《网管宝典2》由会员分享,可在线阅读,更多相关《网管宝典2(32页珍藏版)》请在金锄头文库上搜索。
1、第2章 用户和组管理本章和下章将以Windows Server 2003 R2版本为例,全面 介绍其中的域用户和组账户的以上各种主要管理任务的具 体管理方法。本章介绍的是一些基本的用户和组账户管理 ,下一章将介绍用户配置文件的配置与管理。 本章重点 uWindows Server 2003系统默认的本地和域用户、组账户类 型 u默认本地和域用户、组账户权限 u域用户和组账户的基本管理u域用户账户的批量添加 2.1 Windows Server 2003本地用户和组2.1.1 本地用户和组账户“本地用户和组”位于“计算机管 理”工具(在【控制面板】的【管 理工具】下)中,如下图所示。 这是自Wi
2、ndows 2000系统后开发 的用户、计算机和组账户管理工 具,可以利用这一组管理工具来 管理单个本地或远程计算机;也 可以使用“本地用户和组”保护并管 理存储在本地计算机上的用户账 户和组;还可以在特定计算机或 本地计算机上指派本地用户或组 账户的权限和权利。1本地用户和组账户概述下列客户端和服务器操作系统上可以使用“本地用户和组”: u 运行Windows 2000/XP Professional系统的客户端计算机。 u 运行Windows 2000 Server/Server 2003家族系统的成员服务器。 u 运行Windows 2000 Server/ Server 2003家族系
3、统产品的独立服务器。 2默认本地用户账户在安装运行Windows Server 2003的独立服务器或成员服务器时,会 自动创建上面图中所示的默认用户账户。Windows Server 2003服务器 上的所有默认的本地用户账户如书中表2-1所示。 2默认本地用户账户在安装运行Windows Server 2003的独立服务器或成员服 务器时,会自动创建这些默认用户账户。Windows Server 2003服务器上的所有默认的本地用户账户如表2-1所示。 3默认本地组账户Windows Server 2003系统中默认本地组的描述及为每个 组指派的用户权利如书中表2-2所示。 2.1.2 本
4、地组的默认安全设置 在Windows Server 2003系统中,本地组主要包括了 Administrators、Power Users和Users这三种基本的安全级别 ,新建用户基本上都是通过这三个组中的成员身份分配到 最终权利和权限的。当然除此之外,还包括Anonymous和 其他组。 1Administrators(系统管理员组)Administrators组可以执行计算机的维护任务。分配给该 组的默认权限允许对整个本地计算机系统进行完全控制, 所以只有受信任的人员才可成为该组的成员。可以这么理 解,这个组的成员的权限是不受限制的。 2Power Users(超级用户组)Power U
5、sers组的成员拥有的权限比Users组的成员所拥有 的要多,但比Administrators组的成员所拥有的要少。Power Users可以执行除了为Administrators组保留的任务外(如把用 户或组添加到Administrators组中,查看和编辑组策略,查看和修改安 全策略等那些将影响整个计算机系统环境和安全的任务)的其他任何 操作系统任务。分配给Power Users组的默认权限允许Power Users组的 成员修改整个计算机的设置。 3Users(普通用户组)Users组是最安全的组,因为分配给该组的默认权限不允许成员修改 操作系统的设置或用户资料 4Anonymous(匿
6、名登录)组对Windows XP Professional和Windows Server 2003家族而言, Anonymous组不再是Everyone组的成员,所以要允许匿名用户具有某 项权限,就必须手动添加,明确分配。5其他组除了以上介绍的默认本地组之外,还有一些默认组是不常用的,而 且有些也只是在特定的应用和环境下才出现的,它们包括: u 交互(Interactive)组 u 网络(Network)组 u 终端服务器用户(Terminal Server User)组 u Backup Operators组 本节具体内容参见书中介绍。2.2 域用户和组 2.2.1 Active Direc
7、tory命名 可以按DomainNameUserName格式使用Windows 2000以前 版本的域名从运行Windows 2000以前版本的操作系统的计 算机上登录到Windows Server 2003域。也可以使用同样的 格式从运行Windows 2000和Windows XP的计算机或运行 Windows Server 2003的服务器登录到Windows Server 2003 域。用户还可以使用与其用户账户相关的用户主体名称( UPN)登录到运行Windows 2000和Windows XP的计算机 或运行Windows Server 2003的服务器。 用户主体名称(UPN)用
8、来标识用户账户所在域的用户账 户名称(有时指用户登录名称)和域名。这是登录到 Windows域的标准用法。格式如下:用户账户名域名。 1用户账户在Active Directory中,每个用户账户都有一个用户登录名 、一个Windows 2000以前版本的用户登录名(安全账户管 理器SAM的账户名)和一个UPN后缀。在创建用户账户时 ,管理员输入用户登录名,并选择UPN后缀。Active Directory建议Windows 2000以前版本的用户登录名使用此 用户登录名的前20个字节。管理员可以随时更改Windows 2000以前版本的登录名,也就是说这个登录名可以与 Active Direc
9、tory中的用户登录名不一样。 2计算机账户 在Active Directory中创建的每个计算机账户都有一个相对 可分辨名称、一个Windows 2000以前版本计算机名(安全 账户管理器的账户名)、一个主DNS后缀、一个DNS主机 名和一个服务主体名称(SPN)。 Active Directory建议 Windows 2000以前版本的名称使用相对可分辨名称的前15 个字节。管理员可以随时更改Windows 2000以前版本的名 称,也就是说这个计算机名可以与Active Directory中的可 分辨名称不一样。 以上具体内容参见书中介绍。 2.2.2 域默认用户账户类型 域用户和组不是
10、在“计算机管理”工具中,而是位于 “Active Directory用户和计算机”管理工具。1基本默认账户 基本的默认的域用户账户中,Administrator、Guest和 Help Assistant三个用户账户是系统安装并在创建域时自动 创建的,其他用户账户是在安装一些服务器服务和应用程 序后自动创建的。每个默认账户均有不同的权利和权限组 合。Administrator账户具有最广泛的权利和权限,而Guest 账户的权利和权限则有限。Windows Server 2003系统的域 控制器上的主要默认用户账户的描述如书中表2-3所示。2域账户选项每个Active Directory用户账户
11、有许多账户属性选项。这 些选项能够确定如何在网上对持有特殊用户账户进行登录 的人员实施身份验证。具体参见书中表2-4所示。以上具体内容参见书中介绍。 2.2.3 域组账户 1域组的分类 组可用于将用户账户、计算机账户和其他组账户收集到 可管理的单元中,使用组而不是单独的用户,可简化网络 的维护和管理。在Windows Server 2003系统的域中有两种 类型的组:通信组和安全组。2默认域组在配置域控制器后,系统也会自动生成一些默认组,这 些不同的默认组对应的权限不一样,是为特定的应用而自 动创建的。可以使用这些预定义的组控制对共享资源的访 问,并委派特定的域范围的管理角色。可以通过使用 “
12、Active Directory用户和计算机”管理工具来管理组。默认 组位于“Builtin”容器和“Users”容器中。“Builtin”容器包含 用本地域作用域定义的组,“Users”容器包含通过全局作用 域定义的组和通过本地域作用域定义的组。可将这些容器 中的组移动到域中的其他组或组织单位,但不能将它们移 动到其他域。 “Builtin”容器和“Users”容器中的默认组定义 及权限分配分别参见书中表2-5和表2-6。 具体内容参见书中介绍。 2.2.4 组作用域 组(不论是“安全组”还是“通信组”)都有一个作用域, 用来确定在域树或林中该组的应用范围。1组作用域类型有3类不同的组作用域
13、:通用、全局和本地域。2组作用域之间的关系和行为全局组和本地域组的关系,非常类似于域用户账号和本 地账号的关系。域用户账号,可以全局使用,即在本域和 其他有信任关系的域中都可以使用,而本地账号只能在本 地机上使用。全局组可以在本域和其他有信任关系的域中 使用,而本地域组只能在本域中使用。本地域组的成员可 以来自域树或林中的所有域,但其作用域只能是当前域; 全局组的成员只能来自当前域,而作用域可以是域树或森 中所有的域。本地域组的权利是自身的,全局组的权利是 来自其隶属于的本地域组的。不同组作用域的具体行为参见书 中表2-7。 3使用组作用域的情形1)何时使用具有本地域作用域的组具有本地域作用域
14、的组将帮助用户定义和管理对单个域 内资源的访问。这些组可将以下组或账户作为它的成员: 具有全局作用域的组,具有通用做用域的组,账户,具有 本地域作用域的其他组,以及上述任何组或账户的混合体 。2)何时使用具有全局作用域的组使用具有全局作用域的组管理那些需要每天维护的目录 对象,如用户和计算机账户。3)何时使用具有通用做用域的组使用具有通用做用域的组来合并跨越不同域的组。可以 将账户添加到具有全局作用域的组并且将这些组嵌套在具 有通用做用域的组内。4更改组作用域创建新组时,在默认情况下,新组配置为具有全局作用 域的安全组,而与当前域功能级别无关。在域功能级别设 置为Windows 2000混合域
15、中不允许更改组作用域,但在其 域功能级别设置为Windows 2000本地或Windows Server 2003的域中,允许进行下列转换:全局到通用转换,本地 域到通用转换,通用到全局转换,通用到本地域转换。 以上具体内容参见书中介绍。2.3 “ADUC”容器和OU 2.3.1 “ADUC”管理单元基本结构如果刚创建了域控制器,则默认显示的容器为如下几个 :Builtin、Computers、Domain Controllers、Users。如果在 如图2-10所示控制台中执行【查看】【高级功能】菜单 命令,下面几个高级用途的容器将显示在控制台中: LostAndFound、Program
16、Data、NTDS Quotas、System。各容器的具体用途参见书中介绍。2.3.2 组织单位(OU) “组织单位”(OU)是“域”结构下的次一级结构(域也是 一种组织单位),是更小一级的管理单元。它与“域”有着 许多相似之处,不仅可以包括可以自己管理的用户、组、 计算机,还可以包含组策略,以及更下一级的组织单位。 但用户帐户策略的配置只能在域级别组策略中配置,不能 在OU组策略中配置。 新建组织单位的方法是在“Active Directory用户和计算机”(ADUC)管理 单元控制台的域上单击鼠标右键,在打 开菜单中选择【新建】下面的【组织单 位】命令,在打开的对话框中配置OU 名称即可,如右图所示。 具体内容参见书中介绍。 2.4 域用户的管理 2.4.1 新建域用户账户用户账户有“Windows界面方式”和“命令行方式”两种。 1Windows界面方式 用户账户Windows界面创建方式首先是在ADUC管理单元 控制台(如下左图所示)。然后在要添加账户的容器上单 击右键,在打开菜单
