第4 章• 管理用户帐户和组（概述） 97
98
管理用户帐户和组（任务）
本章介绍如何设置和维护用户帐户与组。
有关与设置和维护用户帐户和组相关过程的信息，请参见以下内容：
 第99 页中的“设置用户帐户（任务图）”
 第109 页中的“维护用户帐户（任务图）”
有关管理用户帐户和组的背景信息，请参见第4 章。
设置用户帐户（任务图）
任务说明参考
收集用户信息。使用标准表单收集用户信息有助
于组织用户信息。
第100 页中的“如何收集用户
信息”
自定义用户初始化文件。可以设置用户初始化文件
（.cshrc、.profile 和
.login），以便为新用户提供一
致的环境。
第101 页中的“如何自定义用
户初始化文件”
添加组。可以用下列工具添加组：
Solaris Management Console 的“
群组”工具
Solaris 命令行界面工具
第102 页中的“如何用Solaris
Management Console 的“群组
”工具添加组”
第105 页中的“如何用“命令
行”工具添加组和用户”
5第5 章
99
任务说明参考
添加用户。可以用下列工具添加用户：
Solaris Management Console 的“
用户”工具
Solaris 命令行界面工具
第103 页中的“如何用Solaris
Management Console 的“用户
”工具添加用户”
第105 页中的“如何用“命令
行”工具添加组和用户”
设置用户模板。可以创建用户模板，以便无需手
动添加所有类似的用户属性。
请参见Solaris Management
Console 联机帮助
为用户添加权限或角色。可以为用户添加权限或角色，以
便用户可以执行特定的命令或任
务。
请参见Solaris Management
Console 联机帮助
共享用户的起始目录。必须共享用户的起始目录，以便
从用户的系统远程挂载该目录。
第106 页中的“如何共享用户
的起始目录”
挂载用户的起始目录。必须在用户的系统上挂载用户的
起始目录。
第107 页中的“如何挂载用户
的起始目录”
如何收集用户信息
可以创建一个如下所示的表单，以便在添加用户帐户之前收集有关用户的信息。
项说明
用户名:
角色名:
配置文件或授权:
UID:
主组:
辅助组:
注释:
缺省Shell:
口令状态和更新:
起始目录的路径名:
挂载方法:
起始目录的权限:
设置用户帐户（任务图）
100 系统管理指南：基本管理• 2006 年7 月
项说明
邮件服务器:
部门名称:
部门管理员:
经理:
员工姓名:
员工职务:
员工状态:
员工编号:
开始日期:
添加到下列邮件别名中:
桌面系统名称:

如何自定义用户初始化文件
成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《System
Administration Guide: Security Services》中的“Configuring RBAC (Task Map)”。
为每种类型的用户创建一个框架目录。
# mkdir /shared-dir/skel/user-type
shared-dir 可供网络上的其他系统使用的目录名称。
user-type 要用来存储某种类型用户的初始化文件的目录名称。
将缺省的用户初始化文件复制到为不同类型的用户创建的目录中。
# cp /etc/skel/local.cshrc /shared-dir/skel/user-type/.cshrc
# cp /etc/skel/local.login /shared-dir/skel/user-type/.login
# cp /etc/skel/local.profile /shared-dir/skel/user-type/.profile
1
2
3
设置用户帐户（任务图）
第5 章• 管理用户帐户和组（任务） 101
注– 如果为帐户指定了配置文件，则用户必须启动特殊版本的配置文件shell 才能使用指定给
配置文件的命令（具有任何安全属性）。共有三种shell 与配置文件shell 相对应：pfsh
(Bourne shell)、pfcsh (C shell) 和pfksh (Korn shell)。有关配置文件shell 的信息，请参
见《System Administration Guide: Security Services》中的“Role-Based Access Control
(Overview)”。
编辑每种用户类型的用户初始化文件，并根据系统需要自定义这些文件。
有关用户初始化文件自定义方法的详细说明，请参见第87 页中的“自定义用户的工作环境
”。
设置用户初始化文件的权限。
# chmod 744 /shared-dir/skel/user-type/.*
验证用户初始化文件的权限是否正确。
# ls -la /shared-dir/skel/*
自定义用户初始化文件
下面的示例说明如何自定义/export/skel/enduser 目录中为特定类型的用户指定的C shell
用户初始化文件。有关.cshrc 文件的示例，请参见示例4–3。
# mkdir /export/skel/enduser
# cp /etc/skel/local.cshrc /export/skel/enduser/.cshrc
(Edit .cshrc file)
# chmod 744 /export/skel/enduser/.*

如何用Solaris Management Console 的“群组”工
具添加组
在添加组时可以向组中添加现有用户。也可以只是添加组，然后在添加用户时向组中添加
用户。
成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《System
Administration Guide: Security Services》中的“Configuring RBAC (Task Map)”。
4
5
6
示例5–1
1
设置用户帐户（任务图）
102 系统管理指南：基本管理• 2006 年7 月
启动Solaris Management Console。
# /usr/sadm/bin/smc &
有关启动Solaris Management Console 的更多信息，请参见第42 页中的“如何以超级用户或
角色身份启动控制台”或第48 页中的“如何在名称服务环境中启动Solaris Management
Console”。
在“导航”窗格中，单击“管理工具”图标下面的“本计算机”图标。
将显示类别列表。
（可选）选择与名称服务环境相对应的工具箱。
单击“系统配置”图标。
单击“用户”图标并提供超级用户口令或角色口令。
单击“群组”图标。从“操作”菜单中选择“添加组”。
使用上下文帮助向系统中添加组。
在“组标识”下面的“组名”提示符处标识组名。
例如，mechanoids。
在“组ID 号”提示符处标识组编号。
例如，GID 101。
单击“确定”。

如何用Solaris Management Console 的“用户”工
具添加用户
通过以下过程，用Solaris Management Console 的“用户”工具添加用户。
成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《System
Administration Guide: Security Services》中的“Configuring RBAC (Task Map)”。
启动Solaris Management Console。
# /usr/sadm/bin/smc &
有关启动Solaris Management Console 的更多信息，请参见第42 页中的“如何以超级用户或
角色身份启动控制台”或第48 页中的“如何在名称服务环境中启动Solaris Management
Console”。
2
3
4
5
6
7
8
9
10
1
2
设置用户帐户（任务图）
第5 章• 管理用户帐户和组（任务） 103
在“导航”窗格中，单击“管理工具”图标下面的“本计算机”图标。
将显示类别列表。
（可选）选择与名称服务环境相对应的工具箱。
单击“系统配置”图标。
单击“用户”图标并提供超级用户口令或角色口令。
单击“用户帐户”图标。
使用上下文帮助向系统中添加用户。
从“操作”菜单中选择“新增用户”⇒“用向导”。
在下面的每个步骤中单击“下一步”。
a. 在“用户名”提示符处标识用户名或登录名。
例如，kryten
b. （可选）在“全名”提示符处标识用户的全名。
例如，kryten series 3000。
c. （可选）在“说明”提示符处提供此用户进一步的说明。
d. 在“用户ID 号”提示符处提供用户ID。
例如，1001。
e. 选中“用户在首次登录时必须使用此口令”选项。
在“口令”提示符处提供用户的口令，然后在“确认口令”提示符处确认口令。
f. 选择用户的主组。
例如，mechanoids。
g. 通过在“服务器”和“路径”提示符处接受缺省值来创建用户的起始目录。
h. 指定邮件服务器。
i. 检查所提供的信息，如有必要，请返回到相应的位置以更正信息。否则，请单击“完成
”。
3
4
5
6
7
8
设置用户帐户（任务图）
104 系统管理指南：基本管理• 2006 年7 月
如何用“命令行”工具添加组和用户
本节说明如何使用命令行工具添加用户和组。
示例－用groupadd 和useradd 命令添加组和用户
下面的示例说明如何使用groupadd 和useradd 命令向本地系统上的文件中添加scutters 组
和scutter1 用户。这些命令不能用来在名称服务环境中管理用户。
# groupadd -g 102 scutters
# useradd -u 1003 -g 102 -d /export/home/scutter1 -s /bin/csh \
-c "Scutter 1" -m -k /etc/skel scutter1
64 blocks
有关更多信息，请参见groupadd(1M) 和useradd(1M) 手册页。
示例－用smgroup 和smuser 命令添加组和用户
下面的示例说明如何使用smgroup 和smuser 命令来向starlite 主机上的NIS 域solar.com
中添加camille 用户和gelfs 组。
# /usr/sadm/bin/smgroup add -D nis:/starlitesolar.com -- -g 103 -n gelfs
# /usr/sadm/bin/smuser add -D nis:/starlite/solar.com -- -u 1004
-n camille -c "Camille G." -d /export/home/camille -s /bin/csh -g gelfs
有关更多信息，请参见smgroup(1M) 和smuser(1M) 手册页。
用Solaris Management Console 设置起始目录
在使用Solaris Management Console 工具管理用户的起始目录时，请牢记以下几点：
 如果使用“用户”工具的“新增用户向导”添加用户帐户，并将用户的起始目录指定为
/export/home/username，系统会自动将起始目录设置为自动挂载。还会向passwd 文件
中添加以下项。
/home/username
 要使用“用户”工具设置不自动挂载起始目录的用户帐户，这是唯一可以使用的方法。
首先设置可禁用此功能的用户帐户模板，然后用该模板添加用户。无法使用“新增用户
向导”禁用此功能。
设置用户帐户（任务图）
第5 章• 管理用户帐户和组（任务） 105
 使用具有-x autohome=N 选项的smuser add 命令来添加用户，将不会自动挂载用户的起
始目录。但是，在添加用户之后，无法使用smuser delete 命令选项来删除起始目录。
此时必须使用“用户”工具来删除用户及其起始目录。

如何共享用户的起始目录
可使用以下过程共享用户的起始目录。
在包含起始目录的系统上成为超级用户或承担等效角色。
检验mountd 守护进程是否正在运行。
在该发行版中，现在mountd 作为NFS 服务器服务的一部分启动。要查看mountd 守护进程是
否正在运行，请键入以下命令：
# svcs network/nfs/server
STATE STIME FMRI
online Aug_26 svc:/network/nfs/server:default
如果mountd 守护进程未在运行，请启动。
# svcadm network/nfs/server
列出在系统上共享的文件系统。
# share
基于包含用户起始目录的文件系统是否已共享执行下列操作之一：
a. 如果用户的起始目录已经共享，请转至步骤8。
b. 如果用户的起始目录未共享，请执行步骤6。
编辑/etc/dfs/dfstab 文件并添加下行：
share -F nfs /file-system
/file-system 是包含需要共享的用户起始目录的文件系统。根据约定，文件系统是
/export/home。
共享列在/etc/dfs/dfstab 文件中的文件系统。
# shareall -F nfs
此命令执行/etc/dfs/dfstab 文件中的所有share 命令，这样，您就不必等待重新引导系
统。
1
2
3
4
5
6
7
设置用户帐户（任务图）
106 系统管理指南：基本管理• 2006 年7 月
验证用户的起始目录是否已共享。
# share
共享用户的起始目录
下面的示例说明如何共享/export/home 目录。
# svcs network/nfs/server
# svcadm network/nfs/server
# share
# vi /etc/dfs/dfstab
(The line share -F nfs /export/home is added.)
# shareall -F nfs
# share
-/usr/dist ro ""
-/export/home/ user-name rw ""
如果用户的系统上没有用户起始目录，则必须从用户起始目录所在的系统挂载它。有关详
细说明，请参见第107 页中的“如何挂载用户的起始目录”。

如何挂载用户的起始目录
有关自动挂载起始目录的信息，请参见《System Administration Guide: Network Services》中
的“Task Overview for Autofs Administration”。
确保用户的起始目录已共享。
有关更多信息，请参见第106 页中的“如何共享用户的起始目录”。
以超级用户身份登录用户的系统。
编辑/etc/vfstab 文件并为用户起始目录创建一个项。
system-name:/export/home/user-name -/export/home/ username nfs -yes rw
system-name 起始目录所在系统的名称。
8
示例5–2
另请参见
1
2
3
设置用户帐户（任务图）
第5 章• 管理用户帐户和组（任务） 107
/export/home/username 要共享的用户起始目录的名称。根据约定，
/export/home/username 包含用户的起始目录。但是，可以使用
其他文件系统。
- 项中必需的占位符。
/export/home/username 在其中挂载用户起始目录的目录名称。
有关向/etc/vfstab 文件中添加项的更多信息，请参见《System Administration Guide:
Devices and File Systems》中的“Mounting File Systems”。
为用户的起始目录创建挂载点。
# mkdir -p /export/home/username
挂载用户的起始目录。
# mountall
将挂载当前vfstab 文件（该文件的mount at boot 字段设置为yes）中的所有项。
验证起始目录是否已挂载。
# mount | grep username
挂载用户的起始目录
下面的示例说明如何挂载ripley 用户的起始目录。
# vi /etc/vfstab
(The line venus:/export/home/ripley -/export/home/ripley
nfs -yes rw is added.)
# mkdir -p /export/home/ripley
# mountall
# mount
/ on /dev/dsk/c0t0d0s0 read/write/setuid/intr/largefiles/xattr/onerror=panic/dev=...
/devices on /devices read/write/setuid/dev=46c0000 on Thu Jan 8 09:38:19 2004
/usr on /dev/dsk/c0t0d0s6 read/write/setuid/intr/largefiles/xattr/onerror=panic/dev=...
/proc on /proc read/write/setuid/dev=4700000 on Thu Jan 8 09:38:27 2004
4
5
6
示例5–3
设置用户帐户（任务图）
108 系统管理指南：基本管理• 2006 年7 月
/etc/mnttab on mnttab read/write/setuid/dev=47c0000 on Thu Jan 8 09:38:27 2004
/dev/fd on fd read/write/setuid/dev=4800000 on Thu Jan 8 09:38:30 2004
/var/run on swap read/write/setuid/xattr/dev=1 on Thu Jan 8 09:38:30 2004
/tmp on swap read/write/setuid/xattr/dev=2 on Thu Jan 8 09:38:30 2004
/export/home on /dev/dsk/c0t0d0s7 read/write/setuid/intr/largefiles/xattr/onerror=...
/export/home/ripley on venus:/export/home/ripley remote/read/write/setuid/xattr/dev=...
维护用户帐户（任务图）
任务说明参考
修改组。可以使用“群组”工具修改组的
名称或组中的用户。
第110 页中的“如何修改组”
删除组。可以删除不再需要的组。第111 页中的“如何删除组”
修改用户帐户。禁用用户帐户
可临时禁用将来会需要的用户帐
户。
更改用户的口令
可能需要在用户忘记其口令时更
改该口令。
设置口令更新
可通过“用户帐户”工具的“口
令选项”菜单强制用户定期更改
其口令。
第113 页中的“如何禁用用户帐
户”
第113 页中的“如何更改用户口
令”
第114 页中的“如何为用户帐户
设置口令更新功能”
删除用户帐户。可以删除不再需要的用户帐户。第115 页中的“如何删除用户帐
户”
修改用户帐户
除非定义的用户名或UID 号与现有的用户名或UID 号冲突，否则决不能修改用户帐户的用
户名或UID 号。如果两个用户帐户具有相同的用户名或UID 号，请执行以下步骤：
维护用户帐户（任务图）
第5 章• 管理用户帐户和组（任务） 109
 如果两个用户帐户具有相同的UID 号，请使用“用户”工具删除其中一个帐户并重新添
加一个具有不同UID 号的帐户。不能使用“用户”工具来修改现有用户帐户的UID
号。
 如果两个用户帐户具有相同的用户名，请使用“用户”工具修改其中一个帐户并更改其
用户名。
如果确实使用“用户”工具来更改某个用户的用户名，并且该用户有起始目录，那么，起
始目录的拥有权将改变。
用户的组成员是用户帐户的可更改部分。从“用户”工具的“操作”菜单中选择“属性”
选项，从而添加或删除用户的辅助组。也可以使用“群组”工具直接修改组的成员列表。
还可以修改用户帐户的以下部分：
 说明（注释）
 登录shell
 口令和口令选项
 起始目录和起始目录访问权限
 权限和角色
禁用用户帐户
有时，您可能需要临时或永久禁用用户帐户。禁用或锁定用户帐户表示为用户帐户指定无
效口令(*LK*)，从而禁止用户以后登录。
要禁用用户帐户，最简单的方法就是使用“用户”工具锁定帐户的口令。
还可以在“用户属性”屏幕的“帐户可用性”部分中输入生命期日期。使用生命期日期可
以为帐户设置活动时限。
还可以通过设置口令更新或更改用户的口令来禁用用户帐户。
删除用户帐户
在使用“用户”工具删除用户帐户时，本软件会删除passwd 和group 文件中的项，用户起
始目录和邮件目录中的文件也将同时删除。

如何修改组
可使用以下过程修改组。
成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《System
Administration Guide: Security Services》中的“Configuring RBAC (Task Map)”。
启动Solaris Management Console。
# /usr/sadm/bin/smc &
1
2
维护用户帐户（任务图）
110 系统管理指南：基本管理• 2006 年7 月
有关启动Solaris Management Console 的更多信息，请参见第42 页中的“如何以超级用户或
角色身份启动控制台”或第48 页中的“如何在名称服务环境中启动Solaris Management
Console”。
在“导航”窗格中，单击“管理工具”图标下面的“本计算机”图标。
将显示类别列表。
（可选）选择与名称服务环境相对应的工具箱。
单击“系统配置”图标。
单击“用户”图标。
提供超级用户口令或角色口令。
单击“组”图标。
选择要修改的组。
例如，选择scutters。
在“组名:”文本框中修改选定的组。完成时单击“确定”。
例如，将scutters 更改为scutter。
现在，位于scutters 组中的所有用户都在scutter 组中。

如何删除组
可使用以下过程删除组。
成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《System
Administration Guide: Security Services》中的“Configuring RBAC (Task Map)”。
启动Solaris Management Console。
# /usr/sadm/bin/smc &
有关启动Solaris Management Console 的更多信息，请参见第42 页中的“如何以超级用户或
角色身份启动控制台”或第48 页中的“如何在名称服务环境中启动Solaris Management
Console”。
在“导航”窗格中，单击“管理工具”图标下面的“本计算机”图标。
将显示类别列表。
（可选）选择与名称服务环境相对应的工具箱。
3
4
5
6
7
8
9
10
1
2
3
4
维护用户帐户（任务图）
第5 章• 管理用户帐户和组（任务） 111
单击“系统配置”图标。
单击“用户”图标。
提供超级用户口令或角色口令。
单击“组”图标。
选择要删除的组。
例如，选择scutter。
在弹出窗口中单击“确定”。
该组将从其所有的成员用户中删除。
管理口令
可以使用“用户”工具来管理口令。此工具包括下列功能：
 为用户帐户指定普通口令
 允许用户在首次登录期间创建其各自的口令
 禁用或锁定用户帐户
 指定生命期日期和口令更新信息
注– NIS 名称服务不支持口令更新。
使用口令更新功能
如果使用NIS+ 或/etc 文件来存储用户帐户信息，可以为用户口令设置口令更新功能。从
Solaris 9 12/02 发行版开始，LDAP 目录服务中也支持口令更新。
使用口令更新功能，可以强制用户定期更改其口令或阻止用户在指定的时间间隔之前更改
口令。如果希望阻止入侵者使用旧帐户或不活动帐户获取对系统未经检测的访问权限，还
可以在帐户被禁用时设置口令生命期日期。可以用passwd 命令或Solaris Management
Console 的“用户”工具设置口令更新属性。
有关启动Solaris Management Console 的信息，请参见第42 页中的“如何以超级用户或角色
身份启动控制台”。
5
6
7
8
9
10
维护用户帐户（任务图）
112 系统管理指南：基本管理• 2006 年7 月

如何禁用用户帐户
可以使用以下过程禁用用户帐户。
成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《System
Administration Guide: Security Services》中的“Configuring RBAC (Task Map)”。
启动Solaris Management Console。
# /usr/sadm/bin/smc &
有关启动Solaris Management Console 的更多信息，请参见第42 页中的“如何以超级用户或
角色身份启动控制台”或第48 页中的“如何在名称服务环境中启动Solaris Management
Console”。
在“导航”窗格中，单击“管理工具”图标下面的“本计算机”图标。
将显示类别列表。
（可选）选择与名称服务环境相对应的工具箱。
单击“系统配置”图标。
单击“用户”图标并提供超级用户口令或角色口令。
单击“用户帐户”图标。
双击该用户。
例如，选择scutter2。
在“通用”选项卡功能的“帐户可用性”部分中选中“帐户已锁定”选项。
单击“确定”。

如何更改用户口令
在用户忘记其口令时，可以使用以下过程。
成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《System
Administration Guide: Security Services》中的“Configuring RBAC (Task Map)”。
启动Solaris Management Console。
# /usr/sadm/bin/smc &
1
2
3
4
5
6
7
8
9
10
1
2
维护用户帐户（任务图）
第5 章• 管理用户帐户和组（任务） 113
有关启动Solaris Management Console 的更多信息，请参见第42 页中的“如何以超级用户或
角色身份启动控制台”或第48 页中的“如何在名称服务环境中启动Solaris Management
Console”。
在“导航”窗格中，单击“管理工具”图标下面的“本计算机”图标。
将显示类别列表。
（可选）选择与名称服务环境相对应的工具箱。
单击“系统配置”图标。
单击“用户”图标。
提供超级用户口令或角色口令。
单击“用户帐户”图标。
双击需要新口令的用户。
例如，选择scutter1。
选择“口令”选项卡。
选中“用户在下次登录时必须使用此口令”选项。
输入用户的新口令。
单击“确定”

如何为用户帐户设置口令更新功能
可使用以下过程为用户帐户设置口令更新功能。
成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《System
Administration Guide: Security Services》中的“Configuring RBAC (Task Map)”。
启动Solaris Management Console。
# /usr/sadm/bin/smc &
有关启动Solaris Management Console 的更多信息，请参见第42 页中的“如何以超级用户或
角色身份启动控制台”或第48 页中的“如何在名称服务环境中启动Solaris Management
Console”。
3
4
5
6
7
8
9
10
11
12
13
1
2
维护用户帐户（任务图）
114 系统管理指南：基本管理• 2006 年7 月
在“导航”窗格中，单击“管理工具”图标下面的“本计算机”图标。
将显示类别列表。
（可选）选择与名称服务环境相对应的工具箱。
单击“系统配置”图标。
单击“用户帐户”图标。
提供超级用户口令或角色口令。
单击“用户帐户”图标。
双击该用户。
例如，选择scutter2。
选择“口令选项”选项卡。
在“天数”选项中选择相应的“口令选项”。
例如，选择“用户必须在以下时间内更改口令”可以设置用户必须更改其口令的日期。
单击“确定”。

如何删除用户帐户
可使用以下过程删除用户帐户。
成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《System
Administration Guide: Security Services》中的“Configuring RBAC (Task Map)”。
启动Solaris Management Console。
# /usr/sadm/bin/smc &
有关启动Solaris Management Console 的更多信息，请参见第42 页中的“如何以超级用户或
角色身份启动控制台”或第48 页中的“如何在名称服务环境中启动Solaris Management
Console”。
在“导航”窗格中，单击“管理工具”图标下面的“本计算机”图标。
将显示类别列表。
（可选）选择与名称服务环境相对应的工具箱。
单击“系统配置”图标。
3
4
5
6
7
8
9
10
11
12
1
2
3
4
5
维护用户帐户（任务图）