《本地用户和组》PPT课件.ppt

主讲教师:谭鸣钟,Windows Server 2003服务器 操作系统,第4章 本地用户和组,主要知识点： 一、规划用户帐户 （掌握） 二、创建和管理用户帐户 （掌握） 三、规划和使用组 （掌握） 四、创建和管理组 （了解）,一 本地帐户与域帐户,每个用户都必须有一个帐户,以便利用这个帐户登陆到域,然后访问网络上的资源,或登陆到某台计算机,然后访问该计算机内的资源。,Windows Server 2003用户帐户既可以是域帐户，又可以是本地帐户。 域帐户或称网络帐户是存储在Active Directory中，作用在Windows网络安全环境中的用户帐户对象。域帐户是全企业范围的，用户利用域帐户登录到网络，可以访问整个网络中有权访问的资源。 本地帐户是对应特定计算机的对象。一个本地帐户只对一个特定计算机的本地安全数据库SAM（安全帐户管理器）有效。本地帐户只能提供特定计算机范围内的访问。就好比某人的钥匙只允许其进入自家家门，而不能进入邻居家一样。,成员服务器,刘备蜀.com,魏.com,蜀.com,第一台域控制器,域控制器 曹操魏.com,成员服务器,域控制器 张飞张飞部队蜀.com,曹仁部队曹操魏.com,曹丕魏.com,张三张飞部队蜀.com,额外域控制器 诸葛亮蜀.com,刘蝉蜀.com,关羽部队蜀.com,张飞部队蜀.com,三国域分布图（作者：易中天）,二 规划用户帐户,1、用户帐户命名规则 创建新用户时惟一的要求是提供有效用户名。有效就是指符合Windows Server 2003用户命名规则，但也可以建立自己的命名约定。Windows Server 2003用户名命名规则如下：,用户名应为1到20个字符 用户名不能与指定计算机上存放的所有其他用户 名或组名相同 用户名不能包含下列字符：* ： ； | = ， + * ? “ 用户名不能只由句点和空格组成,3、内置用户帐户 在安装Windows Server 2003时，在独立服务器上，默认帐户针对本机的本地帐户，并被存放在SAM中。内置帐户不能被删除，但它们可以被重新命名。,Administrator帐户是个特殊帐户，具有计算 机的完全控制权。要在Windows Server 2003 安装过程中提供这个帐户的密码。 Administrator帐户可以进行各种工作，如创 建用户与组、管理文件系统和设置打印。,Guest帐户允许没有用户名和密码的用户也能访问计算机。由于这种用户固有的安全风险，这个帐户缺省为禁用。启用这个帐户时，权限通常很有限。 Windows Server 2003也会为匿名访问IIS等服务的用户提供内置的帐户。如：IUSR_computer _name、IWAM_computer_name等。,三 创建和管理用户帐户,1、创建用户帐户 使用Windows Server 2003用户帐户的第一步是访问本地用户和组实用程序。访问本地用户和组的常见方法有两种： 要创建新用户帐户，需打开本地用户和组实用程序，选中【用户】文件夹，并选择【操作】【新用户】（如下图所示），,可以将本地用户和组实用程序作为MMC 管理单元装入 可以通过计算机管理实用程序访问本地用 户和组实用程序,创建新用户界面,打开【新建用户】对话框。在对话框中，要填入【用户名】字段。【新建用户】对话框中所有其他字段都是可选的。 单击【操作】，然后单击【新用户】，会打开创建用户的对话框，如下图所示。,填写新用户资料,此外，还有四个复选框，分别表示：,用户下次登录时须更改密码：强制用户在首 次登录时改变密码，提高安全性。这个选项 缺省选择。 用户不能更改密码：不让用户改变密码，用 于Guest之类的帐户和多个用户共享的帐户。 缺省不选这个选项。,密码永不过期：指定密码永不过期，即使指定了密码策略。例如，服务帐户可以选择这个选项以减少改变密码的管理开销。缺省不选这个选项。 帐户已停用：指定这个帐户无法用于登录。例如，可用于临时帐户或当时不用的帐户，防止非活动帐户造成安全威胁。缺省不选这个选项。,2、管理用户帐户 （1）关闭用户帐户 当不再需要用户帐户时，应当将其关闭或删除。如果关闭帐户，则以后只要再启用该帐户即可恢复其相关用户属性，而删除的帐户则永远无法恢复。,（2） 删除用户帐户 要删除用户帐户，需打开本地用户和组实用程序，选中要删除的用户帐户，并单击【操作】菜单，然后选择【删除】命令，如下图所示。,填写新用户资料,删除之后，这个帐户就再也不能恢复了（除非从备份中恢复本地用户帐户数据库）。在Windows Server 2003中用于资源访问管理的是SID。例如，删除了一个叫CindyF的帐户，当你重新创建一个叫做CindyF的帐户时，虽然名字相同，但其SID已经不同了。那么，CindyF将无法访问以前那个特定目录，除非重新将此目录加入到目录的权限列表中。,（3） 更改用户名 创建帐户之后，可以随时更换帐户名。 要更名用户帐户，需打开本地用户和组实用程序，选中要更名帐户的用户，并选择【操作】【重命名】，如下图所示，然后修改用户名并按Enter键完成更名操作。,重命名帐户,（4） 改变用户密码 如果用户忘记密码而无法登录怎么办？一般人都不能看到他的旧密码，但作为管理员，可以改变他的密码，然后让他使用新密码登陆，并修改成自己常用的密码。 要改变用户密码，需打开本地用户和组实用程序，选中用户帐户，并选择【操作】【设置密码】。输入新密码，再次输入进行确认，如下图所示。,设置帐户密码,（5） 管理用户属性 如果要更多地控制用户帐户，可以配置用户属性。通过用户属性对话框，可以改变原密码选项，将用户加进组中和指定用户配置文件信息。 用户属性对话框有四大类属性的标签：【常规】、【隶属于】、【配置文件】和【拨入】。,【常规】标签包含设置新用户帐户时指定的信息，包括输入的姓名与描述信息，选择的密码选项和帐户是否关闭。如果要修改这些属性，只需打开用户属性对话框并在常规标签中进行改变即可，如后图所示。,常规选项,要将用户加进现有组中，单击【添加】按钮并选择用户要加进的组。要从组中删除这个用户，选中组名并单击【删除】按钮，如下图所示。,隶属于选项,【配置文件】标签可以设置自定义用户环境的属 性（如下图所示）。,配置文件选项,【拨入】标签用于定义拔号属性，如远程访问权 限与回叫选项。这些选项与远程访问服务器和 VPN服务器一起使用，如下图所示。,拨入选项,什么是组？ 其中包含了用户帐号、计算机帐号、联系人对象。 使用组的目的就是简化对于用户权限的分配，当有多个用户要使用相同的权限的时候，我们可以先将他们划分在同一个组内，然后对这个组添加相应的权限。,四 规划和使用组,1、组的命名规则 创建新组与创建用户帐户类似，需要向系统提供规划好的有效组名称，有效就是指符合Windows Server 2003用户命名规则。Windows Server 2003组命名规则如下： （1）本地组名不能与被管理的计算机上的其他组名 或用户名相同 （2）组名最多 256 个大写或小写字符 （3）组名不能包含下列字符：“ / : ； | = ， + * ? （4）组名不能只由句点 （.） 或空格组成,2、内置组 在安装Windows Server 2003的过程中，系统创建了若干内置组，并为这些组赋予了相应的权限。下面列出了主要的内置组及其相应的权限：,Administrators：管理员组的成员具有对计算机的完全控制权限。只有内置组才被自动授予该系统中的每个内置权利和能力。 Backup Operators：备份操作员组的成员可以备份和还原计算机上的文件，而不管保护这些文件的权限如何。他们也可以登录计算机和关闭计算机，但不能更改安全设置。,Power Users：超级用户组的成员可以创建用户帐户，但只能修改和删除他们所创建的帐户。超级用户可以创建本地组并从他们创建的本地组中删除用户。也可以从超级用户、用户和来宾组中删除用户。 Users：用户组的成员可以执行大部分普通任务，如运行应用程序、使用本地和网络打印机以及关闭和锁定工作站。用户不能共享目录或创建本地打印机。缺省情况下，创建的新用户都是Users组成员。 Guests：来宾组允许偶尔或临时用户登录工作站的内置来宾帐户，并授予有限的能力。,下面还列出了几个内置的特殊组，这些组不能被编辑、禁用或删除，也没有办法添加成员。他们可以被赋予各种权限，但在“本地用户和组”中并不可见。,Everyone：这个组的意思是使用计算机和网络的每一个人。 INTERACTIVE：所有使用计算机的本地用户。 NETWORK：通过网络和计算机相连的所有用户，NETWORK组和INTERACTIVE组结合就是Everyone组。 SYSTEM：这个组包括特定的、操作系统所依赖的资源。 CREATOR OWNER：这个组特指文件夹、文件或打印工作的创建者。,5、创建和管理组 （1）创建组帐户 创建组帐户与创建用户帐户相似，将本地用户和组管理单元加进MMC中后，展开显示用户和组文件夹。右键单击组文件夹并选择弹出菜单中的【新组】。【新组】对话框中惟一必须的项目是组名。可以输入说明姓名并增加（或删除）组成员。准备创建新组时，单击【创建】按钮即可完成组的创建，如下图所示。,创建组,2、管理组帐户 （1） 更换组名 Windows Server 2003提供了改变组名的方便机制。例如，如果当前组名不符合命名约定，则要改变组名。 和更换用户帐户名时一样，更换组名时也会保持其所有属性，包括成员和权限。 要改变组名，需右键单击组名并从弹出菜单中选择【重命名】，如下图所示，然后改变组名并单击【确定】按钮。,重命名组,（2） 删除组 如果某个组不再使用，则可以将其删除。删除之后，就失去了该组指定的所有权限设置。 要删除组，需右键单击组名并从弹出菜单中选择【删除】（如下图所示）。此时出现警告对话框，单击【是】按钮，即可将组删除。 如果删除组之后再给另一个组以相同的名称，则并不创建与所删除的组相同的属性。,删除组,（3） 管理本地组属性 创建组之后，可以在其中增加成员。可以将一个用户放进多个组中。 可以通过组属性对话框方便地增加（或删除）组成员。要从本地用户和组实用程序组文件夹中访问组属性对话框，只需双击要管理的组。,在后图所示的Users属性对话框中，可以改变组说明和增加（或删除）组成员。单击【添加】按钮增加成员时，出现【选择用户或组】对话框。在这个对话框中，可以选择要增加的用户账号并单击【添加】按钮。单击确定按钮将用户加进组中。 要从组中删除成员，需选择成员清单中的成员并单击【删除】按钮。 增加（或删除）组成员时可以选择连续的多个用户，只要按住Shift并单击第一个和最后一个即可。要选择不连续的多个用户，需按住Ctrl单击每个项目。,组属性对话框,五 作业,1、练习创建用户帐户 2、练习对用户帐户的属性进行设置 3、练习创建组 4、练习对组的属性进行设置,