第六章 用户组的管理.ppt

第6章　用户与组的管理 用户的管理 组的管理 组策略对象的管理 6.1 用户的管理 每个用户都需要有一个账户，以便登录到域访问网络资源或登录到某台计算机访问该机上的资源。用户的账户类型有域账户、本地账户和内置账户。域账户用来登录网络，本地账户用来登录到某台计算机，内置账户用来对计算机进行管理。组是用户账户的集合，管理员通常通过组来对用户的权限进行设置从而简化了管理。 用户账户由一个账户名和一个密码来标识，二者都需要用户在登录时键入。账户名是用户的文本标签，密码则是用户的身份验证字符串，是Windows Server 2003网络上的个人唯一标识。用户账户通过活动目录验证后登录到计算机和域，并授权访问域资源。 6.1 用户的管理 账户名的命名规则如下： 账户名必须唯一，且不分大小写。 最多包含20个大小写字符和数字，输入时可超过20个字符，但只识别前20个字符。 不能使用保留字字符：” ^ [ ] ：；｜＝，＋＊？＜＞ 可以是字符和数字的组合。 不能与组名相同。 6.1 用户的管理 为了维护计算机的安全，每个账户必须有密码，设立密码应遵循以下规则： 必须为Administrator账户分配密码，防止未经授权就使用。 明确是管理员还是用户管理密码，最好用户管理自己的密码。 密码的长度在8～128之间。 使用不易猜出的字母组合，例如不要使用自己的名字、生日以及家庭成员的名字等。 密码可以使用大小写字母、数字和其它合法的字符。 6.1 用户的管理 Windows Server 2003服务器有两种工作模式：工作组模式和域模式，针对这两种工作模式有两种用户账户：本地账户和域账户。 在前面介绍安装过程中，系统就询问过要将计算机加入一个域，还是一个工作组，我们选择默认的工作组workgrouop。在活动目录的安装过程中，我们设置了域， 可以使用菜单“开始”→“控制面板”→“系统”命令，在弹出的“系统属性”窗口中的“计算机名”选项里，查看计算机究竟是属于工作组还是域 6.1 用户的管理 网络中可以创建多个域和多个工作组，域和工作组之间的区别可以归结为以下几点： 创建方式不同：工作组可以由任何一个计算机的管理员来创建，用户在系统的“计算机名称更改”对话框中输入新的组名，重新启动计算机后就创建了一个新组，每一台计算机都有权利创建一个组；而域只能由域控制器来创建，然后才允许其它的计算机加入这个域。 安全机制不同：在域中有可以登录该域的账户，这些由域管理员来建立；在工作组中不存在工作组的账户，只有本机上的账户和密码。 登录方式不同：在工作组方式下，计算机启动后自动就在工作组中；登录域时要提交域用户名和密码，只到用户登录成功之后，才被赋予相应的权限。 6.1 用户的管理 1、本地账户 本地账户对应对等网的工作组模式，建立在非域控制器的Windows Server 2003独立服务器、成员服务器以及Windows客户端。本地账户只能在本地计算机上登录，无法访问域中其它计算机资源。 本地计算机上都有一个管理账户数据的数据库，称为安全账户管理器（SAM，Security Accounts Managers）。SAM数据库文件路径为系统盘下\Windows\system32\config\SAM。在SAM中，每个账户被赋予唯一的安全识别号（SID，Security Identifier），用户要访问本地计算机，都需要经过该机SAM中的SID验证。本地的验证过程,都由创建本地帐户的本地机完成，没有集中的网络管理。 6.1 用户的管理 2、域账户 域账户对应于域模式网络，域账户和密码存储在域控制器上Active Directory数据库中，域数据库的路径为域控制器中的系统盘下\Windows\NTDS\NTDS.DIT 域账户和密码被域控制器集中管理。用户可以利用域账户和密码登录域，访问域内资源。域账户建立在Windows Server 2003域控制器上，域账户一旦建立，会自动地被复制到同域中的其它域控制器上。复制完成后，域中的所有域控制器都能在用户登录时提供身份验证功能 6.1 用户的管理 3、内置账户: Windows Server 2003内置账户与服务器的工作模式无关。当系统安装完毕后，系统会在服务器上自动创建一些内置账户，系统经常使用的内置账户有Administrator和Guest。 Administrator（系统管理员）拥有最高的权限，管理着系统和域。系统管理员的默认名字是Administrator，可以更改系统管理员的名字，但不能删除该账户。该账户无法被禁止，永远不会到期，不受登录时间和只能使用指定计算机登录的限制。 Guest（来宾）是为临时访问计算机的用户提供的，该账户自动生成，且不能被删除，可以更改名字。