中小型企业网组建与管理 第7章 局域网的用户与资源管理.ppt

第七章局域网的用户与资源管理 第七章局域网的用户与资源管理 7 1管理用户和计算机账户7 2创建和使用组7 3创建和使用组织单元7 4文件安全性管理 7 1管理用户和计算机账户 7 1 1添加 删除用户账户7 1 2设置用户账户的安全属性7 1 3用户账户的启用与停止7 1 4远程管理用户账户 7 1 2添加 删除用户帐户 一 创建本地用户 1 单击 开始 程序 管理工具 计算机管理 2 双击 号扩展 系统工具 树 然后扩展 本地用户和组 树 再单击 操作 菜单 执行 新创用户 命令 3 在打开 创建用户 对话框时 输入新帐户名 4 单击 创建 按钮 就创建了用户Martin 5 按照同样方法创建用户John 6 单击 关闭 按钮关闭对话框 图7 1 创建用户 对话框 二 创建域用户帐户 1 单击 开始 程序 管理工具 ActiveDirectory用户和计算机 控制台 2 扩展在控制面板左窗格中的 3 单击 Users 文件夹以选择它 4 单击 操作 菜单 并从 新建 菜单中选择 用户 命令 打开 新建对象 用户 对话框 5 输入用户信息 6 单击 新建对象 用户 对话框中的 下一步 按钮 输入用户密码到 密码 和 确认密码 对话框 7 1 2设置用户帐户的安全属性 1 单击 开始 程序 管理工具 ActiveDirectory用户和计算机 控制台 2 选择 帐户 选项卡 在该对话框中可以对 用户登录名 帐户选项 等内容进行修改 3 设置用户登录时间 4 限制用户由某台客户机登录 5 设置帐户的有效期限 6 重设密码 7 1 3用户帐户的启用与停止 1 单击 开始 程序 管理工具 ActiveDirectory用户和计算机 控制台 2 扩展在控制面板左窗格中的 打开 Users 目录 并在右边列表框中选取要停用的帐户Jone 单击鼠标右键 在出现的快捷菜单中选择 停用帐户 然后会出现该帐户已被停用的提示信息 3 单击 确定 按钮后 返回 ActiveDirectory用户和计算机 控制台 发现代表该帐户的人头旁边出现了一个 表示Jone帐户已被停用 4 选择已被停用的guest帐户 然后单击鼠标右键 在出现的快捷菜单中选择 启用帐户 将出现 对象guest已被启用 的信息提示 5 单击 确定 按钮 guest帐户已被启用 7 1 4远程管理用户帐户 一 在服务器端安装终端服务打开 控制面板 双击 添加 删除程序 在 添加 删除程序 对话框中单击 添加 删除windows组件 单击 添加 删除windows组件 按钮 打开 windows组件向导 对话框 在 组件 列表框中找到并选择 终端服务 单击 下一步 按钮 在 终端服务安装程序 向导中选择 远程管理模式 在 完成windows组件向导 向导框中单击 完成 按钮结束安装 并重新启动计算机 二 安装终端服务客户端 在终端服务器的 systemroot system32 clients tsclient net Win32文件夹内 用户通过网络连接到服务器上就可以直接执行Setup exe来安装终端服务客户端了 三 实现远程用户管理 在客户端运行 终端服务客户端 程序 打开 终端服务客户端 对话框 在 服务器 编辑框中输入要连接的服务器名字或IP地址 也可以在 可用服务器 列表框中选择要连接的计算机 单击 连接 按钮 客户端开始与服务器连接 这时在客户端的屏幕上会出现 登录到Windows 对话框画面由于管理员连接到服务器上 则服务器要求管理员登录 此时的操作与从服务器上本地登录完全一样 输入管理员的用户名和密码登录到服务器 图7 2 终端服务客户端 对话框 7 2创建和使用组 7 2 1组与工作组的概念7 2 2创建组7 2 3在组中添加用户7 2 4使用组策略 7 2 1组与工作组的概念 一 组的类型安全组用于将用户 计算机和其他组收集到可管理的单位中 为资源 文件共享 打印机等 指派权限时 管理员应将那些权限指派给安全组而非个别用户 通讯组只能用作电子邮件的实体 不能用于筛选组策略设置 通讯组无安全功能 二 组的作用范围 本地域 只能包含某个域的成员 且只能在该域中被赋予访问权限 组只能够从所创建的域内看见 全局组 只能包含组所在域中的成员 定义了全局组后 目录林的各处都可以看见 通用组 可以包含当前域森林中任何一个域中的成员 可被赋予域森林中任何一个域的访问权限 用户可以使用它来设置对企业内部任何地方的全局组的访问 以分配权限给对象 7 2 2创建组 1 单击 开始 程序 管理工具 ActiveDirectory用户和计算机 控制台 2 在控制台树中 双击域节点 右击要添加组的文件夹 Users 指向 新建 然后单击 组 3 键入新组的名称zu1 选择所需的 组作用域 选择所需的 组类型 4 单击 确定 按钮 即可完成新组的创建 5 再按照同样方法创建zu2组 图7 3创建组对话框 7 2 3在组中添加用户 1 在 ActiveDirectory用户和计算机 控制台中 打开文件夹 Users 选择zu1组并单击鼠标右键 2 在弹出的快捷菜单中选择 属性 命令 打开 zu1属性 对话框 选择 成员 选项卡 3 单击 添加 按钮 在弹出的 选择用户联系人或计算机 对话框中 依次选择成员Jone和Beth 4 如果要删除组成员 在 成员 列表框中 选择要删除的组成员 然后单击 删除 按钮即可 5 单击 确定 按钮 完成组成员的添加操作 7 2 4使用组策略 组策略分为 计算机配置 和 用户配置 两部分 1 计算机配置 当计算机启动时 就会根据 计算机配置 的内容来设置计算机的环境 针对站点 域或组织单位设置组策略 则此组策略会被应用到站点 域或组织单位内的所有计算机 2 用户配置 当用户登录时 就会根据 用户配置 的内容来设置用户的工作环境 针对站点 域或组织单位设置组策略 则此组策略会被应用到站点 域或组织单位内的所有用户 二 创建组策略 1 以域的系统管理员身份登录 2 单击 开始 程序 管理工具 ActiveDirectory用户和计算机 命令 打开 ActiveDirectory用户和计算机 控制台 3 右击域 并选择 属性 命令 打开 属性 对话框 单击 组策略 选项卡 4 在该域中存在默认的域策略 选取它 并单击 编辑 按钮 打开 组策略编辑器 对话框 5 通过扩展 计算机配置 windows设置 安全设置 本地策略 和 用户权力指派 来打开设置 图7 4用户权利指派策略窗口 6 在右侧窗口双击 在本地登录 项 打开 安全策略设置 对话框 7 单击 添加 按钮 打开 添加用户或组 对话框 单击 浏览 按钮 打开 选择用户和组 对话框 从中选择 DomainUsers 并添加 8 单击 确定 按钮 返回 添加用户或组 对话框 单击 确定 按钮返回 安全策略设置 对话框 对话框中增加了 DomainUsers 用户组 单击 确定 按钮 返回 ActiveDirectory用户和计算机 控制台 三 测试组策略 1 单击 开始 运行 命令 2 在 运行 行中键入secedit refreshpolicyuser policy或者secedit refreshpolicymachine policy可以让用户策略或计算机策略生效 现在测试对域控制器设置的 本地登录 组策略 可按如下步骤操作 1 利用administrator帐户登录 2 单击 开始 程序 管理工具 ActiveDirectory用户和计算机 命令 打开 ActiveDirectory用户和计算机 控制台 新建一个普通域用户帐户 3 通过运行 secedit refreshpolicymachine policy 命令使组策略生效 4 注销administrator帐户 以建立的普通域用户帐户身份登录 此时可以登录成功 7 3创建和使用组织单元 7 3 1组织单元的作用7 3 2组织单元的创建与管理 7 3 1组织单元的作用 组和组织单元有很大的差别 组主要用于权限设置 而组织单元则主要用于网络构建 组织单元只表示单个域的对象集合 可包括组对象 而组可以包含用户 计算机 本地服务器上的共享资源 单个域 域目录树或目录林 7 3 2组织单元的创建与管理 一 创建组织单元 1 打开 ActiveDirectory用户和计算机 控制台 2 右键单击域节点 打开 新建 然后单击 组织单元 3 键入组织单元的名称 wanglou 4 单击 确定 按钮 完成wanglou组织单元的建立 5 右键单击wanglou组织单元 打开 新建 然后单 组 建立zu1和zu2两个组 6 可以在zu1和zu2组中添加一些成员 图7 5在wanglou下建立zu1的zu2两个组 二 委派控制组织单元 1 打开 ActiveDirectory用户和计算机 控制台 2 在详细信息窗格中 右键单击wanglou组织单元 然后单击 委派控制 来启动控制委派向导 3 在用户和组对话框中 单击 添加 选择受委派的组zu1 4 在委派任务中 可以指定委派公用任务 也可以选择委派更为细化的自定义任务 5 单击 下一步 执行 完成 命令 图7 6控制委派向导 三 设置组织单元属性 1 打开 ActiveDirectory用户和计算机 控制台 2 在详细信息窗格中 右键单击wanglou组织单元 然后单击 属性 命令 打开 属性 选项卡 它包含 常规 管理者 和 组策略 3个选项卡 3 在 常规 选项卡中 可以设置描述计算机和用户统一的常规信息 4 管理者 选项卡用于设置当前组织单元管理用户的信息 5 组策略 选项卡用于控制组织单元的组策略设置 图7 7 组策略 选项卡 7 4文件安全性管理 7 4 1NTFS权限介绍7 4 2NTFS权限在Windows2000Server中的应用7 4 3分配NTFS权限7 4 4使用NTFS的特殊权限7 4 5共享权限的设置 7 4 1NTFS权限介绍 NTFS权限是基于NTFS分区实现的 NTFS权限可以实现高度的本地安全性 通过用户赋予NTFS权限可以有效地控制用户对文件和文件夹的访问 NTFS权限分为特殊NTFS权限和标准NTFS权限两大类 7 4 2NTFS权限在Windows2000Server中的应用 1 文件夹具有下列基本权限 完全控制 用户可以执行下列全部职责 包括两个附加的高级属性 修改 用户可以写入新的文件 新建子目录和删除文件及文件夹 用户也可以查看哪些其他用户在该文件夹上有权限 读取及运行 用户可以阅读和执行文件 列出文件夹目录 用户可以查看在目录中的文件名 读取 用户可以查看目录中的文件和查看还有谁在这里有权限 写入 用户可以写入新文件并查看还有谁在这里有权限 2 文件有下列基本权限 完全控制 用户可以执行下列全部职责 包括两个附加的高级属性 修改 用户可以修改 重写入或删除任何现有文件 用户也可以查看还有哪些其他用户在该文件上有权限 读取及运行 用户可以阅读文件 查看谁有访问权并运行可执行文件 读取 用户可以阅读文件和查看还有谁有访问权限 写入 用户可以重写入文件并查看还有谁在这里有权限 二 NTFS权限的使用法则 1 权限的累加性2 拒绝 权限将屏蔽所有其他的权限3 文件权限会覆盖文件夹的权限4 权限继承性 7 4 3分配NTFS权限 1 作为系统管理员登录 启动 资源管理器 选择 Project文件夹 按鼠标右键 点击菜单中的 属性 项 2 出现文件夹的属性对话框 选择 安全 选项卡 3 按默认设置 Project将继承父文件夹Everyone组的 完全控制 权 在此将 安全 选项卡的最下面 允许将来自父系的可继承权限传给该对象 的复选框取消 并设置Everyone组的权限为 读取 权限 按 确定 按钮 返回 资源管理器 窗口 4 右击Proj1 txt文件 并选择 属性 打开 proj1属性 对话框 5 默认情况下 它将继承 Project的权限 单击 添加 按钮 选择zu1组并设置 完全控制 权限 再添加zu2组 设置对它具有 修改 权限 6 右击Proj2 txt并选择 属性 单击 安全 选项卡 然后取消对 允许将来自父系的可继承权限传播给该对象 复选框 单击 添加 按钮 选择Administrator并设置 完全控制 权限 图7 8设置Proj2 txt文件权限 7 4 4使用NTFS的特殊权限 遍历文件夹 运行文件 即通过文件夹查找文件并运行可执行文件 列出文件夹 读取资料 即查看文件夹和数据文件 读取属性 即查看文件及文件夹的属性窗口 读取扩展属性 即查看属性窗口中能打开的窗口 创建文件 写入资料 即创建新文件并可以写入资料或修改旧文件的资料 创建文件夹 附加资料 即创建新文件夹并在文件夹下添加资料 写入属性 即变更文件夹和文件的属性值 写入扩展属性 即变更文件夹和文件的扩展属性 删除子文件夹及文件 即删除文件夹下的子文件夹及文件 删除 即删除文件夹和文件 读取权限 即查看文件夹和文件的用户权利 更改权限 即更改文件夹或文件的用户权利 取得所有权 即取得文件夹或文件的所有权 7 4 5共享权限的设置 一 共享文件夹的权限在共享文件夹配置中 共享文件夹权限共有3种 读取 该权限允许查看文件名和子文件夹名