项目4 管理用户和组

项目4管理用户和组4.1相关知识4.1.1用户账户的概述4.1.2本地用户账户4.1.3本地组概述4.2项目设计及准备项目4管理用户账户和组4.3项目实施4.3.1任务1创建本地用户账户4.3.2任务2设置本地用户账户的属性4.3.3任务3删除本地用户账户4.3.4任务4使用命令行创建用户4.3.5任务5管理本地组4.3.6任务6管理域用户4.3.7任务7管理域中的组账户4.1相关知识4.1.1用户账户的概述4.1.2本地用户账户4.1.3本地组概述4.2项目设计及准备4.1相关知识用户账户可存储在：ADDS中（ADDS账户）本地计算机上（本地账户）创建用户账户将同时创建安全ID(SID)用户账户是一种ActiveDirectory域服务(ADDS)对象，它使身份验证以及对本地和网络资源的访问成为可能。ADDS账户使用户能登录到域中，并使其能访问共享网络资源本地账户允许登录到单台计算机并访问本地资源4.1.1用户账户的概述介绍用户和组为每个用户帐号创建一个唯一的登录名用批处理为新用户在活动目录创建多个用户帐号将用户分组，用以管理网络上的共享资源当为一个分层结构创建一个模型时，将组嵌入别的组中以减少管理任务UsersSharedResourcesPermissionsGroup4.1.1用户账户的概述本地账户建立在WindowsServer2008独立服务器、成员服务器以及Windows7等系统中。本地账户只能在本地计算机上登录，无法访问其他计算机资源。内置本地账户Administrator（系统管理员）：最高的权限Guest（来宾）：供临时访问计算机的用户使用4.1.2本地用户账户组的概念组是账户、联系、计算机和其它组的集合。组用于以下目的：管理用户和计算机的访问，其访问范围包括网络对象、本地对象、共享、打印机队列和设备等；创建分配表；筛选组策略等。4.1.3本地组组的类型本地组:在WindowsServer2008独立服务器或成员服务器上的工作组称为本地组。该组的成员是本地账户，这些组账户的信息被储存在本地“安全账户数据库”（SAM）内。本地组类型：用户组和系统内置的组。4.1.3本地组4.2项目设计与准备4.3项目实施4.3.1任务1创建本地用户账户4.3.2任务2设置本地用户账户的属性4.3.3任务3删除本地用户账户4.3.4任务4使用命令行创建用户4.3.5任务5管理本地组4.3.6任务6管理域用户4.3.7任务7管理域中的组账户4.3项目实施账户名的命名规则如下：账户名必须唯一，且不分大小写。用户的名最多可包含256个字符在账户名中不能使用的字符有：'/\[]:;|=，+*?<>.用户名可以是字符和数字的组合。用户名不能与组名相同。任务1创建本地用户账户账户密码规则：必须为Administrator账户分配密码，防止未经授权就使用。系统默认用户的密码至少6个字符，还要至少包含A-Z、a-z、0－9、非字母数字（例如!、#、$、%）等四组字符中的三种。密码的长度在8～128之间。密码不包含全部和部分的用户账户名。密码中不能使用以下字符：‘/\|；:=,+[]。任务1创建本地用户账户任务1创建本地用户账户任务1创建本地用户账户任务2设置本地用户账户的属性任务2设置本地用户账户的属性任务2设置本地用户账户的属性如果用户在知道密码的情况下想更改密码，他在登录后按Ctrl＋Alt＋Delete键，输入正确的旧密码，然后输入新密码。

任务2设置本地用户账户的属性用户忘记了登录密码，则使用“密码重设盘”来进行密码重设。任务2设置本地用户账户的属性任务2设置本地用户账户的属性用密码重设盘重设密码任务2设置本地用户账户的属性用户既忘了自己密码又没有密码重设盘，可以让Administrator为其更改密码。任务2设置本地用户账户的属性任务3删除本地用户任务4使用命令行创建用户任务4使用命令行创建用户任务4使用命令行创建用户任务5管理本地组内置组创建本地组任务5管理本地组创建本地组（命令方式）任务5管理本地组添加组成员任务5管理本地组添加组成员（命令行方式）任务5管理本地组介绍用户登录名用户主名

1.用户主名前缀

2.用户主名后缀用户登录名

1.用户登录时必须选择域用户登录名唯一性原则

1.全名在创建用户帐号的容器内必须唯一

2.用户主名在目录林中必须唯一

3.用户登录名在域中必须唯一+usernamedomaincontososuzanf@SuffixPrefixsuzanf@contoso.msft任务6管理域用户账户域用户账号域用户账户用来使用户能够登录到域或其他计算机中，从而获得对网络资源的访问权。经常访问网络的用户都应拥有网络惟一的用户账户。如果网络中有多个域控制器，可以在任何域控制器上创建新的用户账户，因为这些域控制器都是对等的。当在一个域控制器上创建新的用户账户时，这个域控制器会把信息复制到其他域控制器，从而确保该用户可以登录并访问任何一个域控制器。任务6管理域用户账户内置用户账号WindowsServer2003自动创建若干个用户账号，并且赋予了相应的权限，称为内置账号。内置用户账号不允许被删除。最常用的两个内置账号是Administrator和Guest。使用内置Administrator（管理员）账号管理计算机和域配置。Guest（来客）账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。任务6管理域用户账户创建域用户账号“管理工具”——“ActiveDirectory用户和计算机”

任务6管理域用户账户新建对象——用户任务6管理域用户账户输入密码

任务6管理域用户账户强密码的特征长度至少有7个字符。不包含用户名、真实姓名或公司名称。不包含完整的字典词汇。包含全部下列4组字符类型：大写字母（A、B、C．．．）、小写字母（a、b、c．．．）、数字（0、l、2、3、4、5、6、7、8、9）、键盘上的符号（键盘上所有未定义为字母和数字的字符，如`～!@#$%^&（）*_+-{}[]|\/?:”;’<>,.）。账户已禁用。防止用户使用选定的账户登录，当用户暂时离开企业时，可以使用该选项，以便日后迅速启用。也可以禁用一个可能有威胁的账户，当排除问题之后，再重新启用该账户。许多管理员将禁用的账户用做公用用户账户的模板。以后拟再使用该账户时，可以在该账户上右击，并在弹出的快捷菜单中选择“启用账户”选项即可。任务6管理域用户账户设置用户账号属性任务6管理域用户账户设置个人属性——常规、地址选项卡任务6管理域用户账户设置个人属性——电话、单位选项卡任务6管理域用户账户设置账号属性任务6管理域用户账户设置登录时间任务6管理域用户账户设置用户可登录的计算机任务6管理域用户账户维护用户账号禁用、启用、重命名和删除用户账号任务6管理域用户账户介绍活动目录中的组GroupsCanBeNestedInsideOtherGroupsUsersCanBeMembersofMultipleGroupsGroupGroupGroupsSimplifyAssigningPermissiontoResourcesGroupGroupGroupGroupGroupGroup任务7管理域中的组账户使用全局组GlobalGroupRules成员属于成员资格作用范围权限范围Mixedmode:包含来自同一个域的用户帐号Nativemode:包含来自同一个域的用户帐号和全局组Mixedmode:全局组可以是域本地组的成员Nativemode:全局组可以是任何一个域中的通用和域局部组，以及同一个域中的全局组成员全局组在域和所有信任域可见目录林中所有域

AddAddGlobalGroup任务7管理域中的组账户使用域本地组DomainLocalGroupRules成员属于成员资格作用范围权限范围Mixedmode:可以包含任何域的用户和全局组Nativemode:可以包含目录林中的任何域的用户帐号全局组和通用组，以及同一域的域本地组。Mixedmode:本地组不能是任何组的成员Nativemode:域本地组可以是同一域中的域本地组域本地组只在它自己的域中可见域本地组位于其中的域

AddAddGlobalGroupDomainDLGDomainLocalGroup任务7管理域中的组账户使用通用组成员属于UniversalGroupRules成员资格Mixedmode:不能创建Nativemode:可以包含来自目录林中的任何域的用户和帐号全局组和其它通用组Mixedmode:不能创建Nativemode:可以是任何域中的域本地和通用组成员作用范围通用组在目录林中的所有域都是可见权限范围目录林所有域

AddfromMultipleDomainsGlobalGroupUniversalGroup任务7管理域中的组账户使用全局和域本地组UserAccountsGlobalGroupsGlobalGroupDomainLocalGroupPermissionsAGDLPGDLG添加域用户帐号到全局组(Optional)把一个全局组添加到另一个全局组把全局组添加到一个域本地组赋予相应权限给相应的域本地组任务7管理域中的组账户使用通用组的嵌套策略把用户帐号添加到全局组GlobalGroupUsers把全局组嵌套到一个通用组中GlobalGroupUniversalGroup把一个全局组嵌套到另一个全局组中GlobalGroupGlobalGroup把通用组添加到为资源创建的域本地组UniversalGroupDomainLocalGroupDLG把组中用户的合适权限分派给域本地组PermissionsDomainLocalGroupDLG任务7管理域中的组账户问题1：在目录树和目录林中使用组AccountantsNeedtoGainAccesstotheAccountingDataAcrosstheForestHowDoYouSetUpGroups??DomainADataDomainCDataDomainBData任务7管理域中的组账户问题1：在目录树和目录林中使用组（2）DomainAAccountingDivisionAccountsPayableAccountsReceivableDomainBDomainCCreateGlobalGroupstoConsolidateUserswithSimilarJobTasks任务7管理域中的组账户问题1：在目录树和目录林中使用组（3）DomainAAccountingDivisionAccountsPayableAccountsReceivableDomainBDomainCNestGlobalGroupsintotheGlobalGroupinEachDomain任务7管理域中的组账户问题1：在目录树和目录林中使用组（4）DomainAAddtheGlobalGroup

fromEachDomaininto

theUniversalGroupDomainBDomainCAllAccountantsAccountingDivisionAccountingDivisionAccountingDivision任务7管理域中的组账户问题1：在目录树和目录林中使用组（5）CreateDomainLocalGroupthatHavePermissionsforAppropriateResourcesDomainBDomainCDomainADataDLGDLGDLGDataDataFullControlPermission任务7管理域中的组账户问题1：在目录树和目录林中使用组（6）AddUniversalGroupintoDomainLocalGroupsDomainBDomainCDomainAAllAccountantsDLGDLGDLGDataDataData任务7管理域中的组账户问题2：在目录树和目录林中使用组（1）

AllAccountantsDomainADomainBDomainCNewDomainDLGDLGDLGCreateNewGlobalGroups任务7管理域中的组账户问题2：在目录树和目录林中使用组（2）

AllAccountantsDomainADomainBDomainCNewDomainDLGDLGDLGDLG任务7管理域中的组账户问题2：在目录树和目录林中使用组（3） AddtheGlobalGroupinto

theUniversalGroup

AllAccountantsDomainADomainBDomainCNewDomainDLGDLGDLGDLGAddtheUniversalGroupintothe

DomainLocal

Group任务7管理域中的组账户设置密码策略的方针设置“强制密码历史”至少为２４个设置密码最长期限最多为４２天设置最短密码期限最少为２天设置密码长度对短为８个字符启用密码必须符合复杂性要求策略设置任务7管理域中的组账户身份验证,授权和管理帐号的方针不要随意使用帐号锁定策略不