《用户和组的管理》PPT课件.ppt

1、1,网络服务配置,祝培培,2,学习情境二 活动目录和用户管理,完成以下操作：,1、新建一台虚机“你姓名的拼音.vmc”，该虚机要求运行附加程序和NEWSID，并将虚机的计算机名改为“你姓名的拼音” 2、为你的虚机新建两个用户，用户名自定。并分别以这两个用户的身份登录计算机，设置不同的桌面效果，体验用户配置文件的作用。 3、在NTFS分区的磁盘上建立一个共享的文件夹“学习资料”，并对不同的用户指定不同的权限。,4,一、Windows 2003工作组和用户管理,2.1 工作组的特性,每一台计算机管理自己 每一台计算机都在本地存储用户的账户。 工作组中计算机的数量最好不要超过10台。 用户在工作组中

2、使用本地账户登录到计算机，一个账户只能登录到一台计算机。,2.2 创建和管理本地用户账户,本地账户存储在本地计算机上的SAM中 本地账户能够并且只能够登录到本地计算机 本地账户可以用“计算机管理”中的“本地用户和组”来管理 本地账户主要用于工作组环境中,创建本地用户账户,使用计算机管理工具进行用户管理 需要 用户名 全名 描述 密码相关选项,创建本地用户账户,用户名：用户名最长20字符，不区分大小写，也可以使用中文，但不能使用一些特殊字符（ / : ; | = , + * ? ） 全名和描述：此信息为可选项，可以输入一些员工的个人信息和公司信息，如姓名和部门等； 密码和确认密码：密码的最大长度

3、可以达到127位，密码的设置不应过于简单，应该使用字母、数字及特殊符号的组合。,创建本地用户账户,用户下次登录时必须更改密码 用户不能更改密码 密码永不过期 账户已禁用,保障用户隐私,用于共享账户,默认42天过期,暂时禁止登录,设置账户属性,常规信息 隶属于 配置文件,更改账户密码,重设密码 一般由管理员完成 更改密码 一般由用户完成,重命名和删除账户,重命名用户 删除用户 SID:S-1-5-21-1292074401-2054391636-2487779615-500 删除后不能重建,用户配置文件,用户配置文件包括用户的工作环境信息 桌面 我的文档 收藏夹 最近访问过的文件 在用户属性中可

4、以指定配置文件的路径,用户配置文件,利用系统属性中可以看登录到当前计算机中的用户配置文件,使用本地组,当一个用户加入到一个组以后，该用户会继承该组所拥有的所有权限； 一个用户账户可以同时加入到多个组； 有些情况下，组可以加入到其他组，或者说组里可以包括组。,创建本地组,创建组 使用计算机管理工具中的用户和组管理 需要输入组名和描述 可以直接添加成员,内置组,默认本地组 自动建立 拥有特殊的权限 有些组是动态的,内置组(Cont.),管理本地组,本地组的管理 修改组成员 删除组 SID 重命名组 成员和权限不变,Windows Server 2003 的管理,1. 活动目录 活动目录（Activ

5、e Directory）是一种目录服务，其基本思想是在安装win2000 Server的计算机上再安装一个数据库（相当于一本书），用于存储有关网络对象的信息，其中包括计算机域上的域节点、计算机帐户、用户帐户、组、组织单位和共享的网络资源（如文件夹、打印机等）。 活动目录实际上是一个网络资源管 理器，就像一本书的目录。通过活动 目录，管理员及用户可以方便地查找 和使用网络信息。所谓“活动”，是指 该目录可以随着资网络源的增加而动 态地进行扩展，以反映最新的变化， 力求目录和内容的统一。,文件夹,组,打印机,用户,计算机,21,二、实现Windows Server 2003域,3.1 Window

6、s Server 2003 域概述,域是基本管理单位 域中可包含大量对象 计算机 用户 打印机 共享文件夹 域是活动目录的组成部分,活动目录概述,活动目录是一个数据库 活动目录是一个目录服务 可以定制活动目录 简化的管理 可扩展性 便捷的网络资源访问,域、域树、域森林,根域下面可以建立多层子域 域和子域构建成域树 多棵域树构建成森林 域之间自动建立双向信任关系,T,B,X,T,B,域、域树、域森林,OU-组织单位,OU是活动目录中的一种对象 OU中可以建立子对象 利用OU可以模拟管理模型,域控制器,域控制器是存储活动目录数据库的计算机 一个域最少一台域控制器 多台域控制器需要同步数据库,3.2

7、 活动目录安装,安装者必须具有本地管理权限 操作系统必须满足条件（Windows Server 2003 Web版除外都满足） 本地磁盘至少有一个分区是NTFS文件系统 系统盘应该有最少300MB的剩余空间。 安装TCP/IP协议和相应的DNS服务器支持。,启动活动目录安装程序,启动安装向导 使用管理您的服务器向导 使用命令DCPROMO,安装活动目录,3.3 活动目录的配置与管理,可以根据各种因素创建OU,域模式,域模式是用来为了兼容老版本操作系统的域控制器，而限制某些新的功能。,域用户账户,配置域用户账户的属性,登录名 登录时间 可以登录的计算机 配置文件/主文件夹,组,组的分类,管理域中

8、的组,创建组 设置组信息 添加组成员 设置组管理者,2. 域的概念 域(Domain)是指具有相同安全策略的网络对象（如用户、组和计算机等）的活动目录的分区,是Win Server基本管理单位。 活动目录可由一个或多个域组成，每一个域可以存储上百万个对象，域之间还有层次关系，可以建立域树和域林。,域树,域林,图中的双箭头表示域之间的信任关系,Windows Server 2003 的管理,域的概念,使用域最大优点在于单一网络登录能力，即任何一个用户只要在域中拥有一个帐户，就可以漫游整个网络，而且无需知道访问的资源位于何地，就像使用本机资源管理器一样方便。 域树和域林可以进行无限地域扩展。 Wi

9、ndows 2000中域的信任关系都是双向和可传递的。,3. 安装活动目录 Active Directory只能安装在运行Windows 2000 Server或更高版 本且采用NTFS分区的计算机上，需要最少200MB的磁盘空间。在安 装Active Directory 前要确保DNS服务器运行正常。 具体安装步骤如下： （1）选择【开始】|【程序】| 【管理工具】|【配置服务器】， 打开【Windows 2000配置服务 器】窗口，如右图所示。,Windows 2000 Server的管理,（2）单击【Active Directory】链接，出现活动目录的有关内容。 （3）拖动右侧滚动条到

10、底部，然后单击【启动】，出现【Active Directory安装向导】对话框，如左下图所示。 （4）单击【下一步】按钮，出现如右下图所示的【域控制器类型】对话框，这时用户需要选择域控制器类型。,安装活动目录,由于用户所建立的是域中的第一台域控制器，所以选择【新域的域控 制器】选项，单击【下一步】按钮，出现【创建目录树或子域】对话 框，如左下图所示。 （5） 选择【创建一个新域目录树】选项，单击【下一步】按钮， 出现【创建或加入目录林】对话框，如右下图所示。,安装活动目录,（6）选择【创建新的域目录林】选项，单击【下一步】按钮，出现【新的域名】对话框，在【新域的DNS全名】中输入要创建的域名，

11、如 ，如左下图所示。 （7）单击【下一步】按钮，出现【NetBIOS域名】对话框，在【域NetBIOS名】框中输入NetBIOS域名，或者接受显示的名称。NetBIOS域名是供早期的Windows用户用来识别新域的。,安装活动目录,（8）单击【下一步】按钮，出现【数据库和日志文件位置】对话框， 如右下图所示。这时用户可以改变数据库、日志文件的位置，但一般 不做修改。 （9）单击【下一步】按钮，在出现的【共享系统卷】对话框中用户可 以改变Sysvol文件夹的位置（必须 放在NTFS5.0卷中），但一般情况 下不做改变。单击【下一步】按钮， 出现【权限】对话框。,安装活动目录,（10）选择【与Wi

12、ndows2000服务器之前的版本相兼容的权限】选项，单击【下一步】按钮，出现【目录服务恢复模式的管理员密码】对话框，如左下图所示。 （11）在【密码】框中输入管理员帐户密码，然后在【确认密码】框中再一次输入该密码。单击【下一步】按钮，出现【摘要】对话框，如右下图所示.,安装活动目录,（12）检查并确认无误后，单击【下一步】按钮，系统开始配置活动 目录并弹出【正在配置Active Directory】对话框，如下图所示 （13） 经过几分钟之后，系统配置活动目录结束，出现【完成 Active Directory安装向导】对话框。 （14）向导提示已经安装了Active Directory，单击

13、【完成】按钮， 完成活动目录的安装之后，重新启动计算机。,安装活动目录,检验安装结果,在安装完成后，可以通过以下方法检验Active Directory安装是否正确，在安装过程中一项最重要的工作是在DNS数据库中添加服务记录（SRV记录），下面介绍一下如何检查安装结果。 1检查DNS文件的SRV记录。 用文本编辑器打开%systemroot%/system32/config/中的Netlogon.dns文件，察看LDAP服务记录，在本例中为_ldap._.600 IN 0 100 389 。 2验证SRV记录在NSLOOKUP命令工具中运行是否正常。 （1）在命令提示行下，输入NSLOOKUP

14、； （2）输入set type=srv； （3）输入_ldap._。 如果返回了服务器名和IP地址，说明SRV记录工作正常。,4 活动目录的使用 选择【开始】|【程序】|【管理工具】| 【Active Directory 用户和 计算机】选项，打开【Active Directory 用户和计算机】控制台窗口， 用鼠标单击左边窗口中域目录树展开域节点。 （见下页界面图） 如果是新安装的域控制器，文件夹的缺省显示及含义如下： (1)Buitin：内置的本地组。 (2)Computers：计算机。 (3)Domain Controllers：域控制器。打开它可设置域控制器属性 (4)Users：内置

15、的全局组。 (5) ForeignSecurityPrincipals：外部安全控制者。 通过该控制台，可以增加、修改、管理Windows 2000 域用户和计算 机账户以及组织单位和组等对象，并可在活动目录上发布和管理资源,Windows 2000 Server的管理,活动目录的使用,用户和计算机账户简介,活动目录用户和计算机账户表示的是计算机或个人等物理实体。账户为用户或计算机提供安全凭据，以便用户和计算机能够登录到网络并访问域资源。活动目录的账户主要用于：验证用户或计算机的身份；授权对域资源的访问；审核用户或计算机账户所执行的操作等。 一、用户账户 用户账户是用来记录用户的用户名和口令、

16、隶属的组、可以访问的网络资源，以及用户的个人文件和设置。每个用户都应在域控制器中有一个用户账户，才能访问服务器，使用网络上的资源。 二、计算机账户 每个加入域的计算机都具有计算机账户，否则无法进行域连接，实现域资源的访问。,用户帐户及组的管理,1. 基本概念 在Windows Server 2003 中，有两种类型的帐户：本地用户帐户和域用户帐户。 本地用户帐户 本地用户帐户是指建立在Windows 2000 Server独立服务器、成员服务器或计算机上，它的作用范围仅仅限于创建它的计算机，用于控制用户对该计算机上资源的访问。例如，在名称为W-Server的独立服务器上创建了一个名字为xu的用

17、户，xu只能登录到W-Server服务器，在网络中的其他服务器上无效。,域用户帐户 域用户帐户是用户访问域的唯一标识，它在域中是唯一的。域用户帐户必须在域控制器上建立，并且作为活动目录的一个对象保存在域活动目录数据库中。域帐户可以访问授权域中的所有资源。 在Windows 2000 Server中，本地用户帐户是通过选择【开始】|【程序】|【管理工具】|【计算机管理】创建的，而域用户帐户则是通过域控制器的【Active Directory 用户和计算机】来创建的。,用户帐户及组的管理,两个特殊的内置帐户: Administrator 和 Guest Administrator 和Guest帐户

18、是在安装Windows 2000 Server时自动建立的帐户，也称为内置帐户。这两个帐户在Windows 2000 Server安装之后已经存在并且被赋予了相应的权限，它们不能被删除（即使是管理员也不能），其中Administrator帐户还不允许被屏蔽，开始时Guest帐户处于停用状态。 Administrator和Guest帐户的权限如下： Administrator：在域和计算机中具有不受限制的权利，可以管理本地或域中的任何计算机，如创建帐户、创建组、实施安全策略等。 Guest：供在域中和计算机中没有固定帐户的用户临时使用计算机或访问域。该帐户默认情况下不允许对计算机或域中的设置和资

19、源做永久性改变。,用户帐户及组的管理,（2）组 组是Active Directory 中最强有力的管理工具之一，使用组可以减少需要直接管理的对象数量，从而简化了网络维护与管理。 组是包含用户、联系人、计算机和其他组的Active Directory或本机对象的集合，组中的所有用户都自动继承组的所有权限。使用组可以管理用户和计算机对Active Directory对象及其属性、网络共享位置、文件、文件夹、打印机队列等共享资源的访问。 组具有自己的作用域，该作用域标识组在域树或树林中所应用的范围。共有三种不同类型的作用域，即通用、全局和本地作用域，他们对应的组分别被称为通用组、全局组和本地组。在安

20、装域控制器时，部分默认的组已经安装于活动目录的文件夹中，在Builtin中存放着内置本地组，在Users中存放着内置全局组，它们已经被赋予特定的权力和约束。,用户帐户及组的管理,2. 用户帐户管理 （1） 建立用户帐户 选择【开始】|【程序】|【管理工具】|【Active Directory用户和计算机】，打开【Active Directory用户和计算机】管理器窗口，在控制台树中双击要创建用户的域 单击【用户】文件夹，打 开【用户窗口】，在【操作】选 单中，单击【新建】选单中的 【用户】命令,用户帐户及组的管理, 输入用户的姓名、登录名，其中，用户登录名是指当用户从运行Windows NT/

21、98等以前版本操作系统的计算机登录网络所使用的用户名。单击下一步按钮。 在【密码】对话框中输入密码或不填写密码，选择【用户下次登录时须更改密码】，以便让用户在第一次登录时为其设置密码，这样除用户自己外包括管理员在内的其他所有用户都无权修改其口令。,用户帐户及组的管理, 单击【下一步】按钮，显示所创建的新用户相关信息，检查无错误后，单击【完成】按钮。这时用户会在管理器窗口中看到新添加的用户，如右下图所示。,用户帐户及组的管理,（2） 修改用户信息 在【Active Directory用户和计算机】管理窗口中，鼠标右击列表中 的一个用户名，如“罗静玲”， 在弹出的快捷选单中单击 【属性】，在【用户

22、属性】 对话框的【常规】选项卡中 可以输入有关用户的描述、 办公室、电话、电子邮件地 址及个人主页地址等。如右 图所示。,用户帐户及组的管理,（3）设置用户登录时间 在帐户选项卡中单击【登录时间】按钮，打开【登录时间段】对话框，每个横向方块代表小时， 每个纵向方块代表一天， 蓝色方块表示允许用户使用 的时间，空白方块表示该时间 不允许用户使用。 默认设置为允许用户在所有时间 登录服务器。,用户帐户及组的管理,（4）限制用户从某台客户机登录 在【帐户】选项卡中单击【登录到】按钮，打开【登录工作站】对话框，默认情况下允许从所有的工作站登录，也可以设定让用户从某一工作站登录，设置时输入计算机名称，然

23、后单击【添加】按钮。但这些设置只对Windows NT/2000工作站起作用，无法限制从DOS和Windows 9X客户机登录。 （5）设置帐户的有效期限 在帐户选项卡中，可以设置帐户的使用期限。在默认情况下帐户是永久有效的，但对于临时用户来说，设置帐户期限就非常必要，在有效期限到期后，该帐户被标记失效，默认期为一个月。,用户帐户及组的管理,（6）设置用户环境 可以设置每一个用户的环境，如用户配置文件、登录脚本和宿主目 录等，这些设置根据实际情况而定。 （7）停用/启用帐户 在不删除用户帐户的情况下，可以禁止某个用户帐户的使用，即停 用帐户。停用后的用户帐户还可 以重新启用。停用/启用用户帐户

24、 的方法是在用户和计算机管理器中， 鼠标右击列表中的一个用户名，如 “罗静玲”，在弹出的快捷选单中单 击停用帐户或启用帐户，如右 图所示，然后在提示窗口中单击 【确定】按钮。,用户帐户及组的管理,3. 组管理 （1） 创建组 【打开“Active Directory用户和计算机】管理器窗口。 双击域节点，右键单击要添加组的文件夹，在弹出的快捷选单中单击【新建】【组】命令，打开【新建对象组】对话框。 键入新组的名称。 选择所需的【组作用域】和【组类型】， 单击【确定】按钮。,用户帐户及组的管理,（2） 添加组成员 添加组成员，就是指定用户隶属组，即组用户。 【打开Active Directory

25、用户和计算机】管理器窗口。 双击域节点，单击包含要添加成员的文件夹。 在详细信息窗口中，右 键单击组，单击【属性】 按钮，选择【成员】选项 卡，然后单击【添加】按 钮，打开【选择用户、联 系人或计算机】对话框， 如右下图所示。,用户帐户及组的管理, 在【名称】列表框内选择要添加到组的用户，单击【添加】按钮。用同样的方法可以添加多个用户或计算机。最后单击【确定】按钮，选定的用户被添加到指定的组中。 * 用户帐户至少隶属于一个组，该组被称为主要组，这个主要组必须是一个全局组且不可被删除。一个组也可以添加到内置组中，使之成为另外一个组的成员。在组【属性】对话框中选择【成员属于】选项卡 (3) 删除组

26、 从【Active Directory 用户和计算机】左侧窗口中，右击要删除的组，然后单击快捷选单中的【删除】命令即可。,用户帐户及组的管理,域中的文件服务器在网络中扮演着重要角色，是网络中的重要资源。建立文 件资源的共享是信息共享的基本要求，而共享文件的管理与权限控制是网络 安全的基本保障。FAT分区与NTFS分区中的文件共享有所区别，后者可以提 供更多的权限设置，安全更有保证。 1. 在FAT分区建立和管理共享文件夹 共享文件夹的权限有三种类型：读取、修改和完全控制。用户若要 将文件夹设置为共享文件夹，其本身必须是Administrators、Server Operators、Power

27、Users内置组的成员或有其同等权限。现介绍通过 【创建共享文件夹向导】创建共享文件夹的操作方法。,文件的管理,（1）选择【开始】【程序】【管理工具】【计算机管理】 命令，打开【计算机管理】控制台，如左下图所示。 （2）在【计算机管理】控制台中展开【共享文件夹】。 （3）右击【共享】，在弹出的快捷菜单中执行【新文件夹共享】 命令，如左下图中弹出菜单所示。 (4) 在弹出的【创建共享文件夹】对话框中输入（或通过【浏览】选择要共享的文件夹）共享名及共享描述，如右下图所示。,在FAT分区建立和管理共享文件夹,（5）单击【浏览】按钮，在【浏览文件夹】对话框中选择所要共享的文件夹，并输入相关信息后单击【

28、下一步】按钮，弹出设置权限选项对话框，如左下图所示。 （6）设置权限对话框中已经列出四种选项供选择。默认的文件夹访问权限值是【所有用户都有完全控制】，显然不同的文件需要授予不同用户不同的权限。通常需要选择最下面的项【自定义共享和文件夹权限】，并单击【自定义】按钮打开【自定义权限】对话框，如右下图所示。,在FAT分区建立和管理共享文件夹,（7）通过自定义权限对话框可以修改用户许可。在【名称】列表框中单击要修改的用户或组，然后在【权限】列表框中设置权限类型。要删除用户许可，可在【名称】列表框中选择要删除的用户或组，单击【删除】按钮即可。 要添加用户许可，可单击【添加】按钮，在弹出的如下图所示的对话

29、框中选择用户或组，然后单击【添加】按钮，最后单击【确定】按钮。 (8) 最后单击【完成】按钮， 弹出一个【创建共享文件夹】 提示框，表明共享文件夹已经 成功创建，单击【否】按钮完 成文件夹的共享设置。,在FAT分区建立和管理共享文件夹,（9）返回【计算机管理】控制台，单击【共享】，在右侧窗口的共享文件夹列表框内可以看到刚才创建的共享文件，右击列表中的共享文件夹，在弹出的快捷菜单中有【停止共享】、【所有任务】、【刷新】、【属性】等选项，可以对共享的文件夹进行管理，如右下图所示。,在FAT分区建立和管理共享文件夹,2. 在NTFS分区建立和管理共享文件及文件夹 在Windows 2000 的NTF

30、S分区中对文件和文件夹进行权限设置，不但可以实现本地用户对文件的权限控制，而且为共享文件夹的安全提供了更为有效的保护。 （1） NTFS权限的类型 下页表中列出了标准NTFS文件与文件夹权限的类型。,文件的管理,NTFS文件与文件夹权限的类型列表,（2）NTFS权限的设置 在NTFS分区上，系统默认文件或文件夹的权限设置为所有用户完全 控制。为了使NTFS分区上的文件与文件夹具有安全性，就必须改变 这个默认值，也就是给用户重新指派适当的权限。指派NTFS权限的 用户只能是文件或文件夹的所有者、有权限对其完全控制者或 Administrator组内成员。 要为用户设置文件或文件夹的NTFS访问权

31、限，可以进行如下操作： 右击要设置权限的文件夹，从弹出的菜单中选择【属性】命令，再在 弹出的【属性】对话框中选择【安全】标签，如下页图所示。在此 文件夹的【安全】窗口中，上方的【名称】列表框为授予权限的用户 或组，下方的【权限】列表框为此用户或组的权限。它与FAT分区的权限列表框中内容不同，用户可以针对不同用户逐项选择，其操作方法基本相同。,文件的管理,Windows 工作站加入域 加入“域”需要“域”管理员进行协助：域管理员先给要求加入“域”的计算机分配一个合法计算机帐户和用户帐号。 （1）首先需要以Administrators组成员的身份登录Win2000工作站（默认情况下，只有该组成员可以将本机加入到“域”中） （2）设置工作站的IP地址，保证与域控制器在同一网段且DNS指向域控制器。 （3）右击【我的电脑】，单击