新增网域使用者帐户.docx

第 4 章 建立及管理使用者帳戶安裝完Windows Server 2003之後，接下來就可以把您的伺服器開放給其他人使用。要登入系統，每一個使用者都必須要有能被系統所辨認的使用者帳戶，然後才能使用該伺服器的資源，或是存取網域上的資源；建立了使用者帳戶後，可以再利用 群組 來管理使用者的帳戶，使得網域資源權限的管理更加容易、靈活。4-1 新增使用者4-1-1 認識使用者帳戶4-1-2 新增本機使用者帳戶在Windows Server2003、Windows2000或NT的獨立伺服器（或成員伺服器）、以及Windows XP、Windows2000 Pro、NT工作站等電腦，都有本機使用者帳戶，這些帳戶是儲存在上述電腦的 本機安全帳戶資料庫 中，不受 網域控制站 管理，因此些帳戶也只能在本機電腦登入，而無法登入網域中，除非網域中也存在相同的使用者帳戶。說明：再次強調，本機使用者帳戶 只能登入此帳戶所在的電腦，無法登入網域中；也無法使用網路上的資源，僅能存取該電腦中的資源，同時 網域控制站 的AD資料庫中也不會建立該帳戶，更不能管理該帳戶；因此建議您只在未加入網域的電腦中建立 本機使用者帳戶。4-2 本機使用者的密碼管理建立完後，您可以試著以此帳戶登入本機。由於設定了必須在下次登入時變更密碼，因此第一次登入時就會出現要求變更的訊息。1. 1按下 確定 鈕後，必須先輸入舊密碼，然後再輸入新密碼並確認。最後顯示已變更的訊息。2. 如果使用者隨時想變更密碼，可以在登入後，按下Ctrl+Alt+Del鍵，當出現Windows安全性畫面時，按下 變更密碼 鈕來修改。3. 密碼的輸入是有區分大小寫的，使用者必須牢記自己帳戶的密碼，才能順利登入。若不幸忘了，在Windows Server 2003中還有一個補救之道，那就是平時先製作好 密碼重設磁片，以備不時之需。要注意！這個方法只限用在本機使用者帳！製作的方式如下：4. 以使用者帳戶（例如：hank）登入，然後按Ctrl+Alt+Del鍵，再按 變更密碼 鈕。5. 接著按下 備份 鈕。6. 進入密碼遺失精靈的畫面，其中並請您注意：不論您想變更密碼幾次，這張磁片只需要建立一次，按 下一步 鈕。7. 依指示將空白磁片放入磁碟機中，按 下一步 鈕。8. 輸入目前使用者的帳戶密碼，按 下一步 鈕。9. 開始建立密碼重設磁片，出現完成100%畫面，按 下一步 鈕。10. 按 完成 鈕。l 找系統管理員求救如果使用者忘了密碼，也沒製作密碼重設磁片，只好向系統管理員發出SOS訊號了！此時系統管理員可以進入 電腦管理 主控台中，在使用者帳戶上按右鍵選擇 設定密碼 指令，來變更使用者的密碼。不過這種方式是非不得已下的方法，因為為了安全性的考量，一旦以這種方式變更密碼後，使用者將無法再存取有些資料，例如經由使用者加密過的檔案。4-2-1 新增網域使用者帳戶在Windows Server 2003的網域系統中，每一個使用者都必須要能被系統所辨認，以便存取網路上的資源，因此建立每一位使用者的帳戶是最基本的步驟。您可以在網域中的任一台 網域控制站 建立帳戶，這個帳戶會被自動的複製到網域內的所有 網域控制站中。在新增使用者帳戶時，必須指定一個 組織單位（OU）或 容器（Container），才能將使用者新增到其中，例如：Users，或是您自行新增的OU。以下我們就利用 Active Directory使用者及電腦 來新增網域使用者的帳戶。1. 先啟動Active Directory使用者及電腦，點選網域名稱按右鍵，選擇 新增/組織單位。2.鍵入組織單位的名稱，例如顧問，按 確定 鈕。2. 接著點選 顧問 OU，再點選 執行/新增/使用者 指令。3. 在圖4-31中鍵入使用者名稱，以及使用者登入名稱，然後點選 鈕。此名稱必須是唯一的，此名稱供使用者在Windows 2000之前版本的電腦登入時使用4. 出現圖4-32，輸入適當的密碼及確認密碼，畫面中的核對方塊與建立本機使用者帳戶相同，於此不重述。說明：新增網域使用者帳戶時，密碼的設定比在本機時更為嚴格，必須符合安全性、和複雜性原則，長度至少大於6個字元，而且要包含英數、或大小寫，如果不夠嚴謹是無法完成新增程序的。5. 點選 鈕，再點選 鈕，即可完成新增的工作。說明：新增的網域使用者帳戶，預設的情況下是無法在 網域控制站 登入的，必須以 群組原則 將其開放為可以在本機登入，詳細的作法請參考第十章。4-2-2 使用者帳戶的相關設定完成新的網域使用者帳戶後，您可以查看其內容，並做進一步的設定。通常這些內容建立的愈完整，將來在AD中尋找使用者時就愈有效率。圖4-36是在 Active Directory使用者及電腦 中按右鍵查看新增的使用者內容之結果，其中有十多個標籤，本節將挑其中較重要的加以說明。 成員隸屬標籤這個標籤中可以設定該使用者要隸屬於哪些群組。點選 鈕，即可選擇要加入那些群組。 設定檔標籤鍵入使用者設定檔的預設路徑，並視需要在主資料夾中鍵入使用者可以存取的資料夾。此資料夾是做為所有未定義工作目錄的應用程式的預設資料夾，它可以放在本機中，也可以是一個共用的網路資料夾。說明：使用者設定檔會決定每一個使用者登入之後的工作環境，此部份的詳細說明請參考第九章。 撥入標籤如果要授予此使用者，可以使用撥入的方法來執行遠端存取的動作，可以點選 允許存取 選項鈕。在此對話方塊中，另有一些 回撥 選項，所謂 回撥 是指當您從遠端連接到此電腦後，電腦自動將連接切斷，再自動撥回到您在遠端的機器，重新建立連接關係。這是為了節省在遠端使用者的電話費所做的設計。說明如下： (1) 不要回撥：沒有回撥的功能。(2) 自動回撥到：指定回撥電話要撥到哪個地方，例如撥到您家或是撥到分公司。此種方式較具安全性，使用者僅能在固定的地點撥入來連接主機。但是若是使用者出差在外，臨時有需要與公司的主機連線時，除非預先知道所在地方的電話，否則無法設定。(3) 由撥號者設定：此選項是為了彌補上一選項的缺點而設定。當您在遠端連接到公司的主機後，會出現一個對話方塊，要求您輸入回撥的號碼，然後主機會將連接斷線，再回撥到您鍵入的號碼來連線。這樣即使您是在飯店中，只要有此權限，亦可連接到公司的主機。 帳戶標籤您可以在 帳戶到期日 中設定此帳戶的有效期限，預設為永久有效。假設針對一批須受訓二個月的人員帳戶，就可以設定為2個月的有效帳戶期限，當期限一到，該帳戶自動無效。在圖4-40中另有 登入時數 及 登入到 二個按鈕，分別說明如下。1. 點選 鈕時會出現 登入時數 的對話方塊，預設值為當週的每一小時都允許存取。若是要限制此使用者某一段時間不可存取，例如週六至週日，可以用滑鼠選取該範圍，再點選 拒絕登入 鈕，則該範圍就會留白，如圖4-41所示。存取的時段2.點選 鈕會出現 登入工作站 的對話方塊，這是用來設定使用者可以從網域中的那些電腦登入到此伺服器，預設值為可從所有電腦登入。您也可以設定某些使用者只能從固定的幾台工作站中登入，此時您必須指定電腦的名稱，再按 新增 鈕即可。另外，您也可以在Active Directory使用者及電腦 視窗中，以右鍵點選使用者帳戶，來重新命名帳戶、刪除帳戶、停用（啟用）帳戶、重設密碼、或解除鎖定帳戶等。說明：4-2-3 大量使用者的新增方法如果您要一次新增四、五十個使用者，可以使用addusers.exe程式。addusers.exe可以讓您一次新增很多使用者，您可以用addusers/?查得其語法。說明：addusers.exe程式可以從Microsoft網站上下載，也可以使用在Windows 2000 Resource Kit中的這支程式。要一次新增多筆使用者的程序如下：步驟：1. 先用 記事本 建立一個文字檔（存檔類型為Unicode），其中包括所有您要新增的使用者的資料，如圖4-44所示。圖4-44 要新增的使用者資料上圖所用的語法如下：【Users】使用者名稱，全名，密碼，描述、主磁碟機，主資料夾，設定檔，登入指令檔其中主磁碟機，主資料夾，設定檔，登入指令檔四項可省略不打。2. 將檔案儲存，例如命名為users1.txt，連同addusers.exe一起存放到相同的路徑中，本例中是將此二檔案放在 d:磁碟的根目錄下。3. 以可以建立使用者的身份登入，在命令提示字元中執行下列指令，如圖4-45所示。Addusers /c d:users1.txt 圖4-45經由上述動作，即可將文字檔users1.txt中所有的使用者加到 網域控制站 中，預設的容器為Users，如果在加入的同時，也要指定群組，請參考4-3-4節的示範。Users說明：以這種方式新增的使用者，第一次登入網域時，會強迫使用者變更密碼。4-3 群組在網域中為了簡化管理網域資源的使用權限，可將使用者帳戶以群組來劃分，具有相同使用權限的分為同一群組。這樣以後若必須變更或新增該網域資源的使用權限時，只須修改群組的成員，或將新使用者加入適當的群組中即可。4-3-1 網域功能等級網域功能的等級是以 網域控制站 所運作的伺服器版本做為判斷的依據，其可分為以下三級：Windows 2000混合模式（mixed mode）網域內的網域控制站可以是WindowsNT Server4.0、Windows 2000 Server、Windows Server2003Windows 2000原始模式（native mode）網域內的網域控制站可以是Windows 2000 Server或Windows Server2003Windows Server2003模式網域內的網域控制站只能是Windows Server2003，唯一支援可以變更網域控制站之電腦名稱的等級原始模式 和Windows Server2003模式 可以有較多的群組功能，例如支援群組類型（安全性群組及發佈群組）的相互轉換。預設的網域功能等級為 混合模式，您可以將混合模式提高為 原始模式 或 Windows Server2003模式，或將 原始模式 担提升為 Windows Server2003模式，但一旦完成升級，就無法再回復到原來的模式了。提高等級的方法如下：1. 開啟 Active Directory使用者及電腦 主控台。2. 在網域稱上按右鍵，並點選 提高網域功能等級 指令。3. 目前為預設的 Windows 2000混合模式，您可以提高為另二種等級。4. 按 升級 鈕後出現圖4-50的警告訊息，提醒你一旦升級，就無法再回到原來的等級了。5. 點選 鈕，待出現成功升級的訊息後，更新的資訊會自動被複製到所有的 網域控制站 內。4-3-2 群組的類型和使用領域Windows Server2003的群組依適用領域（scope）的不同，可以分成 通用、網域區域 及 萬用 三種；若依群組類型來分，又可分成 安全性群組 及 發佈群組 二種。 群組領域群組領域決定這個群組可以在網路上的那些網域中活動，同時也決定誰可以加入這個群組。說明如下：l 通用群組（global group）：用來組織同一個網域內的使用者。可將相似權限的使用者帳戶加入同一群組，其可以包含同一網域內的其他通用群組。如果是在混合模式中，通用群組只能包含同一網域中的使用者。如果是在原始模式，則還可包括同一網域中的其他通用群組。這個群組的人可以在樹系中的所有網域獲得授權。l 網域區域群組（domain local group）：用來指派所屬網域內的存取權限，該群組只能存取同一網域內的資源。如果是在混合模式中，網域區域群組只能包含使用者及任何網域的通用群組；如果是在原始模式，則另外還可包含樹系中的萬用群組，以及同一網域中的網域區域群組。這個群組的人，只能在其所屬的網域群組中獲得授權。l 萬用群組（universal group）：用來指派所有網域內的存取權限，可以存取所有網域內的資源。若類型為安全性群組，則只有在原始模式之下才能使用萬用群組。其成員可以包括使用者、通用群組，以及樹系中任一網域的其他萬用群組。u 群組的使用準則為了方便您管理網路上的資源，您可以依據下列準則來建立群組：1. 在單一網域下，以通用群組與網域區域群搭配使用。您可以先將使用者帳戶（Account）加入通用群組（global group），再將通用群組加入網域區域群組（domain local group），然後再指派給這個群組適當的權限（permissions）；這也就是所謂的A、G、DL、P程序。2. 在多網域的複雜網路環境下，使用者可能要存取多個網域中的資源，此時以通用群組與萬用群組搭配使用。例如您可以先在各網域中建立好通用群組，將相同權限的使用者帳戶加入；然後在某個網域中建立一個萬用群組，接著將各網域中的通用群組加入到該萬用群組中，這個程序就是A、G、U、P。 群組類型群組類型有 安全性（security）及 發佈（distribution）二種。安全性群組 可以被授與或拒絕某種權限，例如對檔案的讀取或拒絕權限。也可以用在與安全無關的工作上，例如發送電子郵件。發佈群組 則不能被授與任何權限，所以可用在與權限的設定無關的工作上。因此若要使用 檔案總管 將資料夾檔案授權給群組時，您會看不到發佈群組。如果某個群組只是要用來發E-mail的（例如客戶名單），則可以使用發佈群組。該群組可以配合Exchange Server來發佈電子郵件。4-3-3 內建的群組及特性在安裝Windows Server 2003時，系統會自動在本機電腦內建立一些群組，有些則在升級為網域控制站時建立在AD資料庫中。如果您的構型不是很複雜，就可以套用這些內建的群組，而不需自己另外建立。您可以在非網域控制站的電腦中看到下列內建的本機群組，這些群組已具備一些權利和權限，您只須將使用者帳戶加入即可具有相同的權利和權限。9圖4-52同樣的，在網域的AD中也內建了許多群組，他們包括通用群組、網域區域群組和一些特殊群組。你可以啟動 Active Directory使用者及電腦，點選網域名稱之下的Builtin容器，即可看到許多內建的網域區域群組，如圖所示。您可以從上圖的 描述 欄中看到各群組的基本描述，例如Print Operators群組的成員可以管理網路中的印表機。再點選左側的Users資料夾，您可以看到更多的群組，其中有很多是通用群組。在使用群組時有一個觀念要先澄清，那就是Administrators群組並不是至高無上的，有時候一個使用者雖然屬於Administrators群組，但有些動作仍然無法執行。例如對於加密的檔案，使用者Administrator（這才是真正至高無上的使用者）可以將其解密。但同屬Administrators群組的其他使用者卻不能解密。網域中的使用者Administrator不僅僅是隸屬於Administrators群組；他同時還可以屬於其他的6個群組。所以，您可以將Administrator這個使用者更名，以便保護這個帳戶，但是無法刪除。除了上述所介紹的這些群組外，還有一些特殊群組存在於每部Windows Server 2003中，不過您無法在 電腦管理 或 Active Directory使用者及電腦 中看到（或管理）它們，只有在您設定權限或選擇使用者時才看得到這些群組。l everyone：任何一個使用者都屬於這個群組。l Authenticated Users：任何一個以有效的使用者帳戶來連接的使用者，都屬於這個群組。l Interactive：只要在本機登入的使用者皆屬於。l Network：透過網路來連接此電腦的使用者都屬於。l Creator Owner：檔案、資料夾等資源的建立者就是該資源的建立者（擁有者）。l Anonymous Logon：只要未使用有效的Windows Server2003帳戶來連線的使用者都屬於這個群組。Dialup：以撥接方式來連線的使用者皆屬於。在Windows Server2003中有二個重要的名詞，一個是權利（Right），另一個是權限（Permission）。所謂權利是規定使用者或群組能否對系統執行某些動作，例如登入本機，關閉電腦或查看安全日誌。而權限則是規定使用者或群組能否存取或控制某一資源（例如檔案或印表機等等），權限通常都是透過檔案總管來管理，在下一章會有更進一步的介紹。接下來將最常見的三個群組的特性說明如下： 系統管理者（Administrators）在前面曾提到，Administrators群組並不是至高無上的，但其中的Administrator則是擁有最高權限的帳戶，包括了可以建立、刪除和管理其他使用者的帳戶以及區域群組；可以共享目錄及印表機；可以將資源授權給其他使用者；可以安裝操作系統檔案及程式。不過，在Windows Server 2003中的系統管理者（Administrator），並不是十項全能的。例如在NTFS檔案系統中，檔案的建立者擁有對該檔案的所有權，若他對該檔案做了密碼限制，即使是系統管理者也無法接觸該檔案。他必須先取得擁有權，再去修改安全性設定，才可存取該檔案。當您以系統管理者登入時，您可以同時擁有使用者與管理者雙重角色。為了避免不小心毀損系統構型，建議您自己再建立另一個使用者帳戶。平時可以用一般使用者登入，等要管理系統時才改用系統管理者登入。 使用者（Users）在您以系統管理者的身份所建立的帳戶中，大部份的人都屬於使用者帳戶。使用者群組有下列的特性：1.可以從遠端登入網域並用其連線到網路中。2.無法使用交談式方式登入網控制站，也就是說無本機登入的權利。3.無法關掉Server。4.可以在電腦中保有其設定檔。 來賓（Guests）來賓的權限比一般使用者要小，他無法在電腦上保留其設定檔，無法鎖住電腦，也無法自己建立、刪除或修改群組。4-4 建立群組當內建的群組無法滿足安全需求時，您也可以自已新增群組並設定其權限。由前一節的介紹，我們知道群組和使用者帳戶一樣，可以分別在本機或網域內建立。4-4-1 新增本機群組及成員本機群組會建立在本機安全資料庫中，而非網域控制站，而且本機群組只能存取所在電腦中的資源。因此建議你只在未加入網域的電腦中建立本機群組帳戶。至於本機群組中的成員，可以視該本機電腦是否加入網域而不同：以Windows Server2003為例，要建立本機群組的方法為：1.執行 開始/系統管理工具/電腦管理，或展開 檔案總管，在 我的電腦 上按右鍵選擇 管理，開啟 電腦管理 視窗。2.展開 本機使用者和群組，在 群組 上按右鍵選擇 新群組。3.鍵入群組的名稱及描述，例如專案一，接著按 新增 鈕。4.按下 進階 鈕，再按下 立即尋找 鈕，從 搜尋結果 清單中選擇成員，再按 確定 鈕。6. 按下 建立 鈕，接著可再建立新群組，或按 關閉 鈕離開。說明：本機若已加入網域，則在新增成員時，會出現訊息要求確認身份。看到網域使用者帳戶此時您就可以將網域中的使用者帳戶加入群組中；若要顯示本機使用者帳戶，可點選 位置 鈕重新選擇本機位置。我們可以將權限相同的使用者帳戶歸入相同的群組中，然後只須對該群組授予權限，該群組內的所有使用者都會有相同的權