用户和组的管理

5.3.1创建本地账户
→
管
理
工
具
→来自百度文库
计
算
机
管
理
5.3.1创建本地账户
? 密码：用户登录时使用的密码。 ? 确认密码：为防止密码输入错误，需再输入一遍。 ? 用户下次登录时须更改密码：用户首次登录时，使
用管理员分配的密码，当用户再次登录时，强制用 户更改密码，用户更改后的密码只有自己知道，这 样可保证安全使用。
内置账户
? Windows Server 2003安装完毕后，系统 会在服务器上自动创建一些内置账户
? Administrator （系统管理员）： 拥有最 高权限。
? Guest（来宾） :是为临时访问计算机的用 户提供的。该账户自动生成，且不能被删 除，可以更改名字
5.2组的概念
5.2组的概念
全局组
同一域的用户、 全局组
所有域 可以转换为通用 组（只要该组不 是隶属于任何一 个全局组）
本地域组
所有域的用户、 全局组、通用组， 同一域的本地域 组
同一域
可以转换为通用 组（只要该组的 成员不含本地域 组）
组织单位OU
? OU是活动目录中一种特有的目录对 象类型
? 组织单位是一种目录容器 ? 可以包含用户、组、计算机、打印
第5讲 用户和组的管理
企业需求
? 公司有100个员工，每个人工作内容不同。 然而他们中有些人有相同的权限。
? 需要为每个人创建不同的帐号 ? 还需要把有类似功能的用户放在一个组
中 ? 每个用户有自己的特定信息，需要可以
自己设置密码
本讲任务
? 为每个用户创建一个帐号 ? 把有共同点的用户放在同一组中。 ? 设置每个用户的信息，同时要求用
它有两种类型：用户创建的组和系统内置 的组。
5.2 组的分类
组的分类
? 根据组的作用范围，Windows Server 2003域组分为通用组、全 局组和本地域组，它们的成员和权限作用范围见表
特性 成员 权限范围 转换
通用组
所有域的用户、全 局组、通用组，不 包括任何域的本地 域组
所有域
可以转换为本地域 组，可以转换为全 局组（只要该组的 成员不含通用组）
– 明确是管理员还是用户管理密码，最好用户管理自己的 密码。
– 密码的长度在 7～128之间。 – 使用不易猜出的字母组合，例如不要使用自己的名字、
生日以及家庭成员的名字等。 – 密码可以使用大小写字母、数字和其它合法的字符。
5.1.2账户的类型
WORKGROUP 和 DOMAIN
工作组和域
5.1.2账户的类型
创建方式的不同
工域作只组能可以由由域任何控一制个计器算来机的创管理
员来创建，用户在系统的“计算机名
称建更，改然”对后话才框中允输许入新其的它组名的，重 新计启算动机计算加机入后就这创个建了域一。个新组，
每一台计算机都有权利创建一个组；
5.1.2账户的类型
?安全机制不同 ?登录方式不同
5.1.2账户的类型
– 账户名必须唯一，且不分大小写。 – 最多包含 20个大小写字符和数字，输入时可
超过20个字符，但只识别前 20个字符。 – 不能使用保留字字符：” ^ [ ] ：；｜＝，＋
＊？＜＞ – 可以是字符和数字的组合。 – 不能与组名相同。
★密码的命名规则★
– 必须为 Administrator账户分配密码，防止未经授权就使 用。
本地账户
本地账户建立在本地，且只能在本地计算机 上登录；
本地账户的登录验证
域账户
域账户和密码存储在域控制器上Active Directory 数据库中
域数据库的路径为域控制器中的系统盘下 \Windows\NTDS\NTDS.DIT 。
域账户一旦建立，会自动地被复制到同域中 的其它域控制器上
复制完成后，域中的所有域控制器都能在 用户登录时提供身份验证功能。
机和其他“组织单位”
? 组织单位只能包含本域的对象，不 能包含来自其他域的对象
“组”和“组织单位”的区别
? 组是用户账户或其他组账户的集合， 主要用于用户账户的组织管理，以及 资源权限的访问控制
? 组织单位是多种对象的集合，主要着 眼于网络系统的构建。
基本操作篇
本地账户和组的建立 与设置
开 始
5.3.1创建本地账户
? 用户不能更改密码：只允许用户使用管理员分 配的密码。
? 密码永不过期：密码默认的有限期为 42天，超 过42 天系统会提示用户更改密码，选中此项表 示系统永远不会提示用户修改密码。
? 账户已禁用：选中此项表示任何人都无法使用 这个账户登录，适用于企业内某员工离职时， 防止他人冒用该账户登录。
户第一次登录时，要修改密码 ? 区分组和组织单位
目录结构
? 基本概念
– 账户
? 账户的概念 ? 账户的分类
–组
? 组的概念 ? 组的分类
? 基本操作
基本概念篇
5.1.1账户的概念
账户是用户登录到域访问网络资源或 登录到某台计算机访问该机上的资源 的标识，包括账户名和密码。
★帐户名的命名规则★
?本地账户 ?域账户 ?内置账户
本地账户
本地账户对应对等网的工作组模式，建立在 非域控制器的Windows Server 2003独立服务 器、成员服务器以及Windows XP客户端。本 地账户只能在本地计算机上登录，无法访问 域中其它计算机资源。
SAM数据库文件路径为系统盘下 \Windows\system32\config\SAM。在SAM中， 每个账户被赋予唯一的安全识别号（SID ， Security Identifier），用户要访问本地计算机， 都需要经过该机SAM中的SID 验证。
? 什么是组 –“组”：相同权限的用户的集合。 – 组的信息存放在本地安全账户数据 库中（SAM) 。
5.2组的分类
?本地组 ?域组
5.2组的分类
?域本组地：组：该创账建户在本创地建的在组账W户i。nd可o以w在s WSeinrdvoewrs 2S0e0rv3er的20域03控／2制00器0 ／上N，T独 立组服账务户器或的成信员息服务被器存、储W在indAocwtsivXeP 、 W 器D的iinrd计eoc算wtso机r上NyT创数建W据本or地k库s组ta中t。io这，n 些等这组非些账域户组控的制 信能息够被被存使储用在在本整地个安 域全 账中户的数计据算库 （机S上AM。）内。本地组只能在本地机使用，