Windows Sever 2008网络管理与应用 教学课件 ppt 作者 刘瑞新 胡国胜 第4章

《Windows Sever 2008网络管理与应用 教学课件 ppt 作者 刘瑞新 胡国胜 第4章》由会员分享，可在线阅读，更多相关《Windows Sever 2008网络管理与应用 教学课件 ppt 作者 刘瑞新 胡国胜 第4章（35页珍藏版）》请在金锄头文库上搜索。

1、第4章 用户和组帐户的管理,主要内容： 用户帐户的管理 组账户的管理 内置的组 设置用户的工作环境,4.1 用户帐户的管理,4.1.1 用户帐户的类型 1 本地用户帐户（在非DC上）。特点如下： 使用“本地用户和组”创建。 存储在非域控制器的本地SAM数据库中。 登录时进行本地身份验证，只能访问这台计算机内的资源。 提示：只有两类用户可以创建本地用户帐户：administrators和power users。 2. 域用户帐户。特点如下： 使用“Active Directory用户和计算机”创建。 存储在域控制器的Active Directory数据库中。 登录时进行网络身份验证，能访问网络中

2、的资源。 提示：只有两类用户可以创建域用户帐户：administrators和account operators。,4.1 用户帐户的管理,4.1.2 内置的用户帐户 1. Administrator（系统管理员） 拥有最高的权限 可将其改名，但无法删除这个账户 2. Guest（匿名账户） 使用“Active Directory用户和计算机”创建。 供用户临时使用的账户 该账户默认是不开放的,4.1 用户帐户的管理,用户从网络上另一台计算机登录到自己的计算机时，系统会自动利用该用户在登录时所输入的账户进行连接，此时： 如果已在自己的计算机内替该用户创建了相同名称的用户账户，则：若密码相同，连

3、接成功；反之，系统会要求重新输入用户名称和密码。 如果没有替该用户创建用户账户，则：若计算机内Guest账户已启用，则系统会自动让用户利用Guest身份连接；反之，系统会要求重新输入用户名称和密码。 注意：只有某些具有系统管理员权限的用户和Account Operators组内账户具备管理账户的权利。,4.1 用户帐户的管理,【任务1】通过修改注册表来设置本地用户帐户的一些特殊的属性。 查看注册表中的用户信息。,设置管理员对SAM项的完全控制权限,4.1 用户帐户的管理,注册表中的用户帐户信息,4.1 用户帐户的管理,复制用户帐户。,复制F值对应的数据,4.1 用户帐户的管理,隐藏用户帐户。,

4、导出用户a1,4.1 用户帐户的管理,隐藏用户帐户。,导入用户a1,显式删除用户a1,4.1 用户帐户的管理,显示所有的用户帐户,用户a1实现了隐藏,4.1 用户帐户的管理,4.1.3 本地用户帐户的管理 【任务2】创建和设置本地用户帐户 你管理着网络中的一台新安装的名为Server000的独立服务器，属于Center工作组。现在有一些用户需要访问Server000服务器，因此需要你完成一些配置来满足他们的要求： 1) Tom和Jerry是两个新员工，为Tom和Jerry建立用户帐户。为便于管理，将Tom提升为管理员；同时由于Jerry还未来报到，暂不允许该用户帐户登录Server000服务器

5、。 2) 有10个实习生要访问你所管理的服务器，分别为他们建立用户帐户p001、p002p010。这10个新的用户帐户权限相同，为了安全起见，目前只能拥有最低的用户权限。,4.1 用户帐户的管理,为Tom建立用户帐户并设置属性。,将Tom提升为系统管理员,4.1 用户帐户的管理,为Jerry建立用户帐户并设置属性。 为实习生建立用户帐户和组帐户。,一次创建10个本地用户帐户,4.1 用户帐户的管理,加入Guests组,4.1 用户帐户的管理,4.1.4 域用户帐户的管理 用户可使用“Active Directory用户和计算机”工具来创建与管理域用户帐户。 【任务3】创建和设置域用户帐户。 计

6、算机DC是域控制器，计算机WS1和WS2是域的成员。要求在域中为教师建立一个名为Teacher的用户帐户，使用此帐户可以在DC上登录，并且规定此帐户在每天下午14：00到19：00这段时间内禁止登录到域，在其他时段也只能从DC和WS2上登录到域；还要为一个班级的50名学生建立用户帐户，这些帐户绝大多数的信息相同。,4.1 用户帐户的管理,在域中新建一个组织单元Test。 在Test 中新建一个用户帐户Teacher。 赋予用户帐户Teacher在域控制器本地登录的权利。,组策略管理编辑器,4.1 用户帐户的管理,允许Teacher在域控制器本地登录,提示：普通域用户账户必须被赋予“允许本地登录

7、”的权限，才允许在域控制器上登录。,4.1 用户帐户的管理,查看有关日志,提示：必须将设置的值应用到域控制器才能使设置生效。有以下方法： 重新启动域控制器。 等待域控制器自动应用该策略设置（5分钟以上）。 通过命令：“gpupdate /target:computer”使计算机设置生效，或者通过命令：“gpupdate /force”使所有更改过的设置生效。,4.1 用户帐户的管理,在“TeacherZhang属性”对话框分别选择“常规”、“地址”、“电话”、“单位”等选项卡进行设置，具体内容自定。,组策略管理编辑器,4.1 用户帐户的管理,为50名学生创建一个账户模板T_stu，账户的相关信

8、息自定。然后通过复制此模板来为每个学生创建用户账户。,组策略管理编辑器,4.2 组帐户的管理,4.2.1 本地组和域组 创建在本地的组账户在非域控制器的计算机上创建的组 创建在域的组账户在域控制器上创建的组,4.2 组帐户的管理,4.2.2 组的类型和作用域 1组的类型 安全组 安全组可以被用来设置权限，也可以用在和安全无关的任务。 (2) 分布式组 分布式组用在与安全（权限的设置等）无关的任务上。例如，可以通过电子邮件软件将电子邮件发送给分布式组。用户无法设置分布式组的权限。 提示：应用程序必须支持活动目录，才可以使用分布式组。,4.2 组帐户的管理,2组的作用域 通用组 可以访问任何一个域

9、内的资源。 成员能够包含整个域目录林中任何一个域内的用户、通用组、全局组，但无法包含任何一个域内的本地域组。 (2) 全局组 可以访问任何一个域内的资源。 成员只能包含与该组相同域中的用户和其他全局组。 (3) 域本地组 只能访问同一个域内的资源。 成员能够包含任何一个域内的用户、通用组、全局组以及同一个域内的域本地组，但无法包含其他域中的域本地组。,4.2 组帐户的管理,4.2.3 域组的管理 1组的新建、删除与重命名 2添加组的成员 3组的使用准则 组的使用准则“A、G、DL、P”策略 【任务4】创建和管理域中的组账户 你是域的管理员，计算机DC是域控制器，计算机WS1和WS2是域的成员。

10、公司有会计部和销售部两个部门，有一台彩色打印服务器。会计部和销售部的所有用户都要访问这台彩色打印服务器，请你设计用尽可能合理的方式来完成对彩色打印服务器的访问授权。以上的账户管理和组管理的操作都限定在Test组织单元中进行。,4.2 组帐户的管理,4.2.4 本地组的管理 本地组只能创建在非域控制器的计算机上。 最好不要在属于域成员的计算机中创建本地组账户。 1本地组的成员 如果计算机未加入域，则本地组成员只能包含本地计算机内的用户帐户，无法包含其他的成员； 如果计算机已加入域，则其本地组成员可以是： 本地用户帐户。 本地计算机所属域内的用户帐户、全局组、通用组。 所信任域内的用户帐户、全局组

11、、通用组。 2创建本地组账户,4.3 内置的组,4.3.1 内置的本地组 Administrators：系统管理员组。默认成员为Administrator。 Backup Operators：属于此组内的用户，总是可以通过系统默认的备份工具，来备份和还原这些文件或文件夹。 Guests：提供临时账户给需要访问计算机内资源的用户使用，其成员无法永久改变其桌面环境。该组的默认成员为Guest。 Network Configuration Operators：该组内的用户仅可以在客户端执行一般的网络设置任务。 Power Users：该组内的用户具备比Users组更多的权利，但比Administra

12、tors组拥有的权力少一些。 Remote Desktop Users：该组成员可以通过远程计算机登录。 Users：该组成员只拥有一些基本权利。新添加的本地用户账户都自动属于该组。,4.3 内置的组,4.3.2 内置的域组 1内置的域本地组（位于活动目录的Builtin容器内） Account Operators：系统默认其组成员可以在任何一个容器或组织单元内（但Builtin容器和Domain Controller组织单元除外）新建、删除、更改用户账户、组账户、计算机账户，他们无法更改和删除Administrators与Domain Admins组的成员。 Administrators：属

13、于此组内的用户，都拥有对整个域控制器的最大控制权，可以执行整个活动目录的管理任务。 Backup Operators：可以备份和还原域控制器内的文件或文件夹，可以关闭域控制器。 Guests：该组提供给没有用户帐户，但是需要临时访问资源的用户使用。其成员无法永久改变其桌面环境。 Network Configuration Operators：其成员可在域控制器上执行一般的网络设置工作。,4.3 内置的组,pre-Windows 2000 Compatible Access：该组主要是为了与Windows NT 4.0（或更旧的计算机）兼容，其成员可读取Windows Server 2008域中

14、的所有用户与组帐户。其默认成员为特殊组Everyone。只有在用户使用的计算机是Windows NT 4.0或更旧的系统时，才将用户加入该组中。 Printer Operators：其成员可以创建、停止或管理在域控制器上的共享打印机，也可关闭域控制器。 Remote Desktop Users：其成员可以通过远程计算机登录。 Server Operators：其成员可以创建、管理、删除域控制器上的共享文件夹与打印机；备份与还原域控制器内的文件；锁定与解开域控制器；将域控制器上的硬盘格式化；更改域控制器的系统时间；关闭域控制器等。 Users：其成员只拥有一些基本的权限。该组默认的成员为Doma

15、in Users全局组。,4.3 内置的组,2内置的全局组（位于活动目录的Users容器内） Domain Admins：域内的成员计算机会自动将该组加入到其Administrators组中，因此该组内每个成员都具备系统管理员权限。该组默认成员为域用户Administrator。 Domain Computers：所有加入该域的计算机都被自动加入该组。 Domain Controllers：域内所有域控制器都被自动加入到该组。 Domain Users：域内的成员计算机会自动将该组加入到其Users组中，该组默认成员为域用户Administrator，以后添加的域用户账户都自动属于该Domai

16、n Users全局组。 Domain Guests：Windows Server 2008会自动将该组加入到Guests域本地组内。该组默认的成员为用户帐户Guest。 Enterprise Admins：该组只存在于整个域目录林的根域中，其成员具有管理整个域目录林内的所有域的权利。 Schema Admins：只存在于整个域目录林的根域中，其成员具备管理架构的权利。,4.3 内置的组,3内置的特殊组（存在于每一台Windows Server 2008计算机内，只有在设置权利、权限时才看得到） Everyone：任何一个用户都属于该组。注意：当Guest帐户被启用时，为该组指派权限必须小心。 Authenticated Users：任何一个利用有效的用户账户连接的用户都属于这个组。建议尽量针对该组（而不是Everyone组）设置权限。 Interactive：任何本地登录的用户都属于该组。 Network：任何通过网络连接此计算机的用户都属于该组。 Creator Owner：文件等资源的创建者，就