管理本地用户和组

  • 4 分钟

本地用户帐户存储在客户端本地。 如果未连接到网络域,请选择本地帐户。 你将能够登录、更改设置、安装软件,并将用户区域与系统上的其他用户隔离开来。 但是,本地用户无法访问Microsoft帐户实现的功能。 通常,每个用户都有自己的帐户,该帐户控制他们拥有的权限,但也定义加载的用户配置文件,其中包含各种设置和个性化选项。

本地用户帐户通常仅用于家庭使用等方案,并且仅在有特定原因不使用 Microsoft 帐户时使用。 但是,请务必了解本地帐户的基础知识以及属于 Windows 的默认本地用户帐户。

默认本地用户帐户

默认本地用户帐户用于根据分配给帐户的权限来管理对本地客户端资源的访问。 默认本地用户帐户是安装 Windows 时自动创建的内置帐户。 无法删除或删除默认本地用户帐户。 此外,默认本地用户帐户不提供对网络资源的访问权限。

管理员帐户

默认的本地管理员帐户是系统管理员的用户帐户。 管理员帐户可完全控制本地计算机上的文件、目录、服务和其他资源。 管理员帐户可以创建其他本地用户、分配用户权限和分配权限。 管理员帐户可以随时通过更改用户权限来控制本地资源。

无法删除或锁定默认管理员帐户,但可以重命名或禁用该帐户。 由于已知许多版本的 Windows作系统上都存在管理员帐户,因此最好尽可能禁用管理员帐户,使恶意用户更难访问服务器或客户端计算机。

在典型的安装中,Windows 禁用内置管理员帐户,并创建另一个作为 Administrators 组成员的本地帐户。 管理员组的成员可以使用提升的权限运行应用,而无需使用 “以管理员身份运行” 选项。 作为安全最佳做法,请使用非管理员帐户登录,然后使用 “以管理员身份运行” 完成需要比标准用户帐户更高权限级别的任务。 除非完全有必要,否则不要使用管理员帐户登录到计算机。

默认帐户

DefaultAccount 是内置帐户。 它是一个用户中立的帐户,可用于运行多用户感知或与用户无关的进程,例如启动但可以选择登录的应用。 此帐户应保持其默认禁用状态 (这不会阻止帐户) 其用途。

默认本地系统帐户

Windows作系统中有许多服务和进程需要能够在内部登录,例如在 Windows 安装期间。 SYSTEM 帐户旨在供作系统和在 Windows 下运行的服务使用。 它是一个内部帐户,不会显示在用户管理器中,并且无法将其添加到任何组。

网络服务和本地服务帐户也是预定义的本地帐户。 与 SYSTEM 帐户不同,这些帐户具有最低权限,Windows 使用这些帐户来执行不需要完全权限的服务。 使用最低特权帐户是深层防御安全策略的一部分,该策略有助于限制恶意损害,如果特定服务遭到入侵。

管理用户和使用帐户组

可以在“设置”应用的“帐户”选项中管理本地帐户。 在这里,可以创建或删除用户,也可以在权限受限的Standard用户和具有完全权限的管理员之间进行更改。

若要创建本地帐户,请在 Windows 家庭版和 Windows 专业版上:

  1. 选择“ 开始 ”按钮,然后选择 “设置>帐户”“>家庭 & 其他人>将其他人添加到此电脑
  2. 输入用户名、密码和密码提示,然后选择“ 下一步”。

在 Windows 企业版上:

  1. 选择“ 开始” 按钮,然后选择 “设置>帐户>”“其他人>将其他人添加到此电脑”。
  2. 在页面底部,选择“ 我没有此人的登录信息”,然后在下一页底部选择“ 添加 没有Microsoft帐户的用户”。
  3. 输入用户名、密码和密码提示,然后选择“ 下一步”。

“设置”应用不显示默认帐户或帐户组。 若要管理这些内容,请使用本地计算机管理Microsoft管理控制台 (MMC) 。

  1. 右键单击“ 开始 ”并选择“ 计算机管理”。
  2. 在“系统工具”下,展开“ 本地用户和组 ”选项,然后选择“ 用户 ”或“ ”以显示相应的帐户对象。

还可以使用 NET.EXE 或各种 PowerShell cmdlet 在命令提示符中管理本地用户。

使用组

在设置应用中,可以在“Standard用户”和“管理员”之间切换帐户类型,这将在“管理员”组中添加或删除用户。

或者,可以使用本地用户和组在更精细的级别上分配权限。 Windows 附带多个内置组,这些组向资源和服务授予各种权限。 这些内置组的一些示例包括:

  • 管理员
  • 用户
  • 来宾
  • 设备所有者
  • 事件日志读取器
  • Hyper-V 管理员
  • 网络配置操作员
  • 远程桌面用户

通过使用这些组,管理员能够授予用户需要访问的权限,而无需向不需要的服务授予权限。 执行此作的main原因之一是限制设备受到恶意软件等威胁危害的损害。 恶意软件通常可能在用户级别运行,无法使用用户无权使用的服务。

例如,Elyssa 为一家有策略的公司工作,其中用户对其计算机没有管理权限。 但是,他们需要在其位置上频繁更改其设备上的网络设置。 作为标准用户,他们无法执行此作。 通过将他们设为网络配置操作员组的成员,他们现在能够更改其网络设置,而无需 IT 部门向其授予对设备的完全管理权限。 如果帐户或设备遭到入侵,则其凭据不能用于执行恶意攻击,例如远程登录到设备。