用户账户及组的管理.ppt

第5章 用户账户与组的管理 一、 管理本地用户(lusrmgr.msc) 管理本地用户 5.1 管理本地用户 5.1 管理本地用户 5.1 管理本地用户 5.1 管理本地用户 5.1 管理本地用户 5.1 管理本地用户 5.1 管理本地用户 5.1 管理本地用户 5.1 管理本地用户 5.1 管理本地用户 5.1 管理本地用户 5.2 管理本地组 5.2 管理本地用户 5.2 管理本地用户 5.2 管理本地用户 5.2 管理本地用户 本地用户账户DEMO （1）DEMO利用注册表（SAM） A：克隆管理员用户 B: 隐藏账户 第5章 用户账户与组的管理 分类： （1）用户账户 提供对资源的访问和单点登录 （2）组账户 帮助简化管理 （3）计算机账户 启用对资源的验证和审核 5.3 管理域用户和组 域用户账号 域用户账户用来使用户能够登录到域或其他计算机中，从而获得对网络资源的访问权。经常访问网络的用户都应拥有网络惟一的用户账户。如果网络中有多个域控制器，可以在任何域控制器上创建新的用户账户，因为这些域控制器都是对等的。当在一个域控制器上创建新的用户账户时，这个域控制器会把信息复制到其他域控制器，从而确保该用户可以登录并访问任何一个域控制器。 内置用户账号 Windows Server 2003自动创建若干个用户账号，并且赋予了相应的权限，称为内置账号。内置用户账号不允许被删除。 最常用的两个内置账号是Administrator和Guest。 使用内置Administrator（管理员）账号管理计算机和域配置 。 Guest（来客）账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。 创建域用户账号 “管理工具”——“Active Directory用户和计算机” 新建对象——用户 输入密码 强密码的特征 长度至少有7个字符。 不包含用户名、真实姓名或公司名称。 不包含完整的字典词汇。 包含全部下列4组字符类型：大写字母（A、B、C．．．）、小写字母（a、b、c．．．）、数字（0、l、2、3、4、5、6、7、8、9）、键盘上的符号（键盘上所有未定义为字母和数字的字符，如`～!@#$%^（）*_ + - {}[]|\/?:”;’,.）。 账户已禁用。防止用户使用选定的账户登录，当用户暂时离开企业时，可以使用该选项，以便日后迅速启用。也可以禁用一个可能有威胁的账户，当排除问题之后，再重新启用该账户。许多管理员将禁用的账户用做公用用户账户的模板。以后拟再使用该账户时，可以在该账户上右击，并在弹出的快捷菜单中选择“启用账户”选项即可。 密码策略 用户何时需要重置密码 忘记密码时； 重置密码后，用户将不能访问某些资源：使用用户公钥加密的EMAIL 本地保存的IE密码 用户加密的文件 设置用户账号属性 1.设置个人属性——常规、地址选项卡 设置个人属性——电话、单位选项卡 2. 设置账号属性 3.设置登录时间 4. 设置用户可登录的计算机 维护用户账号 1. 禁用、启用、重命名和删除用户账号 2. 重设密码 5.3 管理域用户和组 5.3.2 组对象的管理 组的种类及作用域 1. 组的种类 组在Windows Server 2003中分为安全组和通信组。 1）安全组 安全组列在定义资源和对象权限的选择性访问控制表（DACL）中，它将用户、计算机和其他组对象作为一个可管理的单位。 2）通信组 通信组不列在定义资源和对象权限的选择性访问控制表（DACL）中，它不采用安全机制。 5.3.2 组对象的管理 2. 组的作用域 组在域树或域林中的应用范围称为组的作用域，它有三种类型： 1）通用组 有通用作用域的组称为通用组。 2）全局组 有全局作用域的组称为全局组。 3）本地组 有本地作用域的组称为本地组。 1. 创建组 （1）打开“Active Directory用户和计算机”管理工具，选择要新建的组所属的域、容器或组织单位。以在“Users”中创建组为例，用右键单击“Users”，选择“新建”，再单击“组” 。 （2）这时系统弹出“新建对象－组”窗口