用户和组的管理

第5讲用户和组的管理 企业需求 公司有100个员工 每个人工作内容不同 然而他们中有些人有相同的权限 需要为每个人创建不同的帐号还需要把有类似功能的用户放在一个组中每个用户有自己的特定信息 需要可以自己设置密码 本讲任务 为每个用户创建一个帐号把有共同点的用户放在同一组中 设置每个用户的信息 同时要求用户第一次登录时 要修改密码区分组和组织单位 目录结构 基本概念账户账户的概念账户的分类组组的概念组的分类基本操作 基本概念篇 5 1 1账户的概念 账户 账户是用户登录到域访问网络资源或登录到某台计算机访问该机上的资源的标识 包括账户名和密码 帐户名的命名规则 账户名必须唯一 且不分大小写 最多包含20个大小写字符和数字 输入时可超过20个字符 但只识别前20个字符 不能使用保留字字符 可以是字符和数字的组合 不能与组名相同 密码的命名规则 必须为Administrator账户分配密码 防止未经授权就使用 明确是管理员还是用户管理密码 最好用户管理自己的密码 密码的长度在7 128之间 使用不易猜出的字母组合 例如不要使用自己的名字 生日以及家庭成员的名字等 密码可以使用大小写字母 数字和其它合法的字符 5 1 2账户的类型 WORKGROUP和DOMAIN 工作组和域 5 1 2账户的类型 创建方式的不同 工作组可以由任何一个计算机的管理员来创建 用户在系统的 计算机名称更改 对话框中输入新的组名 重新启动计算机后就创建了一个新组 每一台计算机都有权利创建一个组 域只能由域控制器来创建 然后才允许其它的计算机加入这个域 5 1 2账户的类型 安全机制不同 登录方式不同 5 1 2账户的类型 本地账户域账户内置账户 本地账户 本地账户对应对等网的工作组模式 建立在非域控制器的WindowsServer2003独立服务器 成员服务器以及WindowsXP客户端 本地账户只能在本地计算机上登录 无法访问域中其它计算机资源 SAM数据库文件路径为系统盘下 Windows system32 config SAM 在SAM中 每个账户被赋予唯一的安全识别号 SID SecurityIdentifier 用户要访问本地计算机 都需要经过该机SAM中的SID验证 本地账户建立在本地 且只能在本地计算机上登录 本地账户 本地账户的登录验证 域账户 域账户和密码存储在域控制器上ActiveDirectory数据库中 域数据库的路径为域控制器中的系统盘下 Windows NTDS NTDS DIT 域账户一旦建立 会自动地被复制到同域中的其它域控制器上 复制完成后 域中的所有域控制器都能在用户登录时提供身份验证功能 内置账户 WindowsServer2003安装完毕后 系统会在服务器上自动创建一些内置账户Administrator 系统管理员 拥有最高权限 Guest 来宾 是为临时访问计算机的用户提供的 该账户自动生成 且不能被删除 可以更改名字 5 2组的概念 5 2组的概念 什么是组 组 相同权限的用户的集合 组的信息存放在本地安全账户数据库中 SAM 5 2组的分类 本地组 域组 5 2组的分类 本地组 创建在本地的组账户 可以在WindowsServer2003 2000 NT独立服务器或成员服务器 WindowsXP WindowsNTWorkstation等非域控制器的计算机上创建本地组 这些组账户的信息被存储在本地安全账户数据库 SAM 内 本地组只能在本地机使用 它有两种类型 用户创建的组和系统内置的组 域组 该账户创建在WindowsServer2003的域控制器上 组账户的信息被存储在ActiveDirectory数据库中 这些组能够被使用在整个域中的计算机上 5 2组的分类 根据组的作用范围 WindowsServer2003域组分为通用组 全局组和本地域组 它们的成员和权限作用范围见表 组的分类 组织单位OU OU是活动目录中一种特有的目录对象类型组织单位是一种目录容器可以包含用户 组 计算机 打印机和其他 组织单位 组织单位只能包含本域的对象 不能包含来自其他域的对象 组 和 组织单位 的区别 组是用户账户或其他组账户的集合 主要用于用户账户的组织管理 以及资源权限的访问控制组织单位是多种对象的集合 主要着眼于网络系统的构建 基本操作篇 本地账户和组的建立与设置 5 3 1创建本地账户 开始 管理工具 计算机管理 5 3 1创建本地账户 密码 用户登录时使用的密码 确认密码 为防止密码输入错误 需再输入一遍 用户下次登录时须更改密码 用户首次登录时 使用管理员分配的密码 当用户再次登录时 强制用户更改密码 用户更改后的密码只有自己知道 这样可保证安全使用 5 3 1创建本地账户 用户不能更改密码 只允许用户使用管理员分配的密码 密码永不过期 密码默认的有限期为42天 超过42天系统会提示用户更改密码 选中此项表示系统永远不会提示用户修改密码 账户已禁用 选中此项表示任何人都无法使用这个账户登录 适用于企业内某员工离职时 防止他人冒用该账户登录 5 3 2本地账户重命名 5 3 3删除本地账户 管理员修改 5 3 4更改账户密码 用户自己修改 5 3 4更改账户密码 重设密码可能会造成不可逆的信息丢失 出于安全的原因 要更改用户的密码分以下几种情况 如果用户在知道密码的情况下想更改密码 登录后按Ctrl Alt Del键 输入正确的旧密码 然后输入新密码即可 如果用户忘记了登录密码 可以使用 密码重设盘 来进行密码重设 密码重设只能用于本地机中 5 3 5禁用与激活本地账户 禁用账户 激活账户 组的管理 5 4 1创建本地组 5 4 2将成员添加到组 5 4 3将组添加到组 5 4 4内置本地组 域账户和组的建立与属性设置 5 5组的管理 创建本地组的用户必须是Administrators组或AccountOperators组的成员 建立本地组并在本地组中添加成员的具体操作步骤如下 1 以Administrator身份登录 右击 我的电脑 选择 管理 计算机管理 本地用户和组 组 右击 组 选择 新建组 命令 如图所示 2 如图所示 在弹出的 新建组 对话框中输入组名 组的描述 单击 添加 按钮 即可把已有的账户或组添加到该组中 该组的成员在 成员 列表框中列出 3 单击 创建 按钮完成创建工作 本地组用背景为计算机的两个人头像表示 如图所示 创建与管理本地组 5 5组的管理 图创建本地组图 图 新建组 对话框 5 5组的管理 创建与管理本地组 管理本地组操作较简单 在 计算机管理 窗口右部的组列表中 右击选定的组 选择快捷菜单中的相应命令可以删除组 更改组名 或者为组添加或删除组成员 图创建完毕 5 5组的管理 创建域组的步骤如下 1 打开菜单 开始 管理工具 ActiveDirectory用户和计算机 单击域名 右击某组织单位 选择 新建 组 如图所示 在弹出 新建对象 组 对话框 输入组名 如图所示 2 选择 组作用域 组类型 后 单击 确定 按钮即可完成创建工作 注意 关于 组作用域 和 组类型 这两项是创建组时要特别注意的 默认情况下 创建全局安全组 域组用两个人头像表示 人头像背后没有计算机图标 有别于本地组 和管理本地组的操作相似 在 ActiveDirectory用户和计算机 窗口中 右击选定的组 选择快捷菜单中的相应命令可以删除组 更改组名 或者为组添加或删除组成员 创建与管理域组 5 5组的管理 图创建域组 图 新建对象 组 对话框 5 5组的管理 内置组 WindowsServer2003在安装时会自动创建一些组 这种组叫内置组 内置组又分为内置本地组和内置域组 内置域组又分为内置本地域组 内置全局组和内置特殊组 内置本地组创建于WindowsServer2003 2000 NT独立服务器或成员服务器 WindowsXP WindowsNT等非域控制器的 本地安全账户数据库 中 这些组在建立的同时就已被赋予一些权限 以便管理计算机 如图所示 5 5组的管理 图内置的本地组 5 5组的管理 Administrators组 在系统内有最高权限 拥有赋予权限 添加系统组件 升级系统 配置系统参数 如注册表的修改 配置安全信息等权限 内置的系统管理员账户是Administrators组的成员BackupOperators组 它是所有WindowsServer2003都有的组 可以忽略文件系统权限进行备份和恢复 可以登录系统和关闭系统 可以备份加密文件 Guests组 内置的Guest账户是该组的成员 PowerUsers组 存在于非域控制器上 可进行基本的系统管理 如共享本地文件夹 管理系统访问和打印机 管理本地普通用户 但是它不能修改Administrators组 BackupOperators组 不能备份 恢复文件 不能修改注册表 内置本地组 6 5组的管理 RemoteDesktopUsers组 该组的成员可以通过网络远程登录 Users组 是一般用户所在的组 新建的用户都会自动加入该组对系统有基本的权力 如运行程序 使用网络 不能关闭WindowsServer2003 不能创建共享目录和本地打印机 如果这台机加入到域 则域的域用户自动被加入到该组的Users组 NetworkConfigurationOperators组 该组内的用户可在客户端执行一般的网络配置 例如更改IP 但不能添加 删除程序 也不能执行网络服务器的配置工作 内置本地组 5 5组的管理 在图所示的左窗格单击Builtin或Users组织单元 可以看到部分内置的域组 内置域组 图内置的域组 5 5组的管理 1 内置本地域组 创建在域控制器的活动目录中 它在建立的同时就已被赋予一些权力 以便管理整个域和活动目录 AccountOperator 成员可以创建 删除账户和组 不能修改Administrators组或任何Operators组 Administrator 成员可以在所有域控制器上完成全部管理工作 默认时Administrator是该组的成员 BackupOperators 成员可以备份和还原所有域控制器 Guest 成员只能完成授权的任务 访问授权的资源 默认时Guest和全局组DomainGuests是该组的成员 ServerOperators 成员可以共享磁盘 备份和还原域控制器上的文件 Users 默认时 DomainUsers组是其成员 可以用该组来指定每个在域中账户应该具有的权限 5 5组的管理 2 内置全局域组 创建在域控制器的活动目录中 它本身没有任何权力和权限 但可以通过加入到具备权力和权限的本地域组获得权力和权限 或直接给该组赋予权力和权限DomainUsers 将DomainUsers添加到本地域组Users中 每个新域账户自动成为该组的成员 DomainAdmins 将DomainAdmins添加到本地域组Administrators中 这样DomainAdmins成员可以在该域中任何地方的计算机上完成管理工作 默认时Administrator是该组的成员 DomainGuests 将DomainGuests添加到本地域组Guests中 默认时Guest账户是该组的成员 EnterpriseAdmins 对于那些要对整个网络有管理控制权的用户 可以把其账户加到该组中 然后把该组添加到每个域中的本地域组Administrators组中 默认时Administrator是该组的成员 5 5组的管理 3 内置特殊组 常见的内置特殊组有如下几种 Everyone 包括所有访问该计算机的用户 如果为Everyone指定了权限并启用Guest账户时一定要小心 Windows会将没有有效账户的用户当成Guest账户 该账户自动得到Everyone的权限 AuthenticatedU