6域用户和组的建立和管理.pptVIP

六、域用户和组的建立和管理 每个用户使用网络中的资源，都必须拥有一个帐户，以便利用该账号登录到域网络，另外，还可以设置可以使用哪些资源，不可以使用哪些资源。帐户是用户登陆网络的一个标识，它是存储在帐号数据库中。 账号类型 域用户账户：域用户账户在域控制器的Active Directory数据库存内。用户可以利用域用户账户来登录域，并利用它访问网络上的资源。 1.当用户利用域用户账户登录时，由域控制器来审核用户输入的账户密码是否正确。 2.将用户账户建立在某台域控制器内后，该账户会自动复制到同一个域内的其他所有域控制器内，因此当该用户登录时，此域内的所有域控制器都可以负责审核用户的身份，也就是检查用户输入的账号与密码是否正确。 2、本地用户账户：本地用户账户建立在Windows2000独立服务器，成员服务器或Windows 2000 Professional的本地安全数据库内，而不是域控制器内。 当用户利用本地用户账号登录时，这台计算机是利用本地安全数据库来检查、审核用户名和密码是否正确。 本地用户帐户只能在本机登陆访问本地资源，无法访问网络上其它计算机内的资源 内置账号 .administrator（系统管理员）：拥有最高权限，可以改名,不可删除。 2.guest（来宾）：供用户临时使用的帐户。权限很小，可以改名，不可删除，默认停用。 域账户的建立 必须使用＂Active Directory用户和计算机＂管理单元来建立域用户账户。 方法：开始—程序—管理工具—Active Directory用户和计算机。 必须选择一个组织单位（ou），?以便将用户账户建立到此组织单位内。可以将账户建立在内置的User组织单位或其它自行建立的组织单位内。 注意：所建立的域用户账号，可以用来在成员服务器或Windows 2000 Profession的计算机登录，但是它却无法在域控制器登录，除非他被赋予＂本地登录＂的权限，可利用组策略来进行设置，可运行以下命令使策略能尽早生效。 Secedit /RefreshPolicy MACHINE_POLICY 域账户的属性 每一个域用户账户都有一些相关的属性可供设置。例如：用户的地址、电话、电子邮件、账户有效期限等。将用户的这些信息输入完毕后，就可以让其他的用户通过这些信息来查找Active Directory内的用户。 单击该用户—单击鼠标右键—属性 用户个人信息的设置 ＂常规＂ 、＂地址＂ 、＂电话＂ 、＂单位＂ 账户信息的设置 ＂账户＂ 登录时间的设置 注：当用户在允许使用的时段内登录连接，并且一直连接超过允许使用的时段时，此时可能会发生两种情况： 1.用户可以继续访问已连接的资源，但不允许再进行任何新的连接，而且用户注销后，就无法再次登录。 2.强迫中断用户的连接。 至于会发生哪一种情况，根据在： 1、管理工具—域控制器安全策略—计算机配置—Windwos设置—安全设置—本地策略—安全选项（当登陆时间用完时自动注销用户） 2、Active Directory 用户和计算机—域名（属性）—组策略—编辑—Windwos设置—安全设置—本地策略—安全选项（当登陆时间用完时自动注销用户） 3、限制用户只能从某些工作站登录，＂登录到＂按钮 组的建立 组是一组帐号的标识，为了方便管理，可以将一组相同性质的帐号加入到一个组里。如果利用组来管理用户账户，那么，就不用对相同属性的帐号分别设定，从而减轻许多网络管理的负担。 组的类型： a：安全组 主要是且来设置权限用的。 b：分布式组 分布式组是用来与安全(权限的设置等)无关的任务上。 组的使用范围： 全局组：包含本域内的用户帐户和全局组，经过资源权限的设置后，全局组可以访问任何一个域内的资源。 本地组：包含任何域内的用户，全局组，通用组和本地域的本地组，但是不包含其它域内的本地组。只能访问本域中的资源，不能访问其他域的资源。 3、通用组：包含任何一个域内的用户帐户，全局组和通用组，但是不包含任何一个域内的本地组。可以访问任何一个域内的资源。 更改域的模式 windows 2000 的域模式分为混合模式两种。当建立好域后，系统默认的模式为混合模式。这种模式是兼容于windows NT的模式，可以将其更改为本机模式，以便享有windows 2000 所提供的特色。 混合模式：此模式中，域控制器可以包含WindowsNT系统。特点： ◇.不支持通用组。 ◇.只有本地组可以包含全局组，而且是单一的嵌套，不支持