第10章用户帐户与组的管理课件.ppt

1、第第10章章Windows2003/2008用户帐户和组的管理用户帐户和组的管理11.1 用户账户的管理用户账户的管理 11.1.1 用户账户的类型用户账户的类型 11.1.2 内置的用户账户内置的用户账户 11.1.3 建立域用户账户建立域用户账户 11.1.4 域用户账户的属性设置域用户账户的属性设置 11.1.5 管理域用户账户管理域用户账户 11.1.6 建立本地用户账户建立本地用户账户 11.1.1 用户账户的类型用户账户的类型（1）域用户账户）域用户账户域用户账户建立在域控制器的域用户账户建立在域控制器的Active Directory数据库内。用数据库内。用户可以利用域用户账户来

2、登录域，并利用它来访问网络上的资户可以利用域用户账户来登录域，并利用它来访问网络上的资源，例如访问其他计算机内的文件、打印机等资源。源，例如访问其他计算机内的文件、打印机等资源。（2）本地用户账户）本地用户账户本地用户账户建立在本地用户账户建立在Windows 2003/2008独立服务器、独立服务器、Windows 2003/2008成员服务器的本地安全数据库内，而不成员服务器的本地安全数据库内，而不是域控制器内。用户可以利用本地用户账户来登录此计算机，是域控制器内。用户可以利用本地用户账户来登录此计算机，但是只能够访问这台计算机内的资源，无法访问网络上的资源。但是只能够访问这台计算机内的资

3、源，无法访问网络上的资源。11.1.2 内置的用户账户内置的用户账户（1）Administrator（系统管理员账户系统管理员账户）Administrator拥有最高的权限，可以用它来管理计算机拥有最高的权限，可以用它来管理计算机与域内的设置，例如建立、更改、删除用户与组账户、与域内的设置，例如建立、更改、删除用户与组账户、设置安全策略、设置用户帐户的权限等。设置安全策略、设置用户帐户的权限等。（2）Guest（客户账户客户账户）Guest是供临时用户使用的账户，例如提供偶尔需要登是供临时用户使用的账户，例如提供偶尔需要登录、或者仅登录一次的用户使用，以便访问网络上的资录、或者仅登录一次的用户

4、使用，以便访问网络上的资源。源。Guest账户默认状态为账户默认状态为“禁用禁用”，使用前需开启，开启，使用前需开启，开启方法见方法见P283图图9-45。11.1.3 建立域用户账户建立域用户账户 必须使用必须使用“Active Directory用户和计算机用户和计算机”管理单元来管理单元来建立域用户账户。当使用这个管理单元来建立账户时，建立域用户账户。当使用这个管理单元来建立账户时，这个账户会被建立在这个账户会被建立在MMC控制台所找到的第一台域控制控制台所找到的第一台域控制器内，以后该账户会被自动复制到此域内的所有域控制器内，以后该账户会被自动复制到此域内的所有域控制器内。器内。在每个

5、用户账户添加完成后，活动目录都会为其建立一在每个用户账户添加完成后，活动目录都会为其建立一个惟一的安全识别码（个惟一的安全识别码（Security Identifier，SID），），Windows 2008系统内部是利用这个系统内部是利用这个SID来代表该用户，来代表该用户，有关的权限设置等都是通过有关的权限设置等都是通过SID来设置的，而不是利用用来设置的，而不是利用用户的账户名称。户的账户名称。域用户帐户建立过程：域用户帐户建立过程：域用户帐户建立过程：域用户帐户建立过程：图图11-1 “新建对象新建对象-user”对话框对话框 图图11-2 设置密码设置密码11.1.4 域用户账户的属

6、性设置域用户账户的属性设置 1用户个人信息的用户个人信息的设置设置所谓所谓“用户个人信用户个人信息息”，就是指姓名、，就是指姓名、地址、电话、传真、地址、电话、传真、移动电话、公司、部移动电话、公司、部门、职称、电子邮件门、职称、电子邮件、Web页等。如图页等。如图11-3所示所示 图图11-3 “属性属性”对话框对话框 2账户信息的设置账户信息的设置选择选择“账户账户”选项卡，选项卡，如图如图11-4所示。所示。（1）账户过期）账户过期（2）登录时间的设置）登录时间的设置（3）限制用户只能够限制用户只能够从某些工作站登录从某些工作站登录 图图11-4 “账户账户”选项卡选项卡图图11-5 “

7、登录时段登录时段”窗口窗口图图11-6 设置允许登录的工作站设置允许登录的工作站11.1.5 管理域用户账户管理域用户账户 依次选择依次选择“开始开始”“服务器管理器服务器管理器”“Active Directory用户和计算机用户和计算机”选项，打开选项，打开“活动目活动目录用户和计算机录用户和计算机”对话框，选定用户账户并右击，对话框，选定用户账户并右击，打开如图打开如图11-7所示的快捷菜单，然后选择相应的所示的快捷菜单，然后选择相应的命令来管理域用户账户。命令来管理域用户账户。（1）复制。）复制。（2）停用账户）停用账户/启用账户。启用账户。（3）重命名。）重命名。（4）删除账户。）删除

8、账户。（5）重设密码。）重设密码。（6）解除被锁定的账户。）解除被锁定的账户。图图11-7 管理域用户账户管理域用户账户11.1.6 建立本地用户账户建立本地用户账户 本地用户账户是建立在本地用户账户是建立在Windows 2003/2008独独立服务器或成员服务器的本地安全数据库内，而立服务器或成员服务器的本地安全数据库内，而不是域控制器内的账户。用户可以利用本地用户不是域控制器内的账户。用户可以利用本地用户账户登录此账户所在的计算机，但是无法登录域，账户登录此账户所在的计算机，但是无法登录域，同时只能够访问这台计算机内的资源，无法访问同时只能够访问这台计算机内的资源，无法访问网络上的资源。

9、网络上的资源。11.2 组的建立组的建立 11.2.1 域组的管理域组的管理 11.2.2 本地组的建立本地组的建立 11.2.3 内置的组内置的组 11.2.1 域组的管理域组的管理 可以依次选择可以依次选择“开始开始”“程序程序”“管理工管理工具具”“Active Directory用户和计算机用户和计算机”选项，选项，打开打开“Active Directory用户和计算机用户和计算机”对话框，对话框，来添加、删除与管理域组。来添加、删除与管理域组。1域组的添加、删除与更名域组的添加、删除与更名 2添加域组的成员添加域组的成员 图图11-8 “新建对象新建对象-group”对话框对话框 图

10、图11-9 “选择用户、联系人选择用户、联系人或计算机或计算机”对话框对话框 11.2.2 本地组的建立本地组的建立 本地组是建立在本地组是建立在Windows2000/2008独立服务器或成员独立服务器或成员服务器的本地安全数据库内，而不是域控制器内。本地服务器的本地安全数据库内，而不是域控制器内。本地组只能够访问此组所在计算机内的资源，无法访问网络组只能够访问此组所在计算机内的资源，无法访问网络上的资源。上的资源。建议只在未加入域的计算机内建立本地组账户，而不要建议只在未加入域的计算机内建立本地组账户，而不要在加入域的计算机内建立本地组账户，因为无法通过域在加入域的计算机内建立本地组账户，

11、因为无法通过域内其他任何一台计算机来访问这些账户、设置这些账户内其他任何一台计算机来访问这些账户、设置这些账户的权限，因此这些账户无法访问域上的资源，同时域系的权限，因此这些账户无法访问域上的资源，同时域系统管理员也无法管理这些本地组账户。统管理员也无法管理这些本地组账户。11.2.3 内置的组内置的组 Windows 2008域内含多个内置的组，包括本地域组、域内含多个内置的组，包括本地域组、全局组与系统组。而全局组与系统组。而Windows 2008独立服务器、独立服务器、Windows 2008成员服务器内则包含了一些内置的本地成员服务器内则包含了一些内置的本地组与系统组。这些组本身己被

12、赋予了一些权利与权限，组与系统组。这些组本身己被赋予了一些权利与权限，以便让其具备管理域控制器与活动目录的能力。只要将以便让其具备管理域控制器与活动目录的能力。只要将用户或全局组等账户加入到这些内置的本地域组内，这用户或全局组等账户加入到这些内置的本地域组内，这些账户也将具有相同的权利与权限。些账户也将具有相同的权利与权限。图图11-10域中内置的组域中内置的组11.3用组策略配制帐户策略用组策略配制帐户策略图图11-11计算机配置子目录树的帐户策略计算机配置子目录树的帐户策略1.锁定设置锁定设置图图11-12计算机配置子目录树的帐户锁定策略计算机配置子目录树的帐户锁定策略2.密码要求密码要求图图11-13计算机配置子目录树的密码策略计算机配置子目录树的密码策略THANK YOU VERY MUCH！本章到此结束本章到此结束