第四章本地用户和组帐户

第4章WindowsServer2003本地用户和组帐户在Windows2003操作系统中，可以为每个用户设置不同的资源访问权限，使每个用户能够拥有自己独立的工作环境。本章重点用户账户组账户域控制器概述安装域控制器配置域控制器管理域控制器在windows2003操作系统中，通过对不同的用户账户和组账户设置不同的权限，可以提高系统的访问安全性。4.1用户账户和组账户在安装运行WindowsServer2003服务器时，会自动创建一些默认用户账户，常用的是Administrator账户和Guest账户。（1）Administrator帐户：Administrator账户是服务器上Administrators组的成员，具有对服务器的完全控制权限，可以根据需要向用户指派权利和访问控制权限。不可以将Administrator帐户从Administrators组中删除，但可以重命名或禁用该账户。（2）Guest账户：Guest账户是Guest组的成员，一般由在这台计算机上没有实际账户的人使用。如果已禁用但还未删除某个用户的账户，该用户也可以使用Guest账户。Guest账户默认是禁用的，但可以启用它。4.1.1用户账户设置用户账户的操作步骤如下：（1）右击“我的电脑”图标，在弹出的快捷菜单中选择“管理”命令，打开“计算机管理”窗口。（2）在树形列表中双击展开“本地用户和组”，选择“用户”选项，在右边的窗口中显示系统中已有用户账户的列表。（3）右击“用户”项或在右边的窗口的空白处右击，在弹出的快捷菜单中选择“新用户”命令，弹出“新用户”对话框，设置“用户名”和“密码”等参数。（4）单击“新用户”对话框上的“创建”按钮，即创建了一个用户账户。（5）在右侧窗口的用户列表中右击新建的用户账户，在弹出的快捷菜单中选择“属性”命令，打开属性对话框，选择“常规”选项卡。（6）选择“隶属于”选项卡。（7）单击“添加”按钮，弹出“选择组”对话框。（8）单击“选择组”对话框上的“高级”按钮，然后单击“立即查找”按钮，在“搜索结果”列表框中选择要添加的组，单击“确定”按钮，则用户在这个选择的组中。（9）选择“配置文件”选项卡，用于设置用户配置文件的存放路径以及用户主文件夹的位置。4.1.1用户账户4.1.2组帐户组账户是具有相同权限的用户账户的集合。组账户可以对组内的所有用户赋予相同的权利和权限。在安装运行WindowsServer2003操作系统时会自动创建一些内置的组，即默认本地组：（1）Administrators组：Administrators组的成员对服务器有完全控制权限，可以为用户指派用户权利和访问控制权限。（2）Guests组：Guests组的成员拥有一个在登录时创建的临时配置文件，注销时将删除该配置文件。“来宾账户”（默认为禁用）也是Guests组的默认成员。（3）PowerUsers组：PowerUsers组的成员可以创建本地组并在已创建的本地组中添加或删除用户，还可以在PowerUsers组、Users组和Guests组中添加或删除用户。（4）Users组：Users组的成员可以运行应用程序、使用本地和网络打印机以及锁定服务器。用户不能共享目录或创建本地打印机。创建组账户的操作步骤如下：（1）右击“我的电脑”图标，在弹出的快捷菜单中选择“管理”命令，打开“计算机管理”窗口，右击“本地用户和组”中的“组”选项，在弹出的快捷菜单中选择“新建组”命令。（2）在弹出的“新建组”对话框中输入组名（最好使用英文字符，以方便管理），在“描述”文本框中输入一些描述信息以便识别该组（描述信息可以使用中文）。（3）单击“添加”按钮，弹出“选择用户”对话框。（4）在“选择用户”对话框中单击“高级”按钮，然后单击“立即查找”按钮，在“搜索结构”列表框中选择一个用户账户。（5）单击“确定”按钮，选中的用户显示在“输入对象名称来选择”列表框中。（6）单击“选择用户”对话框上的“确定”按钮，在组中添加了选择用户。4.1.2组账户4.2域控制器域控制器是ActiveDirectory林中的一台服务器，它包含了由域的账户、密码及域中的计算机等信息组成的数据库，用于对域及域中的计算机进行管理。4.2.1域控制器概述运行WindowsServer2003的域控制器存储着目录数据，并对用户与域的交互进行管理。在网络中创建第一个域控制器的同时，也创建了第一个域、第一个林、第一个站点，并安装了ActiveDirectory。域是网络中的逻辑单位，由根域和子域组成。WindowsServer2003创建的第一个域是域树中所有其他域的根域，如sohu.com、baidu.com这样的域即为根域。子域是指位于父域之下的名称空间树中的域。在ActiveDirectory中，域是由管理员定义的计算机、用户及组对象的集合。在DNS中，域是域名系统（DNS）名称空间内的任意树或子树。ActiveDirectory中的每个域用域名系统的域名标识，每个域由一个或多个域控制器管理。4.2.1域控制器概述域树的结构图4.2.1域控制器概述abc.comdev.abc.comqwe.abc.coms.dev.abc.comt.dev.abc.comr.qwe.abc.comCar.s.dev.abc.com多个域树构成一个非连续的名称空间即为林，林中的所有用户可以共享信息。林中的第一个域称作林根域。站点是网络中一组有效连接的子网，它代表网络的物理结构。单个域可以跨越多个站点，并可以包含多个对象。ActiveDirectory是基于Windows的用于存储网络对象信息的目录服务。ActiveDirectory使用结构化数据库存储服务器、打印机、网络用户和计算机用户等网络资源信息，以便于管理员与用户查找和使用。对于连入网络的计算机，域控制器会检查这台计算机是否属于这个域，用户登录时使用的用户名和密码是否正确，如果其中一项信息不符，则域控制器拒绝用户使用这台计算机登录。4.2.1域控制器概述4.2.2安装域控制器在网络中使用域控制器时，应考虑需要的域控制器的数量、物理安全性等因素。为提高可用性和容错能力，在使用单个局域网的环境中，一般只需要一个具有两个域控制器的域，而在具有多个网络位置的环境中，每个站点都需要一个或多个域控制器。安装域控制器的操作步骤如下：（1）执行“开始”→“所有程序”→“管理工具”→“管理您的服务器”命令，弹出“管理您的服务器”页面。（2）单击“添加或删除角色”按钮，弹出“配置您的服务器向导”对话框。（3）单击“下一步”按钮，弹出“服务器角色”对话框，选择“域控制器(ActiveDirectory)”选项。（4）单击“下一步”按钮，弹出“选择总结”对话框，查看并确认本次安装的内容。（5）单击“下一步”按钮，弹出“ActiveDirectory安装向导”对话框。（6）单击“下一步”按钮，弹出“操作系统兼容性”对话框。4.2.2安装域控制器（7）单击“下一步”按钮，弹出“域控制器类型”选择对话框，选择“新域的域控制器”。（8）单击“下一步”按钮，弹出“创建一个新域”对话框，选中“在新林中的域”单选按钮。（9）单击“下一步”按钮，弹出“新的域名”对话框，在“新域的DNS全名”文本框中输入DNS全名。（10）单击“下一步”按钮，弹出“NetBIOS域名”对话框，系统默认将DNS名称的前部分作为NetBIOS名称，也可以在“域NetBIOS”文本框中输入与其不同的名称。（11）单击“下一步”按钮，弹出“数据库和日志文件文件夹”对话框，设置ActiveDirectory数据库文件夹及日志文件夹。（12）单击“下一步”按钮，弹出“共享的系统卷”对话框，设置SYSVOL文件夹的位置。4.2.2安装域控制器（13）单击“下一步”按钮，弹出“DNS注册诊断”对话框，选中“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设为这台计算机的首选DNS服务器”单选按钮。（14）单击“下一步”按钮，弹出“权限”对话框，选中“只与Windows2000或WindowsServer2003操作系统兼容的权限”单选按钮。（15）单击“下一步”按钮，弹出“目录服务还原模式的管理员密码”对话框，设置在服务器目录服务还原时使用的还原密码。（16）单击“下一步”按钮，弹出“摘要”对话框，用于查看域服务器配置信息，如果需要修改信息，则单击“上一步”按钮。（17）单击“下一步”按钮，开始配置ActiveDirectory，如果单击“跳过DNS安装”按钮，则不安装DNS。（18）ActiveDirectory配置完成后，弹出“正在完成ActiveDirectory安装向导”对话框。（19）单击“完成”按钮，弹出是否立即重新启动计算机对话框，单击“立即重新启动”按钮，重新启动WindowsServer2003系统，完成ActiveDirectory及域控制器的安装。4.2.2安装域控制器4.2.3配置域控制器域管理员应对域中的用户账户及组账户进行合理配置，加强对域账户的管理，以保证网络资源的安全、合理使用。1.配置域用户账户（1）执行“开始”→“所有程序”→“管理工具”→“ActiveDirectory用户和计算机”命令，打开“ActiveDirectory用户和计算机”窗口。（2）在树形列表中右击一个域名，在弹出的快捷菜单中选择“新建”→“User”命令，弹出“新建对象用户”对话框，输入姓名、用户登录名等用户信息。（3）单击“下一步”按钮，弹出密码设置对话框，输入密码，选中“用户下次登录时须更改密码”复选框，注意密码需要符合一定的复杂度，即数字与字母及特殊符号的组合，且长度不小于六位。（4）单击“下一步”按钮，弹出用户账户信息对话框，单击“完成”按钮，完成域用户的创建。（5）右击新创建的域账户，在弹出的快捷菜单中选择“属性”命令，弹出属性对话框，选择“常规”选项卡，可以修改姓名、显示名称等信息。（6）选择“账户”选项卡，可以设置用户登录名等信息。（7）选择“隶属于”选项卡，可以设置用户隶属的组。（8）单击属性对话框上的“确定”按钮，完成对选中的域用户账户的设置。4.2.3配置域控制器2.配置域组账户（1）执行“开始”→“所有程序”→“管理工具”→“ActiveDirectory用户和计算机”命令，打开“ActiveDirectory用户和计算机”窗口。（2）在树形列表中右击一个组，在弹出的快捷菜单中选择“新建对象”→“组”命令，弹出新建组对话框，设置组名，并选中“全局”单选按钮和“安全组”单选按钮。（3）单击“确定”按钮，新创建的组账户显示在“ActiveDirectory用户和计算机”窗口中。（4）右击新创建的域组账户，在弹出的快捷菜单中选择“属性”命令，弹出组属性对话框，选择“常规”选项卡可以设置组名、组作用域及组类型等参数。（5）选择“成员”选项，可以为组添加成员，组内的成员会继承组的权利和权限。（6）选择“隶属于”选项卡，可将组设置为隶属于其他组。（7）选择“管理者”选项卡，可以为组设置管理者。（8）单击组属性对话框上的“确定”按钮，完成域组账户的设置。4.2.3配置域控制器4.2.4管理域控制器域控制器对域中的网络资源具有完全访问权限，为保证网络资源的安全，应加强对域控制器的管理。保证域控制器的物理安全，可以在一定程度上防止未授权访问，因此应采用以下措施：（1）将域控制器置于重点管理区域中，实行专人管理,并设置报警系统等安全措施。（2）安装杀毒软件及防火墙，使域控制器不与外网直接连接。（3）加强对域用户账户的管理，可以提高访问安全性，因此应合理设置用户账户的权限。（4）使用WindowsServer2003中的备份工具对域控制器进行备份，可以在出现系统故障等情况时恢复相关数据，以保证数据安全性。