《第3章用戶賬戶管理本章要點(diǎn)1用戶賬戶2用戶配置文件3組對于》由會員分享,可在線閱讀,更多相關(guān)《第3章用戶賬戶管理本章要點(diǎn)1用戶賬戶2用戶配置文件3組對于(6頁珍藏版)》請?jiān)谘b配圖網(wǎng)上搜索。
1、第3章 用戶賬戶管理
本章要點(diǎn)
1.用戶賬戶
2.用戶配置文件
3.組
對于網(wǎng)絡(luò)管理員來講,如何管理好企業(yè)中使用網(wǎng)絡(luò)的用戶是一個比較重要同時也是比較難的一項(xiàng)任務(wù),一般情況下,可以通過用戶賬戶來管理使用網(wǎng)絡(luò)的用戶。本章主要介紹如何管理用戶賬戶,如何管理用戶配置文件以及如何管理組。
3.1 用戶賬戶
賬戶代表著需要訪問網(wǎng)絡(luò)資源的用戶,從某種意義上來說賬戶就是網(wǎng)絡(luò)世界中用戶的身份證。Windows Server 2003網(wǎng)絡(luò)依靠賬戶來管理用戶,控制用戶對資源的訪問,每一個需要訪問網(wǎng)絡(luò)的用戶都需要有一個賬戶。
在Windows Server 2003網(wǎng)絡(luò)中有兩種主要的賬戶類型:本地賬
2、戶和域用戶賬戶。
保存賬戶的數(shù)據(jù)庫叫做安全賬戶管理器(SAM,Security Accounts Manager),為了保證賬戶在域中的惟一性,每一個賬戶剛創(chuàng)建時被分配了一個惟一的SID(Security Identifier,安全識別符),該SID在本計(jì)算機(jī)或者本域是獨(dú)一無二的。SID不隨賬戶的修改、更名而改動,并且一旦賬戶被刪除則SID也將不復(fù)存在,即便重新創(chuàng)建一個一模一樣的賬戶,其SID也不會和原有的SID一樣,對于Windows Server 2003而言這就是兩個不同的賬戶。在Windows Server 2003中系統(tǒng)內(nèi)實(shí)際上是利用SID來對應(yīng)用戶的權(quán)限的,因此如果將一個賬戶刪
3、除,然后創(chuàng)建一個同名的賬戶,那么新的賬戶也不會有原來賬戶的權(quán)限和權(quán)力。
3.1.1 本地賬戶
本地用戶賬戶只能建立在Windows Server 2003獨(dú)立服務(wù)器、Windows Server 2003成員服務(wù)器、或基于Windows XP Professional等計(jì)算機(jī)中 ,并且由本機(jī)進(jìn)行管理。在企業(yè)中不推薦使用本地賬戶,因?yàn)槊颗_計(jì)算機(jī)都有自己的本地賬戶,如果要登錄某臺計(jì)算機(jī)或者從網(wǎng)絡(luò)訪問某臺計(jì)算機(jī),必須輸入該計(jì)算機(jī)的本地賬戶,計(jì)算機(jī)數(shù)目很多,不容易訪問和管理。
本地賬戶主要有三個要點(diǎn):
本地創(chuàng)建:本地賬戶只能在獨(dú)立服務(wù)器和成員服務(wù)器上創(chuàng)建,不能在DC上創(chuàng)建。
本地存儲:本
4、地賬戶存儲在創(chuàng)建賬戶的那臺計(jì)算機(jī)上的%systemroot%/system32/config/SAM中。
提示:
%systemroot%代表系統(tǒng)根目錄,也就是安裝完Windows的目錄,一般情況下是C:\windows。
本地使用:在哪臺計(jì)算機(jī)創(chuàng)建的本地賬戶,就只能在那臺計(jì)算機(jī)上使用。也就是說在某臺計(jì)算機(jī)上創(chuàng)建了本地賬戶,那么只能用這個本地賬戶在該計(jì)算機(jī)上登錄,不能在其他計(jì)算機(jī)登錄。一般有兩種情況使用本地賬戶:登錄到某臺計(jì)算機(jī)時,需要輸入該計(jì)算機(jī)的本地賬戶;當(dāng)從網(wǎng)絡(luò)訪問該計(jì)算機(jī)時,需要輸入該計(jì)算機(jī)的本地賬戶。
提示:
本書中登錄的含義是指計(jì)算機(jī)啟動時按下Ctrl+Alt
5、+Delete輸入用戶名密碼的過程。
以下是創(chuàng)建本地賬戶的步驟
1.“開始”→“管理工具”→“計(jì)算機(jī)管理”,然后在如圖3-1所示的窗口中右擊“用戶”→“新用戶”。
圖3-1
2.出現(xiàn)如圖3-2所示的對話框后,請輸入該用戶的相關(guān)信息后,單擊“創(chuàng)建”按鈕,然后單擊關(guān)閉即可。
圖3-2
用戶名 登錄時所用的賬戶名稱。
全名 用戶的完整名稱,可以不填。
描述 用于對該賬戶的簡要描述信息,例如用戶的職位等。
密碼與確認(rèn)密碼 用于設(shè)定用戶的密碼(Windows Server 2003最大支持127位的密碼,另外密碼不支持中文,但是支持?jǐn)?shù)字、字母和特殊字符)。
6、
用戶下次登錄時須更改密碼 如果選中,那么當(dāng)用戶下次登錄時會強(qiáng)制用戶更改密碼
用戶不能更改密碼 如果選中,那么用戶就不能夠更改自己的密碼,只有管理員才能更改,一般這種情況屬于用戶公共賬戶的使用。(此項(xiàng)目與“用戶下次登錄時須更改密碼”不能同時選中)
密碼永不過期 如果選中,那么用戶的密碼就一直可以使用,不會強(qiáng)制用戶更改密碼。
賬戶已停用 如果選中,那么這個賬戶將暫時被禁用。
3.1.2 域賬戶
域用戶賬號是用戶訪問域的憑證,因此在域中是惟一的。域用戶賬號在DC上建立和管理,它保存在域的活動目錄數(shù)據(jù)庫中。當(dāng)用戶登錄域時或者訪問域的資源時,必須輸入域用戶賬號,并且由DC來驗(yàn)
7、證。
域賬號存在于DC上的%systemroot%\NTDS\NTDS.DIT文件中。和本地賬號類似,每個域賬號也有一個惟一的SID,并且這個SID是在域中惟一。
總結(jié)一下,域賬號也有三個要點(diǎn):
DC上創(chuàng)建:只能在DC上創(chuàng)建,域賬戶不能在成員服務(wù)器或者是獨(dú)立服務(wù)器創(chuàng)建。
DC上的AD存儲:存儲在DC上的AD中也就是存在于DC上的%systemroot%\NTDS\NTDS.DIT文件中。
整個域中都能使用:可以登錄到域中的任何一臺計(jì)算機(jī)(DC有可能不行,默認(rèn)情況下為了保證安全,普通的域賬號沒有權(quán)力在DC上登錄)。
關(guān)于域賬戶的更多詳細(xì)內(nèi)容,請參考《網(wǎng)絡(luò)管理服務(wù)》一書。
3.2
8、用戶配置文件
用戶配置文件定義了用戶使用Windows Server 2003的工作環(huán)境,其中包括用戶計(jì)算機(jī)的顯示器設(shè)置、區(qū)域設(shè)定、桌面、開始菜單、我的文檔等內(nèi)容。
用戶配置文件實(shí)際上不是一個具體的文件,而是由一系列文件和文件夾組成的。在硬盤上的Windows Server 2003所在的分區(qū)中會有一個“Documents and Settings”文件夾,在該文件夾下面有所有在該計(jì)算機(jī)上登錄過的用戶的配置文件。每一個用戶都會有一個自己的文件夾,文件夾的名字就是用戶的登錄名,該文件夾中包含了用戶的各種設(shè)置。
注意:
如果先后有兩個同名賬戶登錄系統(tǒng)(例如刪除舊賬戶后又創(chuàng)建同名賬戶),Wi
9、ndows Server 2003同樣會在每個用戶第一次登錄時創(chuàng)建用戶配置文件夾,雖然這兩個用戶同名但新的文件夾不會覆蓋原有文件夾,而是建立一個“用戶名.計(jì)算機(jī)名”名稱格式的新配置文件文件夾。
在用戶的配置文件夾中分別包含了[開始]菜單、桌面、收藏夾、我的文檔等設(shè)置。
用戶配置文件分為本地用戶配置文件、漫游用戶配置文件、強(qiáng)制用戶配置文件三類。在本章中重點(diǎn)講述本地用戶配置文件。漫游用戶配置文件、強(qiáng)制用戶配置文件請參閱《網(wǎng)絡(luò)管理服務(wù)》一書。
3.2.1 本地用戶配置文件
當(dāng)一個用戶第一次登錄到一臺計(jì)算機(jī)上時創(chuàng)建的用戶配置文件就是本地用戶配置文件。一臺計(jì)算機(jī)上可以有多個本地用戶配置文件,分
10、別對應(yīng)于每一個曾經(jīng)登錄過該計(jì)算機(jī)的用戶。
本地用戶和域用戶默認(rèn)情況下的配置文件都是本地配置文件。
注意:
對本地用戶配置文件所做的任何更改都只是對當(dāng)前這臺計(jì)算機(jī)有效。
本地配置文件的位置是系統(tǒng)根目錄所在的盤下Documents and Settings文件夾,每個在本地登錄過的用戶都有一個和用戶同名的本地用戶文件夾,如圖3-3所示。
圖3-3
打開本地配置文件夾,會有一些子文件夾及文件,這些文件夾和文件都是本地配置文件,分別管理著用戶的桌面、開始菜單、臨時文件、收藏夾等等。如圖3-4所示。
圖3-4
3.3 組
組是在Windows Server 2003網(wǎng)絡(luò)環(huán)境中
11、的一個非常重要的概念。組是用戶賬號的集合,主要目的是為了簡化管理。一般情況下,可以給組授予某種權(quán)限,然后將用戶加入到組中,這樣用戶就具有了組所具有的權(quán)限。當(dāng)不希望用戶獲得權(quán)限時,只要簡單地將其從獲得權(quán)限的組中刪除即可。
注意:
對組的一些限制:組和用戶賬號不能同名、組不能登錄、將組刪除不會刪除組里的用戶。
組分為本地的組和域中的組,本地的組和本地用戶類似,只能在本機(jī)使用,它的作用范圍是本地的計(jì)算機(jī)。域中的組在后面的活動目錄內(nèi)容中介紹。
關(guān)于本地組的使用方法和創(chuàng)建方法請參看案例集。
在Windows Server 2003中內(nèi)建了一些特殊的組,特殊組是針對系統(tǒng)的用途或活動而自動
12、組織用戶,管理員不能分配和管理這些組的成員。特殊組存在于所有運(yùn)行Windows Server 2003的計(jì)算機(jī)上,并且其組用戶的規(guī)則是統(tǒng)一而不能更改的,例如Everyone組,每個人都屬于這個組。
Windows Server 2003同時也內(nèi)置了一些組,這些組是安裝完Windows Server 2003就存在的。內(nèi)置組有一個最大的特點(diǎn)是它本身就具有一定的權(quán)利,例如Administrators這個組,加入這個組的用戶都是本機(jī)的管理員。內(nèi)置組不能刪除。
本章小結(jié)
本章主要介紹了對網(wǎng)絡(luò)用戶的管理,包括用戶賬戶、用戶配置文件和組的使用。完成本章內(nèi)容,應(yīng)該達(dá)到如下能力:
1.理解用戶賬戶
2.能夠區(qū)分本地賬戶和域賬戶
3.理解用戶配置文件
4.理解本地用戶配置文件
5.理解組的使用