用户账户与组的管理ppt课件

1、Windows Server 2003 网络操作系统网络操作系统第5章 用户账户与组的管理学习要点学习要点管理本地用户管理本地用户管理本地组管理本地组管理域用户和组管理域用户和组用户账户与组的管理Windows Server 2003 网络操作系统网络操作系统一、一、 管理本地用户管理本地用户(lusrmgr.msc)(lusrmgr.msc) 账户账户 账户是计算机的基本安全对象，账户是计算机的基本安全对象，Windows Server 2019Windows Server 2019包包含了两种账户：用户账户和组账户。含了两种账户：用户账户和组账户。 保证保证Windows Windows

2、安全性的主要方法有以下安全性的主要方法有以下4 4点：点： 严格定义各种账户权限；严格定义各种账户权限； 使用组规划用户权限，简化账户权限的管理；使用组规划用户权限，简化账户权限的管理； 禁止非法计算机连入网络；禁止非法计算机连入网络； 应用本地安全策略和组策略。应用本地安全策略和组策略。 用户账户与组的管理Windows Server 2003 网络操作系统网络操作系统管理本地用户 用户账户是计算机的基本安全组件，计用户账户是计算机的基本安全组件，计算机通过用户账户来辨别用户身份，让有使算机通过用户账户来辨别用户身份，让有使用权限的人登录计算机，访问本地计算机资用权限的人登录计算机，访问本地

3、计算机资源或从网络访问这台计算机的共享资源。指源或从网络访问这台计算机的共享资源。指派不同用户不同的权限，可以让用户执行不派不同用户不同的权限，可以让用户执行不同的计算机管理任务。同的计算机管理任务。1.1 用户账户的概述用户账户的概述Windows Server 2003 网络操作系统网络操作系统5.1 管理本地用户 本地用户账户仅允许用户登录访问创建该本地用户账户仅允许用户登录访问创建该账户计算机。账户计算机。5.1.2 本地用户账户本地用户账户 Windows Server 2019 Windows Server 2019默认只有：默认只有：（1 1AdministratorAdmini

4、strator账户账户（2 2GuestGuest账户账户 Administrator Administrator账户可以执行计算机管理的所账户可以执行计算机管理的所有操作；而有操作；而GuestGuest账户是为临时访问用户而设置账户是为临时访问用户而设置的，默认是禁用的。的，默认是禁用的。Windows Server 2003 网络操作系统网络操作系统5.1 管理本地用户 系统指派权利、授权资源访问权限等都需要系统指派权利、授权资源访问权限等都需要使用安全标识符。当删除一个用户账户后，重使用安全标识符。当删除一个用户账户后，重新创建名称相同的账户并不能获得先前账户的新创建名称相同的账户并不

5、能获得先前账户的权利。用户登录后，可以在命令提示符状态下权利。用户登录后，可以在命令提示符状态下输入输入“whoami/logonid“whoami/logonid命令查询当前用户账命令查询当前用户账户的安全标识符。户的安全标识符。5.1.2 本地用户账户本地用户账户Windows Server 2003 网络操作系统网络操作系统5.1 管理本地用户 遵循以下的规则和约定可以简化账户创建遵循以下的规则和约定可以简化账户创建后的管理工作：后的管理工作：5.1.3 本地用户账户的创建本地用户账户的创建 规划新的用户账户规划新的用户账户 （1 1命名约定命名约定 （2 2密码原则密码原则Window

6、s Server 2003 网络操作系统网络操作系统5.1 管理本地用户创建的步骤如下创建的步骤如下: : （1 1翻开翻开“开场开场”“”“管理工管理工具具”“”“计算机管理计算机管理”。 （2 2展开展开“本地用户和组本地用户和组”，在，在“用用户户目录上单击鼠标右键，选择目录上单击鼠标右键，选择“新用户新用户命令。命令。5.1.3 本地用户账户的创建本地用户账户的创建2.2.创建本地用户账户创建本地用户账户 （3 3翻开翻开 “ “新用户新用户” ” 对话框后，输入用对话框后，输入用户名、全名和描述，并且输入密码。户名、全名和描述，并且输入密码。Windows Server 2003 网

7、络操作系统网络操作系统5.1 管理本地用户5.1.3 本地用户账户的创建本地用户账户的创建2.2.创建本地用户账户创建本地用户账户Windows Server 2003 网络操作系统网络操作系统5.1 管理本地用户2 2“隶属于隶属于选项卡选项卡 “ “常规常规选项卡选项卡5.1.4 设置本地用户账户的属性设置本地用户账户的属性3 3“配置文件配置文件选项卡选项卡 （1 1用户配置文件。用户用户配置文件。用户配置文件有以下几种类型：配置文件有以下几种类型： 默认用户配置文件。默认用户配置文件。Windows Server 2003 网络操作系统网络操作系统5.1 管理本地用户（2 2用户主文件

8、夹。用户主文件夹。5.1.4 设置本地用户账户的属性设置本地用户账户的属性 强制用户配置文件。强制用户配置文件。“Ntuser.dat“Ntuser.dat改成改成“Ntuser.man” “Ntuser.man” （3 3登录脚本。登录脚本。%SystemRoot%System32ReplIm%SystemRoot%System32ReplImportScripts portScripts 本地用户配置文件。本地用户配置文件。 漫游用户配置文件。漫游用户配置文件。Windows Server 2003 网络操作系统网络操作系统5.1 管理本地用户5.1.4 设置本地用户账户的属性设置本地用户

9、账户的属性Windows Server 2003 网络操作系统网络操作系统5.1 管理本地用户5.1.4 设置本地用户账户的属性设置本地用户账户的属性Windows Server 2003 网络操作系统网络操作系统5.1 管理本地用户 当用户不再需要使用某个用户账户时，可以当用户不再需要使用某个用户账户时，可以将其删除。删除用户账户会导致与该账户有关的将其删除。删除用户账户会导致与该账户有关的所有信息的遗失。所有信息的遗失。5.1.5 删除本地用户账户删除本地用户账户 一旦用户账户被删除一旦用户账户被删除, ,这些信息也就跟着消这些信息也就跟着消失了。重新创建一个名称相同的用户账户，也不失了。

10、重新创建一个名称相同的用户账户，也不能获得原先用户账户的权限。能获得原先用户账户的权限。Windows Server 2003 网络操作系统网络操作系统5.1 管理本地用户用命令行方式创建一个新用户：用命令行方式创建一个新用户： net user username password /add net user username password /add 5.1.6 使用命令行创建用户使用命令行创建用户用命令行方式修改密码：用命令行方式修改密码： net user username password net user username password Windows Server 2003

11、网络操作系统网络操作系统5.2 5.2 管理本地组管理本地组5.2.1 本地组概述本地组概述常用的默认组包括：常用的默认组包括： AdministratorsAdministrators Backup OperatorsBackup Operators GuestsGuests Power UsersPower Users Print OperatorsPrint Operators Remote Desktop UsersRemote Desktop Users UsersUsers第5章 用户账户与组的管理Windows Server 2003 网络操作系统网络操作系统以下几种特殊组：以下

12、几种特殊组： Anonymous LogonAnonymous Logon5.2 管理本地用户5.2.1 本地组概述本地组概述 Anonymous LogonAnonymous Logon EveryoneEveryone NetworkNetworkNetworkNetwork组的成员：组的成员： InteractiveInteractiveWindows Server 2003 网络操作系统网络操作系统1.Windows1.Windows方式方式 翻开翻开“计算机管理计算机管理管理单元。右击管理单元。右击“组组文件夹，从快捷菜单中选择文件夹，从快捷菜单中选择“新建组新建组”。在在“新建组新

13、建组对话框中，输入组名和描述，对话框中，输入组名和描述，然后单击然后单击“添加添加向组中添加成员。向组中添加成员。5.2 管理本地用户5.2.2 创建本地组创建本地组2.2.命令方式创建一个组命令方式创建一个组, ,命令格式为：命令格式为： net localgroup groupname /add net localgroup groupname /addWindows Server 2003 网络操作系统网络操作系统5.2 管理本地用户5.2.2 创建本地组创建本地组Windows Server 2003 网络操作系统网络操作系统1.Windows1.Windows操作：操作： 1. 1.

14、右击右击“我的电脑我的电脑”，选择，选择“管理管理”，翻开，翻开“计计算机管理算机管理管理单元。管理单元。5.2 管理本地用户5.2.3 为本地组添加成员为本地组添加成员 2. 2. 在左窗格中展开在左窗格中展开“本地用户和组本地用户和组对象对象; ;选择选择“组组对象，显示本地组。对象，显示本地组。 3. 3.双击要添加成员的组双击要添加成员的组, ,打开组的打开组的“属性属性对话对话框。框。 4. 4.单击单击“添加添加按钮，选择要加入的用户即可。、按钮，选择要加入的用户即可。、2.2.使用命令行的话，可以使用命令：使用命令行的话，可以使用命令： net localgroup groupn

15、ame username /add net localgroup groupname username /add Windows Server 2003 网络操作系统网络操作系统本地用户账户DEMO（1DEMO利用注册表利用注册表SAM） A：克隆管理员用户：克隆管理员用户 B: 隐藏账户隐藏账户 Windows Server 2003 网络操作系统网络操作系统第5章 用户账户与组的管理分类： （1用户账户 提供对资源的访问和单点登录 （2组账户 帮助简化管理 （3计算机账户 启用对资源的验证和审核5.35.3管理域用户和组管理域用户和组Windows Server 2003 网络操作系统网络

16、操作系统1. 1. 域用户账户域用户账户 安装完活动目录，就已经添加了一些内置域账户，安装完活动目录，就已经添加了一些内置域账户，它们位于它们位于UsersUsers容器中，如：容器中，如：Administrator Administrator 、 Guest Guest Administrator Administrator账户是以下组的成员：账户是以下组的成员：AdministratorsAdministrators、Domain AdminsDomain Admins、Enterprise Enterprise AdminsAdmins、Group Policy Creator Owne

17、rsGroup Policy Creator Owners和和Schema Schema AdminsAdmins 5.3 管理域用户和组 5.3.1 管理域用户和计算机账户管理域用户和计算机账户Windows Server 2003 网络操作系统网络操作系统域用户账号 域用户账户用来使用户能够登录到域或其他计域用户账户用来使用户能够登录到域或其他计算机中，从而获得对网络资源的访问权。经常访问网算机中，从而获得对网络资源的访问权。经常访问网络的用户都应拥有网络惟一的用户账户。如果网络中络的用户都应拥有网络惟一的用户账户。如果网络中有多个域控制器，可以在任何域控制器上创建新的用有多个域控制器，可

18、以在任何域控制器上创建新的用户账户，因为这些域控制器都是对等的。当在一个域户账户，因为这些域控制器都是对等的。当在一个域控制器上创建新的用户账户时，这个域控制器会把信控制器上创建新的用户账户时，这个域控制器会把信息复制到其他域控制器，从而确保该用户可以登录并息复制到其他域控制器，从而确保该用户可以登录并访问任何一个域控制器。访问任何一个域控制器。Windows Server 2003 网络操作系统网络操作系统内置用户账号Windows Server 2019Windows Server 2019自动创建若干个用户账号，自动创建若干个用户账号，并且赋予了相应的权限，称为内置账号。内置用户并且赋予

19、了相应的权限，称为内置账号。内置用户账号不允许被删除。账号不允许被删除。 最常用的两个内置账号是最常用的两个内置账号是AdministratorAdministrator和和GuestGuest。使用内置使用内置AdministratorAdministrator管理员账号管理计算管理员账号管理计算机和域配置机和域配置 。GuestGuest来客账号一般被用于在域中或计算机中来客账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。没有固定账号的用户临时访问域或计算机时使用的。 Windows Server 2003 网络操作系统网络操作系统创建域用户账号 “管理工具管理

20、工具”“Active Directory”“Active Directory用户和计算机用户和计算机” ” Windows Server 2003 网络操作系统网络操作系统新建对象用户Windows Server 2003 网络操作系统网络操作系统输入密码 Windows Server 2003 网络操作系统网络操作系统强密码的特征 长度至少有长度至少有7 7个字符。个字符。 不包含用户名、真实姓名或公司名称。不包含用户名、真实姓名或公司名称。 不包含完整的字典词汇。不包含完整的字典词汇。 包含全部下列包含全部下列4 4组字符类型：大写字母组字符类型：大写字母A A、B B、C C）、小写字母

21、）、小写字母a a、b b、c c）、数字）、数字0 0、l l、2 2、3 3、4 4、5 5、6 6、7 7、8 8、9 9）、键盘上的）、键盘上的符号键盘上所有未定义为字母和数字的字符，符号键盘上所有未定义为字母和数字的字符，如如 !#$%&!#$%&（）（）* *_ + - |/?:”;,._ + - |/?:”;,.）。）。 账户已禁用。防止用户使用选定的账户登录，当账户已禁用。防止用户使用选定的账户登录，当用户暂时离开企业时，可以使用该选项，以便日用户暂时离开企业时，可以使用该选项，以便日后迅速启用。也可以禁用一个可能有威胁的账户，后迅速启用。也可以禁用一个可能有威

22、胁的账户，当排除问题之后，再重新启用该账户。许多管理当排除问题之后，再重新启用该账户。许多管理员将禁用的账户用做公用用户账户的模板。以后员将禁用的账户用做公用用户账户的模板。以后拟再使用该账户时，可以在该账户上右击，并在拟再使用该账户时，可以在该账户上右击，并在弹出的快捷菜单中选择弹出的快捷菜单中选择“启用账户启用账户选项即可。选项即可。Windows Server 2003 网络操作系统网络操作系统密码策略用户何时需要重置密码用户何时需要重置密码 忘记密码时；忘记密码时； 重置密码后，用户将不能访问某些重置密码后，用户将不能访问某些资源：使用用户公钥加密的资源：使用用户公钥加密的EMAIL

23、本地保存的本地保存的IE密码密码 用户加密的文件用户加密的文件Windows Server 2003 网络操作系统网络操作系统设置用户账号属性Windows Server 2003 网络操作系统网络操作系统1.设置个人属性常规、地址选项卡Windows Server 2003 网络操作系统网络操作系统设置个人属性、单位选项卡Windows Server 2003 网络操作系统网络操作系统2. 设置账号属性 Windows Server 2003 网络操作系统网络操作系统3.设置登录时间Windows Server 2003 网络操作系统网络操作系统4. 设置用户可登录的计算机 Windows

24、Server 2003 网络操作系统网络操作系统维护用户账号 1. 1. 禁用、启用、重命名和删除用户账号禁用、启用、重命名和删除用户账号 Windows Server 2003 网络操作系统网络操作系统2. 重设密码Windows Server 2003 网络操作系统网络操作系统5.3 管理域用户和组 5.3.2 组对象的管理组对象的管理 组的种类及作用域组的种类及作用域 1. 组的种类组的种类 组在组在Windows Server 2019中分为安中分为安全组和通信组。全组和通信组。 1安全组安全组 安全组列在定义资源和对象权限的安全组列在定义资源和对象权限的选择性访问控制表选择性访问控制

25、表DACL中，它将用户、中，它将用户、计算机和其他组对象作为一个可管理的单位。计算机和其他组对象作为一个可管理的单位。 2通信组通信组 通信组不列在定义资源和对象权限的通信组不列在定义资源和对象权限的选择性访问控制表选择性访问控制表DACL中，它不采用中，它不采用安全机制。安全机制。Windows Server 2003 网络操作系统网络操作系统5.3.2 组对象的管理2. 组的作用域 组在域树或域林中的应用范围称为组的作用域，它有三种类型： 1通用组 有通用作用域的组称为通用组。 2全局组 有全局作用域的组称为全局组。 3本地组 有本地作用域的组称为本地组。Windows Server 20

26、03 网络操作系统网络操作系统1. 创建组 （1翻开“Active Directory用户和计算机管理工具，选择要新建的组所属的域、容器或组织单位。以在“Users中创建组为例，用右键单击“Users”，选择“新建”，再单击“组” 。 （2这时系统弹出“新建对象组窗口。输入组名，并根据需要选择组作用域和组类型。 （3按“确定按钮，完成组的创建，便可在“Active Directory用户和计算机管理工具中看见我们新创建的组。用户组的创建与管理Windows Server 2003 网络操作系统网络操作系统创建组Windows Server 2003 网络操作系统网络操作系统2. 设置组 可以对

27、刚才创建的组进行移动该组到其他容器、向全组发送邮件、删除、重命名等操作，如下图。用户组的创建与管理Windows Server 2003 网络操作系统网络操作系统1设置组成员设置组成员 选择选择“属性属性”，系统弹出，系统弹出“Check属性属性窗口，再选择窗口，再选择“成员成员选项卡，如下图。选项卡，如下图。用户组的创建与管理Windows Server 2003 网络操作系统网络操作系统2设置组隶属于设置组隶属于 选择选择“属性属性”，系统弹出，系统弹出“Check属性属性窗口，再选择窗口，再选择“隶属于隶属于选项卡，如下图。选择该组所属的其他安全组，选项卡，如下图。选择该组所属的其他安全

28、组，该设置可确定该组的权限。该设置可确定该组的权限。用户组的创建与管理Windows Server 2003 网络操作系统网络操作系统3移动组移动组 选择选择“挪动挪动”，系统会出现如图所示窗口。再选择要移，系统会出现如图所示窗口。再选择要移入的容器，最后按入的容器，最后按“确定确定按钮便可完成移动。按钮便可完成移动。用户组的创建与管理Windows Server 2003 网络操作系统网络操作系统5.3.3 计算机账户的管理计算机账户的管理 在域中创建计算机账户在域中创建计算机账户 在域中每台计算机的账户都是在域中每台计算机的账户都是惟一的，可以通过惟一的，可以通过“Active Directory用户和计算机用户和计算机管理工具来创建计算管理工具来创建计算机用户机用户 （1翻开翻开“Active Directory用用户和计算机户和计算机管理工具，用右键单击管理工具，用右键单击窗口