第2章-Windows-Server-2003用戶帳戶管理

1、第第 2 章章第第2章章 Windows Server 2003用戶帳戶管理用戶帳戶管理2.1 用戶帳戶的類型2.2 內(nèi)置的用戶帳戶2.3 域用戶帳戶的建立2.4 本地用戶帳戶的建立2.5 組類型2.6 組的作用域2.7 內(nèi)置組2.8 域組的建立2.9 本地組的建立本章實訓(xùn)習(xí)題第第2章章 Windows Server 2003用戶帳戶管理用戶帳戶管理在實際網(wǎng)絡(luò)的運用中，用戶需要有一個用戶帳戶來登錄域，以便訪問網(wǎng)絡(luò)上的資源。本章節(jié)主要內(nèi)容：用戶帳戶的兩種類型域用戶帳戶的建立和設(shè)置本地用戶帳戶的建立和設(shè)置組的概念、類型和使用領(lǐng)域域組的建立和設(shè)置本地組的建立和設(shè)置2.1 用戶帳戶的類型Windows

2、 Server 2003可以有兩種類型的用戶帳戶。一、域用戶帳戶域用戶帳戶建立在域控制器的Active Directory數(shù)據(jù)庫內(nèi)。用戶利用域用戶帳戶登錄，由域控制器來驗證用戶帳戶。二、本地用戶帳戶本地用戶帳戶使用“本地用戶和組”創(chuàng)建，存儲在SAM數(shù)據(jù)庫中，登錄時進(jìn)行本地身份驗證。用戶利用本地用戶帳戶登錄此帳戶所在的計算機(jī)，訪問該計算機(jī)內(nèi)的資源，但卻無法訪問網(wǎng)絡(luò)上的資源。2.2 內(nèi)置的用戶帳戶在Windows2003 Server安裝完畢后，會自動建立一些內(nèi)置帳戶:Administrator帳戶Guest帳戶2.3 域用戶帳戶的建立一個用戶帳號包含了用戶的名稱、密碼、所屬組、個人信息、通訊方式

3、等信息。在添加一個用戶帳號后，它被自動分配一個安全標(biāo)識 SID，這個標(biāo)識是唯一的，即使帳號被刪除，它的 SID 仍然保留。如果在域中再添加一個相同名稱的帳號，它將被分配一個新的 SID，在域中利用帳號的SID來決定用戶的權(quán)限 。2.3.1建立域用戶帳戶建立用戶帳號的步驟如下：首先單擊“開始” “程序” “管理工具”“Active Directory 用戶和計算機(jī)”，啟動Active Directory 用戶和計算機(jī)管理器。單擊 其中的User 容器會看到在安裝Active Directory 時自動建立的用戶帳號。1) 右擊域名下的Users組織單元，在彈出的下拉菜單中選擇“新建”“用戶”，彈

4、出“新建對象用戶”對話框，在其中輸入用戶的姓名、登錄名，其中上層的登錄名，是用戶用來登錄域所使用的名稱，在Active Directory內(nèi)，這個名稱必須是唯一的。2.3.1建立域用戶帳戶2) 單擊“下一步”按鈕，在密碼對話框中輸入密碼或不填寫密碼。3) 在完成對話框中會顯示以上設(shè)置的信息，單擊“完成”按鈕。2.3.1建立域用戶帳戶需要注意的是，所建立的域用戶帳戶，可以在成員服務(wù)器或Windows 2000 Professional的計算機(jī)上登錄，但卻無法在域控制器上登錄。除非他被賦予“本地登錄”的權(quán)限，此權(quán)限可以通過“組策略”進(jìn)行設(shè)置。創(chuàng)建一個用戶帳戶使其在域控制器中具有本地登錄權(quán)限。具體操

5、作步驟可單擊下圖播放。（如果不能正常播放，請先運行TSCC.EXE） 2.3.2域用戶帳戶的屬性設(shè)置每個域用戶帳戶內(nèi)都有一些相關(guān)的屬性設(shè)置，如電話、電子郵件地址及個人主頁地址等。具體方法是選擇該用戶后，單擊右鍵，在彈出的下拉菜單中選擇“屬性”，彈出用戶常規(guī)屬性對話框。設(shè)置用戶信息設(shè)置用戶的環(huán)境設(shè)置用戶登錄時間限制用戶由某臺客戶機(jī)登錄設(shè)置帳戶的有效期限具體操作步驟可具體操作步驟可單擊上圖。（如果不能正常播放，請先運行TSCC.EXE） 2.3.3 更改域用戶帳戶在創(chuàng)建用戶帳號后，可以根據(jù)需要對帳戶進(jìn)行密碼重新設(shè)置、修改、重命名等操作。具體方法是單擊“開始” “程序” “管理工具” “Active

6、 Directory用戶和計算機(jī)”，出現(xiàn)如圖2-8窗口，選定用戶帳戶后，單擊右鍵，在下拉菜單中選擇相應(yīng)的操作就可以了。重設(shè)密碼帳戶的移動重命名 刪除帳戶解除被鎖定的帳戶 2.3.3 更改域用戶帳戶圖2-8 Active Directory用戶和計算機(jī)用戶窗口2.4 本地用戶帳戶的建立本地用戶帳戶通常建立在Windows2003 Server 、Windows 2000獨立服務(wù)器、Windows2000成員服務(wù)器或Windows 2000 Professional的本地安全數(shù)據(jù)庫內(nèi)，而不是域控制器內(nèi)。在Windows 2003 Server上建立本地用戶帳戶的步驟是單擊“開始”“程序”“管理工具

7、”“計算機(jī)管理”“系統(tǒng)工具”“本地用戶和組”“用戶”，然后單擊右鍵，選擇“新用戶”出現(xiàn)如圖2-9對話框，輸入相應(yīng)內(nèi)容。在圖2-9的“用戶”上，單擊右鍵，在彈出的菜單中選擇“新用戶”出現(xiàn)圖2-10對話框，輸入用戶的相關(guān)信息即可。2.4 本地用戶帳戶的建立圖2-9 本地計算機(jī)管理用戶窗口2.4 本地用戶帳戶的建立圖2-10 本地用戶創(chuàng)建對話框2.5 組類型Windows 2003 Server所支持的組分為以下兩種類型：安全組：安全組主要用于設(shè)置權(quán)限。分布式組：分布式組是用在與安全無關(guān)的任務(wù)上。2.6 組的作用域從組的作用域在Windows 2003 Server域內(nèi)的組分為：全局組域本地組通用組

8、2.7 內(nèi)置組通常我們把系統(tǒng)安裝完成后自動創(chuàng)建的“組”稱作“內(nèi)置組”。Windows 2003 Server域內(nèi)包含的內(nèi)置組有本地域組、全局組與系統(tǒng)組。Windows 2003 Server 、Windows 2000獨立服務(wù)器、Windows 2000成員服務(wù)器、Windows 2000 Professional內(nèi)包含的內(nèi)置組有本地組與系統(tǒng)組。2.7.1 內(nèi)置的本地域組在Windows 2003 Server域的Active Directory內(nèi)，系統(tǒng)內(nèi)置了一些具有一定權(quán)限的本地域組，以便讓其具備管理域控制器和Active Directory的能力。Windows 2003 Server提供

9、了許多內(nèi)置組。常用內(nèi)置本地域組的權(quán)限和用途。Administrators組Server Operators組Account Operators組Print Operators組Backup Operators組Users組Guests組 2.7.2 內(nèi)置的全局組當(dāng)建立一個域時，系統(tǒng)會在Active Directory內(nèi)建立一些內(nèi)置的全局組。較常用的內(nèi)置全局組的權(quán)限和用途。Domain Admins組 Domain Users 組Domain Guests組Enterprise Admins組2.7.3 內(nèi)置的本地組Windows 2003 Server 、Windows 2000獨立服務(wù)器、W

10、indows 2000成員服務(wù)器、Windows 2000 Professional的本地安全數(shù)據(jù)庫中，系統(tǒng)內(nèi)置了一些本地組，這些組本身被賦予了一定的權(quán)限來管理本地計算機(jī)。較常用本地組的權(quán)限和用途。Administrators組Backup Operators組Power組2.7.4 內(nèi)置的系統(tǒng)組系統(tǒng)組位于每臺Windows 2003 Server計算機(jī)內(nèi)，這些組的成員根據(jù)用戶訪問資源而定，無法在“Active Directory用戶和計算機(jī)”或“計算機(jī)管理”內(nèi)管理這些組。較常用本地組的權(quán)限和用途。Everyone組Authenticated Users 組Anonymous Logon組In

11、teractive組NetworkCreator Owner組 2.8 域組的建立用戶可以利用“Active Directory用戶和計算機(jī)”進(jìn)行添加、刪除與修改域組的名稱或添加域組的程序。當(dāng)域組建立后，用戶可以通過將用戶加入到組中的方式，簡化網(wǎng)絡(luò)的管理工作。當(dāng)對組設(shè)置了權(quán)限后，則組中所有的用戶就具有了該權(quán)限，這樣避免用戶對每一個用戶設(shè)置權(quán)限，從而減輕了工作量。2.8.1 域組的建立、改名與刪除一、域組的建立建立域組的步驟如下：1）.首先單擊“開始” “程序” “管理工具”“Active Directory 用戶和計算機(jī)”，啟動Active Directory 用戶和計算機(jī)管理器。2）.單擊其

12、中的域節(jié)點，右鍵單擊要添加組的文件夾，在下拉菜單中選擇“新建”，然后單擊“組”，彈出對話框。3）.在對話框中鍵入新組的名稱，選擇完所需的“組作用域”（如“全局”）以及所需的“組類型”（安全式）。二、域組的改名在 Windows2003 Server 中，在添加完一個組帳號后，系統(tǒng)會自動分配一個安全標(biāo)識 SID給此組，這個標(biāo)識是唯一的，Windows2003系統(tǒng)內(nèi)部利用SID來管理組帳戶。用戶可以選擇完組帳戶后單擊右鍵，在下拉的菜單中選擇“重命名”，以此來更改組的帳戶名稱。三、組的刪除用戶可以選擇組帳戶后單擊右鍵，在下拉的菜單中選擇“刪除”，這樣就可以刪除組帳戶2.8.2 添加組成員添加組成員的

13、步驟如下：1) 單擊“開始” “程序” “管理工具”“Active Directory 用戶和計算機(jī)”，啟動Active Directory 用戶和計算機(jī)管理器。2) 單擊域名（如spu1），選擇“Users”組織單位，單擊需要選擇的組，單擊右鍵，在下拉菜單中選擇“屬性” “成員” “添加”，彈出添加組成員對話框。3) 在對話框中選擇要添加的成員（假設(shè)為Tom），然后單擊“添加”按鈕，完成后單擊“確定”按鈕。具體操作步驟可單擊右圖播放。（如果不能正常播放，請先運行TSCC.EXE） 2.9 本地組的建立本地組僅僅在本地組存在的域中定義對資源的許可。本地組不建立在域控制器上，而是建立在Windo

14、ws2003 Server的本地安全數(shù)據(jù)庫內(nèi)的。本地組只能訪問此組所在計算機(jī)內(nèi)的資源，無法訪問網(wǎng)絡(luò)資源。最好只在未加入域的計算機(jī)內(nèi)建立本地組帳戶。本地組內(nèi)的成員根據(jù)本地計算機(jī)是否加入域而有所不同。2.9 本地組的建立Windows 2003 Server本地組建立步驟：單擊“開始” “程序” “管理工具”“計算機(jī)管理” “系統(tǒng)工具” “本地用戶和組”“組”或者 “開始” “設(shè)置” “控制面板”“管理工具”“計算機(jī)管理” “系統(tǒng)工具” “本地用戶和組”“組” 彈出如圖的計算機(jī)管理窗口，建立本地組帳戶。具體操作步驟可單擊下圖播放。（如果不能正常播放，請先運行TSCC.EXE） 2.9 本地組的建立

15、Windows 2000 Professional本地組建立步驟：“開始” “設(shè)置” “控制面板”“管理工具”“計算機(jī)管理” “系統(tǒng)工具” “本地用戶和組”“組” 彈出計算機(jī)管理窗口，建立本地組帳戶。在窗口中選擇組，單擊右鍵，在下拉菜單中選擇“新建組”，出現(xiàn)新建本地組對話框，輸入新建組的名稱，也可以單擊“添加”按鈕來添加組的成員。本章實訓(xùn)條件：多臺奔騰代以上的計算機(jī)，內(nèi)存128M以上。其中一臺計算機(jī)安裝有Windows Server 2003。要求：能夠創(chuàng)建管理員組和普通用戶組及本地用戶帳號。任務(wù)1. 創(chuàng)建一個組名為Admin 管理員組。任務(wù)2. 創(chuàng)建一個組名為User 普通用戶組。任務(wù)3. 創(chuàng)建兩個本地管理員帳號（帳戶名為：aaa和bbb）。任務(wù)4. 創(chuàng)建三個本地普通用戶帳號（帳戶名為：eee、ccc和qqq）。本章小結(jié)本章主要講述了Windows2003 Server中用戶帳戶和用戶組的管理和設(shè)置。用戶是對計算機(jī)使用者的標(biāo)識，用戶帳戶和計算機(jī)的使用者一一對應(yīng)。Windows2003 Server的域用戶帳戶建立在域控制器的Active Directory數(shù)據(jù)庫內(nèi)，用戶使用用戶帳戶登錄域，訪問網(wǎng)絡(luò)上的資源。Windows2003 Server的本地用戶帳戶建立在本地安全數(shù)據(jù)庫內(nèi)，用戶利