如何管理ActiveDirectory用户和计算机.doc

管理Active Directory用户和计算机服务器技术 2010-01-26 21:36:55 阅读133 评论0 字号：大中小 在使用Windows Server 2003 所包括的Active Directory服务的网络上，每个用户都必须由目录中的一个用户对象来表示。用户对象由包含用户信息的属性和用户在网络上的权利组成。创建和管理用户对象是网络管理员执行的常见任务。一、用户账号简介用户账号可为用户提供登录到域以访问网络资源或登录到计算机以访问该机资源的能力。定期使用网络的每个人都应有一个惟一的用户账号。Windows Server 2003提供两种主要类型的用户账号： 本地用户账号和域用户账号。除此之外，Windows Server 2003系统中还有内置的用户账号。1.本地用户账号（Local User Account）本地用户账号只能登录到账号所在计算机并获得对该资源的访问。当创建本地用户账号后， Windows Server 2003将在该机的本地安全性数据库中创建该账号，本地账号信息仍为本地，不会被复制到其他计算机或域控制器。当创建一个本地用户账号后，计算机使用本地安全性数据库验证本地用户账号，以便让用户登录到该计算机。注意不要在需要访问域资源的计算机上创建本地用户账号，因为域不能识别本地用户账号，也不允许本地用户访问域资源。而且，域管理员也不能管理本地用户账号，除非他们用计算机管理控制台中的操作菜单连接到本地计算机。2.域用户账号（Domain User Account）域用户账号可让用户登录到域并获得对网络上其他地方资源的访问。域用户账号是在域控制器上建立的，作为AD的一个对象保存在域的AD数据库中。用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号，该账号将被域的域控制器所验证。当在一个域控制器上新建一个用户账号后，该用户账号被复制到域中所有其他计算机上，复制过程完成后，域树中的所有域控制器就都可以在登录过程中对用户进行身份验证。3.内置用户账号（Built-in User Account）Windows Server 2003自动创建若干个用户账号， 并且赋予了相应的权限，称为内置账号。内置用户账号不允许被删除。最常用的两个内置账号是Administrator和Guest。 可使用内置Administrator（管理员）账号管理计算机和域配置，通过执行诸如创建和修改用户账号和组、管理安全性策略、 创建打印机、 给用户分配权限和权利等任务来获得对资源的访问。但做为网络管理员，应当为自己创建一个用来执行一般性任务的用户账号，只在需要执行管理性任务时才使用Administrator账号登录。Guest（来客） 账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。该账号默认情况下不允许对域或计算机中的设置和资源做永久性的更改。该账号在系统安装好之后是被屏蔽的，如果需要，可以手动启用。二、创建本地用户账号创建本地用户账号可以在任何一台除了域的域控制器以外的基于Windows Server 2003的计算机上进行。 出于安全性考虑，通常建议只在不是域的组成部分的计算机上创建和使用本地用户账号，即在属于域的计算机上不要设置本地账号。工作组模式是使用本地用户账号的最佳场所。实际案例：创建一个本地用户账号，用户名为wangnan。具体操作如下：（1）打开“控制面板”，双击“管理工具”，在管理工具窗口中双击“计算机管理”图标，打开“计算机管理”对话框，如图3.5.1所示。图3.5.1 “计算机管理”对话框（2）单击“本地用户和组”前面的加号，展开出现“用户”图标，右击“用户”，在弹出的快捷菜单中单击“新用户”，打开“新用户”对话框，在“用户名”编辑框中输入账号的登录名称；在“全名”编辑框中输入用户的全名；在“描述”编辑框中输入账号的简单描述，以方便日后的管理工作；在“密码”和“确认密码”编辑框中输入密码， 如图3.5.2所示。图3.5.2 新用户对话框（3）单击“创建”，在计算机管理窗口中就可以看到新创建的用户账号。三、创建域用户账号在“域”模式下，域控制器（Domain Controller，简写为DC）负责每一台联入网络的电脑和用户的验证工作，作用相当于一个单位的门卫一样。域管理员可以在域控制器上实现对域用户账号和计算机账号以及其他资源的管理。详细说明：域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。若要创建和管理域用户账号，可使用Active Directory用户和计算机控制台，在 Active Directory 目录树中创建用户对象。也可用该工具创建、删除或禁用用户对象，并管理用户对象的属性。域用户账号是在域的DC上被创建， 并会被自动复制到域中的其他DC上。尽管在非 DC的基于Windows Server 2003的计算机上也可以通过管理工具创建用户账号，但实际上这样的操作仅仅是操作本身在非DC上，而实际账号的添加是在DC上完成的， 因为只有在 DC上才维护着AD的账号数据库。实际案例：在 域上创建一个域用户账号， 用户名为zhangwei，具体操作如下：（1）在“管理工具”中选择“Active Directory用户和计算机”，打开“Active Directory用户和计算机”对话框，如图3.5.3所示。图3.5.3 “Active Directory用户和计算机”对话框（2）在对话框的左侧子窗口中单击要建立账号的域， 右击 该域中的Users， 在快捷菜单中选择“新建” “用户”， 打开“新建对象用户”对话框，在该对话框中输入要创建的用户的登录名，登录名是用来在域中活动并访问资源的惟一凭证，也即帐号名，登录名在域中必须惟一。如图3.5.4所示。图3.5.4 “新建对象用户”对话框（3）单击“下一步”在对话框中输入密码，如图3.5.5所示（注意输入的密码是区分大小写的）。选择“用户下次登录时需更改密码”复选框，则用户在下次用这个密码登录之后就需要更改这个密码。图3.5.5 输入密码对话框（4）单击“下一步”按钮，在接着的对话框中单击“完成”结束添加域用户账号的操作。四、设置用户账号属性创建的每一个用户对象都有一套默认属性。创建了用户账号后，可以设置个人属性和账号属性、登录选项和拨号设置。可使用为域用户账号定义的属性在目录中搜索用户，或用于其他应用程序。因此，创建每一个域用户账号时都应当提供详细的定义信息。设置用户对象属性，可通过在“Active Directory用户和计算机”控制台，右击该对象，并从弹出的菜单上选择“属性”，打开用户账号属性对话框。属性对话框中的选项卡包含有关每个用户账号的信息。用户对象的默认属性对话框中每个选项卡的主要内容和作用如表3.5.1 所示。表3.5.1 “用户属性”对话框中各项选项卡的作用 选项卡作用常规（General）记录用户的姓、名、显示名、说明、办公地点、电话号码、电子邮件地址、主页及附加Web页面地址（Address）记录用户的街道地址、邮政信箱、城市、州或省、邮政编码、国家或地区账号（Account）记录用户的账号属性，包括：用户登录名、登录时间、允许登录的计算机、账号选项和账号有效期单位（Organization）记录用户的头衔、部门、公司、管理人和直接报告电话（Telephones）记录用户的家庭电话、传呼、手机、传真、IP电话号码，并包含填写备注的空间配置文件（Profile）设置配置文件路径、登录脚本路径、主文件夹和共享文档文件夹成员属于（Member of）记录用户所属的组拨入（Dial-In）记录用户的拨号属性环境（Environment）记录用户登录系统时运行的应用程序和启用的设备会话（Sessions）设定“终端服务”超时和重新连接设置远程控制（Remote Control）配置“终端服务”遥控设置终端用户配置文件（Terminal Service Profile）配置“终端服务”用户配置文件1.设置个人属性用户对象属性对话框中有4个选项卡包含有关用户账户的个人信息。 这些选项卡是常规、地址、电话和单位。这些选项卡中的属性与用户对象或Active Directory的操作没有直接关系；只提供用户的背景信息。在这些选项卡中输入信息可让您通过使用已掌握的用户信息轻松查找所需域用户账号。2.设置账号属性属性对话框中的账号选项卡包含几个创建用户对象时所配置的属性，如图3.5.6所示。在该选项卡中可以为用户更改登录名。在“账户过期”选项组中可以为该账号设置一个过期时间。默认情况下账户是永久有效的，除非被删除。如果某个临时用户账号希望在某个时间后自动失效，则可以选中“在这之后”单选按钮，然后打开下拉菜单，在日历中选择一个账号的失效日期，当该曲径号使用期超过设定的日期，则使用该账号将不能登录到域中，而不需要管理员手动删除账号。图3.5.6用户对象属性账号选项卡3.设置登录时间在图3.5.6中单击“登录时间”按钮，打开用户登录时段对话框， 在该对话框中可以设置允许或拒绝用户登录到域的时间。蓝色的格子代表允许登录的时间段，默认情况下账号可以在任意的时间内登录到域中。单击要设置的时间格（一个格代表一小时），也可以单击拖动鼠标一次选中多个时间格，然后单击“拒绝登录”前的单选按钮，使这段时间成为拒绝登录的时间段，白色的格子代表拒绝登录，如图3.5.7所示。图3.5.7 用户登录时段对话框4.设置用户可登录的计算机在图3.5.6中单击“登录到”按钮，打开“登录工作站”对话框，如图3.5.8所示。在该对话框中可以设置允许用户登录到域中的计算机。默认情况下用户可以从任何一台域中的计算机上登录到域。单击“下列计算机”前的单选按钮，然后在“计算机名”下的编辑框中输入允许用户登录的计算机名，单击“添加”按钮将计算机加入到计算机列表中。如果要删除某台允许用户登录的计算机，只须在列表中单击选中的计算机并单击“删除”按钮即可。图3.5.8 “登录工作站”对话框五、维护用户账号除修改用户对象的属性外， 还可以根据需要 以其他方式修改用户账号。这些修改包括禁用、启用或删除用户账号。有时也可能需要解除用户账号锁定或重设密码。1.禁用、启用、重命名和删除用户账号禁用和启用用户账号：当一位用户长期不需要使用用户账号，但还会再次使用的情况下，可以禁用该用户账户，等他再次使用时再启用该用户账户。重命名用户账号：当需要保留一位用户账号的所有权利、权限和组的成员身份并修改其名称或将其分配给另一位用户时，可以重命名该用户账号。删除用户账号： 当某个用户账号不打算再用时， 可以删除该用户账号，以消除因Active Directory服务中存在不使用账号而造成的潜在安全危险。在Active Directory控制台上找到需要修改的用户账号，右击该用户账号， 从弹出的菜单中选择与要做的修改类型相应的命令，如图3.5.9所示。图3.5.9 禁用、启用、重命名或删除用户账号2.重设密码和解除用户账号锁定如果一位用户因密码问题或 账户锁定问题不能登录 到域或本地计算机，就需要重设用户密码或解除用户账号锁定。只有拥有对用户账号所在对象管理权限的人才能执行这样的任务。重设密码管理员或用户设置了用户账号密码后，密码对任何人都不可见，包括管理员。这样就防止了包括管理员在内的用户得知其他用户的密码，从而提高安全性。不过，有些情况下管理员需要重设密码。例如，如果用户需要更改他们的密码， 但却在特定时间内无法完成更改， 密码就可能会被配置为过期，该用户将不能再登录。用户也容易忘记密码，特别是在密码由管理员设定或用户被迫经常更改密码的情况下。出现这种情况时，拥有管理员权限的用户就可以重设密码，无需知道当前密码或过期密码。解除用户账号锁定许多网络使用Windows Server 2003组策略强制实施密码限制， 如限制所许可的用户账号失败登录尝试次数。当用户（授权或非授权）输入用户账户错误次数过多，Windows Server 2003 将锁定账号，防止再次进行尝试。可以将策略配置为在规定时间内锁定账号，或永久锁定，直到管理员解除锁定。解除锁定账号时要在“Active Directory用户和计算机”控制台，找到要修改的用户账号。当前被锁定的用户对象上有个红色的X。 右击该用户账号，单击“属性”，再单击“账户”选项卡。清空复选框，再单击确定即可。请注意，账号是因为复选框被选中而锁定的。六、创建用户配置文件用户配置文件定义了用户使用Windows Server 2003的工作环境， 其中包括用户计算机的显示器设定、区域设定、鼠标、声音设置、“开始”菜单及桌面快捷方式等参数，另外还有网络连接和打印机的设置等。用户配置文件实际上不是一个具体的文件，而是由一系列文件和文件夹组成的。在硬盘上Windows Server 2003所在的分区中会有一个“Documents and Settings”文件夹，在该文件夹下面有所有在该计算机上登录过的用户的配置文件。每个用户都会有一个自己的文件夹，文件夹的名字就是用户的登录名，该文件夹包含了用户的各种设置，如图3.5.10所示。从图中可以看到文件夹分别包含了“开始”菜单、桌面、收藏夹、我的文档和网上邻居等设置。图3.5.10 Windows资源管理器1.用户配置文件的类型用户配置文件有3种类型，分别是本地用户配置文件、漫游用户配置文件、强制用户配置文件。本地用户配置文件如果某个用户配置文件仅限于本机使用，则称为本地用户配置文件。当用户第一次在某台计算机登录时，系统就会自动为该用户在这台计算机上建立一个本地用户配置文件。本地用户配置文件会随着计算机的不同而有所不同。也就是说，每个用户在不同的计算机中有不同的本地用户配置文件。一般情况下，如果计算机没有连接到网络上，系统将使用本地用户配置文件。漫游用户配置文件漫游用户配置文件是保存在网络服务器上的用户配置文件。当用户要登录到某台计算机，而这台计算机上没有本地用户配置文件时，管理员从网络服务器上把漫游配置文件拷贝到登录使用的客户机上，并且把漫游配置文件应用于那台计算机。这样，用户总得到他的个人桌面设置和连接。系统管理员可以设置漫游用户配置文件。这样，用户就可以得到一个适于个人实际情况的桌面配置。还可以根据实际情况把漫游用户配置文件设为只读，以防用户随意改动配置文件。用户在一台计算机上第一次登录时，Windows Server 2003 把所有的配置文件拷贝到本地计算机上。当用户再次登录时，Windows Server 2003把本地存储的本地用户配置文件和漫游用户配置文件进行比较，并拷贝自最后一次登录以来改变的那些文件，登录过程相对较短。当注销用户时，Windows Server 2003把用户配置文件的本地版本所作的改变拷贝到原来存储它的服务器上。强制用户配置文件强制用户配置文件也属于漫游用户配置文件，不过它具有只读属性，其内容由系统管理员事先设置，用户无法更改，每次登录时都要使用固定的工作配置。注销用户时系统不保存登录过程中用户所做的任何改变。当用户再次登录时，配置文件仍然和上次登录时一样。2.使用本地配置文件在运行Windows Server 2003 的计算机上使用本地用户配置文件对于普通用户是完全不可见的。操作系统自动为首次登录的每位用户创建用户配置文件。当该用户再次登录时，Windows Server 2003 从正确的配置文件中加载设置。用户只需更改桌面设置就可更改他们的本地用户配置文件，甚至无需知道他们自己在更改设置。 例如， 用户可建立网络连接、更改桌面颜色等。当用户在登录的同时修改了桌面环境时，Windows Server 2003 会在用户下一次注销时将更改合并入存储在计算机上的用户配置文件。因此，用户登录到运行Windows Server 2003的计算机上时， 将始终接收到与他们前一次会话结束时相同的桌面设置。当多个用户共享一台计算机时，每个用户都将维护和接收到一个单独的配置文件。3.使用漫游配置文件应当在经常进行备份的文件服务器上创建漫游用户配置文件，这样就可以拥有用户最新的配置文件副本。若要改进繁忙网络的登录性能，可将用户的漫游配置文件放置在成员服务器上，而不是域控制器上。在服务器和客户机之间复制漫游用户配置会耗用大量系统资源，如网