官方文档链接:https://docs.microsoft.com/zh-cn/windows/security/identity-protection/access-control/access-control
windows通过身份验证和授权的相关机制来控制系统和网络资源的使用。 验证用户身份后,Windows 操作系统使用内置授权和访问控制技术来实现保护资源的第二阶段:确定经过身份验证的用户是否具有访问资源的正确权限。
在访问控制模型中,用户和组(也称为安全主体)由唯一的安全标识符(Sid)表示。
本地用户账户
本地用户帐户存储在服务器本地。 这些帐户可以分配给特定服务器上的权利和权限,但只能在该服务器上分配。 本地用户帐户是用于保护和管理对独立服务器或成员服务器上的资源的访问权限的安全主体,用于服务或用户。
默认的本地用户账户:
- 管理员账户。默认的本地管理员帐户是系统管理员的用户帐户。 管理员帐户是在 Windows 安装期间创建的第一个帐户。管理员帐户拥有本地计算机上的文件、目录、服务和其他资源的完全控制权限。
- 来宾账户。默认情况下,来宾帐户在安装时处于禁用状态。 来宾帐户允许偶尔或一次性用户(这些用户在计算机上没有帐户)使用受限的用户权限暂时登录到本地服务器或客户端计算机。 默认情况下,来宾帐户具有空白密码。 由于来宾帐户可以提供匿名访问,因此存在安全风险。 出于此原因,将来宾帐户保留为禁用状态是最佳做法,除非完全需要使用它。
服务账户
服务帐户是显式创建的用户帐户,用于为在 Windows Server 操作系统上运行的服务提供安全上下文。
- 独立托管服务账户。托管服务帐户旨在隔离关键应用(如 Internet 信息服务(IIS))中的域帐户,并消除管理员手动管理服务主体名称(SPN)和凭据的需要。帐目.若要使用托管服务帐户,安装了应用程序或服务的服务器必须至少运行 Windows Server2008R2。 一个托管服务帐户可用于一台计算机上的服务。 托管服务帐户不能在多台计算机之间共享,也不能用于在多个群集节点上复制服务的服务器群集中。
- 组托管服务账户。组托管服务帐户是 Windows Server2008R2 中引入的独立托管服务帐户的扩展。 这些是托管域帐户,可提供自动密码管理和简化的服务主体名称(SPN)管理,包括向其他管理员委派管理。组托管服务帐户提供与域中的独立托管服务帐户相同的功能,但它将该功能扩展到多台服务器。 当连接到服务器场中托管的服务(如网络负载平衡)时,支持相互身份验证的身份验证协议要求所有服务实例使用同一主体。 当组托管服务帐户用作服务主体时,Windows Server 操作系统管理帐户的密码,而不是依赖于管理员管理密码。
- 虚拟账户。虚拟帐户是在 Windows Server2008R2 和 Windows7 中引入的,并且是托管的本地帐户,可提供以下功能来简化服务管理:虚拟帐户是自动管理的。虚拟帐户可以在域环境中访问网络。无需密码管理。 例如,如果在 Windows Server2008R2 上的 SQL Server 设置期间将默认值用于服务帐户,则使用实例名称作为服务名称的虚拟帐户将在格式 NT SERVICE<SERVICENAME>中建立。以虚拟帐户身份运行的服务使用 domain <_name><计算机 _name>$ 格式的计算机帐户凭据访问网络资源。