解决方案供应商有3种基本的Windows 7用户帐户可用：一种针对管理员或其它同等权限的用户；一种针对标准的、每天登录的用户；另一种则针对来访客用户（Windows 7中默认关闭了此帐户）。三种帐户如图1所示，图中还包括一个管理员帐户。在开始菜单的搜索框中键入“用户”，然后单击搜索结果中的“用户帐户”，即可访问控制面板中的Windows 7 “用户帐户”项。

图1—Windows 7的3种基本帐户

　　通过管理员帐户，解决方案供应商可以进行软件安装、系统配置修改、在大多数目录下添加或删除文件等等。标准用户可以管理%SystemDrive%Users目录树下属于自己的文件，但只能在计算机进行有限的改动。访客用户只能查看特定目录下的系统文件，对所访问计算机的控制权十分有限。控制面板中的“用户帐户”主要是用于创建用户ID、关联帐户密码和图片。但如果你想管理用户的权限（rights and permissions），则需要在Windows 7的其他地方进行操作。

　　通过组管理，实现Windows 7最佳的用户帐户控制

　　咨询任何有经验的Windows解决方案供应商，他们都会告诉你管理用户权限（即对用户允许运行的程序、服务和允许访问的文件、系统资源进行控制）的最佳方法是：针对某些特定的职能或操作，建立相应的组。

　　快速浏览一下Windows 7默认的组名和组描述（如图2）有助于理解上述方法。图中还列出了微软在Windows 7系统中找出的非常实用的职能和操作。

图2 - Windows 7本地用户和组管理控制台中默认的组名和组描述

　　注意观察默认的组的类型，它们包括备份操作员（可备份和恢复系统）、事件日志读取人员（可通过访问和阅读事件日志查找和诊断系统问题）、网络配置操作员（管理网络配置）、远程桌面用户（通过网络或互联网远程登录）等。用组管理来实现用户帐户控制的想法是突破三大基本帐户类型的限制，为某一特定的领域（或职能）的用户赋予多种功能，并建立相应的组，然后根据需要将用户归入相应的组中。例如，一个安装了PhotoShop的系统可能有一个PhotoShop用户组，只有该组的成员才能在此计算机上运行PhotoShop。

　　要想使用此项功能，解决方案供应商必须以Administrator帐户或其他的管理员帐户（如图1中的Ed帐户）登录系统。然后，在开始菜单的搜索框中输入“lusrmgr.msc”，打开本地用户和组管理控制台插件，如图2所示。“本地”这个词的概念很重要，因为它意味着一次只能控制一台Windows 7（或其他Windows系统）计算机。

　　对于网络用户而言，用户帐户管理的关键在于活动目录和组策略

　　在Windows 7中，管理用户帐户的方法与Windows 服务器网络略有不同。在Windows服务器网络中，活动目录服务器通常记录用户帐户/组的信息和定义，以及相关的组策略。虽然可以本地管理来自产品网络中独立windows计算机的组、帐户和组策略，但这个过程太浪费时间，也并不值得花这么多力气。

　　大多数解决方案供应商使用的是微软管理控制台（Microsoft Management Console，mmc.exe）及相关插件来管理用户、组和组策略。你可以使用活动目录用户和计算机（Active Directory Users and Computers）工具来创建活动目录用户和组，你也可以使用组策略管理工具（the Group Policy Management Console，又名gpmc.msc）来创建、管理组策略设置。组策略设置用于控制桌面外观、程序访问权限、文件系统权限，以及其他许多方面。