实训一用户管理与权限设置.ppt

网络服务实习 指导教师 薄瑜 1班 刘正林 2班 实训内容 实训一 用户管理和权限设置实训二 常用网络命令的使用实训三 DHCP服务器的安装与配置实训四 DNS服务器的安装与配置实训五 Web服务器的安装与配置实训六 FTP服务器的安装与配置 实训内容 实训七 使用serv u建立FTP服务实训八 邮件服务器的安装与配置实训九 流媒体服务器的安装与配置实训十 使用HelixServer架设流媒体服务器 成绩评定 1 平时成绩占40 电子签到by itd 8866 org 2 报告成绩占30 按照模板写 3 答辩考核占30 答辩分小组进行 一个班五个组 抽签选定方向 实训一用户和组的管理 内容要求 1 创建本地用户User1 User2和User3 2 设置密码策略 启用密码复杂性要求 最短密码长度为8等 3 更改用户User3的密码 4 创建MyGroup组 5 将User1 User2和User3分别归到Administrators PowerUsers和MyGroup组 6 在c盘下创建sx1文件夹 设置Administrators的权限为完全控制 User3的权限为读取 MyGroup组的权限为拒绝权限 7 设置MyGroup具有关闭系统 本地登录等本地安全策略权限 8 测试User3的权限 实训一 用户管理和权限设置 1 用户管理2 组管理3 文件权限4 设置本地安全策略 Server2003既然是个NOS 它理所当然的支持多用户 而且权限分配也很谨慎 遵循一个通用原则 即访问计算机上任何资源 需要对应的用户账号 或权限 引言 其实 自从Windows2000开始 Windows系统就已经引入了用户管理的模式 账户的概念 账户 账户是用户登录到某台计算机访问该机上的资源的标识 包括账户名和密码 内置账户 WindowsServer2003安装完毕后 系统会在计算机上自动创建一些内置账户Administrator 系统管理员 拥有最高权限 Guest 宾客 是为临时访问计算机的用户提供的 该账户自动生成 且不能被删除 可以更改名字 一般来说 账户是登录系统的身份凭证 主要有本地账户和域帐户 需要注意的是 某个用户拥有一个合法的账户 他不仅可以本地登录 也可以远程登陆 账户的作用 创建本地账户 控制面板 管理工具 计算机管理鼠标右击 我的电脑 选择 管理 创建本地用户账户 需要用户名全名描述密码相关选项 用户账户细节说明 用户名 用户名最长20字符 不区分大小写 也可以使用中文 但不能使用一些特殊字符 全名和描述 此信息为可选项 可以输入一些员工的个人信息和公司信息 如姓名和部门等 密码和确认密码 密码的最大长度可以达到127位 密码的设置不应过于简单 应该使用字母 数字及特殊符号的组合 用户下次登录时必须更改密码用户不能更改密码密码永不过期账户已禁用 保障用户隐私 用于共享账户 默认42天过期 暂时禁止登录 用户账户细节说明 更改账户密码 重设密码一般由管理员完成更改密码一般由用户完成 重命名和删除账户 重命名用户删除用户SID S 1 5 21 1292074401 2054391636 2487779615 500删除后不能重建 禁用与激活本地账户 禁用账户 激活账户 默认账户的权限 出于安全考虑 新建的用户默认为普通用户 即非管理员 实例演示小知识 如何得知当前登录用户的身份同时按下Ctrl Alt Del在命令提示符下输入 Whoami 组 的概念 组的概念 组 相同权限的用户的集合 将用户添加到组 常见组 Administrators管理员 最高权限 相当于胡锦涛主席Guests宾客 仅供非正式用户临时访问 相当于临时工Users普通用户 相当于正式员工 其他组 不做要求 3 文件权限与共享 在企事业单位中 某些文件只能让普通员工阅读 不能修改 主管领导有完全控制权 有些文件甚至不让一般员工访问 如何实现呢 文件系统 WindowsServer2003支持下列文件系统FAT32NTFS FAT32文件系统 FAT32Windows95 98时代的标准 现已逐渐淘汰致命缺点 单个文件不能大于4G不能设置权限 NTFS文件系统 本地安全功能 NTFS文件系统 Windows2000开始主推的格式标准 主要优点 文件权限分配磁盘配额功能动态磁盘管理数据EFS加密和压缩功能Unicode统一编码支持 文件系统的比较 不做要求 NTFS文件权限类型 应用于文件 用来控制用户对文件的访问权限读取写入读取与执行修改完全控制 NTFS文件夹权限类型 应用于文件夹 用来控制用户对文件夹的访问权限读取写入列出文件夹内容读取与执行修改完全控制 NTFS权限规则 文件权限优先于文件夹权限拒绝权限优先于其他权限 设置权限 鼠标右击文件或文件夹选择 属性 安全 选项卡 4 设置本地安全策略 在WindowsServer2003中 为了确保计算机的安全 允许管理员对本地安全进行设置 从而达到提高系统安全性的目的 WindowsServer2003对登录到本地计算机的用户都定义了一些安全设置 所谓本地计算机是指用户登录执行WindowsServer2003的计算机 在没有活动目录集中管理的情况下 本地管理员必须为计算机进行设置以确保其安全 例如 限制用户如何设置密码 通过账户策略设置账户安全性 通过锁定账户策略避免他人登录计算机 指派用户权限等 将这些安全设置分组管理 就组成了WindowsServer2003的本地安全策略 本地安全设置 控制台 WindowsServer2003在 管理工具 菜单提供了 本地安全设置 控制台 可以集中管理本地计算机的安全设置原则 使用管理员账户登录到本地计算机 即可打开 本地安全设置 控制台 密码安全设置 密码必须符合复杂性要求 密码长度最小值 密码使用期限 强制密码历史 账户锁定策略 用户权限分配 WindowsServer2003将计算机管理各项任务设定为默认的权限 例如 从本地登录系统 更改系统时间 从网络连接到该计算机 关闭系统等 系统管理员在新增了用户账户和组账户后 如果需要指派这些账户管理计算机的某项任务 可以将这些账户加入到内置组 但这种方式不够灵活 系统管理员可以单独为用户或组指派权限 这种方式提供了更好的灵活性 用户权限的分配在 本地安全设置 的 本地策略 下设置 如图所示 用户权限分配 用户权限分配 从网络访问这台计算机是指允许哪些用户及组可以通过网络连接到该计算机 如图2 25所示 默认为Administrators BackupOperators PowerUsers Users和Everyone组 由于Everyone组允许通过网络连接到此计算机 所以网络中的所有用户 默认都可以访问这台计算机 用户权限分配 允许本地登录 允许在本地登录原则设置 决定哪些用户可以交互式地登录此计算机 默认为Administrators BackupOperators PowerUsers 如图2 26所示 另一个安全设置是 拒绝本地登录 默认用户或组为空 同样的 如果某用户既属于 允许在本地登录 又属于 拒绝本地登录 那么该用户将无法在本地登录计算机 用户权限分配 关闭系统 关闭系统原则设置 决定哪些本地登录计算机的用户可以关闭操作系统 默认能够关闭系统的是Administrators BackupOperators和PowerUsers 如图2 27所示 默认Users