中小型企业网组建与管理第7章局域网的用户与资源管理.ppt

第七章 局域网的用户与资源管理,,第七章 局域网的用户与资源管理,7.1 管理用户和计算机账户 7.2 创建和使用组 7.3 创建和使用组织单元 7.4 文件安全性管理,7.1 管理用户和计算机账户,7.1.1 添加/删除用户账户 7.1.2 设置用户账户的安全属性 7.1.3 用户账户的启用与停止 7.1.4 远程管理用户账户,7.1.2 添加/删除用户帐户,一．创建本地用户 (1)单击“开始”→“程序”→“管理工具”→“计算机管理” (2)双击+号扩展“系统工具”树，然后扩展“本地用户和组”树再单击“操作”菜单，执行“新创用户”命令 (3)在打开“创建用户”对话框时，输入新帐户名 (4)单击“创建”按钮，就创建了用户Martin (5)按照同样方法创建用户John (6)单击“关闭”按钮关闭对话框 图7-1 “创建用户”对话框,,二．创建域用户帐户,（1)单击“开始”→“程序”→“管理工具”→“Active Directory用户和计算机”控制台 （2)扩展在控制面板左窗格中的 （3）单击“Users”文件夹以选择它 （4)单击“操作”菜单，并从“新建”菜单中选择“用户”命令，打开“新建对象－用户”对话框。

（5)输入用户信息 （6)单击“新建对象－用户”对话框中的“下一步”按钮，输入用户密码到“密码”和“确认密码”对话框 7.1.2 设置用户帐户的安全属性,（1）单击“开始”→“程序”→“管理工具”→“Active Directory用户和计算机”控制台 （2）选择“帐户”选项卡，在该对话框中可以对“用户登录名”、“帐户选项”等内容进行修改 （3）设置用户登录时间 （4）限制用户由某台客户机登录 （5）设置帐户的有效期限 （6）重设密码7.1.3 用户帐户的启用与停止,（1）单击“开始”→“程序”→“管理工具”→“ Active Directory用户和计算机”控制台 （2)扩展在控制面板左窗格中的，打开“Users”目录，并在右边列表框中选取要停用的帐户Jone，单击鼠标右键，在出现的快捷菜单中选择“停用帐户”，然后会出现该帐户已被停用的提示信息 （3）单击“确定”按钮后，返回“Active Directory用户和计算机”控制台，发现代表该帐户的人头旁边出现了一个“×”，表示Jone帐户已被停用 （4）选择已被停用的guest帐户，然后单击鼠标右键，在出现的快捷菜单中选择“启用帐户”，将出现“对象guest已被启用”的信息提示。

（5）单击“确定”按钮，guest帐户已被启用7.1.4 远程管理用户帐户,一．在服务器端安装终端服务 打开“控制面板”，双击“添加/删除程序” 在“添加/删除程序”对话框中单击“添加/删除windows组件” 单击“添加/删除windows组件”按钮，打开“windows组件向导”对话框 在“组件”列表框中找到并选择“终端服务”，单击“下一步”按钮 在“终端服务安装程序”向导中选择“远程管理模式” 在“完成windows组件向导”向导框中单击“完成”按钮结束安装，并重新启动计算机二．安装终端服务客户端,在终端服务器的%systemroot%\system32\clients\tsclient\net\Win32文件夹内，用户通过网络连接到服务器上就可以直接执行Setup.exe来安装终端服务客户端了三．实现远程用户管理,在客户端运行“终端服务客户端”程序，打开“终端服务客户端”对话框 . 在“服务器”编辑框中输入要连接的服务器名字或IP地址，也可以在“可用服务器”列表框中选择要连接的计算机； 单击“连接”按钮，客户端开始与服务器连接，这时在客户端的屏幕上会出现“登录到 Windows”对话框画面 由于管理员连接到服务器上，则服务器要求管理员登录。

此时的操作与从服务器上本地登录完全一样，输入管理员的用户名和密码登录到服务器图7-2 “终端服务客户端”对话框,,7.2 创建和使用组,7.2.1 组与工作组的概念 7.2.2 创建组 7.2.3 在组中添加用户 7.2.4 使用组策略,7.2.1 组与工作组的概念,一．组的类型安全组用于将用户、计算机和其他组收集到可管理的单位中为资源（文件共享、打印机等）指派权限时，管理员应将那些权限指派给安全组而非个别用户 通讯组只能用作电子邮件的实体，不能用于筛选组策略设置通讯组无安全功能二．组的作用范围,本地域：只能包含某个域的成员，且只能在该域中被赋予访问权限，组只能够从所创建的域内看见全局组：只能包含组所在域中的成员，定义了全局组后，目录林的各处都可以看见通用组：可以包含当前域森林中任何一个域中的成员，可被赋予域森林中任何一个域的访问权限，用户可以使用它来设置对企业内部任何地方的全局组的访问，以分配权限给对象7.2.2 创建组,（1）单击“开始”→“程序”→“管理工具”→“ Active Directory用户和计算机”控制台 （2）在控制台树中，双击域节点，右击要添加组的文件夹“Users”，指向“新建”，然后单击“组”。

（3）键入新组的名称zu1，选择所需的“组作用域”，选择所需的“组类型” （4）单击“确定”按钮，即可完成新组的创建 （5）再按照同样方法创建zu2组图7-3 创建组对话框,,7.2.3 在组中添加用户,（1）在“ Active Directory用户和计算机”控制台中，打开文件夹“Users”，选择zu1组并单击鼠标右键 （2）在弹出的快捷菜单中选择“属性”命令，打开“zu1属性”对话框，选择“成员”选项卡 （3）单击“添加”按钮，在弹出的“选择用户联系人或计算机”对话框中，依次选择成员Jone和Beth （4）如果要删除组成员，在“成员”列表框中，选择要删除的组成员，然后单击“删除”按钮即可 （5）单击“确定”按钮，完成组成员的添加操作7.2.4 使用组策略,组策略分为“计算机配置”和“用户配置”两部分 （1）计算机配置：当计算机启动时，就会根据“计算机配置”的内容来设置计算机的环境针对站点、域或组织单位设置组策略，则此组策略会被应用到站点、域或组织单位内的所有计算机 （2）用户配置：当用户登录时，就会根据“用户配置”的内容来设置用户的工作环境针对站点、域或组织单位设置组策略，则此组策略会被应用到站点、域或组织单位内的所有用户。

二．创建组策略,（1）以域的系统管理员身份登录 （2）单击“开始”→“程序”→“管理工具”→“ Active Directory用户和计 算机”命令，打开“ Active Directory用户和计算机”控制台 （3）右击域（）并选择“属性”命令，打开“属性”对话框，单击“组策略”选项卡 （4）在该域中存在默认的域策略选取它，并单击“编辑”按钮，打开“组策略编辑器”对话框 （5）通过扩展“计算机配置”→“windows设置”→“安全设置”→“本地策略”和“用户权力指派”来打开设置图7-4 用户权利指派策略窗口,,,（6）在右侧窗口双击“在本地登录”项，打开“安全策略设置”对话框 （7）单击“添加”按钮，打开“添加用户或组”对话框，单击“浏览”按钮，打开“选择用户和组”对话框，从中选择“Domain Users”并添加 （8）单击“确定”按钮，返回“添加用户或组”对话框，单击“确定”按钮返回“安全策略设置”对话框，对话框中增加了“Domain Users”用户组，单击“确定”按钮，返回“Active Directory用户和计算机”控制台三．测试组策略,（1）单击“开始”→“运行”命令。

（2）在“运行”行中键入secedit /refreshpolicy user_policy 或者secedit /refreshpolicy machine_policy可以让用户策略或计算机策略生效 现在测试对域控制器设置的“本地登录”组策略，可按如下步骤操作： （1）利用administrator帐户登录 （2）单击“开始”→“程序”→“管理工具”→“ Active Directory用户和计 算机”命令，打开“ Active Directory用户和计算机”控制台，新建一个普通域用户帐户 （3）通过运行“secedit /refreshpolicy machine_policy”命令使组策略生效 （4）注销administrator帐户，以建立的普通域用户帐户身份登录，此时可以登录成功7.3 创建和使用组织单元,7.3.1 组织单元的作用 7.3.2 组织单元的创建与管理,7.3.1 组织单元的作用,组和组织单元有很大的差别组主要用于权限设置，而组织单元则主要用于网络构建；组织单元只表示单个域的对象集合（可包括组对象），而组可以包含用户、计算机、本地服务器上的共享资源、单个域、域目录树或目录林。

7.3.2 组织单元的创建与管理,一．创建组织单元 （1）打开“Active Directory 用户和计算机”控制台 （2）右键单击域节点，打开“新建”，然后单击“组织单元” （3）键入组织单元的名称“wanglou” （4）单击“确定”按钮，完成wanglou组织单元的建立 （5）右键单击wanglou组织单元，打开“新建”，然后单“组”，建立zu1和zu2两个组 （6）可以在zu1和zu2组中添加一些成员图7-5 在wanglou下建立zu1的zu2两个组,,二．委派控制组织单元,（1）打开 “Active Directory 用户和计算机”控制台 （2）在详细信息窗格中，右键单击wanglou组织单元，然后单击“委派控制”来启动控制委派向导 （3）在用户和组对话框中，单击“添加”，选择受委派的组zu1 （4）在委派任务中，可以指定委派公用任务，也可以选择委派更为细化的自定义任务 （5）单击“下一步”，执行“完成”命令图7-6 控制委派向导,,三．设置组织单元属性,（1）打开 “Active Directory 用户和计算机”控制台 （2）在详细信息窗格中，右键单击wanglou组织单元，然后单击“属性”命令，打开“属性”选项卡，它包含“常规”、“管理者”和“组策略”3个选项卡。

（3）在“常规”选项卡中，可以设置描述计算机和用户统一的常规信息 （4）“管理者”选项卡用于设置当前组织单元管理用户的信息 （5）“组策略”选项卡用于控制组织单元的组策略设置 图7-7 “组策略”选项卡,,7.4 文件安全性管理,7.4.1 NTFS权限介绍 7.4.2 NTFS权限在Windows 2000 Server中的应用 7.4.3 分配NTFS权限 7.4.4 使用NTFS的特殊权限 7.4.5 共享权限的设置,7.4.1 NTFS权限介绍,NTFS权限是基于NTFS分区实现的，NTFS权限可以实现高度的本地安全性通过用户赋予NTFS权限可以有效地控制用户对文件和文件夹的访问NTFS权限分为特殊NTFS权限和标准NTFS权限两大类7.4.2 NTFS权限在Windows 2000 Server中的应用,1．文件夹具有下列基本权限： 完全控制：用户可以执行下列全部职责，包括两个附加的高级属性 修改：用户可以写入新的文件，新建子目录和删除文件及文件夹用户也可以查看哪些其他用户在该文件夹上有权限 读取及运行：用户可以阅读和执行文件 列出文件夹目录：用户可以查看在目录中的文件名。

读取：用户可以查看目录中的文件和查看还有谁在这里有权限 写入：用户可以写入新文件并查看还有谁在这里有权限2．文件有下列基本权限： 完全控制：用户可以执行下列全部职责，包括两个附加的高级属性 修改：用户可以修改、重写入或删除任何现有文件，用户也可以查看还有哪些其他用户在该文件上有权限 读取及运行：用户可以阅读文件，查看谁有访问权并运行可执行文件 读取：用户可以阅读文件和查看还有谁有访问权限 写入：用户可以重写入文件并查看还有谁在这里有权限,。