第四章节本地用户和组.pptVIP

主讲教师:谭鸣钟 第4章 本地用户和组 主要知识点： 一、规划用户帐户 （掌握） 二、创建和管理用户帐户 （掌握） 三、规划和使用组 （掌握） 四、创建和管理组 （了解） 一　本地帐户与域帐户 每个用户都必须有一个帐户,以便利用这个帐户登陆到域,然后访问网络上的资源,或登陆到某台计算机,然后访问该计算机内的资源。 Windows Server 2003用户帐户既可以是域帐户，又可以是本地帐户。 域帐户或称网络帐户是存储在Active Directory中，作用在Windows网络安全环境中的用户帐户对象。域帐户是全企业范围的，用户利用域帐户登录到网络，可以访问整个网络中有权访问的资源。 本地帐户是对应特定计算机的对象。一个本地帐户只对一个特定计算机的本地安全数据库SAM（安全帐户管理器）有效。本地帐户只能提供特定计算机范围内的访问。就好比某人的钥匙只允许其进入自家家门，而不能进入邻居家一样。 二　规划用户帐户 1、用户帐户命名规则 创建新用户时惟一的要求是提供有效用户名。有效就是指符合Windows Server 2003用户命名规则，但也可以建立自己的命名约定。Windows Server 2003用户名命名规则如下： 2、密码规则 当用户试图登录Windows Server 2003时，安全子系统将检查用户是否存在以及核对用户提供的密码与数据库中的密码是否匹配。本地用户帐户的密码长度最多为127位字符。但是，如果在还有使用 Windows 95 或 Windows 98 的计算机的网络上使用 Windows Server 2003，考虑使用不超过 14 个字符的密码，这是因为Windows 95 和 Windows 98 最多支持 14 个字符的密码。如果密码过长，可能无法从这样的计算机登录网络。 3、内置用户帐户 在安装Windows Server 2003时，在独立服务器上，默认帐户针对本机的本地帐户，并被存放在SAM中。内置帐户不能被删除，但它们可以被重新命名。 Guest帐户允许没有用户名和密码的用户也能访问计算机。由于这种用户固有的安全风险，这个帐户缺省为禁用。启用这个帐户时，权限通常很有限。 Windows Server 2003也会为匿名访问IIS等服务的用户提供内置的帐户。如：IUSR_computer _name、IWAM_computer_name等。 三　创建和管理用户帐户 1、创建用户帐户 使用Windows Server 2003用户帐户的第一步是访问本地用户和组实用程序。访问本地用户和组的常见方法有两种： 要创建新用户帐户，需打开本地用户和组实用程序，选中【用户】文件夹，并选择【操作】→【新用户】（如下图所示）， 打开【新建用户】对话框。在对话框中，要填入【用户名】字段。【新建用户】对话框中所有其他字段都是可选的。 单击【操作】，然后单击【新用户】，会打开创建用户的对话框，如下图所示。 此外，还有四个复选框，分别表示： 密码永不过期：指定密码永不过期，即使指定了密码策略。例如，服务帐户可以选择这个选项以减少改变密码的管理开销。缺省不选这个选项。 帐户已停用：指定这个帐户无法用于登录。例如，可用于临时帐户或当时不用的帐户，防止非活动帐户造成安全威胁。缺省不选这个选项。 2、管理用户帐户 （1）关闭用户帐户 当不再需要用户帐户时，应当将其关闭或删除。如果关闭帐户，则以后只要再启用该帐户即可恢复其相关用户属性，而删除的帐户则永远无法恢复。 （2） 删除用户帐户 要删除用户帐户，需打开本地用户和组实用程序，选中要删除的用户帐户，并单击【操作】菜单，然后选择【删除】命令，如下图所示。 删除之后，这个帐户就再也不能恢复了（除非从备份中恢复本地用户帐户数据库）。在Windows Server 2003中用于资源访问管理的是SID。例如，删除了一个叫CindyF的帐户，当你重新创建一个叫做CindyF的帐户时，虽然名字相同，但其SID已经不同了。那么，CindyF将无法访问以前那个特定目录，除非重新将此目录加入到目录的权限列表中。 （3） 更改用户名 创建帐户之后，可以随时更换帐户名。 要更名用户帐户，需打开本地用户和组实用程序，