Server的用户管理.doc

4.3 Windows 2000 Server的用户管理4.3.1 实训目的（1）掌握Windows 2000中关于用户和组的基本概念。（2）掌握Windows 2000中不同类型的组的使用场合。（3）掌握创建和修改用户的方法。（4）掌握创建和修改组的方法。（5）掌握在单个域中使用组的策略（AGDLP）。4.3.2 实训内容（1）创建和修改本地用户账户。（2）创建和修改域用户账户。（3）创建和修改全局组。（4）实现AGDLP策略。4.3.3 实训理论基础活动目录用户和计算机管理器中的账号标识的是一个物理实体，如计算机或用户，计算机和用户的账号在它们登录到网络或访问域中的资源时提供安全信任。账号可以用于： 验证计算机或用户的身份 允许访问域中资源 审核用户或计算机账号的活动1用户账号用户账号能够让用户以授权的身份登录到计算机和域中并访问其中的资源。用户账号也可以作为某些软件的服务账号。Windows 2000还提供了内置的用户账户，用于协助日常的管理任务，或者使得用户可以临时访问资源。每个经常利用网络的用户都应该有用户账户，可以创建两种类型的用户账户：域用户账户和本地用户账户。（1）本地用户账户。利用本地用户账户，用户可以登录到特定的计算机，以访问该计算机上的资源。如果用户在其他的计算机上也有自己独立的账户，那么也能够访问其他计算机上的资源。本地用户账户驻留在该计算机的安全账号管理器（SAM）中，SAM就是计算机上的本地安全性账号数据库。（2）域用户账户。利用域用户账户，用户可以登录到特定的Windows 2000域，以访问网络资源。用户利用自己特有的用户账户和密码，可以从网络上的任何计算机访问网络资源，域用户账户信息驻留在活动目录服务中。（3）内置的用户账户。用于协助日常的管理任务，或者使得用户可以临时访问资源。有两个特别的内置账户，即Administrator和Guest ，这两个内置账户不能被删除，可以被修改。本地的Administrator和Guest账户驻留在本地SAM中，域的Administrator和Guest账户驻留在活动目录中，内置账户在安装Windows 2000和活动目录的过程中自动创建。2计算机账户每一个运行 Windows 2000 和 Windows NT 的计算机在加入到域时都需要一个计算机账号，就像用户账号一样，被用来验证和审核计算机的登录过程和访问域资源。3组利用组可以简化管理。可以利用组对用户账户进行组合，从而可以针对用户构成的组进行授权，达到一次授予它们共享资源的权力和权限，而不必经过多次授权。这样做可以简化对访问网络中资源的管理。共享资源包括网络共享文件夹、文件、目录和打印机。 当用户成为某个组的成员后，它就将被授予改组所获得的所有权力和权限。 一个用户账户可以成为多个组的成员。从而获得这些组所具有的权力和权限。创建组的场合的不同，使得组分为工作组中的组和域中的组。（1）工作组中的组。工作组中的组在不是域控制器的计算机上创建，可以在客户机或者成员服务器上创建。（2）域中的组。域中的组在域控制器上创建，驻留在活动目录中，分安全组和分发组两种类型。其中分发组不能进行权限指派，只能用作电子邮件的通信组。4组作用域组作用域确定组在域树或树林中所应用的范围。组作用域是只针对域中的组来讲的。有三类不同的作用域：全局组、本地域组和通用组。（1）全局组 成员只能来源于组所在的域的域用户账户 可以访问域树林中的任何地方的资源（2）本地域组 成员可以来源于域树林中的任何一个域 被限定只能访问本域资源（3）通用组5单个域中使用组的策略当在单个域中使用组进行简化管理的时候，推荐使用AGDLP策略，该策略就是将用户账户（A Accounts）放置到全局组（G Global）中，将全局组放置在域本地组（D Domain Local）中，然后为域本地组授权（P Permissions），从而达到为用户授权，使用户可以访问域中网络资源的目的。至于在多域环境中还可以使用通用组。6实训环境需求项目操作系统 角色 数量 备注计算机Windows 2000 Advanced TestDomainXX.com 1台/组 命名为WserverXX 域的域控制器，XX为组号 计算机Windows 2000 Advanced TestDomainXX.com 1台/组 命名为MserverXX 域的成员服务器，XX为组号 4.3.4 实训步骤下面实训中将创建本地用户账户、本地组、域用户账户和域中的全局组，并且利用AGDLP策略实现简化管理。1实训准备准备项目 数据实训硬件设备 确认准备无误一个域用户账户 AdminXX（属于Administrators组） 域用户账户密码password在MserverXX上的本地账户 Administrator 在MserverXX上的本地账户密码password一个组织单元 UserOU一个全局组BackUP Admin一个域用户账户 BakupXX服务器计算机名 WserverXX XX为组名成员服务器名称 MserverXXXX为组名域名 TestDomainXX.com2创建本地用户账户在下面的实验中，将创建两个本地用户账户。首先将创建账户LocalUserXX，然后利用LocalUserXX进行登录，登录后创建另一个本地用户账户ManagerXX。因为LocalUserXX无创建账户的权力，需要做二次登录。注意：本步骤实验需要在成员服务器上执行。（1）试图以LocalUserXX作为用户名登录到MserverXX：1）试图利用下列信息登录到MserverXX。用户名：LocalUserXX（ XX是组号）；密码：password；登录到：MserverXX （这里MserverXX是成员服务器）。2）结果将是不能登录。单击“确定”按钮，关闭“登录消息”框。4.11 添加新用户图4.12 二次登录（2）作为系统管理员Administrator登录到MserverXX，以创建用户账户：1）利用下列信息登录到MserverXX。用户名：Administrator密码：password登录到：MserverXX2）单击“开始”“程序”“管理工具”“计算机管理”，打开计算机管理窗口。3）在左侧控制台树下，在“系统工具”下，扩展“本地用户和组”，将看到两个容器：用户和组。4）单击“用户”。将会看到右侧用户列表，其中Guest账户上是一个红色的X。5）右击“用户”，选择”新用户”。 6）在“新用户”对话框中输入下列信息。如图4.11所示。用户名：LocalUserXX（ XX是组号）描述：本地普通用户密码：password确认密码：password7）不选择“用户下次登录时必须更改密码”复选框，单击“创建”。8）单击“关闭”以关闭“新建用户”对话框。9）关闭“计算机管理”窗口，然后退出登录。（3）利用前面创建的账户登录到MserverXX，然后利用二次登录以完成另一个账户的创建：1）利用下列信息登录。用户名：LocalUserXX（ XX是组号）密码：password登录到：MserverXX （这里MserverXX是成员服务器）此时将可以成功登录到该成员服务器上。2）单击“开始”“程序”“管理工具”“计算机管理”，打开计算机管理窗口。3）在左侧控制台树下，在“系统工具”下，扩展“本地用户和组”。4）右击“用户”，选择“新用户”。5）在“新用户”对话框中，在“用户名”框输入ManagerXX，然后单击“创建”，此时将会出现一个“拒绝访问”消息框，用户不能成功建立。6）单击“确定”，关闭出错消息。7）单击“关闭”以关闭“新建用户”窗口，然后关闭“计算机管理”窗口。8）单击“开始”“程序”“管理工具”，用鼠标右击“计算机管理”，选择“运行为”。9）在“以其他用户身份运行”对话框中，确认用户名称是Administrator，域是MserverXX，输入密码password，单击“确定”。如图4.12所示。 10）在左侧控制台树下，在“系统工具”下，扩展“本地用户和组”，右击“用户”，选择“新用户”。11）在“新用户”对话框输入下列信息。用户名：ManagerXX（XX是组号）描述：部门管理员密码：password确认密码：password12）不选择“用户下次登录时必须更改密码”复选框，单击“创建”。13）单击“关闭”按钮，关闭“新建用户”对话框，然后关闭“计算机管理”窗口。14）退出登录。（4）用LocalUserXX登录，并测试本地账户连接到域资源的能力。1）以下列信息登录到域TestDomainXX.com。用户名：LocalUserXX（XX是组号）密码：password登录到：TestDomainXX.com此时将出现信息，表示不能登录到域。2）单击“确定”，关闭“登录消息”框。3）利用下列信息登录到域TestDomainXX.com。用户名：AdminXX（ XX是组号）密码：password登录到：TestDomainXX（这里MserverXX是成员服务器）此时成功登录。4）考虑为什么两个用户账户登录到域会有不同的结果？5）退出登录。3创建域用户账户在下面的练习中，将创建两个临时域用户账户Tuser1和Tuser2，然后配置下列账户选项： 登录时段 登录到的服务器 账户失效时间注意：本步骤实验需要在域控制器上执行。（1）以AdminXX作为用户名登录到域TestDomainXX.com，并完成账户创建工作。1）以下列信息登录到域TestDomainXX.com。用户名：AdminXX密码：password登录到：TestDomainXX.com2）此时将能够成功登录。图4.13 创建组织单元图4.14 新建用户（2）在域中创建一个组织单元，用于存放创建的用户对象。1）从“管理工具”菜单打开“AD用户和计算机”管理窗口。2）在左侧控制台，扩展TestDomainXX.com，右击TestDomainXX.com，选择“新建”“组织单元”。 3）在“新建对象-组织单元”对话框，输入组织单元名称UserOU，单击“确定”。4）（3）在组织单元UserOU中，创建临时用户Tuser1 和Tuser2。1）在左侧控制台树，右击上一步生成的组织单元UserOU，选择“新建”，单击“用户”。2）利用下列信息完成“新建对象-用户”对话框。名字：Tuser1登录名：Tuser13）单击“下一步”，在“密码”和“确认密码”框输入password。4）单击“下一步”，然后单击“完成”。 5）重复上面过程创建账户Tuser2，密码为password。（4）利用“AD用户和计算机”为Tuser1设置登录时段和登录到服务器等信息。1）在左侧控制台树单击“UserOU”，在右侧详细窗口，双击“Tuser1”。1）在“Tuser1属性”对话框，进入“账户”选项卡，单击“登录时间”。3）在“Tuser1的登录时段”对话框，单击日历左上角“全部”，单击“拒绝的登录”。4）在登录时段上拖动光标，选中“从星期一到星期五，从7点到19点”，单击“允许登录”。5）在“账户”选项卡，单击“登录到”按钮。6）在“登录工作站”对话框，单击“下列计算机”，在“计算机名”框输入WserverXX，单击“添加”。7）在“账户”选项卡，在“账户过期”下，单击“在这之后”，然后选择从当前时间算起的下一个星期五。8）关闭属性对话框。图4.15 登录时段图重作图4.16 登录到工作站（5）重复第（4）步，为Tuser2完成下面信息的配置。登录时段：星期一到星期六，上午8点到下午6点登录到：MserverXX账户失效时间：当前日期算起的下一个星期五（6）试图以Tuser1作为用户名，从MserverXX登录到域TestDomainXX.com。1）以下列信息在成员服务器上MserverXX做登录。用户名：Tuser1密码：password登录到：TestDomainXX.com2）此时不能成功登录，因为账户配置限制了Tuser1只能在WserverXX登录。3）单击“确定”，关闭登录消息对话框。（7）试图以Tuser2作为用户名，从MserverXX登录到域TestDomainXX.com。1）以下列信息在成员服务器上MserverXX做登录。用户名：Tuser2密码：password登录到：TestDomainXX.com2）此时可以成功登录。3）退出登录。4创建全局组下面实验将创建一个全局组Backup Admin，把用户BackupXX添加到这个全局组中，然后把全局组Backup Admin添加到内置的域本地组Backup Operators中。（1）利用AdminXX账户登录到域控制器。（2）利用“AD计算机和用户”在UserOU中创建一个用户，用户名和登录名都为BackupXX。（3）利用“AD计算机和用户”在UserOU中创建一个全局组Backup Admin。1）在“AD计算机和用户”管理窗口，右击左侧UserOU，选择“新建”，单击“组”。2）在组名称框中输入“Backup Admin”。3）确定该组的类型是“安全”，范围是“全局”，单击“确定”。（4）向Backup Admin组添加域用户账户BackupXX。1）在右侧详细资料窗口中，双击“Backup Admin”。2）进入“成员”选项卡，单击“添加”。3）在“选择用户，联系人，计算机或者组”对话框中，在名称栏单击BackupXX，单击“确定”。4）单击“确定”，关闭属性页。（5）