Windows Server 2003第4章 管理用户、组.pptVIP

（1）全局组的成员是对网络具有相同访问权限的用户。全局组的作用范围是整个域树，因此，全局组可以在属于同一个域树的域中被赋予权限。全局组的成员只能来自于定义该组的本域中的其他组和账户。全局组可以成为其他组的成员，这些组可以是和该全局组是同一个域或是不同的域。由于全局组可以在不同的域中存在，因此，全局组中的成员可以访问其他域中的资源。 （2）本地域组的作用范围只是在创建此本地域组的本域内，因此只能在域内指派权限。成员可包括Windows Server 2003、Windows 2000或Windows NT域中的其他组和账户，本地域组具有开放的成员资格，即可以接受任何一种账户成为该组的成员，这些账户可以是同一个域中的其他本地组（必须在本机模式中）、域树中的任何域用户账户、域树中的任何域的全局组、域树中的任何域的通用组（必须在本机模式中）。但是本地域组不能成为其他任何组的成员。 （3）通用组可在该域树或域森林中的任何域中指派权限。其成员可包括域树或域森林中任何域中的其他组和账户，但只有当域处于本机模式时，才能创建具有通用组的安全组。 创建新组时，在默认情况下，新组被设置为具有全局作用域的安全组，而与当前域功能级别无关。尽管在域功能级别为Windows 2000混合模式中不允许更改组作用域，但在其域功能级别为Windows 2000纯模式和Windows Server 2003模式中，允许进行下列转换： 4．域模式中组之间的转换 第四章 管理用户和组 每个用户都需要有一个帐户，以便登录到域访问网络资源或登录到某台计算机访问该机上的资源，创建和管理用户对象是网络管理员执行的最常见任务。组是用户帐户的集合，管理员通常通过组来对用户的权限进行设置从而简化了管理。 学习目的 本章学习要求及能力目的 掌握本地帐户与域帐户的管理方法 掌握设置帐户属性的方法 掌握用户配置文件的创建方法 掌握用户组的管理方法 在活动目录中利用OU管理资源的方法 重点：创建并管理用户和组，对用户的配置文件进行配置和管理。 1.用户账户简介 Windows Server 2003提供两种主要类型用户账户：本地用户账户（Local User Account）和域用户账户（Domain User Account）。除此之外，Windows Server 2003系统中还有内置用户账户（Built-in User Account）。 创建并管理用户 2.本地用户账户 本地用户帐户只能登录到帐户所在的计算机并获得对该资源的访问。当创建本地用户帐户后，Windows Server 2003将在该机的本地安全性数据库中创建该帐户，本地帐户信息存储在本地，不会被复制到其他计算机或域控制器。当创建一个本地用户账户后，计算机使用本地安全性数据库验证本地用户账户，以便让用户登录到该计算机。 注意： 不要在需要访问域资源的计算机上创建本地用户账户，因为域不能识别本地用户账户，也不允许本地用户访问域资源。而且，域管理员也不能管理本地用户账户，除非他们用计算机管理控制台中的操作菜单连接到本地计算机。 3.创建本地用户账户 创建本地用户账户可以在除了域的域控制器以外的任何一台基于Windows Server 2003的计算机上进行。出于安全性考虑，通常建议只在不是域的组成部分的计算机上创建和使用本地用户账户，即在属于域的计算机上不要设置本地账户。工作组模式是使用本地用户账户的最佳场所。 4.域用户账户 域用户账户可让用户登录到域并获得对网络上其他地方资源的访问权。域用户账户是在域控制器上建立的，作为Active Directory的一个对象保存在域的Active Directory数据库中。用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账户，该账户将被域的域控制器所验证。 当在一个域控制器上新建一个用户账户后，该用户账户被复制到域中所有其他计算机上，复制过程完成后，域树中的所有域控制器就都可以在登录过程中对用户进行身份验证。 5.创建域用户账户 域用户账户是在域的域控制器上创建的，并会被自动复制到域中的其他域控制器上。若要创建和管理域用户账户，可使用【Active Directory用户和计算机】窗口，在Active Directory目录树中创建用户对象。也可用该工具创建、删除或禁用用户对象，并管理用户对象的属性。 Windows Server 2003在安装时自动创建若干个用户账户，并且赋予了相应的权限，这些账户称为内置用户账户。内置用户账户不允许被删除。最常用的两个内置账户是Administrator和Guest。 6.内置用户账户 Guest（来