网管员必读-网络管理(第2版)第二章.ppt

第2章 用户和组管理,本章和下章将以Windows Server 2003 R2版本为例，全面介绍其中的域用户和组账户的以上各种主要管理任务的具体管理方法。本章介绍的是一些基本的用户和组账户管理，下一章将介绍用户配置文件的配置与管理。 本章重点 Windows Server 2003系统默认的本地和域用户、组账户类型 默认本地和域用户、组账户权限 域用户和组账户的基本管理 域用户账户的批量添加,2.1 Windows Server 2003本地用户和组,2.1.1 本地用户和组账户,“本地用户和组”位于“计算机管理”工具（在【控制面板】的【管理工具】下）中，如下图所示。这是自Windows 2000系统后开发的用户、计算机和组账户管理工具，可以利用这一组管理工具来管理单个本地或远程计算机；也可以使用“本地用户和组”保护并管理存储在本地计算机上的用户账户和组；还可以在特定计算机或本地计算机上指派本地用户或组账户的权限和权利。,1本地用户和组账户概述 下列客户端和服务器操作系统上可以使用“本地用户和组”： 运行Windows 2000/XP Professional系统的客户端计算机。 运行Windows 2000 Server/Server 2003家族系统的成员服务器。 运行Windows 2000 Server/ Server 2003家族系统产品的独立服务器。 2默认本地用户账户 在安装运行Windows Server 2003的独立服务器或成员服务器时，会自动创建上面图中所示的默认用户账户。Windows Server 2003服务器上的所有默认的本地用户账户如书中表2-1所示。 2默认本地用户账户 在安装运行Windows Server 2003的独立服务器或成员服务器时，会自动创建这些默认用户账户。Windows Server 2003服务器上的所有默认的本地用户账户如表2-1所示。 3默认本地组账户 Windows Server 2003系统中默认本地组的描述及为每个组指派的用户权利如书中表2-2所示。,2.1.2 本地组的默认安全设置,在Windows Server 2003系统中，本地组主要包括了Administrators、Power Users和Users这三种基本的安全级别，新建用户基本上都是通过这三个组中的成员身份分配到最终权利和权限的。当然除此之外，还包括Anonymous和其他组。 1Administrators（系统管理员组） Administrators组可以执行计算机的维护任务。分配给该组的默认权限允许对整个本地计算机系统进行完全控制，所以只有受信任的人员才可成为该组的成员。可以这么理解，这个组的成员的权限是不受限制的。 2Power Users（超级用户组） Power Users组的成员拥有的权限比Users组的成员所拥有的要多，但比Administrators组的成员所拥有的要少。,Power Users可以执行除了为Administrators组保留的任务外（如把用户或组添加到Administrators组中，查看和编辑组策略，查看和修改安全策略等那些将影响整个计算机系统环境和安全的任务）的其他任何操作系统任务。分配给Power Users组的默认权限允许Power Users组的成员修改整个计算机的设置。 3Users（普通用户组） Users组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料 4Anonymous（匿名登录）组 对Windows XP Professional和Windows Server 2003家族而言，Anonymous组不再是Everyone组的成员，所以要允许匿名用户具有某项权限，就必须手动添加，明确分配。 5其他组 除了以上介绍的默认本地组之外，还有一些默认组是不常用的，而且有些也只是在特定的应用和环境下才出现的，它们包括： 交互（Interactive）组 网络（Network）组 终端服务器用户（Terminal Server User）组 Backup Operators组 本节具体内容参见书中介绍。,2.2 域用户和组,2.2.1 Active Directory命名 可以按DomainNameUserName格式使用Windows 2000以前版本的域名从运行Windows 2000以前版本的操作系统的计算机上登录到Windows Server 2003域。也可以使用同样的格式从运行Windows 2000和Windows XP的计算机或运行Windows Server 2003的服务器登录到Windows Server 2003域。用户还可以使用与其用户账户相关的用户主体名称（UPN）登录到运行Windows 2000和Windows XP的计算机或运行Windows Server 2003的服务器。 用户主体名称（UPN）用来标识用户账户所在域的用户账户名称（有时指用户登录名称）和域名。这是登录到Windows域的标准用法。 格式如下：用户账户名域名。 1用户账户,在Active Directory中，每个用户账户都有一个用户登录名、一个Windows 2000以前版本的用户登录名（安全账户管理器SAM的账户名）和一个UPN后缀。在创建用户账户时，管理员输入用户登录名，并选择UPN后缀。Active Directory建议Windows 2000以前版本的用户登录名使用此用户登录名的前20个字节。管理员可以随时更改Windows 2000以前版本的登录名，也就是说这个登录名可以与Active Directory中的用户登录名不一样。 2计算机账户 在Active Directory中创建的每个计算机账户都有一个相对可分辨名称、一个Windows 2000以前版本计算机名（安全账户管理器的账户名）、一个主DNS后缀、一个DNS主机名和一个服务主体名称（SPN）。 Active Directory建议Windows 2000以前版本的名称使用相对可分辨名称的前15个字节。管理员可以随时更改Windows 2000以前版本的名称，也就是说这个计算机名可以与Active Directory中的可分辨名称不一样。 以上具体内容参见书中介绍。,2.2.2 域默认用户账户类型,域用户和组不是在“计算机管理”工具中，而是位于“Active Directory用户和计算机”管理工具。 1基本默认账户 基本的默认的域用户账户中，Administrator、Guest和Help Assistant三个用户账户是系统安装并在创建域时自动创建的，其他用户账户是在安装一些服务器服务和应用程序后自动创建的。每个默认账户均有不同的权利和权限组合。Administrator账户具有最广泛的权利和权限，而Guest账户的权利和权限则有限。Windows Server 2003系统的域控制器上的主要默认用户账户的描述如书中表2-3所示。 2域账户选项 每个Active Directory用户账户有许多账户属性选项。这些选项能够确定如何在网上对持有特殊用户账户进行登录的人员实施身份验证。具体参见书中表2-4所示。 以上具体内容参见书中介绍。,2.2.3 域组账户,1域组的分类 组可用于将用户账户、计算机账户和其他组账户收集到可管理的单元中，使用组而不是单独的用户，可简化网络的维护和管理。在Windows Server 2003系统的域中有两种类型的组：通信组和安全组。 2默认域组 在配置域控制器后，系统也会自动生成一些默认组，这些不同的默认组对应的权限不一样，是为特定的应用而自动创建的。可以使用这些预定义的组控制对共享资源的访问，并委派特定的域范围的管理角色。可以通过使用“Active Directory用户和计算机”管理工具来管理组。默认组位于“Builtin”容器和“Users”容器中。“Builtin”容器包含用本地域作用域定义的组，“Users”容器包含通过全局作用域定义的组和通过本地域作用域定义的组。可将这些容器中的组移动到域中的其他组或组织单位，但不能将它们移动到其他域。 “Builtin”容器和“Users”容器中的默认组定义及权限分配分别参见书中表2-5和表2-6。 具体内容参见书中介绍。,2.2.4 组作用域,组（不论是“安全组”还是“通信组”）都有一个作用域，用来确定在域树或林中该组的应用范围。 1组作用域类型 有3类不同的组作用域：通用、全局和本地域。 2组作用域之间的关系和行为 全局组和本地域组的关系，非常类似于域用户账号和本地账号的关系。域用户账号，可以全局使用，即在本域和其他有信任关系的域中都可以使用，而本地账号只能在本地机上使用。全局组可以在本域和其他有信任关系的域中使用，而本地域组只能在本域中使用。本地域组的成员可以来自域树或林中的所有域，但其作用域只能是当前域；全局组的成员只能来自当前域，而作用域可以是域树或森中所有的域。本地域组的权利是自身的，全局组的权利是来自其隶属于的本地域组的。不同组作用域的具体行为参见书中表2-7。,3使用组作用域的情形 1）何时使用具有本地域作用域的组 具有本地域作用域的组将帮助用户定义和管理对单个域内资源的访问。这些组可将以下组或账户作为它的成员：具有全局作用域的组，具有通用做用域的组，账户，具有本地域作用域的其他组，以及上述任何组或账户的混合体。 2）何时使用具有全局作用域的组 使用具有全局作用域的组管理那些需要每天维护的目录对象，如用户和计算机账户。 3）何时使用具有通用做用域的组 使用具有通用做用域的组来合并跨越不同域的组。可以将账户添加到具有全局作用域的组并且将这些组嵌套在具有通用做用域的组内。 4更改组作用域 创建新组时，在默认情况下，新组配置为具有全局作用域的安全组，而与当前域功能级别无关。在域功能级别设置为Windows 2000混合域中不允许更改组作用域，但在其域功能级别设置为Windows 2000本地或Windows Server 2003的域中，允许进行下列转换：全局到通用转换，本地域到通用转换，通用到全局转换，通用到本地域转换。 以上具体内容参见书中介绍。,2.3 “ADUC”容器和OU,2.3.1 “ADUC”管理单元基本结构 如果刚创建了域控制器，则默认显示的容器为如下几个：Builtin、Computers、Domain Controllers、Users。如果在如图2-10所示控制台中执行【查看】【高级功能】菜单命令，下面几个高级用途的容器将显示在控制台中：LostAndFound、Program Data、NTDS Quotas、System。 各容器的具体用途参见书中介绍。,2.3.2 组织单位（OU）,“组织单位”（OU）是“域”结构下的次一级结构（域也是一种组织单位），是更小一级的管理单元。它与“域”有着许多相似之处，不仅可以包括可以自己管理的用户、组、计算机，还可以包含组策略，以及更下一级的组织单位。但用户帐户策略的配置只能在域级别组策略中配置，不能在OU组策略中配置。,新建组织单位的方法是在“Active Directory用户和计算机”（ADUC）管理单元控制台的域上单击鼠标右键，在打开菜单中选择【新建】下面的【组织单位】命令，在打开的对话框中配置OU名称即可，如右图所示。 具体内容参见书中介绍。,2.4 域用户的管理,2.4.1 新建域用户账户 用户账户有“Windows界面方式”和“命令行方式”两种。 1Windows界面方式 用户账户Windows界面创建方式首先是在ADUC管理单元控制台（如下左图所示）。然后在要添加账户的容器上单击右键，在打开菜单中选择【新建】下的【用户】命令，再在打开如下右图所示对话框向导中依次进行即可。,2命令行方式 使用如下命令可以创建用户账户：dsadd user UserDN -samid SAMName -pwd Password|* 以上具体示例内容参见书中介绍。,2.4.2 重设用户密码,重置用户账户密码的方法很简单，只需选择相应用户账户，然后单击鼠标右键，在打开菜单中选择【重设密码】命令，在打开的如下图所示的对话框中输入新密码，然后单击【确定】按钮即可。 重设用户密码的管理任务也可在命令行状态下通过输入如下命令语句进行：dsmod user UserDN -pwd NewPassword 以上具体示例内容参见书中介绍。,2.4.3 复制用户账户,复制用户账户的方法很简单，只需在ADUC管理工具控制台中选择要复制的用户账户，单击鼠标右键，在打开菜单中选择【复制】命令，打开如下左图所示对话框。在其中输入新用户帐户即可。还可修改将哪些默认属性传递给新复制的用户，或者指定将复制给新用户的附加属性。配置对话框如下右图所示。,以具体方法和示例内容参见书中介绍。,2.4.4 利用Ldifde.exe批量添加用户账号,Windows 2000/Server 2003系统中提供了一个名为LDIFDE的实用程序来进行域账户指添加的。其命令格式如下： ldifde -i -f FileName -s ServerName -c String1 String2 -v -j Path -t PortNumber -d BaseDN -r LDAPFilter -p Scope -l LDAPAttributeList -o LDAPAttributeList -g -m -n -k -a UserDistinguishedName Password -b UserName Domain Password -? 用户账户的具体添加方法和示例内容参见书中介绍。,2.4.5 利用CSVDE命令批量添加域用户账户,Csvde.exe与前面介绍的Ldifde类似，也是一个Windows 2000以后版本系统的命令行实用工具，位于 SystemRootSystem32文件夹中。Csvde.exe与本节前面介绍的Ldifde.exe命令工具不同的地方就是导入文件的输入格式不同，它以逗号分隔值（CSV）格式提取信息，但文件保存的格式既可以是txt文本格式，也可以是csv表格格式。可以使用Csvde导入和导出使用逗号分隔值格式的Active Directory数据。 Csvde.exe的语法格式如下： csvde -i -f FileName -s ServerName -c String1 String2 -v -j Path -t PortNumber -d BaseDN -r LDAPFilter -p Scope -l LDAPAttributeList -o LDAPAttributeList -g -m -n -k -a UserDistinguishedName Password -b UserName Domain Password 用户账户的具体添加方法和示例内容参见书中介绍。,2.4.6 利用脚本批量添加域用户账户,上面两节介绍的两种方法是比较常用的批量用户账户添加方法，但是不够灵活（不可以设置密码），而且在添加用户数量多时，输入的工作量也比较大。 WSH的全称是Windows Script Host，是一种支持ActiveX的独立脚本语言。WSH脚本程序本来是为了替代DOS时代的批处理文件而产生的，后来由于WSH的应用很广泛，已经不只是局限于批处理的替代品了。 用WSH脚本批量添加用户账户的一个最大的好处就是代码输入工作量小，几行就完成了，而且还可以配置用户密码。但难度较大，而且用户名只能是有规律的，不可能针对每个用户具体指定用户名。 用WSH脚本不仅可以批量添加域账户，还可以添加有具体用户账户名的单个用户账户。 具体的用户账户添加方法和示例参见书中介绍。,2.4.7 移动用户账户,在Windows Server 2003系统中移动用户很简单，也有“Windows界面”和“命令行”两种方式。,1Windows界面方式 在ADUC管理单元控制台的相应选项中选择要移动的用户。单击鼠标右键，在打开菜单中选择【移动】命令，打开如下左图所示的对话框。在对话框中选择用户要移动的目的位置，然后单击【确定】按钮即可完成用户的移动操作。,2命令行方式 移动用户账户的命令行语句如下： dsmov UserDN -newparent ParentDN -pwd Password|* 以上具体方法与示例内容参见书中介绍。,2.4.8 删除用户账户,删除的方法也有“Windows界面”方式和“命令行”方式两种。 1Windows界面方式 删除用户的方法很简单，只需在ADUC管理单元控制台相应容器中选择要删除的用户账户，单击鼠标右键，在打开菜单中选择【删除】命令，然后在提示对话框中单击“确认”按钮进行再次确认即可。 2命令行方式 删除用户账户的命令行方式是在命令行状态下（进入命令行状态的方法参见前面介绍）输入“dsrm ObjectDN”命令语句。其中ObjectDN参数是用来指定要删除的用户对象的可分辨名称。,2.5 用户账户属性配置,2.5.1 基本选项配置 用户账户的基本选项配置是在如图2-35所示“账户”选项卡进行的。在该对话框中的“账户选项”列表和下面的“账户过期”栏中列出了许多基本的账户配置选项，选项的说明参见书中表2-4。,如果要同时修改多个配置一样的用户账户选项，则在ADUC控制台相应容器中按住【Ctrl】（非连续选择）或【Shift】（连续选择）按键，然后单击选择每个要配置的用户，再在选定的用户上单击鼠标右键，在弹出菜单中选择【属性】命令。在打开的对话框中同样选择“账户”选项卡进行配置即可。 具体内容参见中介绍。,2.5.2 设置登录时间,用户登录时间设置是企业网络安全管理的必要措施。在企业网络中，对员工的账户的使用通常是有时间限制的，规定在什么时间中可以登录到网络，什么时间又不允许。,设置用户账户登录时间的具体方法是在ADUC管理单元控制台中选择要设置登录时间的用户账户，然后单击鼠标右键，在打开菜单中选择【属性】命令，在打开的对话框中选择“账户”选项卡（参见上页图示）。,单击【登录时间】按钮，打开如右图所示的对话框。设置时如果是连续时段，可以用鼠标拖动一个时段，然后再一次性选择“允许登录”或“拒绝登录”单选按钮即可。当然如果是分散的单个时间点，则只能一个个设置了。 具体设置方法和示例内容参见书中介绍。,2.5.3 限制用户登录的主机,在企业网络中经常需要限制一些用户登录（可以是本地登录，也可以是网络访问方式登录）到一些特定主机，如财务部、人事部、各部门经理用主机。这时就可以通过用户账户属性中的“登录到”选项来配置。,设置方法是在“账户”选项卡中单击【登录到】按钮，打开如右图所示的对话框。默认是可以登录到网络中的所有计算机。如果要限制只能访问特定的计算机，则要选择“下列计算机”单选按钮，然后在下面的“计算机名”文本框中输入允许登录的计算机名，单击【添加】按钮添加可以登录访问的计算机列表中。 具体设置方法和示例内容参见书中介绍。,2.5.4 禁用或启用用户账户,禁用或启用用户账户也 有“Windows界面”和“命令行”两种方式。 1Windows界面方式 在ADUC管理单元控制台中选择要禁用或启用的用户账户，然后单击鼠标右键，在打开菜单中根据实际需要的管理任务进行选择，如果要禁用某账户，则选择【禁用账户】命令（注意如果用户以前不是处于启用状态的，则没有此选项；如果要启用原来已禁用的用户账户，则选择【启用账户】命令（注意如果用户以前不是处于禁用状态的，则没有此选项。 2命令行方式 命令行方式是在命令行状态下输入以下命令语句： dsmod user UserDN -disabled yes|no 具体设置方法和示例内容参见书中介绍。,2.5.5 配置用户的所属组,在ADUC管理单元控制台中选择要设置登录时间的用户账户，然后单击鼠标右键，在打开菜单中选择【属性】命令，在打开的对话框中选择“隶属于”选项卡（对话框如下面左图所示）。然后单击【添加】按钮，打开如下面右图所示对话框，在其中进行输入要隶属的组名称即可。 具体设置方法和示例内容参见书中介绍。,2.5.6 其他属性配置（略）,2.6 域组管理,2.6.1 新建组 新建组的工作也有“Windows界面”和“命令行”两种方式。 1Windows界面方式 在ADUC管理单元控制台要添加新组的容器上单击鼠标右键，在弹出菜单中选择【新建】【组】命令，打开如右图所示对话框。其中输入新建组的名称等信息即可。,2命令行方式 新建组的命令行格式如下： dsadd group GroupDN -samid SAMName -secgrp yes | no -scope l | g | u 具体设置方法和示例内容参见书中介绍。,2.6.2 将成员添加到组,将成员添加到组也有“Windows界面”和“命令行”两种方式。 1Windows界面方式 在ADUC管理单元控制台树中，单击选择要添加成员的组所在容器，然后选择要添加成员的组，单击鼠标右键，选择【属性】命令，在打开的对话框中单击选择“成员”选项卡（如下面左图所示）。再单击【添加】按钮，打开如下面右图所示的对话框。在“输入对象名称来选择”列表框中输入要添加的成员，单击【确定】按钮即可。