81网络用户管理

1、8.1网络用户管理2011-7-7 19:12:54本站原创 佚名【字体：大 中小】sql_我要评论（）国际标准化组织（iso ）在iso/iec 7498-4文档中定义了网络管理的五大功能，并被广泛接受。这五 人基本功能是：故障管理、计费管理、配置管理、性能管理、安全管理。由此可见，了解并学握局域网的 管理与维护操作技巧是何等的重要。本章主要介绍基于window2000的局域网的相关管理与维护，主耍内容有：管理用户和计算机、管 理磁盘系统、共享设置、数据备份和还原。网络用户管理服务器是整个基于windows 2000的局域网的核心，网络系统的安全与否很大程度上取决丁-对服务器 端的帐户设置。

2、windows 2000 server除了继承windows nt的用户管理技巧外，还引入了更方便、更 安全的用户管理机制。windows 2000 server将对用戸、组和讣算机等的管理全部集成到mmc（microsoft management console，管理控制台）上，使得系统管理员可以摆脱各种繁琐的工作，管理 起来轻松自如。本节将详细讲解windows 2000 server中用户帐八的管理方法。 & 1. 1创建川户账户）在windows 2000 server中通过"active directory用户和讣算机”创建新的用戸账户。新的用户账户将在mmc （管

3、理控制台）连接到的第一个域控制器上创建，然后被复制到所有的域控制器上。可按如下 操作步骤创建用户账户：1. 进入管理控制台mmc选择“开始 j“程序” “管理工具 j “ active directory用户和计算机”命令打开“ active directory用户和计算机”管理器，如图8-1所示。（也可选择“控制面板”-“管理工具”。）active directory 用户和-ln|x|逐控制台©窗口帮助h-islxl操作色）查看00m e1bf ©国乜郎渝寸倉叫5个对象e active directory f名称类型描述1由-ep ljbuiltjnbuiltindom

4、ainljcomputers 容器default container for.ildomain c.组织单位default container for.oforeignse.容器default container for.lj users容器default container for. i i!图8-1 active directory川户和计算机2. 创建组织单位windows 2000 server允许在users文件夹中直接新建用户。但为了对新建的用户帐户按组织单位 管理，在新建用户乙前最好先创建组织单位。创建组织单位操作类似建立文件夹。实例-：首先创建“学生”和“教师”两个组织单位，川

5、丁-组织管理学生川户和教师川户，接着在“学生” 下创建“计02-1班”和“计022班”两个班级组织单位，用于分别组织管理两个班的学生用户。具体操作如 下：在h active directory用户和计算机”屮选择域-选収“操作”菜单-“新建j“组织单位j在“新建对彖 组织单位”对话框中填写组织单位名称：学生->“确定”。重复上述操作,建立“教师”、“计02j班”和“计02-2班”三个组织单位。创建完成后如图8-2所示。w active directory用户和计算机-ini x|e控制台©窗口帮勛-islxj操作查看go3 *也血|x會也鬲树|学主2个对象移active dir

6、ectory用户和计算机www._ 占jetcom审口 buitin宙口 computers* 0 doman controllers审口 foreignsecurityprincipals口 users名称描述画计02-2j®辺计02-1je啓单位 组织单位厨计022班4| 0计021班 皿）教师丨 1 !4_l 2j图8-2 active directory用户和计算机罗福强lfq下次登录时必须更改教师j02101卜次登录时必须更改计02/班01号学生下次登录时必须更改it 02-1班01号学生计 02201j02201 ddffe表8-1学生用户1. 打开新建用户对话框单击us

7、ers文件夹，然后选取撫作”-噺建”用户喋单.弹出图8-3所示的对话框。2d创挪左:jet. cor/osers对象用户图8-3新建用户2. 填写用户帐户基本信息在“姓名”文本框中输入：罗福强。在“用户登录名”文本框中输入：ifq。如图8-4所示。填写上述信 息后，单击"下一步j弹出如图8-5所示对话框。用户登杲名（q：|lfqco>zi用户登录宕（vlndc>rs2000以前版本暨）：曲|lfq创端在：jet. cor/敛师<上一步e 卞二水习取消 i图8-4新建用户在填写用户信息时应注意以下几点：“用户登录名”：农示用户唯一的登录名，遵守windows 2000

8、 server的命名规则，用户名与下拉列 表框中的域名组合，构成用户完整的internet登录名。"用八登录名（windows 2000以前版本）”：用户的计算机如果使用microsoft windows 2000以 前的版本，如windows 95 ,则用户需使用此登录名登录网络。此登录名在域中必须是唯一的。用户登录名不能超过20个字符，且不能使用/<m ：；（） = ? + *<>等字符，用户名不能仅由空 格组成。xj创建在：jet. cow/users密吗址）：折*对彖用户h地巴f股堂痙痙更改密屿 厂用户不能更改密码（q厂密玛永不过期厂妹戶已停曲<上一步

9、（b）下一步00$取消 i图85噺建对象-用户”密码设置窗口3 设置用户密码图8-5所示对话框各选项说明如下：八密码”：用來鉴别用户密码，为了保证网络的安全，应该指定用户密码;“确认密码”：重复输入密码以确认密码是否正确；“用户下次登录时须更改密码”：如果希望用户在第一次登录时更改密码，选中此项，可保证用户是 唯一知道该密码的人；“用户不能更改密码”：选中此项，只有管理员可更改密码，此项适合于公用帐户，也便于对用户密 码进行控制;“帐户已停用”：可禁用该帐户。在“密码”和“确认密码”文木框中分别输入：111111 o单击“下一步”，将显示所创建的用户信息，如图 &6所示。图86“新建对

10、彖用户”的完成窗口4. 完成创建任务单击“完成”即可。重复以上步骤，创建表8-1所示的其余两个学生川户。 8. 1. 2设置川户账户属性)创建的每一个用户帐户都冇相关的一系列属性，可根据需要设置用户常规、地址、电话、单位、帐户、 拨入等属性。仁打开用户属性对话框耍想设置川户帐户屈性，必须打开用户的属性对话框。可按以下操作步骤完成：首先，选择要设置属性的用户，如选择用户名“罗福强”。然后,选择“操作”菜单中的“屈性”命令，打开如图&7所示的用户属性对话框。该对话框包含了用户 的所冇信息。图8-7用户属性对话框2填写用户资料在用户属性对话框中只需分别选择“常规仁 哋址s “电话仁 弹位11

11、选项卡,即可填写或更改用户的详 细资料。3 设置帐户属性利用属性对话框中的勺帐户”选项卡，可以设置用户帐户的冇关选项。可以按以下操作步骤完成。选择“帐户”选项卡,所图8-8所示。?|2<1抜入 |环境 i合话 |这程揑制终第廉务匕文件|常规 |地址 戦户 |配je文件|电话 |锹位 |危员厲于”户豊录名辺）：用户问容（伽阳吓2000以前版本（1）:|jlt|175豊示时间（d.m豊耘“i. i".用尸下択翌型旺幼更良空国 厂用尸不陡更夜密码r铠码永不过期厂使见可妙的idsr保存毎诃朋过期a 永不过阴 ®r在这之石（£）:图8-8用户属性帐户”选项卡(2)根据

12、实际情况，填写相关选项，填写方法与创建新用户时基本相同，填写完毕，单击“应用”即可。4 设置登录时间默认借况下，windows 2000 server允许用户一夭24小时随时登录到网络。为用户设置登录时间, 以限制用户登录网络的时间，在一定程度上可提高网络的安全性。实例三：限制用户“罗福强”的登录时间为：除双休外，每周每夭8:00am6:00pm z间登录网络。其操 作步骤如下：1 .打开设置登录时间对话框在嗽户”选项卡中单击瞭录时间”按钮，打开设置登录时间对话框，如图8-9所示。其中蓝色部分表示可登录的时间,白色表示不能登录的时间o罗话强的殳录时段确定取消 |a允许登束巴拒锂登录q)图8-9

13、设置登录时段对话框2. 设置允许登录时间首先单击“允许登录”单选钮，然后单击鼠标左键，以选择开始登录时间，如星期一上午&00 ,拖动 鼠标至结束时间，如星期五下午6:00 ,即可。3. 设置拒绝登录时间。首先单击“拒绝登录"单选钮，然后单击鼠标左键，以选择开始登录时间，拖动鼠标至结束时间即可，如两 个双休日全天，星期一至星期五每天0:00至&00 ,18:00至24 :00。4. 完成设克。完成以上设置,效果如图8-9所示。单击“确定”按钮,返回“用户属性”对话框。图8-10登录工作站对话框5. 设置登录工作站在默认情况下，每个川户都可以从域中的所有计算机登录到网络中

14、。如杲想控制用户只能从某一台或 某一些计算机登录，例如希望学生上机操作时对号入朋，每个学生只能从规定的计算机登录入网，这时就 得进行相应的设置。实例四：规定学生“计02-仁01 "只能从工作站useroi登录。其设置步骤如下：1. 打开“登录工作站”对话框。选择用户“计02101”，打开其用户属性，在“帐户”选项卡中，单击“登录到”按钮，打开如图&10所 示的“登录工作站”对话框。2. 选中“下列计算机”单选钮。3. 添加登录的计算机。在“计算机”文本框中，输入可以进行登录的计算机名称：useroi ,并单击“添加”按钮，添加后效果如 图8-10所示。4. 完成设置。单击“确

15、定”按钮，返回川户屈性对话框。如果耍使用八能从其他计算机登录，则只须在第三步操作中重复添加相应的计算机即可。6. 配置拨入设置为用户配置拨号设置之后，用户就可以从远程通过拨号连接到网络。单击“用户属性”对话框的“拨入" 选项卡，完成相应设置即可。下面是“拨入”选项卡各选项的说明：“允许访问”或“拒绝访问”：指明是否允许用户通过远程访问；“验证呼叫方id”：为川户指定拨入电话号码；“不回叫”：指定该用户不能使用回叫；“由呼叫方设置（仅路由利远程访问服务）”：指定用户可以设置回叫选项；“总是回叫到”：指定用户必须使用回叫，用户只冇使用指定的电话号码才能连接到网络上。篁& 1. 3

16、管理用户帐户）1用户帐户一旦创建，系统管理员就要承担起对其管理职贵,常规管理包括用户帐户的复制、移动、删 除、重命名、重设密码、停用等。1. 复制如果要创建的用户帐户与已存在的用户帐户设置相同，那么最佳办法就是复制帐化复制用户帐户可 避免为用户逐个设置用户属性，尤其是当貝有相同属性的帐户较多时可大大提高工作效率。具体操作方法是：选择要复制的帐户t选择“操作j “复制j填写新用户帐户信息确定”。2. 移动当用户已更换纽织单位时，需要将用户移动到其新的纽织单位中，以避免用户纽织混乱。实例五：将用户“计02-1-01 ”、“计02-2-01 ”、“罗福强”分别移到组织单位“计02-1班”、“计02-

17、2班”、墩 师”屮。以移动ui 02-1-01 m为例，其具体操作如下：选定用户“计02-1-01 j选择“操作移动j在“移动”对话框中选择组织单位“计02-1班j“确 定”。3. 删除当用户离开时，可以删除用户帐户。其操作方法是:选定要删除的用户一 选择“操作”一 “删除” t确认删 除，即单击“是”。注意：用户删除后不能再恢复，即使用同样的用户名和密码创建新的用户帐户也不能，这是因为 windows 2000 server给每个新帐户分配一个独一无二的数值，称为安全标志，并且在计算机内使用这个 数值。4. 重命名当需要为用户更换用户名时，可执行車命名操作。其操作方法是：选定要車命名的用户选

18、择“操 作j“重命名j在mmc窗口中更改用户名-在“更改用户姓名”对话框中填写用户姓名、登录名-“确定”。5. 重设密码为安全起见，在windows 2000 server中可对用户密码设定有效期限(见7.1.5安全策略)。当用户 不能登录到网络或者本地计算机时，可重新设登用户的密码。具体操作如下：以具有组织单位管理权限的身份或以系统管理员身份登录；active directory用户和计算机”窗口中，选择需要改变密码的用户；(3)选择“操作”重设密码”-在“重设密码”对话框中输入新密码确定”。6. 停用帐户在某一时期若不希望用户登录网络，但将來还要让用户登录，则可以停用帐户。停用z厉的帐户可

19、以 重新出用。其操作办法为：选择帐户t“操作”t“停用帐户”。 8. 1.4管理组组是可包含用户、联系人、计算机和其他组的active directory或木机对彖。使用组可以管理用户和 计算机对共亨资源的访问，包括：active directory对彖及其属性、网络共亨位.置文件、日录、打印机列 队等。1. 创建纽创建纽是系统管理员的一项重要日常工作，可以使用u active directory用戸和讣算机管理控制台 mmc來创建组帐户。实例六：在users文件夹中创建“student”组。具体操作如下：1 .在“ active directory用户和计算机”树窗屮单击users文件夹；2

20、选择噪作j噺建j“组：打开“新建对象-组”对话框（如图8-11所示）:图8-11噺建对象-组外对话框3. 图8-11对话框中各选项说明如下：组作用域：组有两类作用域：木地域、全局域，用來设置纽的作用范围是木地域还是全局。组类型：windows 2000 server支持两类组：安全式、分布式。安全式纽用于管理用户和计算机及其属性， 以及资源（文件共享、打印机等等）指派权限。分布武组乂称通讯组只能用作电子邮件通讯，不能用于筛 选纽策略设置，无安全功能。在“组名”文本框屮输入：student。单击“确定”按钮，创建完成。2. 删除组当不再需要使用某个组时，一定要删除它，这样冇助于维护网络的安全性，

21、防止无意屮授权的不再需 耍的组登录网络、访问资源。删除组并不会删除成员帐户。在windows 2000 server中，组与用户一-样，都是唯一的，其安全标识符 （sid ）是不能重用的，删除后其sid将不再使用，并不能通过靈新创建恢复。具体操作步骤与删除用户相同（见7.1.3 ）。3. 添加成员创建组z后，可以为组添加成员，纽的成员可以是用户帐户、计算机及其他组。实例七：将用户“计02-1-01 m与“计02-2-01 m添加到“student”组中。具体操作如下：选择组 student o2. 打开组的“属性”对话框:选择“操作j“属性”。3. 选择“成员”选项卡。4. 添加成员：首先单击

22、“添加”按钮，打开“选择用户、组或计算机"对话框；然后在“名称"列表框中选择用户“计 02-1-01 w,单击“添加”按钮。重复此操作步聚,将“计02201 ”加入组。5. 完成结束：单击“确定”按钮。： 81.5安全策略为了更有效地管理用户和计算机，维护网络的安全性，系统管理员有时需要设置系统的安全策略。 windows 2000 server通过域安全策略管理控制台集中设置安全策略。选择“开始j“程序j“管理工具”“域安全策略”，即迹行域安全策略管理控制台如图8-12所示。其 中与用户、计算机管理相关的安全策略有：帐户策略、木地策略、受限制的组文件系统等图8-12域安全

23、策略帐户策略此策略应用于用户帐户，包含下列内容：1. 密码策略：可为本地用户帐户设置密码长度最小值、密码最长或最短的存留期、强制密码历史。2. 帐户锁定策略：决定系统锁定帐户的时间，以及锁定谁的帐户。3. kerberos策略:决定kerberos有关的设置,如帐户有效期和强制性。注意：windows 2000 server 口动设置根域帐户策略。系统管理员可以为一个组织单位定义一个帐 户策略。组织单位的帐户策略设置只影响该组织单位中任何计算机上的本地策略。2. 本地策略该策略属于计算机。本地策略基于已登录的计算机的权限。包含下列内容：1. 审核策略：决定记录在计算机（成功的尝试、失败的尝试或

24、两者）的“安全”日志上的安全事件（“安 全”日志是事件査看器的一部分）。2. 用户权利分配：决定在计算机上有登录或任务特权的用户或组。3. 安全选项：启用或禁用计算机的安全设置，例如数据的数字信号、administrator和guest的帐 户名、软盘驱动器和光盘的访问、驱动程序的安装以及登录提示。3. 受限制的组在默认情况下，"受限制的组"有：administrators、power users、print operators> server operators和domain admins , windows 2000 server自动为其提供安全成员。系统管理员可

25、以添加 任何组，可设置受限制的组。受限制的组可用于解决自动无效成员的问题。例如，山于power users组是默认的windows 2000组，因此它自动地成为“受限制的组”的一部分。 假定它包含两个用户：alice和bob。通'du active directory用户和计算机”管理单元，bob将 charles添加到组中以在休假时代替自己。然而,当bob休假回来时,没有人记得将charles从组中删 除。 在实际部署中，随着时间的流逝，这些情况将会增加不再有这些权限的成员，而导致各组中存在额 外成员。通过“受限制的纽”配置安全性可以防止此情况。 由于只有alice和bob列在power users 的“受限制的组”节点中，因此当应用组策略设置时，charles将自动从组中删除。配宣“受限制的组”确保组成员根据指定进行设宣。没冇在受限组中抬定的组和用户便从抬定的组中被 除去。此外，反向成员配置选项确保每个“受限制的组”只是在“成员”栏中指定组中的成员。由于这些原因， “受限制的纽”应该用于配置工作站或服务器i:木地纽中的成员。4. 委派控制windows 2000 server允许创建组织单位并管理控制权委派给特定用户或纽。如果想实现委派控制，则在创建组织单位时应首