第5章 用户账户的管理

第5章用户账户的管理5.1用户账户的类型用户账户有域用户帐户和本地用户账户两种类型。建立在域控制器上的是“域用户账户”，这个账户的信息会存储在AD数据库中。“域用户账户”可用来登录域、访问域内的资源（包括域内任何计算机上的共享文件夹及共享打印机等）。非域控制器的WindowsServer2003独立服务器、成员服务器以及WindowsXP客户端，则会有另一组“本地用户帐户”。本地用户帐户的信息不会存储在AD数据库中，而是存在本机中。所以“本地用户帐户”只能够登录账户所在的计算机，访问该机资源，而无法登录域。“本地用户帐户”适用于工作组（Workgroup）的网络环境，一般不会在加入域的计算机上建立本地用户账户，原因如下：系统管理员无法在ActiveDirectory用户和计算机集中管理本地用户账户，而必须到各台计算机上，进行本地用户账户的权限设置，这样无疑增加了管理负担。本地用户账户只能在本地计算机上使用，不能访问域中其他计算机的资源，实用性不高。5.2内置的用户账户WindowsServer2003的域的内置账户有：Administrator与Guest.1．Administrator:系统管理员账户这个账户对域有最大的控制权（可以管理账户和组、文件与打印机以及设置组策略等），使用者无法删除它。建议将Administrator账户重新命名，这样想破坏系统管理员账户密码的人，就无法猜到账户的名称。Administrator账户有如下特点：密码永久有效Administrator账户无法被禁用Administrator账户永远不会到期Administrator账户不受登录时间的限制，也不受只能用指定计算机登录的限制。2．Guest:来宾用户Guest是供无账户的用户临时使用的账户，利用Guest账户登录，可访问一些公开的资源。设置此账户，是为方便提供公开资源的系统，不必为所有用户都设置个人账户。该账户只有有限的权限。用户可更改该账户的名称，但无法将其删除。基于安全因素，系统默认此账户禁用。因为如启用Guest账户，任何人都可以使用域中的资源。5.3本地用户账户的管理用户可使用“本地用户账户”登录该账户所在的计算机，使用该机资源，但无法登录域，无法使用网络上其他计算机的资源。建议只在未加入域的计算机上创建本地用户账户，如果某计算机属于域，则应该为该计算机用户创建域用户账户。尽量不要让域用户使用本地用户账户登录，因为这样将不能访问域上其他计算机的资源。5.3.1创建本地用户账户以WindowsServer2003为例，创建本地用户账户的步骤为：右击“我的电脑”管理，打开如图5-1所示的画面。双击“本地用户和组”，然后右击“用户”“新用户”，出现如图4-2所示的画面。用户名：即登录时所使用的账户名称。全名：用户的完整名称。描述：描述此用户的文字。密码：用户账户的密码。确认密码：用户需要再次输入密码以确认无误。为了防止密码被窃，密码和确认密码都是以星号显示。图5-2创建新用户5.3.2密码的更改、备份与还原1．更改密码如果用户要更改密码，则可在登录系统之后，同时按Ctrl+Alt+Delete即可。单击“更改密码”，即可进入更改密码的画面，用户必须输入正确的旧密码后，才能输入新密码，并经过输入确认新密码，单击“确定”，则密码更改成功。2．密码备份如果用户忘记了密码无法登录，怎末办呢？这就需要用户预先制作“密码重设盘”。步骤如下：（1）在登录完成后，直接按Ctrl+Alt+Delete，然后单击“更改密码”，在打开“更改密码”的画面中，单击“备份”，打开“忘记密码向导”画面。（2）在“忘记密码向导”画面中单击“下一步”即可。由画面说明可知，用户无论更改过多少次密码，“密码重设盘”都只需制作一次。（3）按照新画面的指示在Ａ驱中插入一张软盘。单击“下一步”。（4）输入当前登录者的密码后，单击“下一步”。如果用户以前曾经制作过“密码重设盘”，则会出现一个“替代以前的盘”对话框，单击“是”继续，则以前的“密码重设盘”无法再使用。（5）出现一个新的对话框，开始制作“密码重设盘”。３．密码还原如果用户登录时忘记了密码，则可用“密码重设盘”，重新设置一个新的密码。步骤如下：（1）用户登录时，如果输入错误的密码，则系统会显示对话框，可单击“重设”设置新的用户密码。（2）出现“欢迎使用密码重设向导”对话框时，单击“下一步”。（3）按“重设密码向导”所示，将“密码重设盘”插入A驱，单击“下一步”。（4）在打开的画面中，设置一个新的密码，确认密码，输入密码提示。（5）出现“完成密码设置向导”对话框时，直接单击“完成”即可。5.4域用户账户的创建与设置5.4.1创建组织单位与域用户账户要在域中新建组织单位与用户账户，步骤如下：（1）执行“开始/系统管理工具/ActiveDirectory用户和计算机”命令，如图5-3所示，右击域名，选择“新建”“组织单位”，输入组织单位的名称（例如“人事部”）。（2）在如图5-4所示的画面中，右击“人事部”“新建”“用户”。（3）在如图5-5所示的画面中，输入“姓”、“名”、“姓名”、“用户登录名”、“用户登录名（Windows2000以前版本）”。然后单击“下一步”。（4）出现如图5-6的画面。其中各项与创建“本地用户账户”的说明相同。图5-3新建组织单位图5-4选择新建用户图5-5新建用户图5-6输入新建用户的密码如果要从成员服务器上执行“ActiveDirectory用户和计算机”，可以执行“开始”“运行”命令，输入adminpak.msi命令，安装完整的管理工具；或直接执行dsa.msc命令，也可打开“ActiveDirectory用户和计算机”。5.4.2利用新用户账户登录测试1.开放用户在域控制器本地登录的权限用户可以在WindowsServer2003、WindowsXPProfessional、Windows2000、WindowsNT等非域控制器的计算机上，使用一般的域用户账户登录。一般的域用户账户，在域控制器上登录之前，必须在域控制器上被赋予“允许本地登录”的权利。这个权利可以使用“域控制器安全策略”进行设置。其设置的方法如下：在域控制器计算机上，单击“开始”“管理工具”“域控制器安全策略”“安全设置”“本地策略”“用户权限分配”双击“允许在本地登录”“添加用户或组”，如图5-7所示，使要赋予“允许在本地登录”权限的用户或组加入到列表中。图5-7设置域用户账户在域控制器上允许本地登录的权利完成设置后，还需要将这些安全设置值应用到域控制器，才会使这些设置值生效。有三种方式可以达到这个目的：(1)等待域控制器自动应用这项新的设置，大约要等5分钟或更长的时间。(2)重新启动域控制器。(3)在域控制器上选择“开始”“命令提示符”，然后执行gpupdate/target:computer。执行命令后，可打开“开始”“管理工具”“事件查看器”“应用程序”，然后双击来源为“SceCli”的事件，从而察看是否安全值已经成功应用到域控制器。2.登录测试在属于域的计算机上登录，在登录对话框中输入用户帐户名称、密码、选择NetBIOS域名称。若是在WindowsServer2003、WindowsXPProfessional、Windows2000上登录计算机，则可利用用户主体名称（UPN）登录，此时，只需要输入用户主体名称与密码即可。5.5域用户账户的属性设置每个域用户帐户都有各自的属性信息，如电话、传真、电子邮件、账户有效期限等。输入完这些信息后，其他的用户就可以通过这些信息查找活动目录的用户。打开“ActiveDirectory用户和计算机”，右击“用户帐户”“属性”可以设置这些属性。5.5.1用户个人信息的设置5.5.2账户信息的设置5.5.3登录时间的设置5.5.4限制用户只能从某些工作站登录默认可以从域中任何一台计算机登录域，但可以限制用户只能从某些计算机登录域。单击如图5-11所示的“登录到”按钮，打开如图5-12的画面。在“计算机名”的文本框中输入允许用户登录域的计算机名，必须是NetBIOS计算机名，然后按“添加”按钮即可。图5-11账户属性图5-12输入允许用户登录域的计算机名5.6更改域用户账户禁用账户、启用账户：如果某个职员请长假，则可设该用户的账户禁用，等该职员回来后，再启用账户。如设某个账户禁用，则在该用户帐户的图形上会有一个红色的“X”符号。重设密码：当用户忘记密码或密码到期时，系统管理员可为该用户帐户设置新的密码。删除账户：若某个账户不再使用，如某个职员离职，则可删除该账户。重命名：如某个职员离职时，可暂时将其账户设为禁用，当有新职员加入时，再将此账户重新命名，重设密码与个人信息即可。重命名后，该账户原有的权限、权利与组关系都不会改变。规划新的用户账户遵循以下的规则和约定可以简化账户创建后的管理工作：（1）命名约定。①账户名必须唯一：本地账户必须在本地计算机上唯一。②账户名不能包含以下字符：*/\[]::|=，+/“。③账户名最长不能超过20个字符。（2）密码原则。①一定要给Administrator账户指定一个密码，以防止他人随便使用该账户。②确定是管理员还是用户拥有密码的控制权。用户可以给每个用户账户指定一个唯一的密码，并防止他用户对其进行更改，也可以允许用户在第一次登录时输入自己的密码。一般情况下，用户应该可以控制自己的密码。③密码不能太简单，应该不容易让他人猜出。④密码最多可由128个字符组成，推荐最小长度为8个字符。⑤密码应由大小写字母、数字以及合法的非字母数字的字符混合组成，如“P@ssw0rd”。关于SID系统内部使用安全标识符（SecurityIdentifier，SID）来识别用户身份，每个用户账户都对应一个唯一的安全标识符，这个安全标识符在用户创建时由系统自动产生。SID号每个用户都有一个名称之外的唯一标识符SID号，SID号在新增账户时由系统自动产生，不同账户的SID不会相同。由于系统在设置用户的权限、访问控制列表中的资源访问能力信息时，内部都使用SID号，所以一旦用户账户被删除，这些信息也就跟着消失了。重新创建一个名称相同的用户账户，也不能获得原先用户账户的权限。设置本地安全策略在WindowsServer2003中，为了确保计算机的安全，允许管理员对本地安全进行设置，从而达到提高系统安全性的目的。WindowsServer2003对登录到本地计算机的用户都定义了一些安全设置。所谓本地计算机是指用户登录执行WindowsServer2003的计算机，在没有活动目录集中管理的情况下，本地管理员必须为计算机进行设置以确保其安全。例如，限制用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登录计算机、指派用户权限等。将这些安全设置分组管理，就组成了WindowsServer2003的本地安全策略。“本地安全设置”控制台WindowsServer2003在“管理工具”菜单提供了“本地安全设置”控制台，可以集中管理本地计算机的安全设置原则，使用管理员账户登录到本地计算机，即可打开“本地安全设置”控制台密码安全设置密码必须符合复杂性要求；密码长度最小值；密码使用期限；强制密码历史；账户锁定策略用户权限分配WindowsServer2003将计算机管理各项任务设定为默认的权限，例如，从本地登录系统、更改系统时间、从网络连接到该计算机、关闭系统等。系统管理员在新增了用户账户和组账户后，如果需要指派这些账户管理计算机的某项任务，可以将这些账户加入到内置组，但这种方式不够灵活。系统管理员可以单独为用户或组指派权限，这种方式提供了更好的灵活性。用户权限的分配在“本地安全设置”的“本地策略”下设置，如图所示。用户权限分配用户权限分配从网络访问这台计算机是指允许哪些用户及组可以通过网络连接到该计算机，如图所示