用户账户与组的管理.ppt

,第5章 用户账户与组的管理,学习要点,管理本地用户,管理本地组,管理域用户和组,用户账户与组的管理,一、 管理本地用户(lusrmgr.msc),账户 账户是计算机的基本安全对象，Windows Server 2003包含了两种账户：用户账户和组账户。,保证Windows 安全性的主要方法有以下4点： 严格定义各种账户权限； 使用组规划用户权限，简化账户权限的管理； 禁止非法计算机连入网络； 应用本地安全策略和组策略。,用户账户与组的管理,管理本地用户,用户账户是计算机的基本安全组件，计算机通过用户账户来辨别用户身份，让有使用权限的人登录计算机，访问本地计算机资源或从网络访问这台计算机的共享资源。指派不同用户不同的权限，可以让用户执行不同的计算机管理任务。,1.1 用户账户的概述,5.1 管理本地用户,本地用户账户仅允许用户登录访问创建该账户计算机。,5.1.2 本地用户账户,Windows Server 2003默认只有： （1）Administrator账户 （2）Guest账户 Administrator账户可以执行计算机管理的所有操作；而Guest账户是为临时访问用户而设置的，默认是禁用的。,5.1 管理本地用户,系统指派权利、授权资源访问权限等都需要使用安全标识符。当删除一个用户账户后，重新创建名称相同的账户并不能获得先前账户的权利。用户登录后，可以在命令提示符状态下输入“whoami/logonid”命令查询当前用户账户的安全标识符。,5.1.2 本地用户账户,5.1 管理本地用户,遵循以下的规则和约定可以简化账户创建后的管理工作：,5.1.3 本地用户账户的创建,规划新的用户账户,（1）命名约定,（2）密码原则,5.1 管理本地用户,创建的步骤如下: （1）打开“开始”“管理工具”“计算机管理”。 （2）展开“本地用户和组”，在“用户”目录上单击鼠标右键，选择“新用户”命令。,5.1.3 本地用户账户的创建,2.创建本地用户账户,（3）打开 “新用户” 对话框后，输入用户名、全名和描述，并且输入密码。,5.1 管理本地用户,5.1.3 本地用户账户的创建,2.创建本地用户账户,5.1 管理本地用户,2“隶属于”选项卡,“常规”选项卡,5.1.4 设置本地用户账户的属性,3“配置文件”选项卡,（1）用户配置文件。用户配置文件有以下几种类型： 默认用户配置文件。,5.1 管理本地用户,（2）用户主文件夹。,5.1.4 设置本地用户账户的属性, 强制用户配置文件。 “Ntuser.dat”改成“Ntuser.man”,（3）登录脚本。%SystemRoot%System32ReplImportScripts, 本地用户配置文件。 漫游用户配置文件。,5.1 管理本地用户,5.1.4 设置本地用户账户的属性,5.1 管理本地用户,5.1.4 设置本地用户账户的属性,5.1 管理本地用户,当用户不再需要使用某个用户账户时，可以将其删除。删除用户账户会导致与该账户有关的所有信息的遗失。,5.1.5 删除本地用户账户,一旦用户账户被删除,这些信息也就跟着消失了。重新创建一个名称相同的用户账户，也不能获得原先用户账户的权限。,5.1 管理本地用户,用命令行方式创建一个新用户： net user username password /add,5.1.6 使用命令行创建用户,用命令行方式修改密码： net user username password,5.2.1 本地组概述,常用的默认组包括： Administrators,Backup Operators Guests,Power Users,Print Operators Remote Desktop Users Users,第5章 用户账户与组的管理,以下几种特殊组： Anonymous Logon,5.2 管理本地用户,5.2.1 本地组概述,Anonymous Logon Everyone Network,Network组的成员： Interactive,1.Windows方式 打开“计算机管理”管理单元。右击“组”文件夹，从快捷菜单中选择“新建组”。在“新建组”对话框中，输入组名和描述，然后单击“添加”向组中添加成员。,5.2 管理本地用户,5.2.2 创建本地组,2.命令方式创建一个组,命令格式为： net localgroup groupname /add,5.2 管理本地用户,5.2.2 创建本地组,1.Windows操作： 1.右击“我的电脑”，选择“管理”，打开“计算机管理”管理单元。,5.2 管理本地用户,5.2.3 为本地组添加成员,2. 在左窗格中展开“本地用户和组”对象;选择“组”对象，显示本地组。 3.双击要添加成员的组,打开组的“属性”对话框。 4.单击“添加”按钮，选择要加入的用户即可。、,2.使用命令行的话，可以使用命令： net localgroup groupname username /add,本地用户账户DEMO,（1）DEMO利用注册表（SAM） A：克隆管理员用户 B: 隐藏账户,第5章 用户账户与组的管理,分类： （1）用户账户 提供对资源的访问和单点登录 （2）组账户 帮助简化管理 （3）计算机账户 启用对资源的验证和审核,5.3管理域用户和组,1. 域用户账户 安装完活动目录，就已经添加了一些内置域账户，它们位于Users容器中，如： Administrator 、 Guest Administrator账户是以下组的成员： Administrators、Domain Admins、Enterprise Admins、Group Policy Creator Owners和Schema Admins,5.3 管理域用户和组,5.3.1 管理域用户和计算机账户,域用户账号,域用户账户用来使用户能够登录到域或其他计算机中，从而获得对网络资源的访问权。经常访问网络的用户都应拥有网络惟一的用户账户。如果网络中有多个域控制器，可以在任何域控制器上创建新的用户账户，因为这些域控制器都是对等的。当在一个域控制器上创建新的用户账户时，这个域控制器会把信息复制到其他域控制器，从而确保该用户可以登录并访问任何一个域控制器。,内置用户账号,Windows Server 2003自动创建若干个用户账号，并且赋予了相应的权限，称为内置账号。内置用户账号不允许被删除。 最常用的两个内置账号是Administrator和Guest。 使用内置Administrator（管理员）账号管理计算机和域配置 。 Guest（来客）账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。,创建域用户账号,“管理工具”“Active Directory用户和计算机”,新建对象用户,输入密码,强密码的特征,长度至少有7个字符。 不包含用户名、真实姓名或公司名称。 不包含完整的字典词汇。 包含全部下列4组字符类型：大写字母（A、B、C）、小写字母（a、b、c）、数字（0、l、2、3、4、5、6、7、8、9）、键盘上的符号（键盘上所有未定义为字母和数字的字符，如!#$%,.）。 账户已禁用。防止用户使用选定的账户登录，当用户暂时离开企业时，可以使用该选项，以便日后迅速启用。也可以禁用一个可能有威胁的账户，当排除问题之后，再重新启用该账户。许多管理员将禁用的账户用做公用用户账户的模板。以后拟再使用该账户时，可以在该账户上右击，并在弹出的快捷菜单中选择“启用账户”选项即可。,密码策略,用户何时需要重置密码 忘记密码时； 重置密码后，用户将不能访问某些资源：使用用户公钥加密的EMAIL 本地保存的IE密码 用户加密的文件,设置用户账号属性,1.设置个人属性常规、地址选项卡,设置个人属性电话、单位选项卡,2. 设置账号属性,3.设置登录时间,4. 设置用户可登录的计算机,维护用户账号,1. 禁用、启用、重命名和删除用户账号,2. 重设密码,5.3 管理域用户和组,5.3.2 组对象的管理 组的种类及作用域 1. 组的种类 组在Windows Server 2003中分为安全组和通信组。 1）安全组 安全组列在定义资源和对象权限的选择性访问控制表（DACL）中，它将用户、计算机和其他组对象作为一个可管理的单位。 2）通信组 通信组不列在定义资源和对象权限的选择性访问控制表（DACL）中，它不采用安全机制。,5.3.2 组对象的管理,2. 组的作用域 组在域树或域林中的应用范围称为组的作用域，它有三种类型： 1）通用组 有通用作用域的组称为通用组。 2）全局组 有全局作用域的组称为全局组。 3）本地组 有本地作用域的组称为本地组。,1. 创建组 （1）打开“Active Directory用户和计算机”管理工具，选择要新建的组所属的域、容器或组织单位。以在“Users”中创建组为例，用右键单击“Users”，选择“新建”，再单击“组” 。 （2）这时系统弹出“新建对象组”窗口。输入组名，并根据需要选择组作用域和组类型。 （3）按“确定”按钮，完成组的创建，便可在“Active Directory用户和计算机”管理工具中看见我们新创建的组。,用户组的创建与管理,创建组,2. 设置组 可以对刚才创建的组进行移动该组到其他容器、向全组发送邮件、删除、重命名等操作，如图所示。,用户组的创建与管理,1）设置组成员 选择“属性”，系统弹出“Check属性”窗口，再选择“成员”选项卡，如图所示。,用户组的创建与管理,2）设置组隶属于 选择“属性”，系统弹出“Check属性”窗口，再选择“隶属于”选项卡，如图所示。选择该组所属的其他安全组，该设置可确定该组的权限。,用户组的创建与管理,3）移动组 选择“移动”，系统会出现如图所示窗口。再选择要移入的容器，最后按“确定”按钮便可完成移动。,用户组的创建与管理,5.3.3 计算机账户的管理 在域中创建计算机账户 在域中每台计算机的账户都是惟一的，可以通过“Active Directory用户和计算机”管理工具来创建计算机用户 （1）打开“Active Directory用户和计算机”管理工具，用右键单击窗口右边的“Computer”（也可以选择其他容器）进行添加计算机账户，单击“计算机”，弹出一个“新建对象计算机”窗口。,5.3 管理域用户和组,5.3.3 计算机账户的管理,（2）在窗口中填入该域的计算机名，所输入的计算机名必须在客户机中存在。按“下一步”按钮，系统会弹出一个“管理”窗口。 （3）按“下一步”按钮，出现提示此计算机对象将被创建窗口。 （4）按“完成”按钮，“Computer”容器便会显示刚刚新建的计算机对象，表示已经完成该计算机账户的创建。,5.3.2 计算机账户属性的设置 （1）用右键单击刚才所新建的计算机账户，选择“属性”。 （2）在计算机账户属性窗口中可以分别对