Server的用戶管理.doc

4.3 Windows 2000 Server的用戶管理4.3.1 實(shí)訓(xùn)目的（1）掌握Windows 2000中關(guān)于用戶和組的基本概念。（2）掌握Windows 2000中不同類型的組的使用場合。（3）掌握創(chuàng)建和修改用戶的方法。（4）掌握創(chuàng)建和修改組的方法。（5）掌握在單個域中使用組的策略（AGDLP）。4.3.2 實(shí)訓(xùn)內(nèi)容（1）創(chuàng)建和修改本地用戶賬戶。（2）創(chuàng)建和修改域用戶賬戶。（3）創(chuàng)建和修改全局組。（4）實(shí)現(xiàn)AGDLP策略。4.3.3 實(shí)訓(xùn)理論基礎(chǔ)活動目錄用戶和計算機(jī)管理器中的賬號標(biāo)識的是一個物理實(shí)體，如計算機(jī)或用戶，計算機(jī)和用戶的賬號在它們登錄到網(wǎng)絡(luò)或訪問域中的資源時提供安全信任。賬號可以用于： 驗證計算機(jī)或用戶的身份 允許訪問域中資源 審核用戶或計算機(jī)賬號的活動1用戶賬號用戶賬號能夠讓用戶以授權(quán)的身份登錄到計算機(jī)和域中并訪問其中的資源。用戶賬號也可以作為某些軟件的服務(wù)賬號。Windows 2000還提供了內(nèi)置的用戶賬戶，用于協(xié)助日常的管理任務(wù)，或者使得用戶可以臨時訪問資源。每個經(jīng)常利用網(wǎng)絡(luò)的用戶都應(yīng)該有用戶賬戶，可以創(chuàng)建兩種類型的用戶賬戶：域用戶賬戶和本地用戶賬戶。（1）本地用戶賬戶。利用本地用戶賬戶，用戶可以登錄到特定的計算機(jī)，以訪問該計算機(jī)上的資源。如果用戶在其他的計算機(jī)上也有自己獨(dú)立的賬戶，那么也能夠訪問其他計算機(jī)上的資源。本地用戶賬戶駐留在該計算機(jī)的安全賬號管理器（SAM）中，SAM就是計算機(jī)上的本地安全性賬號數(shù)據(jù)庫。（2）域用戶賬戶。利用域用戶賬戶，用戶可以登錄到特定的Windows 2000域，以訪問網(wǎng)絡(luò)資源。用戶利用自己特有的用戶賬戶和密碼，可以從網(wǎng)絡(luò)上的任何計算機(jī)訪問網(wǎng)絡(luò)資源，域用戶賬戶信息駐留在活動目錄服務(wù)中。（3）內(nèi)置的用戶賬戶。用于協(xié)助日常的管理任務(wù)，或者使得用戶可以臨時訪問資源。有兩個特別的內(nèi)置賬戶，即Administrator和Guest ，這兩個內(nèi)置賬戶不能被刪除，可以被修改。本地的Administrator和Guest賬戶駐留在本地SAM中，域的Administrator和Guest賬戶駐留在活動目錄中，內(nèi)置賬戶在安裝Windows 2000和活動目錄的過程中自動創(chuàng)建。2計算機(jī)賬戶每一個運(yùn)行 Windows 2000 和 Windows NT 的計算機(jī)在加入到域時都需要一個計算機(jī)賬號，就像用戶賬號一樣，被用來驗證和審核計算機(jī)的登錄過程和訪問域資源。3組利用組可以簡化管理?？梢岳媒M對用戶賬戶進(jìn)行組合，從而可以針對用戶構(gòu)成的組進(jìn)行授權(quán)，達(dá)到一次授予它們共享資源的權(quán)力和權(quán)限，而不必經(jīng)過多次授權(quán)。這樣做可以簡化對訪問網(wǎng)絡(luò)中資源的管理。共享資源包括網(wǎng)絡(luò)共享文件夾、文件、目錄和打印機(jī)。 當(dāng)用戶成為某個組的成員后，它就將被授予改組所獲得的所有權(quán)力和權(quán)限。 一個用戶賬戶可以成為多個組的成員。從而獲得這些組所具有的權(quán)力和權(quán)限。創(chuàng)建組的場合的不同，使得組分為工作組中的組和域中的組。（1）工作組中的組。工作組中的組在不是域控制器的計算機(jī)上創(chuàng)建，可以在客戶機(jī)或者成員服務(wù)器上創(chuàng)建。（2）域中的組。域中的組在域控制器上創(chuàng)建，駐留在活動目錄中，分安全組和分發(fā)組兩種類型。其中分發(fā)組不能進(jìn)行權(quán)限指派，只能用作電子郵件的通信組。4組作用域組作用域確定組在域樹或樹林中所應(yīng)用的范圍。組作用域是只針對域中的組來講的。有三類不同的作用域：全局組、本地域組和通用組。（1）全局組 成員只能來源于組所在的域的域用戶賬戶 可以訪問域樹林中的任何地方的資源（2）本地域組 成員可以來源于域樹林中的任何一個域 被限定只能訪問本域資源（3）通用組5單個域中使用組的策略當(dāng)在單個域中使用組進(jìn)行簡化管理的時候，推薦使用AGDLP策略，該策略就是將用戶賬戶（A Accounts）放置到全局組（G Global）中，將全局組放置在域本地組（D Domain Local）中，然后為域本地組授權(quán)（P Permissions），從而達(dá)到為用戶授權(quán)，使用戶可以訪問域中網(wǎng)絡(luò)資源的目的。至于在多域環(huán)境中還可以使用通用組。6實(shí)訓(xùn)環(huán)境需求項目操作系統(tǒng) 角色 數(shù)量 備注計算機(jī)Windows 2000 Advanced TestDomainXX.com 1臺/組 命名為WserverXX 域的域控制器，XX為組號 計算機(jī)Windows 2000 Advanced TestDomainXX.com 1臺/組 命名為MserverXX 域的成員服務(wù)器，XX為組號 4.3.4 實(shí)訓(xùn)步驟下面實(shí)訓(xùn)中將創(chuàng)建本地用戶賬戶、本地組、域用戶賬戶和域中的全局組，并且利用AGDLP策略實(shí)現(xiàn)簡化管理。1實(shí)訓(xùn)準(zhǔn)備準(zhǔn)備項目 數(shù)據(jù)實(shí)訓(xùn)硬件設(shè)備 確認(rèn)準(zhǔn)備無誤一個域用戶賬戶 AdminXX（屬于Administrators組） 域用戶賬戶密碼password在MserverXX上的本地賬戶 Administrator 在MserverXX上的本地賬戶密碼password一個組織單元 UserOU一個全局組BackUP Admin一個域用戶賬戶 BakupXX服務(wù)器計算機(jī)名 WserverXX XX為組名成員服務(wù)器名稱 MserverXXXX為組名域名 TestDomainXX.com2創(chuàng)建本地用戶賬戶在下面的實(shí)驗中，將創(chuàng)建兩個本地用戶賬戶。首先將創(chuàng)建賬戶LocalUserXX，然后利用LocalUserXX進(jìn)行登錄，登錄后創(chuàng)建另一個本地用戶賬戶ManagerXX。因為LocalUserXX無創(chuàng)建賬戶的權(quán)力，需要做二次登錄。注意：本步驟實(shí)驗需要在成員服務(wù)器上執(zhí)行。（1）試圖以LocalUserXX作為用戶名登錄到MserverXX：1）試圖利用下列信息登錄到MserverXX。用戶名：LocalUserXX（ XX是組號）；密碼：password；登錄到：MserverXX （這里MserverXX是成員服務(wù)器）。2）結(jié)果將是不能登錄。單擊“確定”按鈕，關(guān)閉“登錄消息”框。4.11 添加新用戶圖4.12 二次登錄（2）作為系統(tǒng)管理員Administrator登錄到MserverXX，以創(chuàng)建用戶賬戶：1）利用下列信息登錄到MserverXX。用戶名：Administrator密碼：password登錄到：MserverXX2）單擊“開始”“程序”“管理工具”“計算機(jī)管理”，打開計算機(jī)管理窗口。3）在左側(cè)控制臺樹下，在“系統(tǒng)工具”下，擴(kuò)展“本地用戶和組”，將看到兩個容器：用戶和組。4）單擊“用戶”。將會看到右側(cè)用戶列表，其中Guest賬戶上是一個紅色的X。5）右擊“用戶”，選擇”新用戶”。 6）在“新用戶”對話框中輸入下列信息。如圖4.11所示。用戶名：LocalUserXX（ XX是組號）描述：本地普通用戶密碼：password確認(rèn)密碼：password7）不選擇“用戶下次登錄時必須更改密碼”復(fù)選框，單擊“創(chuàng)建”。8）單擊“關(guān)閉”以關(guān)閉“新建用戶”對話框。9）關(guān)閉“計算機(jī)管理”窗口，然后退出登錄。（3）利用前面創(chuàng)建的賬戶登錄到MserverXX，然后利用二次登錄以完成另一個賬戶的創(chuàng)建：1）利用下列信息登錄。用戶名：LocalUserXX（ XX是組號）密碼：password登錄到：MserverXX （這里MserverXX是成員服務(wù)器）此時將可以成功登錄到該成員服務(wù)器上。2）單擊“開始”“程序”“管理工具”“計算機(jī)管理”，打開計算機(jī)管理窗口。3）在左側(cè)控制臺樹下，在“系統(tǒng)工具”下，擴(kuò)展“本地用戶和組”。4）右擊“用戶”，選擇“新用戶”。5）在“新用戶”對話框中，在“用戶名”框輸入ManagerXX，然后單擊“創(chuàng)建”，此時將會出現(xiàn)一個“拒絕訪問”消息框，用戶不能成功建立。6）單擊“確定”，關(guān)閉出錯消息。7）單擊“關(guān)閉”以關(guān)閉“新建用戶”窗口，然后關(guān)閉“計算機(jī)管理”窗口。8）單擊“開始”“程序”“管理工具”，用鼠標(biāo)右擊“計算機(jī)管理”，選擇“運(yùn)行為”。9）在“以其他用戶身份運(yùn)行”對話框中，確認(rèn)用戶名稱是Administrator，域是MserverXX，輸入密碼password，單擊“確定”。如圖4.12所示。 10）在左側(cè)控制臺樹下，在“系統(tǒng)工具”下，擴(kuò)展“本地用戶和組”，右擊“用戶”，選擇“新用戶”。11）在“新用戶”對話框輸入下列信息。用戶名：ManagerXX（XX是組號）描述：部門管理員密碼：password確認(rèn)密碼：password12）不選擇“用戶下次登錄時必須更改密碼”復(fù)選框，單擊“創(chuàng)建”。13）單擊“關(guān)閉”按鈕，關(guān)閉“新建用戶”對話框，然后關(guān)閉“計算機(jī)管理”窗口。14）退出登錄。（4）用LocalUserXX登錄，并測試本地賬戶連接到域資源的能力。1）以下列信息登錄到域TestDomainXX.com。用戶名：LocalUserXX（XX是組號）密碼：password登錄到：TestDomainXX.com此時將出現(xiàn)信息，表示不能登錄到域。2）單擊“確定”，關(guān)閉“登錄消息”框。3）利用下列信息登錄到域TestDomainXX.com。用戶名：AdminXX（ XX是組號）密碼：password登錄到：TestDomainXX（這里MserverXX是成員服務(wù)器）此時成功登錄。4）考慮為什么兩個用戶賬戶登錄到域會有不同的結(jié)果？5）退出登錄。3創(chuàng)建域用戶賬戶在下面的練習(xí)中，將創(chuàng)建兩個臨時域用戶賬戶Tuser1和Tuser2，然后配置下列賬戶選項： 登錄時段 登錄到的服務(wù)器 賬戶失效時間注意：本步驟實(shí)驗需要在域控制器上執(zhí)行。（1）以AdminXX作為用戶名登錄到域TestDomainXX.com，并完成賬戶創(chuàng)建工作。1）以下列信息登錄到域TestDomainXX.com。用戶名：AdminXX密碼：password登錄到：TestDomainXX.com2）此時將能夠成功登錄。圖4.13 創(chuàng)建組織單元圖4.14 新建用戶（2）在域中創(chuàng)建一個組織單元，用于存放創(chuàng)建的用戶對象。1）從“管理工具”菜單打開“AD用戶和計算機(jī)”管理窗口。2）在左側(cè)控制臺，擴(kuò)展TestDomainXX.com，右擊TestDomainXX.com，選擇“新建”“組織單元”。 3）在“新建對象-組織單元”對話框，輸入組織單元名稱UserOU，單擊“確定”。4）（3）在組織單元UserOU中，創(chuàng)建臨時用戶Tuser1 和Tuser2。1）在左側(cè)控制臺樹，右擊上一步生成的組織單元UserOU，選擇“新建”，單擊“用戶”。2）利用下列信息完成“新建對象-用戶”對話框。名字：Tuser1登錄名：Tuser13）單擊“下一步”，在“密碼”和“確認(rèn)密碼”框輸入password。4）單擊“下一步”，然后單擊“完成”。 5）重復(fù)上面過程創(chuàng)建賬戶Tuser2，密碼為password。（4）利用“AD用戶和計算機(jī)”為Tuser1設(shè)置登錄時段和登錄到服務(wù)器等信息。1）在左側(cè)控制臺樹單擊“UserOU”，在右側(cè)詳細(xì)窗口，雙擊“Tuser1”。1）在“Tuser1屬性”對話框，進(jìn)入“賬戶”選項卡，單擊“登錄時間”。3）在“Tuser1的登錄時段”對話框，單擊日歷左上角“全部”，單擊“拒絕的登錄”。4）在登錄時段上拖動光標(biāo)，選中“從星期一到星期五，從7點(diǎn)到19點(diǎn)”，單擊“允許登錄”。5）在“賬戶”選項卡，單擊“登錄到”按鈕。6）在“登錄工作站”對話框，單擊“下列計算機(jī)”，在“計算機(jī)名”框輸入WserverXX，單擊“添加”。7）在“賬戶”選項卡，在“賬戶過期”下，單擊“在這之后”，然后選擇從當(dāng)前時間算起的下一個星期五。8）關(guān)閉屬性對話框。圖4.15 登錄時段圖重作圖4.16 登錄到工作站（5）重復(fù)第（4）步，為Tuser2完成下面信息的配置。登錄時段：星期一到星期六，上午8點(diǎn)到下午6點(diǎn)登錄到：MserverXX賬戶失效時間：當(dāng)前日期算起的下一個星期五（6）試圖以Tuser1作為用戶名，從MserverXX登錄到域TestDomainXX.com。1）以下列信息在成員服務(wù)器上MserverXX做登錄。用戶名：Tuser1密碼：password登錄到：TestDomainXX.com2）此時不能成功登錄，因為賬戶配置限制了Tuser1只能在WserverXX登錄。3）單擊“確定”，關(guān)閉登錄消息對話框。（7）試圖以Tuser2作為用戶名，從MserverXX登錄到域TestDomainXX.com。1）以下列信息在成員服務(wù)器上MserverXX做登錄。用戶名：Tuser2密碼：password登錄到：TestDomainXX.com2）此時可以成功登錄。3）退出登錄。4創(chuàng)建全局組下面實(shí)驗將創(chuàng)建一個全局組Backup Admin，把用戶BackupXX添加到這個全局組中，然后把全局組Backup Admin添加到內(nèi)置的域本地組Backup Operators中。（1）利用AdminXX賬戶登錄到域控制器。（2）利用“AD計算機(jī)和用戶”在UserOU中創(chuàng)建一個用戶，用戶名和登錄名都為BackupXX。（3）利用“AD計算機(jī)和用戶”在UserOU中創(chuàng)建一個全局組Backup Admin。1）在“AD計算機(jī)和用戶”管理窗口，右擊左側(cè)UserOU，選擇“新建”，單擊“組”。2）在組名稱框中輸入“Backup Admin”。3）確定該組的類型是“安全”，范圍是“全局”，單擊“確定”。（4）向Backup Admin組添加域用戶賬戶BackupXX。1）在右側(cè)詳細(xì)資料窗口中，雙擊“Backup Admin”。2）進(jìn)入“成員”選項卡，單擊“添加”。3）在“選擇用戶，聯(lián)系人，計算機(jī)或者組”對話框中，在名稱欄單擊BackupXX，單擊“確定”。4）單擊“確定”，關(guān)閉屬性頁。（5）