winxp或win2000用户和计算机帐户管理

1、网络管理 建立本地用户和组（WinXP）一、用户账户:域账户、本地账户· 域账户（网络账户）：存储在Active Directory中，作用在Windows网络安全环境中用户账户对象。 · 本地账户：对应特定计算机的对象，一个本地账户只对一个特定计算机的本地安全数据库SAM(安全账户管理器)有效。自家家门钥匙只能开自家家门的门。 二、规划用户账户：1.用户账户命名规则：用户名长度：120字符、不能重名、不能包含特殊字符（*:；|=，+*?<>"）、不能有句点（。.）和空格2.密码规则：最多密码长度127位字符，最多支持14个字符的密码，区分大

2、小写。 三、内置用户帐户：· Administrator(系统管理员)：具有最高的管理权限（可增加删除或禁用各个账号，为不同用户设置权限，无法删除内置账号，但可以改名为Admin,有时登录计算机需要该帐户的密码要牢记） · Guest(来宾)：供用户临时访问计算机设置的帐号，权利有限，默认时，此帐号被禁用。 · IUSR_ComputerName(Internet来宾)：此帐户与Guest相似，可以匿名访问IIS(Internet信息服务) · IWAM_ComputerName（启动IIS进程）：用于启动进程外应用程序的Internet信息服

3、务。 （本计算机中还有其他一些用户是我做其他配置时带上的，新的系统默认基本就是这四种）建议：本机系统管理员应为自己设两个帐号：管理员帐号（高级管理）和普通用户帐号（平时上机），更利于系统安全。  四、用户组有以下几种：1.管理员组（Administrators）:赋予组内的成员对系统完全控制的最高权力。Administrator是默认的组成员。本组是唯一被自动授予所有内置权利和能力的组。2.备份操作员组（Backup Operators）:可以备份和恢复计算机上的文件，而不受保护文件权限的限制，成员也可以登录计算机上关闭系统。然而该组成员无法改变系统安全配置。默认权限：网络

4、访问计算机、允许本地登录、备份还原文件和目录、忽略遍历检查、关闭系统。3.高级用户（Power Users）：本组成员可以添加新的用户帐号，但只能管理（修改删除）自己设置的帐号，对其他帐号无能为力。能够创造本地组，以及从自己创造的本地组中删除用户，或者从高级用户、用户组、来宾组（权利不如高级用户组的组）中删除用户。4.普通用户（Users）：能执行大多数的普通任务。（如执行应用程序、使用本地和网络打印机、关闭系统、锁定工作站等），能够创建本地组，但同样只能修改自己创建的本地组，成员不能共享目录或添加本地打印机。5.来宾组（Guests）:偶尔一次性访问的用户成员所拥有的十分有限的权利，可登录也

5、可关闭系统。作用不及普通用户。6.复制员组（Replicators）:只支持目录复制功能。它的唯一成员是登录到域控制服务的域用户帐号，不要将实际的用户帐号加入本组，否则该成员根本没有任何权利进入系统执行操作。7.其他特殊组：比如全局组内置的Domain Admins组、Domain Guests组、Domain Users组等等。Windows 2000 用户和计算机帐户管理在一个网络中，用户和计算机都是网络的主体，两者缺一不可。拥有计算机帐户是计算机接入Windows 2000和Windows NT网络的基础，拥有用户帐户是用户登录到网络并使用网络资源的基础，因此用户和计算机帐户管理是Win

6、dows 2000和Windows NT网络管理中最必要且最经常的工作。下面就分别从用户和计算机帐户简介、创建用户和计算机帐户、删除用户和计算机帐户、停用用户和计算机帐户、为用户和计算机帐户添加组、重设用户密码等方面进行介绍。用户和计算机帐户简介活动目录用户和计算机帐户表示诸如计算机或个人等物理实体。帐户为用户或计算机提供安全凭据，以便用户和计算机能够登录到网络并访问域资源。活动目录的帐户主要用于：验证用户或计算机的身份；授权对域资源的访问；审核使用用户或计算机帐户所执行的操作等。活动目录用户帐户    用户帐户是用来记录用户的用户名和口令、隶属的组、可

7、以访问的网络资源，以及用户的个人文件和设置。每个用户都应在域控制器中有一个用户帐户，才能访问服务器，使用网络上的资源。用户帐户由一个“用户名”和一个“口令”来标识，二者都需要用户在登录时键入。活动目录用户帐户使用户以经验证和授权访问域资源的身份登录到计算机和域。而且，用户帐户也可作为某些应用程序的服务帐户。     Windows 2000 提供可用于登录到Windows 2000 计算机的预定义用户帐户。这些预定义帐户包括：管理员帐户和客户帐户。预定义帐户是默认的用户帐户，它用于使用户登录到本地计算机和访问其上的资源。这些主要是为初始登录和本地计算机配

8、置而设计的。每个预定义帐户都有不同的权利和权限组合。管理员帐户具有最广泛的权利和权限，而客户帐户则只有有限的权利和权限。     如果网络管理员未修改或禁用预定义帐户的权利和权限，则任何使用管理员或客户身份登录到网络的用户或服务均可以使用它们。如果管理员希望获得用户验证和授权的安全性，则应为每个用户创建独立的用户帐户。为用户创建了独立的用户帐户后，用户需要使用活动目录的用户和计算机加入到网络中。之后，网络管理员可将每个用户帐户（包括管理员和客户帐户）添加到Window 2000 组中以控制指定给帐户的权利和权限。 计算机帐户  

9、60; 每个加入域的Windows 2000 和Windows NT 计算机都具有计算机帐户，否者无法进行域连接，实现域资源的访问。与用户帐户类似，计算机帐户也提供验证和审核计算机登录到网络以及访问域资源的方法。不过，一个计算机系统要加入到域中，只能使用一个计算机帐户，而一个用户可拥有多个用户帐户，且可在不同的计算机（指已经连接到域中的计算机）上使用自己的用户帐户进行网络登录。     注释 Windows 98 和Windows 95 计算机不具备Windows 2000 和Windows NT计算机所具有的高级安全特性，无法在Windows

10、 2000 域中为其指定计算机帐户。不过，用户仍可以登录到网络并在活动目录域中使用Windows 98 和Windows 95 计算机。     创建用户和计算机帐户    当有新的用户需使用网络上的资源时，作为管理员的用户必须在域控制器中为其添加一个相应的用户帐户，否者该用户无法访问域中的资源。另一方面，当有新的客户计算机要加入到域中时，作为管理员的用户必须在域控制器中为其创建一个计算机帐户，以便它有资格成为域成员。计算机帐户的创建非常简单，这里不再细述，下面只着重介绍用户帐户的创建过程：   

11、;  1. 在“Active Divectory用户和计算机”窗口的控制台目录树中，单击之后再双击域节点，展开该节点。     2. 如果要创建用户帐户，右击要添加用户的组织单元或容器，从弹出的快捷菜单中选择“新建”|“用户”命令；如果要创建计算机帐户，右击要添加计算机的组织单元或容器，从弹出的快捷菜单中选择“新建” |“计算机”命令。这里选择“新建” |“用户”命令，打开“创建新对象（用户）”对话框之一，如图9 - 2 7所示。     3. 在“名”和“姓”文本框中分别输入姓和名，并在“用户

12、登录名”文本框中输入用户登录时使用的名字。如果用户需要在Windows NT,Windows 98或者Windows 95计算机上以不同的登录名登录时，可在“下层登录名”文本框中输入不同的登录名。    4. 单击“下一步”按钮，打开“创建新对象（用户）”对话框之二，如图9 - 2 8所示。    5. 在“密码”和“确认密码”文本框中输入要为用户设置的密码。如果希望用户下次登录时更改密码，可启用“用户下次登录时须更改密码”复选框，否则启用“用户不能更改密码”复选框。如果希望密码永远不过期，可启用“密码永不过期”复

13、选框。如果暂不启用该用户帐户，可启用“帐户已停用”复选框。     6. 单击“完成”按钮即可完成创建。    删除用户和计算机帐户    当系统中的某一个用户帐户不再被使用或者作为管理员的用户不再希望某个用户帐户存在于安全域中，可将该用户帐户删除以便更新系统的用户信息。另外，在网络的使用中，当域中的某个计算机断开了与网络的连接，或者管理员不再希望某个计算机存在于自己的安全域中，可将该计算机的计算机帐户从域控制器中删除，以防有其他计算机假借原来的计算机使用域中的网络资源。 &

14、#160;   要删除一个用户和计算机帐户，在控制台目录树中，展开域节点。单击要删除的用户或者计算机所在的组织单元或容器，例如User s，使详细资料窗格中列出组织单元或容器的内容。然后在详细资料窗格中右击要删除的用户或者计算机，从弹出的快捷菜单中选择“删除”命令，出现信息确认框后，单击“是”按钮即可删除该用户或者计算机删除。     停用用户和计算机帐户    如果某个用户的账户暂时不使用，可将其停用。例如，公司有长期出差人员，可暂停其帐户的使用。如果某个计算机帐户暂时不使用，也可将

15、其停用。例如，公司的有计算机因故障而不能在短时间内使用，可将该计算机的帐户停用。停用帐户的目的是防止其他用户或者计算机使用暂时不使用的帐户进行域登录。帐户被停用之后，当该用户或者计算机需要重新使用已被停用的帐户时，作为管理员的用户可重新启用该帐户以便用户或计算机使用。     停用用户帐户，在控制台目录树中，展开域节点。单击要停用的用户帐户或者计算机所在的组织单元或容器，使详细资料窗格中列出该组织单元或容器的内容。然后在详细资料窗格中，右击要停用的用户或者计算机帐户，从弹出的快捷菜单中选择“停用帐户”命令，出现信息确认框后，单击“是”按钮即可停用被选用户

16、或者计算机帐户。     移动用户和计算机帐户    在一个大型网络中，为了便于管理，作为管理员的用户经常需要将用户和计算机帐户移动到新的组织单元或容器中。例如，公司一个职员从工程部调到开发部，则应将其帐户从工程部的组织单元中移动到开发部所在的组织单元中。帐户被移动之后，用户和计算机仍可使用它们进行网络登录，不需要重新创建。不过，用户和计算机帐户的管理人和组策略将随着组织单元的改变而改变。     要移动用户和计算机帐户，在控制台目录树中，展开域节点。单击要移动用户或者计算机

17、帐户所在的组织单元或容器，使详细资料窗格中列出相应的内容。在详细资料窗格中，右击要移动的用户帐户，从弹出的快捷菜单中选择“移动”命令，打开Move对话框，在“将对象移动到容器”文本框中双击域节点，展开该节点，如图9 - 2 9所示。单击移动的目标组织单元，然后单击“确定”按钮即可完成移动。     为用户和计算机帐户添加组    为便于作为管理员的用户对众多的用户和计算机帐户进行管理， Windows 2000 Server继续沿用了NT系统中组的策略。通过将不同的计算机添加到具有不同权限的组中的方式，使该用户和计

18、算机继承所在组的所有权限。同时作为管理员的用户也可以直接通过组来对多个用户和计算机帐户进行管理，这便大大减轻了用户的对计算机帐户的管理工作。    要为用户帐户添加组，在控制台目录树中， 展开域节点， 接着单击Computers或者要加入组的计算机所在的其他组织单元及容器，使详细资料窗格中列出相应内容。在详细资料窗格中，右击要加入组的用户帐户，从弹出的快捷菜单中选择“将成员添加到组”命令，打开如图9 - 3 0所示的“选择组”对话框，在组列表框中选择一个要添加的组，单击“确定” 按钮即可为用户添加组。      要

19、为计算机帐户添加组，可先在控制台目录树中，展开域节点，接着单击Computers或者要加入组的计算机所在的其他组织单元及容器，使详细资料窗格中列出相应内容。在详细资料窗格中，右击要加入组的计算机帐户，从弹出的快捷菜单中选择“属性”命令，打开该计算机的属性对话框。然后单击“成员属于”标签，打开“成员属于”选项卡，单击“添加”按钮，打开“选择组”对话框选择要加入的组。要加入的组选择之后，单击“确定”按钮完成添加。     重设用户密码    用户密码是用户在进行网络登录时所采用的最重要的安全措施，所以当用户密码被别人盗用或者用户感到有必要修改自己的密码时，作为管理员的用户可以通过Windows 2000提供的修改密码工具对用户使用的旧密码进行重新设置。在设置的密码时，应密码与用户所在的组织单元和用户帐户的各种信息保持一致性，以方便用户记忆。      要重新设置用户密码，在控制台目录树中，展开域节点。然后单击