实训七管理用户和组.doc

实训七管理用户和组一、实训目的1掌握本地帐户与域帐户的管理方法；2掌握设置帐户属性的方法；3掌握用户配置文件的创建方法；4掌握用户组的管理方法；5在活动目录中利用OU管理资源的方法。二、实训环境 Win2003server 1台、直通双绞线4根(每根3米)、WinXP 3台，组网形式如下。三、实训理论基础每个用户都需要有一个帐户，以便登录到域访问网络资源或登录到某台计算机访问该机上的资源，创建和管理用户对象是网络管理员执行的最常见任务。组是用户帐户的集合，管理员通常通过组来对用户的权限进行设置从而简化了管理。1用户账户简介Windows Server 2003提供两种主要类型用户账户：本地用户账户（Local User Account）和域用户账户（Domain User Account）。除此之外，Windows Server 2003系统中还有内置用户账户（Built-in User Account）。2本地用户账户本地用户帐户只能登录到帐户所在的计算机并获得对该资源的访问。当创建本地用户帐户后，Windows Server 2003将在该机的本地安全性数据库中创建该帐户，本地帐户信息存储在本地，不会被复制到其他计算机或域控制器。当创建一个本地用户账户后，计算机使用本地安全性数据库验证本地用户账户，以便让用户登录到该计算机。3创建本地用户账户创建本地用户账户可以在除了域的域控制器以外的任何一台基于Windows Server 2003的计算机上进行。出于安全性考虑，通常建议只在不是域的组成部分的计算机上创建和使用本地用户账户，即在属于域的计算机上不要设置本地账户。工作组模式是使用本地用户账户的最佳场所，如图4域用户账户域用户账户可让用户登录到域并获得对网络上其他地方资源的访问权。域用户账户是在域控制器上建立的，作为Active Directory的一个对象保存在域的Active Directory数据库中。用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账户，该账户将被域的域控制器所验证。 当在一个域控制器上新建一个用户账户后，该用户账户被复制到域中所有其他计算机上，复制过程完成后，域树中的所有域控制器就都可以在登录过程中对用户进行身份验证。5创建域用户账户域用户账户是在域的域控制器上创建的，并会被自动复制到域中的其他域控制器上。若要创建和管理域用户账户，可使用【Active Directory用户和计算机】窗口，在Active Directory目录树中创建用户对象。也可用该工具创建、删除或禁用用户对象，并管理用户对象的属性。6内置用户账户Windows Server 2003在安装时自动创建若干个用户账户，并且赋予了相应的权限，这些账户称为内置用户账户。内置用户账户不允许被删除。最常用的两个内置账户是Administrator和Guest，Guest（来客）账户一般被用于在域中或计算机中没有固定账户的用户临时访问域或计算机时使用的。默认情况下不允许该账户对域或计算机中的设置和资源做永久性的更改。该账户在系统安装好之后是被屏蔽的，如果需要，可以手动启用。 7设置用户账户属性创建的每一个用户对象都有一套默认属性。创建了用户账户后，可以设置个人属性、账户属性、登录选项和拨号设置。可使用为域用户账户定义的属性在目录中搜索用户，或用于其他应用程序。因此，创建每一个域用户账户时都应当提供详细的定义信息。用户的属性对话框中各项选项卡的作用选项卡 作 用 常规记录用户的姓、名、显示名、说明、办公地点、电话号码、电子邮件地址、主页及附加Web页面 地址记录用户的街道地址、邮政信箱、城市、州或省、邮政编码、国家或地区 账户记录用户的账户属性，包括：用户登录名、登录时间、允许登录的计算机、账户选项和账户有效期 单位记录用户的头衔、部门、公司、管理人和直接报告 电话记录用户的家庭电话、传呼、手机、传真、IP电话号码，并包含填写备注的空间 配置文件设置配置文件路径、登录脚本路径、主文件夹和共享文档文件夹 隶属于记录用户所属的组 拨入记录用户的拨号属性 环境记录用户登录系统时运行的应用程序和启用的设备 会话设定【终端服务】超时和重新连接设置 远程控制配置【终端服务】遥控设置 终端服务配置文件配置【终端服务】用户配置文件 7创建用户配置文件用户配置文件定义了用户使用Windows Server 2003的工作环境，其中包括用户计算机的显示器设定、区域设定、鼠标、声音设置、【开始】菜单及桌面快捷方式等参数，另外，还有网络连接和打印机的设置等。用户配置文件实际上不是一个具体的文件，而是由一系列文件和文件夹组成的。在硬盘上Windows Server 2003所在的分区上会有一个Documents and Settings文件夹，在该文件夹下面有所有在该计算机上登录过的用户的配置文件。每个用户都会有一个自己的文件夹，文件夹的名字就是用户的登录名，该文件夹包含了用户的各种设置。用户配置文件的类型分三类:本地用户配置文件、漫游用户配置文件和强制用户配置文件。（1）本地用户配置文件如果某个用户配置文件仅限于本机使用，则称为本地用户配置文件。（2）漫游用户配置文件漫游用户配置文件是保存在网络服务器上的用户配置文件。当用户要登录到某台计算机，而这台计算机上没有本地用户配置文件时，管理员从网络服务器上把漫游配置文件复制到登录使用的客户机上，并且把漫游配置文件应用于那台计算机。这样，用户总得到他的个人桌面设置和连接。（3）强制用户配置文件强制用户配置文件也属于漫游用户配置文件，不过它具有只读属性，其内容由系统管理员事先设置，用户无法更改，每次登录时都要使用固定的工作配置。用户注销时系统不保存登录过程中用户所做的任何改变。当用户再次登录时，配置文件仍然和上次登录时一样。为了将漫游用户配置文件改成强制性的，只须在保存漫游用户配置文件的共享文件夹下将ntuser.dat文件更名为ntuser.man即可。8创建并管理组组是用户或计算机账户的集合。通过使用组可以将权限分配给一组用户而不是单个用户账户。当将权限分配给组时，组的所有成员都将继承那些权限，这样可以简化网络管理。 除了用户账户外，还可以将其他组、联系人和计算机添加到组中。将组添加到其他组可以创建合并组并减少需要分配权限的次数。也可将计算机添加到组中，简化从一台计算机上访问另外一台计算机上资源的系统任务。 与用户帐户一样，按照在Windows Server 2003中组的使用可以分为本地组和域组。本地组有两种类型：本地组（Local Groups）和内置组（Built-in Groups）。（1）本地组 本地组可以在任何一台基于Windows Server 2003的非域控制器计算机上创建，通过将用户加入到相应的本地组赋予相应的权限，就可以控制用户对本地计算机上资源的访问。本地账户信息是放置在创建该组的计算机内的数据库中，因此，其作用范围只限于在创建该本地组的计算机上。（2）内置组 在安装运行Windows Server 2003的客户机或成员服务器时，会自动创建内置组。内置组具有一些特定的事先赋予的权力，用以完成某些特定的系统任务。内置组不能被删除，其作用范围也仅限于其存在的计算机上。域模式组类型 域模式中的组又称为域组，存储在域的Active Directory中，在Active Directory中根据组的作用进行分类，可分为两类：通信组和安全组。可以使用通信组创建电子邮件通信组列表，使用安全组给共享资源指派权限。域模式中组的作用域域模式中的组可以分为3类：全局组、本地域组和通用组。全局组的作用范围是整个域树，本地域组的作用范围只是在创建此本地域组的本域内，因此只能在域内指派权限，通用组可在该域树或域森林中的任何域中指派权限。四、实训内容1、创建管理本地用户和组 2、创建管理域用户和组五、实训步骤 【案例1】创建一个本地用户账户，用户名为liuyang。具体操作步骤如下：（1）打开【控制面板】，双击【管理工具】，在【管理工具】窗口中双击【计算机管理】图标。打开【计算机管理】窗口，如图4-1所示。（2）单击【本地用户和组】前面的加号，展开出现【用户】图标，右击【用户】，在弹出的快捷菜单中单击【新用户】，打开【新用户】对话框，在【用户名】框中输入liuyang；在【全名】框中输入刘阳；在【描述】框中输入账户的简单描述，如“信息学院 网络教研室教师”以方便日后的管理工作；在【密码】和【确认密码】框中输入密码，如图8-2所示。 图8-1 计算机管理窗口 图8-2 创建新用户对话窗口（3）单击【创建】按钮，在【计算机管理】窗口中就可以看到新创建的用户账户。【案例2】在域上创建一个域用户账户，用户名为wangfm。具体操作步骤如下：（1）在【开始】|【程序】|【管理工具】菜单中选择【Active Directory用户和计算机】，打开【Active Directory用户和计算机】窗口，如图4-3所示。（2）在窗口的左侧窗格中展开要建立账户的域，右击该域中的Users图标，在快捷菜单中选择【新建】|【用户】，打开【新建对象用户】对话框，在该对话框中输入要创建的用户的信息，其中用户登录名是用来在域中活动并访问资源的唯一凭证，即账户名，用户登录名在域中必须唯一，如图4-4所示。 图8-3 Active Directory用户和计算机管理窗口 图8-4 创建域用户对话窗口（3）单击【下一步】按钮，在对话框中输入密码，如图8-5所示（密码是区分大小写的，并且要满足域安全策略中对账户密码的要求）。选择【用户下次登录时须更改密码】复选框，则用户在使用这个密码登录时需要立即更新密码。图8-5 创建用户密码对话窗口（4）单击【下一步】按钮，在接着的对话框中单击【完成】按钮，结束添加域用户账户的操作。4设置用户的属性表4-1 域用户的属性对话框中各项选项卡的作用选项卡作 用常规（General）记录用户的姓、名、显示名、说明、办公地点、电话号码、电子邮件地址、主页及附加Web页面地址（Address）记录用户的街道地址、邮政信箱、城市、州或省、邮政编码、国家或地区账户（Account）记录用户的账户属性，包括：用户登录名、登录时间、允许登录的计算机、账户选项和账户有效期单位（Organization）记录用户的头衔、部门、公司、管理人和直接报告电话（Telephones）记录用户的家庭电话、传呼、手机、传真、IP电话号码，并包含填写备注的空间配置文件（Profile）设置配置文件路径、登录脚本路径、主文件夹和共享文档文件夹隶属于（Member of）记录用户所属的组拨入（DialdIn）记录用户的拨号属性环境（Environment）记录用户登录系统时运行的应用程序和启用的设备会话（Sessions）设置【终端服务】超时和重新连接设置远程控制（Remote Control）配置【终端服务】遥控设置终端服务配置文件（Terminal Service Profile）配置【终端服务】用户配置文件图8-6 用户账户属性设置窗口步骤3：创建用户配置文件。（1）本地用户配置文件如果某个用户配置文件仅限于本机使用，则称为本地用户配置文件。当用户第一次在某台计算机登录时，系统就会自动为该用户在这台计算机上建立一个本地用户配置文件。这个本地用户配置文件被储存在计算机的本地硬盘驱动器上。任何对本地用户配置文件所作的更改都只对发生改变的此计算机产生作用。一般情况下，如果计算机没有连接到网络上，系统将使用本地用户配置文件。用户只需更改自己的用户环境就可以更改他们的本地用户配置文件。例如，用户可建立网络连接、更改桌面颜色等。当用户在登录的同时修改了桌面环境时，Windows Server 2003会在用户下一次注销时将按此更改保存在此计算机上的用户配置文件中。因此，当用户再次在此计算机上登录时，将看到与他们前一次会话结束时相同的桌面设置。当多个用户共享一台计算机时，将为每个用户维护一个单独的配置文件。一般，无论是本地用户还是域用户，他们的用户配置文件总是默认自动地创建并保存在本地机上，即默认创建的是本地配置文件。例如：我们在域中的qtcclient计算机上用本地用户liuyang和域中的域用户wangfm分别登录到此计算机和域中，然后右击【我的电脑】，选择【属性】，弹出【系统属性】窗口，选择【高级】选项卡，如图8-11所示，单击【用户配置文件】中的【设置】按钮，弹出【用户配置文件】窗口，如图8-12所示，可以看到“类型”里，全部是“本地”，这就说明两个用户配置文件都保存在本地。 图8-11 系统属性窗口 图8-12 用户配置文件状态显示窗口但是，在域的环境下本地配置文件存在着一些问题：域用户的优势是可以在任意一台域内的计算机上登录域，但当你在此域用户登录的计算机上修改它的用户配置文件后，你会发现该用户登录到另一台计算机上时，所有的设置还是原来的，并没有发生修改，这就是因为用户的配置文件是保存在本地的。如果我们想让用户的配置文件随着账户走，也就是不管用户在哪台计算机上登录都能保持用户配置文件一致，那么就要用到漫游用户配置文件。（2）漫游用户配置文件漫游用户配置文件是保存在网络服务器上的用户配置文件。当用户要登录到某台计算机，而这台计算机上没有本地用户配置文件时，管理员从网络服务器上把漫游配置文件复制到登录使用的客户机上，并且把漫游配置文件应用于那台计算机。这样，用户总能得到他的个人桌面设置和连接。用户在一台计算机上第一次登录时，Windows Server 2003把所有的配置文件复制到本地计算机上。当用户再次登录时，Windows Server 2003把本地存储的本地用户配置文件和漫游用户配置文件进行比较，并复制自最后一次登录以来改变的那些文件，登录过程相对较短。当用户注销时，Windows Server 2003把用户配置文件的本地版本所做的改变复制到原来存储它的服务器上。漫游用户配置文件要求这台计算机是域的一个成员。系统管理员可以设置漫游用户配置文件。这样，用户就可以得到一个适用于个人实际情况的桌面配置。系统管理员还可以根据实际情况把漫游用户配置文件设为只读，以防用户随意改动此配置文件。（3）强制用户配置文件强制用户配置文件也属于漫游用户配置文件，不过它具有只读属性，其内容由系统管理员事先设置，用户无法更改，每次登录时都要使用固定的工作配置。用户注销时系统不保存登录过程中用户所做的任何改变。当用户再次登录时，配置文件仍然和上次登录时一样。【案例3】为域用户wangfm创建一个漫游用户配置文件，使该用户在域中的任何一台计算机登录时，都可以使用相同的工作环境。具体操作步骤如下：（1）在需要存储配置文件的服务器上，创建一个文件夹并共享它，给用户提供他们所需的读写权限。此例在计算机名为qtcServer的服务器上创建一个共享文件夹share，如图4-13所示。设置此文件夹的权限，Everyone是完全控制，如图8-14所示。 图8-13 创建共享文件夹 图8-14 设置文件夹操作权限（2）打开【Active Directory用户和计算机】窗口，找到wangfm用户对象，右击，从弹出的菜单上选择【属性】打开其属性对话框，单击【配置文件】选项卡，在【配置文件路径】框中输入配置文件放置的路径（格式：Server_nameShared_folder_name%User_name%，其中，%User_name%为一个用户登录名变量），系统会按照用户的登录名自动在指定路径下创建该文件夹。此例中输入qtcServersharewangfm，然后保存此设置即可，如图8-15所示。 图8-15 用户配置文件路径输入窗口 图8-16 用户配置文件状态显示窗口（3）当该用户在网络中登录的时候，系统会自动在服务器（qtcServer）的共享文件夹（share）中保存相应的漫游用户配置文件，并且以后用户对工作环境所做的一切修改都将被保存到该文件夹中。（4）再次使用wangfm用户登录后，重新打开图8-12所示的【用户配置文件】窗口，可以看到wangfm这个用户的“类型”变为了“漫游”，如图8-16所示。步骤4：组的创建和管理【案例4】创建一个本地用户组，组名为GPS，并将happy和liuyang这两个本地用户账户添加到该组中。具体操作步骤如下：（1）用本地计算机的Administrators组或Account Operators组的成员身份登录。（2）执行【开始】|【程序】|【管理工具】|【计算机管理】，打开【计算机管理】窗口。（3）单击左侧子窗口中的【本地用户和组】，展开【用户】和【组】的图标。单击【组】，会在右侧