Windows 用户、组管理与账户安全完整教程
一、学习目标
- 理解用户账户核心概念,熟练掌握用户账户创建、日常运维全流程操作;
- 理解用户组的设计作用,能够独立完成自定义组创建、成员增减管理;
- 结合网络安全与等保规范,从企业落地角度分析用户、权限、隐藏账户相关安全风险与防护手段。
二、Windows 用户账户基础管理
(一)核心基础概念
- 用户账户由用户名、登录密码、唯一安全标识符 SID 组成,不同账户对应差异化系统资源访问权限,依靠 SID 区分身份实现精细化权限管控。
- SID 关键特性:账户删除后新建同名用户会生成全新 SID,新旧账户权限、加密文件、证书完全不互通。
- 等保 2.0 三权分立规范(企业账户设计标准)
- 系统管理员:负责新建、删除、修改用户与用户组;
- 安全管理员:统一分配资源权限、划分角色权限;
- 审计管理员:查看系统日志、审计登录与操作行为,保障合规。
(二)系统内置账户分类
1. 人工登录使用账户(普通运维 / 员工账户)
- Administrator:本地最高权限管理员,拥有服务器无限制操作权限;生产环境建议重命名、限制本地 / 远程登录,降低爆破风险。
- Guest:来宾低权限账户,默认闲置,企业环境必须禁用,防止匿名入侵。
2. 系统后台服务专用账户(无手动登录界面,系统进程自动调用)
- SYSTEM(本地系统):系统最高权限服务账户,支撑底层核心进程运行;
- LOCAL SERVICE(本地服务):最小权限账户,仅可访问本机本地资源,用于普通后台服务;
- NETWORK SERVICE(网络服务):具备基础网络访问权限,DNS Client、DHCP Client 等联网服务默认使用该账户。
(三)用户账户常规运维操作(服务器管理器 / 本地用户和组)
- 创建用户时四大密码配置选项
- 用户下次登录时须更改密码;
- 用户不能更改密码;
- 密码永不过期;
- 账户已禁用。
- 日常管理操作:新建用户、重置密码、重命名账户、启用 / 禁用账户、删除闲置账户。
- 重要风险提示:重置账户密码会导致该用户加密文件、保存网页凭证、个人安全证书全部失效丢失,操作前必须提前备份相关数据。
- 权限管控配套工具:本地安全策略,通过「用户权限分配」「安全选项」管控账户登录、系统操作权限。
(四)命令行快速管理用户:net user
1. 基础语法
plaintext
net user [用户名] [密码] /add2. 高频实操命令
- 创建新用户:
net user john 123 /add - 将用户加入管理员组:
net localgroup administrators john /add - 删除用户:
net user john /delete - 修改用户密码:
net user john newpassword - 查看用户详细信息:
net user john - 启用 / 禁用账户:
net user john /active:yes/net user john /active:no
3. 常用参数说明
/domain:针对域控制器执行账户操作;/passwordchg:{yes|no}:控制用户是否允许自行修改密码;/passwordreq:{yes|no}:规定账户是否必须设置密码。
4. 使用限制
用户名最长 20 字符,密码最长 127 字符;参数间必须用空格分隔,带空格的名称需要用英文双引号包裹。
三、Windows 组账户管理
(一)组核心概念
组是批量用户的集合体,权限统一授予组,组内所有成员自动继承对应权限。 标准化管理思路:先按部门 / 项目分组,再对组分配权限,遵循最小权限安全原则,大幅简化人员变动后的权限维护。
(二)系统内置组两大分类
1. 静态内置组(管理员手动增减成员)
- Administrators:系统超级管理员组,拥有服务器全部操作权限;
- Users:标准普通用户组,无法修改系统配置、安装软件;新建普通用户默认自动加入该组;
- Guests:来宾低权限组,对应 Guest 账户;
- Power Users:兼容老旧系统,权限介于管理员与普通用户之间;
- Backup Operators:可绕过安全权限,备份、还原服务器文件;
- Remote Desktop Users:允许账户远程桌面登录服务器;
- Print Operators:负责本地打印机管理维护。
2. 动态内置组(系统自动匹配成员,无法手动修改)
- Authenticated Users:所有成功完成身份验证的合法用户,不包含 Guest 来宾;
- Interactive:当前正在本机本地登录的所有用户;
- Everyone:包含本机全部账户、来宾、匿名访问用户,开放权限风险极高,企业共享尽量替换为 Authenticated Users。
(三)组基础运维操作
新建自定义业务组、修改组描述、添加 / 移除组成员、重命名组、清理废弃无用组;支持批量将多名用户加入同一组,统一分配资源访问权限。
四、企业落地实操案例:Windows Server 2022 文件服务器权限规划
场景需求
企业多部门员工共用文件服务器,不同岗位、项目人员需要差异化文件夹访问权限。
实施步骤
- 前期规划:按部门(HR、技术、销售)、项目(汽车项目、保险项目)划分人员权限层级;
- 批量创建每位员工独立用户账户;
- 根据部门、项目创建自定义用户组(如 HR 组、技术工程师组、汽车销售组);
- 将对应员工添加至所属业务组;
- 针对共享文件夹直接给组分配访问权限,不单独给单个用户授权,员工离职、调岗仅需调整组成员即可。
五、高级安全知识点:Windows 隐藏账户(黑客持久化后门技术)
(一)隐藏账户定义与风险场景
隐藏账户是创建后常规可视化工具无法直接查看的管理员账号,主要两类用途:
- 普通用户隐藏私人登录账号;
- 黑客入侵后创建后门隐藏管理员账号,实现长期无感知远程持久化控制。
(二)基础隐藏账户创建(CMD 命令)
- 以管理员身份打开 CMD,执行命令创建带
$符号隐藏账户:net user admin$ 11qq``` /add - 特性:直接输入
net user无法列出该账号,但执行net user admin$可查询账户信息; - 赋予管理员权限:
net localgroup administrators admin$ /add
缺陷:仅命令行隐藏,「本地用户和组」图形界面仍能看到账号,需修改注册表完成彻底隐藏。
(三)注册表克隆影子管理员账号(完全隐藏后门)
- 注册表权限配置 打开
regedt32.exe,定位路径:HKEY_LOCAL_MACHINE\SAM\SAM右键权限,给 Administrators 账户勾选「完全控制」,保存后重启注册表。 - 导出账户注册表配置 进入路径:
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names分别导出隐藏账户 admin$、默认管理员 Administrator 对应的注册表项; - 权限克隆 打开 Administrator 注册表文件,复制「F」字段完整内容,替换隐藏账户注册表内「F」字段;
- 导入隐藏后门 CMD 删除临时账户
net user admin$ /del,双击修改后的注册表文件完成导入; 恢复 SAM 注册表默认权限,图形界面、普通命令均无法查到该账号; - 验证:远程登录隐藏账号,
whoami显示为管理员身份,query user可看到隐藏账户登录记录。
六、账户后门检测方法(安全运维排查手段)
1. 注册表全量查询(检测所有隐藏账户)
执行命令读取全部注册账户,包含影子后门账号:reg query HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
2. 系统日志审计分析(定位隐藏账户登录行为)
打开事件查看器,通过登录事件 ID 排查异常登录:
- 事件 ID 4624:账户登录成功记录;
- 事件 ID 4625:账户登录失败记录; 即使攻击者手动删除登录日志,系统仍会记录执行删除操作的账户,以此暴露隐藏后门账号。
七、整体安全管理规范(企业防护核心要点)
- 账户基础安全 禁用默认 Guest 来宾账户;修改默认 Administrator 管理员名称;全体账户配置强密码并定期轮换;员工离职立即禁用或删除对应账户。
- 权限最小化原则 普通员工禁止加入 Administrators 等高权限内置组;统一通过组分配资源权限,减少单独用户授权。
- 动态组权限管控 谨慎使用 Everyone 组开放共享权限,避免内网数据泄露,优先使用 Authenticated Users。
- 系统服务账户管控 SYSTEM、NETWORK SERVICE 等高权限服务账户禁止用于员工日常登录。
- 后门账户防护 定期通过注册表、系统登录日志巡检隐藏影子账户;限制普通用户管理员 CMD、注册表操作权限,防止黑客创建持久化后门。