局域网组建与维护（3版）项目五网络服务器配置与管理.ppt

任务一 用户管理 一、任务要求 某公司有办公室、销售部、财务部和技术部，每部门都有几名员工。各部门的资料都存放在以部门名称命名的文件夹中并集中在同一台服务器上，要求各部门成员只能访问自己部门的资料。 二、相关知识 （一）用户与组账户管 理账号可以对用户进行授权访问，组可以对用户进行分类管理和授权，通过对不同用户授予不同的权限和制订相应的资源管理策略实现对共享资源的高效管理与控制。 1.用户账户每一个想要访问网络的用户都必须有一个账户，以便利用该账户来登录到域，并访问网络上的资源。用户账户是记录用户的用户名、口令、所属的组、可以访问的网络资源，以及用户的个人文件和设置的网络对象。 （1）用户账户的类型Windows2003的用户账户有以下两种类型：域用户账户和本地用户账户。 1）域用户账户域用户账户建立在域控制器的ActiveDirectory数据库内。用户可以利用域用户账户在任一计算机上登录到域，并访问域中的资源。当用户利用域用户账户来登录时，由域控制器来检查用户所输入的账号名称与密码是否正确。 2）本地用户账户本地用户账户建立在 Windows2003独立服务器、Windows2003成员服务器或 Windows2000/XP的本地安全数据库内。用户利用本地用户账户只能登录到本机，并且只能使用本机的资源。 （2）内置的用户账户当WindowsServer2003安装完毕后，它将自动建立一些内置的账户，其中常见的两个账户是： 1）系统管理员（Administrator）系统管理员拥有不受限制的权限，可以管理计算机与域内的设置，例如建立、修改、删除用户与组账户，设置用户与组账户的权限、设置安全策略等。 2）客户（Guest）客户是供临时访问网络或只访问网络一次的用户使用的账户，只有少部分的访问权限。默认情况下，该账户是禁止登录的，如果要使用，必须修改其属性。 2.组在Windows2003网络中，通过组可以对网络的多个对象进行管理。组是管理用户的策略，组可以包含用户、计算机以及其他组。将具有相同权限的用户划分到一个组中，使他们成为该组的成员，只要赋予该组一定的权限，则其中每一个成员也都具有相应的权限。例如，可以设置某个组对某个文件具备“读取”的权限，则该组所有成员也都具备“读取”的权限。如图5.1所示。 （1）组的类型Windows2003中组的类型有两种：安全组和通信组。 1）安全组安全组可以用来设置网络中的访问权限。 2）通信组通信组不能设置网络中的访问权限，而只能用在与安全（权限的设置等）无关的任务上。例如，可以将电子邮件发送给某个分布式组。 （2）组的作用域在Windows2003域内，每个安全组和通信组均具有三种不同的作用域：全局、本地域和 1）全局组成员：只能够包含该组所属的域内的用户账户与全局组。权限：全局组可以访问任何一个域内的资源。 2）本地域组成员：任何一个域内的用户账户、通用组、全局组；同一个域内的本地域组。权限：本地域组只能够访问同一个域内的资源。 3）通用组成员：任何一个域内的用户账户、通用组、全局组。权限：可以访问任何一个域内的资源。 （二）NTFS权限管理 微软公司从WindowsNT开始使用了一种新的文件系统——NTFS（New TechnologyFileSystem）文件系统，它对网络系统的安全性有着至关重要作用。当多人使用一台微机时，若希望每人仅能访问自己的资料，而对同一机器上的他人的资料没有权限，则在该机上可实施NTFS文件系统，由用户自己设权限。 1.文件夹权限 完全控制：用户可以享受全部权限，包括两个附加的高级属性。修改：用户可以写入新的文件、新建子目录、删除文件及文件夹，用户也可以查看哪些其他用户在该文件夹上的权限。 读取及运行：用户可以阅读和执行文件。 列出文件夹目录：用户可以查看在目录中的文件名。 读取：用户可以查看目录中的文件和查看还有谁拥有该权限。写入：用户可以写入新文件并查看还有谁拥有该文件。 2.文件权限 完全控制：用户可以享受全部权限，包括两个附加的高级属性。 修改：用户可以修改、重写入或删除任何现有文件，用户也可以查看还有哪些其他用户在该文件上有权限。 读取及运行：用户可以阅读文件，可查看谁有访问权并运行可执行文件。 读取：用户可以阅读文件和查看还有谁有访问权限。 写入：用户可以重写入文件并查看还有谁有访问权限。 三、任务实施 （一）实施环境 用网线将 3台计算机和 1台交换机连接如图 5.3所示的环境。 （二）实施设备 三台计算机，一台安装WindowsXP，一台安装WindowsServer2003操作系统，另外一台计算机安装成Windows2003域控制器，且已连成域结构的网络。 （三）操作步骤 1.活动目录用户和计算机控制台的使用 活动目录用户和计算机