a第04章_本地用户和组的管理

第4章本地用户和组的管理WS-NE30-1-0304-2北京清华万博网络技术股份有限公司版权所有本章目标•熟悉如何规划本地用户账户•掌握创建和管理本地用户账户的方法•熟悉如何规划本地组•掌握创建和管理本地组的方法WS-NE30-1-0304-3北京清华万博网络技术股份有限公司版权所有4.1本地账户与域账户•用户被授权在计算机上执行某些操作；权限规定哪些用户可以用何种方式访问对象•域账户或称网络账户是存储在ActiveDirectory中–域账户是全企业范围的–用户利用域账户登录到网络–可以访问整个网络中有权访问的资源•本地账户是对应特定计算机的对象–只对一个特定计算机的SAM有效–只能提供特定计算机范围内的访问WS-NE30-1-0304-4北京清华万博网络技术股份有限公司版权所有4.2规划用户账户•用户账户命名规则•密码规则•内置用户账户WS-NE30-1-0304-5北京清华万博网络技术股份有限公司版权所有4.2.1用户账户命名规则•用户名应为1到20个字符•用户名不能与指定计算机上存放的所有其它用户名或组名相同•用户名不能包含下列字符：*∧[]：；|=,+*?“@•用户名不能只由句点和空格组成WS-NE30-1-0304-6北京清华万博网络技术股份有限公司版权所有4.2.2密码规则•试图登录WindowsServer2003时，安全子系统将核对用户提供的密码•本地用户账户的密码长度最多为127位字符•Windows95和Windows98最多支持14个字符的密码•密码区分大小写,abc≠ABC•建议8位以上，数字、字母、特殊符号。WS-NE30-1-0304-7北京清华万博网络技术股份有限公司版权所有4.2.3内置用户账户•Administrator：具有计算机的完全控制权•Guest：允许没有用户名和口令的用户也能访问计算机•为匿名访问IIS和终端服务的用户提供的内置的账户，如：IUSR_computer_name、IWAM_computer_nameWS-NE30-1-0304-8北京清华万博网络技术股份有限公司版权所有4.3创建和管理用户账户•创建用户账户•管理用户账户WS-NE30-1-0304-9北京清华万博网络技术股份有限公司版权所有4.3.1创建用户账户WS-NE30-1-0304-10北京清华万博网络技术股份有限公司版权所有账户选项•下次登录时须更改密码：作为系统管理员的你甚至也不知道他用的是什么密码。•用户不能更改密码：如果许多人使用同一个帐户的环境下，这个选项就很有用。•密码永不过期：与“用户不能更改密码”复选框配合，确保服务帐户的密码永远保持不变。•停用帐户：可以避免重复删除和创建帐户。WS-NE30-1-0304-11北京清华万博网络技术股份有限公司版权所有4.3.2管理用户账户•关闭用户账户•删除用户账户•更改用户名•改变用户口令•管理用户属性•用户配置文件WS-NE30-1-0304-12北京清华万博网络技术股份有限公司版权所有SID•SID也就是安全标识符•是标识用户、组的唯一的号码•在第一次创建该帐户时，将给帐户发布一个唯一的SID。•Windows2003中的内部进程将引用帐户的SID而不是帐户的用户或组名。•如果删除帐户，然后使用相同的用户名创建另一个帐户，则新帐户将不具有前一个帐户的权力或权限，原因是该帐户具有不同的SID号。WS-NE30-1-0304-13北京清华万博网络技术股份有限公司版权所有组•组：用户账户的集合•组内的用户账户，会获得组的被赋予的所有权限和许可•组：用来组织多个用户来为它们分配相同的权力和对资源的访问权限。•本地组:存在于本地的SAM，赋予对本地的资源访问。WS-NE30-1-0304-14北京清华万博网络技术股份有限公司版权所有4.4规划和使用组•本地组账户用来组织多个用户来为它们分配相同的权力和对资源的访问权限•系统内置组用来授予多个用户在系统上进行一定操作的权力•创建的本地组多用于在逻辑上组织用户以给予他们对特定资源WS-NE30-1-0304-15北京清华万博网络技术股份有限公司版权所有规划和使用组•本地账户能成为本地组成员•本地组不能嵌套•删除组以后，组内成员不会删除，只删除组的权利和权限•普通用户不能创建组WS-NE30-1-0304-16北京清华万博网络技术股份有限公司版权所有4.4.1组的命名规则•本地组名不能与被管理的计算机上的其他组名或用户名相同•组名最多256个大写或小写字符•组名不能包含下列字符：“/[]:;|=,+*?@•组名不能只由句点(.)或空格组成WS-NE30-1-0304-17北京清华万博网络技术股份有限公司版权所有4.4.2内置组•Administrators：具备完全控制权。Administrator之所以有管理的能力，它在管理员组中。•PowerUsers：可进行基本的系统管理工作。可共享文件。可创建用户，此用户不能属于管理员组和备份组。而且只能修改自创建的用户。•BackupOperators：忽略文件的权力进行备份和恢复，可以关闭计算机，不能更改硬件设置，也不能创建用户和组。•Users：执行普通工作，不能更改硬件设置，不能共享文件，不能关闭机器，不能创建用户和组。•Guests：只允许偶尔或临时用户登录。WS-NE30-1-0304-18北京清华万博网络技术股份有限公司版权所有内置的特殊组•Everyone：计算机和网络中的每个用户。•INTERACTIVE:所使用计算机的本地用户。•Network：通过网络的所有用户。•System：这个组包括特定的、操作系统所依赖的资源。•Creatorowner：这个组特指文件夹、文件或打印工作的创建者。WS-NE30-1-0304-19北京清华万博网络技术股份有限公司版权所有4.5创建和管理组•创建组账户•管理组账户WS-NE30-1-0304-20北京清华万博网络技术股份有限公司版权所有4.5.1创建组账户WS-NE30-1-0304-21北京清华万博网络技术股份有限公司版权所有4.5.2管理组账户•更换组名•删除组•管理本地组属性WS-NE30-1-0304-22北京清华万博网络技术股份有限公司版权所有各组之间的权限对比AdministratorsBackupPowerusers共享文件夹√×××更改IP√×××禁用、装、卸硬件√×××关机√√√×创建用户√×√×WS-NE30-1-0304-23北京清华万博网络技术股份有限公司版权所有本章总结•本地账户与域账户的区别–本地账户只能提供特定计算机范围内的访问–域账户是全企业范围的–用户利用域账户登录到网络，可以访问整个网络中有权访问的资源•规划用户账户–用户账户命名规则–密码规则•创建和管理用户账户•组的作用–用来组织多个用户来为它们分配相同的权力和对资源的访问权限•组的命名规则•创建和管理组