域用户帐户和组的管理
用户与组的管理题目
第五单元用户与组的管理一、填空题1.根据服务器的工作模式,组分为本地组和域组。
2.账户的类型分为本地用户账户、域用户账户、内置用户账户。
3.工作组模式下,账户存储在服务器的sam文件中;域模式下,账户存储在活动目录数据库中。
4.活动目录中按照能够授权的范围,分为本地域组、全局组、通用组。
5.用户配置文件并不是一个单独的文件,而是由用户配置文件夹、Ntuser.dat文件和ALL User文件夹3部分内容组成。
6.Windows Server 2008服务器有两种工作模式:工作组模式和域模式。
7.本地账户对应对等网的工作组模式,本地账户只能在本地计算机上登录。
8.本地计算机上都有一个管理账户数据的数据库,称为安全账户管理器。
9.用户要访问本地计算机,都需要经过该机SAM中的SID验证。
10.域账户和密码存储在域控制器上 Active Directory 数据库中。
11.域数据库的路径为域控制器中的系统盘下\Windows\NTDS\NTDS.DIT。
12.组织单元是域中包含的一类目录对象,它包括域中的一些用户、计算机和组、文件与打印机等资源。
二、选择题1.在设置域账户属性时,( C )项目不能被设置。
A.账户登录时间B.账户的个人信息C.账户的权限D.指定账户登录域的计算机2.下列( C )不是合法的账户名A.abc_123B.windows bookC.dictionar* C.abdkeofFHEKLLOP3.下面( C )用户不是内置本地域组成员A.Account OperatorB.AdministratorC.Domain AdminsD.Backup Operators4.下面( A )不是Windows Server 2008所提供的用户配置文件。
A.默认用户配置文件B.本地用户配置文件C.漫游用户配置文件 C.强制性用户配置文件5.以下那种权限未授予“超级用户”组成员?( B )A.创建任何用户和组B.删除任何用户和组C.创建网络共享D.创建网络打印机6.关于内置账户,以下陈述不正确的是:( A )A.在缺省情况下,“管理员”账户能被删除B.在缺省情况下,“管理员”账户被启用C.在缺省情况下,“访客”账户不能被删除D.在缺省情况下,“访客”账户不被启用7.以下哪个用户组拥有最低级别的权限?( B )A.用户B.访客C.任何人 D复制员8.以下哪一项不是OU的真实特性?( B )A.可包含其他活动目录对象B.是安全基本对象C.可包含其他OUD.可被配置为分层结构9.以下哪一个对象不是安全基本对象?()A.用户账户B.用户组C.计算机账户D.OU10.在“本地用户和组”中建立一个新用户student,系统默认该用户属于:( D )A.administratorsB.Power UsersC.Guestsers11.下列对象中,不属于AD中的容器的是:( D )A.组织单元B.组C.域D.工作组12.Windows 2000 安装后,已经存在了两个预定义帐户,它们是:()A.administrator和userB.guest和userer和adminD.administrator和guest三、判断题1.用户名最长可达20个字符(×)2.一个用户账户可以加入多个组(√)3.在工作组模式下,本地组不能包含本地组(√)4.在工作组模式下,本地组可以包含内置组(×)5.工作组中的每台计算机都在本地存储账户(×)6.工作组中的计算机的数量最好不要超过10台(√)7.Administrator 账户可以禁用自己,所以在禁用自己之前应该先创建至少一个管理员组的账户(×)四、简答题1.简述通用组、全局组和本地域组的区别答案:1、通用组可以指派所有域中的访问权限,以便访问每个域内的资源。
server-2019域用户和组的管理
displayName userPrincipalName samAccountName
csvde
Dn ,objectclass,samaccountname,userprincipalna me,displayname,Useraccountcontrol
“cn=peter,ou=tech,dc=contoso,dc=com”, user,peter,petercontoso,peter,514
DLG
Domain Local Group
Global Group
Global Group
Universal Group
DLG
Domain Local Group
Permissions
问题1:在目录树和目录林中使用组
? Accountants Need to Gain Access to the Accounting Data Across the Forest How Do You Set Up Groups?
7
成批导入程序
用户信息
记事本文件
活动目录
每一个用户对象,文件: 1.必须包括指向活动目录中的用户帐号、本身的类型以及
用户的登录名 2.应包含用户主名,帐号是否禁用 3.包含用户的属性(用户信息) 4.不可以包含密码
DN = Full Name + Path
使用CSVDE创建多用户帐号
objectClass
Add from Multiple
Domains
成员资格 成员属于
Global Group 作用范围
Universal Group Rules
可以包含来自目录林中的任何 域的用户和帐号全局组和其它 通用组
用 户 和 组
用户和组
知识点: ·创建和管理用户帐户:创建和管理本地用户帐户,创建和管理域用户帐户。 ·利用组管理对资源的访问:在工作组中实现组,在域中实现组。 ·共享磁盘资源:共享和权限,共享文件夹,磁盘配额。 ·配置网络打印机:Windows 2000下的打印功能,配置基于Web打印机。
1.1 创建和管理用户帐户 1.1.1 概述 用户帐户是含有特定用户信息的记录,用户帐户使得用户能登录到指定计算机,以访 问该计算机上的资源;或是登录到特定的域,以访问网络资源。 域是在同一个域名和安全范围内的一组帐户和网络资源的集合。
注意:这里介绍的组,仅仅是本机模式下的组,而不是处在混合模式下的网络中的组。
1.2.2 在工作组中实现组 一个工作组下可能会由几台计算机组成,它没有域网络中的纷繁功能,但通过在工作组 这样的简单计算机分组中使用组概念,可以使工作组中引入相当的网络功能。 1. 本地组和内置本地组: ⑴ 本地组
在工作组中实现一个组,该组就是本地组。 作为本地组还应注意: ·本地组只能包含来自创建该本地组的计算机的本地用户帐户; ·本地组不能是任何其他组的成员; ·本地组不出现在域的活动目录中,所以只能在工作组下的各个计算机的安全性帐户 管理器中进行管理。 ⑵ 内置本地组 除了自定义的本地组以外,Windows 2000 Professional和Windows 2000 Server还 提供了默认的组,就是内置本地组,这些组都有一组事先确定的权限和内置功能。
⑴ 设置用户帐户密码 ⑵ 设置本地用户帐户的属性
1.1.3 创建和管理域用户帐户
域用户帐户与本地用户帐户的区别在于:本地用户帐户只能在创建了该用户帐户的单 个独立的计算机系统上登录,使用该一台计算机上的资源;而域用户帐户可以在创建了该 用户帐户的域下的任何一台成员工作站或服务器上登录系统,并且可以使用域中所有的共 享网络资源。
实训七管理用户和组
实训七管理用户和组一、实训目的1.掌握本地帐户与域帐户的管理方法;2.掌握设置帐户属性的方法;3.掌握用户配置文件的创建方法;4.掌握用户组的管理方法;5.在活动目录中利用OU管理资源的方法。
二、实训环境Win2003server 1台、直通双绞线4根(每根3米)、WinXP 3台,组网形式如下。
三、实训理论基础每个用户都需要有一个帐户,以便登录到域访问网络资源或登录到某台计算机访问该机上的资源,创建和管理用户对象是网络管理员执行的最常见任务。
组是用户帐户的集合,管理员通常通过组来对用户的权限进行设置从而简化了管理。
1.用户账户简介Windows Server 2003提供两种主要类型用户账户:本地用户账户(Local User Account)和域用户账户(Domain User Account)。
除此之外,Windows Server 2003系统中还有内置用户账户(Built-in User Account)。
2.本地用户账户本地用户帐户只能登录到帐户所在的计算机并获得对该资源的访问。
当创建本地用户帐户后,Windows Server 2003将在该机的本地安全性数据库中创建该帐户,本地帐户信息存储在本地,不会被复制到其他计算机或域控制器。
当创建一个本地用户账户后,计算机使用本地安全性数据库验证本地用户账户,以便让用户登录到该计算机。
3.创建本地用户账户创建本地用户账户可以在除了域的域控制器以外的任何一台基于Windows Server 2003的计算机上进行。
出于安全性考虑,通常建议只在不是域的组成部分的计算机上创建和使用本地用户账户,即在属于域的计算机上不要设置本地账户。
工作组模式是使用本地用户账户的最佳场所,如图4.域用户账户域用户账户可让用户登录到域并获得对网络上其他地方资源的访问权。
域用户账户是在域控制器上建立的,作为Active Directory 的一个对象保存在域的Active Directory 数据库中。
AD管理域用户和组帐户PPT课件
可以创建组的地方
选择根据组所需要的管理能力创建组的特定域或组织单位。 例如,如果域中有多个组织单位,而每一个都有不同的管 理员,则可在那些组织单位中创建具有全局作用域的组, 这样管理员就能在各自的组织单位中管理用户的组成员身 份。如果组织单位以外的访问控制需要组,组织单位中的 组可以嵌套至可在树林中的其他地方使用的具有通用作用 域的组(或具有全局作用域的其他组)中。
Everyone 代表所有当前网络的用户,包括来自其他域的 来宾和用户。无论用户何时登录到网络上,它们都将被自 动添加到 Everyone 组。
第22页/共33页
特殊标识 (cont.)
Network 代表当前通过网络访问给定资源的用户(不 是通过从本地登录到资源所在的计算机来访问资源的 用户)。无论用户何时通过网络访问给定的资源,它 们都将自动添加到 Network 组。
第14页/共33页
域组
Active Directory Users and Computers Console Window Help
Active View
Tree
Builtin 9 objects
Active Directory Users and Computer Name
Type
Description
Interactive 代表当前登录到特定计算机上并且访问 该计算机上给定资源的所有用户(不是通过网络访问 资源的用户)。无论用户何时访问当前登录的计算机 上的给定资源,它们都被自动添加到 Interactive 组。
虽然可以给特殊标识指派对资源的权利和权限,但不 能修改或查看其成员身份。组作用域不适用于特殊标 识。无论用户何时登录或访问特殊资源,都被自动指 派这些特殊标识。
用户帐户与组帐户管理
2024年2月17日星期六3时33分47秒
第4页/共31页
13.2 本地用户和组
13.2.1 用户帐户的创建
用户本地账户是建立在Windows Server 2003成员 服务器的本地安全数据库内,而不是域控制器内的账户。 用户可以利用本地账户登录此账户所在的计算机,但是无 法登录域。同时只能访问这台计算机内的资源,无法访问 网络上的资源。建议只在未加入域的计算机内建立本地用 户账户。
2024年2月17日星期六3时33分47秒
第8页/共31页
13.2 本地用户和组
(2)右击,从弹出的菜单中选择“新用户”命令,弹 出“新用户”对话框。输入用户名、全名、描述和密码。输 入时密码。为了避免在输入时被他人看到密码,因此在对话 框中的密码只会以星号(*)显示。需要再次输入密码来确 认所输入的密码是否正确。密码最多128个字符,密码的大 小写是有区别的。
(2)单击“下一步”按钮,弹出新建域用户帐户的对 话框,“密码”与“确认密码”:输入用户账户的密码。
(3) 单击“下一步”按钮后,提示用户账户的信息, 最后单击“完成”按钮,完成用户账户的创建。
2024年2月17日星期六3时33分47秒
第19页/共31页
13.3 域帐户管理
2. 域用户账户的属性设置 每个域用户都有一些相关的属性可供设置,例如,某
2024年2月17日星期六3时33分47秒
第7页/共31页
13.2 本地用户和组
2. 创建本地用户帐户 建立本地账户可以用“计算机管理”中的“本地用户和
组”管理单元来创建本地用户帐户,而且必须拥有管理员权 限。创建本地用户帐户的步骤如下:
(1)选择“开始管理工具计算机管理”选项,弹 出“计算机管理”窗口,依次展开“系统管理本地用户和 组用户”,在“计算机管理”窗口右侧列出已经存在的帐 户。
Windows的用户和用户组说明
2、内置特殊组:
Everone
任何一个用户都属于这个组。注意,如果Guest帐号被启用时,则给Everone这个组指派权限时必须小心,因为当一个没有帐户的用户连接计算机时,他被允许自动利用Guest帐户连接,但是因为Guest也是属于Everone组,所以他将具备Everyone所拥有的权限。
Power Users
该组内的用户具备比Users组更多的权利,但是比Administrators组拥有的权利更少一些,例如,可以:
创建、删除、更改本地用户帐户
创建、删除、管理本地计算机内的共享文件夹与共享打印机
自定义系统设置,例如更改计算机时间、关闭计算机等
2、控制台:
系统控制台是Windows 2000及其后续版本中一个非常重要的系统组件,集中安置了系统中的多个系统配置维护工具。
依次打开“控制面板→计算机管理”打开“计算机管理”控制台,在窗口左侧定位到“本地用户和组→用户”,在窗口右侧就罗列了当前系统已经建立的账户,一些在“用户账户”中没有显示的账户都可以在这里查到。在窗口右侧空白处点右键选择“新用户”,然后输入账户信息就可以建立一个新用户了。
一、WINDOWS的用户和用户组说明
1、基本用户组
Administrators
属于该administators本地组内的用户,都具备系统管理员的权限,它们拥有对这台计算机最大的控制权限,可以执行整台计算机的管理任务。内置的系统管理员账号Administrator就是本地组的成员,而且无法将它从该组删除。
任何通过网络连接此计算机的用户都属于这个组。
Creator Owner
文件夹、文件或打印文件等资源的创建者,就是该资源的Creator Owner(创建所有者)。不过,如果创建者是属于Administrators组内的成员,则其Creator Owner为Administrators组。
windows server 2019服务器操作系统-第14章 域帐户的管理
规】、【环境】、【会话】、【远程控制】、【终
端服务配置文件】、【拨入】、【地址】、【帐
户】、【配置文件】、【电话】、【单位】和【隶
属于】等属性标签。
用户属性对话框
(1)【常规】标签包含建立新用户帐户时提供的 信 息。可以在【描述】和【办公室】文本框中增 加信息,也可以输入用户联系信息,包括电话 号码、E-mail地址和Web页面URL,如下图 所 示。
第9章 域帐户的管理
主要知识点:
一、创建和管理域用帐户 二、活动目录物理结构 三、组的类型和作用范围 四、用户配置文件
(了解) (了解) (掌握) (掌握)
一 域用户和计算机帐户
1、用户帐户和计算机帐户概述
(1) 活动目录用户帐户
用户帐户是用来记录用户的用户名和密码、
【选择组】对话框
(3)单击【禁用帐户】选项,当前用户将被禁止 使 用,此时在窗口中显示的用户名左侧小图标上 将显示一个红色的“X”符号,表明当前此用户 不可登录到服务器。再次打开快捷菜单时,原 来的【禁用帐户】选项变为【启用帐户】,单 击此选项,用户名被启用,可以进行登录操 作。
(4)单击【重设密码】选项显示对话框,管理员 可 以修改用户的密码,并设置用户是否在下次登 录时更改密码。
account对象中。
(2)通讯组
该组不是安全主体,只被用作分配列表。
可以在通讯组中存储联系和用户帐户。由于联系不
包括用户帐户的系统开销,所以只把联系放入组中
才更有意义。通讯组还和Microsoft Exchange兼
容,所以被广泛用于电话技术和传递信息应用软件
中。当升级Exchange用以支持Active Directory
域知识深入学习三:域用户与组账户的管理
域知识深⼊学习三:域⽤户与组账户的管理3.1 管理域⽤户账户域⽤户单点登录的概念第⼀台域控的本地账户会被存到AD DS数据库的Users容器内,同时这台计算机会被放到组织单位Domain Controller 其他加⼊域的计算机末⽇呢会放到Computer容器3.1.1 创建组织单位与域⽤户账户组织单位,防⽌意外删除选项域⽤户的密码默认需要⾄少七个字符,还⾄少包含⼤写字母,⼩写字母,数字,⾮数字字母等4组字符中的三组。
3.1.2 ⽤户登录账户域⽤户有两种账户名登录1 ⽤户UPN登录 mary@sayms.local2 ⽤户SamAccountName登录 sayms\mary普通域⽤户默认是⽆法登录域控的UPN不会随着账户被移动到其他域⽽改变3.1.3 创建UPN后缀可以在 Windows 管理⼯具 - Active Directory域和信任关系中添加其他UPN后缀3.1.4 账户的常规管理⼯作新建⽤户账户后,系统会建⽴⼀个唯⼀的安全标识符SID,权限设置都是通过SID记录3.1.5 域⽤户账户的属性设置1 组织信息的设置2 账户过期的设置默认是从不过期3 登录时间的设置默认是任何时段都可以登录4 限制⽤户只能通过某些计算机登录默认是普通域⽤户可以登录任何⼀台域成员计算机3.1.6 搜索⽤户账户除了在域内搜索外,还可以指定在全局编录搜索整个林的对象在没有安装Active Directory管理中⼼的成员服务器上也可以搜索,⽐如win10⽂件资源管理器 - ⽹络 - 搜索Active Directory3.1.7 域控制器之间数据的复制查看当前所连接的其他域控制器Active Directory管理中⼼ - 更改域控制器3.2 ⼀次同时新建多个⽤户账户需要指明⽤户的存储路径DN需要指定类型需要包含⽤户SamAccountName登录账户应该包含⽤户UPN登录账户可以包含其他⽤户信息⽆法设置密码由于建⽴的⽤户都没有密码,最好禁⽤账户3.2.1 利⽤csvde.exe来新建⽤户账户可以⽤来新建账户或其他类型的对象,事先将数据输⼊到纯⽂本⽂件,然后⼀次导⼊到AD DS数据库csvde -i -f c:\test\users1.txt514 表⽰禁⽤,512表⽰启⽤3.2.2 利⽤ldifde.exe来新建,修改与删除⽤户账户可以新建,删除,修改可以指定导⼊到指定域ldifde -s dc1.sayms.local -i -f c:\test\users2.txt3.2.3 利⽤dsadd.exe等程序添加,修改与删除⽤户账户dsadd.exe 新建dsmod.exe 修改dsrm.exe 删除这⾥需要建⽴批处理⽂件⾥⾯会有明⽂密码3.3 域组账户组账户也有唯⼀的安全标识符(security identifier SID)3.3.1 域内的组类型安全组 security group 可以被⽤来分配权限,例如指定安全组对⽂件具备读取的权限,也可以⽤在和安全⽆关的⼯作上发布组 distribution group 被⽤在与安全(权限设置)⽆关的⼯作上3.3.2 组的作⽤域组的范围1 本地域组 domain local group主要是被⽤来分配对其所属域内资源的访问权限2 全局组 global group主要是⽤来组织多个即将被赋予相同权限的⽤户3 通⽤组 universal group可以在所有域内被设置访问权限,以便访问所有域内的资源3.3.3 域组的创建与管理1 组的新建,删除,重命名2 添加组的成员3.3.4 AD DS内置的组1 内置的本地域组Account Operators默认可以在普通容器和组织单位内新建/删除/修改⽤户,组,计算机Administrators对所有域控有最⼤控制权,包含Administrator,全局组Domain Admins 通⽤组 Enterprise AdminsBackup Operators可以通过Windows Server Backup⼯具备份和还原域控内的⽂件,也可以将域控关机Guests默认为Guest和全局组Domain GuestsNetwork Configuration Operators可在域控执⾏常规⽹络配置⼯作,例如改ipPerformance Monitor Users可监控域控的⼯作性能Pre-Windows 2000 Compatible Access可读取AD DS域内所有⽤户和组账户,默认成员为特殊组Authenticated UsersPrint Operators可以管理域控上的打印机,也可以将域控关机Remote Desktop UsersServer Operators可以备份或还原域控内的⽂件,锁定与解锁域控,格式化域控硬盘,更改域控时间,将域控关机Users只有基本权限,例如执⾏应⽤程序,默认成员为全局组Domain Users2 内置的全局组内置的全局组本⾝没有权限,可以将其加⼊到具备权限的本地域组或另外分配权限,这些内置全局组位于Users容器内Domain Admins域成员计算机会⾃动将此组加⼊其本地组Administrators内Domain ComputersDomain ControllerDomain Users域成员计算机会⾃动将此组加⼊其本地组Users内Domain Guests3 内置的通⽤组Enterprise Admins只存在于林根域,有权管理林内所有域Schema Admins只存在于林根域,具备管理架构的权限3.3.5 特殊组账户Everyone任何⽤户都属于这个组Authenticated Users任何利⽤有效⽤户账户登录此计算机的⽤户Interactive任何在本地登录的⽤户⾼Network任何通过⽹络登录的⽤户Anonymous Logon任何未利⽤有效普通⽤户账户登录的⽤户Dialup任何eying拨接⽅式连接的⽤户3.4 组的使⽤原则A user AccountG Global groupDL Domain Local groupU Universal groupP Permission3.4.1 A G DL P原则3.4.2 A G G DL P原则3.4.3 A G U DL P原则3.4.4 A G G U DL P原则。
windows 2016 域 概念
windows 2016 域概念
Windows Server 2016域是指在Windows Server 2016操作系统上创建的一组互联的计算机网络。
域提供了一种安全的方式来管理和组织计算机和用户,在域中可以进行以下操作:
1. 用户和组管理:域允许管理员集中管理用户和组的帐户,包括创建、删除和修改用户和组帐户,设置访问权限等。
2. 认证和授权:域提供了认证和授权机制,确保只有经过验证的用户才能访问网络资源,并根据其权限级别来授权访问。
3. 资源共享:域允许管理员共享文件、文件夹、打印机等资源,并根据用户权限设置访问控制,确保只有授权用户能够访问共享资源。
4. 安全性:域提供了一种安全的方式来保护网络,并可以实施安全策略、加密通信等措施,保护网络免受恶意攻击和数据泄露。
5. 集中管理:域允许管理员集中管理域中的计算机,可以远程管理计算机、部署更新和软件、监视计算机的状态等。
通过使用域,组织可以实现更高效、更安全的网络管理和资源共享,提高用户和管理员的生产力,并降低维护和管理成本。
6域用户和组的建立和管理
◇.不支持通用组。 ◇.只有本地组可以包含全局组,而且是单一的嵌套,不支持其它的 嵌套,例:不支持将全局组包含到其他全局组内。
本机模式:此模式中,所有的域控制器必须都是Windows2000计算机, 本机模式:此模式中,所有的域控制器必须都是Windows2000计算机, 其他成员可以包含WindowsNT系统。特点 其他成员可以包含WindowsNT系统。特点: 特点:
管理工具— 管理工具—Active Directory 用户和计算机—展开域名— 用户和计算机—展开域名— Builtin。 Builtin。
Administrator:具备系统管理员的权限,拥有整个域最大的控制 Administrator:具备系统管理员的权限,拥有整个域最大的控制 权。默认包含内置Administrator, 权。默认包含内置Administrator,Domain Admin全局组, Admin全局组, Enterprise Admin全局组。 Admin全局组。 Server Operators:此组员拥有管理域控制器的权利。 Operators:此组员拥有管理域控制器的权利。 Account Operators:此组员拥有管理域内帐号和组的权利。 Operators:此组员拥有管理域内帐号和组的权利。 Printer Operators:此组员管理域控制器上的共享打印机,也可 Operators:此组员管理域控制器上的共享打印机,也可 以将域控制器关机(shutdown) 以将域控制器关机(shutdown)。 Backup Operators:此组员用来备份和还原域控制器内的数据, Operators:此组员用来备份和还原域控制器内的数据, 也可以将域控制器关机(shutdown) 也可以将域控制器关机(shutdown)。 Users:给此组指派适当的权利,以便让此组中的用户访问域中资 Users:给此组指派适当的权利,以便让此组中的用户访问域中资 源。
第3章_Windows_Server_2019域及其帐户管理2
三、构建域林
在各个域中分别安装域控制器,在建立新域树的第一台 域控制器时应选择:
域控制器类型 新域的域控制器
域类型 在现有的林中的域树
域林中各根域的域名之 间不需要相关联。
linite.local
根域A
come
根域E
sales.linite.local
子域B
说明:域间的信任关系一般是在建立域时创建。如果 想要建立一些特殊的信任关系,可以先建立彼此独立 的域,然后在域控制器上使用“新建信任向导”设置 域间的信任类型。
如果该文件夹发布到域中了,则该文件夹既可以用域的 方式访问,也可以用工作组的方式访问。
三、域用户帐户
域用户帐户在域控制器的活动目录中创建和管理。
在系统内部,域用户账户用SID区分。
一个域用户账户的权利和权限通常取决于它所在的组。一 个域用户账户可同时属于多个组,其权限为各组权限的叠 加。
域用户帐户只存在于域控制器中,各成员计算机中只有其 本地用户帐户。
DNS服务器将计算机A的 名字解析为IP地址,并将 IP地址回送给人员B。
人员B利用IP地址访问计 算机A。
五、域的其它组成部分
DHCP服务器:用于为域中的各成员计算机分配IP地址等 配置信息。如果域中的计算机都采用手工配置IP地址,则 可以不需要DHCP服务器。
域用户帐户:用于域使用者的身份验证,只有拥有了域用 户帐户的人员才能登录到域。
设置“共享的系统卷”的位置:这个文件夹必须设置在 NTFS分区内。
选择或安装DNS服务器:可以在本机上安装DNS服务器, 也可以选择自己安装DNS服务器。
权限设置:如果网络中有旧版本的域控制器,要选择与其 对应的兼容性权限。
设置还原模式下的管理员密码:还原模式是域控制器的安 全模式,可用于修复活动目录数据库。
[第5单元]用户与组的管理
![[第5单元]用户与组的管理](https://img.taocdn.com/s3/m/1a4102f10242a8956bece470.png)
根据组的作用范围,Windows Server 2008域内的组分为通用组、 全局组和本地域组,这些组的特性说明如下。 1、通用组:通用组可以指派所有域中的访问权限,以便访问每个 域内的资源。具有如下的特性: 可以访问任何一个域内的资源, 成员能够包含整个域目录林中任何一个域内的用户、通用组、全 局组,但无法包含任何一个域内的本地域组。 2、全局组:全局组主要用来组织用户,即可以将多个即将被赋予 相同权限的用户账户加入到同一个全局组中。具有如下的特性: 可以访问任何一个域内的资源 成员只能包含与该组相同域中的用户和其他全局组。 3、本地域组:本地域组主要被用来指派在其所属域内的访问权限, 以便可以访问该域内的资源。具有如下的特性: 只能访问同一域内的资源,无法访问其他不同域内的资源。 成员能够包含任何一个域内的用户、通用组、全局组以及同一个 域内的域本地组,但无法包含其他域内的域本地组。
Windows Server 2008系统是一个多用户多任务的分时操作系统, 任何一个要使用系统资源的用户,都必须首先向管理员申请一个账号, 然后以这个账号的身份进入系统。一方面可以帮助管理员对使用系统 的用户进行跟踪,并控制他们对系统资源的访问,另一方面也可以利 用组账户帮助管理员简化操作的复杂程度,降低管理的难度。
有个用户之后,为了简化网络的管理工作,Windows Server 2008 中提供了用户组的概念。用户组就是指具有相同或者相似特性的用户 集合,我们可以把组看作一个班级,用户便是班级里的学生。当要给 一批用户分配同一个权限时,就可以将这些用户都归到一个组中,只 要给这个组分配此权限,组内的用户就都会拥有此权限。就好像给一 个班级发了一个通知,班级内的所有学生都会收到这个通知一样,组 是为了方便管理用户的权限而设计的。 组是指本地计算机或Active Directory中的对象,包括用户、联 系人、计算机和其它组。在Windows Server 2008中,通过组来管理用 户和计算机对共享资源的访问。如果赋予某个组访问某个资源的权限, 这个组的用户都会自动拥有该权限。例如,网络部的员工可能需要访 问所有与网络相关的资源,这时不用逐个向该部门的员工授予对这些 资源的访问权限,而是可以使员工成为网络部的成员,以使用户自动 获得该组的权限。如果某个用户日后调往另一部门,只需将该用户从 组中删除,所有访问权限即会随之撤销。与逐个撤销对各资源的访问 权限相比,该技术比较容易实现。
WINDOWS的用户和用户组说明
一、WINDOWS的用户和用户组说明 1、基本用户组 Administrators 属于该administators本地组内的用户,都具备系统管理员的权限,它们拥有对这台计算机最大的控制权限,可以执行整台计算机的管理任务。
内置的系统管理员账号Administrator就是本地组的成员,而且无法将它从该组删除。
如果这台计算机已加入域,则域的Domain Admins会自动地加入到该计算机的Administrators组内。
也就是说,域上的系统管理员在这台计算机上也具备着系统管理员的权限。
Backup OPerators 在该组内的成员,不论它们是否有权访问这台计算机中的文件夹或文件,都可以通过“开始”-“所有程序”-“附件”-“系统工具”-“备份”的途径,备份与还原这些文件夹与文件。
Guests 该组是提供没有用户帐户,但是需要访问本地计算机内资源的用户使用,该组的成员无法永久地改变其桌面的工作环境。
该组最常见的默认成员为用户帐号Guest。
Network Configuration Operators 该组内的用户可以在客户端执行一般的网络设置任务,例如更改IP地址,但是不可以安装/删除驱动程序与服务,也不可以执行与网络服务器设置有关的任务,例如DNS服务器、DHCP服务器的设置。
Power Users 该组内的用户具备比Users组更多的权利,但是比Administrators组拥有的权利更少一些,例如,可以: 创建、删除、更改本地用户帐户 创建、删除、管理本地计算机内的共享文件夹与共享打印机 自定义系统设置,例如更改计算机时间、关闭计算机等 但是不可以更改Administrators与Backup Operators、无法夺取文件的所有权、无法备份与还原文件、无法安装删除与删除设备驱动程序、无法管理安全与审核日志。
Remote Desktop Users 该组的成员可以通过远程计算机登录,例如,利用终端服务器从远程计算机登录。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
域用户帐户和组的管理域用户帐户和组的管理(以下操作均在Windows Server 2003系统中实现,客户端也是使用2003来模拟,和实际中客户端使用的XP操作系统可能会有所不同)很多企业都会用到域环境来实现管理,域的实际应用非常广泛。
下面我们讲解在域环境下如何管理用户帐户和组。
在讲解过程中我们会涉及到用户帐户、计算机帐户、组和OU等对象。
一、域用户帐户的特点和本地用户帐户不同,域用户帐户保存在活动目录中。
由于所有的用户帐户都集中保存在活动目录中,所以使得集中管理变成可能。
同时,一个域用户帐户可以在域中的任何一台计算机上登录(域控制器除外),用户可以不再使用固定的计算机。
当计算机出现故障时,用户可以使用域用户帐户登录到另一台计算机上继续工作,这样也使帐号的管理变得简单。
附注:在工作组环境中,所有计算机是独立的,要让用户能够登录到计算机并使用计算机的资源,必须为每个用户建立本地用户帐户。
同时,为了方便实现用户对网络资源的访问权限,我们可以使用本地组来实现。
本地用户帐户和组主要用在本地计算机。
本地用户帐户只能登录到本地计算机;本地用户帐户保存在本地计算机;本地用户若需要访问其它计算机,需要在其它计算机上有相应的用户帐户以便进行身份验证。
二、管理工具要对域中的用户和计算机等对象进行管理,我们要使用“Active Directory用户和计算机”管理工具。
该工具在我们安装了活动目录后会被添加到管理工具中,我们可以在管理工具里找到它。
打开后如图所示,在窗口的左边,可以看到我们创建的域。
按左边的“+”号展开该域展开后可以找到“users”管理单元,点击后在右边就可以看到一些内置的用户帐号和组。
当系统安装了活动目录后,原来的本地用户和组帐号都没有了,这些对象会变成域用户帐号和域本地组,并被放在该“users”管理单元内。
三、OU(组织单位)在域中有很多的对象,包括用户帐户、组、共享文件夹和共享打印机等。
这些对象都是集中存储在活动目录中并使用“AD用户与计算机”管理工具来进行管理。
但如果这些大量的对象都放在“users”管理单元内进行管理,会带来一定的不便,例如不便于查找、难于设置策略等。
所以为了更好的组织和管理这些对象,引入的“OU”的概念。
OU又叫组织单位,它是一个容器,主要的作用就是用来组织和管理这些对象的。
为了便于日后的管理,我们一定的设计好OU的结构。
OU结构的划分有几种不同的方法,例如:按对象类型来划分。
该划分方法是创建几个OU,不同的OU放不同的对象,比如一个OU放用户帐户,另一个OU放计算机帐户等;按企业的组织结构来划分。
方法是为不同的部门创建不同的OU,把属于每个部门的对象都放在一个OU里,比如财务部的OU放财务部的用户帐户、财务部的计算机帐户和组等,而业务部的OU放业务部的用户帐户、业务部的计算机帐户和组等。
这是一种常用的方法;按地区来划分。
该方法主要用在有分支机构的企业,分别为不同的分支机构创建不同的OU,然后把属于该分支机构的所有对象都放在相应的OU里。
比如一个企业有广州总公司、上海分公司和北京分公司,那么就分别为这三个分公司建立三个OU,一个OU放广州总公司的对象,一个放上海分公司的对象,还有一个放北京分公司的对象;混合划分方法。
该方法是按组织结构划分和按地区划分两种方法的结合,先为不同分支机构创建OU,再在不同的分支机构的OU里按组织结构来创建子OU。
这也是一种常用的方法。
要创建一个OU,在“AD用户和计算机”管理工具里右击域名,在弹出的快捷菜单中选择新建,在子菜单中选择“组织单位”在“新建对象 - 组织单位”对话框中输入组织单位的名称,例如:XXX公司按“确定”后完成了一个OU的创建要在该OU里创建子OU,右击该OU,同样在弹出的快捷菜单中选择新建组织单位,分别为不同的部门创建不同的OU,完成后如下图所示四、为用户创建帐户要在OU里为域用户创建用户帐户,右击一个OU,在弹出的快捷菜单中选择“新建”,并在子菜单中选择“用户”在出现的“新建对象 - 用户”对话框中,为用户分别输入“姓”和“名”,并在“用户登录名”中输入用户用来登录系统的登录名,该登录名和电子邮件的地址非常象,如:。
前面的姓名是用户的显示名,显示名在同一个OU里必须是唯一的,而用户的登录名在同一个域里必须是唯一的。
按下一步后进入另一个对话框,该对话框要求为域用户输入一个初始密码,并确保勾选“用户下次登录时须更改密码”选项。
下一步后按“完成”按钮完成用户帐户的创建。
五、限制用户能登录的计算机在域环境下,一个域用户帐户默认是可以登录到域中任意一台计算机的(DC除外),这样为用户提供了方便。
因为假设用户正在使用的计算机出现故障了,需要维修,那么该用户可以用他自己的域用户帐户在其它计算机上登录域,继续完成自己未完成的工作,继续使用域中的资源而不会受到影响,但工作组却没有提供这样的方便。
但是如果我们需要限制用户只能使用某些计算机来登录域,那么可以通过设置用户帐户的属性来实现。
打开要进行限制的用户帐户的属性,找到“帐户”选项卡,点击“登录到”按钮在打开的“登录工作站”对话框中,可以看到默认的设置是用户可以登录到“所有计算机”,要进行限制,选择“下列计算机”单选按钮,并在“计算机名”文本框内输入只允许用户在其上登录的计算机名并点击“添加”按钮。
如果有必要,可以添加多台计算机。
完成后,该用户只能在指定的计算机上登录,而不能在未指定的计算机上登录到域。
六、限制用户登录域的时间在默认设置下,域用户可以在任何时间登录到域,但如果想限制用户只能在某些时间才允许登录到域,而其它时间不能登录到域,比如说公司规定只有在星期一到五的8:00到18:00这段时间可以登录到域,而其它时间不能登录到域,则可以通过设置用户帐户的属性来实现。
打开用户帐户的属性对话框,找到“帐户”选项卡,点击“登录时间...”按钮在打开的“XX的登录时间”对话框中,选定特定的时间段,并选择“允许登录”或“拒绝登录”,确定。
七、设置漫游配置文件1、什么是配置文件:配置文件是用于保存特定用户工作环境的特殊文件(一组文件)。
用户工作环境包括:用户的桌面设置、应用程序设置、用户的“我的文档”、收藏夹、开始菜单、临时文件等设置。
每个用户都有属于自己的配置文件。
当一个用户在一台计算机上登录后,默认在计算机的C:盘下有一个“Documents and Settings”文件夹,该文件夹用于保存用户的配置文件,每个用户都在该文件夹里有一个和自己用户名同名的子文件夹,该子文件夹保存的就是该用户的配置文件。
2、为什么要用漫游配置文件:如果用户需要经常在不同的计算机上登录,那么每在一台计算机登录,该计算机就会为该用户建立一个配置文件,多台计算机意味着该用户有多个配置文件,这样可能会出现这样一种情况:用户“U1”在计算机“C1”登录,然后在“我的文档”里保存了一个文件“F1”,然后该用户注销后在计算机“C2”登录,可是当用户打开“我的文档”时却找不到他的文件“F1”。
这是因为在不同的计算机上用户的配置文件并不一致,该用户只能回到计算机“C1”的登录才可以找回自己的文件“F1”。
另外,用户在“桌面”或“我的文档”里保存的所有文件实际上是保存在本地计算机里,数据的备份是需要由用户自己来完成的。
然而,并不是所有用户都知道“什么是备份”?“如何备份”?3、漫游配置文件的优点:漫游配置文件是指把用户的配置文件集中存放在网络中的某个专用服务器中(文件服务器),当用户登录时,系统会自动去寻找该服务器,并找到属于该用户的配置文件,然后加载。
这时,无论用户在什么地方登录,该用户都可以使用同一个配置文件,不会出现上述的问题,在任何一台计算机登录所获得的工作环境都是一样的。
同时,由于所有用户的配置文件集中保存在同一台服务器中,所以也方便了管理员进行集中的备份,保证数据的安全。
4、为用户设置漫游配置文件首先要找一台专用的文件服务器,在该服务器中建立一个文件夹并共享,共享权限设置everyone写入权限。
然后选择一个用户,打开属性对话框,找到“配置文件”选项卡。
在“配置文件路径”中填入上面建立的共享文件夹的UNC路径,并在该路径后跟该用户的用户名,以便于把该用户的配置文件存放在以用户名命名的子文件夹里。
确定。
这时该用户在域中任一台计算机上登录,该用户的工作环境都是一样的。
八、用户主文件夹用户主文件夹是用于给用户保存文件的主要的地方。
用户可以在“桌面”、“我的文档”和本地磁盘中保存数据,但当用户经常需要在不同的计算机上登录时,用户的文件可能会分散保存在不同的地方,对用户使用造成不便,同时也不利于对数据进行备份。
当用户计算机出现故障时,也有可能会造成用户数据的丢失。
主文件夹是在一台专用的服务器中,类似于上面的“漫游配置文件”中的文件夹,用户的所有数据都可以保存在主文件夹里,好处是用户在任何一台计算机上登录都可以找到自己的文件,不用担心用户计算机的故障会造成数据的丢失,方便管理员对数据进行集中备份等。
为用户设置主文件夹的方法和设置漫游配置文件的方法差不多,也要先在一台专用的文件服务器上建立一个共享文件夹,并开放everyone写入权限,然后在用户属性对话框中找到“配置文件”选项卡,选中“连接”,选择一个驱动器符号,在“到:”处写入共享文件夹的路径,并在该路径后加上该用户的用户名。
确定,完成。
当该用户登录后,在“我的电脑”里会多出一个“网络驱动器”,该网络驱动器就是刚才我们建立的用户主文件夹。
用户把自己的文件保存到该网络驱动器里时,实际上是保存在那台专用的文件服务器中。
九、组的管理在域中,组的类型有两种,分别是“安全组”和“通讯组”。
安全组即可以设置权限,也可以收发电子邮件;而通讯组不能设置权限,只能收发电子邮件。
根据组的作用范围不同,组又分为“本地域组”、“全局组”和“通用组”三种。
本地域组:作用范围是该组所在的域内,可以包含的成员包括:所有域的用户帐户、全局组、通用组,以及本域的域本地组。
全局组:作用范围是所有受信任的域,可以包含的成员有:本域的用户帐户和全局组。
通用组:作用范围是所有受信任的域,可以包含的成员有:所有域的用户帐户、全局组和通用组。
要新建组,右击某个OU,选择“新建”->“组”在出现的对话框中输入组的名称,选择组的类型和作用范围,确定即可。
(注:只有域功能模式在2000或2003模式才能新建通用组)要提升域功能级别,右击域名,在出现的菜单中选择“提升域功能级别”在弹出的“提升域功能级别”对话框中,可以看到当前的域功能级别,然后在下面的下拉列表中选择一个合适的域功能级别,确定。
(域功能级别提升后不能返回,是单向的操作)创建了组以后,就可以把相应的用户帐号或某些组加入到组里以方便赋予权限。