域用户帐号与管理
第五周 创建和管理域用户账户
(4)要求账户student3@能够在域控件器本地登录
三、课堂小结
1、工作域与工组的区别
2、域用户的创建
四、布置作业
简述工作域与工组的区别
2、改变密码策略选项:
(1)“管理工具”-“域安全策略”-“安全设置”-“账户策略”-“密码策略”
(2)“密码复杂性”修改成“已禁用”
(3)“密码长度最小值”设置为“0个字符”,则可以不设置密码
2、重设密码
步骤1:右击需要重新设置密码的账户,选择“重设密码”
步骤2:在对话框内输入新的密码
3、复制用户账户
6设置域用户账户的属性1设置用户的个人信息2设置域用户的帐户信息3设置域帐户的登录时间4设置域用户帐户可以登录的计算机7开放域用户帐号在域控制器本地登录的权限开始管理工具域控制器安全策略安全设置本地策略用户权限分配双击允许在本地登录增加用户或组课堂练习
教学过程、板书设计
一、复习引入
1、各种用户账户的区别
步骤3:右击Users,选择“新建”-“用户”(或者单击“操作”—“新建”)
步骤4:创建Tom@域用户账户(用户名是唯一的,命名与文件夹命名类同)
步骤5:设置密码
注意:
1、密码的设置:
长度必须至少7个字符,并且不包含用户帐户名称的全部或部分文字,还有至少要包含A-Z、
a-z、0-9、特殊符号等4组字符中的3组。
三、课堂练习:
1、更改用户密码
把student3@账号的密码改为“自己的生日+windows2003”。
2、设置账户属性
(1)设置账户student1@的登录时间为周一、周三、周五这三天时间
(2)设置账户student2@的帐户选项为用户不能更改密码
用户账号管理规定
1.0 目的规范用户帐号管理制度,确保域及用户帐号安全2.0 范围适用于***集团所有域用户3.0 职责3.1 IT指定人员负责具体事务。
3.2 IT经理负责审批。
4.0 管理规定4.1 用户帐号的管理1. 电脑用户的设置:新增用户需填写IT服务申请单,递交至本部门经理批准,经IT经理审核批准后,由IT系统管理员添加;2. 用户电子邮件的设置:根据用户填写的IT服务申请单,IT经理审核批准后,由IT系统管理员添加;公司内部邮箱,由部门经理核准;对外的邮件,香港公司和其他分公司需要报香港行政部主管批准,东莞及其它工厂需报营运经理批准后才可执行;3. 用户名的规定:大陆地区的用户,用户字的第一个字母加上姓的全称,如有重复,则在其后再加上A,B,C,以示区分;香港和其他地区的同事的用户名是用其英文名称,如有重复加上其姓的全称。
如有特殊需求,需经IT经理批准后才能更改;4. 用户电子邮箱的规定:一般情况下,用户的电子邮箱是以用户名加上公司的域(Domain)的名称构成,如有特殊业务需求,需经IT经理批准后才能更改;5. 电脑使用人员离职时,由IT指定人员根据行政部提供的离职申请表,即时取消其用户名、邮箱及相关许可权,根据需要将其资料转移给指定主管,如遇特殊情况(例如辞退、自离等),需由离职人员所在部门经理,或行政部主管通知IT经理,由IT经理指定IT人员即时处理;6. IT人员依照实际情况制定系统审核策略(捕捉各类非授权的访问和使用),记录在Windows Audit Event中,制定用户密码策略(密码管理原则),记录在用户端提示和密码检查表中;做好邮件分类归档,便于查阅相关邮件。
4.2 用户密码的管理1. 设定所有域帐号密码最小长度为6个字元;2. 设定密码最长使用期限为90天,且3次内不能重复;3. 启用密码必须符合复杂性要求策略(字母+数位+字元);4. 设定帐号锁定间值设定为5次,帐号锁定时间为30分钟。
创建AD域及用户添加管理
AD域域:域是一种管理边界,用于一组计算机共享共用的安全数据库,域实际上就是一组服务器和工作站的集合。
其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。
而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。
AD:活动目录(Active Directory)主要提供以下功能:①基础网络服务:包括DNS、WINS、DHCP、证书服务等。
②服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。
③用户服务:管理用户域账户、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。
④资源管理:管理打印机、文件共享服务等网络资源。
⑤桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
⑥应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。
【AD域控制器在Windows Server 2003安装及简单应用实验指导书】实验日期:2011年8月2日处别:Commercial DT组别:DT103撰写人:王敦培【实验名称】:AD域控制器在Windows Server 2003安装实验指导书【实验目的】:了解域的作用以及安装方法【实验任务】:搭建一个新域、配置额外域控制器、设置漫游用户配置文件【需要设备】:Windows Server 2003安装版本光盘一张、正常运行台式机一台一、将Windows Server 2003安装至PC上二、将服务器安装AD控制器先设置AD域:1.依次打开:开始-设置-控制面板-管理工具-管理您的服务器(不是向导)-打开后如图一所示2.下一步,选择自定义3.选中域控制器(Active Directory)下一步4.然后会让你安装dns和配置网络,5.把网卡的网线接好,处于已经连接状态,下一步6.安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:在这里由于这是第一台域控制器,所以选择第一项:“新域的域控制器”,然后点“下一步”:既然是第一台域控,那么当然也是选择“在新林中的域”:在这里我们要指定一个域名,我在这里指定的是,这里是指定NetBIOS名,注意千万别和下面的客户端冲突,也就是说整个网络里不能再有一台PC的计算机名叫“demo”,虽然这里可以修改,但是我建议还是采用默认的好,省得以后麻烦。
域用户的创建和管理
问题思考
• 账户主要有哪几类?教学视频: 视频名称:
域账户的创建(含示例).mp4
Windows 操作系统
域用户的创建和管理
学习目标
掌握域账户的功能及其管理方法
账户
本地用户帐号 存储在本地计算机SAM中,允许用户在创建该用户的这台
计算机上登录并其访问资源
域用户帐号 存储在活动目录中,允许用户登录域并访问网络资源
Windows Server 2008 Domain
帐户的类型
域账户:是域中 的网络对象的分 组,把账户帐号 存储于域控制器 的活动目录中, 分享给同一个域 中的所有计算机 使用。
用户帐户
用户单一登陆 提供资源的访问
计算机帐户
提供了一种验证和审核计算 机访问网络以及域资源的方 法
组帐户
简化网络管理
域账户的种类
用户账户也可用做专用 服务的账户。
域账户分为Active Directory用户账户和计 算机账户,它们代表了 物理实体,如人或计算 机。
域账户
✓ 用户账户、计算机账户以及组被称为安全主体。 ✓ 安全主体是被自动指派了安全标识符(SID)的目录对象
域账户在系统中的功能
域账户(例如域管理 员):验证用户或计算 机的身份,管理其他安 全主题
域账户在系统中的功能
授权或拒绝访问域资源
域账户在系统中的功能
审核用户或计算机账户 执行的操作
创建与管理域用户账户
• 创建域用户账户:
创建与管理域用户账户
限制用户登录域的时间:
创建与管理域用户账户
• 限制域用户账户只能从特定的计算机上登录域
域用户权限设置 (改变及装软件)
====
如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限.这里您可以有两种选择.
1.告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能.
2.把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限.a.右键“我的电脑”,选择“管理”
6.输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限.
关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装:
1.需要修改服务,驱动,系统文件的.(例如控制权限.
分析:
=====
您说到的这些情况,windows域就是设计为这样的.
默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能.而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行.
而域管理员是自动加入到了本机的“administrator”组的.
http:
域用户权限设置
公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决?
回答:
根据您的描述,我对这个问题的理解是:
普通的域用户的权限问题。
3.安装前先检查用户的组身份,不属于管理员直接拒绝.
由于各种程序,特别是第三方程序的细节我们很难确定,而且有时候安装的问题不一定会立刻显示出来,我们还是建议您使用管理员权限去安装程序.
3种用组策略将域帐号加入本地管理员组的方法
3种用组策略将域帐号加入本地管理员组的方法台湾女同事问了我2次当前系统域帐号是怎么在第一次登录时,自动加入域客户端本地管理员组的?我猜不外乎就是脚本、计算机策略或虚拟机初始化的自动应答脚本,结果系统的前任同事找到了答案--GPO的用户策略(确切讲是用户首选项),SIGN!今天琢磨了一下,采用下列3种方法之一即可实现:1、对于WIN2003域控制器(DC)环境,使用计算机策略的“受限制的组”用户和组”.用在将登录帐号自动加入本地管理员组的场合。
地用户和组”,用在将重要的域组加入客户端本地管理员组的场合。
下面让我细细道来。
第1种方法的步骤很简单:.在域中创建一个test01\g1组帐号,将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组,然后把一些元素添入选项,参照本文第1幅图.刷新域客户机的组策略,就可以看到test01\g1组被自动加入到本地管理员组了,如下图第2种方法:为了避免干扰,我创建了另一个2008R2的域来验证第2种方法,该域WINXP03客户机的初始本地管理员成员如下:为了使GPO“首选项”能作用到客户端,需要在域客户端安装客户端扩展集组件(CSE),URL 为:/zh-cn/library/cc731892(WS.10).aspx根据客户端OS类型选相应组件下载,并安装到WINXP03客户机中,如下图(XMLLite XML 无需安装):在2008R2上开始设置GPO的用户配置项,按下图添加对客户端本地Administrators的操作策略操作中的“更新”代表更新域客户端Administrators组中的成员,“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组,只要域帐号一登录,就把它加入本地管理员组现在用域帐号test02\user_1登录测试一下用户首选项策略生效,该帐号被成功加入管理员组接下来看看“删除所有成员用户”的结果换一个test02\user_2帐号,显然,已将前面加入的user_1帐号删除,还有其他除administrator 以外的用户帐号被删除(本地的USER1)然后我们继续选删除所有成员组,并计划将本地administrator也从管理员组中删除其结果如下:1.所有用户帐号被从管理员组中删除,除当前登录用户除外。
账号密码及权限管理制度
账号密码及权限管理制度XXXX公司账号密码及权限管理制度1总则1.1 ⽬的为加强公司信息系统账号和密码管理,通过控制⽤户密码、权限,实现控制访问权限分配,防⽌对公司⽹络的⾮授权访问,特制订本管理办法。
1.2 范围所有使⽤本公司⽹络信息系统的⼈员。
1.3 职责公司所有使⽤信息系统的⼈员均需遵守本管理办法规定。
⾏政部⽹络⼯程⼈员负责建⽴账号和密码管理的规范并推动执⾏、审核和检查落地执⾏情况。
1.4 术语和定义内部⽹络:是指在本公司内部所有客户端等组成的局域⽹。
包括但不限于OA 系统以及数据库系统等。
2控制内容1.1 ⽤户注册新⽤户必须加⼊域,否则不允许⼊⽹。
域⽤户账号由⽹络管理员在该⽤户上岗使⽤公司⽹络系统前建⽴,命名原则为职⼯⼯号。
⼀⾃然⼈对应⼀个系统账号,以便将⽤户与其操作联系起来,使⽤户对其操作⾏为负责。
⽤户因⼯作变更或离开公司时,管理员要及时取消或者锁定该⽤户所有账号,对于⽆法锁定或者删除的⽤户账号采⽤更改密码等相应的措施规避风险。
系统管理员应定期检查并取消多余的⽤户账号。
1.2 权限管理⾏政部系统管理员负责分配新⽤户系统权限,负责审批⽤户权限变更申请是否与信息安全策略相违背。
特权⽤户必须按授权程序通过系统等部门主管批准,才可给予相应的权限。
系统管理员应保留所有特权⽤户的授权程序与记录。
权限设定要明细化,尽可能减少因拥有的权限化分较粗带来的不正当信息访问或误操作等现象的发⽣。
若某些权限⽆法细分,则需加强对⽤户的单独监控。
只有⼯作需要的信息访问要求,才可授权。
每个⼈分配的权限以完成本岗位⼯作最低标准为准。
系统管理员对分配的所有权限记录进⾏维护。
不符合授权程序,则不授予权限。
对于本公司外的⽤户,需要访问本公司内部资源时,需要由⽤户的接待者申请为其办理授审批程序。
1.3 密码的选择密码的选择应参考以下规则:最少要有8个字符,必须由字母、数字、⼤⼩写以及特殊字符组成。
不要使⽤别⼈通过个⼈相关信息(如姓名、电话号码、⽣⽇等)容易猜出或破解的密码。
用户和组账号管理
创建电子邮件分发列表。
在域中,组的类型有两种,分别是“安全组”和 “通讯组”。安全组即可以设置权限,也可以收发 电子邮件;而通讯组不能设置权限,只能收发电子 邮件。 根据组的作用范围不同,组又分为“本地域组”、 “全局组”和“通用组”三种。
本地域组:
作用范围是该组所在的域内 可以包含的成员包括:所有域的用户帐户、全局组、通用组,
以及本域的域本地组。
全局组:
作用范围是所有受信任的域 可以包含的成员有:本域的用户帐户和全局组。
通用组:
作用范围是所有受信任的域 可以包含的成员有:所有域的用户帐户、全局组和通用组。
这些重要的元素不同于各个用户。我们希望这些元素与登 录联系起来,当用户登录到其它系统时可用。或当用户的 系统损坏必须重装时,也可用。
默认,用户文件被存储在系统本地。 %Systemdrive% \Documents and Settings\%Username% 文件夹中
有以下特征: 当用户第一次登录到一个系统。系统为该用户新建用户文 件。新的用户文件夹名,会与登录的名字类似。 所有对用户桌面或软件环境所做修改,都会被保存在本地 用户文件夹中( Local User Profiles ) 用户的环境由All users文件夹扩展,其中可以包括桌面或 开始菜单中的shortcuts,网上邻居,甚至应用程序数据。 All users中的元素与用户文件夹中的内容结合产生用户环 境。默认,只有Administrators group 的用户才可以更改 All users文件夹。 如果用户登录到其它系统, documents and settings 中的 内容不会跟随用户。系统会重新为用户生成一个用户文件 夹
server-2019域用户和组的管理
Type
User User User
Administer user accounts in thDeesrcersiputilotns box
实现用户登录主名后缀
创建和删除一个UPN后缀 用户主名登录身份验证过程 用户主名如何在网络上路由 名称后缀冲突如何检测以及如何解决 启用和禁用名称后缀在林信任环境中路由
成员资格
可以包含目录林中的任何域的用户帐号全局组和通用 组,以及同一域的域本地组。
成员属于 作用范围 权限范围
域本地组可以是同一域中的域本地组
域本地组只在它自己的域中可见
域本地组位于其中的域 Add
DLG
Domain Local Group
Global Group
Domain Add
使用通用组
Universal Group
DN = Full Name + Path
使用CSVDE创建多用户帐号
objectClass
displayName userPrincipalName samAccountName
ldifde
Dn:cn=peter,ou=tech,dc=contoso,dc=com Changetype:add Objectclass:user Samaccountname:peter Userprincipalname:petercontoso Displayname:peter Useraccountcontrol:514 Dn:cn=peter,ou=tech,dc=contoso,dc=com Changetype:delete Dn:cn=peter,ou=tech,dc=contoso,dc=com Changetype:modify Replace:samaccountname Samaccountname:richard
实验五 活动目录服务(AD的安装、加入和退出域、域用户的管理和配置)
实验五活动目录服务(AD的安装、加入和退出域、域用户的管理和配置)【实验目的】1、理解域的概念,掌握AD的安装方法。
2、掌握加入和退出域的方法。
3、掌握域用户的管理和配置,组的规划和建立。
4、了解Windows Server 2003域用户和本地用户的区别。
5、理解组的概念和作用,认识组的类型。
【实验内容】1、练习AD的安装方法,2、练习加入和退出域的方法。
3、练习域用户的管理和配置,组的规划和建立【实验步骤】一、安装活动目录1)新建DC的角色。
在开始菜单中点击“管理您的服务器”,在打开的画面中点击“添加或删除角色”。
2)在“预备步骤”对话框中,单击[下一步]按钮,出现“服务器角色”对话框后,选择“域控制器”,按[下一步]继续。
3)在“选择总结”对话框中,单击[下一步]按钮,随后会进入AD安装向导过程,(如果直接执行“dcpromo”命令也可以启动AD安装向导,则可以省略前三个步骤),单击[下一步]按钮。
4)出现“操作系统兼容性”对话框,单击[下一步]按钮,在“域控制器类型”对话框中,我们将在这个向导中建立一个新域的DC和林,所以我们选择“新域的域控制器”,按[下一步]按钮继续。
5)选择“在新林中的域”,按[下一步]按钮继续,。
6)出现如下图所示,在“新域的DNS全名”文本框中输入新建域的DNS全名,例如: 或者或者之类的DNS全名。
按[下一步]按钮继续。
7)在“NetBIOS域名”对话框中,在“域NetBIOS名”文本框中输入NetBIOS域名,或者接受显示的名称。
NetBIOS域名是供早期的Windows用户用来识别新域的, 按[下一步]按钮继续。
8)在出现“数据库和日志文件夹”的对话框中(如下图),这些文件夹必须放在NTFS分区上,注意,基于最佳性和可恢复性的考虑,最好将活动目录的数据库和日志保存在不同的硬盘上。
按[下一步]按钮继续。
9)在出现“共享的系统卷”对话框中,该文件夹必须放在NTFS分区上,在Windows Server 2003中,Sysvol文件夹存放域的公用文件的服务器副本,它的内容将被复制到域中的所有域控制器上。
给域用户赋予本机管理员权限
给域用户赋予本机管理员权限
2011-06-19 18:18:55| 分类:Windows | 标签:|举报|字号大中小订阅
之前对域也有所了解,知道域是网络对象的分组,其安全性要高于工作组,不是想进就能进,想退就能退的,需要经过域管理员的同意。
域用户可以使用自己的域帐号开启其它加入此域的主机,哪怕这台机子上并不存在该帐号。
一般情况下,域用户不具有本机的管理员权限,不能随意安装所需要的软件,开启所需要的服务,甚至对于本机的其它磁盘也都是只读权限。
由于域用户不同于本机用户,为域用户赋予权限也有别于本机用户。
那么,如何给域用户赋予本机的管理员权限呢?
首先,配置本机IP地址,DNS服务器为域服务器的IP地址(当然,也可以是其它DNS服务器。
这里是为了保证与域服务器在同一网段。
):
(域服务器)
(本机)“我的电脑”→右键“属性”→“计算机名”:
点击“更改”→隶属于“域”,输入域(此域必须是已存在的,域服务器必须开启):
接着,输入域管理员帐号和密码:
重启机子,让更改生效。
点击“选项”按钮:
此时,出现一个“登录到”选项框,这里先选择“本机”,以管理员身份登录。
“我的电脑”→右键“管理”→“计算机管理(本地)”→“系统工具”→“本地用户和组”→“组”:
双击或右键属性“Administrators”:
点击“添加”:
点击“高级”,输入域管理员帐号和密码:
点击“立即查找”,找到要赋予本机管理员权限的域用户,单击“确定”:
注销本机管理员帐号,以域用户身份登录到域:
此时的域用户就拥有了本机的管理员权限。
第7章 域用户账户[1]
![第7章 域用户账户[1]](https://img.taocdn.com/s3/m/b321e82e0066f5335a8121ff.png)
7.1.1 域用户帐户的创建
7.1 域用户帐户的管理
域用户帐户的创建
域用户帐户属性的设置
7.1.2 域用户帐户属性的设置
域用户帐户的基本信息的设置
7.1.2 域用户帐户属性的设置
域用户帐户的登录设置
第7章 域用户帐户、组和组织单位的管理
域用户帐户的管理 计算机帐户的管理 组对象的管理 组织单位的管理 组策略
第7章 域用户帐户、组和组织单位的管理
域用户帐户的管理 计算机帐户的管理 组对象的管理 组织单位的管理 组策略
7.3 组对象的管理
●组的类型及作用域
●用户组的创建与管理
●域用户组的AGDLP使用策略
7.3.1 组的类型及作用域
1 组的类型 在 Active Directory 中有两种类型的组:通讯组 和安全组。可以使用通讯组创建电子邮件通讯 组列表,使用安全组给共享资源指派权限。 (1)通讯组 通讯组只有在电子邮件应用程序 (如 Exchange)中,才能使用通讯组将电子邮 件发送给一组用户。通讯组不启用安全,这意 味着它们不能列在随机访问控制列表 (DACL) 中 。如果需要组来控制对共享资源的访问,则创 建安全组。 (2)安全组 安全组要小心使用,安全组提供 了一种有效的方式来指派对网络上资源的访问 权。
7.5.3组策略软件安装
1 应用程序指派给用户
7.5.3组策略软件安装
2 将应用程序指派给计算机
7.5.3组策略软件安装
3 将应用程序发布给用户
7.6 实训:域用户帐户、组和组织单位的管理
7.4 组织单位的管理
创建组织单位 组织单位用于委派管理
7.4.1 创建组织单位
创建组织单位的步骤为: 1)打开“Active Directory 用户和计算机”。 2)在控制台树中,右键单击要在其中添加组织单位的文件夹。 3)指向“新建”,然后单击“组织单位”。 4)在打开的“新建对象-组织单位”的“名称”中键入组织单位的名称 (如Department of Computer),单击“确定”,如图所示。
2.Server 2008域帐号管理
存储在域控制器的Active Directory数据库中。用户 可访问整个域中的资源。
Active Directory 用户账户和计算机账户代 表物理实体,例如计算机或人
用户登录名 - 在同一个域中是唯一的 用户主体名(UPN) - 在整个林中是唯一的
用户账户和计算机账户(以及组)也称为安 全主体。安全主体是被自动指派了安全标识 符 SID(可用于访问域资源)的目录对象。
组的使用准则
为了让网络管理更为容易,一般建议采用以 下准则:
A、G、DL、P A、G、G、DL、P A、G、P策略介绍
A、G、DL、P策略就是先将用户账户(A)加入 到全局组(G),再将全局组加入到本地域组 (DL)内,然后设置本地域组的权限(P)
Anonymous Logon Everyone Network Interactive
Anonymous Logon
Anonymous Logon 代表不使用帐户名、密码 或域名而通过网络访问计算机及其资源的用 户和服务。在运行Windows NT 及其以前版本 的计算机上,Anonymous Logon 组是 Everyone 组的默认成员。在运行 Windows Server 2003家族的成员的计算机上,默认情 况下Anonymous Logon 组不是 Everyone 组 的成员。
域用户账户和计算机账户的用途
验证用户或计算机的身份。 用户账户使用户能够利用经 域验证后的标识登录到计算机和域。登录到网络的每个 用户应有自己的唯一账户和密码。为了获得最高的安全 性,应避免多个用户共享同一个账户。 授权或拒绝访问域资源。 一旦用户已经过身份验证,那 么就可以根据指派给该用户的关于资源的显式权限,授 予或拒绝该用户访问域资源。 管理其他安全主体。 Active Directory 在本地域中创 建外部安全主体对象,用以表示信任的外部域中的每个 安全主体。 审核使用用户或计算机账户执行的操作。 审核有助于监 视账户的安全性。
6域用户和组的建立和管理
◇.不支持通用组。 ◇.只有本地组可以包含全局组,而且是单一的嵌套,不支持其它的 嵌套,例:不支持将全局组包含到其他全局组内。
本机模式:此模式中,所有的域控制器必须都是Windows2000计算机, 本机模式:此模式中,所有的域控制器必须都是Windows2000计算机, 其他成员可以包含WindowsNT系统。特点 其他成员可以包含WindowsNT系统。特点: 特点:
管理工具— 管理工具—Active Directory 用户和计算机—展开域名— 用户和计算机—展开域名— Builtin。 Builtin。
Administrator:具备系统管理员的权限,拥有整个域最大的控制 Administrator:具备系统管理员的权限,拥有整个域最大的控制 权。默认包含内置Administrator, 权。默认包含内置Administrator,Domain Admin全局组, Admin全局组, Enterprise Admin全局组。 Admin全局组。 Server Operators:此组员拥有管理域控制器的权利。 Operators:此组员拥有管理域控制器的权利。 Account Operators:此组员拥有管理域内帐号和组的权利。 Operators:此组员拥有管理域内帐号和组的权利。 Printer Operators:此组员管理域控制器上的共享打印机,也可 Operators:此组员管理域控制器上的共享打印机,也可 以将域控制器关机(shutdown) 以将域控制器关机(shutdown)。 Backup Operators:此组员用来备份和还原域控制器内的数据, Operators:此组员用来备份和还原域控制器内的数据, 也可以将域控制器关机(shutdown) 也可以将域控制器关机(shutdown)。 Users:给此组指派适当的权利,以便让此组中的用户访问域中资 Users:给此组指派适当的权利,以便让此组中的用户访问域中资 源。
N10-用户帐号管理
passwd文件格式
⒈[用户名] 有"唯一性"要求的域。 ⒉[密码] 为“x”表示使用了shadow口令;为“*”表示 禁止登录;为“!!”表示未设置;为“!”表示被锁 定。 ⒊[UID]系统使用UID来判别用户身份 ⒋[GID]用户默认的组ID,可以在文件 /etc/group里 查到对应的组名。 ⒌[身份描述]:用户的身份说明,默认的是无任何说 明。 ⒍[主目录]:用户的主目录。 ⒎[登录shell]:用户登录时系统提供的shell。
useradd 建立用户
# useradd [-u UID] [-g 初始群组] [-G 次要群 组] [-mM] [-c 说明栏] [-d 家目录绝对路径] [s shell] 使用者账号名 相关文件
/etc/default/useradd 用户的默认值 /etc/login.defs 密码的默认参数 /etc/skel/* 家目录模板 /etc/passwd 用户名 /etc/shadow 密码 /etc/group 用户组 /etc/gshadow 用户组密码
初始群組(initial group)
/etc/passwd第四列的GID就是用户的初 始群组; 初始群组无需添加到/etc/group的第四个 字段中 非初始群组会显示在/etc/group的第四个 字段中
有效群組(effective group)
一个用户新创建的文件归该用户所有,那么该 文件归哪个组所有?
重要文件
验证信息被保存在纯文本文件中: /etc/passwd 用户信息 /etc/shadow 用户密码信息 /etc/group 用户组信息 /etc/gshadow 组密码/组管理员信息
域控中 管理计算机和用户帐号
域控中管理计算机和用户帐号管理计算机和用户帐号在Windows2000中用户可以在活动目录用户和计算机管理工具中实现建立用户帐号、计算机帐号、组、安全策略等项。
它可以用于建立或编辑网络中的用户、计算机、组、组织单位、域、域控制器、以及发布网络共享资源。
活动目录用户和计算机管理器是安装在域控制器上的目录管理工具,且用户可以在Windows2000 Professional 中安装它的管理工具,以便利用客户机对活动目录进行远程管理。
本章介绍了Active Directory用户和计算机的常用管理工具的使用:1. 账户、组、组织机构相关的基本概念2. 用户和计算机账户的配置与管理3. 组的创建和管理4. 组织机构的添加与管理5. 资源的发布和搜索6. 域和域间信任的管理7.1 基本概念活动目录用户和计算机管理器中的帐号标识的是一个物理实体如计算机或用户,计算机和用户的帐号在它们登录到网络或访问域中的资源时提供安全信任。
帐号可以用于:验证计算机或用户的身份允许访问域中资源审核用户或计算机帐号的活动7.1.1 用户帐号用户帐号能够让用户以授权的身份登录到计算机和域中并访问其中资源。
用户帐号也可以作为某些软件的服务帐号。
7.1.2 计算机帐号每一个运行Windows 2000 和Windows NT 的计算机在加入到域时都需要一个计算机帐号,就象用户帐号一样,被用来验证和审核计算机的登录过程和访问域资源。
7.1.3 组组是可包含用户、联系人、计算机和其他组的Active Directory 或本机对象。
使用组可以:管理用户和计算机对Active Directory 对象及其属性、网络共享位置、文件、目录、打印机列队等共享资源的访问。
筛选器组策略设置创建电子邮件通讯组有两种类型的组:安全组通讯组安全组用于将用户、计算机和其他组收集到可管理的单位中。
为资源(文件共享、打印机等等)指派权限时,管理员应将那些权限指派给安全组而非个别用户。
域控中管理计算机和用户帐号
域控中管理计算机和用户帐号域控(Domain Controller)是一种在Windows Server操作系统上运行的服务,用于管理计算机和用户账号。
域控是基于目录服务的概念,它使用了Windows Active Directory(AD)作为其目录服务。
域控的主要功能是集中管理和控制网络中的计算机和用户账号。
它通过提供统一的身份验证和授权机制,使得企业或组织能够更好地管理和保护其计算资源和数据。
以下是域控管理计算机和用户账号的主要应用:1.用户账号管理:域控可以集中管理和控制用户账号。
管理员可以创建、删除和修改用户账号,并为其分配角色和权限。
用户账号的信息被存储在AD中,登录到域控的计算机时,用户可以使用其账号进行身份验证和访问控制。
2.计算机管理:域控可以管理和控制网络中的计算机。
管理员可以将计算机添加到域中,从而使其受到域控的管理和控制。
域控可以为计算机提供集中的软件安装、补丁管理、策略设置等功能。
管理员可以通过域控远程管理计算机,而不需要直接登录到每台计算机上去进行管理。
3.组策略管理:域控可以通过组策略设置来集中管理计算机和用户账号的配置。
组策略可以控制计算机的安全设置、网络设置、软件设置等,以及用户账号的权限和配置。
管理员可以通过组策略设置统一的规则和标准,确保网络中的计算机和用户账号都按照企业或组织的要求进行配置和使用。
4.身份验证和访问控制:域控通过集中的身份验证和访问控制机制,确保只有经过身份验证的用户账号才能访问网络中的计算资源。
用户账号可以通过域控进行身份验证,并根据其权限和角色来控制对计算机和资源的访问。
域控使用了统一的身份验证协议,并提供了强大的访问控制策略,以保护网络中的信息资产。
5.安全审计和报告:域控可以提供安全审计和报告功能,以监控和记录网络中的用户和计算机的活动。
管理员可以通过域控获取各种安全日志和报告,以及监控和分析网络中的安全事件。
这有助于保护网络免受恶意活动和安全威胁。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息中 心域1 所有用 户帐号
信息中 心域2 所有用 户帐号
电子系域 所有用户 帐号
机械系 域 所有用 户帐号
管理系域 所有用户 帐号
• 域的成员
– 在Windows 2003 Server网络的一个域中,必须有一台 安装并运行Windows 2003 Server Server的服务器,并 且此服务器必须是主域控制器(PDC),此服务器内保 存着域内用户与组数据库的主备份。此外,域内还可 以存在其他服务器。如下图:
骤: 1. 开始---管理工具---配置服务器,在打开的相应对话 框内,单击” Active Directory安装向导“。(或者 “开始”--“运行”--“dcpromo”启动向导。) 2. 启动向导,点击”下一步“按钮。 3. 设置域控制器类型。 4. 创建目录树或子域。 5. 创建或加入目录林 6. 新的域名。如: 7. NetBIOS域名。如:jsjxy 8. 指定Active Directory数据库和日志文件的位置。
– –
委托关系可以是单向的或双向的。 委托关系可以是单向的或双向的。 委托关系不具有转移性
• 域的模式
1.单域模式 2.单主域模式 3.多主域模式
• 单域模式
单域 所有用户帐 号
• 单主域模式
– 由于所有的用 户帐号都建立 在主域中,所 以其他域必须 委托主域,以 便主域的帐号 能够使用所有 域中的资源。
•
– – –
委托关系
对于由多个域组成的网络,一个域中的用户需要访问 另一个域中的资源时,需要在两个域中建立委托关系 委托关系 现称委托者为“信任域”,接受委托者为“受托域”。 当建立起委托关系后,信任域即可辨认受托域中的用 户帐号,允许这些帐号在信任域内使用。例如:
• • • 在信任域中登陆,但在登陆时必须指明用户属于哪一个受托 域 在信任域中被设置其对信任域内资源的使用权限与访问权限 访问信任域中的资源
– 全局组、本地组
• 全局组:经过适当设置,可以在任意域中使用的组。只有 域控制器才有全局组。在全局组中,只能包含该组所在域 内的用户,不能包含域内的用户,也不能包含其他的本地 组或全局组。 • 本地组:经过适当设置,本地组可以包含所有域中的用户 和所有全局组,但是不能包括其他本地组。对域控制器上 的本地组而言,只能设置其对计算机上资源的访问权限。
域用户帐号与管理
• 在Windows 2003 Server中,域用户管理器是用于 建立和管理域中用户帐号、组、安全规则的主要 工具。 • Windows 2003 Server提供两个内置的全局帐号, 分别为
1.Administrator:用于对整个域进行管理,即系统管理 用于对整个域进行管理, 用于对整个域进行管理 员帐号。 员帐号。 2.Guest:供临时访问者访问域中资源的帐号 供临时访问者访问域中资源的帐号 • 以上两个帐号名称可以被用户修改,但是不能删除。 以上两个帐号名称可以被用户修改,但是不能删除。 • 当用户比较多时,利用组对其管理。常见组类型为
• 备份域控制器
– 是一台运行Windows 2003 Server的计算机,但在安装时被设置为备 份域控制器。主域控制器会定期将目录数据库备份到备份域控制器 中。 – 功能和主域控制器类似;但备份域控制器不是必须的。 – 可分担审核负荷,或在PDC无法使用时提升为PDC,保证正常运行
•
独立服务器
• 当域控制器安装完成后,即可进行活动目录的管 理,资源发布及客户机的域内资源的访问。 • 在控制面板中的管理工具窗口中,可见增加了三 个图标:
– Active Directory用户和计算机:用于域控制器的配置和 管理、活动目录的资源发布等。 – Active Directory域和信任关系:用于设置域和域之间的 信任关系。 – Active Directory站点和服务:用于配置各域控制器之间 的性能优化。
–
为提高用户管理效率,允许将域中的帐号按照其性质 划分为组,组中帐号能够自动继承组的权限与访问权 组 限。
pdc
bdc
Stand-alone Server
网络设备
运行不同操作系统的工作站
• 主域控制器
– 是一台运行Windows 2003 Server 的计算机,一个域必须有且只能 有一个主域控制器。 – 域中所有帐号、组以及安全设置等数据都集中保存在主域控制器的 目录数据库中,因此帐号的增加与修改都是在主域控制器的目录数 据库中进行的。 – 主域控制器也可以做文件、打印或应用软件服务器。同时负责审核 登陆者的身份。
信息中心域 所有用户帐 号
电子系域 所有用户 帐号
机械系 域 所有用 户帐号
管理系域 所有用户 帐号
• 多主域模式
– 网络中含有多 个主域,所有 的用户帐号都 建立在这几个 主域内,且每 一个用户在整 个网络中只需 要一个帐号, 不需要在每一 个主域中都建 立一个帐号。
信息中 心域3 所有用 户帐号
•
– – –
用户帐号和组
每个要登陆到域的用户都需要一个用户帐号,帐号包 含用户名称、密码、用户权限、访问权限等信息。 用户帐号分为:全局帐号和本地帐号,添加到域中的 帐号默认为全局帐号。 Windows 2003 Server提供两个内置的全局帐号,分 别为
1. 2. • Administrator:用于对整个域进行管理,即系统管理员帐号。 用于对整个域进行管理,即系统管理员帐号。 用于对整个域进行管理 Guest:供临时访问者访问域中资源的帐号 供临时访问者访问域中资源的帐号 以上两个帐号名称可以被用户修改,但是不能删除。 以上两个帐号名称可以被用户修改,但是不能删除。
– 没有被赋予特殊的名称;可以是文件、打印 或应用软件服务器中的一种或多种。已经添 加到域中的独立服务器,具有以下特点:
• • • • 没有备份域目录数据库功能。 没有审核域登陆者身份的功能(只能审核本机登 陆者身份)。 可以使用所属域内的帐号。 可以使用受托域内的帐号。
安装域控制器( 通过Active Directory安装向导配置)步
•
–
用户帐号管理
对用户帐号进行复制、修改、删除。
•
–
安全规则及其设置
在域用户管理器中,可以设置3种安全规则:
1. 2. 3. 帐号规则:用来管理所有与用户帐号、密码有关的事项,例 如密码的期限、登陆错误几次后就将被帐号锁定等。 用户权限规则:用来为用户和组指派权限,例如:那些用户 可以通过网络登陆、那些用户可以从本机直接登陆等。 审核规则:用来设置是否对某些事件进行记录。例如:可以 设定将登陆、注销的成功、失败状况等记录到安全日志中。
不能设置机械系域内的本地组L1 L1 对物理系内资源的访问权限 NT服务器 NT服务器 物理系域委托机械系域 物理系域 机械系域 NT服务器 工作站 可以设置机械系域内的全局组G1 对物理系内资源的访问权限 全局组G1 工作站 NT服务器 本地组L1
• 用户帐号及建立方法。
– 用户名、用户全称、用户密码、隶属组、用户环境配 置文件、可在那些时间登陆、从那些工作站登陆、帐 号有效日期、登陆命令文件、主目录、拨入等信息。 – 添加一个用户帐号后,系统自动为其生成一个安全标 示码(SID),此号码是唯一的,系统利用该号码来决 定用户权限。 – 一个帐号被删除后,即使再添加一个与其同名的帐号, 新帐号也不能具有与原来帐号相同的权限设置。 – 具体操作为:选择“开始”—程序—管理工具---域用 户管理器,在其窗口里面选择不同菜单,打开相应对 话框进行设置。