4.管理windows2003的用户帐号和组

Module:管理windows2003的用户帐号和组概述：用户帐号介绍创建本地用户帐号创建并配置域用户帐号为域用户帐号设置属性Windows2003组介绍在工作组中实现组在域中实现组用户帐号介绍域用户帐号(存储在活动目录中允许用户登录域并访问网络资源)本地用户帐号(存储在本地计算机上,允许用户在特定的计算机登录并访问资源)WindowsServer2003DomainAdministratorandGuest内置用户帐号允许用户使用管理工具或临时访问网络资源存储在SAM(本地内置用户帐号)存储在ActiveDirectory中(域内置用户帐号)本地用户帐号的身份验证CredentialssentSAMUserlogsonlocally13AccesstokencreatedAccessTokenLogoninformationcompared2创建用户帐号指导命名约定密码操作指导帐号选项命名约定本地用户帐号的名称在创建这一本地用户帐号的计算机上必须唯一用户登录名:可以包含最多20个字符可以包含专用字符和字母数字字符的组合命名约定应该:处理重复的雇员名称标识出临时雇员密码操作指导为Administrator帐号指定密码决定由谁控制密码告诉用户如何使用密码避免使用容易破解的密码，如姓氏使用长密码采用大小写字母组合的密码弱密码根本没有密码。包含用户名、真实姓名或公司名称。包含完整的字典词汇。例如，Password就属于弱密码。复杂性密码必须符合以下最低要求：不包含全部或部分的用户帐户名长度至少为六个字符包含来自以下四个类别中的三个的字符：英文大写字母（从A到Z）英文小写字母（从a到z）10个基本数字（从0到9）非字母字符（例如，!、$、#、%）强密码长度至少有七个字符。不包含用户名、真实姓名或公司名称。不包含完整的字典词汇。与先前的密码大不相同。递增密码(Password1、Password2、Password3...)不能算作强密码。包含全部下列四组字符类型：创建用户帐号本地用户帐号本地用户和组－－－lusrmgr.mscnetuser域用户帐号活动目录用户计算机useradd创建本地用户帐号用户帐号密码选项描述用户下次登录时必须更改密码用户下次登录时必须更改密码用户不能更改密码用户没有更改密码的权利密码永不过期用户密码没有失效日期帐户已禁用用户不能通过次帐号登录命令行下1.查看当前计算机的所有用户帐号Netuser2.添加用户帐号Netuserusernamepassword/add如：netuserrichard123/add3.删除用户帐号Netuserusername/del如:netuserrichard/del4.修改密码Netuserusernamenewpassword如:netuseradministratorP@ssword5.将users用户添加到administrators组Netlocalgroupadministratorsrichard/addNetlocalgroup“powerusers”richard/add创建域用户帐号ConsoleActiveDirectoryUsersandComputersWindowHelpActionViewTreeNameTypeDescriptionUsers20objectsActiveDirectoryUsersandCompnwtraders.msftBuiltinComputersDomainControllersForeignSecurityPrincipalsLostAndFoundSystemUsersAdministratorCertPublishersDNSAdminsDNSUpdateProxyDomainAdminsDomainComputersDomainControllersDomainGuestsUserSecurityGroup-GlobalSecurityGroup-DomainLocalSecurityGroup-GlobalSecurityGroup-GlobalSecurityGroup-GlobalSecurityGroup-GlobalSecurityGroup-GlobalBuilt-inaccountEnterprisecertiDNSclientswhoDesignatedadmAllworkstationsAlldomaincontAlldomainguesDNSAdministraFind…NewAllTasksViewNewWindowfromHereRefreshExportList…PropertiesHelpComputerContactGroupPrinterSharedFolderUserCreatein:nwtraders.msft/UsersFirstname:Lastname:Fullname:JudyLewJudyA.LewInitials:AUserlogonname:judy1@nwtraders.msftUserlogonname(pre-Windows2000):NWTRADERS\judy1BackNextCancelDelegateControl…NewObject-User介绍用户登录名用户主名1.用户主名前缀2.用户主名后缀用户登录名1.用户登录时必须选择域用户登录名唯一性原则1.全名在创建用户帐号的容器内必须唯一2.用户主名在目录林中必须唯一3.用户登录名(per-win2000)在域中必须唯一+usernamedomaincontososuzanf@SuffixPrefixsuzanf@contoso.msft为域用户帐号设置属性设置用户属性设置帐号属性指定登录选项复制域用户帐号创建用户帐号模板执行公共管理任务概述：用户帐号介绍创建本地用户帐号创建并配置域用户帐号为域用户帐号设置属性Windows2003组介绍在WorkGroup(工作组)中实现组在域中实现组Windows2003中组的工作方式组是一个用户帐号的集合可以利用组对用户帐号进行组织，从而一次授予他们共享资源的权力和权限，不必再针对每一个组中的用户帐号进行授权。当你把一个用户帐号加入到一个组中的时候，也就是将你授予该组的所有权力和权限给了该用户一个用户可以成为多个组的成员。组可以被理解为只是一个成员列表。权力和权限权力用户执行特定任务的权利，通常会影响整个计算机系统，而不只是某个对象。特权作为计算机安全设置的一部分由管理员指派给单个用户或组。权限与对象关联的规则，用来控制谁可以访问对象及访问的方式如何。权限由对象的所有者授予或拒绝。工作组和域中的组创建在域控制器上存储在ActiveDirectory利用它们授予访问权限和执行系统任务的权力，适用于该域中任一计算机在非域控制器上创建存储于SAM(安全帐号管理器)在创建该组的计算机上，才能利用它们授予访问权限和执行系统任务的权力ClientComputerMemberServerWindowsServer2003Domain内置本地组内置本地组:成员有执行系统任务的权力能够添加用户帐号特殊身份(特殊组):针对系统用途自动组织用户自动成为成员，管理员不能修改内置组有事先确定的权力并且你不能删除内置组分配内置组权限Administrator:FullControlUser:授予的权限，访问应用程序、使用本地或网络打印机、关机或锁定计算机等PowerUsers:在本机创建用户或组帐号、修改删除所创建的帐号，共享资源，不能修改管理员组和备份操作员组，不能备份和恢复文件。BackupOperators:备份和恢复文件、登录和关机在工作组中使用本地组策略A用户帐号=P=权限L本地组=工作组LPAAddLPAAddLPAAddLPAAddAssignAssignAssignAssign在域中实现组组类型和作用域域中的内置组和事先定义的组在单域中利用组策略创建和删除域组向域组中添加成员组类型和作用域组类型安全组安全组用于与安全性有关的功能如授予访问资源的权限分发组所对应功能与安全性无关作用域全局组用来组织那些具有类似网络访问需求的用户域本地组用来授予访问域资源的权限通用组用来为多个域中相关资源授权域中的内置组和事先定义的组内置的域本地组为用户提供预定义的权力和权限:只位于域控制器在ActiveDirectory中，不能被删除。特殊身份组(特殊组)针对系统用途自动组织用户自动成为成员，管理员不能修改管理员利用预定义全局组容易的控制域中的资源练习：创建和删除域组使用ActiveDirectoryUsersandComputersto创建和删除组当用户删除组时，组的:该组有关权限和权力被删除成员不会被删除SID(安全标识符)不能再使用NewObject-GroupCreatein:nwtraders.msft/UsersGroupname:Groupname(pre-Windows2000):Groupscope:DomainlocalGlobalUniversalGrouptype:SecurityDistributionOKCancelPublicGroupName安全标识符(SID)安全标识符(SID)一种不同长度的数据结构，用来识别用户、组和计算机帐户。网络上每一个初次创建的帐户都会收到一个唯一的SID。Windows中的内部进程将引用帐户的SID而不是帐户的用户名或组名。向域组中添加成员Group01PropertiesGeneralMembersMemberOfManagedByMembers:NameActiveDirectoryFolderAdd...RemoveOKCancelApplySelectUsers,Contacts,Computers,orGroupsNameInFolderLookin:nwtraders.msftCasablancaPortlandSeattleDenverAdministratorGuestTsInternetUserAddCasablanca;PortlandCheckNamesOKCancelnwtraders.msft/Casablancanwtraders.msft/Portlandnwtraders.msft/Seattlenwtraders.msft/DenverOUnwtraders.msft/Usersnwtraders.msft/Usersnwtraders.msft/UsersSelectAdd总结：用户帐号介绍创建本地用户帐号创建并配置域用户帐号为域用户帐号设置属性Windows2003组介绍在WorkGroup(工作组)中实现组在域中实现组