Windows账号管理

账号分类

Windows中有两种类型的账号，一种是本地用户账号、另一种是域用户账号。

本地账号

本地账号对应独立管理的工作组模式，用户和策略需要分别单独配置。本地用户的账号数据存储在各个计算机本地的SAM数据库中。

域用户账号

域用户账号对应统一管理的域模式，用户和策略通过DC进行统一配置。域用户的账号数据统一存储在DC的活动目录数据库中。

一个域账号可以同时在多台计算机上登录，这是域的特性之一，使得用户能够在整个域中自由地访问其帐户和资源。

加入域后计算机也任然可以使用本地用户账号进行登录，所以一般由管理员通过域控制器统一修改默认Administrator账号的密码，然后只给用户域账号的账号密码。

本地用户管理

图形管理

快捷键Ctrl+R打开运行，然后输入lusrmgr.msc打开本地用户与组管理界面。

输入gpedit.msc可以打开组策略管理界面，用户相关的策略在计算机配置 -> Windows 设置 -> 安全设置 -> 账户策略。

命令行管理

# 创建用户
net user 用户名 密码 /add
# 删除用户
net user 用户名 密码 /del
# 修改密码
net user 用户名 密码

账号配置与策略

在本地用户账号与域用户账号中都有一些配置和策略，以供我们在不同需求下达到想要的效果。

配置

以下是用户管理中可以进行配置的选项说明。

用户下次登录时须更改密码：如果想让用户修改密码可以勾选该项。

注意：如果域账号没有设置初始密码，但是勾选了用户下次登录时须更改密码，则计算机将无法使用该账号加入域。

密码永不过期：服务账号会勾选该配置，以防因为密码过期导致中断。

账号已禁用：由管理员明确禁用时进行勾选，账号禁用后将无法登陆。

账号已锁定：当用户一定时间内多次登录密码错误时会被系统锁定，需要等待一段时间或者管理员手动解锁，才能再次登录。

策略

以下是组策略中可以进行配置的选项说明。

密码策略：可以设置是否启用密码复杂性要求、密码最小长度、最短与最长使用时间、强制密码历史等等。

账号锁定策略：密码错误多少次后进行锁定，锁定时长，重置次数时长等等。

SYSTEM账号作用

Windows系统在启动时，会先执行计算机策略，然后再进入登录界面供我们登录用户，登录后再根据登录的用户执行对应的用户策略。

而执行计算机策略时所使用的账号，就是我们的System账号。在我们需要开机执行脚本时，建议使用计算机策略，因为System账号的权限是最大的，不会出现权限问题导致执行失败。

用户配置文件

用户配置文件记录了每个用户操作计算机时的个性化数据，比如桌面数据、我的文档数据、IE中的一些数据。

每个用户在登录计算机时，会用与登录名称一样的配置文件来初始化自己的操作系统。

有两个特殊的用户配置文件：

• All Users - 修改会影响所有的配置文件。
• Default - 配置文件模板，在用户登录时如果没有用户对应的配置文件则会复制一份配置文件模板来创建。

用户配置文件类型

用户配置文件类型可以分为本地、漫游、强制漫游。可以在高级系统设置中的用户配置文件中进行设置。

本地类型

使用本地类型时，在计算机上操作的用户文件，仅针对该计算机本地生效。

例如：在主机A登录test域账号并在桌面留下1.txt文件，然后到主机B登录test域账号，会发现主机B没有1.txt文件。

漫游类型

使用漫游类型时，需要指定一个共享文件目录作为漫游用户配置文件目录，在用户登出时，计算机会将用户本地的配置文件同步到共享目录中去。然后再到其他计算机登录该用户时，会同步共享文件目录中该用户的配置文件到本地。

实现方法

首先文件服务器需要共享出一个目录作为远程用户配置文件目录，共享可读可写权限给Everyone所有人。

然后再DC域控制器的用户管理中，右击指定域用户，然后选择属性，在配置文件选项卡中，输入共享文件路径并带上%username%，例如：\\dc01.test.cn\usersdir\%username%，然后保存即可。

然后到计算机上登录指定域用户，操作用户文件后再登出用户，然后再到其他计算机登录该用户，就会发现之前操作的用户文件已经同步过来了。

强制漫游类型

使用强制漫游类型时，只会在用户登录时复制远程用户配置文件到本地，而不会在用户登出时同步本地用户配置文件到远程。也就是不管本地做什么操作，在用户重新登陆后，用户配置文件都不会变。

类似于网吧的主机，每次开机都恢复成了一个干净的桌面环境。

实现方法

在配置好漫游类型的基础上，在远程用户配置文件目录下，复制一份用户目录中的隐藏文件NTUSER.DAT并改名为NTUSER.MAN即可。

Profwiz工具

Profwiz(Profile Wizard)是一款Windows用户配置文件迁移的工具。它主要用于将用户从一个域或工作组迁移到另一个域，或者从一个计算机迁移到另一个计算机时，保持用户配置和个人数据的完整性。

使用场景例如用户加入域，需要将原先工作组下的用户配置文件够迁移到域账号中。

用户组

用户组(User Group)是一种组织和管理用户帐户的方式，用户组允许管理员将一类用户归为一组，并为该组分配所需的权限和设置，使得管理员管理用户更加方便。且在域中组还支持嵌套组。

Windows中的常用组有Administrators、Power users、Backup Operators、Remote Desktop users、Users、Everyone。

默认组

新用户创建之后会默认隶属于Users组。而之所以新创建的用户可以访问磁盘中的所有文件，是因为默认情况下Users组可以访问磁盘中所有文件。

Everyone和User组区别

1. 用户属于Everyone组的隶属关系无法编辑，而用户属于Users组的隶属关系可以编辑。也就是用户必须属于Everyone，但可以不属于Users组。
2. Guest匿名账号属于Everyone，不属于Users。

操作用户组

我们可以快捷键Ctrl+R打开运行，然后输入lusrmgr.msc打开本地用户与组管理界面进行操作。

也可以使用命令行进行操作。

# 创建组
net localgroup 用户组名 /add
# 删除组
net localgroup 用户组名 /del
# 用户加入组
net localgroup 用户组名 用户名 /add
# 用户移除组
net localgroup 用户组名 用户名 /del