Windows_Server_2003本地账户和组的概念

实训七管理用户和组一、实训目的1．掌握本地帐户与域帐户的管理方法；2．掌握设置帐户属性的方法；3．掌握用户配置文件的创建方法；4．掌握用户组的管理方法；5．在活动目录中利用OU管理资源的方法。

二、实训环境Win2003server 1台、直通双绞线4根(每根3米)、WinXP 3台，组网形式如下。

三、实训理论基础每个用户都需要有一个帐户，以便登录到域访问网络资源或登录到某台计算机访问该机上的资源，创建和管理用户对象是网络管理员执行的最常见任务。

组是用户帐户的集合，管理员通常通过组来对用户的权限进行设置从而简化了管理。

1．用户账户简介Windows Server 2003提供两种主要类型用户账户：本地用户账户（Local User Account）和域用户账户（Domain User Account）。

除此之外，Windows Server 2003系统中还有内置用户账户（Built-in User Account）。

2．本地用户账户本地用户帐户只能登录到帐户所在的计算机并获得对该资源的访问。

当创建本地用户帐户后，Windows Server 2003将在该机的本地安全性数据库中创建该帐户，本地帐户信息存储在本地，不会被复制到其他计算机或域控制器。

当创建一个本地用户账户后，计算机使用本地安全性数据库验证本地用户账户，以便让用户登录到该计算机。

3．创建本地用户账户创建本地用户账户可以在除了域的域控制器以外的任何一台基于Windows Server 2003的计算机上进行。

出于安全性考虑，通常建议只在不是域的组成部分的计算机上创建和使用本地用户账户，即在属于域的计算机上不要设置本地账户。

工作组模式是使用本地用户账户的最佳场所，如图4．域用户账户域用户账户可让用户登录到域并获得对网络上其他地方资源的访问权。

域用户账户是在域控制器上建立的，作为Active Directory 的一个对象保存在域的Active Directory 数据库中。

1、本地域组：多域用户访问单域资源（访问同一个域）本地域组的成员可包括Windows Server2003、Windows 2000或WindowsNT域中的其他组和账户，而且只能在其所在域内指派权限。

2、全局组：单域用户访问多域资源（必须是一个域里面的用户）全局组的成员可包括其所在域中的其他组和账户，而且可在林中的任何域中指派权限；3、通用组：多域用户访问多域资源通用组的成员可包括域树或林中任何域的其他组和账户，而且可在该域树或林中的任何域中指派权限；当域功能级别设置为Windows2000混合模式时，不能创建具有通用组的安全组。

本地域组：可以从任何域添加用户账户、通用组和全局组。

域本地组不能嵌套于其他组中。

它主要是用于授予位于本域资源的访问权限。

全局组：只能在创建该全局组的域上进行添加用户账户和全局组，但全局组可以嵌套在其他组中。

可以将某个全局组添加到同一个域上的另一个全局组中，或添加到其他域的通用组和域本地组中（注意这里不能它加入到不同域的全局组中，全局组只能在创建它的域中添加用户和组）。

虽然可以利用全局组授予访问任何域上的资源的权限，但一般不直接用它来进行权限管理。

通用组：通用组是集合了上面两种组的优点，即可以从任何域中添加用户和组，可以嵌套于其他域组中。

比如：有两个域，A和B，A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹。

这时，可以在B中建一个DL，因为DL的成员可以来自所有的域，然后把这8个人都加入这个DL，并把FINA的访问权赋给DL。

这样做的坏处是什么呢？因为DL 是在B域中，所以管理权也在B域，如果A域中的5个人变成6个人，那只能A域管理员通知B域管理员，将DL的成员做一下修改，B域的管理员太累了。

这时候，我们改变一下，在A和B域中都各建立一个全局组（G），然后在B域中建立一个DL，把这两个G都加入B域中的DL中，然后把FINA的访问权赋给DL。

哈哈，这下两个G组都有权访问FINA文件夹了，是吗？组嵌套造成权限继承嘛！这时候，两个G分布在A和B域中，也就是A和B的管理员都可以自己管理自己的G啦，只要把那5个人和3个人加入G中，就可以了！以后有任何修改，都可以自己做了，不用麻烦B域的管理员！这就是A-G-DL-P。

管理Active Directory用户和计算机服务器技术2010-01-26 21:36:55 阅读133 评论0 字号：大中小在使用Windows Server 2003 所包括的Active Directory服务的网络上，每个用户都必须由目录中的一个用户对象来表示。

用户对象由包含用户信息的属性和用户在网络上的权利组成。

创建和管理用户对象是网络管理员执行的常见任务。

一、用户账号简介用户账号可为用户提供登录到域以访问网络资源或登录到计算机以访问该机资源的能力。

定期使用网络的每个人都应有一个惟一的用户账号。

Windows Server 2003提供两种主要类型的用户账号：本地用户账号和域用户账号。

除此之外，Windows Server 2003系统中还有内置的用户账号。

1.本地用户账号（Local User Account）本地用户账号只能登录到账号所在计算机并获得对该资源的访问。

当创建本地用户账号后，Windows Server 2003将在该机的本地安全性数据库中创建该账号，本地账号信息仍为本地，不会被复制到其他计算机或域控制器。

当创建一个本地用户账号后，计算机使用本地安全性数据库验证本地用户账号，以便让用户登录到该计算机。

注意不要在需要访问域资源的计算机上创建本地用户账号，因为域不能识别本地用户账号，也不允许本地用户访问域资源。

而且，域管理员也不能管理本地用户账号，除非他们用计算机管理控制台中的操作菜单连接到本地计算机。

2.域用户账号（Domain User Account）域用户账号可让用户登录到域并获得对网络上其他地方资源的访问。

域用户账号是在域控制器上建立的，作为AD的一个对象保存在域的AD数据库中。

用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号，该账号将被域的域控制器所验证。

当在一个域控制器上新建一个用户账号后，该用户账号被复制到域中所有其他计算机上，复制过程完成后，域树中的所有域控制器就都可以在登录过程中对用户进行身份验证。

第1章习题解答1-1 简述网络操作系统的分类答：网络操作系统一般可以分为两类：面向任务型与通用型。

面向任务型网络操作系统是为某种特殊网络应用要求设计的；通用型网络操作系统能提供基本的网络服务功能，支持用户在各个领域应用的需求。

1-2 简述网络操作系统的功能答：网络操作系统除了应具有前述一般操作系统的进程管理、存储管理、文件管理和设备管理等功能之外，还应提供高效可靠的通信能力及多种网络服务功能。

包括文件、打印、数据库、通信、信息、分布式、网络管理和．Internet/Intranet服务。

1-5 简述Windows Server 2003系统的新功能答：1、Active Directory 改进；2、卷影子副本恢复；3、群集技术新特性；4、文件及打印服务新功能；5、Internet Information Services 6.0(IIS 6.0)新功能；6、系统管理新功能；7、集成的 .NET框架；8、安全的无线局域网(802.1X) ；9、命令行管理；10、终端服务新功能；11、组策略管理控制台；12、企业UDDI(Universal Description, Discovery, and Integration,UDDI)服务新功能。

第2章习题2-1 安装Windows Server 2003有哪几种类型？答：1 通过安装光盘直接安装Windows server 2003 2.从网络环境安装Windows server 2003 3.Wwindows server 2003的自动安装 4.从低版本升级到Windows server 2003。

5.还原安装Windows server 20032-2 应答文件的用户交互类型有哪几种？答：用户交互类型有5种，分别为：用户控制全部自动隐藏页只读使用GUI2-3安装Windows Server 2003对系统的要求有哪些？答：（1）对于基于x86 的计算机：建议使用最小速度为550MHz（支持的最小速度为133MHz）的一个或多个处理器。

一、WINDOWS的用户和用户组说明1、基本用户组Administrators属于该administators本地组内的用户，都具备系统管理员的权限，它们拥有对这台计算机最大的控制权限，可以执行整台计算机的管理任务。

内置的系统管理员账号Administrator 就是本地组的成员，而且无法将它从该组删除。

如果这台计算机已加入域，则域的Domain Admins会自动地加入到该计算机的Administrators组内。

也就是说，域上的系统管理员在这台计算机上也具备着系统管理员的权限。

Backup OPerators在该组内的成员，不论它们是否有权访问这台计算机中的文件夹或文件，都可以通过“开始”－“所有程序”－“附件”－“系统工具”－“备份”的途径，备份与还原这些文件夹与文件。

Guests该组是提供没有用户帐户，但是需要访问本地计算机内资源的用户使用，该组的成员无法永久地改变其桌面的工作环境。

该组最常见的默认成员为用户帐号Guest。

Network Configuration Operators该组内的用户可以在客户端执行一般的网络设置任务，例如更改IP地址，但是不可以安装/删除驱动程序与服务，也不可以执行与网络服务器设置有关的任务，例如DNS服务器、DHCP服务器的设置。

Power Users该组内的用户具备比Users组更多的权利，但是比Administrators组拥有的权利更少一些，例如，可以：创建、删除、更改本地用户帐户创建、删除、管理本地计算机内的共享文件夹与共享打印机自定义系统设置，例如更改计算机时间、关闭计算机等但是不可以更改Administrators与Backup Operators、无法夺取文件的所有权、无法备份与还原文件、无法安装删除与删除设备驱动程序、无法管理安全与审核日志。

Remote Desktop Users该组的成员可以通过远程计算机登录，例如，利用终端服务器从远程计算机登录。

Windows 2003 服务器详解设置大全Windows Server 2003 是微软推出的一款服务器操作系统，它基于 Windows NT 的架构，具有非常好的稳定性、可靠性和安全性，适用于企业实施各种应用解决方案。

本文将详细介绍 Windows Server 2003 的设置方法和相关技巧。

安装 Windows 2003 服务器安装 Windows Server 2003 服务器需要以下步骤：1.选择安装语言和安装选项，例如安装 Windows Server 2003 标准版或企业版等。

2.选择安装位置，可以选择已有分区上进行安装，也可以新建分区。

3.设置管理员密码，以保证服务器的管理安全。

4.完成安装后，系统会自动重启，启动时将进入 Windows Server 2003配置向导。

配置 Windows 2003 服务器这里讲解 Windows Server 2003 服务器配置的方式和相关技术：配置网络1.左键单击“开始” ->“控制面板” -> “网络连接” -> “本地连接” -> 右键单击“属性”。

2.双击“Internet 协议(TCP/IP)”选项卡，进入“属性”对话框。

3.选择“自动获取 IP 地址”或“手动配置 IP 地址”进行网络配置。

配置域名和 DNS1.在“控制面板”中选择“管理工具”，然后单击“DNS”。

2.可以在“后缀”下输入本地 DNS 服务器的完全限定域名，也可以直接在“区域”下输入域名。

3.单击“新建区域”，输入相应的域名和 IP 地址。

可以在“区域域名”下找到设置的域名。

配置 FTP 高级服务1.在计算机上运行 Microsoft IIS (Internet 信息服务)，并选择“FTP站点”。

2.选择“FTP 站点”，点击“属性”按钮。

3.在“FTP 站点属性”对话框中，单击“高级”选项卡，随后将 FTP 主目录配置为指定目录。

配置防火墙1.在“控制面板”中找到“安全中心”，单击“Windows 防火墙”进行防火墙的配置。

项目工作过程拆分任务实施工作单进入安装界面进行选择，有三个选项，选择“现在安装弹出微软的安装许可协议，只有同意才能继续进行，按F8进入到硬盘分区界面，第一次安装系统时磁盘（硬盘）没有分区，要先进行分区，把光在箭头处输入这个分区的容量后按enter，（按照任务要求进行输入）注意容量的单位是MB（注意MB和GB之间的换算，1GB = 1024MB）箭头所指的地方就是我们刚才创建的分区，这时可以直接在这个分区上安装系统了。

另一种情况是如果硬盘上已经有分区，这时你要自己决定在哪个分区上安装系统格式化硬盘进行中……系统正在从系统光盘往硬盘里复制重要的系统文件。

系统首次启动，需要几分钟的时间等待。

进入到窗口化的安装界面，这个过程还需要设置一些选项，大概需要、输入你的姓名和单位名称，按照任务要求进行输入。

、输入微软授权的序列号，如果你购买的是正版系统，会有一个序列号。

、输入计算机的名字和系统管理员的密码（系administrator ）按照任务要求进行输入。

、设置系统的日期和时间以及所在的时区。

、设置系统的工作组名称，如果要加入域，则要设置域的名称，入。

、经过短暂的等待，整个系统已经安装完毕。

通过组合键任务工作单选择虚拟硬盘的类型。

硬盘添加成功后，power on启动虚拟机。

进入系统后，打开我的电脑查看硬盘的信息。

、把刚才添加的四个硬盘都选上，都升级为动态磁盘，为架设磁盘阵列（准备。

这时系统已经识别了这四块硬盘，每块硬盘的容量是2GB 硬盘还没有分区，还不能正常使用。

弹出新建卷的向导，点击“下一步”选择动态磁盘的类型，我们首先创建RAID 1磁盘1已经添加到镜像卷阵列当中，我们再把磁盘2添加进去，需要对卷进行格式化，文件系统必须要选择NTFS，把执行快速格式化查看磁盘阵列创建的结果删除卷的操作删除前一定要备份卷上的数据，否则删除卷以后，原来卷上的数据就会全部丢失，删除RAID5 至少选择三个或三个以上磁盘，我们四个磁盘都选上来组建配置成功，查看磁盘阵列的信息。

第一章1.计算机网络的目的是实现资源共享和实时通信它通过通信设备和通信线路把计算机连接在一起。

2.根据网络覆盖的地理范围，计算机网络可以分为局域网，城域网和广域网。

3.网络协议实际上就是可以使计算机互相通信的一组（规则）。

4.对等式网络中的计算机同时充当服务器和客户机。

5.主从式网络适合于规模较大的场合。

6.双绞线分为屏蔽双绞线和非屏蔽双绞线，双绞的目的是减小对其他线对的干扰及减小其他线对对自己的干扰。

7.T568B中，线序是橙白、橙、绿白、蓝、蓝白、绿、褐白、褐。

8.星型结构的网络有何突出的优点以至于现在被普遍采用？答：一台计算机所使用的线路如果发生故障不会影响到其他计算机；故障排除容易；而且由于有集中点，管理也集中，工作量小的多。

9.为什么说集线器上的计算机是共享带宽？答：集线器是物理层设备，其功能是简单的将某个端口收到的信号从其他所有的端口复制出去。

正因如此，如果有一台计算机发送信号，其他接口上所有计算机将能同时接受到信号。

这就意味着其他计算机在此刻不能同时发送信号，如果他们同时发送信号就会发生冲突。

用集线器构建起来的网络在任何时候只能有一台计算机在发送数据，这样每台计算机发送数据的机会就被平均了，所以集线器所接受的计算机是共享同一网络带宽的。

10.简单说明交换机的工作原理。

答：交换机是依赖于一个MAC地址与端口的映射表来进行工作的，当一台计算机发送过一次数据时，发送者的MAC地址和所在的端口就被交换机记录在表中，如果有其他计算机向这台计算机发送数据时，交换机查询该映射表，数据只会从这台计算机所在的端口转发出去，而不会从其他端口转发。

11.以太网采用的介质访问控制方式是 CSMA/CD .第二章1.Windows Server 2003有四个版本，分别为 Web版、标准版、企业版、数据中心版。

2.某中型企业，准备购买Windows Server 2003，服务器上欲发布网页，同时作为SQL服务器，考虑到服务器的负载和冗余问题，需要采用集群，应使用企业版。

使用WindowsServer2003如何创建本地用户账户在 Windows Server 2003 上创建本地用户账户有以下几种方法：方法一：使用计算机管理工具1.在开始菜单上，找到“管理工具”文件夹，展开并点击“计算机管理”。

2.在打开的计算机管理窗口中，展开“本地用户和组”，然后点击“用户”。

3.在右侧窗口中，点击“新建用户”。

4.在弹出的对话框中，填写用户的详细信息，包括用户名、以及必要的密码和确认密码等信息。

5.完成填写后，点击“确定”来创建用户账户。

方法二：使用命令行工具1. 打开命令行工具，可以通过在开始菜单中“cmd”来找到。

2.在命令行中输入以下命令来创建一个本地用户账户：net user 用户名密码 /add例如：net user testuser pass123 /add3. 在命令行中按下“Enter”键，用户账户会被创建。

方法三：使用控制面板1.打开“控制面板”，可以通过开始菜单中的“设置”来找到。

2.在控制面板中，双击“用户账户”图标。

3.在用户账户窗口中，点击“添加”按钮。

4.在弹出的对话框中，选择“创建一个新账户”选项，然后点击“下一步”。

5.在下一个窗口中，输入用户账户的名称和密码，然后点击“下一步”。

6.在下一个窗口中，选择用户账户类型（管理员或标准用户），然后点击“创建账户”。

7.用户账户会被创建并出现在用户账户列表中。

无论使用哪种方法，创建用户账户后，用户可以使用该账户登录到Windows Server 2003 系统中。

同时，管理员也可以在用户账户管理界面对用户账户进行修改和删除等操作。

windows2003用户账户windows server20 2009-12-31 11:32:43 阅读1070 评论0 字号：大中小订阅1.本地用户账户：运行命令lusrmgr.msc，用命令创建:net user使用本地用户和组创建而不是控制面板中存储在sam数据库中C:\WINDOWS\system32\config\sam登录时进行本地身份验证2.域用户账户：运行命令dsa.msc，用命令创建:user add使用ad用户和计算机创建存储在actibe directory数据库中c:\windows\ntds\ntds.dit登录时进行网络身份验证*本地用户账户有一部分内容存储在注册表中：HKEY_LOCAL_MACHINE SAM SAMSAM下什么都没有，必须右击选权限，勾选完全控制这样就可以看到:*克隆权限：注册表中有administrator和000001f4对应项，administrator用户名是可以更改的，但是注册表里看到的类型0x1f4是不变的，点击000001f4其中f值里面保存着权利权限和配置文件的信息，复制管理员f值里面的内容到别的账户，那么那个账户也会成为管理员账户。

*隐藏用户:新建一个账户，用复制粘贴的方法给这个账户管理员权限，然后分别用注册表导出两个对应的文件。

接下来删除这个新建的账户，注意是在计算机管理里删，不是在注册表，然和在把刚才导出的两个文件导入，这样做在计算机用户和组中师看不到被删除的这个账户但是去可以登录。

*加强密码：运行syskey*用户配置文件夹：C:\Documents and Settings用户配置：*本地用户配置文件*漫游用户配置文件：就是把登录到域的用户配置文件存放在一台服务器上，实现每次登录到不同的计算机都可以看到自己的界面，设置方法是打开ad用户和计算机里选择一个需要的用户名，右击属性选配置文件选项，其中配置文件路径格式是\\计算机名\共享文件名计算机名也可以写为ip地址。