WindowsServer2003系统管理第二章用户和组Version2.0内容回顾c/s与b/s模式的特点和区别;WindowsServer2003有四个版本;常见文件系统之间的区别和联系;完全格式化和快速格式化的区别;两种授权模式的特点和区别;安装操作系统的方式有哪些掌握无人职守安装理解工作组和域的概念和区别掌握本地用户账户的创建熟悉本地用户账户属性的配置了解用户配置文件的应用掌握本地组的创建和管理熟练使用常用的网络命令熟悉系统启动的过程和boot.ini本章目标工作组的概念工作组(WorkGroup):就是将不同的电脑按功能分别列入不同的组中,以方便管理。如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,则它们都列在“网上邻居”内,可想而知会有多么乱。为了解决这一问题,Windows9x/NT/2000/2003才引用了“工作组”这个概念。比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在“网上邻居”里找到那个系的工作组名,双击就可以看到那个系别的电脑了。这样就显然方便管理多了!如果你输入的工作组名称以前没有,那么相当于新建一个工作组,当然只有你的电脑在里面。计算机名和工作组的长度不能超过15个英文字符,可以输入汉字,但是不能超过7个。域的概念(了解)与工作组的“松散会员制”有所不同,“域”是一个相对严格的组织。在对等网模式下,任何一台电脑只要接入网络,就可以访问共享资源。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows9x构成的对等网中,数据是非常不安全的。在域模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为域控制器(DomainController,简写为DC)。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来的资源,这样就一定程度上保护了网络上的资源。用户账户的类型本地用户账户:用户账户是创建在“本地安全账户数据库(SAM)”内,而不是域控制器的AD数据库内。用户可以利用本地用户账户登陆该账户的所在计算机,但是这个账户只能够访问这台计算机内的资源,无法访问网络上的资源。如果要访问其他计算机内的资源,则必须输入计算机内的账户名域密码。本地账户只存在于这台计算机上,当用户利用本地账户登陆时,由这台计算机的SAM检查账户名与密码是否正确!C:\WINDOWS\system32\config---SAMC:\WINDOWS\repair----sam域用户账户:域用户账户存储在域控制器的AD数据库中,用户可以利用域用户账户登陆到域,并且利用它访问网络上的资源。用户利用域用户账户登陆时,这个账户数据会被送到域控制器,并由域控制器检查用户所输入的账户名与密码是否正确。将用户创建在某台域控制器后,这个账户会被自动复制到同一域内的其他所有的域控制器。因此,域内的每台域控制器都可以检查用户所输入的账户和密码是否正确!内置的本地用户账户Administrator(系统管理员):它拥有最高的权限,可以管理计算机或域内的设置,如创建、删除用户与组账户、设置安全策略、创建打印机、设置用户权限等。为了安全起见,建议将其改名。该用户不能删除!Guest(客户):它提供用户临时使用的账户,如给偶尔需要登陆的用户使用。该账户可以改名,但不能删除,默认是禁用状态!SUPPORT_388945a0:这是一个帮助和支持服务的提供商帐户,一般很少使用。可以改名,可以删除,默认是禁用状态!说明:并非所有的用户都具有管理账户的权力,具备管理员能力的用户有:Administrator、Administrators组内的账户、DomainAdmin组内的账户、Poweruser组内的账户,它们都有完全的权力来管理账户!由于当前内置账户中,只有Administrator才具有添加、更改、删除等管理账户的权力,因此强烈建议用Administrator账户登陆!本地账户存储在本地计算机上的SAM中本地账户能够并且只能够登录到本地计算机本地账户可以用“计算机管理”中的“本地用户和组”来管理本地账户主要用于工作组环境中一个账户只能登录到一台计算机本地用户账户的创建和管理使用计算机管理工具进行用户管理需要用户名全名描述密码相关选项本地用户账户的创建和管理用户名:用户名最长20字符,不区分大小写,也可以使用中文,但不能使用一些特殊字符(/\[]:;|=,+*?)全名和描述:此信息为可选项,可以输入一些员工的个人信息和公司信息,如姓名和部门等;密码和确认密码:密码的最大长度可以达到128位,密码的设置不应过于简单,应该使用字母、数字及特殊符号的组合。本地用户账户的创建和管理用户下次登录时必须更改密码用户不能更改密码密码永不过期账户已禁用保障用户隐私用于共享账户默认42天过期暂时禁止登录本地用户账户的创建和管理常规信息隶属于拨入设置账户属性重设密码一般由管理员完成更改密码一般由用户完成更改账户密码重命名用户删除用户SID:S-1-5-21-1292074401-2054391636-2487779615-500删除后不能重建重命名和删除账户用户配置文件包括用户的工作环境信息桌面我的文档收藏夹最近访问过的文件在用户属性中可以指定配置文件的路径用户配置文件利用系统属性中可以看登录到当前计算机中的用户配置文件用户配置文件组的类型本地组账户:用户可以在独立服务器、成员服务器或者非域控制器的计算机上创建组,称之为“本地组”。这些账户存储在“本地安全账户数据库SAM”内。本地组只能在本地计算机上使用,只能够访问本地计算机的资源。域中组账户:用户可以在扮演域控制器的计算机中创建,这些账户存储在“AD数据库”内。这些组能够被使用在整个域目录林的所有计算机上,能够访问所有计算机内的资源。当一个用户加入到一个组以后,该用户会继承该组所拥有的所有权限;一个用户账户可以同时加入到多个组;有些情况下,组可以加入到其他组,或者说组里可以包括组。本地组管理创建组使用计算机管理工具中的用户和组管理需要输入组名和描述可以直接添加成员创建本地组默认本地组自动建立拥有特殊的权限内置组组名描述信息Administrators该组的成员具有对服务器的完全控制权限,并且可以下其他用户分配用户权利和访问控制权限。管理员账户Administrator就是这个组的默认成员。BackupOperators加入该组的成员可以备份和还原服务器上的所有文件,而不管这些文件的是否设有权限。Guests该组的成员拥有一个在登录时创建的临时配置文件,在注销时,该配置文件将被删除。来宾账户(默认情况下已禁用)也是该组的默认成员。NetworkConfigurationOperators该组的成员可以更改TCP/IP设置并更新和发布TCP/IP地址。PowerUsers该组具有创建用户账户和组账户的权利,可以在PowerUsers组、Users组和Guests组中添加或删除用户,但是不能管理Administrators组成员。可以创建和管理共享资源。PrintOperators该组的成员可以管理打印机。Users该组的成员可以执行一些常见任务,例如运行应用程序、使用本地和网络打印机以及锁定服务器。用户不能共享目录或创建本地打印机。内置组本地组的管理修改组成员删除组SID重命名组成员和权限不变管理本地组ipconfigPingWindows网络测试工具查看当前计算机的IP配置信息IPCONFIGIPCONFIG/ALLIPCONFIG/?Ipconfig命令IPCONFIG/ALL的详细信息•名称•解释•HostName•主机名,就是计算机名•Ethernetadapter本地连接:•网卡类型和名称•Connection-specificDNSSuffix•连接指定的DNS后缀•Description•网卡的型号•PhysicalAddress•网卡的物理地址或者叫MAC地址•DhcpEnabled•是否启用DHCP功能•IPAddress•IP地址•SubnetMask•子网掩码•DefaultGateway•网关•DNSServers•DNS服务器,有时会有多个DNS服务器。Ipconfig命令测试网络的连通情况判断当前的网络配置Ping网络正常超时(一般为网络不通)主机不可达Ping命令hostname查看本地计算机的计算机名称显示用户组的相关信息Whoami/userWhoadmi/groupsWhoami命令Netsend网络间发送消息的信使服务启动的六个核心文件NTLDR系统的核心文件,引导boot.ini;BOOT.INI来确定计算机在引导过程中显示的可供选取的操作系统类别;NTDETECT.COM收集硬件的信息;NTBOOTDD.SYS当ATA技术被禁用或磁盘控制器是SCSI类型时,提供驱动支持NTOSKRNL.EXE是保护性的进程,在计算机反复启动的情况下出现SYSTEM.DATSYSTEM.DAT主要存放了注册表的大部分数据系统启动过程1、电源自检程序开始运行2、主引导记录(MBR)被装入内存,并且程序开始执行*MBR位于磁盘0磁道0柱面1扇区,包含分区表,记录几个分区以及活动分区的位置3、活动分区的引导扇区被装入内存,并找Ntldr引导装载程序4、Ntldr从引导扇区被装入并初始化5、Ntldr读boot.ini文件*boot.ini位于系统盘根目录下,提供选单6、Ntldr装载所选操作系统*如果Windows2003被选择,Ntldr运行Ntdetect.com*对于其他的操作系统,Ntldr装载并运行Bootsect.dos然后向它传递控制.7.Ntdetect.com搜索计算机硬件并将信息写入HKEY_LOCAL_MACHINE\HARDWARE中.*检测硬件环境是否满足加载WS03的最低硬件要求8.然后Ntldr装载Ntoskrnl.exe9.Ntldr把控制权交给Ntoskrnl.exe,这时,启动程序结束,装载阶段开始系统启动过程boot.ini[bootloader]timeout=10default=multi(0)disk(0)rdisk(0)partition(2)\WINXP[operatingsystems]multi(X)disk(Y)rdisk(Z)partition(Q)\WINXP=MicrosoftWindowsXPProfessional/fastdetectSCSI(X)disk(Y)rdisk(Z)partition(Q)\WIN98=MicrosoftWindows98/fastdetect1.如果是IDE盘,则以multi(X)开头,其中X表示磁盘控制器(主板上的芯片)上的顺序号(X从0开始计数)。若计算机中只有SCSI控制器,并且SCSI的BIOS为enable,则以SCSI(X)开头,其中X表示磁盘控制器上的顺序号(X从0开始计数)。若计算机中只有SCSI控制器,并且SCSI的BIOS为disable,则以multi(x)开头和IDE的一样2.disk(Y)若以SCSI开头,则Y表示硬盘顺序号(Y从0开始)。*只针对SCSI硬盘,multi无意义,恒等于0。3.rdisk(Z)若以multi开头,硬盘顺序号(Z从0开始)。*只针对Multi硬盘,SCSI无意义,恒等