用户帐户与组帐户管理第13章.ppt

《用户帐户与组帐户管理第13章.ppt》由会员分享，可在线阅读，更多相关《用户帐户与组帐户管理第13章.ppt（31页珍藏版）》请在三一办公上搜索。

1、,计算机网络技术,教学重点和难点：本地用户及组管理；域用户与组管理。,第13章 用户帐户与组帐户管理,计算机网络技术,用户帐户是计算机的基本安全组件，计算机通过用户帐户来辨别用户身份，让有使用权限的人登录计算机，访问本地计算机资源或从网络访问这台计算机的共享资源。用户账号是用来记录用户的用户名和口令、隶属的组、可以访问的网络资源以及用户的个人文件和设置。指派不同用户不同的权限，可以让用户执行不同的计算机管理任务。,13.1 用户帐户概述,计算机网络技术,13.1 用户帐户概述,1.域用户账号 域用户账号建立在域控制器的Active Directory数据库内。用户可以利用域用户账号来登录域，并

2、利用它来访问网络上的资源，例如访问其它计算机的文件、打印机等资源。当用户利用域用户账号来登录时，由域控制器来检查用户所输入的账号与密码是否正确。将用户账号建立在某台域控制器内后，该账号会自动复制到同一域内的其他所有域控制器中。因此，当该用户登录时，此域内的所有域控制器都可以负责审核用户的身份，也就是检查用户所输入的用户名与口令是否正确。,计算机网络技术,13.1 用户帐户概述,2.本地用户账号 本地用户账号建立在Windows Server 2003成员服务器的本地安全数据库内，而不是域控制器内。用户可以利用本地用户账号来登录此计算机，但是只能够访问这台计算机内的资源，无法访问网络上的资源。本

3、地用户账号只存在于这台计算机内，Windows Server 2003不会将其复制到域控制器的活动目录内。,计算机网络技术,13.1 用户帐户概述,3.内建用户账号 在安装Windows Server 2003时一并安装的用户账号称之为内建用户账号，通常为administrator和guest。（1）administrator 该账号为初次安装Windows Server 2003 系统后的预设系统管理员，因此具有至高无上的权利。（2）guest 该账号用来提供给来宾作为临时账号使用，所谓来宾就是偶尔要求登录入网的用户，该账号具有少部分的权限。Guest账号可以被更名，但无法删除它，要使用该账

4、号时，首先要设置它为允许使用，缺省设置它为禁止。,计算机网络技术,13.2 本地用户和组,用户本地账户是建立在Windows Server 2003成员服务器的本地安全数据库内，而不是域控制器内的账户。用户可以利用本地账户登录此账户所在的计算机，但是无法登录域。同时只能访问这台计算机内的资源，无法访问网络上的资源。建议只在未加入域的计算机内建立本地用户账户。,13.2.1 用户帐户的创建,计算机网络技术,1.规划新的用户帐户在创建新的用户帐户时，应遵循以下的规则和约定。（1）命名约定帐户名必须唯一：本地帐户必须在本地计算机上唯一。帐户名不能包含以下字符：*/=,+”。帐户名最长不能超过20个字

5、符。,13.2 本地用户和组,计算机网络技术,（2）密码原则 一定要给每一个用户帐户指定一个密码，尤其是administrator帐户，以防止它人随便使用该帐户。请勿包含使用者账户名称的全部或任何部分。包含下列四种字符中的三种：英文大写字符(A 到 Z)。英文小写字符(a 到 z)。10 进位数字(0 到 9)。非英文字母字符(例如!、$、#、%)、扩充型 ASCII、符号或语音字符。密码最多可由128个字符组成，推荐最小长度为8个字符。,13.2 本地用户和组,计算机网络技术,2.创建本地用户帐户 建立本地账户可以用“计算机管理”中的“本地用户和组”管理单元来创建本地用户帐户，而且必须拥有管

6、理员权限。创建本地用户帐户的步骤如下：（1）选择“开始管理工具计算机管理”选项，弹出“计算机管理”窗口，依次展开“系统管理本地用户和组用户”，在“计算机管理”窗口右侧列出已经存在的帐户。,13.2 本地用户和组,计算机网络技术,（2）右击，从弹出的菜单中选择“新用户”命令，弹出“新用户”对话框。输入用户名、全名、描述和密码。输入时密码。为了避免在输入时被他人看到密码，因此在对话框中的密码只会以星号（*）显示。需要再次输入密码来确认所输入的密码是否正确。密码最多128个字符，密码的大小写是有区别的。可以设置密码选项，包括以下四种：,13.2 本地用户和组,计算机网络技术,“用户下次登录时需更改密

7、码”：强迫用户在下次登录时必须更改密码。该项设置可以确保只有该用户知道该密码。“用户不能更改密码”：它可防止用户更改密码，如果多人共享一个账户时（例如Guest），则选择此复选框，避免发生被某个人更改密码后，造成其他人都无法登录的情况。“密码永不过期”：若选择此复选框，则系统永远不会要求该用户更改密码，即使在“账户策略”的“密码最长存留期”中设置了所有用户必须定期更改密码，系统也不会要求这个用户更改密码。“账户已停用”：禁止用户利用此账户登录。,13.2 本地用户和组,计算机网络技术,3.设置用户帐户的属性 打开“计算机管理系统工具本地用户和组用户”窗口，双击一个用户（右击一个用户选择属性），

8、弹出“用户属性”对话框。（1）“常规”选项卡 可以设置与帐户有关的一些描述信息，如全名、描述、帐户选项等。,13.2 本地用户和组,计算机网络技术,（2）“隶属于”选项卡 选择“隶属于”选项，打开“隶属于选项”对话框，可以设置将该帐户加入到其他的本地组中。单击“添加”按钮，弹出“选择组”对话框，用户可以在“”直接输入组的名称，如管理员组的名称“administerators”。（3）“配置文件”选项卡，选择“配置文件”选项，打开“配置文件选项”对话框，可以设置用户帐户的配置文件路径、登录脚本和主文件夹路径。,13.2 本地用户和组,计算机网络技术,（4）更改用户帐户密码 打开“计算机管理系统工

9、具本地用户和组用户”窗口，右击一个用户选择“设置密码”选项，弹出“警示信息”，单击“继续”按钮，弹出“为用户设置密码”对话框。在“新密码”和“确认密码”栏中输入相同的密码，单击“确定”按钮，完成用户密码更改。4.删除用户帐户 当用户不再需要使用某个用户帐户时，可以将其删除。删除用户帐户会导致与该帐户有关的所有信息的遗失。在“计算机管理”控制台中，选择要删除的用户帐户，右击选择“删除”即可。但系统内置帐户（administrator和guest）无法删除。,13.2 本地用户和组,计算机网络技术,13.2.2 组帐户管理,1.概述 组帐户是计算机的基本安全组件，用户帐户的集合。但是组帐户并不能用

10、于登录计算机。通过使用组，管理员可以同时向一组用户分配权限。同一个用户帐户可以同时为多个组的成员。打开“计算机管理”控制台，在“本地用户和组”树中的“组”目录里，可以查看本地内置的所有组帐户。,13.2 本地用户和组,计算机网络技术,2.创建本地用户组 通常情况下，系统默认的用户组已经能够满足需要，但有时不能满足特殊安全和灵活性的需要，管理员需要新增一些组。这些组创建以后，就可以像内置组一样，赋予其权限和进行组成员的增加。,13.2 本地用户和组,计算机网络技术,（1）选择“开始管理工具计算机管理”选项，弹出“计算机管理”窗口，依次展开“系统管理本地用户和组组”，在“计算机管理”窗口右侧列出已

11、经存在的本地组。（2）右击“组”，选择“新建组”选项，弹出“新建组”对话框，输入组名和描述。（3）单击“创建”按钮，即可完成创建。,13.2 本地用户和组,计算机网络技术,3.删除、重命名本地组及修改本地组 当计算机中的组不需要时，系统管理员可以对组执行清除任务。每个组都拥有一个唯一的安全标识符（SID），所以，一旦删除了用户组，就不能重新恢复，即使新建一个与被删除组有相同名字和成员的组，也不会与被删除组有相同的特性和权限。在“计算机管理”控制台选择要删除的组帐户，然后执行删除功能。,13.2 本地用户和组,计算机网络技术,1.域用户帐户创建 必须使用“Active Directory用户和计

12、算机”管理单元来建立域用户账户。当使用这个管理单元来建立用户账户时，这个账户会被自动建立在MMC控制台所找到的第一台域控制器内，以后该账户会被自动复制到此域内的所有域控制器内。,13.3.1 域用户帐户,13.3 域帐户管理,计算机网络技术,（1）依次选择“开始管理工具Active Directory用户和计算机”选项，弹出“Active Directory用户和计算机”对话框，右击“user”，依次选择“新建 用户”命令。弹出“新建对象用户”对话框。（2）单击“下一步”按钮，弹出新建域用户帐户的对话框，“密码”与“确认密码”：输入用户账户的密码。（3）单击“下一步”按钮后，提示用户账户的信息

13、，最后单击“完成”按钮，完成用户账户的创建。,13.3 域帐户管理,计算机网络技术,2.域用户账户的属性设置 每个域用户都有一些相关的属性可供设置，例如，某地址、电话、传真、电子邮件、账户有效期限等。将用户的这些信息输入完毕后，就可以通过这些信息来查找活动目录内的用户。要设置用户账户的属性时，依次选择“选择该用户右击属性”选项，打开“域用户帐户属性”对话框。,13.3 域帐户管理,计算机网络技术,（1）用户个人信息的设置所谓“用户个人信息”，就是指姓名、地址、电话、传真、移动电话、公司、部门、职称、电子邮件、Web页等。常规：用来设置姓、名、显示名称、描述、办公室、电话号码、电子邮件和Web页

14、等信息。地址：用来设置国家（地区）、省/自治区、县市、街道、邮箱和邮政编码等信息。电话：用来设置家庭电话、寻呼机、移动电话、传真、IP电话等信息。单位：用来设置职务、部门、公司、经理和直接下属等信息。,13.3 域帐户管理,计算机网络技术,（2）账户信息的设置“常规”对话框 选择“账户”选项卡。在这里介绍用户账户的“登录时间”、“登录到”以及“账户过期”等设置。账户过期 设置账户的有效期限，默认为账户永不过期，也可以选择“在这以后”单选框，并确定账户过期的时间。登录时间的设置“登录时间”用来设置允许用户登录到域的时段，默认是用户可以在任何时段登录域。,13.3 域帐户管理,计算机网络技术,限制

15、用户只能够从某些工作站登录“登录到”用来设置允许用户登录到域的计算机，系统默认为用户可从任何一台计算机登录域，也可以限制用户只能从某些计算机登录域。3.管理域用户账户 依次选择“开始”“程序”“管理工具”“Active Directory用户和计算机”选项，打开“Active Directory用户和计算机”对话框，,13.3 域帐户管理,计算机网络技术,1.组的作用域 组都有一个作用域，用来确定在域树或林中该组的应用范围。Active Directory域组有三类不同的组作用域：全局组、本地域域和通用组。,13.3.2 域用户组帐户,13.3 域帐户管理,计算机网络技术,（1）全局组 全局组

16、主要用来组织用户，可以将多个权限相似的用户账户加入到同一全局组内。全局组的特点如下：全局组内的成员，只能够包含该组所属的域内的用户账号与全局组，也就是说，只能够将同一域内的用户账户与其他全局组加入到全局组内。全局组可以访问任何一个域内的资源，也就是说，可以在任何一个域内设置某个全局组的使用权限，以便让此全局组具备权限来访问该域内的资源。,13.3 域帐户管理,计算机网络技术,（2）本地域组 本地域组主要用来指派其在所属域内的访问权限，以便可以访问该域内的资源。本地域的特点如下：本地域组内的成员，能够包含任何一个域内的用户账号、通用组、全局组；它也能够包含同一域内的本地域组；但是他无法包含其它域

17、内的本地域组。本地域组只能够访问同一域内的资源，无法访问其它域内的资源。换句话说，在设置本地域组的权限时，只可以设置同一域内的资源的权限，但是无法设置其它域内的资源的权限。,13.3 域帐户管理,计算机网络技术,（3）通用组 通用组主要用来指派在所属域内的访问权限，以便可以访问每一域内的资源。通用组的特点如下：通用组内的成员，能够包含任何一个域内的用户账号、通用组、全局组。但是它无法包含任何一个域内的本地域组。通用组可以访问任何一个域内的资源，也就是说，可以在一个域内设置通用组的权限，以便让此通用组具备权限来访问该域内的资源。,13.3 域帐户管理,计算机网络技术,在单一域的网络环境下，利用组

18、来管理网络资源时，为了便于管理，建议采用以下的准则：建立一个全局组，然后将具备相同权限的用户账户加入到该组内。例如，将计算机教研室所有教师的用户账号加入到一个称为“jsjjys”的全局组内。建立一个本地域组，而将设置让此组对某些资源具备适当的权限。例如，有一个激光打印机供某些用户来打印，则建立一个称为“LJP”的本地域组。将所有需要该资源访问权限的全局组加入到本地域组内。例如，将“jsjjys”全局组加入到“LJP”本地域组内。指定适当的权限给本地域组，例如，给与“LJP”本地域组对此激光打印机具备使用的权限。,13.3 域帐户管理,计算机网络技术,2.组类型 Active Directory中有两种组类型：通信组和安全组。可以使用通信组创建电子邮件通信组列表，使用安全组给共享资源指派权限。（1）通信组 只有在电子邮件应用程序中，才能使用通信组将电子邮件发送给一组用户。（2）安全组 安全组提供了一种有效的方式来指派对网络上资源的访问权。,13.3 域帐户管理,计算机网络技术,3.默认组 在安装完Windows Server 2003后，系统会建立一些用户组。通常这些组为区分系统管理工作的权限所设立，不同的组有不同的资源存取权限。在Windows Server2003中拥有多种类别的内建组。,13.3 域帐户管理,本地域组 全局组 本地组 系统线,