Server的用户管理.doc

4.3 Windows 2000 Server的用户管理4.3.1 实训目的（1）掌握Windows 2000中关于用户和组的基本概念2）掌握Windows 2000中不同类型的组的使用场合3）掌握创建和修改用户的方法4）掌握创建和修改组的方法5）掌握在单个域中使用组的策略（AGDLP）4.3.2 实训内容（1）创建和修改本地用户账户2）创建和修改域用户账户3）创建和修改全局组4）实现AGDLP策略4.3.3 实训理论基础活动目录用户和计算机管理器中的账号标识的是一个物理实体，如计算机或用户，计算机和用户的账号在它们登录到网络或访问域中的资源时提供安全信任账号可以用于： 验证计算机或用户的身份 允许访问域中资源 审核用户或计算机账号的活动1．用户账号用户账号能够让用户以授权的身份登录到计算机和域中并访问其中的资源用户账号也可以作为某些软件的服务账号Windows 2000还提供了内置的用户账户，用于协助日常的管理任务，或者使得用户可以临时访问资源每个经常利用网络的用户都应该有用户账户，可以创建两种类型的用户账户：域用户账户和本地用户账户1）本地用户账户利用本地用户账户，用户可以登录到特定的计算机，以访问该计算机上的资源。

如果用户在其他的计算机上也有自己独立的账户，那么也能够访问其他计算机上的资源本地用户账户驻留在该计算机的安全账号管理器（SAM）中，SAM就是计算机上的本地安全性账号数据库2）域用户账户利用域用户账户，用户可以登录到特定的Windows 2000域，以访问网络资源用户利用自己特有的用户账户和密码，可以从网络上的任何计算机访问网络资源，域用户账户信息驻留在活动目录服务中3）内置的用户账户用于协助日常的管理任务，或者使得用户可以临时访问资源有两个特别的内置账户，即Administrator和Guest ，这两个内置账户不能被删除，可以被修改本地的Administrator和Guest账户驻留在本地SAM中，域的Administrator和Guest账户驻留在活动目录中，内置账户在安装Windows 2000和活动目录的过程中自动创建2．计算机账户每一个运行 Windows 2000 和 Windows NT 的计算机在加入到域时都需要一个计算机账号，就像用户账号一样，被用来验证和审核计算机的登录过程和访问域资源3．组利用组可以简化管理可以利用组对用户账户进行组合，从而可以针对用户构成的组进行授权，达到一次授予它们共享资源的权力和权限，而不必经过多次授权。

这样做可以简化对访问网络中资源的管理共享资源包括网络共享文件夹、文件、目录和打印机 当用户成为某个组的成员后，它就将被授予改组所获得的所有权力和权限 一个用户账户可以成为多个组的成员从而获得这些组所具有的权力和权限创建组的场合的不同，使得组分为工作组中的组和域中的组1）工作组中的组工作组中的组在不是域控制器的计算机上创建，可以在客户机或者成员服务器上创建2）域中的组域中的组在域控制器上创建，驻留在活动目录中，分安全组和分发组两种类型其中分发组不能进行权限指派，只能用作电子邮件的通信组4．组作用域组作用域确定组在域树或树林中所应用的范围组作用域是只针对域中的组来讲的有三类不同的作用域：全局组、本地域组和通用组1）全局组 成员只能来源于组所在的域的域用户账户 可以访问域树林中的任何地方的资源（2）本地域组 成员可以来源于域树林中的任何一个域 被限定只能访问本域资源（3）通用组5．单个域中使用组的策略当在单个域中使用组进行简化管理的时候，推荐使用AGDLP策略，该策略就是将用户账户（A —— Accounts）放置到全局组（G —— Global）中，将全局组放置在域本地组（D ——Domain Local）中，然后为域本地组授权（P —— Permissions），从而达到为用户授权，使用户可以访问域中网络资源的目的。

至于在多域环境中还可以使用通用组6．实训环境需求项目 操作系统 　　　　　 角色 数量 备注计算机 Windows 2000 Advanced TestDomainXX.com 1台/组 命名为WserverXX 域的域控制器，XX为组号 计算机 Windows 2000 Advanced TestDomainXX.com 1台/组 命名为MserverXX 域的成员服务器，XX为组号 4.3.4 实训步骤下面实训中将创建本地用户账户、本地组、域用户账户和域中的全局组，并且利用AGDLP策略实现简化管理1．实训准备准备项目 数据实训硬件设备 确认准备无误一个域用户账户 AdminXX（属于Administrators组） 域用户账户密码 password在MserverXX上的本地账户 Administrator 在MserverXX上的本地账户密码 password一个组织单元 UserOU一个全局组 　　　　　　 BackUP Admin一个域用户账户 BakupXX服务器计算机名 WserverXX XX为组名成员服务器名称 MserverXX XX为组名域名 TestDomainXX.com2．创建本地用户账户在下面的实验中，将创建两个本地用户账户。

首先将创建账户LocalUserXX，然后利用LocalUserXX进行登录，登录后创建另一个本地用户账户ManagerXX因为LocalUserXX无创建账户的权力，需要做二次登录注意：本步骤实验需要在成员服务器上执行1）试图以LocalUserXX作为用户名登录到MserverXX：1）试图利用下列信息登录到MserverXX用户名：LocalUserXX（ XX是组号）；密码：password；登录到：MserverXX （这里MserverXX是成员服务器）2）结果将是不能登录单击“确定”按钮，关闭“登录消息”框4.11 添加新用户图4.12 二次登录（2）作为系统管理员Administrator登录到MserverXX，以创建用户账户：1）利用下列信息登录到MserverXX用户名：Administrator密码：password登录到：MserverXX2）单击“开始”→“程序”→“管理工具”→“计算机管理”，打开计算机管理窗口3）在左侧控制台树下，在“系统工具”下，扩展“本地用户和组”，将看到两个容器：用户和组4）单击“用户”将会看到右侧用户列表，其中Guest账户上是一个红色的X。

5）右击“用户”，选择”新用户” 6）在“新用户”对话框中输入下列信息如图4.11所示用户名：LocalUserXX（ XX是组号）描述：本地普通用户密码：password确认密码：password7）不选择“用户下次登录时必须更改密码”复选框，单击“创建”8）单击“关闭”以关闭“新建用户”对话框9）关闭“计算机管理”窗口，然后退出登录3）利用前面创建的账户登录到MserverXX，然后利用二次登录以完成另一个账户的创建：1）利用下列信息登录用户名：LocalUserXX（ XX是组号）密码：password登录到：MserverXX （这里MserverXX是成员服务器）此时将可以成功登录到该成员服务器上2）单击“开始”→“程序”→“管理工具”→“计算机管理”，打开计算机管理窗口3）在左侧控制台树下，在“系统工具”下，扩展“本地用户和组”4）右击“用户”，选择“新用户”5）在“新用户”对话框中，在“用户名”框输入ManagerXX，然后单击“创建”，此时将会出现一个“拒绝访问”消息框，用户不能成功建立6）单击“确定”，关闭出错消息7）单击“关闭”以关闭“新建用户”窗口，然后关闭“计算机管理”窗口。

8）单击“开始”→“程序”→“管理工具”，用鼠标右击“计算机管理”，选择“运行为”9）在“以其他用户身份运行”对话框中，确认用户名称是Administrator，域是MserverXX，输入密码password，单击“确定”如图4.12所示 10）在左侧控制台树下，在“系统工具”下，扩展“本地用户和组”，右击“用户”，选择“新用户”11）在“新用户”对话框输入下列信息用户名：ManagerXX（XX是组号）描述：部门管理员密码：password确认密码：password12）不选择“用户下次登录时必须更改密码”复选框，单击“创建”13）单击“关闭”按钮，关闭“新建用户”对话框，然后关闭“计算机管理”窗口14）退出登录4）用LocalUserXX登录，并测试本地账户连接到域资源的能力1）以下列信息登录到域TestDomainXX.com用户名：LocalUserXX（XX是组号）密码：password登录到：TestDomainXX.com此时将出现信息，表示不能登录到域2）单击“确定”，关闭“登录消息”框3）利用下列信息登录到域TestDomainXX.com用户名：AdminXX（ XX是组号）密码：password登录到：TestDomainXX（这里MserverXX是成员服务器）此时成功登录。

4）考虑为什么两个用户账户登录到域会有不同的结果？5）退出登录3．创建域用户账户在下面的练习中，将创建两个临时域用户账户Tuser1和Tuser2，然后配置下列账户选项： 登录时段 登录到的服务器 账户失效时间注意：本步骤实验需要在域控制器上执行1）以AdminXX作为用户名登录到域TestDomainXX.com，并完成账户创建工作1）以下列信息登录到域TestDomainXX.com用户名：AdminXX密码：password登录到：TestDomainXX.com2）此时将能够成功登录图4.13 创建组织单元图4.14 新建用户（2）在域中创建一个组织单元，用于存放创建的用户对象1）从“管理工具”菜单打开“AD用户和计算机”管理窗口2）在左侧控制台，扩展TestDomainXX.com，右击TestDomainXX.com，选择“新建”→“组织单元” 3）在“新建对象-组织单元”对话框，输入组织单元名称UserOU，单击“确定”4）（3）在组织单元UserOU中，创建临时用户Tuser1 和Tuser21）在左侧控制台树，右击上一步生成的组织单元UserOU，选择“新建”，单击“用户”。

2）利用下列信息完成“新建对象-用户”对话框名字：Tuser1登录名：Tuser13）单击“下一步”，在“密码”和“确认密码”框输入password4）单击“下一步”，然后单击“完成”。