《网络操作系统(Windows Server 2003)教学课件 王红 第5章》由会员分享,可在线阅读,更多相关《网络操作系统(Windows Server 2003)教学课件 王红 第5章(64页珍藏版)》请在金锄头文库上搜索。
1、网络操作系统(Windows Server 2003),主编 王红 中国水利水电出版社,第5章 用户账户和组账户,本章学习目标,本章主要讲解创建域管理用户账户和使用组来管理用户帐户的知识。通过本章学习,读者应该掌握以下内容: 用户账户的类型 内置的用户账户 本地用户账户的管理 域用户账户的创建、设置和属性设置、更改域用户账户 域组的类型 内置的组 组的使用领域 提升域功能级别 域组和本地组的创建与管理,5.1 用户账户,5.1.1 用户账户简介 用户账户是用来记录用户的用户名和口令、隶属的组、可以访问的网络资源,以及用户的个人文件和设置。在Windows Server 2003 操作系统中,每
2、一个使用者都必须有一个账户,才能登录到计算机和服务器,并且访问网络上的资源。如果没有用户账户,计算机使用者是不能登录到计算机并访问计算机内的资源的。 管理员在管理网络时,必须为每一个计算机使用者创建用户账户,并对每一个用户账户进行授权。通过这种方式实现对不同使用者的控制和管理,同事保证数据的安全。,5.1.2 用户账户的类型,用户账户有域用户帐户和本地用户账户两种类型。 建立在域控制器上的是“域用户账户”,这个账户的信息会存储在AD数据库中。“域用户账户”可用来登录域、访问域内的资源(包括域内任何计算机上的共享文件夹及共享打印机等)。 非域控制器的Windows Server 2003独立服务
3、器、成员服务器以及Windows XP客户端,则会有另一组“本地用户帐户”。本地用户帐户的信息不会存储在AD数据库中,而是存在本机中。所以“本地用户帐户”只能够登录账户所在的计算机,访问该机资源,而无法登录域。,“本地用户帐户”适用于工作组(Workgroup)的网络环境,一般不会在加入域的计算机上建立本地用户账户,原因如下:,系统管理员无法在Active Directory 用户和计算机集中管理本地用户账户,而必须到各台计算机上,进行本地用户账户的权限设置,这样无疑增加了管理负担。 本地用户账户只能在本地计算机上使用,不能访问域中其他计算机的资源,实用性不高。,5.1.3 内置的用户账户,W
4、indows Server 2003的域的内置账户有:Administrator与Guest. 1Administrator:系统管理员账户 这个账户对域有最大的控制权(可以管理账户和组、文件与打印机以及设置组策略等),使用者无法删除它。建议将Administrator账户重新命名,这样想破坏系统管理员账户密码的人,就无法猜到账户的名称。,Administrator账户有如下特点:,密码永久有效 Administrator账户无法被禁用 Administrator账户永远不会到期 Administrator账户不受登录时间的限制,也不受只能用指定计算机登录的限制。,2Guest:来宾用户,Gu
5、est是供无账户的用户临时使用的账户,利用Guest账户登录,可访问一些公开的资源。设置此账户,是为方便提供公开资源的系统,不必为所有用户都设置个人账户。 该账户只有有限的权限。用户可更改该账户的名称,但无法将其删除。基于安全因素,系统默认此账户禁用。因为如启用Guest账户,任何人都可以使用域中的资源。,5.1.4 本地用户账户的创建和管理,用户可使用“本地用户账户”登录该账户所在的计算机,使用该机资源,但无法登录域,无法使用网络上其他计算机的资源。 建议只在未加入域的计算机上创建本地用户账户,如果某计算机属于域,则应该为该计算机用户创建域用户账户。尽量不要让域用户使用本地用户账户登录,因为
6、这样将不能访问域上其他计算机的资源。,1. 创建本地用户账户,以Windows Server 2003为例,创建本地用户账户的步骤为:右击“我的电脑”管理,打开如图5-1所示的画面。,双击“本地用户和组”, 然后右击“用户”“新用户”,出现如图5-2所示的画面。 用户名:即登录时所使用的账户名称。 全名:用户的完整名称。 描述:描述此用户的文字。 密码:用户账户的密码。 确认密码:用户需要再次输入密码以确认无误。为了防止密码被窃,密码和确认密码都是以星号显示。,图5-2 创建新用户,2. 密码的更改、备份与还原,(1)更改密码 如果用户要更改密码,则可在登录系统之后,同时按Ctrl+Alt+D
7、elete即可。 单击“更改密码”,即可进入更改密码的画面,用户必须输入正确的旧密码后,才能输入新密码,并经过输入确认新密码,单击“确定”,则密码更改成功。,(2)密码备份,如果用户忘记了密码无法登录,怎末办呢?这就需要用户预先制作“密码重设盘”。步骤如下: 在登录完成后,直接按Ctrl+Alt+Delete,然后单击“更改密码”,在打开“更改密码”的画面中,单击“备份”,打开“忘记密码向导”画面。 在“忘记密码向导”画面中单击“下一步”即可。由画面说明可知,用户无论更改过多少次密码,“密码重设盘”都只需制作一次。 按照新画面的指示在驱中插入一张软盘。单击“下一步”。 输入当前登录者的密码后,
8、单击“下一步”。如果用户以前曾经制作过“密码重设盘”,则会出现一个“替代以前的盘”对话框,单击“是”继续,则以前的“密码重设盘”无法再使用。 出现一个新的对话框,开始制作“密码重设盘”。,(3)密码还原,如果用户登录时忘记了密码,则可用“密码重设盘”,重新设置一个新的密码。步骤如下: 用户登录时,如果输入错误的密码,则系统会显示对话框,可单击“重设”设置新的用户密码。 出现“欢迎使用密码重设向导”对话框时,单击“下一步”。 按“重设密码向导”所示,将“密码重设盘”插入A驱,单击“下一步”。 在打开的画面中,设置一个新的密码,确认密码,输入密码提示。 出现“完成密码设置向导”对话框时,直接单击“
9、完成”即可。,5.1.5 域用户账户的创建与设置,1. 创建组织单位与域用户账户 要在域中新建组织单位与用户账户,步骤如下: (1)执行“开始/系统管理工具/Active Directory 用户和计算机”命令,如图5-3所示,右击域名,选择“新建”“组织单位”,输入组织单位的名称(例如 “人事部”)。 (2)在如图5-4所示的画面中,右击“人事部”“新建”“用户”。 (3)在如图5-5所示的画面中,输入“姓”、“名”、“姓名”、“用户登录名”、“用户登录名(Windows 2000以前版本)”。然后单击“下一步”。 (4)出现如图5-6的画面。其中各项与创建“本地用户账户”的说明相同。,图5
10、-3 新建组织单位,图5-4 选择新建用户,图5-5 新建用户,图5-6 输入新建用户的密码,如果要从成员服务器上执行“Active Directory 用户和计算机”,可以执行“开始”“运行”命令,输入adminpak.msi命令,安装完整的管理工具;或直接执行dsa.msc命令,也可打开“Active Directory 用户和计算机”。,2.利用新用户账户登录测试,(1)开放用户在域控制器本地登录的权限 用户可以在Windows Server 2003、Windows XP Professional、Windows 2000、Windows NT等非域控制器的计算机上,使用一般的域用户账
11、户登录。一般的域用户账户,在域控制器上登录之前,必须在域控制器上被赋予“允许本地登录”的权利。这个权利可以使用“域控制器安全策略”进行设置。其设置的方法如下:在域控制器计算机上,单击“开始”“管理工具”“域控制器安全策略”“安全设置”“本地策略” “用户权限分配”双击“允许在本地登录”“添加用户或组”,如图5-7所示,使要赋予“允许在本地登录”权限的用户或组加入到列表中。,图5-7 设置域用户账户在域控制器上允许本地登录的权利,完成设置后,还需要将这些安全设置值应用到域控制器,才会使这些设置值生效。有三种方式可以达到这个目的: 等待域控制器自动应用这项新的设置,大约要等5分钟或更长的时间。 重
12、新启动域控制器。 在域控制器上选择“开始”“命令提示符”,然后执行gpupdate/target:computer。 执行命令后,可打开“开始”“管理工具”“事件查看器”“应用程序”,然后双击来源为“SceCli”的事件,从而察看是否安全值已经成功应用到域控制器。,(2)登录测试,在属于域的计算机上登录,在登录对话框中输入用户帐户名称、密码、选择NetBIOS域名称。若是在Windows Server 2003、Windows XP Professional、Windows 2000上登录计算机,则可利用用户主体名称(UPN)登录,此时,只需要输入用户主体名称与密码即可。,5.1.6 域用户账
13、户的属性设置,每个域用户帐户都有各自的属性信息,如电话、传真、电子邮件、账户有效期限等。 输入完这些信息后,其他的用户就可以通过这些信息查找活动目录的用户。 打开“Active Directory用户和计算机”,右击“用户帐户”“属性”可以设置这些属性。,1.用户个人信息的设置,2.账户信息的设置,3.登录时间的设置,4.限制用户只能从某些工作站登录,默认可以从域中任何一台计算机登录域,但可以限制用户只能从某些计算机登录域。单击如图5-11所示的“登录到”按钮,打开如图5-12的画面。在“计算机名”的文本框中输入允许用户登录域的计算机名,必须是NetBIOS计算机名,然后按“添加”按钮即可。,
14、图5-11 账户属性,图5-12 输入允许用户登录域的计算机名,5.1.7 更改域用户账户,禁用账户、启用账户:如果某个职员请长假,则可设该用户的账户禁用,等该职员回来后,再启用账户。如设某个账户禁用,则在该用户帐户的图形上会有一个红色的“X”符号。 重设密码:当用户忘记密码或密码到期时,系统管理员可为该用户帐户设置新的密码。 删除账户:若某个账户不再使用,如某个职员离职,则可删除该账户。 重命名:如某个职员离职时,可暂时将其账户设为禁用,当有新职员加入时,再将此账户重新命名,重设密码与个人信息即可。重命名后,该账户原有的权限、权利与组关系都不会改变。,5.2 组账户的管理,5.2.1 本地组
15、与域组 我们知道,用户帐户分为本地用户帐户和域用户帐户,同样,组也分为本地组与域组。 用户在非域控制器的计算机上创建的组,称为“本地组”。这些组账户存储在“本地安全账户数据库”内本地组只限于在本地计算机使用,即只能访问本地计算机的资源。 用户在Windows Server 2003域控制器上创建的组称为域组。这些组账户存储在Active Directory数据库内。这些组适用于所有属于这个域的计算机,即它们能够访问所有计算机的资源,条件是要有适当的权限。,5.2.2域组的类型,indows Server 2003将域中的组分为两种类型:安全组和分布式组。 安全组:安全组可以被设置权限。例如:可
16、设置让安全组对文件有“读取”或“改写”的权限。安全组也可用在与安全无关的任务上,如,可以通过电子邮件软件将电子邮件发送给安全组。 分布式组:分布式组用在与安全无关的任务上。例如:可以通过电子邮件软件将电子邮件发送给分布式组。用户不能设置分布式组的权限。,注意:应用程序只有在支持活动目录的情况下,才可以使用分布式组。 安全组和分布式组之间可以互相转换。只是这种转换有条件限制,即只有在域功能级别设置为“Windows 2000纯模式”或者“Windows Server 2003”时才可以转换。在“Windows 2000 混合模式”级别中无法转换组类型。,5.2.3 内置的组,Windows Server 2003操作系统能够自动创建一些组。其中有些组是安装时被创建在本地计算机中,有些组是当升级成域控制器时被创建在Active Directory 数据库中。,1.内置的本地组,图5-14 计算机管理中打开本地组,以下是常用的本地组:,Administrators 该组成员用户都具有系统管理员权限,即拥有使用
