教学重点和难点: 本地用户及组管理; 域用户与组管理。第13章 用户帐户与组帐户管理 用户帐户是计算机的基本安全组件,计算机通过用户帐
户来辨别用户身份,让有使用权限的人登录计算机,访问本地计算机资源或从网络访问这台计算机的共享资源。用户账号是用来记录用户的用户名和
口令、隶属的组、可以访问的网络资源以及用户的个人文件和设置。指派不同用户不同的权限,可以让用户执行不同的计算机管理任务。 13.1
用户帐户概述13.1 用户帐户概述 1. 域用户账号 域用户账号建立在域控制器的Active Directory数据库内。
用户可以利用域用户账号来登录域,并利用它来访问网络上的资源,例如访问其它计算机的文件、打印机等资源。当用户利用域用户账号来登录时,
由域控制器来检查用户所输入的账号与密码是否正确。 将用户账号建立在某台域控制器内后,该账号会自动复制到同一域内的其他所有域控制
器中。因此,当该用户登录时,此域内的所有域控制器都可以负责审核用户的身份,也就是检查用户所输入的用户名与口令是否正确。13.1 用
户帐户概述 2. 本地用户账号 本地用户账号建立在Windows Server 2003成员服务器的本地安全数据库内,而不
是域控制器内。用户可以利用本地用户账号来登录此计算机,但是只能够访问这台计算机内的资源,无法访问网络上的资源。本地用户账号只存在于
这台计算机内,Windows Server 2003不会将其复制到域控制器的活动目录内。13.1 用户帐户概述 3. 内建用户账
号 在安装Windows Server 2003时一并安装的用户账号称之为内建用户账号,通常为administrator和gu
est。(1) administrator 该账号为初次安装Windows Server 2003 系统后的预设系统管理员,因
此具有至高无上的权利。(2) guest 该账号用来提供给来宾作为临时账号使用,所谓来宾就是偶尔要求登录入网的用户,该账号具有
少部分的权限。Guest账号可以被更名,但无法删除它,要使用该账号时,首先要设置它为允许使用,缺省设置它为禁止。 13.2 本地用
户和组 用户本地账户是建立在Windows Server 2003成员服务器的本地安全数据库内,而不是域控制器内的账户。用户可以
利用本地账户登录此账户所在的计算机,但是无法登录域。同时只能访问这台计算机内的资源,无法访问网络上的资源。建议只在未加入域的计算机
内建立本地用户账户。1. 规划新的用户帐户在创建新的用户帐户时,应遵循以下的规则和约定。(1)命名约定帐户名必须唯一:本地帐户必须
在本地计算机上唯一。帐户名不能包含以下字符:/\[]?=,+<>”。帐户名最长不能超过20个字符。13.2 本地用户和组(2)密
码原则① 一定要给每一个用户帐户指定一个密码,尤其是administrator帐户,以防止它人随便使用该帐户。② 请勿包含使用者账
户名称的全部或任何部分。③ 包含下列四种字符中的三种:英文大写字符 (A 到 Z)。英文小写字符 (a 到 z)。10 进位数字
(0 到 9)。非英文字母字符 (例如 !、$、#、%)、扩充型 ASCII、符号或语音字符。④ 密码最多可由128个字符组成,推
荐最小长度为8个字符。13.2 本地用户和组2. 创建本地用户帐户 建立本地账户可以用“计算机管理”中的“本地用户和组”管理
单元来创建本地用户帐户,而且必须拥有管理员权限。创建本地用户帐户的步骤如下: (1)选择“开始?管理工具?计算机管理”选项,弹
出“计算机管理”窗口,依次展开“系统管理?本地用户和组?用户”,在“计算机管理”窗口右侧列出已经存在的帐户。13.2 本地用户和组
(2)右击,从弹出的菜单中选择“新用户”命令,弹出“新用户”对话框。输入用户名、全名、描述和密码。输入时密码。为了避免在输入
时被他人看到密码,因此在对话框中的密码只会以星号()显示。需要再次输入密码来确认所输入的密码是否正确。密码最多128个字符,密码
的大小写是有区别的。 可以设置密码选项,包括以下四种:13.2 本地用户和组“用户下次登录时需更改密码”:强迫用户在下次登录
时必须更改密码。该项设置可以确保只有该用户知道该密码。 “用户不能更改密码”:它可防止用户更改密码,如果多人共享一个账户时(例如G
uest),则选择此复选框,避免发生被某个人更改密码后,造成其他人都无法登录的情况。 “密码永不过期”:若选择此复选框,则系统永远
不会要求该用户更改密码,即使在“账户策略”的“密码最长存留期”中设置了所有用户必须定期更改密码,系统也不会要求这个用户更改密码。“
账户已停用”:禁止用户利用此账户登录。13.2 本地用户和组3. 设置用户帐户的属性 打开“计算机管理?系统工具?本地用户和
组?用户”窗口,双击一个用户(右击一个用户选择属性),弹出“用户属性”对话框。(1)“常规”选项卡 可以设置与帐户有关的一些
描述信息,如全名、描述、帐户选项等。13.2 本地用户和组(2)“隶属于”选项卡 选择“隶属于”选项,打开“隶属于选项”对话
框,可以设置将该帐户加入到其他的本地组中。单击“添加”按钮,弹出“选择组”对话框,用户可以在“”直接输入组的名称,如管理员组的名称
“administerators”。 (3)“配置文件”选项卡,选择“配置文件”选项,打开“配置文件选项”对话框,可以设置用户帐户
的配置文件路径、登录脚本和主文件夹路径。 13.2 本地用户和组 (4)更改用户帐户密码 打开“计算机管理?系统工具?本
地用户和组?用户”窗口,右击一个用户选择“设置密码”选项,弹出“警示信息”,单击“继续”按钮,弹出“为用户设置密码”对话框。在“新
密码”和“确认密码”栏中输入相同的密码,单击“确定”按钮,完成用户密码更改。4. 删除用户帐户 当用户不再需要使用某个用户帐
户时,可以将其删除。删除用户帐户会导致与该帐户有关的所有信息的遗失。在“计算机管理”控制台中,选择要删除的用户帐户,右击选择“删除
”即可。但系统内置帐户(administrator和guest)无法删除。13.2 本地用户和组1. 概述 组帐户是计算机的
基本安全组件,用户帐户的集合。但是组帐户并不能用于登录计算机。通过使用组,管理员可以同时向一组用户分配权限。同一个用户帐户可以同时
为多个组的成员。 打开“计算机管理”控制台,在“本地用户和组”树中的“组”目录里,可以查看本地内置的所有组帐户。13.2 本
地用户和组2. 创建本地用户组 通常情况下,系统默认的用户组已经能够满足需要,但有时不能满足特殊安全和灵活性的需要,管理员需
要新增一些组。这些组创建以后,就可以像内置组一样,赋予其权限和进行组成员的增加。13.2 本地用户和组 (1)选择“开始?管理
工具?计算机管理”选项,弹出“计算机管理”窗口,依次展开“系统管理?本地用户和组?组”,在“计算机管理”窗口右侧列出已经存在的本地
组。 (2)右击“组”,选择“新建组”选项,弹出“新建组”对话框,输入组名和描述。 (3)单击“创建”按钮,即可完成创建。
13.2 本地用户和组3. 删除、重命名本地组及修改本地组 当计算机中的组不需要时,系统管理员可以对组执行清除任务。每个组都拥
有一个唯一的安全标识符(SID),所以,一旦删除了用户组,就不能重新恢复,即使新建一个与被删除组有相同名字和成员的组,也不会与被删
除组有相同的特性和权限。在“计算机管理”控制台选择要删除的组帐户,然后执行删除功能。13.2 本地用户和组1. 域用户帐户创建
必须使用“Active Directory用户和计算机”管理单元来建立域用户账户。当使用这个管理单元来建立用户账户时,这个账户
会被自动建立在MMC控制台所找到的第一台域控制器内,以后该账户会被自动复制到此域内的所有域控制器内。13.3 域帐户管理 (1
) 依次选择“开始?管理工具?Active Directory用户和计算机”选项,弹出“Active Directory用户和计算
机”对话框,右击“user”,依次选择“新建 ?用户”命令。弹出“新建对象-用户”对话框。 (2)单击“下一步”按钮,弹出新建
域用户帐户的对话框,“密码”与“确认密码”:输入用户账户的密码。 (3) 单击“下一步”按钮后,提示用户账户的信息,最后单击
“完成”按钮,完成用户账户的创建。 13.3 域帐户管理2. 域用户账户的属性设置 每个域用户都有一些相关的属性可供设置,例
如,某地址、电话、传真、电子邮件、账户有效期限等。将用户的这些信息输入完毕后,就可以通过这些信息来查找活动目录内的用户。 要
设置用户账户的属性时,依次选择“选择该用户?右击?属性”选项,打开“域用户帐户属性”对话框。 13.3 域帐户管理(1)用户个人信
息的设置所谓“用户个人信息”,就是指姓名、地址、电话、传真、移动电话、公司、部门、职称、电子邮件、Web页等。常规:用来设置姓、名
、显示名称、描述、办公室、电话号码、电子邮件和Web页等信息。地址:用来设置国家(地区)、省/自治区、县市、街道、邮箱和邮政编码等
信息。电话:用来设置家庭电话、寻呼机、移动电话、传真、IP电话等信息。单位:用来设置职务、部门、公司、经理和直接下属等信息。13.
3 域帐户管理(2)账户信息的设置 “常规”对话框 选择“账户”选项卡。在这里介绍用户账户的“登录时间”、“登录到”以及“账
户过期”等设置。① 账户过期 设置账户的有效期限,默认为账户永不过期,也可以选择“在这以后”单选框,并确定账户过期的时间。②
登录时间的设置 “登录时间”用来设置允许用户登录到域的时段,默认是用户可以在任何时段登录域。 13.3 域帐户管理③ 限制用
户只能够从某些工作站登录 “登录到”用来设置允许用户登录到域的计算机,系统默认为用户可从任何一台计算机登录域,也可以限制用户
只能从某些计算机登录域。3. 管理域用户账户 依次选择“开始”? “程序”? “管理工具”? “Active Directo
ry用户和计算机”选项,打开“Active Directory用户和计算机”对话框, 13.3 域帐户管理1. 组的作用域
组都有一个作用域,用来确定在域树或林中该组的应用范围。Active Directory域组有三类不同的组作用域:全局组、本地域域
和通用组。13.3 域帐户管理(1)全局组 全局组主要用来组织用户,可以将多个权限相似的用户账户加入到同一全局组内。全局组的特
点如下: ① 全局组内的成员,只能够包含该组所属的域内的用户账号与全局组,也就是说,只能够将同一域内的用户账户与其他全局组加入
到全局组内。 ② 全局组可以访问任何一个域内的资源,也就是说,可以在任何一个域内设置某个全局组的使用权限,以便让此全局组具备权
限来访问该域内的资源。13.3 域帐户管理(2)本地域组 本地域组主要用来指派其在所属域内的访问权限,以便可以访问该域内的资源
。本地域的特点如下: ① 本地域组内的成员,能够包含任何一个域内的用户账号、通用组、全局组;它也能够包含同一域内的本地域组;但
是他无法包含其它域内的本地域组。 ② 本地域组只能够访问同一域内的资源,无法访问其它域内的资源。换句话说,在设置本地域组的权限
时,只可以设置同一域内的资源的权限,但是无法设置其它域内的资源的权限。13.3 域帐户管理(3)通用组 通用组主要用来指派在
所属域内的访问权限,以便可以访问每一域内的资源。通用组的特点如下: ① 通用组内的成员,能够包含任何一个域内的用户账号、通用
组、全局组。但是它无法包含任何一个域内的本地域组。 ② 通用组可以访问任何一个域内的资源,也就是说,可以在一个域内设置通用组
的权限,以便让此通用组具备权限来访问该域内的资源。 13.3 域帐户管理 在单一域的网络环境下,利用组来管理网络资源时,为了
便于管理,建议采用以下的准则: 建立一个全局组,然后将具备相同权限的用户账户加入到该组内。例如,将计算机教研室所有教师的用户账号加
入到一个称为“jsjjys”的全局组内。 建立一个本地域组,而将设置让此组对某些资源具备适当的权限。例如,有一个激光打印机供某些用
户来打印,则建立一个称为“LJP”的本地域组。 将所有需要该资源访问权限的全局组加入到本地域组内。例如,将“jsjjys”全局组加
入到“LJP”本地域组内。 指定适当的权限给本地域组,例如,给与“LJP”本地域组对此激光打印机具备使用的权限。13.3 域帐户管理2. 组类型 Active Directory中有两种组类型:通信组和安全组。可以使用通信组创建电子邮件通信组列表,使用安全组给共享资源指派权限。(1)通信组 只有在电子邮件应用程序中,才能使用通信组将电子邮件发送给一组用户。(2)安全组 安全组提供了一种有效的方式来指派对网络上资源的访问权。 13.3 域帐户管理3. 默认组 在安装完Windows Server 2003后,系统会建立一些用户组。通常这些组为区分系统管理工作的权限所设立,不同的组有不同的资源存取权限。在Windows Server2003中拥有多种类别的内建组。13.3 域帐户管理 本地域组 全局组 本地组 系统线 |
|
