《第3章用戶賬戶管理本章要點1用戶賬戶2用戶配置文件3組對于》由會員分享,可在線閱讀,更多相關(guān)《第3章用戶賬戶管理本章要點1用戶賬戶2用戶配置文件3組對于(6頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、第3章 用戶賬戶管理本章要點1用戶賬戶2用戶配置文件3組對于網(wǎng)絡(luò)管理員來講,如何管理好企業(yè)中使用網(wǎng)絡(luò)的用戶是一個比較重要同時也是比較難的一項任務(wù),一般情況下,可以通過用戶賬戶來管理使用網(wǎng)絡(luò)的用戶。本章主要介紹如何管理用戶賬戶,如何管理用戶配置文件以及如何管理組。3.1 用戶賬戶賬戶代表著需要訪問網(wǎng)絡(luò)資源的用戶,從某種意義上來說賬戶就是網(wǎng)絡(luò)世界中用戶的身份證。Windows Server 2003網(wǎng)絡(luò)依靠賬戶來管理用戶,控制用戶對資源的訪問,每一個需要訪問網(wǎng)絡(luò)的用戶都需要有一個賬戶。在Windows Server 2003網(wǎng)絡(luò)中有兩種主要的賬戶類型:本地賬戶和域用戶賬戶。 保存賬戶的數(shù)據(jù)庫叫做安
2、全賬戶管理器(SAM,Security Accounts Manager),為了保證賬戶在域中的惟一性,每一個賬戶剛創(chuàng)建時被分配了一個惟一的SID(Security Identifier,安全識別符),該SID在本計算機(jī)或者本域是獨一無二的。SID不隨賬戶的修改、更名而改動,并且一旦賬戶被刪除則SID也將不復(fù)存在,即便重新創(chuàng)建一個一模一樣的賬戶,其SID也不會和原有的SID一樣,對于Windows Server 2003而言這就是兩個不同的賬戶。在Windows Server 2003中系統(tǒng)內(nèi)實際上是利用SID來對應(yīng)用戶的權(quán)限的,因此如果將一個賬戶刪除,然后創(chuàng)建一個同名的賬戶,那么新的賬戶也不
3、會有原來賬戶的權(quán)限和權(quán)力。3.1.1 本地賬戶本地用戶賬戶只能建立在Windows Server 2003獨立服務(wù)器、Windows Server 2003成員服務(wù)器、或基于Windows XP Professional等計算機(jī)中 ,并且由本機(jī)進(jìn)行管理。在企業(yè)中不推薦使用本地賬戶,因為每臺計算機(jī)都有自己的本地賬戶,如果要登錄某臺計算機(jī)或者從網(wǎng)絡(luò)訪問某臺計算機(jī),必須輸入該計算機(jī)的本地賬戶,計算機(jī)數(shù)目很多,不容易訪問和管理。 本地賬戶主要有三個要點:本地創(chuàng)建:本地賬戶只能在獨立服務(wù)器和成員服務(wù)器上創(chuàng)建,不能在DC上創(chuàng)建。本地存儲:本地賬戶存儲在創(chuàng)建賬戶的那臺計算機(jī)上的systemroot/syst
4、em32/config/SAM中。提示:systemroot代表系統(tǒng)根目錄,也就是安裝完Windows的目錄,一般情況下是C:windows。本地使用:在哪臺計算機(jī)創(chuàng)建的本地賬戶,就只能在那臺計算機(jī)上使用。也就是說在某臺計算機(jī)上創(chuàng)建了本地賬戶,那么只能用這個本地賬戶在該計算機(jī)上登錄,不能在其他計算機(jī)登錄。一般有兩種情況使用本地賬戶:登錄到某臺計算機(jī)時,需要輸入該計算機(jī)的本地賬戶;當(dāng)從網(wǎng)絡(luò)訪問該計算機(jī)時,需要輸入該計算機(jī)的本地賬戶。提示:本書中登錄的含義是指計算機(jī)啟動時按下Ctrl+Alt+Delete輸入用戶名密碼的過程。以下是創(chuàng)建本地賬戶的步驟1“開始”“管理工具”“計算機(jī)管理”,然后在如圖
5、3-1所示的窗口中右擊“用戶”“新用戶”。圖3-12出現(xiàn)如圖3-2所示的對話框后,請輸入該用戶的相關(guān)信息后,單擊“創(chuàng)建”按鈕,然后單擊關(guān)閉即可。圖3-2 用戶名 登錄時所用的賬戶名稱。 全名 用戶的完整名稱,可以不填。 描述 用于對該賬戶的簡要描述信息,例如用戶的職位等。 密碼與確認(rèn)密碼 用于設(shè)定用戶的密碼(Windows Server 2003最大支持127位的密碼,另外密碼不支持中文,但是支持?jǐn)?shù)字、字母和特殊字符)。 用戶下次登錄時須更改密碼 如果選中,那么當(dāng)用戶下次登錄時會強(qiáng)制用戶更改密碼 用戶不能更改密碼 如果選中,那么用戶就不能夠更改自己的密碼,只有管理員才能更改,一般這種情況屬于用
6、戶公共賬戶的使用。(此項目與“用戶下次登錄時須更改密碼”不能同時選中) 密碼永不過期 如果選中,那么用戶的密碼就一直可以使用,不會強(qiáng)制用戶更改密碼。 賬戶已停用 如果選中,那么這個賬戶將暫時被禁用。3.1.2 域賬戶域用戶賬號是用戶訪問域的憑證,因此在域中是惟一的。域用戶賬號在DC上建立和管理,它保存在域的活動目錄數(shù)據(jù)庫中。當(dāng)用戶登錄域時或者訪問域的資源時,必須輸入域用戶賬號,并且由DC來驗證。域賬號存在于DC上的%systemroot%NTDSNTDS.DIT文件中。和本地賬號類似,每個域賬號也有一個惟一的SID,并且這個SID是在域中惟一??偨Y(jié)一下,域賬號也有三個要點:DC上創(chuàng)建:只能在D
7、C上創(chuàng)建,域賬戶不能在成員服務(wù)器或者是獨立服務(wù)器創(chuàng)建。DC上的AD存儲:存儲在DC上的AD中也就是存在于DC上的%systemroot%NTDSNTDS.DIT文件中。整個域中都能使用:可以登錄到域中的任何一臺計算機(jī)(DC有可能不行,默認(rèn)情況下為了保證安全,普通的域賬號沒有權(quán)力在DC上登錄)。關(guān)于域賬戶的更多詳細(xì)內(nèi)容,請參考網(wǎng)絡(luò)管理服務(wù)一書。3.2 用戶配置文件用戶配置文件定義了用戶使用Windows Server 2003的工作環(huán)境,其中包括用戶計算機(jī)的顯示器設(shè)置、區(qū)域設(shè)定、桌面、開始菜單、我的文檔等內(nèi)容。用戶配置文件實際上不是一個具體的文件,而是由一系列文件和文件夾組成的。在硬盤上的Win
8、dows Server 2003所在的分區(qū)中會有一個“Documents and Settings”文件夾,在該文件夾下面有所有在該計算機(jī)上登錄過的用戶的配置文件。每一個用戶都會有一個自己的文件夾,文件夾的名字就是用戶的登錄名,該文件夾中包含了用戶的各種設(shè)置。注意:如果先后有兩個同名賬戶登錄系統(tǒng)(例如刪除舊賬戶后又創(chuàng)建同名賬戶),Windows Server 2003同樣會在每個用戶第一次登錄時創(chuàng)建用戶配置文件夾,雖然這兩個用戶同名但新的文件夾不會覆蓋原有文件夾,而是建立一個“用戶名.計算機(jī)名”名稱格式的新配置文件文件夾。在用戶的配置文件夾中分別包含了開始菜單、桌面、收藏夾、我的文檔等設(shè)置。用
9、戶配置文件分為本地用戶配置文件、漫游用戶配置文件、強(qiáng)制用戶配置文件三類。在本章中重點講述本地用戶配置文件。漫游用戶配置文件、強(qiáng)制用戶配置文件請參閱網(wǎng)絡(luò)管理服務(wù)一書。3.2.1 本地用戶配置文件當(dāng)一個用戶第一次登錄到一臺計算機(jī)上時創(chuàng)建的用戶配置文件就是本地用戶配置文件。一臺計算機(jī)上可以有多個本地用戶配置文件,分別對應(yīng)于每一個曾經(jīng)登錄過該計算機(jī)的用戶。本地用戶和域用戶默認(rèn)情況下的配置文件都是本地配置文件。注意:對本地用戶配置文件所做的任何更改都只是對當(dāng)前這臺計算機(jī)有效。本地配置文件的位置是系統(tǒng)根目錄所在的盤下Documents and Settings文件夾,每個在本地登錄過的用戶都有一個和用戶同
10、名的本地用戶文件夾,如圖3-3所示。圖3-3打開本地配置文件夾,會有一些子文件夾及文件,這些文件夾和文件都是本地配置文件,分別管理著用戶的桌面、開始菜單、臨時文件、收藏夾等等。如圖3-4所示。圖3-43.3 組組是在Windows Server 2003網(wǎng)絡(luò)環(huán)境中的一個非常重要的概念。組是用戶賬號的集合,主要目的是為了簡化管理。一般情況下,可以給組授予某種權(quán)限,然后將用戶加入到組中,這樣用戶就具有了組所具有的權(quán)限。當(dāng)不希望用戶獲得權(quán)限時,只要簡單地將其從獲得權(quán)限的組中刪除即可。注意:對組的一些限制:組和用戶賬號不能同名、組不能登錄、將組刪除不會刪除組里的用戶。組分為本地的組和域中的組,本地的組
11、和本地用戶類似,只能在本機(jī)使用,它的作用范圍是本地的計算機(jī)。域中的組在后面的活動目錄內(nèi)容中介紹。關(guān)于本地組的使用方法和創(chuàng)建方法請參看案例集。在Windows Server 2003中內(nèi)建了一些特殊的組,特殊組是針對系統(tǒng)的用途或活動而自動組織用戶,管理員不能分配和管理這些組的成員。特殊組存在于所有運行Windows Server 2003的計算機(jī)上,并且其組用戶的規(guī)則是統(tǒng)一而不能更改的,例如Everyone組,每個人都屬于這個組。Windows Server 2003同時也內(nèi)置了一些組,這些組是安裝完Windows Server 2003就存在的。內(nèi)置組有一個最大的特點是它本身就具有一定的權(quán)利,例如Administrators這個組,加入這個組的用戶都是本機(jī)的管理員。內(nèi)置組不能刪除。本章小結(jié)本章主要介紹了對網(wǎng)絡(luò)用戶的管理,包括用戶賬戶、用戶配置文件和組的使用。完成本章內(nèi)容,應(yīng)該達(dá)到如下能力:1理解用戶賬戶2能夠區(qū)分本地賬戶和域賬戶3理解用戶配置文件4理解本地用戶配置文件5理解組的使用