[第5單元]用戶與組的管理

1、 Windows Server 2008系統(tǒng)是一個(gè)多用戶多任務(wù)的分時(shí)操作系統(tǒng)，任何一個(gè)要使用系統(tǒng)資源的用戶，都必須首先向管理員申請(qǐng)一個(gè)賬號(hào)，然后以這個(gè)賬號(hào)的身份進(jìn)入系統(tǒng)。一方面可以幫助管理員對(duì)使用系統(tǒng)的用戶進(jìn)行跟蹤，并控制他們對(duì)系統(tǒng)資源的訪問(wèn)，另一方面也可以利用組賬戶幫助管理員簡(jiǎn)化操作的復(fù)雜程度，降低管理的難度。 三峽縱橫科技信息技術(shù)有限公司是一家主要提供計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)與維護(hù)的網(wǎng)絡(luò)技術(shù)服務(wù)公司，2007年為上市公司宜昌安琪集團(tuán)建設(shè)了集團(tuán)總部?jī)?nèi)部的局域網(wǎng)絡(luò)，覆蓋了集團(tuán)四幢辦公大樓，近1000個(gè)節(jié)點(diǎn)，擁有各種類型的服務(wù)器三十余臺(tái)。集團(tuán)各公司的網(wǎng)絡(luò)早期都使用的是工作組的管理模式，計(jì)算機(jī)沒(méi)有辦法集中管

2、理，用戶訪問(wèn)網(wǎng)絡(luò)資源也沒(méi)有辦法統(tǒng)一身份驗(yàn)證。網(wǎng)絡(luò)擴(kuò)建后開始使用了域模式來(lái)進(jìn)行管理，作為技術(shù)人員，你如何在域環(huán)境中實(shí)現(xiàn)集中管理集團(tuán)各公司計(jì)算機(jī)和域用戶，以及實(shí)現(xiàn)集中的身份驗(yàn)證？在計(jì)算機(jī)網(wǎng)絡(luò)中，計(jì)算機(jī)的服務(wù)對(duì)象是用戶，用戶通過(guò)賬戶訪問(wèn)計(jì)算機(jī)資源，所以用戶也就是賬戶。所謂用戶的管理也就是賬戶的管理。每個(gè)用戶都需要有一個(gè)賬戶，以便登錄到域訪問(wèn)網(wǎng)絡(luò)資源或登錄到某臺(tái)計(jì)算機(jī)訪問(wèn)該機(jī)上的資源。組是用戶賬戶的集合，管理員通常通過(guò)組來(lái)對(duì)用戶的權(quán)限進(jìn)行設(shè)置從而簡(jiǎn)化了管理。用戶賬戶由一個(gè)賬戶名和一個(gè)密碼來(lái)標(biāo)識(shí)，二者都需要用戶在登錄時(shí)鍵入。賬戶名是用戶的文本標(biāo)簽，密碼則是用戶的身份驗(yàn)證字符串，是在Windows Ser

3、ver 2008網(wǎng)絡(luò)上的個(gè)人唯一標(biāo)識(shí)。用戶賬戶通過(guò)驗(yàn)證后登錄到工作組或是域內(nèi)的計(jì)算機(jī)上，通過(guò)授權(quán)訪問(wèn)相關(guān)的資源，它也可以作為某些應(yīng)用程序的服務(wù)賬戶。賬戶名的命名規(guī)則如下：賬戶名必須唯一，可以不用區(qū)分大小寫。最多包含20個(gè)大小寫字符和數(shù)字，輸入時(shí)可超過(guò)20個(gè)字符，但只識(shí)別前20個(gè)字符。不能使用保留字字符：”、/、：、；、|、=、，、+、*、？、，、。賬戶名不能只由句點(diǎn)（.）和空格組成?？梢允亲址蛿?shù)字的組合。賬戶名不能與被管理的計(jì)算機(jī)上任何其他用戶名或組名相同。為了維護(hù)計(jì)算機(jī)的安全，每個(gè)賬戶必須有密碼，設(shè)立密碼應(yīng)遵循以下規(guī)則：必須為Administrator賬戶分配密碼，防止未經(jīng)授權(quán)就使用。明確

4、是管理員還是用戶管理密碼，最好用戶管理自己的密碼。密碼的長(zhǎng)度最好在8127之間。如果網(wǎng)絡(luò)包含運(yùn)行Windows 95或Windows 98的計(jì)算機(jī)，應(yīng)考慮使用不超過(guò)14個(gè)字符的密碼。如果密碼超過(guò)14個(gè)字符，則可能無(wú)法從運(yùn)行Windows 95或Windows 98的計(jì)算機(jī)登錄到網(wǎng)絡(luò)。使用不易猜出的字母組合，例如不要使用自己的名字、生日以及家庭成員的名字等。密碼可以使用大小寫字母、數(shù)字和其它合法的字符，并且嚴(yán)格區(qū)分大小寫。密碼最好不要為空白，若為空白，則系統(tǒng)默認(rèn)此用戶賬戶只能夠若為空白，則系統(tǒng)默認(rèn)此用戶賬戶只能夠本地登錄，無(wú)法網(wǎng)絡(luò)登錄本地登錄，無(wú)法網(wǎng)絡(luò)登錄（無(wú)法從其他計(jì)算機(jī)使用此賬戶來(lái)聯(lián)機(jī)）。W

5、indows Server 2008服務(wù)器有兩種工作模式：工作組模式和域模工作組模式和域模式式。域和工作組都是由一些計(jì)算機(jī)組成的，例如可以把企業(yè)的每個(gè)部門組織成一個(gè)域或者一個(gè)工作組，這種組織關(guān)系和物理上計(jì)算機(jī)之間的連接沒(méi)有關(guān)系，僅僅是是邏輯意義上的。企業(yè)的網(wǎng)絡(luò)中可以創(chuàng)建多個(gè)域和多個(gè)工作組，域和工作組之間的區(qū)別可以歸結(jié)為以下三點(diǎn)：（1）創(chuàng)建方式不同：工作組可以由任何一個(gè)計(jì)算機(jī)的管理員來(lái)創(chuàng)建，用戶在系統(tǒng)的“計(jì)算機(jī)名稱更改”對(duì)話框中輸入新的組名，重新啟動(dòng)計(jì)算機(jī)后就創(chuàng)建了一個(gè)新組，每一臺(tái)計(jì)算機(jī)都有權(quán)利創(chuàng)建一個(gè)組；而域只能在域控制器上由管理員來(lái)創(chuàng)建，然后才允許其它的計(jì)算機(jī)加入這個(gè)域。（2）安全機(jī)制不同：

6、在域中有可以登錄該域的賬戶，這些由域管理員來(lái)建立與管理；在工作組中不存在工作組的賬戶，只有本機(jī)上的賬戶和密碼。（3）登錄方式不同：在工作組方式下，計(jì)算機(jī)啟動(dòng)后自動(dòng)就在工作組中；登錄域時(shí)要提交域用戶名和密碼，只到用戶登錄域成功之后，才被賦予相應(yīng)的權(quán)限。Windows Server 2008針對(duì)這兩種工作模式提供了三種不同類型的用戶賬戶，分別是本地用戶賬戶、域用戶賬戶和內(nèi)置用戶賬戶。1、本地用戶賬戶：本地用戶賬戶對(duì)應(yīng)對(duì)等網(wǎng)的工作組模式，建立在非域控制器的Windows Server 2008獨(dú)立服務(wù)器、成員服務(wù)器以及Windows XP客戶端的計(jì)算機(jī)上。本地賬戶只能在本地計(jì)算機(jī)上登錄，無(wú)法訪問(wèn)域中

7、其它計(jì)算機(jī)資源。本地計(jì)算機(jī)上都有一個(gè)管理賬戶數(shù)據(jù)的數(shù)據(jù)庫(kù)，稱為安全賬戶管理器（SAM，Security Accounts Managers）。SAM數(shù)據(jù)庫(kù)文件路徑為系統(tǒng)盤下Windowssystem32configSAM。在SAM中，每個(gè)賬戶被賦予唯一的安全識(shí)別號(hào)（SID，Security Identifier），用戶要訪問(wèn)本地計(jì)算機(jī)，都需要經(jīng)過(guò)該機(jī)SAM中的SID驗(yàn)證。在系統(tǒng)內(nèi)部，是使用SID來(lái)代表該用戶，同時(shí)權(quán)限也都是通過(guò)SID來(lái)記錄，而不是用戶賬戶名稱。例如某個(gè)文件的權(quán)限列表內(nèi)，會(huì)記錄著哪一些SID具有哪種權(quán)限，而不是哪一些用戶賬戶名稱有哪種權(quán)限。若賬戶刪除，然后再添加一個(gè)相同名稱的賬戶

8、，此時(shí)系統(tǒng)會(huì)分配給這個(gè)新賬戶一個(gè)新的SID，它與原賬戶的SID不同，因此這個(gè)新賬戶不會(huì)擁有原賬戶的權(quán)限。本地的驗(yàn)證過(guò)程，都由創(chuàng)建本地帳戶的本地計(jì)算機(jī)完成，沒(méi)有集中的網(wǎng)絡(luò)管理。2、域用戶賬戶：對(duì)應(yīng)于域模式網(wǎng)絡(luò)，域賬戶和密碼存儲(chǔ)在域控制器上Active Directory數(shù)據(jù)庫(kù)中，域數(shù)據(jù)庫(kù)的路徑為域控制器中的系統(tǒng)盤下WindowsNTDSNTDS.DIT。因此，域賬戶和密碼被域控制器集中管理。3、內(nèi)置賬戶：系統(tǒng)會(huì)在服務(wù)器上自動(dòng)創(chuàng)建一些內(nèi)置賬戶Administrator（系統(tǒng)管理員）擁有最高的權(quán)限，管理著Windows Server 2008系統(tǒng)和域，用戶可以用它來(lái)管理計(jì)算機(jī)，例如創(chuàng)建、更改、刪除用

9、戶與組賬戶，設(shè)置安全原則、添加打印機(jī)、設(shè)置用戶權(quán)限等。系統(tǒng)管理員的默認(rèn)名字是Administrator，可以更改系統(tǒng)管理員的名字，但不能刪除該賬戶。該賬戶無(wú)法被禁止，永遠(yuǎn)不會(huì)到期，不受登錄時(shí)間和只能使用指定計(jì)算機(jī)登錄的限制。 Guest（來(lái)賓）是為臨時(shí)訪問(wèn)計(jì)算機(jī)的用戶提供的，該賬戶自動(dòng)生成，且不能被刪除，可以更改名字。Guest只有很少的權(quán)限，默認(rèn)情況下，該賬戶被禁止使用。例如當(dāng)希望局域網(wǎng)中的用戶都可以登錄到自己的計(jì)算機(jī)，但又不愿意為每一個(gè)用戶建立一個(gè)賬戶時(shí)，就可以啟用Guest。有個(gè)用戶之后，為了簡(jiǎn)化網(wǎng)絡(luò)的管理工作，Windows Server 2008中提供了用戶組的概念。用戶組就是指具有

10、相同或者相似特性的用戶集合，我們可以把組看作一個(gè)班級(jí)，用戶便是班級(jí)里的學(xué)生。當(dāng)要給一批用戶分配同一個(gè)權(quán)限時(shí)，就可以將這些用戶都?xì)w到一個(gè)組中，只要給這個(gè)組分配此權(quán)限，組內(nèi)的用戶就都會(huì)擁有此權(quán)限。就好像給一個(gè)班級(jí)發(fā)了一個(gè)通知，班級(jí)內(nèi)的所有學(xué)生都會(huì)收到這個(gè)通知一樣，組是為了方便管理用戶的權(quán)限而設(shè)計(jì)的。組是指本地計(jì)算機(jī)或Active Directory中的對(duì)象，包括用戶、聯(lián)系人、計(jì)算機(jī)和其它組。在Windows Server 2008中，通過(guò)組來(lái)管理用戶和計(jì)算機(jī)對(duì)共享資源的訪問(wèn)。如果賦予某個(gè)組訪問(wèn)某個(gè)資源的權(quán)限，這個(gè)組的用戶都會(huì)自動(dòng)擁有該權(quán)限。例如，網(wǎng)絡(luò)部的員工可能需要訪問(wèn)所有與網(wǎng)絡(luò)相關(guān)的資源，這時(shí)不

11、用逐個(gè)向該部門的員工授予對(duì)這些資源的訪問(wèn)權(quán)限，而是可以使員工成為網(wǎng)絡(luò)部的成員，以使用戶自動(dòng)獲得該組的權(quán)限。如果某個(gè)用戶日后調(diào)往另一部門，只需將該用戶從組中刪除，所有訪問(wèn)權(quán)限即會(huì)隨之撤銷。與逐個(gè)撤銷對(duì)各資源的訪問(wèn)權(quán)限相比，該技術(shù)比較容易實(shí)現(xiàn)。一般組用于以下三個(gè)方面：（1）管理用戶和計(jì)算機(jī)對(duì)于共享資源的訪問(wèn)，如網(wǎng)絡(luò)各項(xiàng)文件、目錄和打印隊(duì)列等；（2）篩選組策略；（3）創(chuàng)建電子郵件分配列表等。Windows Server 2008同樣使用唯一安全標(biāo)識(shí)符SID來(lái)跟蹤組，權(quán)限的設(shè)置都是通過(guò)SID進(jìn)行的，而不是利用組名。更改任何一個(gè)組的賬戶名，并沒(méi)有更改該組的SID，這意味著在刪除組之后又重新創(chuàng)建該組，不能

12、期望所有權(quán)限和特權(quán)都與以前相同。新的組將有一個(gè)新的安全標(biāo)識(shí)符，舊組的所有權(quán)限和特權(quán)已經(jīng)丟失。在Windows Server 2008中，用組賬戶來(lái)表示組，用戶只能通過(guò)用戶賬戶登錄計(jì)算機(jī)，不能通過(guò)組賬戶登錄計(jì)算機(jī)。注意：我們?cè)谇懊鎸W(xué)習(xí)過(guò)組織單元（OU），兩者是相同的概念嗎？組織單元是域中包含的一類目錄對(duì)象，它包括域中一些用戶、計(jì)算機(jī)和組、文件與打印機(jī)等資源。由于活動(dòng)目錄服務(wù)把域詳細(xì)地劃分成組織單元，而組織單元還可以再劃分成下級(jí)組織單元，因此組織單元的分層結(jié)構(gòu)可用來(lái)建立域的分層結(jié)構(gòu)模型，進(jìn)而可使用戶把網(wǎng)絡(luò)所需的域的數(shù)量減至最小。組織單元具有繼承性，子單位能夠繼承父單位的訪問(wèn)許可樹。域管理員可以使用

13、組織單元來(lái)創(chuàng)建管理模型，該模型可調(diào)整為任何尺寸，而且，域管理員可授予用戶對(duì)域中所有組織單元或單個(gè)組織單元的管理權(quán)限。組和組織單元有很大的不同，組主要用于權(quán)限設(shè)置，而組織單元?jiǎng)t主要用于網(wǎng)絡(luò)構(gòu)建；另外，組織單元只表示單個(gè)域中的對(duì)象集合（可包括組對(duì)象），而組可以包含用戶、計(jì)算機(jī)、本地服務(wù)器上的共享資源，單個(gè)域、域目錄樹或目錄林。與用戶賬戶一樣，可以分別在為本地和域中創(chuàng)建組賬戶。創(chuàng)建在本地的組賬戶：創(chuàng)建在本地的組賬戶?？梢栽赪indows Server 2008/2003/2000/NT獨(dú)立服務(wù)器或成員服務(wù)器、Windows XP、Windows NT Workstation等非域控制器的計(jì)算機(jī)上創(chuàng)建

14、本地組。這些組賬戶的信息被存儲(chǔ)在本地安全賬戶數(shù)據(jù)庫(kù)（SAM）內(nèi)。本地組只能在本地機(jī)使用，它有兩種類型：用戶創(chuàng)建的組和系統(tǒng)內(nèi)置的組（后面將詳細(xì)介紹Windows Server 2008的內(nèi)置組）。創(chuàng)建在域的組賬戶：該賬戶創(chuàng)建在Windows Server 2008的域控制器上，組賬戶的信息被存儲(chǔ)在Active Directory數(shù)據(jù)庫(kù)中，這些組能夠被使用在整個(gè)域中的計(jì)算機(jī)上。根據(jù)組的作用范圍，Windows Server 2008域內(nèi)的組分為通用組、全局組和本地域組，這些組的特性說(shuō)明如下。1、通用組：通用組可以指派所有域中的訪問(wèn)權(quán)限，以便訪問(wèn)每個(gè)域內(nèi)的資源。具有如下的特性：可以訪問(wèn)任何一個(gè)域內(nèi)的

15、資源，成員能夠包含整個(gè)域目錄林中任何一個(gè)域內(nèi)的用戶、通用組、全局組，但無(wú)法包含任何一個(gè)域內(nèi)的本地域組。2、全局組：全局組主要用來(lái)組織用戶，即可以將多個(gè)即將被賦予相同權(quán)限的用戶賬戶加入到同一個(gè)全局組中。具有如下的特性：可以訪問(wèn)任何一個(gè)域內(nèi)的資源成員只能包含與該組相同域中的用戶和其他全局組。3、本地域組：本地域組主要被用來(lái)指派在其所屬域內(nèi)的訪問(wèn)權(quán)限，以便可以訪問(wèn)該域內(nèi)的資源。具有如下的特性：只能訪問(wèn)同一域內(nèi)的資源，無(wú)法訪問(wèn)其他不同域內(nèi)的資源。成員能夠包含任何一個(gè)域內(nèi)的用戶、通用組、全局組以及同一個(gè)域內(nèi)的域本地組，但無(wú)法包含其他域內(nèi)的域本地組。組分類方法有很多，根據(jù)權(quán)限不同，可以分為安全組和分布式組

16、。安全組：安全組主要用于控制和管理資源的安全性。如果某個(gè)組是安全性的組，則可以在共享資源的屬性對(duì)話框中，選擇“共享”選項(xiàng)卡，并為該組的成員分配訪問(wèn)控制權(quán)限，例如設(shè)置該組的成員對(duì)特定文件夾具有“寫入”的訪問(wèn)權(quán)限。除此之外，還可以使用該組進(jìn)行管理，例如可以將信使所發(fā)送的信息發(fā)送給該組的所有成員。分布式組：通常分布式組來(lái)管理與安全性質(zhì)無(wú)關(guān)的任務(wù)。例如，可以將信使所發(fā)送的信息發(fā)送給某個(gè)分布式組，但是卻不能為其設(shè)置資源的權(quán)限，即不能在某個(gè)文件夾屬性對(duì)話框的“共享”選項(xiàng)卡中為該組的成員分配訪問(wèn)控制權(quán)限。提示：、僅在支持活動(dòng)目錄的計(jì)算機(jī)上，才能使用分布式組。、用戶建立的應(yīng)用型組和系統(tǒng)內(nèi)置或預(yù)定義的內(nèi)置組與用

17、戶組大都是安全組。、一個(gè)賬戶可以不隸屬于任何的組，也可以同時(shí)隸屬于多個(gè)組。使用組賬戶可以方便和簡(jiǎn)化賬戶的管理。因?yàn)橘x予組的權(quán)限和許可時(shí)，對(duì)于組中所有賬戶的成員都會(huì)生效。 在Windows Server 2008中，如果想讓網(wǎng)絡(luò)中的其他計(jì)算機(jī)能夠登錄服務(wù)器，就必須給這些計(jì)算機(jī)分配用戶賬戶，這樣才能構(gòu)建出客戶機(jī)/服務(wù)器模式的網(wǎng)絡(luò)。通過(guò)對(duì)這些賬戶的管理，來(lái)滿足網(wǎng)絡(luò)管理員的日常管理需要。 通過(guò)任務(wù)掌握本地用戶賬戶與域用戶賬戶的創(chuàng)建與管理，特別是對(duì)賬戶進(jìn)行重新設(shè)置密碼、修改和重新命名等相關(guān)操作。1、創(chuàng)建本地賬戶本地賬戶是工作在本地機(jī)的，只有系統(tǒng)管理員才能在本地創(chuàng)建用戶。下面舉例說(shuō)明如何創(chuàng)建本地用戶，例如

18、在Windows獨(dú)立服務(wù)器上創(chuàng)建本地帳戶User的操作步驟如下：1）選擇菜單“開始”“管理工具”“計(jì)算機(jī)管理”“本地用戶和組”命令，在彈出的“計(jì)算機(jī)管理”窗口中，右擊“用戶”，選擇“新用戶”命令，如圖5-1所示。2）彈出“新用戶”對(duì)話框，如圖5-2所示，該對(duì)話框中的選項(xiàng)介紹如下：用戶名：系統(tǒng)本地登錄時(shí)使用的名稱。全名：用戶的全稱。描述：關(guān)于該用戶的說(shuō)明文字。密碼：用戶登錄時(shí)使用的密碼。確認(rèn)密碼：為防止密碼輸入錯(cuò)誤，需再輸入一遍。用戶下次登錄時(shí)須更改密碼：用戶首次登錄時(shí)，使用管理員分配的密碼，當(dāng)用戶再次登錄時(shí)，強(qiáng)制用戶更改密碼，用戶更改后的密碼只有自己知道，這樣可保證安全使用。用戶不能更改密碼：

19、只允許用戶使用管理員分配的密碼。密碼永不過(guò)期：密碼默認(rèn)的有限期為42天，超過(guò)42天系統(tǒng)會(huì)提示用戶更改密碼，選中此項(xiàng)表示系統(tǒng)永遠(yuǎn)不會(huì)提示用戶修改密碼。賬戶已禁用：選中此項(xiàng)表示任何人都無(wú)法使用這個(gè)賬戶登錄，適用于企業(yè)內(nèi)某員工離職時(shí)，防止他人冒用該賬戶登錄。2、更改賬戶：要對(duì)已經(jīng)建立的賬戶更改登錄名，具體的操作步驟為：在“計(jì)算機(jī)管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇并右擊該賬戶，選擇“重命名”選項(xiàng)，輸入新名字，如圖5-3所示。3、刪除賬戶：如果某用戶離開公司，為防止其它用戶使用該用戶賬戶登錄，就要?jiǎng)h除該用戶的賬戶，具體的操作步驟為：在“計(jì)算機(jī)管理”窗口中，選擇“本地用戶和組”“

20、用戶”命令，在列表中選擇并右擊該賬戶，選擇“刪除”命令；單擊“是”按鈕，即可刪除。4、禁用與激活賬戶：當(dāng)某個(gè)用戶長(zhǎng)期休假或離職時(shí)，就要禁用該用戶的賬戶，不允許該賬戶登錄，該賬戶信息會(huì)顯示為“X”。禁用與激活一個(gè)本地賬戶的操作基本相似，具體的操作步驟如下：在“計(jì)算機(jī)管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇并右擊該賬戶，選擇“屬性”命令，彈出“Userl屬性”對(duì)話框，選擇“常規(guī)”選項(xiàng)卡，選中“賬戶已禁用”復(fù)選框，如圖5-4所示，單擊“確定”按鈕，該賬戶即被禁用。如果要重新啟用某賬戶，只要取消選中“賬戶已禁用”復(fù)選框即可。5、更改賬戶密碼重設(shè)密碼可能會(huì)造成不可逆的信息丟失，要更改

21、用戶的密碼一般分以下二種情況：如 果 用 戶 在 知 道 密 碼 的 情 況 下 想 更 改 密 碼 ， 登 錄 后 按組合鍵，輸入正確的舊密碼，然后輸入新密碼即可。如果用戶忘記了登錄密碼，可以使用“密碼重設(shè)盤”來(lái)進(jìn)行密碼重設(shè)，密碼重設(shè)只能用于本地計(jì)算機(jī)中。 創(chuàng)建“密碼重設(shè)盤”的具體操作步驟如下：1）系統(tǒng)登錄后按組合鍵，進(jìn)入系統(tǒng)界面，如圖5-5所示，單擊“更改密碼”按鈕，彈出“更改密碼”窗口，如圖5-6所示。2）單擊“創(chuàng)建密碼重設(shè)盤”按鈕，進(jìn)入“歡迎使用忘記密碼向?qū)А睂?duì)話框，對(duì)使用密碼重設(shè)盤進(jìn)行了簡(jiǎn)要介紹，單擊“下一步”按鈕，進(jìn)入“創(chuàng)建密碼重置盤”對(duì)話框，如圖5-7所示，按照提示，在軟驅(qū)中插入

22、一張軟盤或是在USB接口中插入U(xiǎn)盤。3）單擊“下一步”按鈕，進(jìn)入“當(dāng)前用戶賬戶密碼”對(duì)話框，如圖5-8所示，輸入當(dāng)前的密碼，單擊“下一步”按鈕，開始創(chuàng)建密碼重設(shè)盤，創(chuàng)建完畢，進(jìn)入“正在完成忘記密碼向?qū)А睂?duì)話框，單擊“完成”按鈕，即可完成密碼重設(shè)盤的創(chuàng)建。創(chuàng)建密碼重設(shè)盤后，如果忘記了密碼，可以插入這張制作好的“密碼重設(shè)盤”來(lái)設(shè)置新密碼，具體的操作步驟如下：1） 在系統(tǒng)登錄時(shí)輸入密碼有誤時(shí)，會(huì)進(jìn)入如圖5-9所示的密碼錯(cuò)誤提示界面2）單擊“確定”按鈕，進(jìn)入如圖5-10所示的密碼出錯(cuò)后登錄界面，單擊“重設(shè)密碼”按鈕，進(jìn)入“歡迎使用密碼重置向?qū)А睂?duì)話框，此時(shí)將密碼重設(shè)盤插入軟驅(qū)或者USB接口。3）單擊“

23、下一步”按鈕，進(jìn)入“插入密碼重置盤”對(duì)話框，如圖5-11所示。4）單擊“下一步”按鈕，進(jìn)入“重置用戶用戶帳戶和密碼”對(duì)話框，如圖5-12所示，輸入新密碼及密碼提示，單擊“下一步”按鈕，進(jìn)入“正在完成密碼重設(shè)向?qū)А睂?duì)話框，單擊“完成”按鈕即可完成設(shè)置新密碼。提示：若無(wú)密碼重設(shè)盤，可直接在賬戶上更改密碼，缺點(diǎn)是用戶將無(wú)法訪問(wèn)受保護(hù)的數(shù)據(jù)，例如用戶的加密文件、存儲(chǔ)在本機(jī)用來(lái)連接Internet的密碼等數(shù)據(jù)。步驟為：?jiǎn)螕簟坝?jì)算機(jī)管理”“本地用戶和組”選項(xiàng)，在“用戶”列表中選擇并右擊該賬戶，選擇“設(shè)置密碼”。1、創(chuàng)建域賬戶當(dāng)有新的用戶需要使用網(wǎng)絡(luò)上的資源時(shí)，管理員必須在域控制器中為其添加一個(gè)相應(yīng)的用戶賬

24、戶，否則該用戶無(wú)法訪問(wèn)域中的資源。另一方面，當(dāng)有新的客戶計(jì)算機(jī)要加入到域中時(shí)，管理員必須在域控制器中為其創(chuàng)建一個(gè)計(jì)算機(jī)賬戶，以使它有資格成為域成員。創(chuàng)建域賬戶的具體操作步驟如下：1）在域控制器或者已經(jīng)安裝了域管理工具的計(jì)算機(jī)上的“控制面板”中，雙擊“管理工具”，選擇“Active Directory用戶和計(jì)算機(jī)”選項(xiàng)，彈出“Active Directory用戶和計(jì)算機(jī)”窗口，如圖5-13所示，在窗口的左部選中“Users”對(duì)象，右擊在彈出的快捷菜單中選擇“新建”“用戶”命令。2）進(jìn)入 “新建對(duì)象用戶”對(duì)話框，如圖5-14所示，輸入用戶的姓名以及登錄名等資料，注意登錄名才是用戶登錄系統(tǒng)所需要輸入

25、的。3）單擊“下一步”按鈕，打開密碼對(duì)話框，如圖5-15所示，輸入密碼并選擇對(duì)密碼的控制項(xiàng)，單擊“下一步”按鈕，單擊“完成”按鈕。4）創(chuàng)建完畢，在窗口右部的列表中會(huì)有新創(chuàng)建的用戶。域用戶是用一個(gè)人頭像來(lái)表示，和本地用戶的差別在于域的人頭像背后沒(méi)有計(jì)算機(jī)圖標(biāo)，如圖5-16所示，利用新建立的用戶可以直接登錄到Windows Server 2008/2003/XP/2000/NT等非域控制器的成員計(jì)算機(jī)上。2、刪除域賬戶在刪除域賬戶之前，要確定計(jì)算機(jī)或網(wǎng)絡(luò)上是否有該賬戶加密的重要文件，如果有則先將文件解密再刪除賬戶，否則該文件將不會(huì)被解密。刪除域賬戶的操作步驟為：在“計(jì)算機(jī)管理”窗口中，選擇“本地用

26、戶和組”“用戶”命令，在列表中選擇右擊要?jiǎng)h除的用戶名，在彈出的快捷菜單中選擇“刪除”命令即可。3、禁用域賬戶如果某用戶離開公司，就要禁用該賬戶，操作步驟為：在“計(jì)算機(jī)管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇右擊要禁用的賬戶名，在彈出的快捷菜單中選擇“禁用賬戶”命令即可。4、復(fù)制域賬戶：同一部門的員工一般都屬于相同的組，有基本相同的權(quán)限，系統(tǒng)管理員無(wú)需為每個(gè)員工建立新賬戶，只需要建好一個(gè)員工的賬戶，然后以此為模板，復(fù)制出多個(gè)賬戶即可，操作步驟如為：在“計(jì)算機(jī)管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇右擊選擇作為模板的賬戶，選擇“復(fù)制”命令，進(jìn)入“復(fù)制對(duì)象用戶

27、”對(duì)話框，與新建用戶賬戶步驟相似，依次輸入相關(guān)信息即可。5、移動(dòng)域賬戶：如果某員工調(diào)動(dòng)到新部門，系統(tǒng)管理員需要將該賬戶移到新部門的組織單元中去，只需用鼠標(biāo)將賬戶拖曳到新的組織單元即可移動(dòng)域賬戶。6、重設(shè)密碼：當(dāng)用戶忘記密碼時(shí)，系統(tǒng)管理員也無(wú)法知道該密碼是什么，這時(shí)就需要重設(shè)密碼，操作步驟為：在“計(jì)算機(jī)管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇右擊要改密碼的賬戶，選擇“重設(shè)密碼”命令，進(jìn)入“重設(shè)密碼”對(duì)話框，輸入新密碼。建議用戶選中“用戶下次登錄時(shí)須更改密碼”復(fù)選框，單擊“確定”按鈕，這樣用戶下次登錄時(shí)，可重新設(shè)置自己的密碼。新建用戶賬戶后，管理員要對(duì)賬戶做進(jìn)一步的設(shè)置，例如添

28、加用戶個(gè)人信息、賬戶信息、進(jìn)行密碼設(shè)置、限制登錄時(shí)間等，這些都是通過(guò)設(shè)置賬戶屬性來(lái)完成的。1、用戶個(gè)人信息設(shè)置個(gè)人信息包括姓名、地址、電話、傳真、移動(dòng)電話、公司、部門等信息，要設(shè)置這些詳細(xì)的信息，在賬戶屬性中的“常規(guī)”、“地址”、“電話”及“單位”等選項(xiàng)卡中設(shè)置即可，如圖5-17所示。2、登錄時(shí)間的設(shè)置限制要限制賬戶登錄的時(shí)間，需要設(shè)置賬戶屬性的“賬戶”選項(xiàng)卡，默認(rèn)情況下用戶可以在任何時(shí)間登錄到域。例如設(shè)置某用戶登錄時(shí)間是周一到周五早8點(diǎn)到晚18點(diǎn)，具體的操作步驟如下：1）在“計(jì)算機(jī)管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇右擊要改設(shè)置登錄時(shí)間的賬戶，選擇“屬性”菜單，選擇“

29、賬戶”標(biāo)簽，如圖5-18所示，選擇“登錄時(shí)間（L）”按鈕。2）打開“登錄時(shí)間”對(duì)話框，如圖5-19所示，選擇周一到周五早8點(diǎn)到晚18點(diǎn)時(shí)間段，選擇“允許登錄”單選按鈕，確定即可。注意這里只能限制用戶的登錄域的時(shí)間，如果用戶在允許時(shí)間段登錄，但一直連到超過(guò)時(shí)間，系統(tǒng)不能自動(dòng)將其注銷。3、設(shè)置賬戶只能從特定計(jì)算機(jī)登錄系統(tǒng)默認(rèn)用戶可以從域內(nèi)任一臺(tái)計(jì)算機(jī)登錄域，也可以限制賬戶只能從特定計(jì)算機(jī)登錄，操作步驟為：在“計(jì)算機(jī)管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇并右擊賬戶，選擇“屬性”菜單，單擊“賬戶”選項(xiàng)卡，選擇“登錄到（T）”按鈕，在“登錄工作站”對(duì)話框中，如圖5-20所示，設(shè)置登

30、錄的計(jì)算機(jī)名。注意這里的計(jì)算機(jī)名稱只能是NetBIOS名稱，不支持DNS名和IP地址。4、設(shè)置賬戶過(guò)期日設(shè)置賬戶過(guò)期日，一般是為了不讓臨時(shí)聘用的人員在離職后繼續(xù)訪問(wèn)網(wǎng)絡(luò)，通過(guò)對(duì)賬戶屬性事先進(jìn)行設(shè)置，可以使賬戶到期后自動(dòng)失效，省去了管理員手工刪除該賬戶的操作。設(shè)置的步驟是：在“計(jì)算機(jī)管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇并右擊賬戶，單擊“屬性”“賬戶”“賬戶過(guò)期”選項(xiàng)，輸入合適的時(shí)間即可。5將賬戶加入到組默認(rèn)在域控制器上新建的賬戶是Domain Users組的成員，如果讓該用戶擁有其它組的權(quán)限，可以將該用戶加入到其它組中。例如將用戶劉本軍加入到“技術(shù)部”組中，操作步驟為：1

31、）在“計(jì)算機(jī)管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇并右擊賬戶“劉本軍”，彈出“劉本軍 屬性”對(duì)話框，選擇“隸屬于”選項(xiàng)卡，如圖5-21所示。2）單擊“添加”按鈕，彈出“選擇組”對(duì)話框，如圖5-22所示。3）單擊“高級(jí)（A）”按鈕，在彈出的“選擇組”對(duì)話框中，單擊“立即查找（N）”按鈕，然后在查找的結(jié)果中選擇組名“技術(shù)部”，如圖5-23所示，單擊“確定”按鈕。（注意：“技術(shù)部”組事先已建立好。）4）“技術(shù)部”組就被加入到“隸屬于”列表了，單擊“確定”按鈕即可將域賬戶加入到該組中來(lái)。 除去Windows Server 2008內(nèi)置組之外，用戶還可以根據(jù)實(shí)際需要?jiǎng)?chuàng)建自己的用戶組

32、。可以將一個(gè)部門的用戶全部放置到一個(gè)用戶組中，然后針對(duì)這個(gè)用戶組進(jìn)行屬性設(shè)定，這樣就能夠快速完成組內(nèi)所有用戶的屬性改動(dòng)。 通過(guò)任務(wù)掌握本地組賬戶與域組賬戶的創(chuàng)建與管理，熟悉Windows Server 2008內(nèi)置的本地組和域組的相關(guān)特性。創(chuàng)建本地組賬戶的用戶必須是Administrators組或Account Operators組的成員，建立本地組賬戶并在本地組中添加成員的具體操作步驟如下：1）在獨(dú)立服務(wù)器上以Administrator身份登錄，右擊“我的電腦”，選擇“管理”“計(jì)算機(jī)管理”“本地用戶和組”“組”命令，右擊“組”，選擇“新建組”命令，如圖5-24所示。2）進(jìn)入“新建組”對(duì)話框，

33、如圖5-25所示，輸入組名、組的描述，單擊“添加”按鈕，即可把已有的賬戶或組添加到該組中，該組的成員在“成員”列表框中列出。3）單擊“創(chuàng)建”按鈕完成創(chuàng)建工作，本地組用背景為計(jì)算機(jī)的兩個(gè)人頭像表示，如圖5-26所示。4）管理本地組操作較簡(jiǎn)單，在“計(jì)算機(jī)管理”窗口右部的組列表中，右擊選定的組，選擇快捷菜單中的相應(yīng)命令可以刪除組、更改組名，或者為組添加或刪除組成員。只有Administrators組的用戶才有權(quán)限建立域組賬戶，域組賬戶要?jiǎng)?chuàng)建在域控制器的活動(dòng)目錄中。創(chuàng)建域組賬戶的步驟如下：（1）在域控制器上，選擇“開始”“管理工具”“Active Directory用戶和計(jì)算機(jī)”命令，單擊域名，右擊某

34、組織單位，選擇“新建”“組”命令，如圖5-27所示。（2）進(jìn)入“新建對(duì)象組”對(duì)話框，如圖4-35所示，輸入組名，選擇“組作用域”、“組類型”后，單擊“確定”按鈕即可完成創(chuàng)建工作。提示：關(guān)于“組作用域”和“組類型”，這兩項(xiàng)是創(chuàng)建組時(shí)要特別注意的，默認(rèn)情況下，系統(tǒng)會(huì)自動(dòng)創(chuàng)建全局安全組。域組用兩個(gè)人頭像表示，人頭像背后沒(méi)有計(jì)算機(jī)圖標(biāo)，和本地組有區(qū)別，本地組也用兩個(gè)人頭像表示，但人頭像背后有計(jì)算機(jī)圖標(biāo)。Windows Server 2008在安裝時(shí)會(huì)自動(dòng)創(chuàng)建一些組，這種組叫內(nèi)置組。內(nèi)置組又分為內(nèi)置本地組和內(nèi)置域組，內(nèi)置域組又分為內(nèi)置本地域組、內(nèi)置全局組和內(nèi)置通用組。1、內(nèi)置本地組：創(chuàng)建于Windows

35、 Server 2008/2003/2000/NT獨(dú)立服務(wù)器或成員服務(wù)器、Windows XP、Windows NT等非域控制器的“本地安全賬戶數(shù)據(jù)庫(kù)”中，這些組在建立的同時(shí)就已被賦予一些權(quán)限，以便管理計(jì)算機(jī)，如圖5-29所示。Administrators：在系統(tǒng)有最高權(quán)限，擁有賦予權(quán)限，添加系統(tǒng)組件，升級(jí)系統(tǒng)，配置系統(tǒng)參數(shù)，配置安全信息等權(quán)限。內(nèi)置的系統(tǒng)管理員賬戶是Administrators組的成員。如果這臺(tái)計(jì)算機(jī)加入到域中，域管理員自動(dòng)加入到該組，并且有系統(tǒng)管理員的權(quán)限。Backup Operators：它是所有Windows Server 2008都有的組，可以忽略文件系統(tǒng)權(quán)限進(jìn)行備份

36、和恢復(fù)，可以登錄系統(tǒng)和關(guān)閉系統(tǒng)，可以備份加密文件。Cryptographic Operators：已授權(quán)此組的成員執(zhí)行加密操作。Dirtributed COM Users：允許此組的成員在計(jì)算機(jī)上啟動(dòng)、激活和使用DCOM對(duì)象。Event Log Readers：此組的成員可以從本地計(jì)算機(jī)中讀取事件日志。Guests：內(nèi)置的Guest賬戶是該組的成員。IIS_IUSRS：這是Internet信息服務(wù)（IIS）使用的內(nèi)置組。Network Configuration Operators：該組內(nèi)的用戶可在客戶端執(zhí)行一般的網(wǎng)絡(luò)配置，例如更改IP，但不能添加/刪除程序，也不能執(zhí)行網(wǎng)絡(luò)服務(wù)器的配置工作。P

37、erformance Log Users：該組的成員可以從本地計(jì)算機(jī)和遠(yuǎn)程客戶端管理計(jì)數(shù)器、日志和警告，而不用成為Administrators組的成員。Performance Monitor Users：該組的成員可以從本地計(jì)算機(jī)和遠(yuǎn)程客戶端監(jiān)視性能計(jì)數(shù)器，而不用成為Administrators組或Performance Log Users組的成員。Power Users：存在于非域控制器上，可進(jìn)行基本的系統(tǒng)管理，如共享本地文件夾、管理系統(tǒng)訪問(wèn)和打印機(jī)、管理本地普通用戶；但是它不能修改Administrators組、Backup Operators組，不能備份恢復(fù)文件，不能修改注冊(cè)表。Remo

38、te Desktop Users：該組的成員可以通過(guò)網(wǎng)絡(luò)遠(yuǎn)程登錄。Replicator：該組支持復(fù)制功能。Replicator組的唯一成員是域用戶賬戶，用于登錄域控制器的復(fù)制器服務(wù)，不能將實(shí)際用戶賬戶添加到該組中。Users：是一般用戶所在的組，新建的用戶都會(huì)自動(dòng)加入該組對(duì)系統(tǒng)有基本的權(quán)力，如運(yùn)行程序，使用網(wǎng)絡(luò)，不能關(guān)閉Windows Server 2008，不能創(chuàng)建共享目錄和本地打印機(jī)。如果這臺(tái)機(jī)加入到域，則域的域用戶自動(dòng)被加入到該組的Users組。Certificate Service DOCM Access：允許該組的成員連接到企業(yè)中的證書頒布發(fā)機(jī)構(gòu)。Print Operators：成員

39、可以管理域打印機(jī)。2、內(nèi)置域組：活動(dòng)目錄中組按照能夠授權(quán)的范圍，分為本地域組、全局組和通用組。（1）內(nèi)置本地域組內(nèi)置本地域組代表的是對(duì)某種資源的訪問(wèn)權(quán)限。創(chuàng)建本地域組的目的是針對(duì)某種資源的訪問(wèn)情況而創(chuàng)建的。例如在網(wǎng)絡(luò)上有一個(gè)激光打印機(jī)，針對(duì)該打印機(jī)的使用情況，可以創(chuàng)建一個(gè)“激光打印機(jī)使用者”本地域組，然后授權(quán)該組使用該打印機(jī)。以后哪個(gè)用戶或全局組需要使用打印機(jī)，可以直接將用戶或組添加到“激光打印機(jī)使用者”，就等于授權(quán)使用打印機(jī)了。自己創(chuàng)建的本地域組，可以授權(quán)訪問(wèn)本域計(jì)算機(jī)上的資源，它代表的是訪問(wèn)資源的權(quán)限；其成員可以是本域的用戶、組或其他域的用戶組；只能授權(quán)其訪問(wèn)本域資源，其他域中的資源不能拭

40、授權(quán)其訪問(wèn)。這些內(nèi)置的本地域組位于活動(dòng)目錄的Builtin容器內(nèi)，如圖5-30所示，下面列出幾個(gè)較常用的本地域組。Account Operator：系統(tǒng)默認(rèn)其組成員可以在任何一個(gè)容器（Builtin容器和域控制器組織單元除外）或組織單元內(nèi)創(chuàng)建、刪除賬戶、更改用戶賬戶、組賬戶和計(jì)算機(jī)賬戶組，但不能更改和刪除Administrators組與Domain Admins組的成員。Administrator：成員可以在所有域控制器上完成全部管理工作，默認(rèn)的成員有Administrator用戶、Domain Admins全局組、Enterprise Admins全局組等。Backup Operators：

41、成員可以備份和還原所有域控制器內(nèi)的文件和文件夾，可以關(guān)閉域控制器。Guest：成員只能完成授權(quán)的任務(wù)、訪問(wèn)授權(quán)的資源，默認(rèn)時(shí)Guest和全局組Domain Guests是該組的成員。Network Configuration Operators：其成員可以域控制器上執(zhí)行一般的網(wǎng)絡(luò)設(shè)置工作。pre-Windows 2000 Compatible Access：該組主要是為了與Windows NT 4.0（或更舊的系統(tǒng)）兼容，其成員可讀取Windows Server 2008域中所有用戶與組賬戶。其默認(rèn)成員為特殊組Everyone。只有在用戶使用的計(jì)算機(jī)是Windows NT 4.0或更舊的系統(tǒng)時(shí)

42、，才將用戶加入該組中。Printer Operators：其成員可以創(chuàng)建、停止或管理在域控制器上的共享打印機(jī)，也可以關(guān)閉域控制器。Remote Desktop Users：其成員可以通過(guò)遠(yuǎn)程計(jì)算機(jī)登錄。Server Operators：其成員可以創(chuàng)建、管理、刪除域控制器上的共享文件夾與打印機(jī)，備份與還原域控制器內(nèi)的文件，鎖定與解開域控制器，將域控制器上的硬盤格式化，更改域控制器的系統(tǒng)時(shí)間，關(guān)閉域控制器等。Users：默認(rèn)時(shí)，Domain Users組是其成員，可以用該組來(lái)指定每個(gè)在域中賬戶應(yīng)該具有的基本權(quán)限。 （2）內(nèi)置全局組：當(dāng)創(chuàng)建一個(gè)域時(shí)，系統(tǒng)會(huì)在活動(dòng)目錄中創(chuàng)建一些內(nèi)置的全局組，其本身并沒(méi)

43、有任何權(quán)利與權(quán)限，但是可以通過(guò)將其加入到具備權(quán)利或權(quán)限的域本地組內(nèi)，或者直接為該全局組指派權(quán)利或權(quán)限。這些內(nèi)置的全局組位于Users容器內(nèi)，下面列出幾個(gè)較為常用的全局組，如圖5-31所示。Domain Admins：域內(nèi)的成員計(jì)算機(jī)會(huì)自動(dòng)將該組加入到其Administrators組中，此該組內(nèi)的每個(gè)成員都具備系統(tǒng)管理員的權(quán)限。該組默認(rèn)成員為域用戶Administrator。Domain Computers：所有加入該域的計(jì)算機(jī)都被自動(dòng)加入到該組內(nèi)。Domain Controllers：域內(nèi)的所有域控制器都被自動(dòng)加入到該組內(nèi)。Domain Users：域內(nèi)的成員計(jì)算機(jī)會(huì)自動(dòng)將該組加入到其User

44、s組中，該組默認(rèn)的成員為域用戶Administrator，以后添加的域用戶賬戶都自動(dòng)屬于該Domain Users全局組。Domain Guests：Windows Server 2008會(huì)自動(dòng)將該組加入到Guests域本地組內(nèi)，該組默認(rèn)的成員為用戶賬戶Guest。Enterprise Admins：該組只存在于整個(gè)域目錄林的根域中，其成員具有管理整個(gè)目錄林內(nèi)的所有域的權(quán)利。SchemaAdmins：只存在于整個(gè)域目錄林的根域中，其成員具備管理架構(gòu)的權(quán)利。Group Policy Creator Owners：該組中的成員可以修改域的組策略。Read-only Domain Controlle

45、rs：此組中的成員是域中只讀域控制器。（3）內(nèi)置通用組和全局組的作用一樣，目的是根據(jù)用戶的職責(zé)合并用戶。與全局且不同的是，在多域環(huán)境中它能夠合并其他域中的域用戶賬戶，例如可以把兩個(gè)域中的經(jīng)理賬戶添加到一個(gè)通用組。在多域環(huán)境中，可以在任何域中為其授權(quán)。（4）內(nèi)置的特殊組特殊組存在于每一臺(tái)Windows Server 2008計(jì)算機(jī)內(nèi)，用戶無(wú)法更改這些組的成員，也就是說(shuō)，無(wú)法在“Active Directory用戶和計(jì)算機(jī)或“本地用戶與組”內(nèi)看到、管理這些組。這些組只有在設(shè)置權(quán)利、權(quán)限時(shí)才看得到。以下列出幾個(gè)較為常用的特殊組。Everyone：包括所有訪問(wèn)該計(jì)算機(jī)的用戶，如果為Everyone指定

46、了權(quán)限并啟用Guest賬戶時(shí)一定要小心，Windows會(huì)將沒(méi)有有效賬戶的用戶當(dāng)成Guest賬戶，該賬戶自動(dòng)得到Everyone的權(quán)限。Authenticated Users：包括在計(jì)算機(jī)上或活動(dòng)目錄中的所有通過(guò)身份驗(yàn)證的賬戶，用該組代替Everyone組可以防止匿名訪問(wèn)。Creator Owner：文件等資源的創(chuàng)建者就是該資源的Creator Owner。不過(guò)，如果創(chuàng)建是屬于Administrators組內(nèi)的成員，則其Creator Owner為Administrators組。Network：包括當(dāng)前從網(wǎng)絡(luò)上的另一臺(tái)計(jì)算機(jī)與該計(jì)算機(jī)上的共享資源保持聯(lián)系 的任何賬戶。Interactive：包括

47、當(dāng)前在該計(jì)算機(jī)上登錄的所有賬戶。Anonymous Logon：包括Windows Server 2008不能驗(yàn)證身份的任何賬戶。注意，在Windows Server 2008中，Everyone組內(nèi)并不包含Anonymous Logon組。Dialup：包括當(dāng)前建立了撥號(hào)連接的任何賬戶。 用戶可以通過(guò)用戶配置文件維護(hù)自己的桌面環(huán)境，以便讓用戶在每次登錄時(shí)，都有統(tǒng)一的工作環(huán)境與界面，如相同的桌面、相同的網(wǎng)絡(luò)打印機(jī)、相同的窗口顯示等。 通過(guò)任務(wù)掌握本地用戶配置文件、漫游用戶配置文件的創(chuàng)建與使用，了解強(qiáng)制用戶配置文件的作用。用戶配置文件是使用計(jì)算機(jī)符合所需的外觀和工作方式的設(shè)置的集合，其中包括桌面

48、背景、屏幕保護(hù)程序、指針首選項(xiàng)、聲音設(shè)置及其他功能的設(shè)置。用戶配置文件可以確保只要登錄到Windows便會(huì)使用個(gè)人首選項(xiàng)。與用于登錄到Windows的用戶賬戶不同，每個(gè)賬戶至少有一個(gè)與其關(guān)聯(lián)的用戶配置文件。1、用戶配置文件的類型Windows Server 2008所提供的用戶配置文件主要分為以下三種：（1）本地用戶配置文件：當(dāng)一個(gè)用戶第一次登錄到一臺(tái)計(jì)算機(jī)上時(shí)，創(chuàng)建的用戶配置文件就是本地用戶配置文件。一臺(tái)計(jì)算機(jī)上可以有多個(gè)本地用戶配置文件，分別對(duì)應(yīng)于每一個(gè)曾經(jīng)登錄過(guò)該計(jì)算機(jī)的用戶。域用戶的配置文件夾名字的形式為“用戶名.域名”，而本地用戶的配置文件的名字是直接以用戶命名的。用戶配置文件不能直

49、接被編輯，要想修改配置文件的內(nèi)容需要以該用戶登錄，然后手動(dòng)修改用戶的工作環(huán)境如桌面、“開始”菜單、鼠標(biāo)等，系統(tǒng)會(huì)自動(dòng)地將修改后的配置保存到用戶配置文件中。（2）漫游用戶配置文件該文件只適用于域用戶，域用戶才有可能在不同的計(jì)算機(jī)上登錄。當(dāng)一個(gè)用戶需要經(jīng)常在其他計(jì)算機(jī)上登錄，并且每次都希望使用相同的工作環(huán)境時(shí)，就需要使用漫游用戶配置文件。該配置文件被保存在網(wǎng)絡(luò)中的某臺(tái)服務(wù)器上，并且當(dāng)用戶更改了其工作環(huán)境后，新的設(shè)置也將自動(dòng)保存到服務(wù)器上的配置文件中，以保證其在任何地點(diǎn)登錄都能使用相同的新的工作環(huán)境。所有的域用戶賬戶默認(rèn)使用的是該類型的用戶配置文件，該文件是在用戶第一次登錄時(shí)由系統(tǒng)自動(dòng)創(chuàng)建的。（3）

50、強(qiáng)制性用戶配置文件強(qiáng)制性用戶配置文件不保存用戶對(duì)工作環(huán)境的修改，當(dāng)用戶更改了工作環(huán)境參數(shù)之后退出登錄再重新登錄時(shí)，工作環(huán)境又恢復(fù)到強(qiáng)制用戶配置文件中所設(shè)定的狀態(tài)。當(dāng)需要一個(gè)統(tǒng)一的工作環(huán)境時(shí)該文件就十分有用。該文件由管理員控制，可以是本地的也可以是漫游的用戶配置文件，通常將強(qiáng)制性用戶配置文件保存在某臺(tái)服務(wù)器上，這樣不管用戶從哪臺(tái)計(jì)算機(jī)上登錄都將得到一個(gè)相同且不能更改的工作環(huán)境。因此強(qiáng)制性用戶配置文件有時(shí)也被稱為強(qiáng)制性漫游用戶配置文件。2、用戶配置文件的內(nèi)容用戶配置文件并不是一個(gè)單獨(dú)的文件，而是由用戶配置文件夾、Ntuser.dat文件和All User（公用）文件夾三部分內(nèi)容組成，這三部分內(nèi)容在

51、用戶配置文件中起著不同的作用。（1）用戶配置文件夾打開資源管理器，在“用戶”文件夾內(nèi)有一些以用戶名命名的子文件夾，它們包含了相應(yīng)用戶的桌面設(shè)置、開始菜單等用戶工作環(huán)境的設(shè)置，如圖5-32所示。（2）Ntuser.dat文件用戶配置文件夾內(nèi)有部分?jǐn)?shù)據(jù)存儲(chǔ)在注冊(cè)表的HKEY_CURRENT_USER內(nèi)，存儲(chǔ)著當(dāng)前登錄用戶的環(huán)境設(shè)置數(shù)據(jù)。隱藏文件Ntuser.dat即HKEY_CURRENT_USER數(shù)據(jù)存儲(chǔ)的位置。（3）All User（公用）文件夾它包含所有用戶的公用數(shù)據(jù)，如公用程序組中包含了每個(gè)用戶登錄都可以使用的程序。1、創(chuàng)建和使用本地用戶配置文件計(jì)算機(jī)內(nèi)All User（公用）文件夾的內(nèi)容

52、構(gòu)成了第一次在該計(jì)算機(jī)登錄的用戶的桌面環(huán)境。用戶登錄后，可以定制自己的工作環(huán)境，當(dāng)用戶注銷時(shí)，這些設(shè)置的更改會(huì)存儲(chǔ)到這個(gè)用戶的本地用戶配置文件文件夾內(nèi)。若使用域賬戶登錄，則會(huì)在計(jì)算機(jī)內(nèi)建立一個(gè)名為“用戶名.域名”的用戶配置文件文件夾。用鼠標(biāo)右鍵單擊“計(jì)算機(jī)”圖標(biāo)，在彈出的菜單中選擇“屬性”命令，打開“系統(tǒng)屬性”對(duì)話框，選擇“高級(jí)”選項(xiàng)卡，在“用戶配置文件”欄中單擊“設(shè)置”按鈕，可以查看當(dāng)前計(jì)算機(jī)內(nèi)的用戶配置文件及其屬性，如圖5-33所示。2創(chuàng)建和使用漫游用戶配置文件漫游用戶文件只適用于域用戶，它存儲(chǔ)在網(wǎng)絡(luò)服務(wù)器中，無(wú)論用戶從域內(nèi)哪臺(tái)計(jì)算機(jī)登錄，都可以讀取它的漫游用戶配置文件。用戶注銷時(shí)，發(fā)生的改變會(huì)被同時(shí)存儲(chǔ)到網(wǎng)絡(luò)服務(wù)器中的漫游配置文件夾和本地用戶配置文件，若相同，則直接使用本地用戶配置文件，提高讀取效率。若無(wú)法訪問(wèn)漫游用戶配置文件，用戶首次登錄時(shí)會(huì)以Default User配置文件的內(nèi)容設(shè)置環(huán)境，當(dāng)用戶注銷時(shí)不會(huì)被存儲(chǔ)；若以前登錄過(guò)，則使用它在計(jì)算機(jī)中的本地用戶配置文件。假設(shè)要指定域用戶“劉本軍”（登錄名為liubj）來(lái)使用漫游用戶配置文件，并設(shè)置將這個(gè)漫游用戶配置文件存儲(chǔ)在服務(wù)器“Win2008”的共享文件夾內(nèi)，具體的操作步驟如下：1）以域管理員的身份在域