inklusive ditt övre och nedre val.

särskilda Identitetsgrupper

du kanske märker att när du lägger till användare i din grupp hade du flera fler konton och grupper som du inte skapade. Det här är speciella identitetsgrupper, och du kan inte kontrollera medlemskapet i dessa grupper. Dina användare blir medlemmar i dessa grupper genom de åtgärder de utför på dina servrar eller hur de kommer åt servrar, och medlemskapet i dessa grupper är tillfälligt och ändras normalt med tanke på hur användaren kommer att arbeta med systemet. Systemgrupper kan användas för att ställa in behörigheter baserat på hur användare kommer åt eller interagerar med servern. Tabell 2 visar några av de systemgrupper som du kan stöta på när du arbetar med servern.

de grupper som inte visas i tabellen är normalt systemgrupper som är reserverade för användning av operativsystemet och de tjänster som körs på din Windows Server 2008 R2-server. I synnerhet måste du ägna särskild uppmärksamhet åt ett särskilt identitetskonto, systemkontot. Systemkontot representerar operativsystemet Windows Server 2008 R2. När du arbetar med filerna på din server och användarrättigheterna kan du stöta på systemkontot och du bör lämna det här kontot omodifierat. Om du ändrar de behörigheter eller rättigheter som systemkontot har på din server kan du inaktivera servern, vilket kan leda till att du installerar om operativsystemet.

Tabell 2. Särskilda Identitetsgrupper
grupp beskrivning
anonym inloggning detta representerar när användare inte använder referenser av något slag för att komma åt systemet.
autentiserade användare användare placeras automatiskt i den här gruppen när de loggar in lokalt på systemet. Att utnyttja denna grupp är ett bra sätt att se till att endast giltiga, autentiserade användare kan få tillgång till resurser.
Creator Owner när en användare skapar ett objekt, till exempel en fil eller mapp på servern, läggs de i gruppen Creator Owner för det objektet. Generellt sett har användaren Creator Owner full kontroll över det skapade objektet.
uppringning när en användare ansluter till servern via en uppringd anslutning, till exempel en fjärr VPN-anslutning, läggs de till i den här gruppen.
alla alla är medlemmar i denna grupp oavsett hur de kommer åt servern.
interaktiv när en användare loggar in lokalt på servern (med andra ord har de fysisk åtkomst till servern och loggar in fysiskt på servern) placeras användare i den här gruppen.
nätverk när en användare har åtkomst till servern på distans via en nätverksanslutning, till exempel när de ansluter till en filresurs, placeras de i den här gruppen.
Remote Interactive Logon när en användare har åtkomst till servern på distans med ett lokalt användar-ID och aktivt loggar in på systemet för att utföra fjärruppgifter, till exempel när en administratör loggar in på servern från en fjärrarbetsstation, placeras de i den här gruppen.
System detta är kontogrupp-ID som används av operativsystemet Windows Server 2008 R2.
Terminal Server User när användare kommer åt servern med hjälp av Fjärrskrivbordstjänster placeras de automatiskt i den här gruppen.

2.3. Hantera dina lokala användare och grupper

när du är klar med att skapa dina användargrupper måste du underhålla och hantera de lokala kontona. För att börja hantera lokala grupper högerklickar du bara på användaren eller gruppen du vill hantera. De delar några gemensamma uppgifter. När du högerklickar på en användare eller grupp kan du ta bort, byta namn på, öppna hjälp eller visa de unika egenskaperna för objektet.

när du högerklickar på användaren kan du ange ett nytt lösenord för användaren. Den enda gången du ska ställa in lösenordet för ett befintligt konto är om användaren har glömt eller förlorat sitt lösenord. Användaren kommer att förlora åtkomst till information som krypterade filer, lagrade internetlösenord (även om användaren kan återskapa dessa med det nya lösenordet), e-post som är krypterad med användarens offentliga nyckel och eventuella lagrade certifikat (igen kan nya certifikat utfärdas för att fortfarande ge åtkomst). Den potentiella risken här är att förlora data i filer som har krypterats av det krypterade filsystemet (EFS). Om du har säkerhetskopierat dina återställningsnycklar kommer du att kunna hämta data; men om det inte finns någon säkerhetskopia av nycklarna kommer du inte att kunna komma åt data.

när du högerklickar på ett användarkonto får du valet att ställa in lösenordet. När du väljer alternativet får du varningen som visas i Figur 10.

Figur 10. Inställning lösenord varning

när du högerklickar på en grupp och väljer Lägg till i grupp startar detta samma process för att lägga till medlemmar i din grupp som användes i föregående procedur när du skapade gruppen. När du väljer alternativet Egenskaper när du högerklickar på gruppen kommer du dessutom till de egenskaper där du kan använda dialogrutan Lägg till medlemmar.

när du väljer alternativet Egenskaper när du högerklickar öppnas en lista med egenskaper som du kan ändra för användarkontot, som visas i Figur 11.

egenskaperna som listas här är deldokumentation och delkontokonfiguration. Flikarna som listas låter dig konfigurera grundläggande användarnamn och beskrivningsinformation och gruppmedlemskap. Du kan också ange egenskaper för anslutningar för Fjärrskrivbordstjänster, användarprofiler, hemkataloginformation och uppringningsåtkomst.

Figur 11. Användaregenskaper

2.4. Hantera lokala användare och grupper på Server Core

du kanske inte har tillgång till en Microsoft Management Console, och du kan behöva göra ändringar i lokala användare och grupper på en Windows Server 2008 R2 Server Core-installation. Du kan lägga till, ta bort och ändra alla aspekter av lokala användare och grupper via kommandotolken. Specifikt är net-kommandot hur du arbetar med användare och grupper direkt på Server Core. Net-kommandot fungerar också på en Windows Server 2008 R2 full serverinstallation.

net-kommandot har många funktioner, inklusive att starta och stoppa tjänster och konfigurera IP-adressen på servern. Du kommer att se i det här avsnittet hur du använder net-kommandot för att arbeta med dina lokala användare och grupper.

alla NET-kommandon börjar med net; för användare kommer detta att följas av användare, och för lokala grupper kommer detta att följas av localgroup. Om du till exempel vill se den aktuella listan över dina lokala användare eller lokala grupper skriver du ett av följande enkla kommandon och trycker på Enter:

  • använd net user för att se en lista över lokala användare.

  • använd net localgroup för att se en lista över lokala grupper.

för att lägga till en användare eller lokal grupp i systemet följer kommandona liknande syntax. Kommandona kommer att innehålla omkopplaren / Lägg till. Till exempel, för att lägga till en användare som heter Harold med ett lösenord på ditt system, skulle du använda följande kommando:

net user Harold /add

för att lägga till en lokal grupp som heter Writers till din server, skulle du använda följande kommando:

net localgroup Writers /add

för att lägga till Harold i Writers-gruppen skulle du använda följande kommando:

net localgroup Writers Harold /add

för att se det aktuella medlemskapet för de lokala gruppförfattarna, skulle du använda följande kommando:

net localgroup Writers

Write a Comment

Din e-postadress kommer inte publiceras.