服务器添加非管理员用户密码

在服务器管理中，为日常操作创建非管理员用户是保障系统安全的重要措施，以下步骤详细说明如何添加非管理员用户并设置密码，涵盖Linux与Windows系统操作,同时提供安全加固建议。

为何需要非管理员用户？

1. 降低风险：避免直接使用管理员账户（如root或Administrator）执行常规任务，减少误操作或攻击的破坏范围。
2. 权限隔离：非管理员用户仅分配必要权限，遵循“最小权限原则”。
3. 审计追踪：不同用户的操作日志更易于追踪和分析。

Linux系统操作指南

步骤1：创建非管理员用户

# 使用useradd命令创建用户（例如用户名为webuser）
sudo useradd -m -s /bin/bash webuser
# -m：自动创建用户主目录
# -s：指定默认Shell

步骤2：设置用户密码

sudo passwd webuser
# 输入两次强密码（建议12位以上，含大小写字母、数字及符号）

步骤3：禁止用户使用sudo权限（默认无权限）

• 若需部分权限，可通过以下方式添加至sudo组（需谨慎）：

  sudo usermod -aG sudo webuser

验证用户权限

su - webuser  # 切换至新用户
sudo -l       # 查看是否具备sudo权限（若未授权应提示拒绝）

Windows系统操作指南

步骤1：创建本地用户

1. 按Win + R，输入lusrmgr.msc打开本地用户和组管理。
2. 右键用户 → 新用户 → 输入用户名（如webuser）及密码，取消勾选“用户下次登录必须更改密码”。
3. 勾选“密码永不过期”（根据需求调整）。

步骤2：限制用户权限

1. 右键新用户 → 属性 → 隶属于 → 删除Administrators组（若存在）。
2. 点击添加 → 输入Users → 确认,确保用户仅属于普通组。

步骤3：测试权限

1. 使用webuser账户登录，尝试修改系统设置或访问受限目录（如C:Windows）,验证是否被阻止。

密码设置最佳实践

1. 复杂度要求：至少包含大小写字母、数字和特殊符号（如P@ssw0rd!2024）。
2. 长度优先：优先使用长密码（14位以上），而非频繁更换复杂短密码。
3. 定期更新：每90天重置一次密码，避免重复使用历史密码。
4. 使用密码管理器：推荐使用Bitwarden、1Password等工具生成和存储密码。

安全加固建议

1. 禁用SSH root登录（Linux）
   编辑/etc/ssh/sshd_config文件，设置PermitRootLogin no,重启服务：

   sudo systemctl restart sshd

2. 配置密码策略（Windows）
   通过secpol.msc → 账户策略/密码策略，设置最短密码长度、复杂度要求及锁定阈值。

   

3. 启用双因素认证（2FA）
   使用Google Authenticator或Microsoft Authenticator,为SSH或远程登录添加额外验证层。

4. 监控登录日志

   • Linux：通过last命令或/var/log/auth.log文件查看登录记录。
   • Windows：使用“事件查看器” → Windows日志/安全，筛选事件ID 4624（登录成功）和4625（登录失败）。

常见错误与规避

• 错误1：密码过于简单
  规避：使用pwquality（Linux）或组策略（Windows）强制执行密码规则。

• 错误2：未测试权限
  规避：创建用户后立即验证其能否执行超出权限的操作。

• 错误3：未禁用默认管理员
  规避：重命名默认管理员账户并限制远程登录。

引用说明

1. Linux用户管理官方文档：https://man7.org/linux/man-pages/man8/useradd.8.html
2. Microsoft Windows用户权限指南：https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups
3. OWASP密码规范建议：https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html