用户帐户和组的管理

1、第10章Windows2003/2008用户帐户和组的管理,11.1 用户账户的管理,11.1.1 用户账户的类型 11.1.2 内置的用户账户 11.1.3 建立域用户账户 11.1.4 域用户账户的属性设置 11.1.5 管理域用户账户 11.1.6 建立本地用户账户,11.1.1 用户账户的类型,（1）域用户账户 域用户账户建立在域控制器的Active Directory数据库内。用户可以利用域用户账户来登录域，并利用它来访问网络上的资源，例如访问其他计算机内的文件、打印机等资源。 （2）本地用户账户 本地用户账户建立在Windows 2003/2008独立服务器、Windows 200

2、3/2008成员服务器的本地安全数据库内，而不是域控制器内。用户可以利用本地用户账户来登录此计算机，但是只能够访问这台计算机内的资源，无法访问网络上的资源。,11.1.2 内置的用户账户,（1）Administrator（系统管理员账户） Administrator拥有最高的权限，可以用它来管理计算机与域内的设置，例如建立、更改、删除用户与组账户、设置安全策略、设置用户帐户的权限等。 （2）Guest（客户账户） Guest是供临时用户使用的账户，例如提供偶尔需要登录、或者仅登录一次的用户使用，以便访问网络上的资源。 Guest账户默认状态为“禁用” ，使用前需开启，开启方法见P283图9-4

3、5。,11.1.3 建立域用户账户,必须使用“Active Directory用户和计算机”管理单元来建立域用户账户。当使用这个管理单元来建立账户时，这个账户会被建立在MMC控制台所找到的第一台域控制器内，以后该账户会被自动复制到此域内的所有域控制器内。 在每个用户账户添加完成后，活动目录都会为其建立一个惟一的安全识别码（Security Identifier，SID），Windows 2008系统内部是利用这个SID来代表该用户，有关的权限设置等都是通过SID来设置的，而不是利用用户的账户名称。,域用户帐户建立过程：,域用户帐户建立过程：,图11-1 “新建对象-user”对话框,图11-2

4、 设置密码,11.1.4 域用户账户的属性设置,1用户个人信息的设置 所谓“用户个人信息”，就是指姓名、地址、电话、传真、移动电话、公司、部门、职称、电子邮件、Web页等。如图11-3所示,图11-3 “属性”对话框,2账户信息的设置 选择“账户”选项卡，如图11-4所示。 （1）账户过期 （2）登录时间的设置 （3）限制用户只能够从某些工作站登录,图11-4 “账户”选项卡,图11-5 “登录时段”窗口,图11-6 设置允许登录的工作站,11.1.5 管理域用户账户,依次选择“开始”“服务器管理器”“Active Directory用户和计算机”选项，打开“活动目录用户和计算机”对话框，选定

5、用户账户并右击，打开如图11-7所示的快捷菜单，然后选择相应的命令来管理域用户账户。 （1）复制。 （2）停用账户/启用账户。 （3）重命名。 （4）删除账户。 （5）重设密码。 （6）解除被锁定的账户。,图11-7 管理域用户账户,11.1.6 建立本地用户账户,本地用户账户是建立在Windows 2003/2008独立服务器或成员服务器的本地安全数据库内，而不是域控制器内的账户。用户可以利用本地用户账户登录此账户所在的计算机，但是无法登录域，同时只能够访问这台计算机内的资源，无法访问网络上的资源。,11.2 组的建立,11.2.1 域组的管理 11.2.2 本地组的建立 11.2.3 内置

6、的组,11.2.1 域组的管理,可以依次选择“开始”“程序”“管理工具”“Active Directory用户和计算机”选项，打开“Active Directory用户和计算机”对话框，来添加、删除与管理域组。 1域组的添加、删除与更名 2添加域组的成员,图11-8 “新建对象-group”对话框,图11-9 “选择用户、联系人或计算机”对话框,11.2.2 本地组的建立,本地组是建立在Windows2000/2008独立服务器或成员服务器的本地安全数据库内，而不是域控制器内。本地组只能够访问此组所在计算机内的资源，无法访问网络上的资源。 建议只在未加入域的计算机内建立本地组账户，而不要在加入域的计算机内建立本地组账户，因为无法通过域内其他任何一台计算机来访问这些账户、设置这些账户的权限，因此这些账户无法访问域上的资源，同时域系统管理员也无法管理这些本地组账户。,11.2.3 内置的组,Windows 2008域内含多个内置的组，包括本地域组、全局组与系统组。而Windows 2008独立服务器、Windows 2008成员服务器内则包含了一些内置的本地组与系统组。这些组本身己被赋予了一些权利与权限，以便让其具备管理域控制器与活动目录的能力。只要将用户或全局组等账户加入到这些内置的本地域组内，这些账户也将具有相同的权利与权限。,图11-10域中内置的组,11.3用组策略配制帐户策