第三章 Windows Server 2003 域及其账户管理.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 2．使用命令行手工安装 单击“开始 | 运行”按钮，输入“DCPROMO”，然后单击“确定”按钮。 新域类型 AD文件存储位置 3．域控制器的删除 3.4.2 将计算机加入到域 （1）在需要添加进域的计算机上，鼠标右键单击“我的电脑”，然后单击“属性”按钮。 （2）单击“计算机名”选项卡，可以打开如图3.13所示的界面。 （3）记录下完整的计算机名称信息（备用）。 加入到域的步骤 （1）在控制面板中或桌面上“我的电脑”打开“系统”属性。在“计算机名”选项卡上，单击“更改”按钮启动计算机名称更改，如图3.14所示。 （2）单击“隶属于”下面的“域”，输入要加入的域的名称，这里可以输入hunau.local然后单击“确定”按钮，提示用户提供将计算机加入到域的用户名和用户密码。 （3）单击“确定”按钮关闭“系统属性”对话框，将提示重新启动计算机以便使用所做的改动。 （4）在“用户账户和域信息”页面（如图3.15所示）中，输入Active Directory用户（域用户组中的任何成员）的用户名和密码，然后单击“下一步”按钮。 （5）在“计算机域”页面（如图3.16所示）中，输入对应的计算机名和计算机域信息，然后单击“下一步”按钮。这里要注意，如果在不知道计算机域信息或者直接确认此信息，可以通过执行“取客户端计算机的计算机名和工作组信息”过程。计算机名将包含服务器上存在的域信息。 （6）在域用户名和密码页面中，输入Active Directory 用户的凭证和相应的域信息，然后单击“确定”按钮。 （7）在“用户账户”页面（如图3.17所示）中，可以添加用户账户，输入用户名和域信息，然后单击“下一步”按钮。 加入到域的步骤 加入到域的步骤 （8）在如图3.18所示的访问级别页面中，可指定用户对网络资源的访问级别和权限。选择时应该考虑用户在组织中的角色及其需要。通常为了系统的安全，选择“受限用户”比较合适，而选择“标准用户”则由于用户的权限控制不恰当，而引发不必要的安全隐患。然后单击“下一步”按钮继续。 （9）单击“完成”按钮，然后在“计算机名称更改”页面中，单击“确定”按钮，直到在“系统属性”页面中，单击“确定”按钮，最后，系统会提示“重新启动计算机”。重新启动计算机之后，系统所做的设置才会完全生效。 3.5 域账户管理 3.5.1 域用户账户 用户或计算机账户在系统中可以用于以下几个方面。 1．验证用户或计算机的身份 2．授权或拒绝访问域资源 3．管理其他安全主体 4．审核使用用户或计算机账户执行的操作 Windows Server 2003域控制器上的默认用户账户 默认用户账户 特 性 Administrator账户 Administrator 账户是使用“Active Directory 安装向导”设置新域时创建的第一个账户。该账户具有对域的完全控制权，可以为其他域用户指派用户权利和访问控制权限。该账户是系统的管理账户，具有最高权限，因此必须为此账户设置强密码 Administrator 账户是AD 中 Administrators、Domain Admins等几个默认组的默认成员。虽然无法从 Administrators 组中删除此账户，但是可以重命名或禁用此账户。当它被禁用时，仍然可用于在安全模式下访问域控制器 Guest账户 Guest 账户是为该域中没有实际账户的人临时使用的内置账户，没有为其设置密码。尽管可以像设置任何用户账户一样设置来宾账户的权利和权限，但默认情况下，Guest 账户是被禁用的，它是内置 Guests 组和 Domain Guests 全局组的成员，它允许用户登录到域 3.5.2 域用户组账户 组是用户和计算机账户、联系人以及其他可作为单个单元管理的集合，属于特定组的用户和计算机称为组成员。使用组可同时为多个账户指派一组公共的权限和权利，而不用单独为每个账户指派权限和权利，这样可简化管理。组既可以基于目录，也可以在特定的计算机。Active Directory 中的组是驻留在域和组织单位容器对象中的目录对象。Active Directory 在安装时提供了一系列默认的组，它也允许后期根据实际需要创建组。要灵活地控制域中的组和成员，可以通过管理员来管理。 使用组账户的功能 （1）简化管理，即为组而不是个别用户指派共享资源的权限。这样可将相同的资源访问权限指派给该组的所有成员。 （2）委派管理，即使用组策略为某个组指派一次用户权限，然后向该组中添加需要拥有与该组相