第5章用户账户和组帐户

1、Windows Server 2003 网络操作系统网络操作系统第5章 用户账户与组帐户学习要点学习要点管理本地用户管理本地用户管理本地组管理本地组管理域用户和组管理域用户和组用户账户与组的管理Windows Server 2003 网络操作系统网络操作系统一、一、 管理本地用户管理本地用户(lusrmgr.msc)(lusrmgr.msc) 账户账户 账户是计算机的基本安全对象，账户是计算机的基本安全对象，Windows Server Windows Server 20032003包含了两种账户：用户账户和组账户。包含了两种账户：用户账户和组账户。 保证保证Windows Windows 安

2、全性的主要方法有以下安全性的主要方法有以下4 4点：点： 严格定义各种账户权限；严格定义各种账户权限； 使用组规划用户权限，简化账户权限的管理；使用组规划用户权限，简化账户权限的管理； 禁止非法计算机连入网络；禁止非法计算机连入网络； 应用本地安全策略和组策略。应用本地安全策略和组策略。 用户账户与组的管理Windows Server 2003 网络操作系统网络操作系统管理本地用户 用户账户是计算机的基本安全组件，计用户账户是计算机的基本安全组件，计算机通过用户账户来辨别用户身份，让有使算机通过用户账户来辨别用户身份，让有使用权限的人登录计算机，访问本地计算机资用权限的人登录计算机，访问本地计

3、算机资源或从网络访问这台计算机的共享资源。指源或从网络访问这台计算机的共享资源。指派不同用户不同的权限，可以让用户执行不派不同用户不同的权限，可以让用户执行不同的计算机管理任务。同的计算机管理任务。1.1 用户账户的概述用户账户的概述Windows Server 2003 网络操作系统网络操作系统5.1 管理本地用户 本地用户账户仅允许用户登录访问创建该本地用户账户仅允许用户登录访问创建该账户计算机。账户计算机。5.1.2 本地用户账户本地用户账户 Windows Server 2003Windows Server 2003默认只有默认只有：（1 1）AdministratorAdminist

4、rator账户账户（2 2）GuestGuest账户账户 AdministratorAdministrator账户可以执行计算机管理的所账户可以执行计算机管理的所有操作；而有操作；而GuestGuest账户是为临时访问用户而设置账户是为临时访问用户而设置的，默认是禁用的。的，默认是禁用的。Windows Server 2003 网络操作系统网络操作系统5.1 管理本地用户 系统指派权利、授权资源访问权限等都需要系统指派权利、授权资源访问权限等都需要使用安全标识符。当删除一个用户账户后，重使用安全标识符。当删除一个用户账户后，重新创建名称相同的账户并不能获得先前账户的新创建名称相同的账户并不能获

5、得先前账户的权利。用户登录后，可以在命令提示符状态下权利。用户登录后，可以在命令提示符状态下输入输入“whoami/logonidwhoami/logonid”命令查询当前用户账命令查询当前用户账户的安全标识符。户的安全标识符。5.1.2 本地用户账户本地用户账户Windows Server 2003 网络操作系统网络操作系统5.1 管理本地用户 遵循以下的规则和约定可以简化账户创建遵循以下的规则和约定可以简化账户创建后的管理工作：后的管理工作：5.1.3 本地用户账户的创建本地用户账户的创建1.1.规划新的用户账户规划新的用户账户 （1 1）命名约定）命名约定 （2 2）密码原则）密码原则W

6、indows Server 2003 网络操作系统网络操作系统5.1 管理本地用户创建的步骤如下创建的步骤如下: : （1 1）打开）打开“开始开始”“管理工管理工具具”“计算机管理计算机管理”。 （2 2）展开）展开“本地用户和组本地用户和组”，在，在“用户用户”目录上单击鼠标右键，选择目录上单击鼠标右键，选择“新用户新用户”命命令。令。5.1.3 本地用户账户的创建本地用户账户的创建2.2.创建本地用户账户创建本地用户账户 （3 3）打开）打开 “新用户新用户” 对话框后，输入用对话框后，输入用户名、全名和描述，并且输入密码。户名、全名和描述，并且输入密码。Windows Server 2

7、003 网络操作系统网络操作系统5.1 管理本地用户5.1.3 本地用户账户的创建本地用户账户的创建2.2.创建本地用户账户创建本地用户账户Windows Server 2003 网络操作系统网络操作系统5.1 管理本地用户2 2“隶属于隶属于”选项卡选项卡 1.1. “常规常规”选项卡选项卡5.1.4 设置本地用户账户的属性设置本地用户账户的属性3 3“配置文件配置文件”选项卡选项卡 （1 1）用户配置文件。用户）用户配置文件。用户配置文件有以下几种类型：配置文件有以下几种类型： 默认用户配置文件。默认用户配置文件。Windows Server 2003 网络操作系统网络操作系统5.1 管理

8、本地用户（2 2）用户主文件夹。）用户主文件夹。5.1.4 设置本地用户账户的属性设置本地用户账户的属性 强制用户配置文件。强制用户配置文件。“Ntuser.dat”改成改成“Ntuser.man” （3 3）登录脚本。）登录脚本。%SystemRoot%System32ReplImportScripts 本地用户配置文件。本地用户配置文件。 漫游用户配置文件。漫游用户配置文件。Windows Server 2003 网络操作系统网络操作系统5.1 管理本地用户5.1.4 设置本地用户账户的属性设置本地用户账户的属性Windows Server 2003 网络操作系统网络操作系统5.1 管理本

9、地用户5.1.4 设置本地用户账户的属性设置本地用户账户的属性Windows Server 2003 网络操作系统网络操作系统5.1 管理本地用户 当用户不再需要使用某个用户账户时，可以当用户不再需要使用某个用户账户时，可以将其删除。删除用户账户会导致与该账户有关的将其删除。删除用户账户会导致与该账户有关的所有信息的遗失。所有信息的遗失。5.1.5 删除本地用户账户删除本地用户账户 一旦用户账户被删除一旦用户账户被删除, ,这些信息也就跟着消这些信息也就跟着消失了。重新创建一个名称相同的用户账户，也不失了。重新创建一个名称相同的用户账户，也不能获得原先用户账户的权限。能获得原先用户账户的权限。

10、Windows Server 2003 网络操作系统网络操作系统5.1 管理本地用户用命令行方式创建一个新用户：用命令行方式创建一个新用户： net user username password /add net user username password /add 5.1.6 使用命令行创建用户使用命令行创建用户用命令行方式修改密码：用命令行方式修改密码： net user username password net user username password Windows Server 2003 网络操作系统网络操作系统5.2 5.2 管理本地组管理本地组5.2.1 本地组概述本地组

11、概述常用的默认组包括：常用的默认组包括： AdministratorsAdministrators Backup OperatorsBackup Operators GuestsGuests Power UsersPower Users Print OperatorsPrint Operators Remote Desktop UsersRemote Desktop Users UsersUsers第5章 用户账户与组的管理Windows Server 2003 网络操作系统网络操作系统以下几种特殊组：以下几种特殊组： Anonymous LogonAnonymous Logon5.2 管理本

12、地用户5.2.1 本地组概述本地组概述 Anonymous LogonAnonymous Logon EveryoneEveryone NetworkNetworkNetworkNetwork组的成员：组的成员： InteractiveInteractiveWindows Server 2003 网络操作系统网络操作系统1.Windows1.Windows方式方式 打开打开“计算机管理计算机管理”管理单元。右击管理单元。右击“组组”文件夹，从快捷菜单中选择文件夹，从快捷菜单中选择“新建组新建组”。在。在“新建组新建组”对话框中，输入组名和描述，然对话框中，输入组名和描述，然后单击后单击“添加添

13、加”向组中添加成员。向组中添加成员。5.2 管理本地用户5.2.2 创建本地组创建本地组2 2. .命令方式创建一个组命令方式创建一个组, ,命令格式为：命令格式为： net localgroup groupname /addnet localgroup groupname /addWindows Server 2003 网络操作系统网络操作系统5.2 管理本地用户5.2.2 创建本地组创建本地组Windows Server 2003 网络操作系统网络操作系统1 1. .W Windowsindows操作：操作： 1. 1.右击右击“我的电脑我的电脑”，选择，选择“管理管理”，打开，打开“计计

14、算机管理算机管理”管理单元。管理单元。5.2 管理本地用户5.2.3 为本地组添加成员为本地组添加成员 2.2. 在左窗格中展开在左窗格中展开“本地用户和组本地用户和组”对象对象; ;选择选择“组组”对象，显示本地组。对象，显示本地组。 3.3.双击要添加成员的组双击要添加成员的组, ,打开组的打开组的“属性属性”对话对话框。框。 4.4.单击单击“添加添加”按钮，选择要加入的用户即可。、按钮，选择要加入的用户即可。、2 2. .使用命令行的话，可以使用命令：使用命令行的话，可以使用命令： net localgroup groupname username /addnet localgroup

15、 groupname username /add Windows Server 2003 网络操作系统网络操作系统本地用户账户DEMO（1）DEMO利用注册表（利用注册表（SAM） A：克隆管理员用户：克隆管理员用户 B: 隐藏账户隐藏账户 Windows Server 2003 网络操作系统网络操作系统第5章 用户账户与组的管理分类： （1）用户账户 提供对资源的访问和单点登录 （2）组账户 帮助简化管理 （3）计算机账户 启用对资源的验证和审核5.35.3管理域用户和组管理域用户和组Windows Server 2003 网络操作系统网络操作系统1. 1. 域用户账户域用户账户 安装完活动

16、目录，就已经添加了一些内置域账户，安装完活动目录，就已经添加了一些内置域账户，它们位于它们位于UsersUsers容器中，如：容器中，如：Administrator Administrator 、 GuestGuest AdministratorAdministrator账户是以下组的成员：账户是以下组的成员：AdministratorsAdministrators、Domain AdminsDomain Admins、Enterprise Enterprise AdminsAdmins、Group Policy Creator OwnersGroup Policy Creator Owner

17、s和和Schema Schema AdminsAdmins 5.3 管理域用户和组 5.3.1 管理域用户和计算机账户管理域用户和计算机账户Windows Server 2003 网络操作系统网络操作系统域用户账号 域用户账户用来使用户能够登录到域或其他计域用户账户用来使用户能够登录到域或其他计算机中，从而获得对网络资源的访问权。经常访问网算机中，从而获得对网络资源的访问权。经常访问网络的用户都应拥有网络惟一的用户账户。如果网络中络的用户都应拥有网络惟一的用户账户。如果网络中有多个域控制器，可以在任何域控制器上创建新的用有多个域控制器，可以在任何域控制器上创建新的用户账户，因为这些域控制器都是

18、对等的。当在一个域户账户，因为这些域控制器都是对等的。当在一个域控制器上创建新的用户账户时，这个域控制器会把信控制器上创建新的用户账户时，这个域控制器会把信息复制到其他域控制器，从而确保该用户可以登录并息复制到其他域控制器，从而确保该用户可以登录并访问任何一个域控制器。访问任何一个域控制器。Windows Server 2003 网络操作系统网络操作系统内置用户账号Windows Server 2003Windows Server 2003自动创建若干个用户账号，自动创建若干个用户账号，并且赋予了相应的权限，称为内置账号。内置用户并且赋予了相应的权限，称为内置账号。内置用户账号不允许被删除。账

19、号不允许被删除。 最常用的两个内置账号是最常用的两个内置账号是AdministratorAdministrator和和GuestGuest。使用内置使用内置AdministratorAdministrator（管理员）账号管理计算（管理员）账号管理计算机和域配置机和域配置 。GuestGuest（来客）账号一般被用于在域中或计算机中（来客）账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。没有固定账号的用户临时访问域或计算机时使用的。 Windows Server 2003 网络操作系统网络操作系统创建域用户账号 “管理工具管理工具”“Active Directory

20、Active Directory用户和计算机用户和计算机” Windows Server 2003 网络操作系统网络操作系统新建对象用户Windows Server 2003 网络操作系统网络操作系统输入密码 Windows Server 2003 网络操作系统网络操作系统强密码的特征 长度至少有长度至少有7 7个字符。个字符。 不包含用户名、真实姓名或公司名称。不包含用户名、真实姓名或公司名称。 不包含完整的字典词汇。不包含完整的字典词汇。 包含全部下列包含全部下列4 4组字符类型：大写字母（组字符类型：大写字母（A A、B B、C C）、小写字母（）、小写字母（a a、b b、c c）、数

21、字）、数字（0 0、l l、2 2、3 3、4 4、5 5、6 6、7 7、8 8、9 9）、键盘上的）、键盘上的符号（键盘上所有未定义为字母和数字的字符，符号（键盘上所有未定义为字母和数字的字符，如如 !#$%&!#$%&（）（）* *_ + - |/?:_ + - |/?:”; ;,.,.）。）。 账户已禁用。防止用户使用选定的账户登录，当账户已禁用。防止用户使用选定的账户登录，当用户暂时离开企业时，可以使用该选项，以便日用户暂时离开企业时，可以使用该选项，以便日后迅速启用。也可以禁用一个可能有威胁的账户，后迅速启用。也可以禁用一个可能有威胁的账户，当排除问题之后，再重新启用该账户。许多管

22、理当排除问题之后，再重新启用该账户。许多管理员将禁用的账户用做公用用户账户的模板。以后员将禁用的账户用做公用用户账户的模板。以后拟再使用该账户时，可以在该账户上右击，并在拟再使用该账户时，可以在该账户上右击，并在弹出的快捷菜单中选择弹出的快捷菜单中选择“启用账户启用账户”选项即可。选项即可。Windows Server 2003 网络操作系统网络操作系统密码策略用户何时需要重置密码用户何时需要重置密码 忘记密码时；忘记密码时； 重置密码后，用户将不能访问某些重置密码后，用户将不能访问某些资源：使用用户公钥加密的资源：使用用户公钥加密的EMAIL 本地保存的本地保存的IE密码密码 用户加密的文件

23、用户加密的文件Windows Server 2003 网络操作系统网络操作系统设置用户账号属性Windows Server 2003 网络操作系统网络操作系统1.设置个人属性常规、地址选项卡Windows Server 2003 网络操作系统网络操作系统设置个人属性电话、单位选项卡Windows Server 2003 网络操作系统网络操作系统2. 设置账号属性 Windows Server 2003 网络操作系统网络操作系统3.设置登录时间Windows Server 2003 网络操作系统网络操作系统4. 设置用户可登录的计算机 Windows Server 2003 网络操作系统网络操作

24、系统维护用户账号 1. 1. 禁用、启用、重命名和删除用户账号禁用、启用、重命名和删除用户账号 Windows Server 2003 网络操作系统网络操作系统2. 重设密码Windows Server 2003 网络操作系统网络操作系统5.3 管理域用户和组 5.3.2 组对象的管理组对象的管理 组的种类及作用域 1. 组的种类 组在组在Windows Server 2003中分为安全组和通信组。中分为安全组和通信组。 1）安全组）安全组 安全组列在定义资源和对象权限的选择性访问控制安全组列在定义资源和对象权限的选择性访问控制表（表（DACL）中，它将用户、计算机和其他组对象作为一）中，它将

25、用户、计算机和其他组对象作为一个可管理的单位。个可管理的单位。 2）通信组）通信组 通信组不列在定义资源和对象权限的选择性访问控制通信组不列在定义资源和对象权限的选择性访问控制表（表（DACL）中，它不采用安全机制。）中，它不采用安全机制。Windows Server 2003 网络操作系统网络操作系统5.3.2 组对象的管理2. 组的作用域 组在域树或域林中的应用范围称为组的作用域，组在域树或域林中的应用范围称为组的作用域，它有三种类型：它有三种类型： 1）通用组）通用组 有通用作用域的组称为通用组。有通用作用域的组称为通用组。 2）全局组）全局组 有全局作用域的组称为全局组。有全局作用域的

26、组称为全局组。 3）本地组）本地组 有本地作用域的组称为本地组。有本地作用域的组称为本地组。Windows Server 2003 网络操作系统网络操作系统1. 创建组 （1）打开）打开“Active Directory用户和计算机用户和计算机”管理工管理工具，选择要新建的组所属的域、容器或组织单位。以在具，选择要新建的组所属的域、容器或组织单位。以在“Users”中创建组为例，用右键单击中创建组为例，用右键单击“Users”，选择，选择“新建新建”，再单击，再单击“组组” 。 （2）这时系统弹出）这时系统弹出“新建对象组新建对象组”窗口。输入组名，窗口。输入组名，并根据需要选择组作用域和组类

27、型。并根据需要选择组作用域和组类型。 （3）按）按“确定确定”按钮，完成组的创建，便可在按钮，完成组的创建，便可在“Active Directory用户和计算机用户和计算机”管理工具中看见我们管理工具中看见我们新创建的组。新创建的组。用户组的创建与管理Windows Server 2003 网络操作系统网络操作系统创建组Windows Server 2003 网络操作系统网络操作系统2. 设置组 可以对刚才创建的组进行移动该组到其他容器、向可以对刚才创建的组进行移动该组到其他容器、向全组发送邮件、删除、重命名等操作，如图所示。全组发送邮件、删除、重命名等操作，如图所示。用户组的创建与管理Win

28、dows Server 2003 网络操作系统网络操作系统1）设置组成员）设置组成员 选择选择“属性属性”，系统弹出，系统弹出“Check属性属性”窗口，再窗口，再选择选择“成员成员”选项卡，如图所示。选项卡，如图所示。用户组的创建与管理Windows Server 2003 网络操作系统网络操作系统2）设置组隶属于）设置组隶属于 选择选择“属性属性”，系统弹出，系统弹出“Check属性属性”窗口，再窗口，再选择选择“隶属于隶属于”选项卡，如图所示。选择该组所属的其他选项卡，如图所示。选择该组所属的其他安全组，该设置可确定该组的权限。安全组，该设置可确定该组的权限。用户组的创建与管理Windo

29、ws Server 2003 网络操作系统网络操作系统3）移动组）移动组 选择选择“移动移动”，系统会出现如图所示窗口。再选择要，系统会出现如图所示窗口。再选择要移入的容器，最后按移入的容器，最后按“确定确定”按钮便可完成移动。按钮便可完成移动。用户组的创建与管理Windows Server 2003 网络操作系统网络操作系统5.3.3 计算机账户的管理计算机账户的管理 在域中创建计算机账户 在域中每台计算机的账户都是惟一的，可以通过在域中每台计算机的账户都是惟一的，可以通过“Active Directory用户和计算机用户和计算机”管理工具来创建计算管理工具来创建计算机用户机用户 （1）打开）打开“Active Directory用户和计算机用户和计算机”管理管理工具，用右键单击窗口右边的工具，用右键单击窗口右边的“Computer”（也可以选（也可以选择其他容器）进行添加计算机账户，单击择其他容器）进行添加计算机账户，单击“计算机计算机”，弹，弹出