实训一用户管理与权限设置.ppt

网络服务实习,指导教师：薄 瑜(1班)刘正林(2班),实训内容,实训一：用户管理和权限设置实训二：常用网络命令的使用实训三：DHCP服务器的安装与配置实训四：DNS服务器的安装与配置实训五：Web服务器的安装与配置实训六：FTP服务器的安装与配置,实训内容,实训七：使用serv-u建立FTP服务实训八：邮件服务器的安装与配置实训九：流媒体服务器的安装与配置实训十：使用Helix Server架设流媒体服务器,成绩评定,1.平时成绩占40%。（电子签到）2.报告成绩占30%。（按照模板写）3.答辩考核占30%。答辩分小组进行，一个班五个组，抽签选定方向。,实训一 用户和组的管理,内容要求：1.创建本地用户User1、User2和User3。2.设置密码策略（启用密码复杂性要求、最短密码长度为8等）。3.更改用户User3的密码。4.创建MyGroup组。5.将User1、User2和User3分别归到Administrators、Power Users和MyGroup组。6.在c盘下创建sx1文件夹，设置Administrators的权限为完全控制，User3的权限为读取，MyGroup组的权限为拒绝权限。7.设置MyGroup具有关闭系统、本地登录等本地安全策略权限。8.测试User3的权限。,实训一：用户管理和权限设置,1.用户管理2.组管理3.文件权限4.设置本地安全策略,Server 2003既然是个NOS，它理所当然的支持多用户，而且权限分配也很谨慎，遵循一个通用原则：即访问计算机上任何资源，需要对应的用户账号（或权限）,引言,其实，自从Windows 2000开始，Windows 系统就已经引入了用户管理的模式,账户的概念,账户：账户是用户登录到某台计算机访问该机上的资源的标识，包括账户名和密码。,内置账户,Windows Server 2003安装完毕后，系统会在计算机上自动创建一些内置账户 Administrator（系统管理员）：拥有最高权限。Guest（宾客）:是为临时访问计算机的用户提供的。该账户自动生成，且不能被删除，可以更改名字。,一般来说，账户是登录系统的身份凭证，主要有本地账户和域帐户。需要注意的是，某个用户拥有一个合法的账户，他不仅可以本地登录，也可以远程登陆。,账户的作用,创建本地账户,控制面板管理工具计算机管理鼠标右击“我的电脑”选择“管理”,创建本地用户账户,需要用户名全名描述密码相关选项,用户账户细节说明,用户名：用户名最长20字符，不区分大小写，也可以使用中文，但不能使用一些特殊字符（/:;|=,+*?）全名和描述：此信息为可选项，可以输入一些员工的个人信息和公司信息，如姓名和部门等；密码和确认密码：密码的最大长度可以达到127位，密码的设置不应过于简单，应该使用字母、数字及特殊符号的组合。,用户下次登录时必须更改密码 用户不能更改密码 密码永不过期 账户已禁用,保障用户隐私,用于共享账户,默认42天过期,暂时禁止登录,用户账户细节说明,更改账户密码,重设密码一般由管理员完成更改密码一般由用户完成,重命名和删除账户,重命名用户删除用户SID:S-1-5-21-1292074401-2054391636-2487779615-500删除后不能重建,禁用与激活本地账户,禁用账户,激活账户,默认账户的权限,出于安全考虑，新建的用户默认为普通用户（即非管理员）实例演示小知识：如何得知当前登录用户的身份同时按下Ctrl+Alt+Del在命令提示符下输入“Whoami”,“组”的概念,组的概念,“组”：相同权限的用户的集合,将用户添加到组,常见组,Administrators管理员，最高权限，相当于胡锦涛主席Guests宾客，仅供非正式用户临时访问，相当于临时工Users普通用户，相当于正式员工,其他组（不做要求）,3.文件权限与共享,在企事业单位中，某些文件只能让普通员工阅读，不能修改，主管领导有完全控制权。有些文件甚至不让一般员工访问，如何实现呢？,文件系统,Windows Server 2003 支持下列文件系统FAT32NTFS,FAT32文件系统,FAT32 Windows 95/98时代的标准，现已逐渐淘汰致命缺点：单个文件不能大于4G不能设置权限,NTFS文件系统：本地安全功能,NTFS文件系统:Windows 2000开始主推的格式标准，主要优点：文件权限分配磁盘配额功能动态磁盘管理数据EFS加密和压缩功能 Unicode统一编码支持,文件系统的比较（不做要求）,NTFS文件权限类型,应用于文件，用来控制用户对文件的访问权限读取写入读取与执行修改完全控制,NTFS文件夹权限类型,应用于文件夹，用来控制用户对文件夹的访问权限读取写入列出文件夹内容读取与执行修改完全控制,NTFS权限规则,文件权限优先于文件夹权限拒绝权限优先于其他权限,设置权限,鼠标右击文件或文件夹选择“属性”“安全”选项卡,4.设置本地安全策略,在Windows Server 2003中，为了确保计算机的安全，允许管理员对本地安全进行设置，从而达到提高系统安全性的目的。Windows Server 2003对登录到本地计算机的用户都定义了一些安全设置。所谓本地计算机是指用户登录执行Windows Server 2003的计算机，在没有活动目录集中管理的情况下，本地管理员必须为计算机进行设置以确保其安全。例如，限制用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登录计算机、指派用户权限等。将这些安全设置分组管理，就组成了Windows Server 2003的本地安全策略。,“本地安全设置”控制台,Windows Server 2003在“管理工具”菜单提供了“本地安全设置”控制台，可以集中管理本地计算机的安全设置原则，使用管理员账户登录到本地计算机，即可打开“本地安全设置”控制台,密码安全设置,密码必须符合复杂性要求；密码长度最小值；密码使用期限；强制密码历史；,账户锁定策略,用户权限分配,Windows Server 2003将计算机管理各项任务设定为默认的权限，例如，从本地登录系统、更改系统时间、从网络连接到该计算机、关闭系统等。系统管理员在新增了用户账户和组账户后，如果需要指派这些账户管理计算机的某项任务，可以将这些账户加入到内置组，但这种方式不够灵活。系统管理员可以单独为用户或组指派权限，这种方式提供了更好的灵活性。用户权限的分配在“本地安全设置”的“本地策略”下设置，如图所示。,用户权限分配,用户权限分配,从网络访问这台计算机是指允许哪些用户及组可以通过网络连接到该计算机，如图2.25所示。默认为Administrators、Backup Operators、Power Users、Users和Everyone组。由于Everyone组允许通过网络连接到此计算机，所以网络中的所有用户，默认都可以访问这台计算机。,用户权限分配,允许本地登录。允许在本地登录原则设置，决定哪些用户可以交互式地登录此计算机，默认为Administrators、Backup Operators、Power Users，如图2.26所示。另一个安全设置是“拒绝本地登录”，默认用户或组为空。同样的，如果某用户既属于“允许在本地登录”又属于“拒绝本地登录”，那么该用户将无法在本地登录计算机。,用户权限分配,关闭系统。关闭系统原则设置，决定哪些本地登录计算机的用户可以关闭操作系统。默认能够关闭系统的是Administrators、Backup Operators和Power Users，如图2.27所示。默认Users组用户可以从本地登录计算机，但是在“关闭系统”成员列表中，所以Users组用户能从本地登录计算机，但是登录后无法关闭计算机。这样可避免普通权限用户误操作导致关闭计算机而影响关键业务系统的正常运行。,习题,1.1 什么是本地用户和本地组？1.2 简述本地用户账户和域用户账户的区别。1.3 什么是本地安全策略？1.4 如何设置本地安全策略？,