局域网与组网实训教程 第5章 管理用户和组.ppt

1、第5章 管理用户和组,51 实训目的 掌握用户的创建和管理。 掌握用户组的创建和管理。 掌握NTFS的文件系统安全设置。,52 实训预备知识 Windows 2000操作系统应用于企业，它的作用主要是组织和管理局域网。在网络中，不是每个用户都可以随便使用网络上的资源，例如财务部门的账目就不能随便让无关的人阅读和修改。要使网络能够安全地运行，必须对网络上的用户进行有效地管理。在网络管理中，账户管理是基础。离开账户谈网络，将失去网络本身的含义。对用户和计算机的管理实际上就是对他们的账户进行管理。,521 用户帐号 用户账户是指用户登录网络所需要的用户名和密码、所在的工作组、可以访问哪些网络资源等。

2、经常使用计算机的每一个用户应有一个用户账户。用户账户以用户名和密码标识，在用户登录计算机时键入。在以Administrator（系统管理员）身份登录到计算机之后，可以创建专用的用户账户，然后再为其指定权限，即决定用户可以访问哪些文件、文件夹和计算机。,在安装Windows 2000 Server时，操作系统自动为域控制器设置一个名为Administrator的高级用户(系统管理员)，这个用户拥有管理计算机中各种资源的权力,不是每个用户都可以以这个用户的身份登录计算机的，这个用户的密码必须保密。当其他用户想要登录到Windows 2000网络上时, 管理员在域控制器中必须给每个用户设置各自独有的

3、用户账户。每个用户在用户端只能使用自己的账户来登录网络,这样才能确保网络的安全。,522 组的概念 我们可以把组看作是一个班级，用户便是班级里的学生。（如图5-1）当我们要给一批用户分配同一个权限时，就可以将这些用户都归到一个组中，只要给这个组分配此权限，组内的用户就都会拥有此权限。（如图5-2）就好像给一个班级发了一个通知，班级内的所有学生都会收到这个通知一样。 组是为了方便管理用户的权限而设计的。,图5-1,图5-2,组的类型 作为一个组，其内部所有成员都拥有相同的权限，权限是组的一个基本特征。另外，组的名称可以用作系统辨认不同组的标识。在Windows 2000 Server域中，能维护

4、两种类型的组，即：本地组和全局组。本书以本地组为例。,1本地组 本地组包含用户账户和一个或多个域的全局组账户，当其他域的用户和全局组属于某一个被信任域时，才能将它们添加到本地组中。例如：域中的某一个用户要在其他域资源上扩展使用权力和权限时，可以将其添加到域的全局组中，然后将全局组添加到信任域的本地组中。,2全局组 全局组是包含在一个组账户名下组成的统一域的许多用户账户，全局组只能包含全局组的域中的用户账号。,内置组 Windows 2000 Server提供了许多内置组。如图5- 3所示。虽然可以修改这些内置的组，但是不可以删除它们。下面解释一下这些内置组的权限和用途，以便读者可以正确地将新建

5、的用户账户添加到各个组中。,图5-3,1Administrators组 管理员组内用户有权创建、删除、修改和编辑用户及组账号；修改系统注册表、安装、自动和中止服务；改变文件和目录许可属性；创建和共享诸如打印机及目录结构这样的资源；设定用户配置文件；管理域内的计算机成员；以及向域内添加服务器和工作站。如上所述，管理员组看来是indows 2000目录服务里权力最大的一个组。但是，管理员实际没有拥有对域内所有资源的访问权限。,2Server Operators组 默认情况下为管理员组分配的许多权限都被划分到两个组内：服务器操作员和账号操作员。其中，Server Operators可执行许多以服务器

6、为基础的、由域管理员经手的任务。,作为服务器操作员组的成员，可创建、管理和中止共享卷服务；用本地或网络方式登录到服务器；改变服务器的时钟；锁定服务器或为服务器解锁；格式化服务器的硬盘驱动器；进行服务器备份；关闭服务器系统；并能创建、管理和中止共享打印机服务。这个组通常被委托执行涉及服务器管理的许多常规任务，而且无需授予其管理权限。,3Account Operators组 正如前面指出的那样，为管理员组分配的许多权限都划分到两个独立的组内。服务器操作员能执行许多服务器管理方面的任务，而账号操作员则能完成用户账号的管理任务。特别是账号操组员能修改密码、变更组成员、创建新的用户和组、修改登录时数、在

7、域内添加NT工作站和NT服务器、关闭服务器系统、修改配置文件和登录脚本、重设密码、解除对用户账号的锁定以及对用户重命名。,然而，账号操作员不能查看或修改其他账号操作员、服务器操作员、管理员、备份操作员或打印操作员的各项属性。Account Operators组的成员通常担负有日常的用户管理职责。,4Print Operators组 Print Operators组的成员能完成一些日常的管理任务，这些任务通常与管理员组有关。打印操作员能创建、管理和共享打印机；通过本地方时登录到服务器；并能关闭服务器系统。能创建的打印机既包括本地打印机，也包括网络共享打印机。这个组的成员一般包括网络技术人员和帮助

8、台员工。,5Backup Operators组 Backup Operators组成员可通过本地方时登录到服务器，并能关闭服务器系统。此外，备份操作员组具有某些特殊的能力，可绕过文件和目录许可，对服务器上的所有文件进行备份，其中包括一些他们通常无权访问的文件。极少有真正的用户成为这个组的成员。大多数情况下，只有具有服务ID的用户才能是这个组的成员。,6Users组 Users组成员可以操作计算机和保存文档，但不能安装程序以及对系统文件和设置进行有可能具有破坏性的改变。用户组不能访问一个受委托域内的资源。尽管这个组的成员可登录到其它域，但不能访问除明确赋予权限以外的其他任何资源。,7Guests

9、组 默认时，来宾组没有任何权限，而且只能是一名成员（来宾）。除非专门为其授予了资源的访问权限，否则这个组的成员除了能登录到域之外不能做任何事情。,8Replicator组 Replicator组是为“目录复制”服务提供一个登录服务账号，支持文件复制。,523 域和工作组的差别 域和工作组都是由一些计算机组成，比如我们可以把公司的每个部门组织成一个域或者一个工作组，网络部、软件部、销售部、客户服务部等等。这种组织关系和物理上电脑之间的连接没有关系，是逻辑意义上的。一个网络中可以创建多个域和多个工作组。,他们之间的区别可以归结为以下几点： 首先创建方式不同，“工作组”可以由任何一个计算机的主人来创

10、建，他在“工作组”输入新名称，重新启动一下就创建了一个新组，每一个电脑都可以创建一个组。而“域”只能由服务器来创建，其他的计算机只能加入这个域。如图5-4。,图5-4,其次是安全机制不同，在“域”中有可以登录该域的帐号，这些由域管理员来建立。在“工作组”中不存在组帐号，只有本机上的帐号和密码。如图5-5。,图5-5,再次登录方式不同，在工作组方式下，计算机启动后自动就在工作组中。登录“域”是要提交“域用户名”和“密码”，一旦登录，便被赋予相应的权限。如图5-6,图5-6,53 实训内容 531 创建用户帐号与管理 Windows 2000 Server提供了两个重要的内置用户账户：Admini

11、strator和Guest。Administrator拥有对域最全面的控制权限。为了防止别人以管理员身份登录，最好将该账户名称改为其他不显眼的名称。Guest是Guests组的一名成员。因此，这种用户在整个域的范围内没有任何的权限。某些情况下，使用来宾账号大有好处，特别是在一台服务器提供普遍的企业范围访问权限时。,Administrator是用于管理整个系统的用户，所以只有系统管理员才能使用。系统管理员拥有对整个网络的完全控制权，这个账户绝对不能被删除，但是可以更改其用户名称。至于名称的更改，当然是基于安全的考虑。毕竟会使用Windows 2000 Server的人都知道，系统管理员的默认名称

12、就是Administrator。,在安装服务器成为域控制器的同时，应牢记系统管理员的密码（将它写下来放到安全的地方是比较妥当的办法），一旦忘记了，除非重新安装Windows 2000 Server，否则是无法挽救的。,Guest是一个供来宾使用的公开用户，主要供临时想登录域，但又没有账号的用户暂时使用。请注意，这是一个网络上无法辨识的用户！所以基于安全的考虑，这个账户的默认值禁用，而且应该一直保持在这个状态。,1） 户加用账户的步骤如下： 从“开始”菜单中，选择“程序/管理工具/计算机管理”，在屏幕上的“计算机管理窗口”，打开“用户”文件夹，见图5-7。,图5-7,在窗口右侧，单击鼠标右键，在

13、弹出的快捷菜单中选择“新用户”如图5-8。在“新用户”对话框中输入用户名、全名、描述、密码。,图5-8,用户名最多可以包含20个字符，在全部由Windows操作系统组成的网络中可以用中文汉字，每个汉字相当于两个字符，因此可以使用不超过10个汉字的中文名称来作为用户名。用户名不能包含“”、“/”、“”、“；”、“：”、 “|”、“=”、“+”、“*”、“？”、“”、“”等字符，也不要使用空格，否则在某些操作上可能会出现问题。,在密码对话框中输入密码或不填写密码并选择“用户下次登录时须更改密码”选项，以便让用户在第一次登录时修改密码，如图5-9所示。,图5-9,图5-10为新建的用户。,图5-10

14、,选中新建的用户单击鼠标右键，选择“属性” 如图5-11，我们可以看到，新用户隶属于user组，如图5-12。,图5-11,图5-12,2） 修改用户账户密码 选择用户单击鼠标右键，选择“设置密码”如图5-13，在密码设置对话框中输入新的密码，见图5-14。,图5-13,图5-14,3） 修改用户账户名称 选择用户单击鼠标右键，选择“重命名”，这时可以更改账户名称，对内置的账户的名称也可以更改，如图5-15，5-16（如更改系统管理员的账户名称，这样有利于提高系统的安全性），在更改名称后，由于该账户的安全标识SID 并未被修改，所以，其账户的属性、权限等设置均未发生改变。,图5-15,图5-1

15、6,4）禁用/启用用户账户 1禁用账户 在用户账号上单击鼠标右键，从弹出的快捷菜单中选择“帐户已停用”菜单项，如图5-17，这时将在用户账户上作出禁用标记，告诉管理员所选对象被禁用，如图5-18所示。,图5-17,图5-18,2启用账户 在用户账号上单击鼠标右键，从弹出的快捷菜单中不选择“已停用帐户”菜单项，如图5-19，可以在重新启动用户账户上作出禁用标记告诉管理员所选对象被启用，如图5-20所示。,图5-19,图5-20,532 组的创建与管理 用户可以利用将用户加入到组中的方式，简化网络的管理工作。当用户对组设置了权限后，则组中所有的用户就具有了该权限，这样避免用户对每一个用户设置权限，

16、从而减轻了工作量。,添加用户账户的步骤如下： 从“开始”菜单中，选择“程序/管理工具/计算机管理”，在屏幕上的“计算机管理窗口”，打开“组”文件夹，见图5-21。右键单击“组”，弹出5-22对话框。,图5-21,图5-22,在窗口右侧，单击鼠标右键，在弹出的快捷菜单中选择“新建组”如图5-22。输入组名及对组的描述。也可以选择用户添加为新建组的成员，如图5-23。,图5-23,也可以通过选择组的属性来添加属于本组的用户。如图5-24，5-25，把new用户添加到group01组。,图5-24,图5-25,同样也可以指定用户隶属的组如图5-26所示，new用户隶属于user1组和group01组

17、。如果需要将用户从他所属的指定组中删除，则在“隶属于”选项卡中选择该组，单击删除按钮。注意，用户账户至少隶属于一个组，该组被称为主要组，这个主要组不可删除。,图5-26,533 设置文件的安全性 说到安全性，首先要提Windows 2000采用的NTFS文件系统，在安装Windows 2000的时候安装程序就提示过是否要将磁盘分区转换成NTFS格式的。可能当时你有些担心，会不会把磁盘上的文件都丢掉，会不会在转换的时候要格式化磁盘，其实这个转换的过程是很安全的。只有磁盘采用了NTFS的文件系统，才能给目录、文件提供安全设置。,下面我们就先看看目录的安全设置，从“我的电脑”访问到E盘的“Proje

18、ct”目录，选中此目录，单击鼠标右键，选择“属性” ，如图5-27 。此时出现目录的“属性”，打开“安全”选项卡。上面是分配了安全权限的组或用户列表，下面对应列出他们所拥有的权限，如图5-28。,图5-27,图5-28,Everyone组，他的权限是允许完全控制，只是这些权限的框被标为灰色的，如图5-28，这又有什么特殊的地方吗？这种灰色的框，表示这些权限是继承自父系的，这里又出现一个新概念，那如何来理解父系呢？对于目录Project来讲，E盘根目录是它的上级目录，以前人们叫做父目录，也就是这里所说的目录Project的父系。,在E盘的图标上单击鼠标右键，选择属性，再打开安全选项卡，在这里可以

19、看到Everyone组对E盘所拥有的安全权限，E盘Project的安全权限便是继承它的。,安装好了Windows 2000后，已经可以通过网上邻居访问局域网中的其他电脑，而他们却访问不了我，因为我的电脑总是要他们提供的登录的用户名和密码。如果给每一个人都建立一个帐号的确也很麻烦，实际上很多人的权限都是相同的，而且并不是经常访问，这样分配权限又带来了不便，如何解决这样的矛盾呢？,下面我们要介绍的Windows 内置的Guest用户和Guests组，通过他们就可以解决这样的问题。什么样的用户是Guest呢？,选择“用户”，我们在前面就知道用户Administrator、Guest都是系统自动建立的

20、组，而此时我们正是以Administrator的身份在操作这台电脑，Administrator 具有最高的权限。而Guest用户包括列表中看到的用户以外的用户和使用“Guest”作为用户帐号的人，他们被称作是“来宾”，默认的时候，Guest用户是禁用的，他的图标上面还标示着一个红叉，如图5-29。,图5-29,当我们希望局域网中的用户都可以登录到自己的电脑，但又不愿意为每一个用户建立一个帐号，就可以启用Guest用户，先选中Guest帐号，然后单击鼠标右键，选择属性，如图5-30,图5-30,在常规中可以看到五个关于登录和密码验证方面的选择，其中帐号已停用处于被选中状态，单击该项前面的选择框，

21、把里面的对勾去掉，如图5-31，然后点确定，此时Guest帐号就启用了，网络中的其他用户访问本机时，输入帐号Guest,不用输入密码就可以登录到这台电脑了。,图5-31,当有人以Guest的身份登录到Windows 2000后，他会自动被加入到Guests组中。,文件的所有者问题 在前面讲解如何创建用户时，我们曾提到，Users组的成员可以操作电脑和保存自己的文件，但不能修改其他用户的文件，在Windows 2000中是如何来区别每一个用户文件的呢？这就是文件的所有者。,理解文件的所有者呢？ 比如我用Super的身份登录，然后新建并编辑了一篇文章，那么文章的所有者便是Super,可以简单的理解

22、为，创建文件的用户便是文件的所有者，目录也有所有者的属性，和文件一样。,那么在什么地方可以看到文件的所有者是谁呢？我们先选中一个Word文件，单击鼠标右键，选择属性，如图5-32，打开安全选项卡，再单击最下面的高级按钮，如图5-33，屏幕上出现一个设置文件访问控制的窗口，其中有三项设置内容，点一下所有者，在这个列表中就可以看到该文件的所有者了，可以是用户，也可以是组，如图5-34。,图5-32,图5-33,图5-34,1） 取得所有权 在Everyone组成员的详细权限设置列表，拖动滚动条到最下方，其中有一项权限是取得所有权，被设置为允许，这项权限就是用来选择登录后是否允许他获得文件的所有者权

23、力。这里我们先去掉该权限的选择，然后点确定，再点确定结束设置。现在我们以其他用户身份登录后，就不会自动成为所有者。,那么如何获得文件的所有权呢？如果C盘有一个文件夹Public，是用户New创建的，那么该文件夹的所有者是New,假如用户Super想重新设置文件夹Public的安全性，那么他需要拥有设置的权力，至少要有获得该文件所有者的权力才可以。,如何获得所有者权力呢？先用Super帐号登录Windows，然后查看文件夹Public的属性，打开安全中的高级，再打开所有者选项卡，在下面列表中会显示出当前可以获取所有权的用户名单，从中选择Super,再单击应用，此时上面的当前所有者就自动变成了Su

24、per，现在用户Super就可以修改该文件夹的安全属性了。,2） 自己设置文件的安全性 比如这里我们只希望 系统管理员组 可以读取该目录下的文件和子目录，用户Super对该目录“Project”有完全控制的权限，其他人员或组只能查看目录中的文件和子目录，而不能读取数据。如何来设置呢？ 先要删除“System”组，在“Project”目录上点击右键，选择“属性”。打开“安全”选项卡，图5-35。,图5-35,选中“SYST”组,点删除，图5-36。,图5-36,再选中Everyone组，然后将下面的允许将来自父系的可继承权限传递给该对象前面的选择点掉，图5-37。,图5-37,登录到本机上的任何

25、用户身份都属于Everyone组，如果给Everyone只设置读目录权限，又给一个用户设置写的权限，但最终该用户只有读目录的权限，因为安全属性总是取所有权限中最严格的，而共享则取最多的权限，如果同时设置共享和安全则共享也要按安全设置取最严格的，因为安全的优先权更高。,如图5-38，从列表中，选择Super,点添加，再选Guest,点添加，这里我们使用Guest帐号给其他用户设置只能读取目录的权限。再点确定返回。,图5-38,接下来分别设置权限，先选定Super,如图5-39。,图5-39,在下面的权限中选择允许 完全控制，如图5-40。,图5-40,再选择Guest，点一下允许读取及运行和允许

26、读取，将这两个选择都去掉，只保留列出文件夹目录项，这样Guest身份的用户就只能看到该文件夹的目录了，如图5-41。,图5-41,最后，选择Administrators组，然后其权限也选择为允许读取及运行，下面的列出文件夹目录、读取也被自动选中。到现在为止，点确定所有的设置都完成了，图5-42。,图5-42,拒绝权限的设置 在设置文件的安全性和前面设置共享权限，在权限栏中都有“拒绝”一列, 如图5-43，它又表示什么？我们只需设置是否有允许的权限不就够了吗，要这个拒绝做什么用？,图5-43,实例：比如在E盘上有一个Public目录，这个目录存放一些公共文件，可以允许Users组成员读写，但是这

27、个目录中还有一个Secret目录用来存放一些重要文件，只允许Users组成员读取。,先浏览到E盘的Public目录，将其选中，单击右键选择属性，打开安全选项卡（如图5-44），将其中的Everyone删除（如图5-45），添加上Users组，将权限设置为允许完全控制，然后再打开Public下的Secret目录属性，打开安全选项卡，同样也删除Everyone组，此时Users组拥有完全控制的权限，允许权限显示灰色，(如图5-46)表明该权限是从上一级目录Public上传递下来的，单击拒绝中的写入，选中该项，单击确定，此时Users组成员再往Secret目录中写文件，就会遭到拒绝。,图5-44,图5-45,图5-46,拒绝权限好比是拦路设的屏障，用来阻止来自上一级（父级）下达的命令。,加密文件夹和目录 在Windows 2000的NTFS文件系统中还提供了加密文件和文件夹的功能，自己加密的文件或文件夹，可以象使用其它文件和文件夹一样使用它们，而其他用户会被拒绝访问。当多个用户使用同一台Windows 2000的电脑时，使用这种方法保护自己的私人资料是很有效的。,如何加密文件或文件夹呢？下面我们就看看怎样把E:盘My Documents文件夹及其下面的所有内容都加密。从我的电脑浏览到E:My Documents,选中它，单击鼠标右键，选择属性，在常规选项卡中可以看