第2章 Windows Server 2003帐户管理.pptVIP

第2章 Windows Server 2003帐户管理 2.1 用户帐户的类型 2.2 组类型 2.3 计算机账户 2.2 组类型 2.3 计算机账户 2.1 用户帐户的类型 Windows Server 2003可以有两种类型的用户账户：域用户账户和本地用户账户。 域用户账户建立在域控制器的活动目录数据库内。 本地用户账户是使用“本地用户和组”创建的，存储在SAM（安全账户管理器）数据库中，登录时进行本地身份验证。 2.2 组类型 2.2.1 组作用域 1、全局组只能包括含所在域中的用户账户。 2、本地域组仅在本地域中定义对资源的访问许可。 3、通用组主要是被用来指派其组内成员在所有域内的访问权限，以便可以访问每一个域内的资源。 4、本地组存在于本地计算机中，它仅能包含本地计算机用户账户。 2.2 组类型 2.2.2 内置组 1．内置的本地域组 在Windows Server 2003域的活动目录内，系统内置了一些具有一定权限的本地域组，以便让其具备管理域控制器和活动目录的能力。可以通过将用户或全局组加入这些内置的本地域组来赋予这此用户或全局组相应的权限。 2.2 组类型 Windows Server 2003提供了许多内置组。在“Active Directory用户和计算机”的窗口中，选择目录树中的Builtin项，右侧将列出内置的组。下面介绍一些常用的内置本地域组及其权限和用途。 （1）Administrators组。 （2）Server Operators组。 （3）Account Operators组。 （4）Print Operators组。 （5）Backup Operators组。 （6）Users组。 （7）Guests组。。 2.2 组类型 2．内置的全局组 当建立一个域时，系统会在活动目录内建立一些内置的全局组。这些全局组位于Users组织单位中，它们本身没有任何权限，需要通过将其加入具备一定权限的本地域组或者直接给此全局组指派相应的权限。 2.2 组类型 以下是一些较常用的内置全局组及其权限和用途。 （1）Domain Admins组。由于Windows Server 2003会自动将该组加入到Administrators本地域组内，所以Domain Admins组内的每个成员都具备了系统管理员的使用权限。Domain Admins组的默认成员为用户账户Administrator。 在添加具有系统管理员权限的账户时，最好将其加入Domain Admins全局组，而不要直接将其加入Administrators本地组。因为Domain Admins全局组还可以被加入到其他组内，而Administrators组只能被加入到同一个域内的其他本地域组中。 2.2 组类型 （2）Domain Users组。Windows Server 2003会自动将Domain Users组加入到Users本地域组内，此组的默认成员为用户账户User。 （3）Domain Guests组。Windows Server 2003会自动将Domain Guests组加入到Guests本地域组内，此组的默认成员为用户账户Guest。 2.2 组类型 3．内置本地组 Windows Server 2003的本地安全数据库中，系统内置了一些本地组，这些组本身被赋予了一定的权限来管理本地计算机。通过将用户账户或全局组账户加入到权限不同的本地组内，这些账户也可以拥有相应的权限。 （1）Administrators组。属于此本地组的用户拥有对这台计算机最大的控制权限，此组的默认成员为用户账户Administrator，该账户可以改名，但不能删除。 一旦该计算机加入了域，则域上的Domain Admins组会被自动加入到这台计算机的Administrators组内，使得域上的系统管理员在这台计算机上也具备了系统管理员的权限。 （2）Backup Operators组。Backup Operators本地组内成员可以利用“Windows Server 2003备份”程序来备份或还原计算机内的文件。 （3）Power组。Power组内的用户可以添加、删除、更改本地用户账户或建立、管理、删除本地计算机内的共享文件夹与打印机。 2.2 组类型 4．内置的系统组 系统组位于每台Windows Server 2003计算机内，这些组的成员根据用户访问资源而定，无法在“Active Directory用户和计算机”或“计算机管理”内管理这些组。这些组只有在设置了相应的权限时才能看见。 最常用的内置系统组有如下两种。 （1）Everyone组。顾名思义，任何一个访问该计算机