第4章用户和组管理课件.ppt-淘文阁

资源描述

《第4章用户和组管理课件.ppt》由会员分享，可在线阅读，更多相关《第4章用户和组管理课件.ppt（46页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、LIAO NINGJIDIANPOLYTECHINIC 网络操作系统管理及应用网络操作系统管理及应用辽宁机电职业技术学院辽宁机电职业技术学院丛佩丽丛佩丽辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用用户和组管理用户帐户管理组管理组策略辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用用户帐户与组管理 v Windows Server 2003是一个可以建立多域、可供多人使用的操作系统，因此域上用户与计算机的管理就是服务器上最重要也是最复杂的一环。v 为了整个系统的安全以及提供良好的服务，每个用户都应有自己的用户账户，以不同

2、的组或权限来存取服务器上或域上的资源。v 除了单独设置个人账户之外，也可以使用组的观念将一些用户账户集中起来，当更改组的属性时，该属性也会应用到改组的成员中。如此以来，可以减少一一修改用户属性的麻烦辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用用户帐户管理 v Windows Server 2003的用户有两种类型：域用户帐户：域用户帐户建立在域控制器的Active Directory数据库内，域用户帐户可以在域内的任何计算机上登录，所有的域控制器都可以对该用户进行登录身份验证本地用户帐户：成员服务器和独立服务器上建立的用户是本地用户，用户可以登录到

3、本机，但是不能登录到域控制器上，也不能使用域内资源辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用用户帐户管理 v 内置的用户帐户 Administrator（系统管理员）：该帐户具有最高的权限，可以管理域内的所有资源，为了安全，可以将其改名，但是无法将此帐户删除 Guest（客户）：是临时使用的帐户，这个帐户只有少部分权限，提供给偶尔登录的用户使用，对系统的安全有好处辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用用户帐户管理 v 用户帐号的创建依次选择【开始】|【程序】|【管理工具】|【Active Direct

4、ory用户和计算机】选项并从弹出的对话框中双击域名，然后右击【users】组织单位，再从弹出的快捷菜单中依次选择【新建】|【用户】的命令。辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用用户帐户管理单击【下一步】按钮，进行密码设置辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用用户帐户管理单击【下一步】按钮后，提示用户账户的信息辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用用户帐户管理 v 修改【组策略】所有新创建的域用户账户，可以被用来在网络上从成员服务器或Windows

5、2000 Professional计算机登录，却无法直接在域控制器登录，除非被赋予【本地登录】的权利。如果要赋予域用户帐户在域控制器上登录的权限，必须修改【组策略】。【组策略】的修改一定要小心，除非是管理员有特殊需要，并且能保证修改完以后还可以再恢复，否则可能造成不可预知的错误。辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用用户帐户管理 v 修改【组策略】依次选择【开始】|程序】|管理工具】|【Active Directory用户和计算机】选项，选中【Domain Controllers】，单击右键，选择【属性】辽宁机电职业技术学院辽宁机电职业技

6、术学院网络操作系统管理及应用网络操作系统管理及应用用户帐户管理单击【编辑】，有两项内容，分别是【计算机配置】和【用户配置】辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用用户帐户管理选择【计算机配置】|【windows设置】|【安全设置】|【本地策略】选项，单击【用户权利指派】，这时在右侧窗口中出现很多内容，双击【在本地登录】选项辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用用户帐户管理可以看到，系统默认的允许在域控制器上登录的用户组有Account Operators，Administrators，Backu

7、p Operators，Print Operators，Server Operators，没有域用户帐户，单击【添加】按钮辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用用户帐户管理单击右下脚【高级】按钮，再单击【立即查找】按钮，可以在这个对话框中选择允许在域控制器上登录的用户与组，如果让所有的域用户都可以在域控制器上登录，双击Users 辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用用户帐户管理依次单击【确定】按钮，在【在本地登录】的用户就由五组增加为六组单击【确定】返回【组策略】窗口，关闭此窗口，返回【Doma

8、in Controllers】属性对话框时，单击【确定】关闭此窗口即可组策略设置完成以后并不能立即生效，要使组策略生效，需要将计算机重新启动，每次计算机重新启动时，会重新应用组策略辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用用户帐户管理v 域用户账户的属性设置要设置用户账户的属性时，选择该用户，单击鼠标右键打开【属性】选项辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用用户帐户管理账户信息的设置选择【账户】选项卡，在这里介绍用户账户的【登录时间】、【登录到】以及【账户过期】等设置辽宁机电职业技术学院辽

9、宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用用户帐户管理账户过期设置账户的有效期限，默认为账户永不过期，也可以选择【在这以后】单选框，并确定账户过期的时间。登录时间的设置【登录时间】用来设置允许用户登录到域的时段，默认是用户可以在任何时段登录域。设置时，单击【登录时间】按钮辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用用户帐户管理限制用户只能够从某些工作站登录【登录到】用来设置允许用户登录到域的计算机，系统默认为用户可从任何一台计算机登录域，也可以限制用户只能从某些计算机登录域。辽宁机电职业技术学院辽宁机电职业技术学院网络操

10、作系统管理及应用网络操作系统管理及应用用户帐户管理配置文件单击【配置文件】标签辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用用户帐户管理成员隶属单击【隶属于】标签辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用用户帐户管理在这个属性页下，可以规划该用户所属于的组。在Windows Server 2003的内建组中各有各的权限，如果我们想让该用户具备某一权限，则可加入对应的组。例如，如果希望用户李娜具有管理员的权限，则应该将域用户李娜加入管理员组。因此，单击【添加】按钮，再单击【高级】|【立即查找】按钮，找到

11、【Administrators】组辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用用户帐户管理最后单击【确定】按钮完成操作，会发现用户李娜同时隶属于【users】组和【Administrators】组辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用用户帐户管理v 管理域用户账户依次选择【开始】|【程序】|【管理工具】|【Active Directory用户和计算机】选项，打开【 Active Directory用户和计算机】对话框，选定用户账户并右击，打开快捷菜单，然后选择相应的命令来管理与用户账户复制禁用账

13、本地域组、全局组和系统组。成员服务器和独立服务器内包含了一些内置的本地组与系统组辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用组管理v 内置的本地域组在Windows Server 2003域的活动目录内，系统内置了一些本地域组，这些组已经被赋予了一些权利与权限，以便管理域控制器和Active Directory。只要将用户添加到此组，则该用户也具有同样的权利与权限。这些内置的本地域组位于Active Directory的Builtin组织单位内。类型有以下几种： Administrators Server Operators Account Ope

14、rators Printer Operators Backup Operators Users Guests辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用组管理v 内置的全局组当建立一个域时，系统会Active Directory在内建立一些内置的全局组。这些全局组本身并没有任何的权利与权限，但是可以通过将其加入到具备权利或权限的本地域组，或者直接给此全局组指派权利或权限这些内置的全局组是位于组织单位内。以下列出几个较常用的全局组 Domain Admins Domain Users Domain Guests Enterprise Admins辽宁机

15、电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用组管理v 内置的本地组在Windows Server 2003独立服务器、Windows Server 2003成员服务器的本地安全数据库中，系统内置了一些本地组，这些组本身已被赋予了一些权利与权限，以便让其具备管理本地计算机的功能。只要将用户或全局组等帐户加入到此本地组内，这些帐户也将具有相同的权利与权限。以下列出几个较常用的本地组： Administrators Backup Operators Users Guests Power Users辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络

16、操作系统管理及应用组管理v 内置的系统组系统组位于每台Windows Server 2003计算机内，这些组的成员根据用户如何访问资源而定。无法更改这些组的成员，也就是说，无法在“Active Directory用户和计算机”或“计算机管理”内看到、管理这些组。这些组只有在设置权利、权限时才看得到。以下列出几个较常用的系统组： Everyone Authenticated Users Interactive Network Creator Owner Anonymous Logon Dialup辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用组管理v 域

17、组的添加、删除与更名在【 Active Directory用户和计算机】对话框选择域名或某个组织单位，单击鼠标右键，从弹出的快捷菜单中依次选择【新建】|【组】命令在【组名】文本框输入域组的名称，在【组名（Windows 2000 以前版本）】文本框中输入供旧操作系统访问的组名在【组作用域】复选框中选择组的使用领域：【本地域】、【全局】或【通用】在【组类型】复选框中选择组的类型：【安全组】或【通讯组】单击【确定】按钮，完成域组的建立。可以看到自己的组辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用组管理v 添加域组的成员要将用户账户和组加入到域组

18、中，可以在【Active Directory用户和计算机】对话框中双击域名或某组织单位，并在所选的域组上单击鼠标右键，并从弹出的快捷菜单中选择【属性】|【成员】|【添加】命令，选定要被加入的成员，例如用户账户或组等，然后单击【添加】按钮，最后单击【确定】按钮，完成设置辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用组管理v 本地组的建立本地组是建立在Windows 2000 Professional、 Windows 2000、 Windows Server 2003独立服务器或成员服务器的本地安全数据库内，而不是域控制器内。本地组只能访问此组所在计算

19、机内的资源，无法访问网络上的资源。建议只在未加入域的计算机内建立本地账户，而不要在加入域的计算机内建立本地组账户，因为无法通过域内其他任何一台计算机来访问这些账户、设置这些账户的权限，因此这些账户无法访问域上的资源，同时域系统管理员也无法管理这些本地组账户。本地组内的成员可以是所属域内或所信任域内的用户账户、全局组、通用组以及本地用户账户。建立本地账户方法和建立域组，方法类似辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用组策略 Windows Server 2003提供了“组策略”，以便能更容易地控制与管理网络上用户的工作环境与计算机的环境、减轻网

20、络管理的负担、降低网络管理的成本。通过修改“组策略”，使普通用户可以在域控制器上登录，这是对用户工作环境和计算机工作环境的设置。除了以上功能，“组策略”还提供了很多强大的功能，以下列举一些常用功能：帐户策略的设置例如设置密码长度、密码使用期限、帐户锁定策略等。本地策略的设置例如审核策略的设置、用户权利的指派、安全性的设置。脚本的设置例如登录/注销、启动/关闭脚本的设置。用户工作环境的设置例如隐藏用户桌面上所有的图标、删除“开始”菜单中的“运行”“搜索”/“关机”等功能、在“开始”菜单中添加“注销”的功能等。软件的安装与删除用户登录时或者计算机启动时，自动为用户安装指定的应用程

21、序、自动修复所安装的程序或者自动删除所安装的程序。文件夹的重定向例如改变“我的文档”、“My Pictures”等数据的存储位置。辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用组策略 v 管理模板策略的设置通过例子来介绍如何设置管理模板策略，例如将【开始】菜单中的【运行】命令删除。 1. 建立设置时需要的单位和用户帐户单击【开始】|【程序】|【管理工具】，再单击【Active Directory用户和计算机】，对着域名单击鼠标右键，选择【新建】中的【组织单位】，新添加的组织单位的名称是人事处。在组织单位中创建用户账户张历历，再在组织单位人事处

22、中以同样的方法新建一个组织单位会计，在组织单位会计中新建一个用户账户，用户登录名为test。辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用组策略设置与测试组策略的功能设置组策略以administrator身份登录以后，通过【开始】|【程序】|【管理工具】|【Active Directory用户和计算机】的方式单击域名，对着组织单位人事处单击鼠标右键，选择【属性】中的【组策略】，再选择【新建】，添加一个新的组策略，名称为【rsc policy】辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用组策略单击【编辑】，选

23、择【用户配置】|【管理模板】，【管理模板】中有很多内容，主要有【windows 组件】，【桌面】，【控制面板】，【系统】和【网络】，选择【windows 组件】中的【任务栏】和【开始】菜单】辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用组策略右侧窗口中详细的内容，用户可以根据自己的需要设置任务栏和开始菜单的内容，例如，从【开始】菜单删除【收藏夹】菜单，将【注销】添加到【开始】菜单等内容，双击【从开始菜单中删除运行菜单】辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用组策略测试组策略组策略设置完成以后，我们利用已经

24、建立的用户来测试组策略是否正常。将用户administrator注销，利用组织单位“人事处”中的用户“张历历”登录，如果设置正确，会发现登录以后，【开始】菜单中的【运行】命令不见了。再用组织单位“会计”中的用户“test登录”，会发现用户test登录以后，【开始】菜单中的【运行】命令也不见了，这说明组策略继承了辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用组策略 v 登录/注销脚本的设置在建立域用户时，我们已经接触了组策略，通过修改组策略，使普通用户可以在域控制器上登录，修改的部分是【组策略】中的【计算机设置】，这部分内容是修改【组策略】中的【用户

26、事先编辑好的登录脚本文件【复制】|【粘贴】到此对话框中辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用组策略单击【浏览】，选择“logon”文件夹中的“logon.vbs”脚本文件后，单击【确定】按钮，在【登录属性】对话框中出现了脚本文件辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用组策略依次确定以后，注销当前用户，重新登录，出现如图所示登录脚本提示框。辽宁机电职业技术学院辽宁机电职业技术学院网络操作系统管理及应用网络操作系统管理及应用习题 1练习安装和卸载活动目录。2域用户帐户和本地帐户创建有何不同？向用户提供的功能有何不同？3当计划新用户帐户时，应该考虑哪些方面？4创建域用户帐户需要什么信息？5为什么要使用组？6将一个组添加到另一个的目的是什么？7为什么在一台计算机成为域成员后，就不应该在计算机上使用本地组了？LIAO NINGJIDIANPOLYTECHINIC 辽宁机电职业技术学院辽宁机电职业技术学院丛佩丽丛佩丽

展开阅读全文

第4章 用户和组管理课件.ppt

第4章用户和组管理课件.ppt