项目4 服务器系统的安装

1、小型局域网管理项目教程小型局域网管理项目教程 主讲：涂小燕 课程组：小型局域网管理 教研室：网络通信 2021-7-132 项目描述 相关理论基础 项目实施 项目总结 项目实训 项目描述 新建用户和组 创建本地用户和组 、创建域用户和域组 。 用户和组的管理 管理用户和组包括重设账户密码、重命名账户、删除账户、添 加组成员等 。 登录验证 本地用户和组账户用于登录工作组模式下的计算机或者域中的 成员服务器，经过登录计算机的本地安全数据库验证。域用户 和组用于登录域，经过域控制器的活动目录数据库验证。 本项目的主要目的 熟悉Windows Server 2003的用户账户和组账户的设置和管理。

2、4.2.1 4.2.1 组和组织单位组和组织单位 组组是指组账户，是用户账户的集合。为组 分配了某个权限，该组内的所有用户都有拥有 这个访问权限而不再需要每个用户单独设置， 因此使用组可以起到简化用户管理和资源访问 权限设置的目的。 组织单位组织单位是一种容器，是域中多种对象的 集合。使用组织单位可以根据管理目的分组并 组织对象。一个组织单位内可包含用户、组、 计算机、打印机和其他组织单位等对象。使用 组织单位可使建立的域数目减少到最小，实现 网络系统的合理架构和网络内部的分层管理。 4.2.2 用户账户和组账户的类型用户账户和组账户的类型 1用户账户的类型： （1 1）本地用户账户）本地用户

3、账户 本地用户账户驻留在本地安全账户数据库SAM内， 只具有本地意义。用户使用本地账户只能登录到计算 机本机，无法访问网络上的其他计算机。在某台计算 机上创建一个本地账户后，该账户只存在于这台计算 机的SAM内，不会复制到其他计算机的SAM内。SAM数据 库位于%SystemRoot%system32config文件夹内（ %SystemRoot%表示操作系统的安装文件夹，如 C:WINNT）。当用户使用本地账户登录时，由这台计 算机的SAM验证账户名称和密码是否正确。 4.2.2 用户账户和组账户的类型用户账户和组账户的类型 （2 2）域用户账户）域用户账户 域用户账户是建立在域控制器的活动

4、目录内、在 域中通用的唯一凭证。用户使用域用户账户可以登录 域中的任何一台计算机（有相应的权限前提下）。如 果在域中的某台域控制器上创建一个域账户后，这个 账户会被自动复制到该域内的所有其他域控制器上。 当用户使用域账户登录时，该域内的所有域控制器上 的活动目录都可以验证账户名称和密码是否正确。 Active Directory数据库位于%SystemRoot%NTDS文 件夹内。 4.2.2 用户账户和组账户的类型用户账户和组账户的类型 2组账户的类型 与两类用户账户对应，Windows Server 2003操作 系统中的组也有两种类型：本地组账户本地组账户和域组账户域组账户 。本地组账户

5、驻留在本地安全账户数据库SAM内，只 具有本地意义，用户使用本地组账户只能登录到计 算机本机，无法访问网络上的其他计算机。域组户 账户是建立在域控制器的活动目录内，在域中通用 ，用户使用域组账户可以登录到域中的任何一台计 算机上。 4.2.3 域组账户的分类域组账户的分类 1组的类型： 根据组的安全性质将域组分成两类:安全 组和分布式组。 （1 1）安全组：）安全组：安全组用来实现资源管理的安全性功能 ，可以通过给安全组赋予访问资源的权限来为该组成 员分配访问控制权限。也就是说，可以通过文件夹属 性对话框的“共享”选项卡为该组成员分配访问控制权 限。每个安全组都有一个唯一的SID。 4.2.3

6、 域组账户的分类域组账户的分类 （2 2）分布式组）分布式组 分布式组没有SID，因此不能被赋予访问资源的 权限。分布式组只在支持AD活动目录的计算机上使 用。分布式组其实就是一个用户账户的列表，它的 作用是组织该组成员的E-MAIL地址形成E-MAIL列表 ，使得基于AD的应用程序利用分布式组分发E-MAIL 给多个用户。 4.2.3 域组账户的分类域组账户的分类 2域组的类型 根据组的作用域将域组分成三类 ：全局组、本地域组和通用组 （1） 全局组的作用是用来组织域中的同类 用户。域功能级别是Windows 2000混合模式时 ，全局组成员包括所在域内的用户账户；域功 能级别是Window

7、s 2000纯模式或Windows Server 2003时，全局组成员包括所在域内的用 户账户和全局组。全局组可以在林中的任何一 个域内被指派权限，全局组可访问的资源范围 是所属域和有信任关系的其他域的资源。只要 该组不隶属于任何一个全局组，全局组就可被 转换成通用组。 4.2.3 域组账户的分类域组账户的分类 （2） 本地域组的作用是为用户提供该组所属域内的 资源访问权限。域功能级别是Windows 2000混合模式 时，本地域组成员包括所有域的用户账户和全局组； 域功能级别是Windows 2000纯模式或Windows Server 2003时，本地域组成员包括所有域的用户账户、全局

8、组、通用组和同一域内的本地域组。本地域组只能在 所属的域内被指派权限，本地域组可访问的资源范围 是该组所属的域内资源。只要该组不隶属于任何一个 本地域组，本地域组就可被转换成通用组。 4.2.3 域组账户的分类域组账户的分类 (3) 通用组的作用是为用户提供所有域的资源访问权 限。域功能级别是Windows 2000混合模式时，不能创 建具有安全组的通用组；域功能级别是Windows 2000 纯模式或Windows Server 2003时，通用组成员包括所 有域的用户账户、全局组、通用组，但不能包括本地 域组。域功能级别必须是Windows 2000纯模式或 Windows Server

9、2003时通用组才能在林中的任何一个 域内被指派权限。通用组可访问的资源范围是所有域 的资源。通用组可以转换成本地域组，当该组不隶属 于任何一个通用组时，通用组还可被转换成全局组。 4.2.3 域组账户的分类域组账户的分类 A（Accounts）: Windows Server 2003内的域用户账户。 G（Global Group）：将Windows Server 2003内的域用 户账户添加到某个全局组中。 为方便控制访问资源，Windows Server 2003建议采用 AGDLP策略。 DL（Domain Local Group）：将全局组添加到某个本地 域组中。 P（Permiss

10、ion）：赋予本地域组资源访问的权限。 4.2.4 系统内置的用户账户系统内置的用户账户 所谓系统内置账户是指未建立就存在的账户，也称“自 带账户”。Windows Server 2003操作系统安装后，比较 熟悉的系统内置账户有两个： 1Administrator （管理员账户） 该账户具有辖区内的最高权限，管理员利用这个账户 管理计算机或域内的资源。该账户可以改名，但不能 删除。 2Guest （客户账户） 该账户默认状态是“禁用”，是临时使用的账户，具有 很少的权限，只能访问网络中有限的资源。该账户可 以改名，但不能删除。 4.2.5 系统内置的本地组账户系统内置的本地组账户 以下是几个

11、常用的内置本地组： 1Administrators组 该组成员都有系统管理员的权限，拥有对这台计算 机的最大权限。内置的Administrator账户就是该组的 成员。如果计算机已加入域，那么域的Domain Admins会自动加入到该组内。 4.2.5 系统内置的本地组账户系统内置的本地组账户 2Guests组 该组是为临时需要访问本机资源但又没有用户账 户的用户提供的，该组成员无法永久改变桌面的 工作环境。内置的Guest账户就是该组的成员。如 果计算机已加入域，那么域的Domain Guests会自 动加入到该组内。 3Backup Operators组 该组成员不论是否有权限访问计算机

12、中的文件或 文件夹，都可通过“开始”|“所有程序”“附件”|“系统 工具”|“备份”来备份或还原这些文件和文件夹。 4.2.5 系统内置的本地组账户系统内置的本地组账户 4Users组 所有添加的本地用户自动属于该组，该组成员只有 基本权限，不能更改其他用户的数据，不能修改操作 系统设置等。如果计算机已加入域，那么域的Domain Users会自动加入到该组内。 5Power Users组 该组成员权限比Users组大，可以创建、更改、删除 本地用户账户，可以自定义系统设置，但不能备份与 还原文件，无法更改Administrators和Backup Operators 组，无法夺取文件的所有权

13、等。 4.2.6 系统内置的域组账户系统内置的域组账户 1内置的本地域组内置的本地域组 内置的本地域组位于活动目录的Builtin容器内， 常见的内置本地域组与内置组基本类似，主要有 以下几个： （1）Administrators组组 该组成员都有系统管理员的权限，拥有对域控 制器的最大权限，可执行整个活动目录的管理功 能。该本地域组默认的成员有Administrator账户 、Domain Admins全局组、Enterprise Admins全局 组等。 4.2.6 系统内置的域组账户系统内置的域组账户 （2）Guests组组 该组是为临时需要访问资源但有又没有用户账户 的用户提供的，该组

14、成员无法永久改变桌面的工作环 境。该本地域组默认的成员有Guest账户和Domain Guests全局组。 （3）Backup Operators组组 该组成员可以备份或还原域控制器内的文件和文件 夹，还可以关闭域控制器。 （4）Users组组 该组成员只有基本权限，不能更改其他用户的数据 ，不能修改操作系统设置等。该组默认成员是Domain Users全局组。 4.2.6 系统内置的域组账户系统内置的域组账户 2 2内置的全局组内置的全局组 域建立后，活动目录中会有一些内置的全局组。 内置的全局组本身没有任何权限，但可以给他们指派 权限或者将他们加入到具备权限的本地域组中。内置 的全局组位于

15、活动目录的Users容器内，常见的内置全 局组主要有以下几个： （1）Domain Admins组组 该组默认的成员为域账户Administrator，组内的每 个成员都具备系统管理员的权限。域内的计算机会自 动将该组加入到自己的Administrators组中。 4.2.6 系统内置的域组账户系统内置的域组账户 （2）Domain Guests组组 该组默认的成员为账户Guest，该组会自动添加到 Guest本地域组中。 （3）Domain Users组组 该组默认的成员为域账户Administrator，所有添加 的域用户账户都自动会加入到该组中。域内的计算机 会自动将该组加入到自己的Us

16、ers组中。 （4) Domain Computers组组 所有加入到域中的计算机会被自动添加到该组中。 （5) Domain Controllers组组 整个域中的所有域控制器会被自动添加到该组中。 4.2.7 系统内置的特殊组账户系统内置的特殊组账户 每一台Windows Server 2003的计算机内都有系统内置的特 殊组，这些组只有在设置权限时才可以看到，用户无法 更改特殊组的成员。常用的特殊组有以下几个： （1）Everyone组组 任何用户都属于这个组，Guest也属于这个组。因此 当Guest账户被启用后，指派该组权限时必须考虑周全。 4.2.7 系统内置的特殊组账户系统内置的

17、特殊组账户 （2）Authenticated Users组组 任何一个利用有效的用户账户连接的用户都属于这 个组。建议在设置权限时尽量针对Authenticated Users 组进行设置而不要针对Everyone进行设置。 （3）Anonymous Logon组组 任何未利用有效的Windows Server 2003账户连接的 用户都属于这个组。在windows?2003内Everyone组内 并不包含“Anonymous Logon”组。 （4) Interactive组组 任何在本地登录的用户都属于这个组。 4.3.1 本地用户账户的创建和管理本地用户账户的创建和管理 1创建本地用户账

18、户创建本地用户账户 本地用户是创建在独立服务器或者成员服务器、 windows xp professional等计算机的“本地安全账户数据 库”内的。计算机启动后，用管理员账户登录后，单击“ 开始”|“管理工具”|“计算机管理”，打开计算机管理控制 台。展开“本地用户和组”项，单击“用户”子项，可看到 右窗格中显示的系统内置的本地用户账户，如图4.2所 示。 4.3.1 本地用户账户的创建和管理本地用户账户的创建和管理 4.3.1 本地用户账户的创建和管理本地用户账户的创建和管理 提示：为提高安全性建议将默认的系统管理员 Administrator账户名称进行更改，之后将全部改成 Admin。

19、以系统管理员身份登录后右击“我的电脑”，选 择“管理”命令后也能打开计算机管理控制台。 步骤一 在上图左窗格中右击“用户”或者在右窗格空白 位置右击，在弹出的菜单中选择“新用户”后出现图4.3 对话框。 步骤二 输入用户名、全名、用户密码、确认密码以 及设置此密码的策略等选项信息。 用户名：用户登录时使用的账户名称，此处输入 “wtest41”。 提示：账户名不能包含以下字符：/ * : | = , + “, 账户名最长不能超过20个字符。 4.3.1 本地用户账户的创建和管理本地用户账户的创建和管理 全名全名：用户的完整名称，不影响系统功能。 描述：描述：为方便管理员识别用户而设置的说明性文

20、字， 不影响系统功能。 密码和确认密码密码和确认密码：用户登录时使用的密码。密码区分 大小写，输入时以星号显示。 (提示提示：密码最多为128个字符组成，建议最小长度为 个字符而且是由大小写字母、数字以及合法的非字 母数字的字符组成，如1Qaz!#$。) 用户下次登录时须修改密码用户下次登录时须修改密码：默认情况下此复选框为 选中状态。选中后用户使用新账户首次登录时，系统 会显示强制更改密码的对话框。 用户不能更改密码用户不能更改密码：去除“用户下次登录时须修改密码 ”复选框后该复选框为可选状态。主要用于多人共享同 一个账户情况。 4.3.1 本地用户账户的创建和管理本地用户账户的创建和管理

21、步骤三 单击图 中的“创建”按钮。注意注意：如果密码不符合 策略要求，会弹出错误提示对话框，账户策略将在第九章中详绍。 4.3.1 本地用户账户的创建和管理本地用户账户的创建和管理 步骤四 单击图 中的“关闭”按钮。用户创建成功后，在计算机管理 控制台中可以看到新创建的“wtest41”，注销管理员账户后可以利用 “wtest41”账户登录到计机。 4.3.1 本地用户账户的创建和管理本地用户账户的创建和管理 4.3.1 本地用户账户的创建和管理本地用户账户的创建和管理 步骤五步骤五 用新创建的“wtest41”账户首次登录计算机时会 出现图4.6提示更改密码。单击“确定”按钮。 4.3.1

22、本地用户账户的创建和管理本地用户账户的创建和管理 步骤六步骤六 出现图4.7对话框更改密码。单击“确 定”按钮后出现图4.8对话框，提示“您的 密码已更改”。再单击“确定”按钮。 图4.7 “wtest41”账户首次登录更改密码 图4.8 密码更改成功提示 4.3.1 本地用户账户的创建和管理本地用户账户的创建和管理 2管理本地用户账户管理本地用户账户 在计算机管理控制台中右击“wtest41”账户，弹出图4.9 菜单。设置密码、删除、重命名操作比较简单，读者 可自己完成。这里主要讲一下“属性”菜单。 图4.9右击账户显示的菜单 4.3.1 本地用户账户的创建和管理本地用户账户的创建和管理 单

23、击上图中的“属性”菜单，弹出如图4.10所示对话框。 4.11 账户“隶属于”属性 4.3.1 本地用户账户的创建和管理本地用户账户的创建和管理 图4.11 账户“隶属于”属性 4.3.1 本地用户账户的创建和管理本地用户账户的创建和管理 “常规常规”标签标签：可以对用户的全名进行更改，添加用户 的描述还可以对用户登录密码的策略进行更改，当用 户被锁定时也可以在这进行解锁。 “隶属于隶属于”标签标签：可以将用户添加到指定的组，单击“ 隶属于”标签，可看到创建的用户默认隶属于Users组 。可单击“添加”按钮修改。具体后面讲到组时再详细 介绍。 单击后弹出如图4.11所示界面，新建用户隶属于Us

24、ers 组。 “配置文件配置文件”标签标签：可以指定用户的配置文件的路径和 用户的登录脚本，同时还可以设置用户主文件夹的路 径或者是连接。具体第5章中会详细介绍。 4.3.1 本地用户账户的创建和管理本地用户账户的创建和管理 “环境环境”标签：可以设置用户登录时启动的程序，这里 要指定程序的文件名和程序开始的路径。也可以对客 户端进行一些设置，比如登录时是否连接客户端驱动 器，客户端打印机等。 “会话会话”标签：可以设置终端服务超时或者重新连接的 选项。 “远程控制远程控制”标签：确定是否启用远程控制，远程控制 是否需要用户的权限以及设置控制级别。 “终端服务配置文件终端服务配置文件”标签：可

25、以设置终端服务配置文 件的路径、终端服务主文件的路径以及是否允许该用 户登录到终端服务器上。 “拨入拨入”标签：可设置远程访问的权限，包括拨入和 VPN、验证呼叫方ID，回拨选项以及分配静态IP地址 和应用静态路由。 4.3.2本地组账户的创建和管理本地组账户的创建和管理 1创建本地组账户创建本地组账户 本地组也是创建在独立服务器或者成员服务器、 windows xp professional等计算机的“本地安全账户数据 库”内的。计算机启动后，用管理员账户登录后，单击 “开始”|“管理工具”|“计算机管理”，打开计算机管理控 制台。展开“本地用户和组”项，单击“组”子项，可看到 右窗格中显示

26、的系统内置的本地组账户，如图4.12所 示。 4.3.2本地组账户的创建和管理本地组账户的创建和管理 图4.12 内置的本地组账户 4.3.2本地组账户的创建和管理本地组账户的创建和管理 步骤一 在上图左窗格中右击“组”或者在右窗格空白位 置右击，在弹出的菜单中选择“新建组”后出现图4.13 对话框。 图4.13 新建本地组 4.3.2本地组账户的创建和管理本地组账户的创建和管理 步骤二 输入组名和描述信息后单击“创建”按钮将回到 新建组对话框。组创建完成后打开计算机管理控制台 能看到“wtest4”，如图4.14所示。 图4.14 新建的本地组账户“wtest4” 4.3.2本地组账户的创建

27、和管理本地组账户的创建和管理 2添加本地组成员添加本地组成员 组创建成功后，需要添加组成员。添加组成员的 方法有两种，一是修改用户的“隶属于”选项卡，使用 户隶属于某个组；二是在组中添加某个账户。下面 以在“wtest4”组中添加成员“wtest41”为例介绍实现过 程。 方法一方法一： 步骤一步骤一 在图4.13中单击“添加”按钮，出现下图4.15对 话框，直接输入用户账户“wtest41”单击“确定”按钮完 成操作。如果不确定名称可单击“高级”按钮查找后添 加。 4.3.2本地组账户的创建和管理本地组账户的创建和管理 图4.15 直接输入用户 4.3.2本地组账户的创建和管理本地组账户的创

28、建和管理 图4.16 单击“高级”按钮 4.3.2本地组账户的创建和管理本地组账户的创建和管理 步骤二步骤二 出现图4.16对话框，记得组名的话直接输入组 名确定就行，也可以单击图 中的“立即查找”按钮。 步骤三步骤三 出现图4.17对话框，在搜索结果最后单击 “wtest41”账户后单击图中的“确定”按钮。 4.3.2本地组账户的创建和管理本地组账户的创建和管理 图4.17 单击“立即查找”按钮 4.3.2本地组账户的创建和管理本地组账户的创建和管理 图 选中“wtest41”后单击“确定”按钮 4.3.2本地组账户的创建和管理本地组账户的创建和管理 步骤四步骤四 出现图4.18对话框，看到

29、组成员列表中出现 “wtest41”用户。表明组成员添加成功。 图4.18 组成员添加成功后的成员列表 4.3.2本地组账户的创建和管理本地组账户的创建和管理 方法二方法二： 在图 账户属性“隶属于”标签中单击“高级”按钮立即查找 ，可以看到此处的查找对象类型为“组”。查找到组 “wtest4”后单击“确定”按钮，显示如图 界面，单击“确 定”按钮完成操作。 4.3.2本地组账户的创建和管理本地组账户的创建和管理 图 查找组 4.3.2本地组账户的创建和管理本地组账户的创建和管理 图 添加组 4.3.2本地组账户的创建和管理本地组账户的创建和管理 将账户“wtest41”添加到组“wtest4

30、”后，发现账户 “wtest41”的隶属于标签发生变化了，如图4.19所示。 图4.19 添加到组后的“隶属于” 标签 4.3.3域用户账户的创建和管理域用户账户的创建和管理 1创建域用户账户创建域用户账户 当一台服务器安装活动目录升级成为域控制器 后其本地账户和本地组是被禁用的。域用户是创 建在域控制器的“活动目录数据库”内的。在域中 可以将用户或者组创建在任何一个容器或组织单 位中。具有创建域用户权限的是默认的系统管理 员Administrator、Domain Admins组、Power Users 组、Account Operators组的成员账户。必须用以上 账户登录，单击“开始”|

31、“管理工具”|“Active Directory用户和计算机”，双击域节点“” 项，单击“Users”子项，可看到右窗格中显示的系 统内置的域用户和域组账户，如图4.20所示。 4.3.3域用户账户的创建和管理域用户账户的创建和管理 图4.20 系统内置的域用户和域组账户 4.3.3域用户账户的创建和管理域用户账户的创建和管理 步骤一步骤一 在上图左窗格中右击“Users”或者在右窗格空 白位置右击，在弹出的菜单中选择“新建”|“用户”后 出现图4.21对话框。 步骤二步骤二 输入用户姓名、登录名等选项信息。 姓名：用户的完整名称，是前面的姓和名的组合 。姓和名至少必须输入一个内容。 用户登录

32、名：即用户主体名称（User principal Name，UPN），格式类似邮件地址，由前缀用户登 录名和后缀账户所属域组成。在活动目录中，默认 的UPN后缀是域树中根域的DNS名。UPN是登录域时 所用的名称，在整个域林内必须唯一。此处输入 UPN前缀“wtest42”，UPN后缀下拉列表中选择 “”。 4.3.3域用户账户的创建和管理域用户账户的创建和管理 用户登录名（Windows 2000以前版本）：当创建 的用户需要从Windows 2000以前版本的客户端上登录 时还应该有另一个登录名，可以与用户登录名不同， 但也必须唯一。 步骤三步骤三 单击图 中的“下一步”按钮，出现图4.2

33、2所示对 话框，和本地用户账户建立类似。又返回到图4.21创 建新用户对话框。 4.3.3域用户账户的创建和管理域用户账户的创建和管理 图4.21 新建域用户账户 图4.22 输入域用户账户密码 4.3.3域用户账户的创建和管理域用户账户的创建和管理 步骤四步骤四 单击图 中的“下一步”按钮后提示域用户成功创 建，如图4.23所示。 用户创建成功后，在“Active Directory用户和计算机” 中可以看到新创建的“wtest42”，如图4.24所示。注销 管理员账户后可以利用“wtest42”账户登录到域。 4.3.3域用户账户的创建和管理域用户账户的创建和管理 图4.23 新建域用户完

34、成 图4.24 查看新建的域用户 4.3.3域用户账户的创建和管理域用户账户的创建和管理 步骤五步骤五 用新创建的“wtest42”账户首次登录域时会出现 提示更改密码。 2管理域用户账户 在“Active Directory用户和计算机”中右击“wtest41” 账户选择“属性”，弹出图4.25对话框。很多选项卡与 本地用户类似，不再重复介绍。这里主要讲一下“账户 ”选项卡。单击账户选项卡，弹出图4.26对话框。 4.3.3域用户账户的创建和管理域用户账户的创建和管理 图4.25 常规标签 图4.26 账户标签 4.3.3域用户账户的创建和管理域用户账户的创建和管理 登录时间：单击此按钮后，

35、弹出图4.27对话框。 默认情况是开放所有的时段。横轴每个方块表示一 个小时，纵轴每个方块表示一天。如果只允许用户 从星期一至星期五每天上午八点到下午八点可以登 录到域，则登录时间界面如图4.28所示。 登录到：单击此按钮后，弹出图4.29对话框。 默认情况是用户可以登录到域内的任何一台计算机 。在计算机名文本框中输入计算机的NetBIOS名称 。如果只允许用户登录到server1和server2两台计算 机，则登录到界面如图4.30所示。 4.3.3域用户账户的创建和管理域用户账户的创建和管理 图4.27 “登录时间”对话框 图4.28 设置后的“登录时间”对话框 4.3.3域用户账户的创建

36、和管理域用户账户的创建和管理 图4.29 “登录到”对话框 图4.30 设置后的“登录到”对话框 4.3.4域组账户的创建和管理域组账户的创建和管理 1创建域组账户创建域组账户 之前的理论基础中介绍了组和组织单位的区别 ，为了让读者更好地理解两个概念，我们先创建一 个组织单位“test”，在这个组织单位中再创建组 “wtest4y”，最后添加组成员“wtest42”。 具有创建域 组权限的是默认的系统管理员Administrator、 Domain Admins组、Power Users组、Account Operators组的成员账户。 必须用以上账户登录后，单击“开始”|“管理工具 ”|“

37、Active Directory用户和计算机”，打开“Active Directory用户和计算机”控制台。 步骤一步骤一 右击域节点“”，在弹出的快捷菜单 中选择“新建”|“组织单位”。如图4.31所示。 步骤二步骤二 输入组织单位名称“test”后单击“确定”按钮，如 图4.32所示。 4.3.4域组账户的创建和管理域组账户的创建和管理 图4.31 新建组织单位对话框 图4.32 输入组织单位名称对话框 4.3.4域组账户的创建和管理域组账户的创建和管理 步骤三步骤三 组织单位创建成功后返回控制台可看到“test”， 如图4.33所示。右击“test”组织单位，在弹出的快捷菜 单中选择“新

38、建”|“组”。如图4.34所示。 图4.33 组织单位创建成功 图4.34 在组织单位中创建组 4.3.4域组账户的创建和管理域组账户的创建和管理 步骤四步骤四 在图4.35对话框中输入组名“wtest4y”，系统显 示默认组作用域为全局组，组类型为安全组，单击确 定按钮完成组创建。组创建成功后返回控制台可看到 组织单位“test”中的组“wtest4y”，如图4.36所示。 图4.35 创建组 图4.36 组织单位中创建组成功 4.3.4域组账户的创建和管理域组账户的创建和管理 2添加域组成员添加域组成员 添加域组成员的方法有多种，一是修改用户的“属 性”|“隶属于”选项卡，使用户隶属于某个

39、组；二是修 改域组的“属性”|“成员”标签，在组中添加某个账户作 为其成员。这和添加本地组成员方法类似，此处不再 重复介绍。除了这两种方法外，还可在“Active Directory用户和计算机”控制台右击某个域账户，在弹 出的快捷菜单中选择“添加到组”，如图4.37所示。 4.3.4域组账户的创建和管理域组账户的创建和管理 图4.37 将域账户添加到域组中 4.3.4域组账户的创建和管理域组账户的创建和管理 3管理域组属性管理域组属性 在“Active Directory用户和计算机”控制台 右击某个域组账户，在弹出的快捷菜单中选择 “属性”，出现如图4.38所示对话框。 “常规”标签：修改

40、域组组名、描述、电子邮件 等信息 “成员”标签：添加组成员。 “隶属于”标签：实现组嵌套。 “管理者”标签：更改组的管理者。 4.3.4域组账户的创建和管理域组账户的创建和管理 图4.38 域组属性 4.3.5用命令批量创建用户用命令批量创建用户 如果在域环境下需要创建多个用户，一个个创建非常 浪费时间，建议批量创建用户。在windows server 2003中用命令批量创建用户有多种方法，下面将详细 介绍。 方法一方法一：采用dsadd user命令。 步骤一步骤一 在C盘根目录下创建一个add.cmd文件，编 辑文件内容为：for /f tokens=1,2,3 %a in (userl

41、ist.txt) do dsadd user CN=%a,OU=财务部 ,DC=mywin,DC=com -upn % -display %b -disabled no -pwd password -pwdneverexpires yes - mustchpwd no，要注意这个语句只能写在一行中，不 能换行。 4.3.5用命令批量创建用户用命令批量创建用户 步骤二步骤二 在C盘根目录下同时创建一个userlist.txt文件，在 文件内输入内容为： zhangsan 张三 lisi 李四 wangwu 王五 这些分三行写，每行显示登录名后加空格再显示名称。 提示：参数的意思和用法： 用户登录

42、名（upn） 设置upn值为 密码永不过期（-pwdneverexpires yes | no 用户密码是 否永远不过期。默认值: no。） 4.3.5用命令批量创建用户用命令批量创建用户 账户永不过期（-acctexpires 设置用户帐户 从今天起在 天内过期. 用户显示名（-display 设置用户显示名 为 。） 登录密码（-pwd | * 设置用户密码为 。如果是 *，会提示您输入密码。） 用户下次登录是否修改密码 （-mustchpwd yes | no 用户在下次登录时是否更改密码。默认值: no。） 账户是否禁用 （-disabled yes | no 用户帐户是否禁 用。默认

43、值: no。） 步骤三步骤三 在上面两个步骤完成之后双击add.cmd运行， 此时将打开Active Directory用户和计算机，在组织单 位text中即可看见创建好的三个用户如图4.39所示。 4.3.5用命令批量创建用户用命令批量创建用户 图4.39用dsadd user批量创建用户效果图 4.3.5用命令批量创建用户用命令批量创建用户 方法二方法二：通过excel表格和dsadd user命令以及for语句 来实现。 步骤一步骤一 新建一个excel表格，输入相关的内容，输入的 依次是用户的姓、名、全名（显示名）、登录名和密 码，保存，同时还要另存为一个后缀为csv的文件，将 这个文

44、件拷贝到C盘根目录下。 4.3.5用命令批量创建用户用命令批量创建用户 图4.40用excel表格输入用户的相关信息 4.3.5用命令批量创建用户用命令批量创建用户 步骤二步骤二 在命令提示符下输入 for /f tokens=1,2,3,4,5 delims=, %a in (user.csv) do dsadd user cn=%c,ou=财务 部,dc=mywin,dc=com -samid %d -upn % - ln %a -fn %b -pwd %e -disabled no，直接回车就可以了 。要注意的是这里也不能换行，必须写在同一行中。 具体界面图如4.41所示。 4.3.5用

45、命令批量创建用户用命令批量创建用户 图4.41创建成功的提示 4.3.5用命令批量创建用户用命令批量创建用户 在这种方法中参数的意义和用法不再详细讲，可参考方 法一的提示。 方法三方法三：用CSVDE和LDIFDE命令。 首先用CSVDE批量创建用户：csvde f user.csv d ou=财务 部,dc=mywin,dc=com r (&(objectcategory=person)(objectclass=user) l DN,objectClass,description。 其次是LDIFDE方法：我们以创建两个用户dava和frank为 例，首先要新建一个文本文件，输入内容如下：

46、dn: CN=dava, OU=财务部, DC=mywin, DC=com changetype: add cn: dava objectClass: user samAccountName: dava 4.3.5用命令批量创建用户用命令批量创建用户 dn: CN=frank, OU=财务部, DC=mywin, DC=com changetype: add cn: frank objectClass: text samAccountName: frank 并将次文件保存为useradd.ldf文件，在命令提 示符下用ldifde i f useradd.ldf s 运行即可。 4.3.5用命

47、令批量创建用户用命令批量创建用户 图4.42用ledifde方法创建用户 4.3.5用命令批量创建用户用命令批量创建用户 相关参数的含义： -d 指定 LDIFDE 为了执行操作应连接到的 LDAP 路径 。 -f 指明要使用的文件的名称，在本例中用于输出导 出结果。 -r 指定要用于导出操作的 LDAP 筛选器。 -s 指定要连接到的执行操作的域控制器 (DC)；如果 遗漏了此项，LDIFDE 将连接到本地 DC 上（如果您正 在从工作站中运行此工具，则连接到验证您身份的 DC）。 -I 这个一个新定义的开关，它的作用是指该用户是 新添加的用户。 批量创建用户，其中建议不要用CSVDE因为此命令是 不可以给用户创建密码的，它只能新建用户，不可以 修改或删除用户，而后者是都可以的 项目总结项目总结 账户是计算机的基本安全对象，操作系统安装完成并 且配置好环境后，管理员应该规划一个安全的网络环 境，为用户提供有效的资源访问服务。本