第六章 用户和组的管理ppt课件

1、第6章用户与组的管理 用户的管理组的管理组战略对象的管理6.1 用户的管理每个用户都需求有一个账户，以便登录到域访问网络资源或登录到某台每个用户都需求有一个账户，以便登录到域访问网络资源或登录到某台计算机访问该机上的资源。用户的账户类型有域账户、本地账户和内置计算机访问该机上的资源。用户的账户类型有域账户、本地账户和内置账户。域账户用来登录网络，本地账户用来登录到某台计算机，内置账账户。域账户用来登录网络，本地账户用来登录到某台计算机，内置账户用来对计算机进展管理。户用来对计算机进展管理。组是用户账户的集合，管理员通常经过组来对用户的权限进展设置从而组是用户账户的集合，管理员通常经过组来对用户

2、的权限进展设置从而简化了管理。简化了管理。用户账户由一个账户名和一个密码来标识，二者都需求用户在登录时键用户账户由一个账户名和一个密码来标识，二者都需求用户在登录时键入。账户名是用户的文本标签，密码那么是用户的身份验证字符串，是入。账户名是用户的文本标签，密码那么是用户的身份验证字符串，是Windows Server 2019网络上的个人独一标识。用户账户经过活动目网络上的个人独一标识。用户账户经过活动目录验证后登录到计算机和域，并授权访问域资源。录验证后登录到计算机和域，并授权访问域资源。6.1 用户的管理账户名的命名规那么如下：账户名的命名规那么如下：账户名必需独一，且不分大小写。账户名必

3、需独一，且不分大小写。最多包含最多包含20个大小写字符和数字，输入时可超越个大小写字符和数字，输入时可超越20个字符，个字符，但只识别前但只识别前20个字符。个字符。不能运用保管字字符：不能运用保管字字符： ：；，？：；，？可以是字符和数字的组合。可以是字符和数字的组合。不能与组名一样。不能与组名一样。6.1 用户的管理为了维护计算机的平安，每个账户必需有密码，设立密为了维护计算机的平安，每个账户必需有密码，设立密码应遵照以下规那么：码应遵照以下规那么：必需为必需为Administrator账户分配密码，防止未经授权就运账户分配密码，防止未经授权就运用。用。明确是管理员还是用户管理密码，最好用

4、户管理本人的明确是管理员还是用户管理密码，最好用户管理本人的密码。密码。密码的长度在密码的长度在8128之间。之间。运用不易猜出的字母组合，例如不要运用本人的名字、运用不易猜出的字母组合，例如不要运用本人的名字、生日以及家庭成员的名字等。生日以及家庭成员的名字等。密码可以运用大小写字母、数字和其它合法的字符。密码可以运用大小写字母、数字和其它合法的字符。6.1 用户的管理Windows Server 2019效力器有两种任务方效力器有两种任务方式：任务组方式和域方式，针对这两种任务方式：任务组方式和域方式，针对这两种任务方式有两种用户账户：本地账户和域账户。式有两种用户账户：本地账户和域账户。

5、在前面引见安装过程中，系统就讯问过要将计在前面引见安装过程中，系统就讯问过要将计算机参与一个域，还是一个任务组，我们选择算机参与一个域，还是一个任务组，我们选择默许的任务组默许的任务组workgrouop。在活动目录的安。在活动目录的安装过程中，我们设置了装过程中，我们设置了cninfo域，域，可以运用菜单可以运用菜单“开场开场“控制面板控制面板“系统系统命令，在弹出的命令，在弹出的“系统属性窗口中的系统属性窗口中的“计算计算机名选项里，查看计算机终究是属于任务组机名选项里，查看计算机终究是属于任务组还是域还是域6.1 用户的管理网络中可以创建多个域和多个任务组，域和任务组之间的区别可以网络中

6、可以创建多个域和多个任务组，域和任务组之间的区别可以归结为以下几点：归结为以下几点：创建方式不同：任务组可以由任何一个计算机的管理员来创建，用创建方式不同：任务组可以由任何一个计算机的管理员来创建，用户在系统的户在系统的“计算机称号更改对话框中输入新的组名，重新启动计算机称号更改对话框中输入新的组名，重新启动计算机后就创建了一个新组，每一台计算机都有权益创建一个组；计算机后就创建了一个新组，每一台计算机都有权益创建一个组；而域只能由域控制器来创建，然后才允许其它的计算机参与这个域。而域只能由域控制器来创建，然后才允许其它的计算机参与这个域。平安机制不同：在域中有可以登录该域的账户，这些由域管理

7、员来平安机制不同：在域中有可以登录该域的账户，这些由域管理员来建立；在任务组中不存在任务组的账户，只需本机上的账户和密码。建立；在任务组中不存在任务组的账户，只需本机上的账户和密码。登录方式不同：在任务组方式下，计算机启动后自动就在任务组中；登录方式不同：在任务组方式下，计算机启动后自动就在任务组中；登录域时要提交域用户名和密码，只到用户登录胜利之后，才被赋登录域时要提交域用户名和密码，只到用户登录胜利之后，才被赋予相应的权限。予相应的权限。6.1 用户的管理1、本地账户、本地账户本地账户对应对等网的任务组方式，建立在非域控制器的本地账户对应对等网的任务组方式，建立在非域控制器的Windows

8、 Server 2019独立效力器、成员效力器以及独立效力器、成员效力器以及Windows客户端。本地账户只能在本客户端。本地账户只能在本地计算机上登录，无法访问域中其它计算机资源。地计算机上登录，无法访问域中其它计算机资源。本地计算机上都有一个管理账户数据的数据库，称为平安账户管理器本地计算机上都有一个管理账户数据的数据库，称为平安账户管理器SAM，Security Accounts Managers。SAM数据库文件途径为系统盘下数据库文件途径为系统盘下Windowssystem32configSAM。在。在SAM中，每个账户被赋予独一中，每个账户被赋予独一的平安识别号的平安识别号SID，

9、Security Identifier，用户要访问本地计算机，用户要访问本地计算机，都需求经过该机都需求经过该机SAM中的中的SID验证。本地的验证过程验证。本地的验证过程,都由创建本地帐户都由创建本地帐户的本地机完成，没有集中的网络管理。的本地机完成，没有集中的网络管理。6.1 用户的管理2、域账户、域账户域账户对应于域方式网络，域账户和密码存储在域控制器上域账户对应于域方式网络，域账户和密码存储在域控制器上Active Directory数据库中，域数据库的途径为域控制器中的系统盘下数据库中，域数据库的途径为域控制器中的系统盘下WindowsNTDSNTDS.DIT域账户和密码被域控制器集

10、中管理。用户可以利用域账户和密码登录域账户和密码被域控制器集中管理。用户可以利用域账户和密码登录域，访问域内资源。域账户建立在域，访问域内资源。域账户建立在Windows Server 2019域控制域控制器上，域账户一旦建立，会自动地被复制到同域中的其它域控制器上，域账户一旦建立，会自动地被复制到同域中的其它域控制器上。复制完成后，域中的一切域控制器都能在用户登录时提供器上。复制完成后，域中的一切域控制器都能在用户登录时提供身份验证功能身份验证功能6.1 用户的管理 3、内置账户、内置账户: Windows Server 2019内置账户与效力器的任务方式无关。当系内置账户与效力器的任务方式

11、无关。当系统安装终了后，系统会在效力器上自动创建一些内置账户，系统经常统安装终了后，系统会在效力器上自动创建一些内置账户，系统经常运用的内置账户有运用的内置账户有Administrator和和Guest。Administrator系统管理员拥有最高的权限，管理着系统和域。系统系统管理员拥有最高的权限，管理着系统和域。系统管理员的默许名字是管理员的默许名字是Administrator，可以更改系统管理员的名字，但，可以更改系统管理员的名字，但不能删除该账户。该账户无法被制止，永远不会到期，不受登录时间不能删除该账户。该账户无法被制止，永远不会到期，不受登录时间和只能运用指定计算机登录的限制。和只

12、能运用指定计算机登录的限制。 Guest来宾是为暂时访问计算机的用户提供的，该账户自动生成，且来宾是为暂时访问计算机的用户提供的，该账户自动生成，且不能被删除，可以更改名字。不能被删除，可以更改名字。Guest只需很少的权限，默许情况下，该只需很少的权限，默许情况下，该账户被制止运用。例如当希望局域网中的用户都可以登录到本人的计账户被制止运用。例如当希望局域网中的用户都可以登录到本人的计算机，但又不情愿为每一个用户建立一个账户时，就可以启用算机，但又不情愿为每一个用户建立一个账户时，就可以启用Guest。6.1 用户的管理 本地账户是任务在本地机的，只需系统管理员才干在本地创建本地账户是任务在

13、本地机的，只需系统管理员才干在本地创建用户。下面举例阐明如何创建本地用户，例如在用户。下面举例阐明如何创建本地用户，例如在Windows独立效力独立效力器上创建本地帐户器上创建本地帐户Userl的操作步骤如下：的操作步骤如下：1选择菜单选择菜单“开场开场“管理工具管理工具“计算机管理计算机管理“本地用户和组本地用户和组选项，在弹出的选项，在弹出的“计算机管理窗口中，右击计算机管理窗口中，右击“用户，选择用户，选择“新用新用户命令，如图户命令，如图6-2所示。所示。2弹出弹出“新用户对话框，如图新用户对话框，如图6-3所示，该对话框中的选项引见如所示，该对话框中的选项引见如下：下：用户名：系统本

14、地登录时运用的称号。用户名：系统本地登录时运用的称号。全名：用户的全称。全名：用户的全称。描画：关于该用户的阐明文字。描画：关于该用户的阐明文字。6.1 用户的管理 密码：用户登录时运用的密码。密码：用户登录时运用的密码。 确认密码：为防止密码输入错误，需再输入一遍。确认密码：为防止密码输入错误，需再输入一遍。 用户下次登录时须更改密码：用户初次登录时，运用管理员分配的用户下次登录时须更改密码：用户初次登录时，运用管理员分配的密码，当用户再次登录时，强迫用户更改密码，用户更改后的密码密码，当用户再次登录时，强迫用户更改密码，用户更改后的密码只需本人知道，这样可保证平安运用。只需本人知道，这样可

15、保证平安运用。 用户不能更改密码：只允许用户运用管理员分配的密码。用户不能更改密码：只允许用户运用管理员分配的密码。 密码永不过期：密码默许的有限期为密码永不过期：密码默许的有限期为42天，超越天，超越42天系统会提示用天系统会提示用户更改密码，选中此项表示系统永远不会提示用户修正密码。户更改密码，选中此项表示系统永远不会提示用户修正密码。 账户已禁用：选中此项表示任何人都无法运用这个账户登录，适用账户已禁用：选中此项表示任何人都无法运用这个账户登录，适用于企业内某员工离任时，防止他人冒用该账户登录。于企业内某员工离任时，防止他人冒用该账户登录。6.1 用户的管理6.1 用户的管理要对曾经建立

16、的账户更改登录名，详细的操作步骤为：在要对曾经建立的账户更改登录名，详细的操作步骤为：在“计计算机管理窗口中，选择算机管理窗口中，选择“本地用户和组本地用户和组“用户在列表用户在列表中选择，右击该账户，选择中选择，右击该账户，选择“重命名选项，输入新名字，如重命名选项，输入新名字，如图图6-4所示。所示。6.1 用户的管理假设某用户分开公司，为防止其它用户运用该用户账户登假设某用户分开公司，为防止其它用户运用该用户账户登录，就要删除该用户的账户，详细的操作步骤为：在录，就要删除该用户的账户，详细的操作步骤为：在“计算计算机管理窗口中，选择机管理窗口中，选择“本地用户和组本地用户和组“用户，在列

17、用户，在列表中选择，右击该账户，选择表中选择，右击该账户，选择“删除；单击删除；单击“是按钮，是按钮，即可删除。即可删除。6.1 用户的管理重设密码能够会呵斥不可逆的信息丧失，出于平安的缘由，重设密码能够会呵斥不可逆的信息丧失，出于平安的缘由，要更改用户的密码分以下几种情况：要更改用户的密码分以下几种情况：假设用户在知道密码的情况下想更改密码，登录后按假设用户在知道密码的情况下想更改密码，登录后按Ctrl+Alt+Del键，输入正确的旧密码，然后输入新密码即键，输入正确的旧密码，然后输入新密码即可。可。假设用户忘记了登录密码，可以运用假设用户忘记了登录密码，可以运用“密码重设盘来进展密码重设盘

18、来进展密码重设，密码重设只能用于本地机中。密码重设，密码重设只能用于本地机中。6.1 用户的管理创建创建“密码重设盘的详细操作步骤如下：密码重设盘的详细操作步骤如下：1登录后按登录后按Ctrl+Alt+Del键，单击键，单击“更改密码按钮，更改密码按钮，如图如图6-5所示；弹出所示；弹出“更改密码对话框，单击更改密码对话框，单击“备份按备份按钮，如图钮，如图6-6所示。所示。2弹出弹出“忘记密码导游对话框，单击忘记密码导游对话框，单击“下一步按钮，下一步按钮，按照提示，在软驱中插入一张空白盘，单击按照提示，在软驱中插入一张空白盘，单击“下一步按下一步按钮。钮。3如图如图6-7所示，输入当前的密

19、码，单击所示，输入当前的密码，单击“下一步按钮，下一步按钮，开场创建密码重设盘。开场创建密码重设盘。6.1 用户的管理6.1 用户的管理6.1 用户的管理创建密码重设盘后，假设他忘记了密码，他可以插入这张制造好创建密码重设盘后，假设他忘记了密码，他可以插入这张制造好的的“密码重设盘来设置新密码，详细的操作步骤如下：密码重设盘来设置新密码，详细的操作步骤如下：1在登录输入密码有误时，会弹出如图在登录输入密码有误时，会弹出如图6-8所示的对话框，单击所示的对话框，单击“重设按钮，弹出重设按钮，弹出“重设密码导游对话框，单击重设密码导游对话框，单击“下一步按钮。下一步按钮。2弹出弹出“插入密码重设盘

20、对话框，将密码重设盘插入软驱，单插入密码重设盘对话框，将密码重设盘插入软驱，单击击“下一步按钮。下一步按钮。3如图如图6-9所示，输入新密码及密码提示，单击所示，输入新密码及密码提示，单击“下一步按钮，下一步按钮，翻开翻开“正在完成密码重设导游对话框，单击正在完成密码重设导游对话框，单击“完成按钮。完成按钮。留意：假设没有密码重设盘，可以直接在账户上更改密码，缺陷留意：假设没有密码重设盘，可以直接在账户上更改密码，缺陷是用户将无法访问受维护的数据，例如用户的加密文件、存储在是用户将无法访问受维护的数据，例如用户的加密文件、存储在本机用来衔接本机用来衔接Internet的密码等。操作步骤是单击的

21、密码等。操作步骤是单击“计算机管理中计算机管理中“本地用户和组选项，在本地用户和组选项，在“用户的列表中选择并右击该账用户的列表中选择并右击该账户，选择户，选择“设置密码。设置密码。6.1 用户的管理6.1 用户的管理当某个用户长期休假或离任时，就要禁用该用户的账户，不允当某个用户长期休假或离任时，就要禁用该用户的账户，不允许该账户登录，该账户信息会显示为许该账户登录，该账户信息会显示为“X。禁用与激活一个本。禁用与激活一个本地账户的操作根本类似，详细的操作步骤如下：地账户的操作根本类似，详细的操作步骤如下：1在在“计算机管理窗口中，选择计算机管理窗口中，选择“本地用户和组本地用户和组“用户用

22、户在列表中选择，右击该账户，选择在列表中选择，右击该账户，选择“属性命令，如图属性命令，如图6-10所所示。示。2弹出弹出“userl属性对话框，选择属性对话框，选择“常规标签，选中常规标签，选中“账户账户已禁用复选框，单击已禁用复选框，单击“确定按钮，该账户即被禁用。确定按钮，该账户即被禁用。3假设要重新启用某账户，只需取消选中假设要重新启用某账户，只需取消选中“账户已禁用复选账户已禁用复选框即可。框即可。6.1 用户的管理6.1 用户的管理创建域账户的详细操作步骤如下：创建域账户的详细操作步骤如下：1在域控制器或者曾经安装了域管理工具的计算机上的在域控制器或者曾经安装了域管理工具的计算机上

23、的“控控制面板中，双击制面板中，双击“管理工具，选择管理工具，选择“Active Directory用用户和计算机选项，弹出户和计算机选项，弹出“Active Directory用户和计算机用户和计算机窗口，如图窗口，如图6-12所示，在窗口的左部选中所示，在窗口的左部选中Users，右击，选，右击，选择择“新建新建“User命令。命令。2如图如图6-13所示，在弹出所示，在弹出“新建对象新建对象User对话框，输入对话框，输入用户的姓名以及登录名等资料，留意登录名才是用户登录系用户的姓名以及登录名等资料，留意登录名才是用户登录系统所需求输入的。统所需求输入的。3单击单击“下一步按钮，翻开新对

24、话框，如图下一步按钮，翻开新对话框，如图6-14所示，输所示，输入密码并选择对密码的控制项，单击入密码并选择对密码的控制项，单击“下一步按钮，单击下一步按钮，单击“完成按钮。完成按钮。6.1 用户的管理6.1 用户的管理创建终了，在窗口右部的列表中会有新创建的用户。域用户创建终了，在窗口右部的列表中会有新创建的用户。域用户是用一个人头像来表示，和本地用户的差别在于域的人头像是用一个人头像来表示，和本地用户的差别在于域的人头像背后没有计算机图标，如图背后没有计算机图标，如图6-15所示。所示。6.1 用户的管理在删除域账户之前，要确定计算机或网络上能否有该账户加在删除域账户之前，要确定计算机或网

25、络上能否有该账户加密的重要文件，假设有那么先将文件解密再删除账户，否那密的重要文件，假设有那么先将文件解密再删除账户，否那么该文件将不会被解密，如图么该文件将不会被解密，如图6-16所示。所示。6.1 用户的管理假设某用户分开公司，就要禁用该账户，操作步骤为：在假设某用户分开公司，就要禁用该账户，操作步骤为：在“计算机管理窗口中，选择计算机管理窗口中，选择“本地用户和组本地用户和组“User在在列表中选择，右击要禁用的账户名，选择列表中选择，右击要禁用的账户名，选择“禁用账户命令禁用账户命令即可，如图即可，如图6-17所示。所示。6.1 用户的管理 同一部门的员工普通都属于一样的组，有根本一样

26、的权限，同一部门的员工普通都属于一样的组，有根本一样的权限，系统管理员无需为每个员工建立新账户，只需求建好一个系统管理员无需为每个员工建立新账户，只需求建好一个员工的账户，然后以此为模板，复制出多个账户即可，详员工的账户，然后以此为模板，复制出多个账户即可，详细的操作步骤如下：细的操作步骤如下： 1在在“计算机管理窗口中，选择计算机管理窗口中，选择“本地用户和组本地用户和组“User在列表中选择，右击选择作为模板的账户，选在列表中选择，右击选择作为模板的账户，选择择“复制命令，如图复制命令，如图6-18所示。所示。 2弹出弹出“复制对象复制对象User对话框，依次输入即可，如图对话框，依次输入

27、即可，如图6-19所示。所示。 3其他步骤与新建用户账户一样。其他步骤与新建用户账户一样。6.1 用户的管理6.1 用户的管理当用户忘记密码时，系统管理员也无法知道该密码是什么，这时就当用户忘记密码时，系统管理员也无法知道该密码是什么，这时就需求重设密码，详细的操作步骤如下：需求重设密码，详细的操作步骤如下：1在在“计算机管理窗口中，选择计算机管理窗口中，选择“本地用户和组本地用户和组“User在在列表中选择，系统管理员右击要改密码的账户，选择列表中选择，系统管理员右击要改密码的账户，选择“重设密码重设密码命令，如图命令，如图6-20所示。所示。2弹出弹出“重设密码对话框，输入新密码。建议用户

28、选中重设密码对话框，输入新密码。建议用户选中“用户下用户下次登录时须更改密码复选框，如图次登录时须更改密码复选框，如图6-21所示，单击所示，单击“确定按钮，确定按钮，这样用户下次登录时，可重新设置本人的密码。这样用户下次登录时，可重新设置本人的密码。6.1 用户的管理6.1 用户的管理用户个人信息设置：包括姓名、地址、挪动、公司、部门用户个人信息设置：包括姓名、地址、挪动、公司、部门等信息，要设置这些详细的信息，在账户属性中的等信息，要设置这些详细的信息，在账户属性中的“常规、常规、“地址、地址、“及及“单位等选项卡中设置即可，如图单位等选项卡中设置即可，如图6-22所示。所示。6.1 用户

29、的管理登录时间的设置限制：要限制账户登录的时间，需求设置账户属性的登录时间的设置限制：要限制账户登录的时间，需求设置账户属性的“账户选项卡，默许情况下用户可以在任何时间登录到域。账户选项卡，默许情况下用户可以在任何时间登录到域。例如设置某用户登录时间是周一到周五早例如设置某用户登录时间是周一到周五早8点到晚点到晚6点，详细操作步骤点，详细操作步骤如下：如下：1在在“计算机管理窗口中，选择计算机管理窗口中，选择“本地用户和组本地用户和组“User在列表在列表中选择，右击要改设置登录时间的账户，选择中选择，右击要改设置登录时间的账户，选择“属性菜单，选择属性菜单，选择“账账户标签，如图户标签，如图

30、6-23所示，选择所示，选择“登录时间登录时间L按钮。按钮。2翻开登录时间对话框，如图翻开登录时间对话框，如图6-24所示，选择周一到周五早所示，选择周一到周五早8点到晚点到晚18点时间段，选择点时间段，选择“允许登录单项选择按钮，确定即可。允许登录单项选择按钮，确定即可。留意：这里只能限制用户的登录域的时间，假设用户在允许时间段登留意：这里只能限制用户的登录域的时间，假设用户在允许时间段登录，但不断连到超越时间，系统不能自动将其注销。录，但不断连到超越时间，系统不能自动将其注销。6.1 用户的管理6.1 用户的管理设置账户只能从特定计算机登录：系统默许用户可以从域内任一设置账户只能从特定计算

31、机登录：系统默许用户可以从域内任一台计算机登录域，但可以限制账户只能从特定计算机登录，详细台计算机登录域，但可以限制账户只能从特定计算机登录，详细操作步骤如下：操作步骤如下：1在在“计算机管理窗口中，选择计算机管理窗口中，选择“本地用户和组本地用户和组“User在在列表中选择，右击账户，选择列表中选择，右击账户，选择“属性菜单，单击属性菜单，单击“账户标签中账户标签中参考图参考图6-23，选择，选择“登录到登录到T按钮。按钮。2在弹出在弹出“登录任务站对话框中，如图登录任务站对话框中，如图6-25所示，设置登录的所示，设置登录的计算机名。计算机名。留意：计算机称号只能是留意：计算机称号只能是N

32、etBIOS称号，不支持称号，不支持DNS名和名和IP地地址。址。6.1 用户的管理6.1 用户的管理设置账户过期日：普通是为了不让暂时聘用的人员在离任后继续设置账户过期日：普通是为了不让暂时聘用的人员在离任后继续访问网络，经过对账户属性事先进展设置，可以使账户到期后自访问网络，经过对账户属性事先进展设置，可以使账户到期后自动失效，省去了管理员手工删除该账户的操作。如图动失效，省去了管理员手工删除该账户的操作。如图6-26所示。所示。6.1 用户的管理将域账户参与到组：例如将用户将域账户参与到组：例如将用户USERl参与到参与到“信息部组中，信息部组中，步骤如下：步骤如下：1在在“计算机管理窗

33、口中，选择计算机管理窗口中，选择“本地用户和组本地用户和组“User在列表中选择，右击账户在列表中选择，右击账户USERl，弹出，弹出“USERl属性对话框，属性对话框，选择选择“隶属于标签，如图隶属于标签，如图6-27所示。所示。2单击单击“添加按钮，弹出添加按钮，弹出“选择组对话框，如图选择组对话框，如图6-28所示，所示，单击单击“高级高级A按钮，在弹出的按钮，在弹出的“选择组对话框中，单击选择组对话框中，单击“立刻查找立刻查找N按钮，然后在查找的结果中选择组名按钮，然后在查找的结果中选择组名“信息信息部，如图部，如图6-29所示，单击所示，单击“确定按钮。留意：确定按钮。留意：“信息部

34、信息部组事先已建立好。组事先已建立好。3“信息部组就参与到信息部组就参与到“隶属于列表了，如图隶属于列表了，如图6-30所示，所示，单击单击“确定按钮。确定按钮。6.1 用户的管理6.1 用户的管理6.2 组的管理在在Windows Server 2019中，经过组来管理用户和计算机对共享资中，经过组来管理用户和计算机对共享资源的访问。假设赋予某个组访问某个资源的权限，这个组的用户都会源的访问。假设赋予某个组访问某个资源的权限，这个组的用户都会自动拥有该权限。引入组的概念主要是为了方便管理访问权限一样的自动拥有该权限。引入组的概念主要是为了方便管理访问权限一样的一系列用户账户。一系列用户账户。

35、我们在前面学习过组织单位我们在前面学习过组织单位OU，组和组织单位有很大的不同：，组和组织单位有很大的不同：组主要用于权限设置，而组织单位那么主要用于网络构建；另外，组组主要用于权限设置，而组织单位那么主要用于网络构建；另外，组织单位只表示单个域中的对象集合可包括组对象，而组可以包含织单位只表示单个域中的对象集合可包括组对象，而组可以包含用户、计算机、本地效力器上的共享资源，单个域、域目录树或目录用户、计算机、本地效力器上的共享资源，单个域、域目录树或目录林。林。6.2 组的管理Windows Server 2019运用独一平安标识符运用独一平安标识符SID来跟踪组，权限的来跟踪组，权限的设置

36、都是经过设置都是经过SID进展的，而不是利用组名。更改任何一个组的账户进展的，而不是利用组名。更改任何一个组的账户名，并没有更改该组的名，并没有更改该组的SID，这意味着在删除组之后又重新创建该组，这意味着在删除组之后又重新创建该组，不能期望一切权限和特权都与以前一样。新的组将有一个新的平安标不能期望一切权限和特权都与以前一样。新的组将有一个新的平安标识符，旧组的一切权限和特权曾经丧失。识符，旧组的一切权限和特权曾经丧失。在在Windows Server 2019中，用组账户来表示组，用户只能经过用中，用组账户来表示组，用户只能经过用户账户登录计算机，不能经过组账户登录计算机。户账户登录计算机

37、，不能经过组账户登录计算机。6.2 组的管理与用户账户一样，根据与用户账户一样，根据Windows Server 2019效力器的任务组方式效力器的任务组方式和域方式，组分为本地组和域组。和域方式，组分为本地组和域组。本地组：创建在本地的组账户。可以在本地组：创建在本地的组账户。可以在Windows Server 20192019NT独立效力器或成员效力器、独立效力器或成员效力器、Windows XP、Windows NT Workstation等非域控制器的计算机上创建本地组。这些组账户的信等非域控制器的计算机上创建本地组。这些组账户的信息被存储在本地平安账户数据库息被存储在本地平安账户数据

38、库SAM内。本地组只能在本地机内。本地组只能在本地机运用，它有两种类型：用户创建的组和系统内置的组。运用，它有两种类型：用户创建的组和系统内置的组。域组：该账户创建在域组：该账户创建在Windows Server 2019的域控制器上，组账户的域控制器上，组账户的信息被存储在的信息被存储在Active Directory数据库中，这些组可以被运用在整数据库中，这些组可以被运用在整个域中的计算机上。个域中的计算机上。6.2 组的管理域组分类方法有很多，根据权限不同，域组可以分为平安组和分域组分类方法有很多，根据权限不同，域组可以分为平安组和分布式组。布式组。平安组：被用来设置权限，例如可以设置平

39、安组对某个文件有读平安组：被用来设置权限，例如可以设置平安组对某个文件有读取的权限。取的权限。分布式组：与权限无关，例如可以将电子邮件发送给分布式组。分布式组：与权限无关，例如可以将电子邮件发送给分布式组。系统管理员无法设置分布式组的权限。系统管理员无法设置分布式组的权限。6.2 组的管理根据组的作用范围，根据组的作用范围，Windows Server 2019域组又分为域组又分为通用组、全局组和本地域组，它们的成员和权限作用范围通用组、全局组和本地域组，它们的成员和权限作用范围见表。见表。特性通用组全局组本地域组成员成员所有域的用户、全所有域的用户、全局组、通用组，不局组、通用组，不包括任何

40、域的本地包括任何域的本地域组域组同一域的用户、同一域的用户、全局组全局组所有域的用户、所有域的用户、全局组、通用组，全局组、通用组，同一域的本地域同一域的本地域组组权限范围权限范围所有域所有域所有域所有域同一域同一域转换转换可以转换为本地域可以转换为本地域组，可以转换为全组，可以转换为全局组（只要该组的局组（只要该组的成员不含通用组）成员不含通用组）可以转换为通用可以转换为通用组（只要该组不组（只要该组不是隶属于任何一是隶属于任何一个全局组）个全局组）可以转换为通用可以转换为通用组（只要该组的组（只要该组的成员不含本地域成员不含本地域组）组）6.2 组的管理创建本地组的用户必需是创建本地组的用

41、户必需是Administrators组或组或Account Operators组的成员，建立本地组并在本地组中添加成员的详组的成员，建立本地组并在本地组中添加成员的详细操作步骤如下：细操作步骤如下：1以以Administrator身份登录，右击身份登录，右击“我的电脑，选择我的电脑，选择“管理管理“计算机管理计算机管理“本地用户和组本地用户和组“组，右击组，右击“组，组，选择选择“新建组命令，如图新建组命令，如图6-31所示。所示。2如图如图6-32所示，在弹出的所示，在弹出的“新建组对话框中输入组名、组新建组对话框中输入组名、组的描画，单击的描画，单击“添加按钮，即可把已有的账户或组添加到该

42、组添加按钮，即可把已有的账户或组添加到该组中，该组的成员在中，该组的成员在“成员列表框中列出。成员列表框中列出。3单击单击“创建按钮完成创建任务。本地组用背景为计算机的创建按钮完成创建任务。本地组用背景为计算机的两个人头像表示，如图两个人头像表示，如图6-33所示。所示。6.2 组的管理6.2 组的管理6.2 组的管理创建域组的步骤如下：创建域组的步骤如下：1翻开菜单翻开菜单“开场开场“管理工具管理工具“Active Directory用户和计用户和计算机，单击域名，右击某组织单位，选择算机，单击域名，右击某组织单位，选择“新建新建“组，如图组，如图6-34所示，在弹出所示，在弹出“新建对象组

43、对话框，输入组名，如图新建对象组对话框，输入组名，如图6-35所示。所示。2选择选择“组作用域、组作用域、“组类型后，单击组类型后，单击“确定按钮即可完成创确定按钮即可完成创建任务。建任务。留意：关于留意：关于“组作用域和组作用域和“组类型，这两项是创建组时要特别留组类型，这两项是创建组时要特别留意的，默许情况下，创建全局平安组。域组用两个人头像表示，人意的，默许情况下，创建全局平安组。域组用两个人头像表示，人头像背后没有计算机图标，有别于本地组。头像背后没有计算机图标，有别于本地组。和管理本地组的操作类似，在和管理本地组的操作类似，在“Active Directory用户和计算机窗用户和计算

44、机窗口中，右击选定的组，选择快捷菜单中的相应命令可以删除组、更口中，右击选定的组，选择快捷菜单中的相应命令可以删除组、更改组名，或者为组添加或删除组成员。改组名，或者为组添加或删除组成员。6.2 组的管理6.2 组的管理 Windows Server 2019在安装时会自动创建一些组，在安装时会自动创建一些组，这种组叫内置组。这种组叫内置组。 内置组又分为内置本地组和内置域组。内置组又分为内置本地组和内置域组。 内 置 本 地 组 创 建 于内 置 本 地 组 创 建 于 W i n d o w s S e r v e r 2019/2019/NT独立效力器或成员效力器、独立效力器或成员效力器

45、、Windows XP、Windows NT等非域控制器的等非域控制器的“本地本地平安账户数据库中，这些组在建立的同时就已被平安账户数据库中，这些组在建立的同时就已被赋予一些权限，以便管理计算机，如图赋予一些权限，以便管理计算机，如图6-36所示。所示。6.2 组的管理6.2 组的管理Administrators组：在系统内有最高权限，拥有赋予权限，添加组：在系统内有最高权限，拥有赋予权限，添加系统组件，晋级系统，配置系统参数如注册表的修正，配置系统组件，晋级系统，配置系统参数如注册表的修正，配置平安信息等权限。内置的系统管理员账户是平安信息等权限。内置的系统管理员账户是Administrat

46、ors组的组的成员成员Backup Operators组：它是一切组：它是一切Windows Server 2019都有的都有的组，可以忽略文件系统权限进展备份和恢复，可以登录系统和封组，可以忽略文件系统权限进展备份和恢复，可以登录系统和封锁系统，可以备份加密文件。锁系统，可以备份加密文件。Guests组：内置的组：内置的Guest账户是该组的成员。账户是该组的成员。Power Users组：存在于非域控制器上，可进展根本的系统管理，组：存在于非域控制器上，可进展根本的系统管理，如共享本地文件夹、管理系统访问和打印机、管理本地普通用户；如共享本地文件夹、管理系统访问和打印机、管理本地普通用户；

47、但是它不能修正但是它不能修正Administrators组、组、Backup Operators组，不组，不能备份恢复文件，不能修正注册表。能备份恢复文件，不能修正注册表。6.2 组的管理Remote Desktop Users组：该组的成员可以经过网络远组：该组的成员可以经过网络远程登录。程登录。Users组：是普通用户所在的组，新建的用户都会自动参组：是普通用户所在的组，新建的用户都会自动参与该组对系统有根本的权益，如运转程序，运用网络，不与该组对系统有根本的权益，如运转程序，运用网络，不能封锁能封锁Windows Server 2019，不能创建共享目录和本，不能创建共享目录和本地打印机

48、。假设某台计算机机参与到域，那么域的域用户地打印机。假设某台计算机机参与到域，那么域的域用户自动被参与到该组的自动被参与到该组的Users组。组。Network Configuration Operators组：该组内的用户可组：该组内的用户可在客户端执行普通的网络配置，例如更改在客户端执行普通的网络配置，例如更改IP，但不能添加，但不能添加/删除程序，也不能执行网络效力器的配置任务。删除程序，也不能执行网络效力器的配置任务。6.2 组的管理在图在图6-37所示的左窗格单击所示的左窗格单击Builtin或或Users组织单元，组织单元，可以看到部分内置的域组，内置的域组又分为以下几种可以看到部

49、分内置的域组，内置的域组又分为以下几种情况：情况：6.2 组的管理 (1)内置本地域组：创建在域控制器的活动目录中，它在建立的同时就已被赋予一内置本地域组：创建在域控制器的活动目录中，它在建立的同时就已被赋予一些权益，以便管理整个域和活动目录。些权益，以便管理整个域和活动目录。 Account Operator：成员可以创建、删除账户和组，不能修正：成员可以创建、删除账户和组，不能修正Administrators组或任组或任何何Operators组。组。Administrator：成员可以在一切域控制器上完成全部管理任务，默许时：成员可以在一切域控制器上完成全部管理任务，默许时Administ

50、rator是该组的成员。是该组的成员。Backup Operators：成员可以备份和复原一切域控制器。：成员可以备份和复原一切域控制器。Guest：成员只能完成授权的义务、访问授权的资源，默许时：成员只能完成授权的义务、访问授权的资源，默许时Guest和全局组和全局组Domain Guests是该组的成员。是该组的成员。Server Operators：成员可以共享磁盘、备份和复原域控制器上的文件。：成员可以共享磁盘、备份和复原域控制器上的文件。Users：默许时，：默许时，Domain Users组是其成员，可以用该组来指定每个在域中账户应该具组是其成员，可以用该组来指定每个在域中账户应该

51、具有的权限。有的权限。6.2 组的管理 (2)内置全局域组：创建在域控制器的活动目录中，它本身没有任何权益和权内置全局域组：创建在域控制器的活动目录中，它本身没有任何权益和权限，但可以经过参与到具备权益和权限的本地域组获得权益和权限，或直接给该限，但可以经过参与到具备权益和权限的本地域组获得权益和权限，或直接给该组赋予权益和权限组赋予权益和权限Domain Users：将：将Domain Users添加到本地域组添加到本地域组Users中，每个新域账户自动成中，每个新域账户自动成为该组的成员。为该组的成员。Domain Admins：将：将Domain Admins添加到本地域组添加到本地域组

52、 Administrators中，这样中，这样Domain Admins成员可以在该域中任何地方的计算机上完成管理任务，默许时成员可以在该域中任何地方的计算机上完成管理任务，默许时Administrator是该组的成员。是该组的成员。Domain Guests：将：将Domain Guests添加到本地域组添加到本地域组Guests中，默许时中，默许时Guest账户账户是该组的成员。是该组的成员。Enterprise Admins：对于那些要对整个网络有管理控制权的用户，可以把其账户加：对于那些要对整个网络有管理控制权的用户，可以把其账户加到该组中，然后把该组添加到每个域中的本地域组到该组中，

53、然后把该组添加到每个域中的本地域组Administrators组中，默许时组中，默许时Administrator是该组的成员。是该组的成员。6.2 组的管理 (3)内置特殊组：常见的内置特殊组有如下几种：内置特殊组：常见的内置特殊组有如下几种：Everyone：包括一切访问该计算机的用户，假设为：包括一切访问该计算机的用户，假设为Everyone指定了权限并启用指定了权限并启用Guest账户时一定要小心，账户时一定要小心，Windows会将没有有效账户的用户当成会将没有有效账户的用户当成Guest账户，账户，该账户自动得到该账户自动得到Everyone的权限。的权限。Authenticated

54、 Users：包括在计算机上或活动目录中的一切经过身份验证的账户，：包括在计算机上或活动目录中的一切经过身份验证的账户，用该组替代用该组替代Everyone组可以防止匿名访问。组可以防止匿名访问。Creator Owner：包括创建资源的账户。：包括创建资源的账户。Network：包括当前从网络上的另一台计算机与该计算机上的共享资源坚持联络的：包括当前从网络上的另一台计算机与该计算机上的共享资源坚持联络的任何账户。任何账户。Interactive：包括当前在该计算机上登录的一切账户。：包括当前在该计算机上登录的一切账户。Anonymous Logon：包括：包括Windows Server 2

55、019不能验证身份的任何账户。不能验证身份的任何账户。Dialup：包括当前建立了拨号衔接的任何账户。：包括当前建立了拨号衔接的任何账户。6.3 组战略的管理组战略是一种在用户或计算机集合上强迫运用一些配置的方法，组战略是一种在用户或计算机集合上强迫运用一些配置的方法，定义了用户的桌面环境等多种设置。运用组战略可以给同组的定义了用户的桌面环境等多种设置。运用组战略可以给同组的计算机或者用户强加一套一致的规范，包括菜单启动项、软件计算机或者用户强加一套一致的规范，包括菜单启动项、软件设置，这样计算机或者用户可以有一样的菜单、一样的快捷方设置，这样计算机或者用户可以有一样的菜单、一样的快捷方式等各

56、种配置。式等各种配置。网络管理主要是依赖组战略来进展，它是在活动目录上的最大网络管理主要是依赖组战略来进展，它是在活动目录上的最大运用。在此要阐明的是，运用。在此要阐明的是，“组战略中的组战略中的“组和以前引见的用组和以前引见的用户组并没有什么直接关系，不要把组战略了解为针对用户组所户组并没有什么直接关系，不要把组战略了解为针对用户组所配置的战略。配置的战略。简单了解，组战略就是一套简单了解，组战略就是一套Windows Server 2019的配置方的配置方案，如图标、菜单的设置等，这套方案可以运用到一批计算机案，如图标、菜单的设置等，这套方案可以运用到一批计算机或用户上。或用户上。6.3

57、组战略的管理组战略经过组战略对象设置，以下特性：组战略经过组战略对象设置，以下特性：组战略利用访问控制列表组战略利用访问控制列表 (Access Control List，ACL)记录记录权限设置，可以修正组战略的访问控制列表，指定哪些人对该权限设置，可以修正组战略的访问控制列表，指定哪些人对该组战略拥有何种权限。组战略拥有何种权限。用户只需有足够的权限，就能添加或删除组战略，但无法复制用户只需有足够的权限，就能添加或删除组战略，但无法复制组战略。组战略。系统曾经有两个内建组战略对象：系统曾经有两个内建组战略对象：Default Domain Policy：默许域组战略，此战略已被衔接到：默许

58、域组战略，此战略已被衔接到域，因此它将影响域内一切计算机和用户。域，因此它将影响域内一切计算机和用户。Default Domain Controller Policy：默许域控制战略，此战：默许域控制战略，此战略已被衔接到略已被衔接到Domain Controller OU，因此该战略将影响域，因此该战略将影响域控制器组织单位内的一切计算机和用户。控制器组织单位内的一切计算机和用户。6.3 组战略的管理运用组战略时存在两种配置选项：计算机配置和用户配置。当运用组战略时存在两种配置选项：计算机配置和用户配置。当计算机配置和用户配置发生冲突时，用户配置会覆盖计算机配计算机配置和用户配置发生冲突时，

59、用户配置会覆盖计算机配置。置。计算机配置：用于管理控制计算机特定工程的战略，包括桌面计算机配置：用于管理控制计算机特定工程的战略，包括桌面外观、平安设置、操作系统下运转、文件部署、运用程序分配、外观、平安设置、操作系统下运转、文件部署、运用程序分配、计算机启动和关机脚本运转。这些配置运用到特定的计算机上，计算机启动和关机脚本运转。这些配置运用到特定的计算机上，当该计算机启动后，自动运用设置的组战略。当该计算机启动后，自动运用设置的组战略。用户配置：用于管理控制用户特定工程的管理战略，包括运用用户配置：用于管理控制用户特定工程的管理战略，包括运用程序配置、桌面配置、运用程序分配、计算机启动和关机

60、脚本程序配置、桌面配置、运用程序分配、计算机启动和关机脚本运转等。当用户登录到计算机时，就会运用用户配置组战略。运转等。当用户登录到计算机时，就会运用用户配置组战略。6.3 组战略的管理软件部署：包括运用程序分配和运用程序发行两部分内容。运用软件部署：包括运用程序分配和运用程序发行两部分内容。运用程序分配指把运用软件提供应桌面，当计算机或用户根据组战略程序分配指把运用软件提供应桌面，当计算机或用户根据组战略安装后就不能修正或删除运用程序；运用程序发行指将运用软件安装后就不能修正或删除运用程序；运用程序发行指将运用软件提供应用户或计算机，允许它们选择安装。提供应用户或计算机，允许它们选择安装。软