一、实验目的：

1、学习 Windows Server 2003 中的本地账户设置方法。

2、掌握 Windows Server 2003 的账户安全保护措施。

二、实验环境：

操作系统：Windows Server 2003；2~3 台计算机组成一个合作小组，可以通过网上邻居互相访问。

三、实验规划：

本地组账户规划：

1、建立用户账户实验

用 Administrator 账户登录计算机；

开始/控制面版/管理工具/计算机管理/系统工具/本地用户或组。

按照前面的规划创建用户账户 001 和 User1，并把它们置于相应的组中；其中账户 001 应设置为“用户不能更改密码”和“密码永不过期”。 

切换到 User1 账户下，进行以下操作：

1更改 User1 的桌面背景、窗口颜色等设置；在桌面上添加快捷方式、重新设置开始菜单中的项目；创建一个新的文件夹，把它设置为共享文件夹，随意向其中复制几个内容。

2让合作者通过网上邻居登录本机。

问：如果登录时要求输入密码，应该输入哪台计算机上的帐户名和密码？

③用“whoami /logonid”命令查看本帐户的安全标识符，并记录下来。

④到系统分区中找到本帐户的用户配置文件，利用这个配置文件在桌面上增加一个文本文件。

问：在本帐户中，能否打开和修改 Administrator 账户的配置文件？

⑤修改本帐户的密码。

问：你是如何做的？

切换回 Administrator 账户，检查 User1 用户所做的更改有哪些在 Administrator 是有效的。

问：桌面上能否看到新帐户添加的文件？

⑥删除上面创建的新帐户。

问：该帐户的用户配置文件是否也一并被删除了？

⑦再创建一个与上面帐户同名的帐户。

问：这个帐户的用户配置文件和原来的是否一样？这个帐户的安全标识符与原来的是否一样？

（填写下表）

用 Administrator 账户登录计算机；

创建一个名为 MyGroup 的组账户，并按照上面的规划为它设置权利；

创建用户账户 User2、User3，把它们置于相应的组中。

组权利的验证：

切换到 User2 账户，尝试以下操作，检查它能否实现：

要使 User2 账户能够修改本机IP地址，应如何设置？

3、本地安全策略实验

用 Administrator 账户登录计算机；按照上面的规划启用本地安全策略。

开始/管理工具/本地安全策略/本地安全设置/本地策略/用户权限分配。

本地安全策略规划：

切换到一个非管理员的帐户，进行如下操作：

①更改该帐户的密码。

问：能否更改为类似于“123”的简单密码或“a=1”这样的短密码？你最终设置的密码是什么？

②再次更改该帐户的密码。

问：新密码能否设置为与前一个密码相同的密码？

③用切换帐户功能重新登录本帐户，故意输入几次错误密码。

问：当连续输入3次错误密码后会出现什么现象？

④改用管理员帐户登录，用手工解除被锁定的帐户。

说明：在实际应用中，安全策略不宜设置过于复杂，适度即可。否则会给用户造成很多麻烦。

4、结束实验

用 Administrator 账户登录计算机；

禁用所有的本地安全策略设置；

删除 User1、User2、User3 账户；（保留 001 账户）

删除 MyGroup 组；

七、思考题：

1、登录时，用户名是否区分大小写？密码是否区分大小写？

2、当启用了“密码必须符合复杂性要求”后，如果现有账户使用了简单密码或空密码，是否需要立即更改？

3、账户锁定与账户禁用有什么区别？

4、如果想要在一台服务器上创建一些只能本地登录的帐户，且这些帐户可以进行添加、删除文件等常规操作，一般该如何做？如果想要创建一些只能从网络访问的帐户，一般该如何做？

5．你对本地用户帐户和本地组帐户是如何理解的？

八、实验调查：