管理管理 Active Directory 用户和计算机用户和计算机服务器技术 2010-01-26 21:36:55 阅读 133 评论 0 字号:大中小 在使用 Windows Server 2003 所包括的 Active Directory 服务的网络上,每个用户都必须由目录中的一个用户对象来表示用户对象由包含用户信息的属性和用户在网络上的权利组成创建和管理用户对象是网络管理员执行的常见任务一、用户账号简介用户账号可为用户提供登录到域以访问网络资源或登录到计算机以访问该机资源的能力定期使用网络的每个人都应有一个惟一的用户账号Windows Server 2003 提供两种主要类型的用户账号: 本地用户账号和域用户账号除此之外,Windows Server 2003 系统中还有内置的用户账号1.本地用户账号(Local User Account)本地用户账号只能登录到账号所在计算机并获得对该资源的访问当创建本地用户账号后, Windows Server 2003 将在该机的本地安全性数据库中创建该账号,本地账号信息仍为本地,不会被复制到其他计算机或域控制器当创建一个本地用户账号后,计算机使用本地安全性数据库验证本地用户账号,以便让用户登录到该计算机。
注意不要在需要访问域资源的计算机上创建本地用户账号,因为域不能识别本地用户账号,也不允许本地用户访问域资源而且,域管理员也不能管理本地用户账号,除非他们用计算机管理控制台中的操作菜单连接到本地计算机2.域用户账号(Domain User Account)域用户账号可让用户登录到域并获得对网络上其他地方资源的访问域用户账号是在域控制器上建立的,作为 AD 的一个对象保存在域的 AD 数据库中用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号,该账号将被域的域控制器所验证当在一个域控制器上新建一个用户账号后,该用户账号被复制到域中所有其他计算机上,复制过程完成后,域树中的所有域控制器就都可以在登录过程中对用户进行身份验证3.内置用户账号(Built-in User Account)Windows Server 2003 自动创建若干个用户账号, 并且赋予了相应的权限,称为内置账号内置用户账号不允许被删除最常用的两个内置账号是 Administrator 和 Guest 可使用内置Administrator(管理员)账号管理计算机和域配置,通过执行诸如创建和修改用户账号和组、管理安全性策略、 创建打印机、 给用户分配权限和权利等任务来获得对资源的访问。
但做为网络管理员,应当为自己创建一个用来执行一般性任务的用户账号,只在需要执行管理性任务时才使用 Administrator 账号登录Guest(来客) 账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的该账号默认情况下不允许对域或计算机中的设置和资源做永久性的更改该账号在系统安装好之后是被屏蔽的,如果需要,可以手动启用二、创建本地用户账号创建本地用户账号可以在任何一台除了域的域控制器以外的基于 Windows Server 2003 的计算机上进行 出于安全性考虑,通常建议只在不是域的组成部分的计算机上创建和使用本地用户账号,即在属于域的计算机上不要设置本地账号工作组模式是使用本地用户账号的最佳场所实际案例:创建一个本地用户账号,用户名为 wangnan具体操作如下:(1)打开“控制面板”,双击“管理工具”,在管理工具窗口中双击“计算机管理”图标,打开“计算机管理”对话框,如图 3.5.1 所示图 3.5.1 “计算机管理”对话框(2)单击“本地用户和组”前面的加号,展开出现“用户”图标,右击“用户”,在弹出的快捷菜单中单击“新用户”,打开“新用户”对话框,在“用户名”编辑框中输入账号的登录名称;在“全名”编辑框中输入用户的全名;在“描述”编辑框中输入账号的简单描述,以方便日后的管理工作;在“密码”和“确认密码”编辑框中输入密码, 如图 3.5.2 所示。
图 3.5.2 新用户对话框(3)单击“创建”,在计算机管理窗口中就可以看到新创建的用户账号三、创建域用户账号若要创建和管理域用户账号,可使用 Active Directory 用户和计算机控制台,在 Active Directory 目录树中创建用户对象也可用该工具创建、删除或禁用用户对象,并管理用户对象的属性域用户账号是在域的 DC 上被创建, 并会被自动复制到域中的其他 DC 上尽管在非 DC 的基于 Windows Server 2003 的计算机上也可以通过管理工具创建用户账号,但实际上这样的操作仅仅是操作本身在非 DC 上,而实际账号的添加是在 DC 上完成的, 因为只有在 DC 上才维护着 AD 的账号数据库实际案例:在 poet.fjnu.edu 域上创建一个域用户账号, 用户名为 zhangwei具体操作如下:(1)在“管理工具”中选择“Active Directory 用户和计算机”,打开“Active Directory 用户和计算机”对话框,如图 3.5.3 所示图 3.5.3 “Active Directory 用户和计算机”对话框(2)在对话框的左侧子窗口中单击要建立账号的域, 右击 该域中的 Users, 在快捷菜单中选择“新建”— “用户”, 打开“新建对象—用户”对话框,在该对话框中输入要创建的用户的登录名,登录名是用来在域中活动并访问资源的惟一凭证,也即帐号名,登录名在域中必须惟一。
如图 3.5.4 所示图 3.5.4 “新建对象—用户”对话框(3)单击“下一步”在对话框中输入密码,如图 3.5.5 所示(注意输入的密码是区分大小写的)选择“用户下次登录时需更改密码”复选框,则用户在下次用这个密码登录之后就需要更改这个密码图 3.5.5 输入密码对话框(4)单击“下一步”按钮,在接着的对话框中单击“完成”结束添加域用户账号的操作四、设置用户账号属性创建的每一个用户对象都有一套默认属性创建了用户账号后,可以设置个人属性和账号属性、登录选项和拨号设置可使用为域用户账号定义的属性在目录中搜索用户,或用于其他应用程序因此,创建每一个域用户账号时都应当提供详细的定义信息设置用户对象属性,可通过在“Active Directory 用户和计算机”控制台,右击该对象,并从弹出的菜单上选择“属性”,打开用户账号属性对话框属性对话框中的选项卡包含有关每个用户账号的信息用户对象的默认属性对话框中每个选项卡的主要内容和作用如表 3.5.1 所示表 3.5.1 “用户属性”对话框中各项选项卡的作用 选项卡作用常规(General)记录用户的姓、名、显示名、说明、办公地点、号码、电子邮件地址、主页及附加 Web 页面地址(Address)记录用户的街道地址、邮政信箱、城市、州或省、邮政编码、国家或地区账号(Account)记录用户的账号属性,包括:用户登录名、登录时间、允许登录的计算机、账号选项和账号有效期单位(Organization)记录用户的头衔、部门、公司、管理人和直接报告(Telephones)记录用户的家庭、传呼、、、IP 号码,并包含填写备注的空间配置文件(Profile)设置配置文件路径、登录脚本路径、主文件夹和共享文档文件夹成员属于(Member of)记录用户所属的组拨入(Dial-In)记录用户的拨号属性环境(Environment)记录用户登录系统时运行的应用程序和启用的设备会话(Sessions)设定“终端服务”超时和重新连接设置远程控制(Remote Control)配置“终端服务”遥控设置终端用户配置文件(Terminal Service Profile)配置“终端服务”用户配置文件1.设置个人属性用户对象属性对话框中有 4 个选项卡包含有关用户账户的个人信息。
这些选项卡是常规、地址、和单位这些选项卡中的属性与用户对象或 Active Directory 的操作没有直接关系;只提供用户的背景信息在这些选项卡中输入信息可让您通过使用已掌握的用户信息轻松查找所需域用户账号2.设置账号属性属性对话框中的账号选项卡包含几个创建用户对象时所配置的属性,如图 3.5.6 所示在该选项卡中可以为用户更改登录名在“账户过期”选项组中可以为该账号设置一个过期时间默认情况下账户是永久有效的,除非被删除如果某个临时用户账号希望在某个时间后自动失效,则可以选中“在这之后”单选按钮,然后打开下拉菜单,在日历中选择一个账号的失效日期,当该曲径号使用期超过设定的日期,则使用该账号将不能登录到域中,而不需要管理员手动删除账号图 3.5.6 用户对象属性——账号选项卡3.设置登录时间在图 3.5.6 中单击“登录时间”按钮,打开用户登录时段对话框, 在该对话框中可以设置允许或拒绝用户登录到域的时间蓝色的格子代表允许登录的时间段,默认情况下账号可以在任意的时间内登录到域中单击要设置的时间格(一个格代表一小时),也可以单击拖动鼠标一次选中多个时间格,然后单击“拒绝登录”前的单选按钮,使这段时间成为拒绝登录的时间段,白色的格子代表拒绝登录,如图 3.5.7所示。
图 3.5.7 用户登录时段对话框4.设置用户可登录的计算机在图 3.5.6 中单击“登录到”按钮,打开“登录工作站”对话框,如图 3.5.8 所示在该对话框中可以设置允许用户登录到域中的计算机默认情况下用户可以从任何一台域中的计算机上登录到域单击“下列计算机”前的单选按钮,然后在“计算机名”下的编辑框中输入允许用户登录的计算机名,单击“添加”按钮将计算机加入到计算机列表中如果要删除某台允许用户登录的计算机,只须在列表中单击选中的计算机并单击“删除”按钮即可图 3.5.8 “登录工作站”对话框五、维护用户账号除修改用户对象的属性外, 还可以根据需要 以其他方式修改用户账号这些修改包括禁用、启用或删除用户账号有时也可能需要解除用户账号锁定或重设密码1.禁用、启用、重命名和删除用户账号禁用和启用用户账号:当一位用户长期不需要使用用户账号,但还会再次使用的情况下,可以禁用该用户账户,等他再次使用时再启用该用户账户重命名用户账号:当需要保留一位用户账号的所有权利、权限和组的成员身份并修改其名称或将其分配给另一位用户时,可以重命名该用户账号删除用户账号: 当某个用户账号不打算再用时, 可以删除该用户账号,以消除因 Active Directory 服务中存在不使用账号而造成的潜在安全危险。
在 Active Directory 控制台上找到需要修改的用户账号,右击该用户账号, 从弹出的菜单中选择与要做的修改类型相应的命令,如图 3.5.9 所示图 3.5.9 禁用、启用、重命名或删除用户账号2.重设密码和解除用户账号锁定如果一位用户因密码问题或 账户锁定问题不能登录 到域或本地计算机,就需要重设用户密码或解除用户账号锁定只有拥有对用户账号所在对象管理权限的人才能执行这样的任务·重设密码管理员或用户设置了用户账号密码后,密码对任何人都不可见,包括管理员这样就防止了包括管理员在内的用户得知其他用户的密码,从而提高安全性不过,有些情况下管理员需要重设密码例如,如果用户需要更改他们的密码, 但却在特定时间内无法完成更改, 密码就可能会被配置为过期,该用户将不能再登录用户也容易忘记密码,特别是在密码由管理员设定或用户被迫经常更改密码的情况下出现这种情况时,拥有管理员权限的用户就可以重设密码,无需知道当前密码或过期密码·解除用户账号锁定许多网络使用 Windows Server 2003 组策略强制实施密码限制, 如限制所许可的用户账号失败登录尝试次数当用户(授权或非授权)输入用户账户错误次数过多,Windows Server 2003 将锁定账号,防止再次进行尝试。
可以将策略配置为在规定时间内锁定账号,或永久。