主讲:匡芳君主讲:匡芳君服务器搭建与管理服务器搭建与管理 —— Windows Server 2003�v课题内容:课题内容: Win server 2003域帐户管理域帐户管理 v教学目的:掌握教学目的:掌握Win Server 2003 中域用户帐户和组帐户的中域用户帐户和组帐户的创建方法;创建方法; v掌握将计算机加入域、创建域共享资源及域的一般使用方法掌握将计算机加入域、创建域共享资源及域的一般使用方法v教学方法:教学方法:演示法、练习法演示法、练习法v重重 难难 点:域控制器的安装与删除;域用户及组帐户的创建点:域控制器的安装与删除;域用户及组帐户的创建及域的使用方法及域的使用方法v能力培养:培养能力培养:培养Win server 2003域帐户管理的能力域帐户管理的能力v课堂类型:讲授课课堂类型:讲授课v教教 具:投影仪、多媒体设备具:投影仪、多媒体设备 授课班级授课班级 计应计应/英英1001班班第第29次次课课 授课时间授课时间 5月月6日星期五日星期五 授课地点授课地点知知701�域帐户管理域账户管理类似于本地账户管理,它有以下特点:1、在域控制器上没有本地用户帐户,其原有的本地用户帐户自动转变为域用户帐户;2、域账户在域控制器上创建和管理;3、拥有域用户账户的人登录域时,由域控制器对其进行身份验证。
�域账户包括域用户账户、域组账户、域计算机账户、域共享资源帐户域用户账户分配给使用域的人员,用它可登录到域中;域组账户用于将域用户账户和计算机账户分组,为组指派权限和权利,可简化管理计算机账户是加入到域中的计算机,每台加入域的服务器和客户机都拥有一个计算机账户,用它可控制域中包含哪些计算机共享资源帐户是加入到域中的共享文件夹、共享打印机等,共享资源必须加入到域中才能被域用户共享�内置的域用户帐户:Administrator(管理员):该帐户具有对域的完全控制权它同时是 Administrators、Domain Admins 等多个内置组的成员Guest(来宾):该帐户只有极有限的权利默认是禁用的它是 Guests组和Domain Guests组的成员内置用户账户可以重命名或禁用,但不能删除�一、计算机账户创建计算机账户的过程就是将一台计算机加入到域中的过程只有域管理员组的成员有权将一台计算机加入域中准备工作:在准备加入域的计算机上,把它的DNS服务器地址设置为该域使用的DNS服务器地址注意:计算机客户端加入的前提条件(1)必须保证客户端与域控制器在同一网段并且能过互相通信;(2)该客户端没有加入到其他域控制器中;(3)在域控制器中必须要设置一个用户账户。
�把计算机加入域:方法一:在欲加入域的计算机上打开“我的电脑”属性,在“计算机名”选项卡中用“更改”按钮把该计算机加入域注意:加入时会要求输入用户名和密码,这里必须输入管理员的用户名和密码方法二:以管理员身份登录域控制器,打开“开始 | 管理工具 | Active Directory 用户和计算机”,在目录树上单击右键,选择“新建 | 计算机”,输入欲加入域的计算机名或IP地址,就可以把指定计算机加入域中注:通常我们把计算机账户存放在活动目录的 Computers 容器中��二、共享资源账户域中的共享资源包括共享文件夹、共享打印机等,它们可以位于域中任意一台成员计算机中创建共享资源账户的过程就是把共享资源发布到域中的过程只有域管理员组的成员才能执行发布共享资源的操作准备工作:在准备加入域的文件夹或打印机设置为“共享” �把共享资源加入域:以管理员身份登录域控制器,打开“开始 | 管理工具 | Active Directory 用户和计算机”,在目录树上单击右键,选择“新建 | 文件夹”或“新建 | 打印机” ,输入共享资源的路径,就可以把该资源加入域中注:通常我们把共享资源账户也存放在活动目录的 Computers 容器中,如果资源数量较多,可以另建容器。
�网络路径(UNC地址):访问网络中共享资源时使用的地址\\计算机名\共享名 或者 \\IP地址\共享名�创建完成后,可以打开共享文件夹的属性,在其中可以添加一些关键字,这样可方便客户用查找功能找到该资源�说明:当一个文件夹设置成共享后,如果没有把它加入域中,则该文件夹只能用工作组的方式访问如果该文件夹发布到域中了,则该文件夹既可以用域的方式访问,也可以用工作组的方式访问�三、域用户帐户域用户帐户在域控制器的活动目录中创建和管理在系统内部,域用户账户用SID区分一个域用户账户的权利和权限通常取决于它所在的组一个域用户账户可同时属于多个组,其权限为各组权限的叠加域用户帐户只存在于域控制器中,各成员计算机中只有其本地用户帐户�创建域用户帐户打开“开始 | 管理工具 | Active Directory 用户和计算机”;在目录树上单击右键,选择“新建 | 用户”,输入 姓、名、密码、密码选项 等参数,就创建了一个新的域用户账户����域用户帐户的组织如果帐户数量较少,通常将域用户帐户放置在 Users 容器中如果帐户数量很多,通常可创建一些组织单位(OU),将帐户分门别类地放在各OU中。
OU相当于活动目录中的文件夹,它可以创建多层�域用户帐户的使用在一台域成员计算机上登录,在登录界面上输入帐户名和密码,并选择要登录的域�域用户帐户属性的设置在活动目录中,双击用户名或单击右键选择“属性”�常规选项卡设置该帐户的详细说明信息�账户选项卡修改帐户的登录名、登录选项、密码选项、帐户期限等�登录时间限制默认为不限制,本例设置为只允许星期一至星期五的7:00~19:00登录�登录机器限制默认允许登录到域中所有计算机可以设置为只允许登录到指定的若干计算机�隶属于选项卡新建用户默认加入Domain Users组在此处可变更用户所在的组,从而使用户获得相应的权利�配置文件选项卡默认用户使用本地配置文件,无登录脚本和主文件夹管理员可以为用户建立漫游配置文件、登录脚本或主文件夹�本地用户配置文件和漫游用户配置文件默认情况下,用户配置文件位于用户登录时使用的计算机上所以,当一个用户使用不同的计算机上登录过后,在每台计算机上都会产生各自的配置文件如果使用漫游配置文件,则配置文件可存放在一台指定的计算机中,不论用户在哪台计算机上登录,使用的都是同一个配置文件,这样就可做到让配置文件跟着用户走的效果。
注:只有在域环境才能设置和使用漫游用户配置文件�漫游用户配置文件的设置方法1、对存放配置文件的计算机进行设置选择域中的一台计算机(可以是域控制器,也可以是成员计算机),在其上创建一个文件夹,将该文件夹设置为共享,共享权限为“Everyone 完全控制”,NTFS权限也为“Everyone 完全控制”2、在域控制器上配置漫游用户配置文件路径在用户的配置文件选项卡中,指定配置文件的路径名,其格式为:\\计算机名\文件夹名\%Username%�漫游原理当用户第一次登录域时,域控制器会根据设置的路径在指定的计算机中为该用户创建配置文件以后不论用户在哪台计算机上登录域,域控制器都会将该配置文件下载到用户所在的计算机中如果用户修改了配置文件内容,当用户注销时,他的配置文件会被上传到指定的计算机中�几点说明Everyone:这是一个特殊身份组,表示所有人特殊身份组的成员是根据条件生成的,不能人为设置共享权限和NTFS权限:用来限制用户对文件夹的访问权限网络用户访问共享文件夹时的权限同时受共享权限和NTFS权限的限制�主文件夹和登录脚本主文件夹与用户配置文件类似,也可以用来存放用户的个人文档但该文件夹不会在用户登录时自动下载到用户所在的计算机上,所以不会影响用户的登录速度。
登录脚本是用户在登录时希望自动运行的脚本文件,可用于对登录环境进行初始化�本地系统内置组(提问)Administrators 组:默认成员有 Administrator 帐户该组的用户具有对服务器的完全控制权,并且可以为其它用户指派权限Guests 组:默认成员有 Guest 帐户该组的用户只用来临时登录计算机,登录时会创建临时配置文件,注销时,该配置文件被删除Power Users 组:该组的成员具有较高的应用权限,但缺少安全管理权限Users 组:新增的用户默认加入 Users 组,他们只具备基本的访问权限,没有管理权限�四、域组账户组帐户用于组织用户账户每个组帐户可以赋予一定的权力和权限当需要给一个用户账户某种权利或权限时,只要把它加入相应的组即可一个用户账户可同时隶属于多个组,它的权利和权限是各个组权限的叠加在域中允许组的嵌套,即一个组的成员可以是用户账户,也可以是另一个组本地账户的组不能嵌套)�系统内置组在创建域时系统会自动创建一些内置组这些组位于活动目录中的Builtin容器和Users容器中常用的内置组有:Domain Admins:域管理员组该组成员具有对本域的完全控制权。
默认成员有 Administrator账户Enterprise Admins:企业管理员组仅出现在林根域中该组成员具有对林中所有域的完全控制权默认成员有 Administrator账户Administrasors:管理员组该组成员具有对域中所有域控制器的完全控制权默认成员有 Domain Admins组、Enterprise Admins组、Administrator账户�Domain Users:域用户组默认情况下域中创建的所有用户账户都会自动成为该组的成员Domain Computers:域计算机组默认情况下域中所有计算机账户都会自动成为该组的成员Domain Controllers:域控制器组该组包含了此域中的所有域控制器Domain Guests:域来宾组该组包含了所有域来宾Users:用户组该组成员可执行大部分常见任务,如运行应用程序、使用打印机等默认成员有 Domain Users等,因此域中所有用户账户都会自动成为该组的成员�新建组账户在活动目录上单击右键,选择“新建 | 组”;在弹出的对话框中设置组名、组类型、组作用域等参数,就建立了一个组帐户;双击组帐户,弹出该组帐户的“属性”对话框,可以变更组帐户的参数、向组中添加或删除成员等。
��组作用域全局组:成员只来自本地域;成员可以访问任何域内资源本地域组:成员可来自任何域,成员可访问本地域内的资源通用组:成员可以来自任何域;成员可以访问任何域内资源对于单域网络,通常只定义全局组和本地域组对于有信任关系的多域网络,应根据情况授权某些用户的跨域访问权限�组类型通信组:用于创建电子邮件通信组列表一般在部署了电子邮件服务的网络定义这种组安全组:用于给共享资源指派权限多数情况下,我们定义的组都是安全组�组规划策略以单域网络为例,一般按以下顺序规划组:1、对本域中的成员,按照其职责划分全局组;2、对本域中的资源,按资源种类划分本地域组;3、以本地域组为单位,为资源设置访问权限;4、把全局组加入到相应的本地域组中,使它获得相应的权限�例:你是某公司的网络管理员,你管理的域情况如下:域用户:经理1人财务人员2人销售人员5人共享资源:考勤表,完全访问经理考勤表,只读销售人员和财务人员财务报表,完全访问财务人员打印机经理和财务人员�组规划:组组作用域成员经理全局组zhao财务全局组qian、sun销售全局组li、zhou、wu、 zheng、wang考勤1本地域组经理考勤2本地域组财务、销售财务表本地域组财务打印本地域组经理、财务�权限设置权限尽量以组为单位进行设置,这样可简化权限授予过程。
权限设置方法:在文件夹或打印机上单击右键,选择“属性”在“安全”选项卡中可设置NTFS访问权限;在“共享”选项卡中可设置共享访问权限说明:对共享的资源网络访问权限需在“共享”和“安全”选项卡中作同样的设置才会有效�案例分析案例分析v 某公司采用域控制器的方法来管理公司内的所有计算机,某公司采用域控制器的方法来管理公司内的所有计算机,本地计算机已经被禁止登录,用户必须登录到指定的域控制本地计算机已经被禁止登录,用户必须登录到指定的域控制器公司采用的是器公司采用的是3班制的工作方式,每台计算机将由三个用班制的工作方式,每台计算机将由三个用户使用,在域控制器上已经为每位用户配置好了账户,但是户使用,在域控制器上已经为每位用户配置好了账户,但是公司很快发现有的员工不使用自己配置的用户账户而使用其公司很快发现有的员工不使用自己配置的用户账户而使用其他人的用户账户登录,为了避免这种情况的发生,公司要求他人的用户账户登录,为了避免这种情况的发生,公司要求用户必须使用指定的用户账户进行登录,你是系统管理员,用户必须使用指定的用户账户进行登录,你是系统管理员,要求你使用最少的配置实现这一功能,你可以怎么做?要求你使用最少的配置实现这一功能,你可以怎么做?�案例分析案例分析v分析:用户使用其他人的账户进行登录,那么有可能是有些用户的账户没有设置密码,我们需要对每个账户进行设置密码,并且禁用“guest”账户,也有可能是员工之间互相知道彼此的密码,那么就需要对用户的登录时间进行控制。
v解决方法:v(1)首先对所有员工所对应的账户设置密码,要求使用密码进行登录,并且禁用“guest”账户v(2)根据每位员工的工作时间,设置相应的账户在指定的时间段登录,除了指定时间段,其他时间设置为不允许登录这里的设置可以在账户的属性中进行设置这样就解决了用户登录的问题 �1、域账户是在哪台计算机上创建并管理的?使用的控制台是哪个控制台?域账户是在域控制器上创建并管理的,使用的控制台是“Active Directory 用户和计算机”2、在域控制器上,Administrator账户默认隶属于哪些组?Administrator账户默认隶属于Administrators、Domain Admins和Enterprise Admins组练习练习�3、新建的域用户账户自动加入哪个组?新建的域用户账户自动加入Domain Users组4、如果你拥有了一个域用户账户,你可以在哪种计算机上登录到域?A.域控制器 B.已加入域的成员计算机 C.自己家里的计算机 D.网络中的任一台计算机选B�5、按照组作用域,有哪3种组?Administrators组属于哪种组?按组作用域划分,有全局组、本地域组和通用组。
Administrators组属于全局组6、什么是漫游用户配置文件?它可以起到什么效果?漫游用户配置文件是把用户的配置文件存放在域中指定的计算机上,当用户登录到域中时,它会自动下载到用户的计算机中供用户使用利用漫游配置文件可以使用户在域中不同的计算机上登录到域时,使用的配置文件是相同的�以下工作可在域控制器上完成:添加、删除成员计算机;发布共享资源;创建并管理组账户和用户账户以下工作可在成员计算机上完成:把计算机加入域或从域中移除(需管理员完成);创建共享资源;设置共享资源权限(需管理员完成)�实验 域账户管理 预习实验内容:1、搭建一个单域结构的网络2、创建并分配域用户帐户3、创建漫游用户配置文件4、域帐户的规划与设置基本要求:1、建立一个域主要应完成哪些工作?2、如何建立域用户账户?3、如何建立漫游用户配置文件?4、如何进行组的规划?�。