第3章管理用户和计算机账户

1、第3章 管理用户和计算机账户第3章管理用户和计算机账户本章概述本章节主要是和大家介绍了如何进行管理用户和计算机账户的相关知识点。通过本章节的学习，我们会学习到如何进行用户和计算机账户的创建，修改，复位等操作。同时能学到修改用户和计算机账户属性的技能以及创建用户账户模板的技能。最后，我们会在本章节学会在AD中查找用户和计算机账户的方法。教学目标l 掌握创建用户账户的方法及创建过程中相应的设置密码等操作。l 掌握创建计算机账户的相关方法。l 掌握修改计算机或用户账户的相关属性的技能。l 了解启用解锁用户和计算机账户的方法及复位用户和计算机账户的方法。l 了解在AD中查询用户和计算机账户的方法及保存

2、查询结果的方法。教学重点l 掌握创建用户账户的方法。l 掌握创建计算机账户的相关方法。教学难点l 创建用户和计算机账户的相关方法中有一些细节很容易被遗漏。请老师一定细心讲解。教学资源课本知识点3.1创建用户账户3.2创建计算机账户3.3修改用户和计算机账户属性3.4创建用户账户模板3.5启用及解锁用户和计算机账户3.6复位用户和计算机账户3.7查找 Active Directory 中的用户和计算机账户3.8保存查询实验管理用户和计算机账户练习 1 创建用户账户练习 2 创建计算机账户练习 3 搜索和移动用户账户练习 4 搜索和移动计算机账户练习 5 搜索和启用用户账户习题习题1对应知识点创建

3、用户账户习题2对应知识点创建用户账户习题3对应知识点修改用户和计算机账户属性习题4对应知识点创建用户账户模板习题5对应知识点查找 Active Directory 中的用户和计算机账户教学指导手册包新版幻灯片光盘：Powerpnt2274_2275_03.ppt习题解答光盘：Tprepanswer多媒体视频光盘：Powerpnt2274_1_Accts.htmlPowerpnt2274_2_A_Search.html先修知识在正式开始学习本章内容以前，学生须具备下列知识基础。先修知识推荐补充了解2000内核类的Windows操作系统的基础知识Windows 2000初级管理建议学时数课堂教学（

4、课时）+实验教学（课时）教学过程3.1创建用户账户教学提示 ：本节主要达到以下目的：l 了解账户名称，制定账户名称的标准及用户账户在AD层次结果中的位置。（略讲）l 了解用户账号的密码设置选项及如何要求和限制更改密码的技能。（略讲）l 掌握创建用户账户的技巧。（略讲）教学内容教学方法提示讲授：用户账户是一个对象，它包含了用于定义 Windows Server 2003 用户的所有信息。账户可以是本地账户，也可以是域账户。用户账户包括登录所需的用户名和密码、用户账户所在的组以及用户访问计算机和网络资源的权限。其实计算机里的用户账户和大家平时手上拿的身份证一样。为的就是说明有你这么一个人存在，说明

5、你是男是女，有多大等的一个标识。其实在计算机里也去这么理解的话，用户账户的概念就不难理解了。讲解课本3.1.1阅书：3.1.1 幻灯：第3-4页多举一些生活中的例子，和同学讲解，比如银行账户啊，学生学号之类的。讲授：域的概念在前面的Windows 2000的课程中应该已经有所提及，域就是包含其它代表域资源的对象的对象、图标或容器。您可使用域对象管理那些资源。而你要是想在域里进行你自己的一些活动，那你必须在域里有你自己的账户。域用户账户的名称类型共有四种。在 Active Directory 中，每个用户账户都有一个用户登录名、一个Windows 2000以前版本的用户登录名（安全账户管理器账户

6、名）、一个用户主体登录名以及一个 LDAP（Lightweight Directory Access Protocol，轻型目录访问协议）相对可分辨名。我们现在具体来看一下上面说到的四种类型用户名书上是怎么来阐述的：讲解课本：3.1.2阅书：3.1.2幻灯：第5页讲授：计算机世界里的名称往往都有一些命名规则，用户账号的命名也不例外。命名约定说明如何标识域中的用户账户。统一的命名约定便于用户记住用户登录名，也便于查找列表中的用户。在支持大量用户的网络中，遵守已有的命名约定将会使管理工作事半功倍。其实不难理解，要是没有任何标准。大家可以根据自己的喜欢取名字，那首先就会有大面积的重复名字出现。其实这

7、一点在QQ上表现的特别突出。你输入一个用户名，可能会搜索出成千上万的同名的网民。但这样的情况在公司是绝对不允许出现的。这样，会惹出很多乱子。现在我们就来看看书上给我们推荐了哪些准则：讲解课本3.1.3阅书：3.1.3幻灯：第6页讲授：用户的账户在域里也会有一定的层次结构，这其实和我们生活中也是一致的。比如，国家的干部上有厅长，然后是部长，再是处长，最后是科长。这样设置好层次结构，对于管理员的管理是非常好的。我们现在来看书上是怎么阐述的：讲解课本3.1.4阅书：3.1.4幻灯：第7页讲授：当我们创建好一个账户后，必然面对的是如何给账户分配一个密码，我们现在来看一下密码有哪些选项：讲解课本：3.1

8、.5阅书：3.1.5幻灯：第8页讲解课本的同时请相应演示相关的工具。讲授：同样密码的设置也会有一定的规范。我们现在看书上的表格：讲解课本：3.1.6阅书：3.1.6幻灯：第9页讲授：说了那么多创建用户需要注意的部分，大家现在来看一下我是如何进行创建用户的操作的：阅书：3.1.7课堂演示：创建用户账户幻灯：第1011页演示：现在大家看过我前面的演示，请大家按照书上的流程练习一下，我先演示一下：演示书本流程。阅书：3.1.8课堂练习：创建用户账户幻灯：第12页讲授：现在我们来看书上总结的最佳实践的方案：在创建本地用户账户时请考虑以下最佳实践：l 不启用“Guest”账户l 重命名“Administ

9、rator”账户l 限制本地登录的用户数量l 使用强密码强密码就是密码要有一定的长度，其中包含大小写的字母，数字，或者一些特殊符号的密码。在创建域用户账户时请考虑以下最佳实践：l 禁用不会立即使用的账户l 要求用户在第一次登录时更改密码l 从最佳实践的安全角度来讲，建议不要直接使用管理员身份登录计算机l 如果不是直接通过管理员身份登录计算机，建议使用“运行方式”命令完成管理任务l 重命名或禁用每个域中的“Administrator”及“Guest”账户以减少外部对域的攻击l 默认情况下， Active Directory 管理工具的所有通信通过网络传递时都要经过标记和加密，不要禁用此功能阅书：

10、3.1.9幻灯：第13页关于强密码：http：/关于其他最佳更新实践：3.2创建计算机账户教学提示 ：本节主要达到以下目的：l 了解计算机账户及计算机账户的用途。（略讲）l 了解域中可以创建计算机账户的位置及各种计算机账户选项。（略讲）l 掌握创建计算机账户的技能。（精讲）教学内容教学方法提示讲授：域中所有运行Microsoft Windows NT®、Windows 2000、Windows XP 或者 Windows Server 2003的计算机都有一个计算机账户。计算机账户与用户账户相似，它提供了一种验证和审核计算机访问网络和域资源的方法。计算机账户和用户账户有什么区别呢？计

11、算机账户是标识你桌上那一台看的见摸的着的计算机。一台计算机只可能有一个账户，而一台机器可以有多个人使用，而每个人的账户则是用户账户。用户账户是绑定人的。计算机账户同样有自己的密码，为的就是确保安全。但不能为运行 Microsoft Windows 95、Microsoft Windows 98、Microsoft Windows Millennium Edition 以及 Windows XP Home Edition的计算机创建计算机账户，因为这些操作系统不符合 Active Directory 的安全要求。阅书：3.2.1幻灯：第16页提问：我们有了用户账号就可以了，为什么还需要去创建计算

12、机账号呢？建议答案：围绕安全，易于管理引导学生进行回答。讲授：讲解课本 3.2.2阅书：3.2.2幻灯：第17页让学生天马行空的举例回答，不需要做任何筛选。发挥学生想象力，活跃课堂气氛。不过时间不应过长。讲授：前面我们看过了有关用户账户在AD中的位置的相关知识，我们来看一下计算机账户的位置，创建计算机账户时，系统管理员可以选择账户所在的组织单位。如果计算机加入域，可以将计算机账户创建在“Computers”容器中。管理员也可以根据需要将账户移动到合适的组织单位中：讲解课本：3.2.3阅书：3.2.3幻灯：第18页如需了解更多有关用户将计算机账户添加到域中的信息，请参阅 Microsoft 知识

13、库中编号为 251335 文章“Domain Users Cannot Join Workstation or Server to a Domain”，网址为：http：/讲解：在创建计算机账户时，可以通过两个可选功能将计算机账户指定为 Windows 2000 以前版本的计算机或备份域控制器（BDC，Backup Domain Controller）。备份域控制器(backup domain controller，简称BDC) -在 Windows NT Server 4.0或早期的域中，运行Windows NT Server的计算机接受包括域中所有账户和安全策略信息的目录的拷贝。这份拷贝信

14、息周期性并且自动的与主域控制器中的主备份进行同步。备份域控制器也可以确认用户并且配置成为象PDC类似的功能。一个域上可以有多个备用域控制器。我们来看一看书上是如何讲解的：讲解课本：3.2.4阅书：3.2.4幻灯：第19页演示：说了这么多，大家现在来看一下我是如何进行创建计算机账户的。演示课本：3.2.5这里我们要特别注意一个新的命令dsadd，这个命令是Windows Server 2003新添加的命令。阅书：3.2.5幻灯：第20页Dsadd命令官方说明：http：/Dsadd命令参考：http：/演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：课堂演示

15、阅书：3.2.6课堂演示：创建计算机账户幻灯：第21页按照书本内容进行演示。3.3修改用户和计算机账户属性教学提示 ：本节主要达到以下目的：l 了解什么场合需要修改计算机或者用户账户的属性。（略讲）l 了解计算机账户属性和用户账户属性。（略讲）l 掌握计算机账户和用户账户的修改的方法。（精讲）教学内容教学方法提示讲授：系统管理员负责在 Active Directory 中创建用户和计算机账户，并且负责维护这些账户。要完成这些任务，系统管理员必须非常熟悉账户的各种属性。我们现在看一下本章节的内容：为了管理网络结构，系统管理员熟悉用户账户属性非常重要。用户也许会将用户账户属性当作了解用户信息的唯一

16、来源，就像使用电话簿一样，也可能会根据办公室位置、主管、部门名称等条件搜索用户。系统管理员通过用户账户属性确定用户账户在终端服务器会话中的行为，也可以确定用户通过拨号连接访问网络的方式。为了维护计算机账户，需要找到计算机的物理位置。在 Active Directory 中经常用到的计算机账户属性是“位置”和“管理者”属性。“位置”属性很有用，因为它可以记录计算机在网络中的物理位置。“管理者”选项卡列出了负责服务器的人员。如果有一个存放不同部门服务器的数据中心，并且需要在这些服务器上执行维护任务时，使用“管理者”属性就很重要，在服务器上执行维护任务之前， 管理员可以给负责服务器的人员打电话或发送

17、电子邮件。在后面的课程中我们会介绍到有哪些用户账户和计算机账户的属性。阅书：3.3.1幻灯：第24页讲授：我们来看一下用户账户有哪些属性。我们来看一下表格 3-3：讲解课本： 3.3.2阅书：3.3.2幻灯：第25页可以一边和学生讲解这些项目，一边演示一下具体的画面。讲授：我们来看一下计算机账户有哪些属性。我们来看一下表格 3-4：讲解课本： 3.3.3阅书：3.3.3幻灯：第26页可以一边和学生讲解这些项目，一边演示一下具体的画面。演示：大家现在看一下如何修改用户和计算机账户属性的：课堂演示3.3.4这里我们要特别注意一个命令dsmod，这也是一个Windows Server 2003新增加

18、的命令，它是用来修改 Active Directory 中一个或多个现有用户或计算机的属性的。阅书：3.3.4课堂演示：修改用户和计算机账户属性的方法 幻灯：第27页按照书本内容进行演示。Dsmod命令参考：http：/演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：课堂演示 3.3.5阅书：3.3.5幻灯：第28页按照书本内容进行演示。3.4创建用户账户模板教学提示 ：本节主要达到以下目的：l 了解什么是用户账户模板及用户模板里的属性。（略讲）l 掌握创建用户模板的方法。（略讲）教学内容教学方法提示讲授：创建用户账户模板可以简化域用户账户的创建过程。用户

19、账户模板是已配置好常用设置和属性的账户。或者我们可以理解它是车间里的半成品，当我们具体需要创建某个账户的时候，我们只要把模板中部分属性或配置稍做修改即可。这样，可以大大减少我们的工作量。增加工作效率。讲解课本： 3.4.1阅书：3.4.1幻灯：第31页讲授：我们再来看一下模版中需要设置哪些属性：讲解课本：3.4.2阅书：3.4.2幻灯：第32页可以一边和学生讲解这些项目，一边演示一下具体的画面。如需了解更多有关配置文件的信息，请参阅 Microsoft 知识库中编号为 324749 的文章“HOW TO：在 Windows Server 2003 中创建漫游用户配置文件”：http：/如需了解

20、更多有关主文件夹的信息，请参阅 Microsoft 知识库中编号为 325853 的文章“HOW TO：Use Older Roaming User Profiles with Windows Server 2003”：http：/讲授：在我们实际进行创建模板操作之前，先看一些推荐操作：讲解课本： 3.4.3阅书：3.4.3 幻灯：第33页可以一边和学生讲解这些项目，一边演示一下具体的画面。演示：大家现在看一下如何创建用户账户模板：课堂演示3.4.4阅书：3.4.4 课堂演示：创建用户账户模板的方法 幻灯：第34页按照书本内容进行演示。演示：现在大家根据我们前面说过的内容，进行一下练习，在练习

21、之前，大家请先看我演示一次：课堂演示 3.4.5阅书：3.4.5 课堂演示：创建用户帐户的模板幻灯：第35页按照书本内容进行演示。3.5启用及解锁用户和计算机账户教学提示 ：本节主要达到以下目的：l 了解启用及禁用用户和计算机账户的原因。（略讲）l 掌握启用及禁用用户和计算机账户及锁定和解锁用户账户的方法。（略讲）教学内容教学方法提示讲授：用户账户创建之后，管理员需要经常执行管理任务以确保网络随时满足单位需求。这些管理任务包括启用及禁用用户和计算机账户。当启用或禁用账户时，管理员会赋予或限制账户的访问权限。为了提供安全的网络环境，系统管理员需要禁用长期不用但以后需要使用的用户账户。提问：大家想

22、想有什么具体的情况可能会出现需要禁用用户账号的情况呢？提示答案讲解课本：3.5.1阅书：3.5.1幻灯：第38页演示：现在我们来看一下如何进行启用及禁用用户和计算机账户的步骤：课堂演示这里我们可能要再一次提醒大家注意dsmod命令。具体讲解请查看前章节。阅书：3.5.2课堂演示：启用及禁用用户和计算机账户 幻灯：第39页讲授：用户账户被锁定是因为账户超过了域的账户锁定阈值。这可能是由于用户多次尝试使用错误密码来访问账户，或者是由于计算机黑客试图猜测用户密码而激活了账户锁定策略。其实这在我们使用ATM机器的时候就会遇见类似的情况，比如我们要是三次输入错误的密码，我们的卡也许就会被吃掉了，计算机对

23、账户的锁定道理是一样的。一旦用户输入的密码有误，或者用户忘记密码，也或者用户在登录到一台计算机而在另一台计算机上更改密码时，授权用户自己的账户就会被锁定。如果失败密码尝试次数太多，那么用户账户将被锁定：讲解课本：3.5.3阅书：3.5.3幻灯：第40页演示：既然我们可以锁定一个账户，那我们一样可以进行账户的解锁，大家看我来操作一遍：课堂演示3.5.4阅书：3.5.4幻灯：第41页按照书本内容进行演示。演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：课堂演示 3.5.5阅书：3.5.5幻灯：第42页按照书本内容进行演示。3.6复位用户和计算机账户教学提示 ：

24、本节主要达到以下目的：l 了解为什么要进行复位密码的原因及场合。（略讲）l 掌握复位用户密码的方法。（略讲）l 了解复位计算机账户的场合及方法。（略讲）教学内容教学方法提示讲授：复位密码和账户是一种常见的管理任务。在我们日常生活中也会经常用到，比如你的银行密码要是遇见遗忘的时候，你就需要有一个恢复功能，让你能重新找回密码或重新设置新的密码。密码复位之后，用户将不能再访问某些类型的信息，这些信息包括： l 经过用户公钥加密的电子邮件l 保存在计算机上的Internet密码l 经过用户加密的文件讲解课本：3.6.1阅书：3.6.1幻灯：第45页如需了解更多有关使用脚本复位域控制器账户和计算机账户的

25、信息，请参阅 Microsoft 知识库中编号为 325850 的文章，“HOW TO：使用 Netdom.exe 重置 Windows Server 2003 域控制器的机器账户密码”，网址：http：/如需了解更多有关Windows数据保护API 句柄如何保存密码的信息，请参阅“Windows Data Protection”，网址： http：/演示：现在我们来看一下如何进行复位用户密码。我们要区分场合，一种是恢复用户账户密码，一种是恢复计算机账户密码：阅书：3.6.2幻灯：第46页讲授：系统管理员有时需要复位计算机账户。例如，假设网络在七天前经过了一次完整备份。计算机将信息传送到域控制

26、器上，更改了计算机账户密码。然而，计算机硬盘崩溃了，管理员使用磁带备份恢复计算机。这时，计算机的密码已过期。由于计算机不能验证登录到域，所以导致用户无法登录。管理员现在需要复位该计算机账户。讲解课本： 3.6.3阅书：3.6.3幻灯：第47页演示：现在大家看一下我是如何进行计算机账户复位的：课堂演示3.6.4阅书：3.6.4幻灯：第48页按照书本内容进行演示。演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：课堂演示 3.6.5阅书：3.6.5幻灯：第49页按照书本内容进行演示。3.7查找 Active Directory 中的用户和计算机账户教学提示 ：本

27、节主要达到以下目的：l 了解在AD中可以搜索的类型及对象。（略讲）l 掌握使用查询的方法。（略讲）教学内容教学方法提示讲授：因为所有的用户账户都在 Active Directory 中，所以管理员能够对用户账户进行搜索。通过在 Active Directory 中搜索用户账户，管理员就不需要在“Active Directory 用户和计算机”中浏览成百上千的用户账户。这其实和我们在计算机里进行文件或文件夹搜索是一个概念。甚至我们可以用我们大家一直喜欢用的百度来做比喻。在你存储的信息大到一定的程度的时候，就像我们的电话簿，靠自己一页页的翻，必然是效率低下的。我们可以在AD中搜索很多对象。例如：用

28、户，计算机，打印机等等。讲解课本：3.7.1阅书：3.7.1幻灯：第5153页演示：现在我们来看一下如何进行搜索 Active Directory 对象的操作：在这里我们会接触到一个新的命令dsquery。“dsquery”命令用于在 Active Directory 中查找与指定搜索条件相匹配的用户和计算机。如果此命令预先定义的搜索条件不充分，可以使用更通用的查询命令：dsquery * 。我们可以具体看一下书上的格式。阅书：3.7.2幻灯：第54页演示：现在我们来看一下如何进行使用一般性查询进行搜索的操作：课堂演示阅书：3.7.3幻灯：第55页按照书本内容进行演示。演示：现在大家看一下我是

29、如何进行自定义查询：课堂演示阅书：3.7.4幻灯：第56页按照书本内容进行演示。演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：课堂演示阅书：3.7.5幻灯：第57页按照书本内容进行演示。3.8保存查询教学提示 ：本节主要达到以下目的：l 了解保存查询的原理。（略讲）l 了解保存查询的方法。（略讲）教学内容教学方法提示讲授：“Active Directory 用户和计算机”有一个“保存的查询”文件夹，可以在该文件夹中创建、编辑、保存以及组织保存的查询。在使用保存的查询前，管理员需要创建自定义 Active Directory 服务接口（ADSI，Activ

30、e Directory Services Interfaces）脚本，该脚本用于查询常用对象。这通常是一个很耗时的过程，它要求掌握ADSI使用LDAP搜索筛选器解析查询的方法。讲解课本：3.8.1阅书：3.8.1幻灯：第61页ADSI参考：http：/演示：现在我们来看一下如何进行创建保存的查询操作：课堂演示阅书：3.8.2幻灯：第6263页按照书本内容进行演示。演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：课堂演示阅书：3.8.3幻灯：第64页按照书本内容进行演示。总结经过本章的学习，我们了解了下列的知识和内容。l 掌握创建用户账户的方法及创建过程中相

31、应的设置密码等操作。l 掌握创建计算机账户的相关方法。l 掌握修改计算机或用户账户的相关属性的技能。l 了解启用解锁用户和计算机账户的方法及复位用户和计算机账户的方法。l 了解在AD中查询用户和计算机账户的方法及保存查询结果的方法。在第4章中，我们将学习管理组的知识，了解如何使用Windows Server 2003进行组的管理和配置。随堂练习1 你是公司网络的管理员。网络中有一个活动目录域，所有网络服务器使用Windows Server 2003系统，所有的客户端计算机使用Windows XP Professional。所有销售部门的用户账户存放在Sales组织单元（OU）中。你怀疑该OU中

32、的一些用户账户的密码已经不安全了。你需要强制所有的销售部门的员工重设密码，你应当如何做？A. 选择所有Sales OU中的账户。禁用所有账户，然后再重新启用账户B. 选择所有Sales OU中的账户。修改账户属性强制下次登录时修改密码C. 创建组策略对象（GPO）链接到Sales OU。修改密码策略将密码最长使用期设为0D. 创建组策略对象（GPO）链接到域。修改密码策略将密码最长使用期设为0答案：B2 你是公司网络的管理员。网络中有一个活动目录域。域的功能级别为Windows 2000。销售部门有100名员工。所有的销售员工保存在一个名为Sales的OU中。为了缩小销售部门，公司决定不再雇佣10名员工。你应当如何做？A. 一个一个禁用10个受影响的用户账户B. 使用具有域管理权的账户登录到域中。在Sales OU中禁用所有的账户C. 在Sales OU中选择所有的账户。禁用所有的用户账户D. 在Sales OU中选择10个受影响的账户。同时禁用10个账户答案：D3 你是公司网络的管理员。网络中有一个活动目录域。所有网络服务器使用Windo