第3章用戶賬戶管理本章要點(diǎn)1用戶賬戶2用戶配置文件3組對(duì)于

《第3章用戶賬戶管理本章要點(diǎn)1用戶賬戶2用戶配置文件3組對(duì)于》由會(huì)員分享，可在線閱讀，更多相關(guān)《第3章用戶賬戶管理本章要點(diǎn)1用戶賬戶2用戶配置文件3組對(duì)于（6頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、第3章 用戶賬戶管理 本章要點(diǎn) 1．用戶賬戶 2．用戶配置文件 3．組 對(duì)于網(wǎng)絡(luò)管理員來講，如何管理好企業(yè)中使用網(wǎng)絡(luò)的用戶是一個(gè)比較重要同時(shí)也是比較難的一項(xiàng)任務(wù)，一般情況下，可以通過用戶賬戶來管理使用網(wǎng)絡(luò)的用戶。本章主要介紹如何管理用戶賬戶，如何管理用戶配置文件以及如何管理組。 3.1 用戶賬戶 賬戶代表著需要訪問網(wǎng)絡(luò)資源的用戶，從某種意義上來說賬戶就是網(wǎng)絡(luò)世界中用戶的身份證。Windows Server 2003網(wǎng)絡(luò)依靠賬戶來管理用戶，控制用戶對(duì)資源的訪問，每一個(gè)需要訪問網(wǎng)絡(luò)的用戶都需要有一個(gè)賬戶。 在Windows Server 2003網(wǎng)絡(luò)中有兩種主要的賬戶類型：本地賬

2、戶和域用戶賬戶。 保存賬戶的數(shù)據(jù)庫叫做安全賬戶管理器（SAM，Security Accounts Manager），為了保證賬戶在域中的惟一性，每一個(gè)賬戶剛創(chuàng)建時(shí)被分配了一個(gè)惟一的SID（Security Identifier，安全識(shí)別符），該SID在本計(jì)算機(jī)或者本域是獨(dú)一無二的。SID不隨賬戶的修改、更名而改動(dòng)，并且一旦賬戶被刪除則SID也將不復(fù)存在，即便重新創(chuàng)建一個(gè)一模一樣的賬戶，其SID也不會(huì)和原有的SID一樣，對(duì)于Windows Server 2003而言這就是兩個(gè)不同的賬戶。在Windows Server 2003中系統(tǒng)內(nèi)實(shí)際上是利用SID來對(duì)應(yīng)用戶的權(quán)限的，因此如果將一個(gè)賬戶刪

3、除，然后創(chuàng)建一個(gè)同名的賬戶，那么新的賬戶也不會(huì)有原來賬戶的權(quán)限和權(quán)力。 3.1.1 本地賬戶 本地用戶賬戶只能建立在Windows Server 2003獨(dú)立服務(wù)器、Windows Server 2003成員服務(wù)器、或基于Windows XP Professional等計(jì)算機(jī)中 ，并且由本機(jī)進(jìn)行管理。在企業(yè)中不推薦使用本地賬戶，因?yàn)槊颗_(tái)計(jì)算機(jī)都有自己的本地賬戶，如果要登錄某臺(tái)計(jì)算機(jī)或者從網(wǎng)絡(luò)訪問某臺(tái)計(jì)算機(jī)，必須輸入該計(jì)算機(jī)的本地賬戶，計(jì)算機(jī)數(shù)目很多，不容易訪問和管理。 本地賬戶主要有三個(gè)要點(diǎn)： 本地創(chuàng)建：本地賬戶只能在獨(dú)立服務(wù)器和成員服務(wù)器上創(chuàng)建，不能在DC上創(chuàng)建。 本地存儲(chǔ)：本

4、地賬戶存儲(chǔ)在創(chuàng)建賬戶的那臺(tái)計(jì)算機(jī)上的％systemroot％/system32/config/SAM中。 提示： ％systemroot％代表系統(tǒng)根目錄，也就是安裝完Windows的目錄，一般情況下是C:\windows。 本地使用：在哪臺(tái)計(jì)算機(jī)創(chuàng)建的本地賬戶，就只能在那臺(tái)計(jì)算機(jī)上使用。也就是說在某臺(tái)計(jì)算機(jī)上創(chuàng)建了本地賬戶，那么只能用這個(gè)本地賬戶在該計(jì)算機(jī)上登錄，不能在其他計(jì)算機(jī)登錄。一般有兩種情況使用本地賬戶：登錄到某臺(tái)計(jì)算機(jī)時(shí)，需要輸入該計(jì)算機(jī)的本地賬戶；當(dāng)從網(wǎng)絡(luò)訪問該計(jì)算機(jī)時(shí)，需要輸入該計(jì)算機(jī)的本地賬戶。 提示： 本書中登錄的含義是指計(jì)算機(jī)啟動(dòng)時(shí)按下Ctrl+Alt

5、+Delete輸入用戶名密碼的過程。 以下是創(chuàng)建本地賬戶的步驟 1．“開始”→“管理工具”→“計(jì)算機(jī)管理”，然后在如圖3-1所示的窗口中右擊“用戶”→“新用戶”。 圖3-1 2．出現(xiàn)如圖3-2所示的對(duì)話框后，請(qǐng)輸入該用戶的相關(guān)信息后，單擊“創(chuàng)建”按鈕，然后單擊關(guān)閉即可。 圖3-2 用戶名 登錄時(shí)所用的賬戶名稱。 全名 用戶的完整名稱，可以不填。 描述 用于對(duì)該賬戶的簡(jiǎn)要描述信息，例如用戶的職位等。 密碼與確認(rèn)密碼 用于設(shè)定用戶的密碼（Windows Server 2003最大支持127位的密碼，另外密碼不支持中文，但是支持?jǐn)?shù)字、字母和特殊字符）。

6、 用戶下次登錄時(shí)須更改密碼 如果選中，那么當(dāng)用戶下次登錄時(shí)會(huì)強(qiáng)制用戶更改密碼 用戶不能更改密碼 如果選中，那么用戶就不能夠更改自己的密碼，只有管理員才能更改，一般這種情況屬于用戶公共賬戶的使用。（此項(xiàng)目與“用戶下次登錄時(shí)須更改密碼”不能同時(shí)選中） 密碼永不過期 如果選中，那么用戶的密碼就一直可以使用，不會(huì)強(qiáng)制用戶更改密碼。 賬戶已停用 如果選中，那么這個(gè)賬戶將暫時(shí)被禁用。 3.1.2 域賬戶 域用戶賬號(hào)是用戶訪問域的憑證，因此在域中是惟一的。域用戶賬號(hào)在DC上建立和管理，它保存在域的活動(dòng)目錄數(shù)據(jù)庫中。當(dāng)用戶登錄域時(shí)或者訪問域的資源時(shí)，必須輸入域用戶賬號(hào)，并且由DC來驗(yàn)

7、證。 域賬號(hào)存在于DC上的%systemroot%\NTDS\NTDS.DIT文件中。和本地賬號(hào)類似，每個(gè)域賬號(hào)也有一個(gè)惟一的SID，并且這個(gè)SID是在域中惟一。 總結(jié)一下，域賬號(hào)也有三個(gè)要點(diǎn)： DC上創(chuàng)建：只能在DC上創(chuàng)建，域賬戶不能在成員服務(wù)器或者是獨(dú)立服務(wù)器創(chuàng)建。 DC上的AD存儲(chǔ)：存儲(chǔ)在DC上的AD中也就是存在于DC上的%systemroot%\NTDS\NTDS.DIT文件中。 整個(gè)域中都能使用：可以登錄到域中的任何一臺(tái)計(jì)算機(jī)（DC有可能不行，默認(rèn)情況下為了保證安全，普通的域賬號(hào)沒有權(quán)力在DC上登錄）。 關(guān)于域賬戶的更多詳細(xì)內(nèi)容，請(qǐng)參考《網(wǎng)絡(luò)管理服務(wù)》一書。 3.2

8、用戶配置文件 用戶配置文件定義了用戶使用Windows Server 2003的工作環(huán)境，其中包括用戶計(jì)算機(jī)的顯示器設(shè)置、區(qū)域設(shè)定、桌面、開始菜單、我的文檔等內(nèi)容。 用戶配置文件實(shí)際上不是一個(gè)具體的文件，而是由一系列文件和文件夾組成的。在硬盤上的Windows Server 2003所在的分區(qū)中會(huì)有一個(gè)“Documents and Settings”文件夾，在該文件夾下面有所有在該計(jì)算機(jī)上登錄過的用戶的配置文件。每一個(gè)用戶都會(huì)有一個(gè)自己的文件夾，文件夾的名字就是用戶的登錄名，該文件夾中包含了用戶的各種設(shè)置。 注意： 如果先后有兩個(gè)同名賬戶登錄系統(tǒng)（例如刪除舊賬戶后又創(chuàng)建同名賬戶），Wi

9、ndows Server 2003同樣會(huì)在每個(gè)用戶第一次登錄時(shí)創(chuàng)建用戶配置文件夾，雖然這兩個(gè)用戶同名但新的文件夾不會(huì)覆蓋原有文件夾，而是建立一個(gè)“用戶名.計(jì)算機(jī)名”名稱格式的新配置文件文件夾。 在用戶的配置文件夾中分別包含了[開始]菜單、桌面、收藏夾、我的文檔等設(shè)置。 用戶配置文件分為本地用戶配置文件、漫游用戶配置文件、強(qiáng)制用戶配置文件三類。在本章中重點(diǎn)講述本地用戶配置文件。漫游用戶配置文件、強(qiáng)制用戶配置文件請(qǐng)參閱《網(wǎng)絡(luò)管理服務(wù)》一書。 3.2.1 本地用戶配置文件 當(dāng)一個(gè)用戶第一次登錄到一臺(tái)計(jì)算機(jī)上時(shí)創(chuàng)建的用戶配置文件就是本地用戶配置文件。一臺(tái)計(jì)算機(jī)上可以有多個(gè)本地用戶配置文件，分

10、別對(duì)應(yīng)于每一個(gè)曾經(jīng)登錄過該計(jì)算機(jī)的用戶。 本地用戶和域用戶默認(rèn)情況下的配置文件都是本地配置文件。 注意： 對(duì)本地用戶配置文件所做的任何更改都只是對(duì)當(dāng)前這臺(tái)計(jì)算機(jī)有效。 本地配置文件的位置是系統(tǒng)根目錄所在的盤下Documents and Settings文件夾，每個(gè)在本地登錄過的用戶都有一個(gè)和用戶同名的本地用戶文件夾，如圖3-3所示。 圖3-3 打開本地配置文件夾，會(huì)有一些子文件夾及文件，這些文件夾和文件都是本地配置文件，分別管理著用戶的桌面、開始菜單、臨時(shí)文件、收藏夾等等。如圖3-4所示。 圖3-4 3.3 組 組是在Windows Server 2003網(wǎng)絡(luò)環(huán)境中

11、的一個(gè)非常重要的概念。組是用戶賬號(hào)的集合，主要目的是為了簡(jiǎn)化管理。一般情況下，可以給組授予某種權(quán)限，然后將用戶加入到組中，這樣用戶就具有了組所具有的權(quán)限。當(dāng)不希望用戶獲得權(quán)限時(shí)，只要簡(jiǎn)單地將其從獲得權(quán)限的組中刪除即可。 注意： 對(duì)組的一些限制：組和用戶賬號(hào)不能同名、組不能登錄、將組刪除不會(huì)刪除組里的用戶。 組分為本地的組和域中的組，本地的組和本地用戶類似，只能在本機(jī)使用，它的作用范圍是本地的計(jì)算機(jī)。域中的組在后面的活動(dòng)目錄內(nèi)容中介紹。 關(guān)于本地組的使用方法和創(chuàng)建方法請(qǐng)參看案例集。 在Windows Server 2003中內(nèi)建了一些特殊的組，特殊組是針對(duì)系統(tǒng)的用途或活動(dòng)而自動(dòng)

12、組織用戶，管理員不能分配和管理這些組的成員。特殊組存在于所有運(yùn)行Windows Server 2003的計(jì)算機(jī)上，并且其組用戶的規(guī)則是統(tǒng)一而不能更改的，例如Everyone組，每個(gè)人都屬于這個(gè)組。 Windows Server 2003同時(shí)也內(nèi)置了一些組，這些組是安裝完Windows Server 2003就存在的。內(nèi)置組有一個(gè)最大的特點(diǎn)是它本身就具有一定的權(quán)利，例如Administrators這個(gè)組，加入這個(gè)組的用戶都是本機(jī)的管理員。內(nèi)置組不能刪除。 本章小結(jié) 本章主要介紹了對(duì)網(wǎng)絡(luò)用戶的管理，包括用戶賬戶、用戶配置文件和組的使用。完成本章內(nèi)容，應(yīng)該達(dá)到如下能力： 1．理解用戶賬戶 2．能夠區(qū)分本地賬戶和域賬戶 3．理解用戶配置文件 4．理解本地用戶配置文件 5．理解組的使用