本文介绍 Windows 操作系统的默认本地用户帐户，以及如何管理内置帐户。

本地用户帐户在设备上本地定义，并且只能在设备上分配权限和权限。 本地用户帐户是安全主体，用于保护和管理服务或用户对设备上资源的访问。

默认本地用户帐户是在安装操作系统时自动创建的内置帐户。 无法删除或删除默认本地用户帐户，并且不提供对网络资源的访问权限。

默认本地用户帐户用于根据分配给帐户的权限来管理对本地设备资源的访问权限。 默认本地用户帐户和创建的本地用户帐户位于 “用户” 文件夹中。 “用户”文件夹位于本地 计算机管理 Microsoft 管理控制台 (MMC) 的“本地用户和组”文件夹中。 计算机管理 是可用于管理本地或远程设备的管理工具的集合。

以下部分介绍了默认本地用户帐户。 展开每个部分以获取详细信息。

默认的本地管理员帐户是用于系统管理的用户帐户。 每台计算机都有一个管理员帐户 (SID S-1-5-domain-500，显示名称管理员) 。 管理员帐户是在 Windows 安装过程中创建的第一个帐户。

管理员帐户可完全控制本地设备上的文件、目录、服务和其他资源。 管理员帐户可以创建其他本地用户、分配用户权限和分配权限。 管理员帐户可以通过更改用户权限随时控制本地资源。

无法删除或锁定默认管理员帐户，但可以重命名或禁用该帐户。

Windows 安装程序禁用内置管理员帐户，并创建另一个作为 Administrators 组成员的本地帐户。

管理员组的成员可以使用提升的权限运行应用，而无需使用 “以管理员身份运行” 选项。 快速用户切换比使用 runas 或不同用户提升更安全。

默认情况下，管理员帐户是 Administrators 组的成员。 最佳做法是限制管理员组中的用户数，因为 Administrators 组的成员对设备具有“完全控制”权限。

无法从管理员组中删除管理员帐户。

由于已知许多版本的 Windows 操作系统上都存在管理员帐户，因此最好尽可能禁用管理员帐户，使恶意用户更难访问服务器或客户端计算机。

可以重命名管理员帐户。 但是，重命名的管理员帐户继续使用相同的自动分配的安全标识符 (SID) ，恶意用户可能会发现该标识符。 有关如何重命名或禁用用户帐户的详细信息，请参阅 禁用或激活本地用户帐户 和 重命名本地用户帐户。

作为安全最佳做法，请使用本地 (非管理员) 帐户登录，然后使用 “以管理员身份运行 ”完成需要比标准用户帐户更高级别权限的任务。 除非完全有必要，否则不要使用管理员帐户登录到计算机。 有关详细信息，请参阅 使用管理凭据运行程序。

组策略可用于自动控制本地管理员组的使用。 有关组策略的详细信息，请参阅组策略概述。

重要提示

来宾帐户允许计算机上没有帐户的偶尔用户或一次性用户暂时登录到具有有限用户权限的本地服务器或客户端计算机。 默认情况下，来宾帐户处于禁用状态，并且密码为空。 由于来宾帐户可以提供匿名访问，因此被视为安全风险。 出于此原因，除非需要使用来宾帐户，否则最佳做法是禁用来宾帐户。

默认情况下，来宾帐户是默认来宾组 的唯一成员，该组 SID S-1-5-32-546允许用户登录到设备。

启用来宾帐户时，仅授予有限的权限和权限。 出于安全原因，来宾帐户不应通过网络使用，并可供其他计算机访问。

此外，来宾帐户中的来宾用户应该无法查看事件日志。 启用来宾帐户后，最佳做法是经常监视来宾帐户，以确保其他用户无法使用服务和其他资源。 这包括前一个用户无意中留下的资源。

HelpAssistant 帐户是在运行远程协助会话时启用的默认本地帐户。 当没有远程协助请求挂起时，会自动禁用此帐户。

HelpAssistant 是用于建立远程协助会话的主帐户。 远程协助会话用于连接到运行 Windows 操作系统的另一台计算机，它通过邀请启动。 对于请求的远程协助，用户通过电子邮件或文件从其计算机向可以提供帮助的人员发送邀请。 接受用户的远程协助会话邀请后，将自动创建默认 HelpAssistant 帐户，以便向提供协助的人员授予对计算机的有限访问权限。 HelpAssistant 帐户由远程桌面帮助会话管理器服务管理。

与默认 HelpAssistant 帐户相关的 SID 包括：

对于 Windows Server 操作系统，远程协助是默认未安装的可选组件。 必须先安装远程协助，然后才能使用它。

有关 HelpAssistant 帐户属性的详细信息，请参阅下表。

来宾

DefaultAccount 帐户（也称为默认系统托管帐户 (DSMA) ）是一种已知的用户帐户类型。 DefaultAccount 可用于运行多用户感知或用户不可知的进程。

默认情况下，DSMA 在桌面版和具有桌面体验的服务器操作系统上处于禁用状态。

DSMA 具有众所周知的 RID。503 因此，DSMA 的安全标识符 (SID) 将具有以下格式的已知 SID： S-1-5-21-\-503。

DSMA 是已知组 系统托管帐户组的成员，该组的已知 SID 为 S-1-5-32-581。

即使在创建帐户本身之前，也可在脱机暂存期间向 DSMA 别名授予对资源的访问权限。 帐户和组是在安全帐户管理器 (SAM) 中首次启动计算机期间创建的。

从权限的角度来看，DefaultAccount 是一个标准用户帐户。 需要 DefaultAccount 来运行多用户 manifested-apps (MUMA 应用) 。 MUMA 应用会一直运行，并对登录和注销设备的用户做出反应。 与 Windows 桌面（应用在用户的上下文中运行并在用户注销时终止）不同，MUMA 应用使用 DSMA 运行。

MUMA 应用在共享会话 SKU（如 Xbox）中正常运行。 例如，Xbox shell 是一个 MUMA 应用。 目前，Xbox 自动以来宾帐户身份登录，所有应用都在此上下文中运行。 所有应用都是多用户感知的，并响应用户管理器触发的事件。 应用作为来宾帐户运行。

同样，手机自动以 DefApps 帐户登录，这类似于 Windows 中的标准用户帐户，但具有一些额外的特权。 代理、某些服务和应用作为此帐户运行。

在聚合用户模型中，多用户感知应用和多用户感知代理需要在与用户不同的上下文中运行。 为此，系统会创建 DSMA。

如果域是使用运行 Windows Server 2016 的域控制器创建的，则 DefaultAccount 将存在于域中的所有域控制器上。 如果域是使用运行早期版本的 Windows Server 的域控制器创建的，则将在将 PDC 模拟器角色转移到运行 Windows Server 2016 的域控制器后创建 DefaultAccount。 然后，DefaultAccount 将复制到域中的所有其他域控制器。

Microsoft 不建议更改禁用帐户的默认配置。 帐户处于禁用状态不会有安全风险。 更改默认配置可能会妨碍将来依赖此帐户的方案。

操作系统和 Windows 下运行的服务使用 SYSTEM 帐户。 Windows 操作系统中有许多服务和进程需要能够在内部登录，例如在 Windows 安装期间。 SYSTEM 帐户设计用于此目的，Windows 管理 SYSTEM 帐户的用户权限。 它是一个内部帐户，不会显示在用户管理器中，并且无法将其添加到任何组。

另一方面，系统帐户确实显示在“安全”菜单“权限”部分的“文件管理器”中的 NTFS 文件系统卷上。 默认情况下，系统会向 SYSTEM 帐户授予对 NTFS 卷上所有文件的完全控制权限。 此处，SYSTEM 帐户具有与管理员帐户相同的功能权限。

注意

向帐户授予管理员组文件权限不会隐式向 SYSTEM 帐户授予权限。 可以从文件中删除 SYSTEM 帐户的权限，但我们不建议删除它们。

网络服务帐户是服务控制管理器 (SCM) 使用的预定义本地帐户。 在网络服务帐户的上下文中运行的服务向远程服务器提供计算机的凭据。 有关详细信息，请参阅 NetworkService 帐户。

LOCAL SERVICE 帐户是服务控制管理器使用的预定义本地帐户。 它在本地计算机上具有最低权限，并在网络上提供匿名凭据。 有关详细信息，请参阅 LocalService 帐户。

默认本地用户帐户和创建的本地用户帐户位于“用户”文件夹中。 “用户”文件夹位于“本地用户和组” 中。 有关创建和管理本地用户帐户的详细信息，请参阅 管理本地用户。

可以使用本地用户和组仅对本地服务器分配权限，以限制本地用户和组执行某些操作的能力。 权限授权用户对服务器执行某些操作，例如备份文件和文件夹或关闭服务器。 访问权限是与对象（通常是文件、文件夹或打印机）关联的规则。 它规定哪些用户可以以何种方式访问服务器上的对象。

不能在域控制器上使用本地用户和组。 但是，可以使用域控制器上的本地用户和组来面向网络上不是域控制器的远程计算机。

注意

使用 Active Directory 用户和计算机来管理 Active Directory 中的用户和组。

还可以使用 NET.EXE USER 管理本地用户，并使用 NET.EXE LOCALGROUP 或使用各种 PowerShell cmdlet 和其他脚本技术来管理本地组。

管理员可以使用多种方法来防止恶意用户使用被盗的凭据（如被盗的密码或密码哈希）在另一台计算机上对具有管理权限的本地帐户进行身份验证。 这也称为 横向移动。

最简单的方法是使用标准用户帐户登录到计算机，而不是使用管理员帐户执行任务。 例如，使用标准帐户浏览 Internet、发送电子邮件或使用字处理器。 如果要执行管理任务（例如安装新程序或更改影响其他用户的设置），则无需切换到管理员帐户。 在执行任务之前，可以使用用户帐户控制 (UAC) 提示你输入权限或管理员密码，如下一部分所述。

可用于限制和保护具有管理权限的用户帐户的其他方法包括：

以下各节介绍了上述每种方法。

注意

如果禁用了所有管理本地帐户，则这些方法不适用。

用户帐户控制 (UAC) 是一项安全功能，可在程序进行需要管理权限的更改时通知你。 UAC 的工作原理是调整用户帐户的权限级别。 默认情况下，UAC 设置为在应用程序尝试更改计算机时通知你，但你可以在 UAC 通知你时进行更改。

UAC 使具有管理权限的帐户可以被视为标准用户非管理员帐户，直到请求和批准完全权限（也称为提升）。 例如，UAC 允许管理员在非管理员的用户会话期间输入凭据，以执行偶尔的管理任务，而无需切换用户、注销或使用 运行方式 命令。

此外，UAC 可能要求管理员在授予这些应用程序运行权限之前专门批准进行系统范围更改的应用程序，即使在管理员的用户会话中也是如此。

例如，当本地帐户使用网络登录（例如，使用 NET.EXE USE () ）从远程计算机登录时，会显示 UAC 的默认功能。 在此实例中，会颁发标准用户令牌，该令牌没有管理权限，但无法请求或接收提升。 因此，使用网络登录的本地帐户无法访问 C$或 ADMIN$ 等管理共享，也无法执行任何远程管理。

有关 UAC 的详细信息，请参阅 用户帐户控制。

下表显示了用于对远程访问强制实施本地帐户限制的组策略和注册表设置。

注意

还可以使用安全模板中的自定义 ADMX 强制实施 LocalAccountTokenFilterPolicy 的默认值。

拒绝本地帐户执行网络登录的功能有助于防止在恶意攻击中重复使用本地帐户密码哈希。 此过程可确保从受入侵的操作系统中窃取的本地帐户的凭据不能用于入侵使用相同凭据的其他计算机，从而有助于防止横向移动。

注意

若要执行此过程，必须首先标识本地默认管理员帐户的名称，该帐户可能不是默认用户名“Administrator”，以及属于本地管理员组成员的任何其他帐户。

下表显示了用于拒绝所有本地管理员帐户的网络登录的组策略设置。

注意

如果工作站和服务器上的默认管理员帐户的用户名不同，则可能需要创建单独的 GPO。

每个帐户的密码应是唯一的。 虽然对于单个用户帐户是真实的，但许多企业对常见的本地帐户（例如默认管理员帐户）具有相同的密码。 当在操作系统部署期间对本地帐户使用相同的密码时，也会发生这种情况。

保持不变或同步更改以保持相同的密码会给组织带来重大风险。 通过对本地帐户使用不同的密码，随机化密码可缓解“传递哈希”攻击，从而妨碍恶意用户使用这些帐户的密码哈希来入侵其他计算机的能力。

密码可以通过以下方式进行随机化：