ch4-资源访问管理.ppt

企业需求 公司有100个员工，每个人工作内容不同。然而他们中有些人有相同的权限。 需要为每个人创建不同的帐号 还需要把有类似功能的用户放在一个组中 每个用户有自己的特定信息，需要可以自己设置密码 一、用户帐户的类型 Windows Server 2000可以有两种类型的用户账户：域用户账户和本地用户账户。 域用户账户建立在域控制器的活动目录数据库内。 本地用户账户是使用“本地用户和组”创建的，存储在SAM（安全账户管理器）数据库中，登录时进行本地身份验证。 SAM，路径为%systemroot%\system32\config\SAM 用户账户 域用户账户名称 用户账户在 Active Directory 层次结构中的位置 用户账户的密码选项 要求或限制更改密码 组的概念 二、 组类型 组类型：内置组和本地组 1．内置的本地域组 在Windows Server 2000域的活动目录内，系统内置了一些具有一定权限的本地域组，以便让其具备管理域控制器和活动目录的能力。可以通过将用户或全局组加入这些内置的本地域组来赋予这此用户或全局组相应的权限。 二 组类型 Windows Server 2000提供了许多内置组。在“Active Directory用户和计算机”的窗口中，选择目录树中的Builtin项，右侧将列出内置的组。下面介绍一些常用的内置本地域组及其权限和用途。 （1）Administrators组。 （2）Server Operators组。 （3）Account Operators组。 （4）Print Operators组。 （5）Backup Operators组。 （6）Users组。 （7）Guests组。。 二 组类型 2．内置的全局组 当建立一个域时，系统会在活动目录内建立一些内置的全局组。这些全局组位于Users组织单位中，它们本身没有任何权限，需要通过将其加入具备一定权限的本地域组或者直接给此全局组指派相应的权限。 二 组类型 以下是一些较常用的内置全局组及其权限和用途。 （1）Domain Admins组。由于Windows Server 2000会自动将该组加入到Administrators本地域组内，所以Domain Admins组内的每个成员都具备了系统管理员的使用权限。Domain Admins组的默认成员为用户账户Administrator。 在添加具有系统管理员权限的账户时，最好将其加入Domain Admins全局组，而不要直接将其加入Administrators本地组。因为Domain Admins全局组还可以被加入到其他组内，而Administrators组只能被加入到同一个域内的其他本地域组中。 二 组类型 （2）Domain Users组。Windows Server 2000会自动将Domain Users组加入到Users本地域组内，此组的默认成员为用户账户User。 （3）Domain Guests组。Windows Server 2000会自动将Domain Guests组加入到Guests本地域组内，此组的默认成员为用户账户Guest。 二 组类型 3．内置本地组 Windows Server 2000的本地安全数据库中，系统内置了一些本地组，这些组本身被赋予了一定的权限来管理本地计算机。通过将用户账户或全局组账户加入到权限不同的本地组内，这些账户也可以拥有相应的权限。 （1）Administrators组。属于此本地组的用户拥有对这台计算机最大的控制权限，此组的默认成员为用户账户Administrator，该账户可以改名，但不能删除。 一旦该计算机加入了域，则域上的Domain Admins组会被自动加入到这台计算机的Administrators组内，使得域上的系统管理员在这台计算机上也具备了系统管理员的权限。 （2）Backup Operators组。Backup Operators本地组内成员可以利用“Windows Server 2000备份”程序来备份或还原计算机内的文件。 （3）Power组。Power组内的用户可以添加、删除、更改本地用户账户或建立、管理、删除本地计算机内的共享文件夹与打印机。 二 组类型 4．内置的系统组 系统组位于每台Windows Server 2000计算机内，这些组的成员根据用户访问资源而定，无法在“Active Directory用户和计算机”或“计算机管理”内管理这些组。这些组只有在设置了相应的权限时才能看见。 最常用的内置系统组有如下两种。 （1）Everyone组。顾名思义，任何一个访问该计算机的用户，都属于这个组。如果Guests账户被启用，那么当一个没有账号的用户访