中职-网络操作系统Windows2003-04

1、主讲：宋一兵网络操作系统Windows 2003实用教程 第4章 用户和组管理 网络操作系统Windows 2003实用教程 第4章： 用户和组管理 4.1节4.2节4.3节了解用户和组的基本概念。熟悉用户、组的功能、权限和作用域。掌握用户账户、计算机账户和组管理的基本方法。4.4节4.5节4.6节4.1 用户和组概述4.2 用户账户管理4.3 计算机账户管理4.4 组管理网络操作系统Windows 2003实用教程 第4章 用户和组管理 4.5 组织单位管理4.6 组策略管理第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程

2、4.1 用户和组概述对于安装了Windows Server 2003操作系统的独立服务器，可以使用【本地用户和组】保护并管理存储在本地计算机上的用户和组，为用户和组指派权利和权限，从而限制了用户和组执行某些操作的能力。权利可授权用户在计算机上执行某些操作，如备份文件和文件夹或者关机。权限是与对象（通常是文件、文件夹或打印机）相关联的一种规则，它规定哪些用户可以访问该对象以及以何种方式访问。第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.1.1 账户类型本地账户本地账户对应于工作在工作组模式下的服务器使用，包括运行Wind

3、ows Server 2003操作系统的独立服务器、成员服务器以及Windows XP操作系统客户端等。本地账户只能在本地计算机上登录，无法访问域中其他计算机的资源。本地账户由【本地用户和组】来管理。域账户域账户对应于工作在域模式下的服务器使用，一个域账户包括用户名、密码以及该用户账户所在的组等信息。域账户可以存储在活动目录中，也可以存储在本地计算机中。对于运行Windows Server 2003操作系统的域控制器，域账户由 【Active Directory 用户和计算机】来管理。第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实

4、用教程 4.1.1 账户类型内置账户内置账户与服务器的工作模式无关，是安装Windows Server 2003操作系统时自动创建的一些账户，为本地计算机的初始登录和配置提供方便。系统经常使用的内置账户有以下几种。Administrator账户Guest账户HelpAssistant账户第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.1.2 组类型本地组本地组是指创建在本地的组账户。可以在Windows Server 20032000NT独立服务器或成员服务器、Windows XP、Windows NT Workstat

5、ion等非域控制器的计算机上创建本地组。这些组账户的信息被存储在本地安全账户数据库内。系统安装时将自动创建一些内置组，当然，用户也可以在使用中自己创建并管理本地组。第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.1.2 组类型域组域组创建在Windows Server 2003操作系统的域控制器上，组账户的信息被存储在活动目录数据库中，这些组能够被使用在整个域中的计算机上。Active Directory 中的组是驻留在域和组织单位容器对象中的目录对象，在安装Active Directory时提供了一系列默认的组，它还允

6、许创建组。第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.1.3 组作用域Windows Server 2003操作系统中的组作用域有3种。通用作用域：可将其成员作为来自域树或域林中任何 Windows Server 2003 域的组和账户，并且在域树或域林的任何域中都可获得权限。全局作用域：可将其成员作为仅来自组所定义的域的组和账户，并且在域林的任何域中都可获得权限。本地作用域：可将其成员作为来自 Windows Server 2003 或 Windows NT 域的组和账户，并且可用于仅在域中授予权限。Windows

7、 Server 2003操作系统中的组作用域第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.1.3 组作用域全局作用域到通用作用域：当要更改的组不是另一个全局作用域组的成员时，允许进行该转换。本地作用域到通用作用域：当要更改的组没有另一个本地域组作为其成员时，允许进行该转换。通用作用域到全局作用域：当要更改的组没有另一个通用组作为其成员时，允许进行该转换。通用作用域到本地作用域：该操作没有限制。第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.1.3

8、 组作用域2. 组作用域的特点与关系通用组的主要作用是用来合并跨越不同域的组。全局组是属于本域的，它的修改不在自身域外复制，所以全局组允许内部频繁的修改。域本地组可被添加到其他本地域组并且仅在相同域中指派权限，因此域本地组就被完全限制了在本域内，所以对于一个多域的环境，由于其他域不能评估本地域组，因此不应该用域本地组来为Active Directory中的对象分配权限。第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.1.3 组作用域2. 组作用域的特点与关系因此可以说全局组的主要作用是基于组织结构、行政结构规划；域本地组

9、的作用是基于资源规划。而通用组的主要作用是让组织结构、行政结构与资源规划连通的一个组。全局组用来划分人，域本地组用来划分资源也就是物，通用组把人与资源集合起来。第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.1.4 默认安全设置管理员组（Administrators）管理员组的成员可以执行操作系统支持的所有功能。用户组（Users）Users组提供了一个最安全的程序运行环境。全新安装后，在系统的NTFS格式的卷上，默认的安全设置被设计为禁止该组的成员危及操作系统的完整性及安装程序。超级用户组（Power Users）Po

10、wer Users 组的成员拥有的权限比 Users 组的成员多，但比管理员组的成员少。超级用户可以执行除了为管理员组保留的任务外的其他任何操作系统任务。备份操作员组（Backup Operators）备份操作员组的成员可以备份和还原计算机上的文件，而不管保护这些文件的权限如何。他们还可以登录到计算机和关闭计算机，但不能更改安全性设置。第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.2 用户账户管理本地用户账户是在工作组环境上或是域的成员机登录本地机器所使用的账户名和密码，而域账户是在域的管理模式下域上的用户所使用的账户

11、。本地用户账户存储在本地的SAM数据库中，而域账户存储在AD（Active Directory）中。本地用户账户的用户只能使用该账户登录到本地计算机上，而域账户用户可以在整个域环境中所有的计算机上进行登录。本地用户账户只能在账户所属的计算机上进行管理，每个计算机上的管理员单独管理自己机器上的本地账户，而域账户通过AD用户和计算机管理工具进行统一的管理。第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.2.1 本地用户账户管理【案例4-1】 创建本地用户账户。第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4

12、.6节网络操作系统Windows 2003实用教程 4.2.1 本地用户账户管理关于用户账户名称用户名不能与被管理的计算机上的其他用户或组名相同，最多可以包含 20 个大写或小写字符，但不能包含下列特殊字符“ / : ; | = , + * ? ”，而且用户名不能只由句点“.”和空格组成。第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.2.1 本地用户账户管理关于密码强度要想保证计算机用户的安全，需要为用户账户设置强密码。所谓强密码是指满足以下要求的密码。长度至少有7个字符。 不包含用户名、真实姓名或公司名称。 不包含完

13、整的字典词汇。 与先前的密码大不相同。递增密码（Password1、Password2、Password3 .）不能算作强密码。包含全部4组字符类型，即大写字母、小写字母、数字和键盘上的符号，如“ ! # $ % & * ( ) _ + - = | : ; ? , . /”等。第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.2.1 本地用户账户管理关于密码策略可以设置账户的密码策略，包括密码是否应符合复杂性要求、最小长度、最长使用期限等，方法是选择【开始】/【所有程序】/【管理工具】/【本地安全策略】命令，打开【本地安全

14、设置】窗口 第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.2.1 本地用户账户管理【案例4-2】 本地用户账户的常见管理操作 第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.2.2 域用户账户管理【案例4-3】创建域用户账户 第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.2.2 域用户账户管理【案例4-4】移动用户账户 第4章： 用户和组管理 4.1节4.2节4.3节4.

15、4节4.5节4.6节网络操作系统Windows 2003实用教程 4.2.2 域用户账户管理【案例4-5】设置用户账户属性 第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.3 计算机账户管理【案例4-6】 创建计算机账户。 第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.3 计算机账户管理【案例4-7】重置计算机账户【案例4-8】禁用/启用计算机账户 第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows

16、 2003实用教程 4.4 组管理组的作用域有3种，即本地作用域、全局作用域和通用作用域；组的类型有两种，即安全组和通讯组。当域处于本机模式时，可以更改组的作用域和组的类型，如果在混合模式下，则不能更改组的作用域和组类型。组管理包括创建组，为组添加成员以及设定权限等。第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.4.1 创建组【案例4-9】创建组第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.4.2 组成员管理【案例4-10】添加组的成员第4章：

17、 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.5 组织单位管理组织单位是包含在域中的特别有用的目录对象类型，是可将用户、组、计算机和其他组织单位放入其中的Active Directory容器，也是可以指派组策略设置或委派管理权限的最小作用域或单元。使用组织单位，可在组织单位中代表逻辑层次结构的域中创建容器，可以根据组织模型管理账户和资源的配置和使用。第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.5.1 创建组织单位【案例4-11】创建组织单位。第4章：

18、 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.5.2 委派组织单位控制权【案例4-12】委派组织单位的控制权。第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.6 组策略管理组策略设置定义了系统管理员需要管理的用户桌面环境的多种组件，例如，用户可用的程序、用户桌面上出现的程序以及【开始】菜单命令等。使用组策略可以为特定用户组创建特定的桌面配置。 第4章： 用户和组管理 4.1节4.2节4.3节4.4节4.5节4.6节网络操作系统Windows 2003实用教程 4.6.1 组策略概述默认情况下，安装 Active Directory 时，会创建两个非本地组策略对象。 【Default Domain Policy】：与域链接，它通过策略继承影响域中的所有用户和计算机（包括作为域控制器的计算机）。 【Default Domain Controllers Policy】：