管理--ActiveDirectory使用者和計算机.docVIP

管理Active Directory用户和计算机 服务器技术 2010-01-26 21:36:55 阅读133 评论0 字号：大中小 在使用Windows Server 2003 所包括的Active Directory服务的网络上，每个用户都必须由目录中的一个用户对象来表示。用户对象由包含用户信息的属性和用户在网络上的权利组成。创建和管理用户对象是网络管理员执行的常见任务。 　 一、用户账号简介 　　用户账号可为用户提供登录到域以访问网络资源或登录到计算机以访问该机资源的能力。定期使用网络的每个人都应有一个惟一的用户账号。Windows Server 2003提供两种主要类型的用户账号： 本地用户账号和域用户账号。除此之外，Windows Server 2003系统中还有内置的用户账号。 　　1.本地用户账号（Local User Account） 　　本地用户账号只能登录到账号所在计算机并获得对该资源的访问。当创建本地用户账号后， Windows Server 2003将在该机的本地安全性数据库中创建该账号，本地账号信息仍为本地，不会被复制到其他计算机或域控制器。当创建一个本地用户账号后，计算机使用本地安全性数据库验证本地用户账号，以便让用户登录到该计算机。 　　注意不要在需要访问域资源的计算机上创建本地用户账号，因为域不能识别本地用户账号，也不允许本地用户访问域资源。而且，域管理员也不能管理本地用户账号，除非他们用计算机管理控制台中的操作菜单连接到本地计算机。 　　2.域用户账号（Domain User Account） 　　域用户账号可让用户登录到域并获得对网络上其他地方资源的访问。域用户账号是在域控制器上建立的，作为AD的一个对象保存在域的AD数据库中。用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号，该账号将被域的域控制器所验证。 　　当在一个域控制器上新建一个用户账号后，该用户账号被复制到域中所有其他计算机上，复制过程完成后，域树中的所有域控制器就都可以在登录过程中对用户进行身份验证。 　　3.内置用户账号（Built-in User Account） 　　Windows Server 2003自动创建若干个用户账号， 并且赋予了相应的权限，称为内置账号。内置用户账号不允许被删除。最常用的两个内置账号是Administrator和Guest。 可使用内置Administrator（管理员）账号管理计算机和域配置，通过执行诸如创建和修改用户账号和组、管理安全性策略、 创建打印机、 给用户分配权限和权利等任务来获得对资源的访问。但做为网络管理员，应当为自己创建一个用来执行一般性任务的用户账号，只在需要执行管理性任务时才使用Administrator账号登录。 　　Guest（来客） 账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。该账号默认情况下不允许对域或计算机中的设置和资源做永久性的更改。该账号在系统安装好之后是被屏蔽的，如果需要，可以手动启用。 　 二、创建本地用户账号 　　创建本地用户账号可以在任何一台除了域的域控制器以外的基于Windows Server 2003的计算机上进行。 出于安全性考虑，通常建议只在不是域的组成部分的计算机上创建和使用本地用户账号，即在属于域的计算机上不要设置本地账号。工作组模式是使用本地用户账号的最佳场所。 　　实际案例：创建一个本地用户账号，用户名为wangnan。 　　具体操作如下： 　 （1）打开“控制面板”，双击“管理工具”，在管理工具窗口中双击“计算机管理”图标，打开“计算机管理”对话框，如图3.5.1所示。 图3.5.1 “计算机管理”对话框 　 （2）单击“本地用户和组”前面的加号，展开出现“用户”图标，右击“用户”，在弹出的快捷菜单中单击“新用户”，打开“新用户”对话框，在“用户名”编辑框中输入账号的登录名称；在“全名”编辑框中输入用户的全名；在“描述”编辑框中输入账号的简单描述，以方便日后的管理工作；在“密码”和“确认密码”编辑框中输入密码， 如图3.5.2所示。 图3.5.2 新用户对话框 　 （3）单击“创建”，在计算机管理窗口中就可以看到新创建的用户账号。 　 三、创建域用户账号 　　若要创建和管理域用户账号，可使用Active Directory用户和计算机控制台，在 Active Directory 目录树中创建用户对象。也可用该工具创建、删除或禁用用户对象，并管理用户对象的属性。 　　域用户账号是在域的DC上被创建， 并会被自动复制到域中的其他DC上。尽管在非 DC的基于Windows Server 2003的计算机上也可以通过管理工具创建用户账号，但实际上这样的操作仅仅是操作本身在非DC上，而