Windows Server 2008 帐户管理经验谈

　　相比传统操作系统，Windows Server 2008系统的功能强大是全方位的，这不仅表现在该系统新增加了若干个安全功能，同时也表现在传统的功能也有了明显的改进与完善。这不，看似非常普通的用户帐号管理功能，在Windows Server 2008系统环境下却有着与众不同之处!现在，本文就对Windows Server 2008系统的帐户管理潜能进行深入挖掘，希望各位朋友能从中获取裨益!

　　1、谨防终端帐户非法占位

　　为了方便与Windows Server 2008系统进行交流，很多网络管理员都启用了终端服务功能，允许特定用户使用远程终端帐户来访问或管理该系统;可是，在尝试通过终端服务功能远程访问Windows Server 2008系统的过程中，我们有时会遭遇远程终端连接超过规定数量的故障现象;不少人认为这种故障现象，多半是没有正确设置好Windows Server 2008终端服务器系统的最大并发连接数量造成的，只要将该数值设置得稍微大一些，就能有效避免这种故障现象。可是，当网络管理员尝试进入Windows Server 2008终端服务器系统的配置对话框，将最大并发连接数量修改得更大一些时，系统屏幕上仍然可能会出现远程终端连接超过规定数量的故障现象，这是什么原因呢，我们究竟该采取什么措施来避免这种故障现象呢?

　　出现这种故障现象，很可能是Windows Server 2008终端服务器系统中的许多远程连接账户出现了占位不干活的现象，这些现象迫使后来的终端连接帐户无法成功与Windows Server 2008系统建立终端连接。为了防止终端账户非法占位不干活，我们可以按照下面的操作来设置Windows Server 2008系统的终端服务配置参数：

　　首先打开Windows Server 2008系统的“开始”菜单，从中依次点选“程序”/“管理工具”/“服务器管理器”命令，打开对应系统的服务器管理器控制台窗口;

　　其次在该控制台窗口的左侧位置处，逐一展开“配置”、“本地用户和组”、“用户”分支选项，在对应“用户”分支选项的右侧显示区域，找到目标终端连接账户，用鼠标右键单击该账户选项，打开目标终端连接账户的属性设置窗口;

　　

　　接着单击该设置窗口中的“会话”选项卡，打开如图1所示的选项设置页面，单击该页面“空闲会话限制”位置处的下拉按钮，从弹出的下拉列表中选择一个合适的数值，例如在这里我们将“空闲会话限制”参数选择为10分钟;之后在“达到会话限制或连接被中断时”位置处，将“从会话断开”项目选中，再单击“确定”按钮结束上面的参数设置操作。如此一来，目标终端连接账户日后与Windows Server 2008系统建立终端连接之后，一旦该终端连接在10分钟之内没有进行任何操作时，终端服务器系统就会认为该终端连接有非法占位之嫌，于是会立即强行将它与终端服务器系统之间的会话连接断开，那么此时其他终端用户尝试连接Windows Server 2008系统时，就不大容易出现远程终端连接超过规定数量的故障现象了。

　　2、谨防空白帐户无效控制

　　在可信任的内网工作环境中，网络管理员为了能够提高控制效率，总喜欢使用空白密码的账户对内网中的重要计算机系统进行控制和管理操作;可是，当他们尝试使用空白密码的帐户对Windows Server 2008系统进行控制时，却发现对应系统禁止使用空白密码，或者即使允许使用空白密码，但是使用这样的空白密码帐户也无法对Windows Server 2008系统进行有效控制，那么我们有没有办法使用空白密码的帐户来高效对

　　Windows Server 2008系统进行控制呢?其实很简单，我们只要对该系统的相关组策略参数进行合适设置就能实现上述控制目的了：

　　首先依次单击Windows Server 2008系统桌面上的“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“gpedit.msc”，单击“确定”按钮后，打开对应系统的组策略控制台窗口;

　　其次在该控制台窗口的左侧位置处，将鼠标定位于“计算机配置”节点选项上，并从该节点下面依次展开“Windows设置”、“安全设置”、“帐户策略”、“密码策略”选项，在对应“密码策略”选项的右侧显示区域，用鼠标双击“密码长度最小值”组策略选项，从其后出现的组策略选项设置对话框中，将密码长度设置为“0”个字符，再单击“确定”按钮保存好上述设置操作;

　　

　　接着再依次展开“计算机配置”节点选项下面的“Windows设置”、“安全设置”、“本地策略”、“安全选项”，在对应“安全选项”右侧的列表区域中，用鼠标双击目标组策略选项“帐户：使用空白密码的本地帐户只允许进行控制台登录”，打开如图2所示的目标组策略选项设置对话框，选中其中的“已禁用”选项，再单击“确定”按钮执行设置保存操作，如此一来我们日后就能使用空白密码的帐户对Windows Server 2008系统进行高效控制和管理操作了。

　　3、智能备份本地所有帐户

　　如果Windows Server 2008系统同时创建了若干个重要的用户账号，对于这些用户账号的信息平时不加以备份、保存的话，一旦Windows Server 2008系统日后遇到意外不能正常运行时，这些所有的用户账号信息也会在瞬间丢失，以后我们往往很难通过手工记忆的方法将它们正确恢复到原始状态。为了保护本地所有用户账号信息的安全，我们可以直接使用Windows Server 2008系统自带的账号备份功能，来定期对本地系统中的所有用户账号信息执行智能备份操作，下面就是具体的用户账号备份操作步骤：

　　首先以系统特权账号登录进入Windows Server 2008系统，打开该系统桌面上的“开始”菜单，从中点选“运行”选项，并在弹出的系统运行框中执行“credwiz”字符串命令，此时系统屏幕上会出现用户账号备份向导设置窗口;

　　

　　其次选中该向导设置窗口中的“备份存储的用户名和密码”选项，同时单击“下一步”按钮，打开如图3所示的设置对话框，单击这里的“浏览”按钮，从其后出现的文件夹选择对话框中，指定设置好用户账号备份文件的保存文件夹，同时设置好备份文件的名称，最后单击“保存”按钮，如此一来Windows Server 2008系统就能智能将本地系统的所有账号信息存储到到一个“crd”格式的文件中了;

　　以后，Windows Server 2008系统中的用户账号信息不小心被破坏或丢失时，我们可以再次打开用户账号备份向导设置窗口，选中“还原存储的用户名和密码”选项，导入“crd”格式的备份文件，这么一来Windows Server 2008系统的用户账号信息就能被快速恢复正常了。

　　4、追踪用户帐户登录信息

　　与传统操作系统不同的是，Windows Server 2008系统可以对前一次登录本地系统的用户账户信息进行追踪记录，利用这个功能，我们可以监控系统处于空闲状态时，是否有恶意用户偷偷登录本地计算机的现象。在默认状态下，Windows Server 2008系统并不能对用户账户的登录状态信息进行追踪、记忆，我们需要按照下面的设置操作将该功能启用起来：

　　首先依次单击Windows Server 2008系统桌面上的“开始”、“运行”选项，打开系统运行对话框，将“gpedit.msc”字符串命令填写在其中，同时单击“确定”按钮，进入对应系统的组策略控制台窗口;

　　其次将鼠标定位于该组策略控制台窗口左侧位置处的“计算机配置”节点上，并逐一展开目标节点下面的“管理模板”、“Windows组件”、“Windows登录选项”，用鼠标双击“Windows登录选项”下面的“在用户登录期间显示有关以前登录的信息”组策略选项，此时系统屏幕上会出现如图4所示的目标组策略属性窗口，将其中的“已启动”项目选中，同时点击“确定”按钮保存好上述设置操作，如此一来Windows Server 2008系统就可以追踪用户帐户登录信息了。

　　以后，我们每次重新启动成功Windows Server 2008系统后，系统屏幕会自动弹出提示，告诉我们上一次登录系统的用户账户信息，根据这些信息我们就能大概判断出究竟是否有人偷偷登录本地计算机系统了。

　　5、即时监控账号创建状态

　　Internet网络中的一些病毒或木马，常常会暗地里在Windows Server 2008系统中创建恶意账户，日后通过恶意账户就能对本地计算机系统实施非法攻击了，那么我们能否在第一时间内知道Windows Server 2008系统中有新的用户账号被偷偷创建了呢?其实很简单，我们可以利用Windows Server 2008系统新增加的附加任务计划功能，对用户账号的创建事件进行即时监控报警，下面就是具体的监控报警步骤：

　　首先打开Windows Server 2008系统的“开始”菜单，从中点选“运行”命令，打开本地系统的运行对话框，在其中执行“secpol.msc”字符串命令，进入对应系统的本地安全策略控制台窗口;

　　

　　其次从该安全策略控制台窗口的左侧位置处，依次展开“本地策略”/“审核策略”分支选项，在对应“审核策略”分支选项的右侧显示位置处，用鼠标双击“审核账户管理”组策略选项，打开如图5所示的选项设置对话框，选中该对话框中的“成功”选项，再单击“确定”按钮执行设置保存操作;

　　接着逐一点选“开始”、“程序”、“服务器管理器”选项，从服务器管理器窗口左侧位置处选中“配置”节点，再依次展开该节点下面的“本地用户和组”/“用户”子项，同时用鼠标右击“用户”选项，执行右键菜单中的“新建用户”命令，来任意创建一个新用户帐号;

　　下面打开Windows Server 2008系统的“控制面板”窗口，再用鼠标双击其中的“管理工具”图标，之后双击管理工具列表中的“事件查看器”选项，打开对应系统的事件查看器窗口;依次点选该管理窗口左侧位置处的“Windows日志”、“安全”选项，从“安全”选项右侧位置处我们会看到先前创建新用户帐号的事件已经产生;

　　用鼠标右键单击目标事件选项，并点选快捷菜单中的“将任务附加到此事件”命令，在弹出的附加任务向导对话框中，依照向导提示创建一个自动报警提示的任务计划，例如我们可以选用“显示消息”报警方式，并将报警内容设置为“有人偷偷在本地非法创建帐户”，这么一来日后要是有木马程序或非法攻击者偷偷在Windows Server 2008系统中创建用户账号时，我们就能即时在系统屏幕上看到“有人偷偷在本地非法创建帐户”这样的报警提示，那样的话我们就能在第一时间知道用户帐号的创建状态了。