YHWS0302.用户和组.ppt

WindowsServer2003系统管理,第二章,用户和组,Version2.0,内容回顾,c/s与b/s模式的特点和区别；WindowsServer2003有四个版本；常见文件系统之间的区别和联系；完全格式化和快速格式化的区别；两种授权模式的特点和区别；安装操作系统的方式有哪些掌握无人职守安装,理解工作组和域的概念和区别掌握本地用户账户的创建熟悉本地用户账户属性的配置了解用户配置文件的应用掌握本地组的创建和管理熟练使用常用的网络命令熟悉系统启动的过程和boot.ini,本章目标,工作组的概念,工作组(WorkGroup)：就是将不同的电脑按功能分别列入不同的组中，以方便管理。如在一个网络内，可能有成百上千台工作电脑，如果这些电脑不进行分组，则它们都列在“网上邻居”内，可想而知会有多么乱。为了解决这一问题，Windows9x/NT/2000/2003才引用了“工作组”这个概念。比如一所高校，会分为诸如数学系、中文系之类的，然后数学系的电脑全都列入数学系的工作组中，中文系的电脑全部都列入到中文系的工作组中如果你要访问某个系别的资源，就在“网上邻居”里找到那个系的工作组名，双击就可以看到那个系别的电脑了。这样就显然方便管理多了！如果你输入的工作组名称以前没有，那么相当于新建一个工作组，当然只有你的电脑在里面。计算机名和工作组的长度不能超过15个英文字符，可以输入汉字，但是不能超过7个。,域的概念（了解）,与工作组的“松散会员制”有所不同，“域”是一个相对严格的组织。在对等网模式下，任何一台电脑只要接入网络，就可以访问共享资源。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows9x构成的对等网中，数据是非常不安全的。在域模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为域控制器(DomainController，简写为DC)。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确，域控制器就拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，只能以对等网用户的方式访问Windows共享出来的资源，这样就一定程度上保护了网络上的资源。,用户账户的类型,本地用户账户：用户账户是创建在“本地安全账户数据库(SAM)”内，而不是域控制器的AD数据库内。用户可以利用本地用户账户登陆该账户的所在计算机，但是这个账户只能够访问这台计算机内的资源，无法访问网络上的资源。如果要访问其他计算机内的资源，则必须输入计算机内的账户名域密码。本地账户只存在于这台计算机上，当用户利用本地账户登陆时，由这台计算机的SAM检查账户名与密码是否正确！C:WINDOWSsystem32config-SAMC:WINDOWSrepair-sam域用户账户：域用户账户存储在域控制器的AD数据库中，用户可以利用域用户账户登陆到域，并且利用它访问网络上的资源。用户利用域用户账户登陆时，这个账户数据会被送到域控制器，并由域控制器检查用户所输入的账户名与密码是否正确。将用户创建在某台域控制器后，这个账户会被自动复制到同一域内的其他所有的域控制器。因此，域内的每台域控制器都可以检查用户所输入的账户和密码是否正确！,内置的本地用户账户,Administrator(系统管理员):它拥有最高的权限，可以管理计算机或域内的设置，如创建、删除用户与组账户、设置安全策略、创建打印机、设置用户权限等。为了安全起见，建议将其改名。该用户不能删除！Guest(客户):它提供用户临时使用的账户，如给偶尔需要登陆的用户使用。该账户可以改名，但不能删除，默认是禁用状态！SUPPORT_388945a0:这是一个帮助和支持服务的提供商帐户,一般很少使用。可以改名，可以删除，默认是禁用状态！说明：并非所有的用户都具有管理账户的权力，具备管理员能力的用户有：Administrator、Administrators组内的账户、DomainAdmin组内的账户、Poweruser组内的账户，它们都有完全的权力来管理账户！由于当前内置账户中，只有Administrator才具有添加、更改、删除等管理账户的权力，因此强烈建议用Administrator账户登陆！,本地账户存储在本地计算机上的SAM中本地账户能够并且只能够登录到本地计算机本地账户可以用“计算机管理”中的“本地用户和组”来管理本地账户主要用于工作组环境中一个账户只能登录到一台计算机,本地用户账户的创建和管理,使用计算机管理工具进行用户管理需要用户名全名描述密码相关选项,本地用户账户的创建和管理,用户名：用户名最长20字符，不区分大小写，也可以使用中文，但不能使用一些特殊字符（/:;|=,+*?）全名和描述：此信息为可选项，可以输入一些员工的个人信息和公司信息，如姓名和部门等；密码和确认密码：密码的最大长度可以达到128位，密码的设置不应过于简单，应该使用字母、数字及特殊符号的组合。,本地用户账户的创建和管理,用户下次登录时必须更改密码用户不能更改密码密码永不过期账户已禁用,保障用户隐私,用于共享账户,默认42天过期,暂时禁止登录,本地用户账户的创建和管理,常规信息隶属于拨入,设置账户属性,重设密码一般由管理员完成更改密码一般由用户完成,更改账户密码,重命名用户删除用户SID:S-1-5-21-1292074401-2054391636-2487779615-500删除后不能重建,重命名和删除账户,用户配置文件包括用户的工作环境信息桌面我的文档收藏夹最近访问过的文件在用户属性中可以指定配置文件的路径,用户配置文件,利用系统属性中可以看登录到当前计算机中的用户配置文件,用户配置文件,组的类型,本地组账户：用户可以在独立服务器、成员服务器或者非域控制器的计算机上创建组，称之为“本地组”。这些账户存储在“本地安全账户数据库SAM”内。本地组只能在本地计算机上使用，只能够访问本地计算机的资源。域中组账户：用户可以在扮演域控制器的计算机中创建，这些账户存储在“AD数据库”内。这些组能够被使用在整个域目录林的所有计算机上，能够访问所有计算机内的资源。,当一个用户加入到一个组以后，该用户会继承该组所拥有的所有权限；一个用户账户可以同时加入到多个组；有些情况下，组可以加入到其他组，或者说组里可以包括组。,本地组管理,创建组使用计算机管理工具中的用户和组管理需要输入组名和描述可以直接添加成员,创建本地组,默认本地组自动建立拥有特殊的权限,内置组,内置组,本地组的管理修改组成员删除组SID重命名组成员和权限不变,管理本地组,ipconfigPing,Windows网络测试工具,查看当前计算机的IP配置信息IPCONFIGIPCONFIG/ALLIPCONFIG/?,Ipconfig命令,IPCONFIG/ALL的详细信息,Ipconfig命令,测试网络的连通情况判断当前的网络配置Ping网络正常超时（一般为网络不通）主机不可达,Ping命令,hostname,查看本地计算机的计算机名称,显示用户组的相关信息Whoami/userWhoadmi/groups,Whoami命令,Netsend,网络间发送消息的信使服务,启动的六个核心文件,NTLDR系统的核心文件，引导boot.ini；BOOT.INI来确定计算机在引导过程中显示的可供选取的操作系统类别；NTDETECT.COM收集硬件的信息；NTBOOTDD.SYS当ATA技术被禁用或磁盘控制器是SCSI类型时，提供驱动支持NTOSKRNL.EXE是保护性的进程，在计算机反复启动的情况下出现SYSTEM.DATSYSTEM.DAT主要存放了注册表的大部分数据,系统启动过程,1、电源自检程序开始运行2、主引导记录(MBR)被装入内存，并且程序开始执行*MBR位于磁盘0磁道0柱面1扇区,包含分区表,记录几个分区以及活动分区的位置3、活动分区的引导扇区被装入内存,并找Ntldr引导装载程序4、Ntldr从引导扇区被装入并初始化5、Ntldr读boot.ini文件*boot.ini位于系统盘根目录下,提供选单6、Ntldr装载所选操作系统*如果Windows2003被选择,Ntldr运行N*对于其他的操作系统,Ntldr装载并运行Bootsect.dos然后向它传递控制.7.N搜索计算机硬件并将信息写入HKEY_LOCAL_MACHINEHARDWARE中.*检测硬件环境是否满足加载WS03的最低硬件要求8.然后Ntldr装载Ntoskrnl.exe9.Ntldr把控制权交给Ntoskrnl.exe,这时,启动程序结束,装载阶段开始,系统启动过程,boot.ini,bootloadertimeout=10default=multi(0)disk(0)rdisk(0)partition(2)WINXPoperatingsystemsmulti(X)disk(Y)rdisk(Z)partition(Q)WINXP=MicrosoftWindowsXPProfessional/fastdetectSCSI(X)disk(Y)rdisk(Z)partition(Q)WIN98=MicrosoftWindows98/fastdetect,1.如果是IDE盘,则以multi(X)开头,其中X表示磁盘控制器(主板上的芯片)上的顺序号（X从0开始计数）。若计算机中只有SCSI控制器，并且SCSI的BIOS为enable,则以SCSI(X)开头，其中X表示磁盘控制器上的顺序号（X从0开始计数）。若计算机中只有SCSI控制器,并且SCSI的BIOS为disable,则以multi(x)开头和IDE的一样2.disk(Y)若以SCSI开头，则Y表示硬盘顺序号（Y从0开始）。*只针对SCSI硬盘,multi无意义,恒等于0。3.rdisk(Z)若以multi开头，硬盘顺序号（Z从0开始）。*只针对Multi硬盘,SCSI无意义，恒等于0。4.partition(Q)主分区的顺序号（从1开始）。,编辑boot.ini,Boot.ini参数,网络常用测试命令：ipconfigpingwhoami工作组模式的网络适用于小型网络，计算机数量最好不要超过10台在工作组模式中，每台计算机都需要维护自己的用户安全数据库WindowsServer2003安装后会自动建立若干个默认帐户和组。其中Administrator是管理员帐户,本章总结,普通用户只具有基本的登录和运行简单应用程序的权限，不具有类似于关机、修改时间、设置网络等权限对于不在使用的帐户可以暂时先将其禁用，因为如果删除后，及时建立了同名帐户，也不能保留原来的权限用户配置文件保存了用户工作环境的所有信息，比如桌面、我的文档、收藏夹等等,本章总结,常用的本地组，Administrators、Powerusers、Backupopeartors、NetworkConfigurationOperators组中可以加入多个用户，用户具有此组的权限本地组不能添加本地组作为自己的成员，但可以添加内置安全主体,本章总结,以工作组方式部署企业网络将计算机加入工作组在工作组中的计算机上建立账户创建本地组,实验,实验图示,将计算机成功加入工作组成功创建用户需求的帐户，并设置好属性成功的创建本地组能够将用户加入组或从组中删除,实验完成标准,