项目4服务器系统的安装精编.ppt

项目描述 新建用户和组 创建本地用户和组 、创建域用户和域组 。 用户和组的管理 管理用户和组包括重设账户密码、重命名账户、删除账户、添加组成员等 。 登录验证 本地用户和组账户用于登录工作组模式下的计算机或者域中的成员服务器，经过登录计算机的本地安全数据库验证。域用户和组用于登录域，经过域控制器的活动目录数据库验证。 本项目的主要目的 熟悉Windows Server 2003的用户账户和组账户的设置和管理。 相关理论基础 4.2.1 组和组织单位 4.2.2 用户账户和组账户的类型 4.2.3 域组账户的分类 4.2.4 系统内置的用户账户 4.2.5 系统内置的本地组账户 4.2.6 系统内置的域组账户 4.2.7 系统内置的特殊组账户 4.2.1 组和组织单位 组是指组账户，是用户账户的集合。为组分配了某个权限，该组内的所有用户都有拥有这个访问权限而不再需要每个用户单独设置，因此使用组可以起到简化用户管理和资源访问权限设置的目的。 组织单位是一种容器，是域中多种对象的集合。使用组织单位可以根据管理目的分组并组织对象。一个组织单位内可包含用户、组、计算机、打印机和其他组织单位等对象。使用组织单位可使建立的域数目减少到最小，实现网络系统的合理架构和网络内部的分层管理。 4.2.2 用户账户和组账户的类型 1．用户账户的类型： （1）本地用户账户 本地用户账户驻留在本地安全账户数据库SAM内，只具有本地意义。用户使用本地账户只能登录到计算机本机，无法访问网络上的其他计算机。在某台计算机上创建一个本地账户后，该账户只存在于这台计算机的SAM内，不会复制到其他计算机的SAM内。SAM数据库位于%SystemRoot%\system32\config文件夹内（%SystemRoot%表示操作系统的安装文件夹，如C:\WINNT）。当用户使用本地账户登录时，由这台计算机的SAM验证账户名称和密码是否正确。 4.2.2 用户账户和组账户的类型 （2）域用户账户 域用户账户是建立在域控制器的活动目录内、在域中通用的唯一凭证。用户使用域用户账户可以登录域中的任何一台计算机（有相应的权限前提下）。如果在域中的某台域控制器上创建一个域账户后，这个账户会被自动复制到该域内的所有其他域控制器上。当用户使用域账户登录时，该域内的所有域控制器上的活动目录都可以验证账户名称和密码是否正确。。Active Directory数据库位于%SystemRoot%\NTDS文件夹内。 4.2.2 用户账户和组账户的类型 2．组账户的类型 与两类用户账户对应，Windows Server 2003操作系统中的组也有两种类型：本地组账户和域组账户。本地组账户驻留在本地安全账户数据库SAM内，只具有本地意义，用户使用本地组账户只能登录到计算机本机，无法访问网络上的其他计算机。域组户账户是建立在域控制器的活动目录内，在域中通用，用户使用域组账户可以登录到域中的任何一台计算机上。 4.2.3 域组账户的分类 1．组的类型： 根据组的安全性质将域组分成两类:安全组和分布式组。 （1）安全组：安全组用来实现资源管理的安全性功能，可以通过给安全组赋予访问资源的权限来为该组成员分配访问控制权限。也就是说，可以通过文件夹属性对话框的“共享”选项卡为该组成员分配访问控制权限。每个安全组都有一个唯一的SID。 4.2.3 域组账户的分类 （2）分布式组 分布式组没有SID，因此不能被赋予访问资源的权限。分布式组只在支持AD活动目录的计算机上使用。分布式组其实就是一个用户账户的列表，它的作用是组织该组成员的E-MAIL地址形成E-MAIL列表，使得基于AD的应用程序利用分布式组分发E-MAIL给多个用户。 4.2.3 域组账户的分类 2．域组的类型 根据组的作用域将域组分成三类：全局组、本地域组和通用组 （1） 全局组的作用是用来组织域中的同类用户。域功能级别是Windows 2000混合模式时，全局组成员包括所在域内的用户账户；域功能级别是Windows 2000纯模式或Windows Server 2003时，全局组成员包括所在域内的用户账户和全局组。全局组可以在林中的任何一个域内被指派权限，全局组可访问的资源范围是所属域和有信任关系的其他域的资源。只要该组不隶属于任何一个全局组，全局组就可被转换成通用组。 4.2.3 域组账户的分类 （2） 本地域组的作用是为用户提供该组所属域内的资源访问权限。域功能级别是Windows 2000混合模式