项目5管理用户账户和组

WindowsServer2008网络操作系统项目教程（第3版）项目5管理用户账户和组杨云主编人民邮电出版社网络操作系统项目教程杨云《网络操作系统项目教程》网络操作系统项目教程(工业和信息化高职高专“十二五”规划教材立项项目)(1CD)本书共包含14个项目，最大的特色是“易教易学”。（1）细致的项目设计+详尽的网络拓扑图作者对每个项目都进行细致的项目设计，绘制详尽的网络拓扑图。每个项目包含多个任务，项目的每个任务都对应一个包含各种网络参数的网络拓扑图，并以此为主线，设计教学方案，利于教师上课。全书共有28个详尽的网络拓扑图。（2）搭建完善的虚拟化教学环境借鉴微软先进的虚拟化技术，利用Hyper-V精心设计并搭建虚拟教学环境，彻底解决了教师上课、学生实训时教学环境搭建的难题。同时兼顾利用VMware搭建虚拟教学环境的内容。（3）打造立体化教材丰富的网站资源、教材和精彩的项目实录视频光盘为教和学提供最大便利。杨云《网络操作系统项目教程》网络操作系统项目教程(工业和信息化高职高专“十二五”规划教材立项项目)(1CD)本书内容共分为4篇：系统安装与环境设置篇、系统管理篇、网络服务篇、网络互联与安全维护篇。其中，系统安装与环境设置篇包括4个项目：认识网络操作系统、安装与规划WindowsServer2008、安装与配置Hyper-V服务器、部署与管理ActiveDirectory域服务环境；系统管理篇包括3个项目：管理用户账户和组、管理文件系统与共享资源、配置与管理基本磁盘和动态磁盘；网络服务篇包括配置与管理打印服务器、DNS、DHCP服务器、Web服务器、FTP服务器和远程桌面服务器；网络互联与安全维护篇包括配置与管理VPN服务器和NAT服务器、安全管理WindowsServer2008等内容。随书光盘是微软工程师录制的14个实训项目的项目实录视频。网络操作系统项目教程项目5管理用户账户和组•5.1相关知识•5.1.1用户账户的概述•5.1.2本地用户账户•5.1.3本地组概述•5.2项目设计及准备杨云《网络操作系统项目教程》项目5管理用户账户和组•5.3项目实施•5.3.1任务1创建本地用户账户•5.3.2任务2设置本地用户账户的属性•5.3.3任务3删除本地用户账户•5.3.4任务4使用命令行创建用户•5.3.5任务5管理本地组•5.3.6任务6管理域用户•5.3.7任务7管理域中的组账户杨云《网络操作系统项目教程》项目5管理用户账户和组•5.4习题•实训项目管理用户和组•一、实训目的•二、项目背景•三、项目要求•四、思考•五、做一做•杨云《网络操作系统项目教程》•5.1相关知识•5.1.1用户账户的概述•5.1.2本地用户账户•5.1.3本地组概述•5.2项目设计及准备杨云《网络操作系统项目教程》5.1相关知识用户账户可存储在：ADDS中（ADDS账户）本地计算机上（本地账户）创建用户账户将同时创建安全ID(SID)用户账户是一种ActiveDirectory域服务(ADDS)对象，它使身份验证以及对本地和网络资源的访问成为可能。ADDS账户使用户能登录到域中，并使其能访问共享网络资源本地账户允许登录到单台计算机并访问本地资源5.1.1用户账户的概述杨云《网络操作系统项目教程》介绍用户和组•为每个用户帐号创建一个唯一的登录名•用批处理为新用户在活动目录创建多个用户帐号•将用户分组，用以管理网络上的共享资源•当为一个分层结构创建一个模型时，将组嵌入别的组中以减少管理任务UsersSharedResourcesPermissionsGroup5.1.1用户账户的概述杨云《网络操作系统项目教程》•本地账户建立在WindowsServer2008独立服务器、成员服务器以及Windows7等系统中。本地账户只能在本地计算机上登录，无法访问其他计算机资源。•内置本地账户Administrator（系统管理员）：最高的权限Guest（来宾）：供临时访问计算机的用户使用5.1.2本地用户账户杨云《网络操作系统项目教程》组的概念•组是账户、联系、计算机和其它组的集合。组用于以下目的：管理用户和计算机的访问，其访问范围包括网络对象、本地对象、共享、打印机队列和设备等；创建分配表；筛选组策略等。5.1.3本地组杨云《网络操作系统项目教程》组的类型•本地组:在WindowsServer2008独立服务器或成员服务器上的工作组称为本地组。该组的成员是本地账户，这些组账户的信息被储存在本地“安全账户数据库”（SAM）内。•本地组类型：用户组和系统内置的组。5.1.3本地组杨云《网络操作系统项目教程》5.2项目设计与准备本项目所有实例都部署在图5-1所示的环境下。其中win2008-1和win2008-2是Hyper-V服务器的2台虚拟机，win2008-1是域long.com的域控制器，win2008-2是域long.com的成员服务器。本地用户和组的管理在win2008-2上进行，域用户和组的管理在win2008-1上进行，在win2008-2上进行测试。图5-1网络规划拓扑图杨云《网络操作系统项目教程》•5.3项目实施•5.3.1任务1创建本地用户账户•5.3.2任务2设置本地用户账户的属性•5.3.3任务3删除本地用户账户•5.3.4任务4使用命令行创建用户•5.3.5任务5管理本地组•5.3.6任务6管理域用户•5.3.7任务7管理域中的组账户杨云《网络操作系统项目教程》5.3项目实施•账户名的命名规则如下：账户名必须唯一，且不分大小写。用户的名最多可包含256个字符在账户名中不能使用的字符有：'/\[]:;|=，+*?.用户名可以是字符和数字的组合。用户名不能与组名相同。任务1创建本地用户账户杨云《网络操作系统项目教程》•账户密码规则：必须为Administrator账户分配密码，防止未经授权就使用。系统默认用户的密码至少6个字符，还要至少包含A-Z、a-z、0－9、非字母数字（例如!、#、$、%）等四组字符中的三种。密码的长度在8～128之间。密码不包含全部和部分的用户账户名。密码中不能使用以下字符：‘/\|；:=,+[]。任务1创建本地用户账户杨云《网络操作系统项目教程》杨云《网络操作系统项目教程》任务1创建本地用户账户①执行“开始”→“管理工具”→“计算机管理”命令，打开“计算机管理”窗口。②在“计算机管理”窗口中，展开“本地用户和组”，在“用户”目录上右击，在弹出的快捷菜单中选择“新用户”选项，如图5-1所示。③打开“新用户”对话框后，输入用户名、全名和描述，并且输入密码，如图5-2所示。可以设置密码选项，包括“用户下次登录时必须更改密码”、“用户不能更改密码”、“密码永不过期”、“账户已禁用”等，设置完成后，单击“创建”按钮新增用户账户。创建完用户后，单击“关闭”按钮返回到“计算机管理”对话框。杨云《网络操作系统项目教程》任务1创建本地用户账户图5-1选择“新用户”选项图5-2“新用户”对话框有关密码的选项描述如下。密码：要求用户输入密码，系统用“*”显示；确认密码：要求用户再次输入密码以确认输入正确与否；用户下次登录时必须更改密码：要求用户下次登录时必须修改该密码；用户不能更改密码：通常用于多个用户共用一个用户账户，如Guest等；密码永不过期：通常用于WindowsServer2008的服务账户或应用程序所使用的用户账户；账户已禁用：禁用用户账户。杨云《网络操作系统项目教程》任务2设置本地用户账户的属性杨云《网络操作系统项目教程》任务2设置本地用户账户的属性图5-4“隶属于”选项卡图5-5“选择组”对话框杨云《网络操作系统项目教程》任务2设置本地用户账户的属性图5-6查找可用的组图5-7“配置文件”选项卡杨云《网络操作系统项目教程》任务2设置本地用户账户的属性如果用户在知道密码的情况下想更改密码，他在登录后按Ctrl＋Alt＋Delete键，输入正确的旧密码，然后输入新密码。更改账户密码杨云《网络操作系统项目教程》任务2设置本地用户账户的属性更改账户密码•用户忘记了登录密码，则使用“密码重设盘”来进行密码重设。任务2设置本地用户账户的属性更改账户密码杨云《网络操作系统项目教程》任务2设置本地用户账户的属性更改账户密码•用密码重设盘重设密码杨云《网络操作系统项目教程》任务2设置本地用户账户的属性更改账户密码•用户既忘了自己密码又没有密码重设盘，可以让Administrator为其更改密码。杨云《网络操作系统项目教程》任务3删除本地用户在前面提到，每个用户都有一个名称之外的唯一标识符SID号，SID号在新增账户时由系统自动产生，不同账户的SID不会相同。由于系统在设置用户的权限、访问控制列表中的资源访问能力信息时，内部都使用SID号，所以一旦用户账户被删除，这些信息也就跟着消失了。重新创建一个名称相同的用户账户，也不能获得原先用户账户的权限。杨云《网络操作系统项目教程》任务4使用命令行创建用户重新以管理员的身份登录到win2008-2计算机上，然后使用命令行方式创建一个新用户，命令格式如下：（注意密码要满足密码复杂度要求。）netuserusernamepassword/add例如要建立一个名为mike，密码为123_ABC的用户，可以使用命令：netusermike123_ABC/add要修改旧账户的密码，可以按如下步骤操作。杨云《网络操作系统项目教程》任务4使用命令行创建用户要修改旧账户的密码，可以按如下步骤操作。①打开“计算机管理”对话框。②在对话框中，单击“本地用户和组”。③右击要为其重置密码的用户账户，然后在弹出的快捷菜单中选择“设置密码”选项。④阅读警告消息，如果要继续，请单击“继续”按钮。⑤在“新密码”和“确认密码”中，输入新密码，然后单击“确定”按钮。杨云《网络操作系统项目教程》任务4使用命令行创建用户或者使用命令行方式：netuserusernamepassword例如要将用户mike的密码设置为456_ABC，可以运行命令：netusermike456_ABC杨云《网络操作系统项目教程》任务5管理本地组内置组杨云《网络操作系统项目教程》任务5管理本地组创建本地组杨云《网络操作系统项目教程》任务5管理本地组创建本地组（命令方式）另外也可以使用命令行方式创建一个组，命令格式为：netlocalgroupgroupname/add例如要添加一个名为sales的组，可以输入命令：netlocalgroupsales/add杨云《网络操作系统项目教程》任务5管理本地组添加组成员杨云《网络操作系统项目教程》任务5管理本地组添加组成员（命令行方式）使用命令行的话，可以使用命令：netlocalgroupgroupnameusername/add例如要将用户mike加入到administrators组中，可以使用命令：netlocalgroupadministratorsmike/add杨云《网络操作系统项目教程》介绍用户登录名•用户主名1.用户主名前缀2.用户主名后缀•用户登录名1.用户登录时必须选择域•用户登录名唯一性原则1.全名在创建用户帐号的容器内必须唯一2.用户主名在目录林中必须唯一3.用户登录名在域中必须唯一+usernamedomaincontososuzanf@SuffixPrefixsuzanf@contoso.msft任务6管理域用户账户杨云《网络操作系统项目教程》域用户账号•域用户账户用来使用户能够登录到域或其他计算机中，从而获得对网络资源的访问权。经常访问网络的用户都应拥有网络惟一的用户账户。如果网络中有多个域控制器，可以在任何域控制器上创建新的用户账户，因为这些域控制器都是对等的。当在一个域控制器上创建新的用户账户时，这个域控制器会把信息复制到其他域控制器，从而确保该用户可以登录并访问任何一个域控制器。任务6管理域用户账户杨云《网络操作系统项目教程》内置用户账号•WindowsServer2003自动创建若干个用户账号，并且赋予了相应的权限，称为内置账