第三章 工作组环境下的应用 知识点
                                                              Edit by LCHSH
1. 什么是工作组?工作组有哪些相关特性?
工作组是若干台计算机所组成的小型网络,工作组是对网络资源的一种管理模式。
① 每一台计算机都独立维护自己的资源,不能集中管理所有网络的资源,每台计算机都要重复进行相关的管理工作。
② 每一台计算机都在本地存储用户帐户
③ 工作组中使用本地帐户登录到计算机,一个帐户只能登录到存储本帐户的那台计算机。
④ 在工作组中所有计算机的地位都是平等的,每台计算机相对于其他计算机可以同时是客户机或者服务器。
⑤ 工作组中计算机的数量在10台以内,由于需要在本地进行重复管理工作,所以在大型网络中使用域对网络中的资源进行管理。
2. 本地帐户的特点有哪些?
本地帐户所有信息都存储在本地计算机的SAM数据库中(SAM文件的位置:%systemroot%\system32\config\SAM);
本地帐户能够并且只能够登录本地计算机;
本地帐户使用“本地用户和组”查看,主要使用于工作组环境中。
3. 什么时候需要创建新的用户帐户?
系统提供的内置帐户并不能满足日常的使用和管理需要,在以下的情况下,需要创建新的用户帐户。
① 当一个用户需要从本地登录到计算机,然后做一些基本的上网或文字处理工作,而又不希望该用户具有关机或者格式化硬盘的权限时。
查看工作组计算机② 希望若干用户通过网络访问本地计算机的资源,而这些用户对这些资源又需要拥有不同的访问权限时。
4. 创建用户时需要输入的主要信息有哪些?对这些信息有什么要求?
主要信息包括:用户名、密码。
用户名:不能超过20个字节,或不能超过10个中文字,用户被删除后因其SID唯一,所以不能通过建立同名帐户的方法恢复被删除用户原来的权限。
密码:最长127位,但最好不要超过14位;密码应具备一定的长度,并使用字母、数字和特殊符号的组合;密码默认情况下42天过期;可通过强制用户更改密码来保护用户隐私;可通过禁止用户更改密码来保护多用户使用的账号;可通过禁用某账号来暂时中止某用户对系统进行的操作。
5. 什么情况下对用户帐户重命名?
    当一个员工离开公司,另一个员工接替工作时,可以将前员工使用的用户帐户,更改为新员工使用的名字,并重设密码。更名后,原帐户的所有权限将全部保留下来。
6. 对管理员帐户administrator可以重命名吗?
对管理员帐户administrator可以重命名,这样做是为了安全。对管理员帐户administrator也可以禁用。但不能删除管理员帐户administrator。
7. 误删除一个帐户后,可以通过重建同名帐户的方法恢复原帐户的权限吗?
    用户帐户被删除以后,即使再建立一个同名的帐户,也不能恢复以前的权限。因为在系统内部是用SID来唯一标识用户帐户的,一个用户被删除后,再用同样的名字创建一个用户,则它们的SID值是不一样的,系统会认为这是两个用户帐户。
    所以,不要轻易删除用户帐户。比较安全的方法是先将此帐户禁用一段时间后,再将其删除。
8. 为什么要创建组?
  创建组的目的是为了便于给用户分配权限或委派权力。
9. 本地组具有哪些特点?
  组是帐户的集合。
  组便于用户管理(例如分配权限)。
  当一个用户加入到一个组以后,该用户会继承该组所有的权限。
  一个用户帐户可以同时加入到多个组。当某个用户不再需要相应权限的时候,只要将该用户从本地组中删除即可。
10. 系统内置的用户和组有哪些?
系统内自动生成的用户有:administrator、guest等,默认情况下,guest用户被禁用。
系统内自动生成的内置组(默认本地组)有:administrators、backup operators、guests、network configuration operators、power users、print operators、users。其中administrators具有最高权限,不可以被删除,但是能够被重命名或者禁用;network configuration operators只具有配置网络属性的权限;power users具有创建用户、组及添加/删除共享的权限;users具有最普通权限,可以被禁用或者删除。
11. Power Users组的权限如何?
Power Users组的权限是仅次于Administrator的一个组,它可以对计算机进行大多数的日常管理。虽然Power Users组可以管理用户,但是不能管理Administrator组的成员。另外,Power Users组不具有更改IP地址和格式化硬盘等权限。
一般情况下,可以给用户授予Power Users组的权限,因为此组已基本满足日常用户的使用。
Power Users组只用于工作组环境,在域控制器上,就不再有该组了。
12. 什么是内置安全主体?
内置安全主体,是系统生成的一些特殊的组,这些组在组的列表中并不显示出来。
虽然内置安全主体有很多,但正常能在权限设置中使用到的并不多,所以下面仅说明其中几个较重要的:
Anonymous Logon:任何没有经过Windows验证程序(Authentication),而以匿名方式登录域的用户均属于此组。
Authenticated Users:与前项相反,所有经过Windows验证程序登录的用户均属于此组。设置权限和用户权力时,可考虑用此项代替Everyone组。
BATCH:这个组包含任何访问这台计算机的批处理程序(Batch Process)。
DIALUP:任何通过拨号网络登录的用户
Everyone:指所有经验证登录的用户及来宾(Guest)。
Network:任何通过网络登录的用户。
Interactive:指任何直接登录本机的用户
Terminal server user:指任何通过终端服务登录的用户。
13. 一个本地用户可以加入到多个组吗?
一个本地用户也可以同时加入到多个组中。
14. 本地组中可以添加进来哪些成员?
本地组中可以添加进来本地用户,添加进来的用户可以继承组的权限。
本地组中也可以添加进来内置安全主体(内置安全主体是一种特殊的组,这是一个组中包含组的特例)。
15. 本地组可以添加到哪些组中?
一般情况下,组中不能包含组。本地组不可以添加到其他的组中。
16. 本地组的名称更改后,权限如何变化?
  更改本地组的名称的过程与更改用户帐户名称类似,更改后的本地组的成员的权限不受影响。
17. 某本地组被误删除后,可否通过建立一个同名的组的方法,恢复原来的本地组权限?
当本地组被删除后,不能通过建立同名帐户的形式来恢复。这是因为每一个本地用户和本地组都拥有一个唯一的SID,SID是在创建用户和组时分配的。
在计算机运行过程中,实际上是对每一个用户或组的SID进行判断,而不是判断名称。当一个用户或组被删除后,新建的组或用户的SID和原来的是不同的,所以不能通过建立同名帐户的形式进行恢复。
14. 在工作组环境中,多个用户帐户访问相同资源时,应该使用什么规则?
推荐使用ALP规则:即将本地用户帐户(Account)加入到本地组(Localgroup),然后再为本地组分配权限(Permission)。