域用户与组账户的管理

⽹络操作系统习题答案Server 2003 ⽹络操作系统习题答案第1章⽹络操作系统导论⼀、填空题1.⽤户、⽹络⽤户2.源主机⽬标主机3.客户/服务器(C/S)⼆、简答题1.⽹络操作系统有哪些基本的功能与特性?⽹络操作系统应具有下⾯⼏个⽅⾯的功能。

(1)共享资源管理。

(2)⽹络通信。

(3)⽹络服务。

(4)⽹络管理。

(5)互操作能⼒。

⽹络操作系统的主要任务是对全⽹资源进⾏管理，实现资源共享和计算机间的通信与同步，下⾯介绍⼀些⽹络操作系统的特性。

(1)客户/服务器模式。

(2)32位操作系统。

(3)抢先式多任务。

(4)⽀持多种⽂件系统。

(5)Internet⽀持。

(6)并⾏性。

(7)开放性。

(8)可移植性。

(9)⾼可靠性。

(10)安全性。

(11)容错性。

(12)图形化界⾯(GUI)。

2.常⽤的⽹络操作系统有哪⼏种?各⾃的特点是什么?⽹络操作系统是⽤于⽹络管理的核⼼软件，⽬前得到⼴泛应⽤的⽹络操作系统有UNIX、Linux、NetWare、Windows NT Server、Windows 2000 Server和Windows Server 2003等。

(1)UNIX操作系统是⼀个通⽤的、交互作⽤的分时系统，其主要特性如下：1)模块化的系统设计。

2)逻辑化⽂件系统。

3)开放式系统：遵循国际标准。

4)优秀的⽹络功能：其定义的TCP/IP协议已成为Internet的⽹络协议标准。

5)优秀的安全性：其设计有多级别、完整的安全性能，UNIX很少被病毒侵扰。

6)良好的移植性。

7)可以在任何档次的计算机上使⽤，UNIX可以运⾏在笔记本电脑到超级计算机上。

(2)Linux是⼀种在PC上执⾏的、类似UNIX的操作系统。

1)完全遵循POSLX标准。

2)真正的多任务、多⽤户系统。

3)可运⾏于多种硬件平台。

4)对硬件要求较低。

5)有⼴泛的应⽤程序⽀持。

6)设备独⽴性。

7)安全性。

8)良好的可移植性。

9)具有庞⼤且素质较⾼的⽤户群。

用户与组的管理题目第五单元用户与组的管理一、填空题1.根据服务器的工作模式，组分为本地组和域组。

2.账户的类型分为本地用户账户、域用户账户、内置用户账户。

3.工作组模式下，账户存储在服务器的sam文件中；域模式下，账户存储在活动目录数据库中。

4.活动目录中按照能够授权的范围，分为本地域组、全局组、通用组。

5.用户配置文件并不是一个单独的文件，而是由用户配置文件夹、Ntuser.dat文件和ALL User文件夹3部分内容组成。

6.Windows Server 2008服务器有两种工作模式：工作组模式和域模式。

7.本地账户对应对等网的工作组模式，本地账户只能在本地计算机上登录。

8.本地计算机上都有一个管理账户数据的数据库，称为安全账户管理器。

9.用户要访问本地计算机，都需要经过该机SAM中的SID验证。

10.域账户和密码存储在域控制器上Active Directory 数据库中。

11.域数据库的路径为域控制器中的系统盘下\Windows\NTDS\NTDS.DIT。

12.组织单元是域中包含的一类目录对象，它包括域中的一些用户、计算机和组、文件与打印机等资源。

二、选择题1.在设置域账户属性时，（C ）项目不能被设置。

A.账户登录时间B.账户的个人信息C.账户的权限D.指定账户登录域的计算机2.下列（C ）不是合法的账户名A.abc_123B.windows bookC.dictionar* C.abdkeofFHEKLLOP3.下面（C ）用户不是内置本地域组成员A.Account OperatorB.AdministratorC.Domain AdminsD.Backup Operators4.下面（A ）不是Windows Server 2008所提供的用户配置文件。

A.默认用户配置文件B.本地用户配置文件C.漫游用户配置文件 C.强制性用户配置文件5.以下那种权限未授予“超级用户”组成员？（B )A.创建任何用户和组B.删除任何用户和组C.创建网络共享D.创建网络打印机6.关于内置账户，以下陈述不正确的是：（A ）A.在缺省情况下，“管理员”账户能被删除B.在缺省情况下，“管理员”账户被启用C.在缺省情况下，“访客”账户不能被删除D.在缺省情况下，“访客”账户不被启用7.以下哪个用户组拥有最低级别的权限？（B ）A.用户B.访客C.任何人D复制员8.以下哪一项不是OU的真实特性？（B ）A.可包含其他活动目录对象B.是安全基本对象C.可包含其他OUD.可被配置为分层结构9.以下哪一个对象不是安全基本对象？（）A.用户账户B.用户组C.计算机账户D.OU10.在“本地用户和组”中建立一个新用户student，系统默认该用户属于：（D ）A.administratorsB.Power UsersC.Guests/doc/1e5780195.html,ers11.下列对象中，不属于AD中的容器的是：（D ）A.组织单元B.组C.域D.工作组12.Windows 2000 安装后，已经存在了两个预定义帐户，它们是：（）A.administrator和userB.guest和user/doc/1e5780195.html,er和adminD.administrator和guest三、判断题1.用户名最长可达20个字符（×）2.一个用户账户可以加入多个组（√）3.在工作组模式下，本地组不能包含本地组（√）4.在工作组模式下，本地组可以包含内置组（×）5.工作组中的每台计算机都在本地存储账户（×）6.工作组中的计算机的数量最好不要超过10台（√）7.Administrator 账户可以禁用自己，所以在禁用自己之前应该先创建至少一个管理员组的账户（×）四、简答题1.简述通用组、全局组和本地域组的区别答案：1、通用组可以指派所有域中的访问权限，以便访问每个域内的资源。

域用户及组账户的管理域系统管理员需要为每一个用户分别建立一个用户账户，让用户可以利用这个账户来登录域、访问网络上的资源。

系统管理员同时也需要了解如何巧用组，以便有效的管理资源的访问。

本章的主要内容包括：》域用户账户》一次同时添加多个用户账户》域组账户》提升域功能级别》组的使用准则３.１域用户账户作为域系统管理员，可以利用“Active Directory用户和计算机”控制台来建立并管理域用户账户。

当用户利用域用户账户登录域后，便可以直接连接域内的所有计算机、访问资源。

换句话说，域用户在域内的一台计算机上登录成功后，当他们要连接域内的其他计算机时，并不需要再次登录到其他计算机上。

这个只需要登录一次的功能，被制为“单一登录”（single sign-on ）”。

本机用户账户并不具备“单一登录和”的功能，也就是说利用本机用户账户登录后，当要连接其他计算机时，必须再次登录。

非域控制器的Wdindows Server2003、Ｗindows XP Professional等计算机默认没有"Active Directory 用户和计算机”控制台等管理Active Directory的工具，不过，可以通过安装“Windows Server 2003 Administration Tool Pack”来拥有这些工具，也就是运行位于Windows Server 2003安装光盘中的Ｉ386文件夹内的ADMINPAD.MSI程序。

３.１.１组织单位组织单位内可以容纳其他的对象，如用户账户、组账户、计算机账户等，以便更容易的管理资源，并可以通过组策略来集中管理域的用户工作环境与计算机环境。

你可以利用“开始”-》“管理工具”-》“Active Directory用户和计算机”->"右击域名称“-》”新建“-》”组织单位“的途径来建立组织单位。

应设置有意义的组织单位名称，如”业务部“、”研发部“等，而且不要经常改变名称。

【实验目的】1、理解域的概念，掌握AD的安装方法。

2、掌握参加和退出域的方法。

3、掌握域用户的管理和配置，组的规划和建立。

4、理解Windows Server 2003域用户和本地用户的区别。

5、理解组的概念和作用，认识组的类型。

【实验内容】1、练习AD的安装方法，2、练习参加和退出域的方法。

3、练习域用户的管理和配置，组的规划和建立【实验器材】两台PC，一台作为域控制器DC〔PC1〕，另一台客户机〔PC2〕需要参加到域中。

【实验步骤】一、安装活动目录1、将要作为控制器DC的PC上运行DCPromo。

单击［下一步］。

2、由于所建立的是域中的第一台域控制器，所以选择［新域的域控制器］单击［下一步］。

3、选择［创立一个新域的域目录树］，单击［下一步］。

4、选择［创立一个新域的域目录林］，单击［下一步］。

5、在［新域DNS全名］中输入要创立的域名tlpt+学号后两位〔如学号2，DNS全名为tlpt02〕，单击［下一步］。

6、安装向导自动将域名控制器的NetBIOS名设置为“tlpt+学号后两位〞，单击［下一步］。

7、显示数据库、目录文件及 Sysvol文件的保存位置，一般不必做做修改，单击［下一步］。

8、配置DNS效劳器，单击［下一步］；假设在安装 Active Directory之前未配置DNS 效劳器可以在此让安装向导配置DNS，推荐使用这种方法。

9、为用户和组选择默认权限；单击［下一步］10、输入以目录恢复形式下的管理员密码，单击［下一步］。

11、安装向导显示摘要信息，单击［下一步］。

12、安装完成，重新启动计算机。

13、设置DNS。

〔由于在AD配置过程中，默认把本机IP作为DNS的IP，所以我们在DNS效劳器中要填写上本机IP〕。

14、进入系统后，右键单击“我的电脑〞，在“计算机名〞栏能看到完好的计算机域名。

二、参加和退出域将PC2参加到刚新建的域中1、翻开PC2的“本地连接状态〞对话框，翻开TCP/IP属性设置对话框，在“首选DNS 效劳器〞输入DNS的IP (域控制器PC1的IP)，单击“确定〞完成。

一 工作组与域的区别域管理与工作组管理的主要区别在于：1、 工作组网实现的是分散的管理模式，每一台计算机都是独自自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息，共享信息的权限设置由每台计算机控制。

在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器，由浏览主控服务器提供的。

而域网实现的是主/从管理模式，通过一台域控制器来集中管理域内用户帐号和权限，帐号信息保存在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。

这就是两者最大的不同。

2、 在“域”模式下，资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。

3、 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。

如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。

不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

而工作组只是进行本地电脑的信息与安全的认证。

二 公司采用域管理的好处1、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。

2、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。

3、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装，保证网络内软件的统一性。

4、 很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。

实训七管理用户和组一、实训目的1．掌握本地帐户与域帐户的管理方法；2．掌握设置帐户属性的方法；3．掌握用户配置文件的创建方法；4．掌握用户组的管理方法；5．在活动目录中利用OU管理资源的方法。

二、实训环境Win2003server 1台、直通双绞线4根(每根3米)、WinXP 3台，组网形式如下。

三、实训理论基础每个用户都需要有一个帐户，以便登录到域访问网络资源或登录到某台计算机访问该机上的资源，创建和管理用户对象是网络管理员执行的最常见任务。

组是用户帐户的集合，管理员通常通过组来对用户的权限进行设置从而简化了管理。

1．用户账户简介Windows Server 2003提供两种主要类型用户账户：本地用户账户（Local User Account）和域用户账户（Domain User Account）。

除此之外，Windows Server 2003系统中还有内置用户账户（Built-in User Account）。

2．本地用户账户本地用户帐户只能登录到帐户所在的计算机并获得对该资源的访问。

当创建本地用户帐户后，Windows Server 2003将在该机的本地安全性数据库中创建该帐户，本地帐户信息存储在本地，不会被复制到其他计算机或域控制器。

当创建一个本地用户账户后，计算机使用本地安全性数据库验证本地用户账户，以便让用户登录到该计算机。

3．创建本地用户账户创建本地用户账户可以在除了域的域控制器以外的任何一台基于Windows Server 2003的计算机上进行。

出于安全性考虑，通常建议只在不是域的组成部分的计算机上创建和使用本地用户账户，即在属于域的计算机上不要设置本地账户。

工作组模式是使用本地用户账户的最佳场所，如图4．域用户账户域用户账户可让用户登录到域并获得对网络上其他地方资源的访问权。

域用户账户是在域控制器上建立的，作为Active Directory 的一个对象保存在域的Active Directory 数据库中。

实训项目报告管理域用户账户与组账户管理域用户账户与组账户是一项重要的工作，对于企业的信息系统安全和管理非常关键。

本文将介绍如何有效地管理域用户账户和组账户。

首先，管理域用户账户包括创建、修改和删除用户账户。

在创建用户账户时，需要明确用户的身份和权限，并为其分配合适的访问权限。

对于权限的分配，应根据用户的工作职责和需要进行合理的划分。

同时，在创建用户账户时，应设定强密码策略，并要求用户定期更换密码，以增强账户安全性。

在修改用户账户时，要根据实际情况对用户的权限进行调整。

例如，员工调岗或离职时，需要及时变更其账户权限或禁用账户，避免权限过大或滥用。

此外，还要定期审查和更新用户账户信息，确保账户的准确性和安全性。

对于删除用户账户，同样需要审慎操作。

在员工离职或合同到期后，应及时删除对应账户，以防止账户被恶意使用。

同时，必须注意备份员工账户的重要数据，以便在需要时进行数据恢复或追溯。

另外，管理域组账户也是管理的重点之一、组账户可以将相同权限和访问需求的用户进行分类集中管理，提高管理效率和一致性。

在创建组账户时，需要明确组的名称、目的和所包含的用户。

同时，也要为组账户分配合适的访问权限，确保用户能够顺利完成工作。

在修改组账户时，应根据需要对组的权限进行调整。

例如，有新的用户需要加入组账户，或者一些用户需要从组中移除，都需要及时调整组的成员。

此外，也需要定期审查和更新组账户的信息，保证其准确性和安全性。

最后，对于删除组账户，同样需要谨慎操作。

需要先将组中的用户移除，再进行删除操作。

同时，也要注意备份组账户的重要数据，以便在需要时进行数据恢复或追溯。

综上所述，管理域用户账户与组账户是一项重要的工作，需要合理分配权限，定期审查和更新账户信息，并注意账户的安全性。

只有做好对账户的管理，才能保障企业信息系统的安全和有序运行。

管理Active Directory用户和计算机服务器技术2010-01-26 21:36:55 阅读133 评论0 字号：大中小在使用Windows Server 2003 所包括的Active Directory服务的网络上，每个用户都必须由目录中的一个用户对象来表示。

用户对象由包含用户信息的属性和用户在网络上的权利组成。

创建和管理用户对象是网络管理员执行的常见任务。

一、用户账号简介用户账号可为用户提供登录到域以访问网络资源或登录到计算机以访问该机资源的能力。

定期使用网络的每个人都应有一个惟一的用户账号。

Windows Server 2003提供两种主要类型的用户账号：本地用户账号和域用户账号。

除此之外，Windows Server 2003系统中还有内置的用户账号。

1.本地用户账号（Local User Account）本地用户账号只能登录到账号所在计算机并获得对该资源的访问。

当创建本地用户账号后，Windows Server 2003将在该机的本地安全性数据库中创建该账号，本地账号信息仍为本地，不会被复制到其他计算机或域控制器。

当创建一个本地用户账号后，计算机使用本地安全性数据库验证本地用户账号，以便让用户登录到该计算机。

注意不要在需要访问域资源的计算机上创建本地用户账号，因为域不能识别本地用户账号，也不允许本地用户访问域资源。

而且，域管理员也不能管理本地用户账号，除非他们用计算机管理控制台中的操作菜单连接到本地计算机。

2.域用户账号（Domain User Account）域用户账号可让用户登录到域并获得对网络上其他地方资源的访问。

域用户账号是在域控制器上建立的，作为AD的一个对象保存在域的AD数据库中。

用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号，该账号将被域的域控制器所验证。

当在一个域控制器上新建一个用户账号后，该用户账号被复制到域中所有其他计算机上，复制过程完成后，域树中的所有域控制器就都可以在登录过程中对用户进行身份验证。

AD域用户账户控制管理AD域用户账户控制管理首先要在计算机上安装域控制器，登陆域控计算机。

1、打开Active Directory用户和计算机。

（路径：开始–>管理工具–> Active Directory用户和计算机）2、打开AD用户和计算机控制台后，首先选择被添加人的部门的组织单元（OU）。

如果是开发人员择需要添加到Developer内，其他部门请添加到“市场部和人力部”，如不确定其部门可添加到“Egensource”内。

*每个OU对应着独立的组策略设置（(GPMO)，确认被添加人加入正确的部门OU内。

3、仔细填写用户信息用户登录名一般为员工姓名的汉语拼音。

4、为该员工设定初始密码，并告知员工该密码。

当员工有过登陆记录后，可将其密码设置成“用户下次登录时必须更改密码”，由员工自行设定密码。

密码复杂度要求：必须6位以上，包含数字和字母的组合。

可根据公司要求设定其他用户密码策略。

5、打开新建的员工信息。

在“常规”页面上，填写真实的员工信息，特别是邮件地址务必确认其正确无误。

6、再“单位”标签内，仔细填写员工的注册信息。

包括职务、部门和公司。

再经理栏内，确认其上级领导。

项目成员是项目经理，产品组成员为产品组经理，不确定的列为部门总监。

7、再“隶属于”标签，将用户归入正确的组内，首先该用户必须属于“公司全体”。

如该员工属于开发人员、技术人员则属于“软件研发部”，如该员工属于市场人员属于“市场部”，如该员工属于人力及行政人与那属于“人力资源部”8、如需要更改某个员工的密码，则需要登录到域控制器上，查看该员工属性信息，选择“重置密码”即可。

择“禁用账户”，并将被禁用的账户移至“已禁用账户”OU内。

一、WINDOWS的用户和用户组说明1、基本用户组Administrators属于该administators本地组内的用户，都具备系统管理员的权限，它们拥有对这台计算机最大的控制权限，可以执行整台计算机的管理任务。

内置的系统管理员账号Administrator 就是本地组的成员，而且无法将它从该组删除。

如果这台计算机已加入域，则域的Domain Admins会自动地加入到该计算机的Administrators组内。

也就是说，域上的系统管理员在这台计算机上也具备着系统管理员的权限。

Backup OPerators在该组内的成员，不论它们是否有权访问这台计算机中的文件夹或文件，都可以通过“开始”－“所有程序”－“附件”－“系统工具”－“备份”的途径，备份与还原这些文件夹与文件。

Guests该组是提供没有用户帐户，但是需要访问本地计算机内资源的用户使用，该组的成员无法永久地改变其桌面的工作环境。

该组最常见的默认成员为用户帐号Guest。

Network Configuration Operators该组内的用户可以在客户端执行一般的网络设置任务，例如更改IP地址，但是不可以安装/删除驱动程序与服务，也不可以执行与网络服务器设置有关的任务，例如DNS服务器、DHCP服务器的设置。

Power Users该组内的用户具备比Users组更多的权利，但是比Administrators组拥有的权利更少一些，例如，可以：创建、删除、更改本地用户帐户创建、删除、管理本地计算机内的共享文件夹与共享打印机自定义系统设置，例如更改计算机时间、关闭计算机等但是不可以更改Administrators与Backup Operators、无法夺取文件的所有权、无法备份与还原文件、无法安装删除与删除设备驱动程序、无法管理安全与审核日志。

Remote Desktop Users该组的成员可以通过远程计算机登录，例如，利用终端服务器从远程计算机登录。

《Windows Server服务器安全管理》课程标准1. 概述1.1课程的性质本课程教学的主要任务是是计算机网络与安全管理专业的专业方向课程，是校企合作开发的基于中小型数据库管理及数据库设计的课程。

1.2课程设计理念本课程遵循高职教育规律，以理论服务于实践为导向选取学习内容，课程目标是培养学生具备中小型网络管理员的综合职业能力；坚持开放性设计原则，吸收行业专家参与，建立基于常见服务器搭建的过程，以“工作任务”为载体的“项目化”课程结构；课程教学实施教、学、做一体，坚持理论为实践服务的教学原则，通过模拟企业网络环境进行实训锻炼学生的实践工作能力。

1.3课程开发思路本课程设计了大量的趣味案例，引导学生思考问题、分析问题，让学生认识计算机网络与安全管理这门专业以后发展的方向、需要学习的相关模块，为后续的课程起到铺砖引路的作用。

2.课程目标本课程的培养目标是使学生以网络管理员岗位需求为依托，以实际工作任务为导向，弄清服务器的基本工作原理到如何采取相关技术措施保护数据，培养学生的实际动手能力。

2.1知识目标要求学生掌握微软网络操作系统的安装与配置，微软管理控制台的使用，本地用户和组的管理，磁盘管理，活动目录的设置与管理，域用户账户，打印服务，DHCP服务，Internet信息服务，邮件服务，远程桌面的使用等。

2.2素质目标（1）培养学生动手能力、自主学习新知识的能力（2）培养学生团队精神2.3能力目标通过《Windows Server服务器安全管理》这门课程的学习，学生能利用所学的相关网络技术，能为搭建各种服务器，能进行网络安全配置。

3.课程内容和要求根据专业课程目标和涵盖的工作任务要求，确定课程内容和要求，说明学生应获得的知识、技4.课程实施和建议4.1课程的重点、难点及解决办法课程重点在于培养学生能够利用所学的相关网络技术知识，结合当复杂的网络环境，采用软硬件对网络进行防护，难点在于针对基础不同、兴趣不一的学生采用不同的方法进行能力的培养。

《Windows Server服务器安全管理》课程标准1. 概述1.1课程的性质本课程教学的主要任务是是计算机网络与安全管理专业的专业方向课程，是校企合作开发的基于中小型数据库管理及数据库设计的课程。

1.2课程设计理念本课程遵循高职教育规律，以理论服务于实践为导向选取学习内容，课程目标是培养学生具备中小型网络管理员的综合职业能力；坚持开放性设计原则，吸收行业专家参与，建立基于常见服务器搭建的过程，以“工作任务”为载体的“项目化”课程结构；课程教学实施教、学、做一体，坚持理论为实践服务的教学原则，通过模拟企业网络环境进行实训锻炼学生的实践工作能力。

1.3课程开发思路本课程设计了大量的趣味案例，引导学生思考问题、分析问题，让学生认识计算机网络与安全管理这门专业以后发展的方向、需要学习的相关模块，为后续的课程起到铺砖引路的作用。

2.课程目标本课程的培养目标是使学生以网络管理员岗位需求为依托，以实际工作任务为导向，弄清服务器的基本工作原理到如何采取相关技术措施保护数据，培养学生的实际动手能力。

2.1知识目标要求学生掌握微软网络操作系统的安装与配置，微软管理控制台的使用，本地用户和组的管理，磁盘管理，活动目录的设置与管理，域用户账户，打印服务，DHCP服务，Internet信息服务，邮件服务，远程桌面的使用等。

2.2素质目标（1）培养学生动手能力、自主学习新知识的能力（2）培养学生团队精神2.3能力目标通过《Windows Server服务器安全管理》这门课程的学习，学生能利用所学的相关网络技术，能为搭建各种服务器，能进行网络安全配置。

3.课程内容和要求根据专业课程目标和涵盖的工作任务要求，确定课程内容和要求，说明学生应获得的知识、技4.课程实施和建议4.1课程的重点、难点及解决办法课程重点在于培养学生能够利用所学的相关网络技术知识，结合当复杂的网络环境，采用软硬件对网络进行防护，难点在于针对基础不同、兴趣不一的学生采用不同的方法进行能力的培养。

活动目录企业应用Windows Server 项目三 管理域用户账户与组项目背景•当安装完操作系统并完成操作系统地环境配置后,管理员应规划一个安全地网络环境,为用户提供有效地资源访问服务。

Windows Server 二零一二 R二通过建立账户（包括用户账户与组账户）并赋予账户合适地权限,保证使用网络与计算机资源地合法,以确保数据访问,存储与换服从安全需要。

项目背景•如果是单纯工作组模式地网络,需要使用"计算机管理"工具来管理本地用户与组;如果是域模式地网络,则需要通过"Active Directory管理心"与"Active Directory用户与计算机"工具管理整个域环境地用户与组。

项目目地•一．理解管理域用户账户•二．掌握一次同时添加多个用户账户•三．掌握管理域组账户四.一有关知识•域系统管理员需要为每一个域用户分别建立一个用户账户,让它们可以利用这个账户来登录域,访问网络上地资源。

域系统管理员同时也需要了解如何有效利用组,以便高效地管理资源地访问。

•域系统管理员可以利用Active Directory管理心或Active Directory用户与计算机管理控制台来建立与管理域用户账户。

当用户利用域用户账户登录域后,便可以直接连接域内地所有成员计算机,访问有权访问地资源。

换句话说,域用户在一台域成员计算机上成功登录后,当它要连接域内地其它成员计算机时,并不需要再登录到被访问地计算机,这个功能被称为单点登录。

管理域用户账户与组有关知识•在服务器还没有升级成为域控制器之前,原本位于其本地安全数据库内地本地账户,会在升级为域控制器后被转移到AD DS数据库内,并且是被放置到Users容器内地,您可以通过Active Directory管理心来查看,如图三-一所示（可先单击上方地树视图图标）,同时这台服务器地计算机账户会被放置到图地组织单位Domain Controllers内。

域知识深⼊学习三：域⽤户与组账户的管理3.1 管理域⽤户账户域⽤户单点登录的概念第⼀台域控的本地账户会被存到AD DS数据库的Users容器内，同时这台计算机会被放到组织单位Domain Controller 其他加⼊域的计算机末⽇呢会放到Computer容器3.1.1 创建组织单位与域⽤户账户组织单位，防⽌意外删除选项域⽤户的密码默认需要⾄少七个字符，还⾄少包含⼤写字母，⼩写字母，数字，⾮数字字母等4组字符中的三组。

3.1.2 ⽤户登录账户域⽤户有两种账户名登录1 ⽤户UPN登录 mary@sayms.local2 ⽤户SamAccountName登录 sayms\mary普通域⽤户默认是⽆法登录域控的UPN不会随着账户被移动到其他域⽽改变3.1.3 创建UPN后缀可以在 Windows 管理⼯具 - Active Directory域和信任关系中添加其他UPN后缀3.1.4 账户的常规管理⼯作新建⽤户账户后，系统会建⽴⼀个唯⼀的安全标识符SID，权限设置都是通过SID记录3.1.5 域⽤户账户的属性设置1 组织信息的设置2 账户过期的设置默认是从不过期3 登录时间的设置默认是任何时段都可以登录4 限制⽤户只能通过某些计算机登录默认是普通域⽤户可以登录任何⼀台域成员计算机3.1.6 搜索⽤户账户除了在域内搜索外，还可以指定在全局编录搜索整个林的对象在没有安装Active Directory管理中⼼的成员服务器上也可以搜索，⽐如win10⽂件资源管理器 - ⽹络 - 搜索Active Directory3.1.7 域控制器之间数据的复制查看当前所连接的其他域控制器Active Directory管理中⼼ - 更改域控制器3.2 ⼀次同时新建多个⽤户账户需要指明⽤户的存储路径DN需要指定类型需要包含⽤户SamAccountName登录账户应该包含⽤户UPN登录账户可以包含其他⽤户信息⽆法设置密码由于建⽴的⽤户都没有密码，最好禁⽤账户3.2.1 利⽤csvde.exe来新建⽤户账户可以⽤来新建账户或其他类型的对象，事先将数据输⼊到纯⽂本⽂件，然后⼀次导⼊到AD DS数据库csvde -i -f c:\test\users1.txt514 表⽰禁⽤，512表⽰启⽤3.2.2 利⽤ldifde.exe来新建，修改与删除⽤户账户可以新建，删除，修改可以指定导⼊到指定域ldifde -s dc1.sayms.local -i -f c:\test\users2.txt3.2.3 利⽤dsadd.exe等程序添加，修改与删除⽤户账户dsadd.exe 新建dsmod.exe 修改dsrm.exe 删除这⾥需要建⽴批处理⽂件⾥⾯会有明⽂密码3.3 域组账户组账户也有唯⼀的安全标识符（security identifier SID）3.3.1 域内的组类型安全组 security group 可以被⽤来分配权限，例如指定安全组对⽂件具备读取的权限，也可以⽤在和安全⽆关的⼯作上发布组 distribution group 被⽤在与安全（权限设置）⽆关的⼯作上3.3.2 组的作⽤域组的范围1 本地域组 domain local group主要是被⽤来分配对其所属域内资源的访问权限2 全局组 global group主要是⽤来组织多个即将被赋予相同权限的⽤户3 通⽤组 universal group可以在所有域内被设置访问权限，以便访问所有域内的资源3.3.3 域组的创建与管理1 组的新建，删除，重命名2 添加组的成员3.3.4 AD DS内置的组1 内置的本地域组Account Operators默认可以在普通容器和组织单位内新建/删除/修改⽤户，组，计算机Administrators对所有域控有最⼤控制权，包含Administrator，全局组Domain Admins 通⽤组 Enterprise AdminsBackup Operators可以通过Windows Server Backup⼯具备份和还原域控内的⽂件，也可以将域控关机Guests默认为Guest和全局组Domain GuestsNetwork Configuration Operators可在域控执⾏常规⽹络配置⼯作，例如改ipPerformance Monitor Users可监控域控的⼯作性能Pre-Windows 2000 Compatible Access可读取AD DS域内所有⽤户和组账户，默认成员为特殊组Authenticated UsersPrint Operators可以管理域控上的打印机，也可以将域控关机Remote Desktop UsersServer Operators可以备份或还原域控内的⽂件，锁定与解锁域控，格式化域控硬盘，更改域控时间，将域控关机Users只有基本权限，例如执⾏应⽤程序，默认成员为全局组Domain Users2 内置的全局组内置的全局组本⾝没有权限，可以将其加⼊到具备权限的本地域组或另外分配权限，这些内置全局组位于Users容器内Domain Admins域成员计算机会⾃动将此组加⼊其本地组Administrators内Domain ComputersDomain ControllerDomain Users域成员计算机会⾃动将此组加⼊其本地组Users内Domain Guests3 内置的通⽤组Enterprise Admins只存在于林根域，有权管理林内所有域Schema Admins只存在于林根域，具备管理架构的权限3.3.5 特殊组账户Everyone任何⽤户都属于这个组Authenticated Users任何利⽤有效⽤户账户登录此计算机的⽤户Interactive任何在本地登录的⽤户⾼Network任何通过⽹络登录的⽤户Anonymous Logon任何未利⽤有效普通⽤户账户登录的⽤户Dialup任何eying拨接⽅式连接的⽤户3.4 组的使⽤原则A user AccountG Global groupDL Domain Local groupU Universal groupP Permission3.4.1 A G DL P原则3.4.2 A G G DL P原则3.4.3 A G U DL P原则3.4.4 A G G U DL P原则。