第4章管理和创建用户帐户以保护win2000的安全性.docVIP

第4章管理和创建用户帐户以保护Win2003的安全性 (一)概述 管理和创建用户帐户是Windows 2003的安全基础，本章介绍了Windows 2003的帐户类型的创建、命名、管理、帐户权限及用户配置文件。 (二)知识点讲授 用户帐户 本地用户帐户（Local User Account） *驻留在本地SAM里（SAM：安全帐户管理器）（在\windows\system32\config中） * 只能在创建该帐户的计算机上登录到该计算机。 * 身份验证由登录的计算机完成。 * 登录后，只能访问本台计算机上的资源。 有两种类型的本地用户帐户： （1）自定义用户帐户 由Administrators成员或Power Users成员创建。 （2）内置用户帐户（Built-in） 系统安装时，由Windows 2003自动创建。 * Administrator 既不能被删除 * Guest 没有用户帐户和帐户被关闭的用户可以使用。 该帐户缺省被禁用，需由管理员开放。 域用户帐户（Domain User Accout） * 存在于域控制器的活动目录数据库中。 （1）自定义域用户帐户 （2）内置域用户帐户（Built-in） * Administrator * Guest 创建用户帐户的约定 命名约定 ①用户登录名必须唯一 ②不区分大小写，最多20个字符，非法字符/[ ] : ; | = , + * ? \ 口令约定 最长128位，推荐8位，最好字母、数字结合。 区分大小写。 3．实验：创建帐户 二、用户组 是一种可以包括其它帐户的帐户，是多个用户帐户的组合。你可以一次为一个用户组中的所有成员分配权限，这样就不需要为每个用户分配权限。 本地计算机中的用户组： 在本地计算机（不是域控制器的计算机）上， 只能够在本地的安全数据库中创建本地的用户组。 域控制器中的用户组： 在域控制器上，可以在活动目录（Active Directory）中创建用户组。域控制器中的用户组能够包括整个域中的用户或跨越多个域的用户。 实验：创建用户组 三、用户权限（User Right） 权限是向登录到计算机或网络中的用户授予在系统中完成一定操作的权力。如果一个用户没有完成某个操作所需的适宜权限，那么执行该操作的企图将被阻止。用户权限既可以分配给单个用户，也可以分配给用户组。用户权限会应用于整个系统，而不是应用于某个特定资源的权限，将影响计算机或域中的所有操作。 常用用户权限： * 本地登录 允许用户登录到本地计算机或从本地计算机上登录到域中 * 修改系统时间 允许用户设置计算机内部时钟的时间 * 关闭系统 允许用户关闭本地计算机 * 从网络中访问该计算机 允许用户得到从网络中任何其它计算机上访问运行Windows 2003计算机的能力 内置组的用户权限 Administrators： * 存在于工作组或域中的所有计算机上。 * 对于计算机或域具有完全控制的能力。 Users： * 存在于工作组或域中的所有计算机上。 * 具有使用计算机的一般权利。 Power Users： * 存在于除域控制器以外的所有计算机上。 *在本地计算机上创建用户和用户组帐户 *修改和删除它们所创建的用户和用户组帐户 *共享资源 * 不能备份和恢复文件；不能修改Administrators组和Backup Operators组。 Backup Operators： * 备份域恢复文件，而不管其对文件具有什么样的访问权限。 四、用User Profile定制用户环境 1. 用户配置文件的功能 * 定制用户的桌面、网络连接和打印机连接。 2. 用户配置文件的类型 （1）默认的用户配置文件： *用作所有用户配置文件的基础。每一个用户配置文件都开始于黩认的用户配置文件的一个复制件。 （2）本地用户配置文件： *当用户第一次在一台计算机上登录时，系统在用户登录的计算机上自动给该用户建立一个以该用户帐户命名的本地用户配置文件。 （3）漫游用户配置文件：（难点） * 由系统管理员创建 * 把该用户的配置文件集中存放在域中某一台服务器上，使得用户无论在域中哪一台计算机上登录，都会从中得到相同的配置。 （4）强制性用户配置文件： * 由系统管理员创建 * 用户无法把自己定制的用户环境保存到该用户配置文件中。 * 将Ntuser.dat改名为Ntuser.man。 （三）课堂提问 用户帐户分为哪两大类？ 本地用户帐户分为哪两类？ 本地用户帐户驻留在什么地