windows-server-2008用户与组管理

用户和组的管理用户和组的管理项目情境岭南信息技术有限公司于2012年为某上市公司扩建了集团总部的内部局域网，该局域网覆盖了集团的3栋办公大楼，包括信息点共计1000余个，并拥有各类服务器约30余台。由于公司计算机和用户数量较多，因此，为了方便管理，要根据用户所属的部门类型设置不同的账户和权限，那么如何正确而有效地进行用户和组的管理才能实现这一目的呢？项目2用户和组的管理项目分析（1）为了保证系统资源合理利用，需要局域网中的用户向管理员申请账户，通过账户进入系统，从而方便管理员对特定的用户进行跟踪和管理，控制这些用户对资源的访问。（2）可以利用组账户帮助管理员简化操作的复杂程度，同一类型的用户可以加入同一个组，从而降低管理的难度。用户和组的管理项目目标（1）熟悉用户账户的创建与管理。（2）熟悉组账户的创建与管理。（3）掌握本地安全策略的设置。项目2用户和组的管理项目任务任务1用户的创建与管理任务2组账户的创建与管理任务3设置本地安全策略用户和组的管理任务1用户的创建与管理1用户的创建与管理任务知识准备1．用户账户概述用户账户是计算机的基本安全组件，计算机通过用户账户来辨别用户身份，让有使用权限的人登录计算机，访问本地计算机资源或从网络访问这台计算机的共享资源。指派不同用户不同的权限，可以让用户执行不同的计算机管理任务。 2．系统的内置账户Administrator和GuestAdministrator：使用内置Administrator账户可以对整台计算机或域配置进行管理，如创建修改用户账户和组、管理安全策略、创建打印机、分配允许用户访问资源的权限等。Guest：一般的临时用户可以使用内置Guest账户进行登录并访问资源。

任务1用户的创建与管理3．用户账户的命名规则（1）命名约定。①账户名必须唯一：本地账户必须在本地计算机上唯一。②账户名不能包含的字符：*/\[]::|=，+/<>“。③账户名最长不能超过20个字符。（2）密码原则。①一定要给Administrator账户指定一个密码，以防止他人随便使用该账户。②确定是管理员还是用户拥有密码的控制权。③密码不能太简单，应该不容易让他人猜出。④密码最多可由128个字符组成，推荐最小长度为8个字符。⑤密码应由大小写字母、数字以及合法的非字母数字的字符混合组成，如“P@ssw0rd”。

任务1用户的创建与管理任务实施1．创建本地用户账户（1）打开“开始→管理工具→计算机管理”，如图2.2所示。（2）在“计算机管理”管理控制台中，展开“本地用户和组”，在“用户”目录上单击鼠标右键，选择“新用户”命令，如图2.3。图2.2计算机管理界面图2.3选择“新用户”命令用户的创建与管理任务实施（3）打开“新用户”对话框后，输入用户名、全名和描述，并且输入密码，如图2.4所示。可以设置密码选项，包括“用户下次登录时必须更改密码”、“用户不能更改密码”等，设置完成后，单击“创建”按钮新增用户账户，如图2.4所示。图2.4“新增用户”对话框任务1用户的创建与管理任务实施2．设置用户账户的属性在“本地用户和组”的右侧栏中，双击一个用户，将显示“user1属性”对话框，如图2.5所示。（1）“常规”选项卡可以设置与账户有关的描述信息（2）“隶属于”选项卡在“隶属于”选项卡中，可设置将该账户加入到其他的本地组中。（3）“配置文件”选项卡在“配置文件”选项卡可以设置用户账户的配置文件路径、登录脚本和主文件夹路径。图2.5“user1属性”对话框任务1用户的创建与管理任务实施3．删除本地用户账户在“计算机管理”控制台中，选择要删除的用户账户，执行删除功能，如图2.10所示，但是系统内置账户，如Administrator、Guest等无法删除。删除用户账户时会出现如图2.11所示的对话框。图2.10删除用户账户图2.11删除账户时的对话框项目2用户和组的管理任务2组账户的创建与管理2组账户的创建与管理任务知识准备组账户是计算机的基本安全组件，它是用户账户的集合。但是，组账户并不能用于登录计算机，但是可以用于组织用户账户。通过使用组，管理员可以同时向一组用户分配权限，故可简化对用户账户的管理。组可以用于组织用户账户，让用户继承组的权限。注意：同一个用户账户可以同时为多个组的成员，这样该用户的权限就是所有组权限的合并。任务2组账户的创建与管理打开“计算机管理”管理控制台，在“本地用户和组”树中的“组”目录里，可以查看本地内置的所有组账户，如图2.12所示。图2.12内置组账户组账户的创建与管理任务实施1．创建本地用户组从“计算机管理”控制台中展开“本地用户和组”，鼠标右键单击“组”按钮，选择“新建组”命令，如图2.13所示。在“新建组”窗口中输入组名和描述，如图2.14所示，然后单击“创建”按钮即可完成创建。在图2.14中，在创建用户组的同时向组中添加用户，单击“添加”按钮，图2.13选择“新建组”命令图2.14输入组名和描述任务2组账户的创建与管理任务实施2．删除、重命名本地组及修改本地组成员在“计算机管理”控制台中选择要删除的组账户，然后执行删除功能，如图2.16所示，在弹出的对话框中选择“是”即可。但是，管理员只能删除新增的组，不能删除系统内置的组。当管理员删除系统内置组时，系统将拒绝删除操作。重命名组的操作与删除组的操作类似。图2.16删除操作用户和组的管理任务3设置本地安全策略3设置本地安全策略任务知识准备系统管理员可以通过设置安全策略，确保执行的WindowsServer2003计算机的安全。WindowsServer2003在“管理工具”菜单提供了“本地安全设置”控制台，可以集中管理本地计算机的安全设置原则，使用管理员账户登录到本地计算机，即可打开“本地安全设置”控制台，如图2.19所示。图2.19“本地安全设置”控制台任务3设置本地安全策略任务实施1．密码安全设置WindowsServer2003的密码原则主要包括以下四项：密码必须符合复杂性要求，密码长度最小值，密码使用期限和强制密码历史等。（1）密码必须符合复杂性要求。只要在“本地安全设置”中选择“账户策略”下的“密码策略”，双击右边的“密码必须符合复杂性要求”，选择“已启用”即可，如图2.20所示。图2.20启用密码复杂性要求任务3设置本地安全策略（2）密码长度最小值。默认密码长度最小值为0个字符。最好设置最小密码长度为6或更长的字符。（3）密码使用期限。默认密码最长有效期设置为42天，用户账户的密码必须在42天之后修改，也就是说密码在42天之后会过期。默认密码的最短有效期为0天，即用户账户的密码可以立即修改。与前面类似，可以修改默认密码的最长有效期和最短有效期。（4）强制密码历史。默认强制密码历史为0个。如果将强制密码历史改为3个，即系统会记住最后3个用户设置过的密码，当用户修改密码时，如果为最后3个密码之一，系统将拒绝用户的要求。这样可以防止用户重复使用相同的字符来组成密码。任务实施任务3设置本地安全策略任务实施2．账户锁定策略账户锁定阈值为“0次无效登录”，可以设置为5次或更多的次数以确保系统安全，如图2.23所示。3．用户权限分配用户权限的分配在“本地安全设置”的“本地策略”下设置，如图2.24所示。图2.23账户锁定阈值图2.24用户权限分配任务3设置本地安全策略任务实施（2）允许本地登录。决定哪些用户可以交互式地登录此计算机，默认为Administrators、BackupOperators、PowerUsers，如图2.26所示。（3）关闭系统。决定哪些本地登录计算机的用户可以关闭操作系统。默认能够关闭系统的是Administrators、BackupOperators和PowerUsers，如图2.27所示。图2.26允许在本地登录界面图2.27关闭系统界面项目2用户和组的管理实训2用户和组的管理

2实训2用户和组的管理实训目标（1）熟悉WindowsServer2003各种账户类型。（2）熟悉WindowsServer2003用户账户的创建和管理。（3）熟悉WindowsServer2003组账户的创建和管理。（4）熟悉WindowsServer2003安全策略的设置。实训2用户和组的管理实训准备（1）网络环境：已建好1