项目5管理用户账户和组

1、Windows Server 2008Windows Server 2008网络操作系统项目教程（第网络操作系统项目教程（第3 3版）版）项目项目5 5 管理用户账户和组管理用户账户和组杨云杨云 主编主编人民邮电出版社人民邮电出版社网络操作系统项目教程网络操作系统项目教程 杨云杨云 网络操作系统项目教程网络操作系统项目教程网络操作系统项目教程网络操作系统项目教程(工业和信息化高职高专工业和信息化高职高专“十二五十二五”规划教材规划教材立项项目立项项目)(1CD) 杨云杨云 网络操作系统项目教程网络操作系统项目教程网络操作系统项目教程网络操作系统项目教程(工业和信息化高职高专工业和信息化高职高专

2、“十二五十二五”规划教材规划教材立项项目立项项目)(1CD)网络操作系统项目教程网络操作系统项目教程项目项目5 管理用户账户和组管理用户账户和组5.1 相关知识相关知识5.1.1 用户账户的概述用户账户的概述5.1.2 本地用户账户本地用户账户5.1.3 本地组概述本地组概述5.2 项目设计及准备项目设计及准备 杨云杨云 网络操作系统项目教程网络操作系统项目教程项目项目5 管理用户账户和组管理用户账户和组5.3 项目实施项目实施5.3.1 任务任务1 创建本地用户账户创建本地用户账户5.3.2 任务任务2 设置本地用户账户的属性设置本地用户账户的属性5.3.3 任务任务3 删除本地用户账户删除

3、本地用户账户5.3.4 任务任务4 使用命令行创建用户使用命令行创建用户5.3.5 任务任务5 管理本地组管理本地组5.3.6 任务任务6 管理域用户管理域用户5.3.7 任务任务7 管理域中的组账户管理域中的组账户 杨云杨云 网络操作系统项目教程网络操作系统项目教程项目项目5 管理用户账户和组管理用户账户和组5.4 习习 题题实训项目实训项目 管理用户和组管理用户和组一、实训目的一、实训目的二、项目背景二、项目背景三、项目要求三、项目要求四、思考四、思考五、做一做五、做一做 杨云杨云 网络操作系统项目教程网络操作系统项目教程5.1 相关知识相关知识5.1.1 用户账户的概述用户账户的概述5.

4、1.2 本地用户账户本地用户账户5.1.3 本地组概述本地组概述5.2 项目设计及准备项目设计及准备 杨云杨云 网络操作系统项目教程网络操作系统项目教程5.1 相关知识相关知识用户账户可存储在：用户账户可存储在：AD DS 中（中（AD DS 账户）账户）本地计算机上（本地账户）本地计算机上（本地账户）创建用户账户将同时创建安全创建用户账户将同时创建安全 ID (SID)用户账户是一种用户账户是一种 Active Directory 域服务域服务 (AD DS) 对象，它使身份验证以对象，它使身份验证以及对本地和网络资源的访问成为可能。及对本地和网络资源的访问成为可能。AD DS 账户使用户能

5、登录到域中，并使其能访问共享网络资源账户使用户能登录到域中，并使其能访问共享网络资源本地账户允许登录到单台计算机并访问本地资源本地账户允许登录到单台计算机并访问本地资源5.1.1 用户账户的概述用户账户的概述 杨云杨云 网络操作系统项目教程网络操作系统项目教程介绍用户和组介绍用户和组为每个用户帐号创建一个唯一的登录名用批处理为新用户在活动目录创建多个用户帐号将用户分组，用以管理网络上的共享资源当为一个分层结构创建一个模型时，将组嵌入别的组中以减少管理任务Permissions5.1.1 用户账户的概述用户账户的概述 杨云杨云 网络操作系统项目教程网络操作系统项目教程本地账户本地账户 建立在建立

6、在Windows Server 2008Windows Server 2008独立服务器、成员服务独立服务器、成员服务器以及器以及Windows 7Windows 7等系统中。本地账户只能在本地计算等系统中。本地账户只能在本地计算机上登录，无法访问其他计算机资源。机上登录，无法访问其他计算机资源。内置本地账户内置本地账户 AdministratorAdministrator（系统管理员）：最高的权限 GuestGuest（来宾）：供临时访问计算机的用户使用 5.1.2 本地本地用户账户用户账户 杨云杨云 网络操作系统项目教程网络操作系统项目教程组的概念组是账户、联系、计算机和其它组的集合。组用

7、于以下目的：管理用户和计算机的访问，其访问范围包括网络对象、本地对象、共享、打印机队列和设备等；创建分配表；筛选组策略等。 5.1.3 本地组本地组 杨云杨云 网络操作系统项目教程网络操作系统项目教程组的类型本地组:在Windows Server 2008独立服务器或成员服务器上的工作组称为本地组。该组的成员是本地账户，这些组账户的信息被储存在本地“安全账户数据库”（SAM）内。 本地组类型：用户组和系统内置的组。 5.1.3 本地组本地组 杨云杨云 网络操作系统项目教程网络操作系统项目教程5.2 项目设计与准备项目设计与准备 杨云杨云 网络操作系统项目教程网络操作系统项目教程5.3 项目实施

8、项目实施5.3.1 任务任务1 创建本地用户账户创建本地用户账户5.3.2 任务任务2 设置本地用户账户的属性设置本地用户账户的属性5.3.3 任务任务3 删除本地用户账户删除本地用户账户5.3.4 任务任务4 使用命令行创建用户使用命令行创建用户5.3.5 任务任务5 管理本地组管理本地组5.3.6 任务任务6 管理域用户管理域用户5.3.7 任务任务7 管理域中的组账户管理域中的组账户 杨云杨云 网络操作系统项目教程网络操作系统项目教程5.3 项目实施项目实施账户名的命名规则如下：账户名的命名规则如下：账户名必须唯一，且不分大小写。用户的名最多可包含256个字符在账户名中不能使用的字符有：

9、/:;|=，+* ? .用户名可以是字符和数字的组合。用户名不能与组名相同。任务任务1 创建本地用户账户创建本地用户账户 杨云杨云 网络操作系统项目教程网络操作系统项目教程账户密码规则：账户密码规则：必须为Administrator账户分配密码，防止未经授权就使用。系统默认用户的密码至少6个字符，还要至少包含A-Z、a-z、09、非字母数字（例如!、#、$、%）等四组字符中的三种。密码的长度在8128之间。密码不包含全部和部分的用户账户名。密码中不能使用以下字符： / | ； : = , + 。任务任务1 创建本地用户账户创建本地用户账户 杨云杨云 网络操作系统项目教程网络操作系统项目教程 杨

10、云杨云 网络操作系统项目教程网络操作系统项目教程任务任务1 创建本地用户账户创建本地用户账户 杨云杨云 网络操作系统项目教程网络操作系统项目教程任务任务1 创建本地用户账户创建本地用户账户 杨云杨云 网络操作系统项目教程网络操作系统项目教程任务任务2 设置本地用户账户的属性设置本地用户账户的属性 杨云杨云 网络操作系统项目教程网络操作系统项目教程任务任务2 设置本地用户账户的属性设置本地用户账户的属性 杨云杨云 网络操作系统项目教程网络操作系统项目教程任务任务2 设置本地用户账户的属性设置本地用户账户的属性 杨云杨云 网络操作系统项目教程网络操作系统项目教程任务任务2 设置本地用户账户的属性设

11、置本地用户账户的属性如果用户在知道密码的情况下想更改密码，他如果用户在知道密码的情况下想更改密码，他在登录后按在登录后按CtrlCtrlAltAltDeleteDelete键，输入正确的键，输入正确的旧密码，然后输入新密码。旧密码，然后输入新密码。 更改账户密码 杨云杨云 网络操作系统项目教程网络操作系统项目教程任务任务2 设置本地用户账户的属性设置本地用户账户的属性更改账户密码用户忘记了登录密码，则使用用户忘记了登录密码，则使用“密码重设盘密码重设盘”来进来进行密码重设。行密码重设。 任务任务2 设置本地用户账户的属性设置本地用户账户的属性更改账户密码 杨云杨云 网络操作系统项目教程网络操作

12、系统项目教程任务任务2 设置本地用户账户的属性设置本地用户账户的属性更改账户密码用密码重设盘重设密码用密码重设盘重设密码 杨云杨云 网络操作系统项目教程网络操作系统项目教程任务任务2 设置本地用户账户的属性设置本地用户账户的属性更改账户密码用户既忘了自己密码又没有密码重设盘，可以让用户既忘了自己密码又没有密码重设盘，可以让AdministratorAdministrator为其更改密码。为其更改密码。 杨云杨云 网络操作系统项目教程网络操作系统项目教程任务任务3 删除本地用户删除本地用户 杨云杨云 网络操作系统项目教程网络操作系统项目教程任务任务4 使用命令行创建用户使用命令行创建用户 杨云杨

13、云 网络操作系统项目教程网络操作系统项目教程任务任务4 使用命令行创建用户使用命令行创建用户 杨云杨云 网络操作系统项目教程网络操作系统项目教程任务任务4 使用命令行创建用户使用命令行创建用户 杨云杨云 网络操作系统项目教程网络操作系统项目教程任务任务5 管理本地组管理本地组内置组 杨云杨云 网络操作系统项目教程网络操作系统项目教程任务任务5 管理本地组管理本地组创建本地组 杨云杨云 网络操作系统项目教程网络操作系统项目教程任务任务5 管理本地组管理本地组创建本地组（命令方式） 杨云杨云 网络操作系统项目教程网络操作系统项目教程任务任务5 管理本地组管理本地组添加组成员 杨云杨云 网络操作系统

14、项目教程网络操作系统项目教程任务任务5 管理本地组管理本地组添加组成员（命令行方式） 杨云杨云 网络操作系统项目教程网络操作系统项目教程介绍用户登录名介绍用户登录名用户主名 1.用户主名前缀 2.用户主名后缀用户登录名 1.用户登录时必须 选择域用户登录名唯一性原则 1.全名在创建用户帐号的容器内必须唯一 2.用户主名在目录林中必须唯一 3.用户登录名在域中必须唯一+user namedomaincontososuzanfSuffixPrefixsuzanfcontoso.msft任务任务6 管理域管理域用户用户账户账户 杨云杨云 网络操作系统项目教程网络操作系统项目教程域用户账号域用户账号域

15、用户账户用来使用户能够登录到域或其他计算机中，从而获得对网络资源的访问权。经常访问网络的用户都应拥有网络惟一的用户账户。如果网络中有多个域控制器，可以在任何域控制器上创建新的用户账户，因为这些域控制器都是对等的。当在一个域控制器上创建新的用户账户时，这个域控制器会把信息复制到其他域控制器，从而确保该用户可以登录并访问任何一个域控制器。任务任务6 管理域管理域用户用户账户账户 杨云杨云 网络操作系统项目教程网络操作系统项目教程内置用户账号内置用户账号Windows Server 2003自动创建若干个用户账号，并且赋予了相应的权限，称为内置账号。内置用户账号不允许被删除。 最常用的两个内置账号是

16、Administrator和Guest。使用内置Administrator（管理员）账号管理计算机和域配置 。Guest（来客）账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。 任务任务6 管理域管理域用户用户账户账户 杨云杨云 网络操作系统项目教程网络操作系统项目教程创建域用户账号创建域用户账号“管理工具”“Active Directory用户和计算机” 任务任务6 管理域管理域用户用户账户账户 杨云杨云 网络操作系统项目教程网络操作系统项目教程新建对象新建对象用户用户任务任务6 管理域管理域用户用户账户账户 杨云杨云 网络操作系统项目教程网络操作系统项目教程输入

17、密码输入密码 任务任务6 管理域管理域用户用户账户账户 杨云杨云 网络操作系统项目教程网络操作系统项目教程强密码的特征强密码的特征长度至少有7个字符。不包含用户名、真实姓名或公司名称。不包含完整的字典词汇。包含全部下列4组字符类型：大写字母（A、B、C）、小写字母（a、b、c）、数字（0、l、2、3、4、5、6、7、8、9）、键盘上的符号（键盘上所有未定义为字母和数字的字符，如!#$%&（）*_ + - |/?:”;,.）。账户已禁用。防止用户使用选定的账户登录，当用户暂时离开企业时，可以使用该选项，以便日后迅速启用。也可以禁用一个可能有威胁的账户，当排除问题之后，再重新启用该账户。许

18、多管理员将禁用的账户用做公用用户账户的模板。以后拟再使用该账户时，可以在该账户上右击，并在弹出的快捷菜单中选择“启用账户”选项即可。任务任务6 管理域管理域用户用户账户账户 杨云杨云 网络操作系统项目教程网络操作系统项目教程设置用户账号属性设置用户账号属性任务任务6 管理域管理域用户用户账户账户 杨云杨云 网络操作系统项目教程网络操作系统项目教程设置个人属性设置个人属性常规、地址选项卡常规、地址选项卡任务任务6 管理域管理域用户用户账户账户 杨云杨云 网络操作系统项目教程网络操作系统项目教程设置个人属性设置个人属性电话、单位选项卡电话、单位选项卡任务任务6 管理域管理域用户用户账户账户 杨云杨

19、云 网络操作系统项目教程网络操作系统项目教程设置账号属性设置账号属性 任务任务6 管理域管理域用户用户账户账户 杨云杨云 网络操作系统项目教程网络操作系统项目教程设置登录时间设置登录时间任务任务6 管理域管理域用户用户账户账户 杨云杨云 网络操作系统项目教程网络操作系统项目教程设置用户可登录的计算机设置用户可登录的计算机 任务任务6 管理域管理域用户用户账户账户 杨云杨云 网络操作系统项目教程网络操作系统项目教程维护用户账号维护用户账号禁用、启用、重命名和删除用户账号 任务任务6 管理域管理域用户用户账户账户 杨云杨云 网络操作系统项目教程网络操作系统项目教程介绍活动目录中的组介绍活动目录中的

20、组nGroups Can Be Nested Inside Other GroupsnUsers Can Be Members of Multiple GroupsGroupGroupnGroups Simplify Assigning Permission to ResourcesGroupGroupGroupGroupGroupGroup任务任务7 管理域中的组账户管理域中的组账户使用全局组使用全局组Global Group RuleslMixed mode: 包含来自同一个域的用户帐号包含来自同一个域的用户帐号lNative mode: 包含来自同一个域的用户帐号和全局组包含来自同一个域

21、的用户帐号和全局组lMixed mode: 全局组可以是域本地组的成员全局组可以是域本地组的成员lNative mode: 全局组可以是任何一个域中的通用和域全局组可以是任何一个域中的通用和域局部组，以及同一个域中的全局组成员局部组，以及同一个域中的全局组成员l全局组在域和所有信任域可全局组在域和所有信任域可 见见l目录林中所有域目录林中所有域 AddAddGlobal Group任务任务7 管理域中的组账户管理域中的组账户使用域本地组使用域本地组Domain Local Group RuleslMixed mode: 可以包含任何域的用户和全局组可以包含任何域的用户和全局组lNative m

22、ode: 可以包含目录林中的任何域的用户帐号可以包含目录林中的任何域的用户帐号全局组和通用组，以及同一域的域本地组。全局组和通用组，以及同一域的域本地组。lMixed mode: 本地组不能是任何组的成员本地组不能是任何组的成员lNative mode: 域本地组可以是同一域中的域本地组域本地组可以是同一域中的域本地组l域本地组只在它自己的域中可见域本地组只在它自己的域中可见l域本地组位于其中的域域本地组位于其中的域 AddAddGlobal GroupDomainDLGDomain Local Group任务任务7 管理域中的组账户管理域中的组账户使用通用组使用通用组Universal Gr

23、oup RuleslMixed mode: 不能创建不能创建lNative mode: 可以包含来自目录可以包含来自目录林中的任何域的用户和帐号全林中的任何域的用户和帐号全局组和其它通用组局组和其它通用组lMixed mode: 不能创建不能创建lNative mode: 可以是任何域中的可以是任何域中的域本地和通用组成员域本地和通用组成员l通用组在目录林中的所有域都通用组在目录林中的所有域都是可见是可见l目录林所有域目录林所有域 Addfrom MultipleDomainsGlobal GroupUniversal Group任务任务7 管理域中的组账户管理域中的组账户使用全局和域本地组使

24、用全局和域本地组User AccountsGlobal Groups Global GroupDomain Local GroupPermissionsDLG添加域用户帐号到全局组添加域用户帐号到全局组(Optional) 把一个全局组添加到另一个全局组把一个全局组添加到另一个全局组把全局组添加到一个域本地组把全局组添加到一个域本地组赋予相应权限给相应的域本地组赋予相应权限给相应的域本地组任务任务7 管理域中的组账户管理域中的组账户使用通用组的嵌套策略使用通用组的嵌套策略把用户帐号添加到全局组把用户帐号添加到全局组Global GroupUsers把全局组嵌套到一个把全局组嵌套到一个通用组中通

25、用组中Global GroupUniversal Group把一个全局组嵌套到把一个全局组嵌套到另一个全局组中另一个全局组中Global GroupGlobal Group把通用组添加到为资把通用组添加到为资源创建的域本地组源创建的域本地组Universal GroupDomain Local GroupDLG把组中用户的合适权限把组中用户的合适权限分派给域本地组分派给域本地组PermissionsDomain Local GroupDLG任务任务7 管理域中的组账户管理域中的组账户问题问题1：在目录树和目录林中使用组：在目录树和目录林中使用组Accountants Need to Gain

26、Access to the Accounting Data Across the Forest How Do You Set Up Groups?任务任务7 管理域中的组账户管理域中的组账户问题问题1 ：在目录树和目录林中使用组（：在目录树和目录林中使用组（2）Accounting DivisionAccounts PayableAccounts ReceivableCreate Global Groups to Consolidate Users with Similar Job Tasks任务任务7 管理域中的组账户管理域中的组账户问题问题1 ：在目录树和目录林中使用组（：在目录树和目录林

27、中使用组（3）Accounting DivisionAccounts PayableAccounts ReceivableNest Global Groups into the Global Group in Each Domain 任务任务7 管理域中的组账户管理域中的组账户问题问题1 ：在目录树和目录林中使用组（：在目录树和目录林中使用组（4）Add the Global Group from Each Domain into the Universal GroupAll AccountantsAccounting DivisionAccounting DivisionAccounting

28、 Division任务任务7 管理域中的组账户管理域中的组账户问题问题1 ：在目录树和目录林中使用组（：在目录树和目录林中使用组（5）Create Domain Local Group that Have Permissions for Appropriate ResourcesDLGDLGDLGFull Control Permission任务任务7 管理域中的组账户管理域中的组账户问题问题1 ：在目录树和目录林中使用组（：在目录树和目录林中使用组（6）Add Universal Group into Domain Local GroupsAll AccountantsDLGDLGDLG任务

29、任务7 管理域中的组账户管理域中的组账户问题问题2：在目录树和目录林中使用组（：在目录树和目录林中使用组（1）All AccountantsDLGDLGDLGCreate New Global Groups任务任务7 管理域中的组账户管理域中的组账户问题问题2 ：在目录树和目录林中使用组（：在目录树和目录林中使用组（2）All AccountantsDLGDLGDLGDLG任务任务7 管理域中的组账户管理域中的组账户问题问题2 ：在目录树和目录林中使用组（：在目录树和目录林中使用组（3）Add the Global Group into the Universal GroupAll Accou

30、ntantsDLGDLGDLGDLGAdd the Universal Group into the Domain Local Group 任务任务7 管理域中的组账户管理域中的组账户设置密码策略的方针设置密码策略的方针设置设置“强制密码历史强制密码历史”至少为个至少为个设置密码最长期限最多为天设置密码最长期限最多为天设置最短密码期限最少为天设置最短密码期限最少为天设置密码长度对短为个字符设置密码长度对短为个字符启用密码必须符合复杂性要求策略设置启用密码必须符合复杂性要求策略设置任务任务7 管理域中的组账户管理域中的组账户身份验证身份验证,授权和管理帐号的方针授权和管理帐号的方针不要随意使用帐号锁定策略不要随意使用帐号锁定策略不应该以管理员身份运行计算机不应该以管理员身份运行计算机 使用多种身份验证方法使用多种身份验证方法 基于基于AGUDLP策略使用组策略使用组禁用管理员帐号并指派给用户和管理员能够执行禁用管理员帐号并指派给用户和管理员能够执行任务的最具限制的权限任务的最具限制的权限任务任务7 管理域中的组账户管