1、在Windows Server 2003操作系統中，每一個使用者都必須有一個賬戶，才能登錄到計 算機和服務器，并且訪問網絡上的資源。Windows Server 2003所支持的用戶賬戶分為兩種類型：本地用戶賬戶和域用戶賬戶。而組 賬戶在域和其他環境下有很大的不同。4.1本地用戶賬戶的管理當Windows Server 2003工作在工作組模式下或者作為域中的成員服務器時，在計算機操作系統中存在的是本地用戶和本地組。本地用戶賬戶的作用范圍僅限于在創建該賬戶的計算機上，以控制用戶對該計算機上的資源的訪問。所以當需要訪問在工作組”模式下的計算機時，必須在每一個需要訪問的計算機上都有其本地賬戶。其中

2、本地賬戶都存儲在 SystemRoot%system32configSam 數據庫中。下面學習怎樣管理 Windows Server 2003的本地用戶賬戶。4.1.1本地用戶賬戶的創建 案例：在成員服務器上創建本地用戶 啟動計算機，以“Administrator身份登錄 Windows Server 2003，然后右擊 我的電腦選擇 管理”命令，如圖4-1所示。將出現計算機管理控制臺，如圖4-2所示。通過打開 開始”菜單并執行 管理工具計算機管理”命令，也能夠打開如圖4-2所示的計算機管理控制臺。我的立檔資瀝昔理器嗟） 搜素2）.1取七島Expl但逹快捷方式i 刪除X重命名儀）圖4-1圖4-

3、2在 計算機管理”控制臺中，打開 本地用戶和組”，并選擇 用戶”，將出現系統中現有的 用戶信息，如圖4-2所示。右擊 用戶”或在右側的用戶信息窗口中的空白位置右擊，將彈出如圖4-3所示的菜單。在出現的菜單中選擇 新用戶”命令，將彈出創建新用戶的對話框，如圖4-4所示。根據實際情況在該對話框中設置創建新用戶的選項。用戶名：用戶登錄時使用的賬戶名，例如輸入“xubinhui。”全名：用戶的全名，屬于輔助性的描述信息，不影響系統的功能。描述：對于所建用戶賬戶的描述，方便管理員識別用戶，不影響系統的功能。密碼和確認密碼：用戶賬戶登錄時需要使用的密碼。用戶下次登錄時須更改密碼：如果選中此復選框，用戶在使

4、用新賬戶首次登錄時，將被提示更改密碼，如果采用默認設置，則選中此復選框。當去除用戶下次登錄時須更改密碼”前的勾選后，用戶不能更改密碼”和密碼永不過期”這 兩個選項將由灰變實。匚計聲機笞理.|C| x|團 立件()操作迦 查看世)窗口 釉助QP4沖|笆1跑囤園S全喀描述t-鑑系銃工具f國畫事件查看器i Q共享文件夾二礙本地用戶和蛆組名稱Adjiiijxi str it orGuest-fisUFFORTb. . . CN=Wicrosof.管理計算機他 供來龕訪問計 這是一個幫曲國1+E港能備性設SM服務和應戶新用尸.査看從這里創建窗口地)刷新X) 導出列表Q21創逹新的本地用戶帳戶.圖4-3圖

5、4-4單擊創建”按鈕，成功創建之后又將返回創建新用戶的對話框。單擊 關閉”按鈕，關閉該對話框，然后在計算機管理控制臺中將能夠看到新創建的用戶賬戶，如圖4-5所示。注銷Administrator，使用新創建的用戶賬戶“xubinhui登錄，登錄時將彈出更改密碼的提示信息對話框，如圖 4-6所示。單擊確定”按鈕，將彈出更改密碼”的對話框。在相應的文本框內輸入新密碼，然后單擊確定”按鈕，將彈出密碼更改成功的信息提示框,如圖4-7所示。單擊 確定”按鈕后，首次登錄成功。如果在創建用戶賬戶時， 選中了用戶下次登錄時須更改密碼 ”復選框，只有首次登錄時 需要更改密碼，以后則正常登錄。4.1.2 設置本地賬

6、戶屬性 注銷xubinhui，以Administrator賬戶登錄 Windows Server 2003，參 照上面的步驟打開如圖4-2所示的計算機管理控制臺，在用戶賬戶“xubinhui上右擊，在彈出的菜單中根據實際需要選擇菜單中的命令對賬戶進行操作。選擇 設置密碼”命令可以更改當前用戶賬戶的密碼。選擇刪除”命令或重命名”命令可以刪除當前用戶賬戶或更改當前用戶賬戶的名稱。選擇 屬性”命令，如圖4-8所示。將會彈出該賬戶的屬性對話框，如圖4-9所示。圖4 - 9標志，如圖4-10所示。_根據要求設置xubinhui賬戶的 常規屬性，例如停用xubinhui賬戶，則在 常規”選項卡中選中賬戶已

7、禁用”復選框，然后單擊 確定”按鈕返回計算機管理控 制臺，停用的賬戶以紅色的 “至于本地賬戶的其他屬性選項卡，將在后面的章節中加以介紹。4.2本地組的管理在 Windows Server 2003中組的概念就相當于公司中部門的概念，其實在Windows Server2003中的組常常就對應著公司的部門，也就是說組的名稱常常就是公司部門的名稱。組內的賬戶就是部門的成員賬戶。組的出現，極大地方便了Windows Server 2003的賬戶管理和后面將要學習的資源訪問權限的設置。那么，在Windows Server 2003中如何管理本地組？以及都有哪些內置的本地組？將在下面詳細介紹。首先來介紹組

8、的創建和成員的添加。案例：創建本地組并將成員添加本地組。在如圖4-2所示的計算機管理控制臺中右擊組”選擇 新建組”命令，如圖4-11所示。將彈 出 新建組的對話框，如圖4-12所示。根據實際需要在相應的文本框內輸入內容，例如在組名”文本框輸入 技術部”在描述文本框輸入技術部”然后單擊 添加”按鈕，將彈出如圖4-13所示的選擇用戶或組的對話框。昌文件操作查看電）窗口幫助QP-|g| o 4 |圈葛囹男計算機管理述地）-範栗蜿工具1匡爭件查看黠抹7共享文件夾I由姿本地用尸和組 用尸：回I由邇性能i 昱設備F包存傭I?號詁可移i+j金服勞和屜名稱霸 AdministratorsB ackup Op

9、er at or sSts酸 Confi gur at .Perform Log Users I erformanee Moiti toB ,.ower Users rint Operators 電的dH電 Desktop Users epi i. cat ors er selpServi cesGrcup elnetCli. en ts;描逑著理員對計算機r域有不麥陸 備份挾作員為了備份或還原 按默認值|來宜跟用戶組的 此組中的成員有部分管理權匸 此組的成員可且遠程訪問加 此姐的成員可以遠程訪問加 高級用戶（F嘶就應曲器擁有 成員可以管理域打印機此組中的成員被授予遠程登扌 支持域中的文件復制

10、用戶無法進行有意或無意的E 幫助和支持中右組本組的成員可以訪冋此系統_2J創逹新的本地組圖 4 - 11圖 4 - 12選擇用F選擇對象類型g）：:用戸前丙置安全主薛對象類型Q）. |查找位置:FIRST-AD位置匸）|輔入對象容稱來選擇區例）:1I4卜桶升 1取消圖 4 - 13根據實際需要輸入要添加到技術部組中的用戶或其他組，例如輸入用戶“ xubi nhui然后單擊確定按鈕返回。這時，用戶“xubinhui將出現在下面的文本框中。單擊確定按鈕，組的創建和設置完成。也可以在賬戶 屬性”設置中將賬戶添加到組，通過賬戶屬性的隸屬于”選項卡操作。在選定的賬戶上右擊，選擇屬性”命令，在彈出的對話框

11、上打開隸屬于”選項卡，如圖4-14所示。單擊 添加”按鈕出現如圖4-15所示的對話框，在此可以直接輸入需要添加的組的名稱，如 果記不清楚組的名稱，可以單擊高級”按鈕，在彈出的對話框中實行查找，如圖4-16所示。單擊立即查找”按鈕，將會出現本計算機所有的組的名稱。確定 | 取消應用因 |圖 4 - 14圖 4 - 15選擇想要加入的組，如圖4-17所示。單擊 確定”按鈕，返回 選擇組”對話框。加入的組將出現在 選擇組”對話框中，如圖4-18所示。然后單擊 確定”按鈕，返回用戶屬性對話框，如圖4-19所示。單擊 確定”按鈕，完成組的添加。圖 4 - 16位置圖 4 - 18FIESr-JCDrzn

12、sr atFIRST-JlD詵掛此對象類型煜）：搜素結果辿）:圖 4 - 17選擇對象類型$）：玄找應宣（X.一般性駕詢呂飯済婚描迷Q:廠禦用曲燃戶血 廠不過Mfi密碼俎自上汝登錄后葩天數（X）-取消1立輕（L）-tw trn-lt C.wj? F currh oxi.F* r f rsKm AnFowear Us.er err mt U-pe,.Remo te De, , B蒞立件來寧FIEST-JLDFIRST-JLDFTRST-AnFIBST-AD.丄心T-AJJriEST-AD高級 I對象類型查找位籃（I）:IRST-AD| FI 1ST-ATF1EST-JOK 術部揃入對象:名稱來選

13、擇（MH）:在 Windows Server 2003 中有如下幾個內置組：Administrators 組、Users 組、Power Users組、Backup Operators 組、Guests 組。屬于Administrators組的用戶，都具備系統管理員的權限，擁有對這臺計算機最大的控制權，內置的系統管理員 Administrator就是此本地組的成員，而且無法將其從此組中刪除。Users組權限受到很大的限制，其所能執行的任務和能夠訪問的資源，根據指派給他的權利 而定。所有創建的本地賬戶都自動屬于此組。Power Users組內的用戶可以添加、刪除、更改本地用戶賬戶；建立、管理、刪

14、除本地計算機內的共享文件夾與打印機。Backup Operators組的成員可以利用“ Windows Server 2003備份程序來備份與還原計算機內的文件和數據。Guests組包含Guest賬戶，一般被用于在域中或計算機中沒有固定賬戶的用戶臨時訪問域或 計算機時使用的。該賬戶默認情況下不允許對域或計算機中的設置和資源做更改。出于安全考慮Guest賬戶在 Windows Server 2003安裝好之后是被禁用的，如果需要可以手動地啟用。應該注意分配給該賬戶的權限，該賬戶也是黑客攻擊的主要對象。這些本地組中的本地用戶只能訪問本計算機的資源，一般不能訪問網絡上其他計算機上的資源，除非在那臺計

15、算機上有相同的用戶名和密碼。也就是說，如果一個用戶需要訪問多臺計算機上的資源，則用戶需要在每一臺需要訪問的計算機上擁有相應的本地用戶賬戶，并在登錄某臺計算機時由該計算機驗證。這些本地用戶賬戶存放于創建該賬戶的計算機上的本地 SAM數據庫中，這些賬戶在存放該賬戶的計算機上必須是唯一的。這樣大大增加了管理員 的工作量，以及網絡的復雜程度，為了能夠很方便地訪問網絡資源，Win dows Server 2003引進了 域”和 活動目錄”，在前面學習活動目錄時，已經了解了活動目錄的用處，并且通過 安裝活動目錄創建了域。下面來學習域用戶賬戶的管理。本地賬戶都存儲在SystemRoot%system32co

16、 nfigSam數據庫中，當忘記administrator密碼時，可以將這臺計算機的SAM數據庫刪除，然后登錄時，administrator的密碼為空。4.3域用戶賬戶的管理域用戶賬戶是用戶訪問域的唯一憑證，因此在域中必須是唯一的。域用戶賬戶保存在AD （活動目錄）數據庫中，該數據庫位于在 DC（域控制器）上的%systemroot%NTDS 文件夾下。為了保證賬戶在域中的唯一性，每一個賬戶都被Windows Server 2003簽訂一個唯一的SID（ Security Identifier，安全識別符）。SID將成為一個賬戶的屬性，不隨 賬戶的修改、更名而改動，并且一旦賬戶被刪除，則SID

17、也將不復存在，即便重新創建一個一模一樣的賬戶，其SID也不會和原有的 SID 一樣，對于 Windows Server 2003而言，這就是兩個不同的賬戶。在Windows Server 2003中系統實際上是利用 SID來對應用戶權限的，因此只要 SID不同，新建的賬戶就不會繼承原有的賬戶的權限與組的 隸屬關系。與域用戶賬戶一樣，本地用戶賬戶也有一個唯一的SID來標志賬戶，并記錄賬戶的權限和組的隸屬關系。這一點需要特別注意。當一臺服務器一旦安裝AD成為域控制器后，其本地組和本地賬戶是被禁用的4.3.1創建域用戶創建域用戶賬戶是在活動目錄數據庫中添加記錄，所以一般是在域控制器中進行的，當然也可

18、以使用相應的管理工具或命令通過網絡在其他計算機上操作，但都需要有創建賬戶的權限。案例：創建域用戶。創建域用戶賬戶，操作如下。執行開始” t程序” t管理工具”T“ Active Directory用戶和計算機”命令，彈出如圖4-20所 示窗口。也可以通過在 控制面板”中雙擊 管理工具”，然后在管理工具”窗口中雙擊“Active Directory用戶和計算機圖標，打開“Active Directory用戶和計算機窗口。在“Users上右擊，執行 新建” t用戶”命令，如圖4-20所示。彈出一個創建用戶的對話框， 在該對話框中輸入用戶信息，如圖4-21所示。Active Directory用戶和

19、計尊桃0 文件D 操作（A）査看邊 窗口 稱助（H）孟購I X囹囤陽I超I迺涕!ta它辺bt _H呆存的查詢容贏丄類里描謹白minjd ao. com軽 Administrator用戶管理計坐_j Bull tinCert Publishers安全組-本此組的貝Active Directory用戶和計算機 J Lomputer s皿ICon.troilers 1 Frei gjnS&curi tyFrincipl3委淤控制 查找JDiisAdjTiiikE DnsUpdteFr oxy 厲芻訟Adm ins Domain Computers Domain CotlItoIIers ? T1 m

20、an r uel*1 l新餐萱看匹）從這里創建宙口址）刷新電）導出列表（X）.計算機聯系人 組InetOrgPer&nM別Q甌列別名 打E卩機用尸安全蛆本安全粗-全局安全爼-全局安全組-全局安全爼-全局安金組-全局安全組-全局 安全齟-埜局Lr Owners安全蛆-全局用戶r- 安金組-本 k安全組-X.安全組-全局 用戶tDHS 管 1 允許替了 獵定的矗 加AUfe 域中所冷 域的所冷 所有域R 企業的扌； 這個齟q 供來賓t 幫助和m 這臨q 架構的擴 這是一樸/2/1圖 4-20圖 4-21單擊 下一步”按鈕，輸入用戶密碼，如圖4-22所示。用戶下次登為了域用戶賬戶的安全，管理員在給每

21、個用戶設置初始化密碼后，最好將錄時須更改密碼”復選框選中。以便用戶在第一次登錄時更改自己的密碼。在服務器提升為 域控制器后，Windows Server 2003對域用戶的密碼復雜性要求比較高，如果不符合要求, 就會彈出如圖4-23所示的警告提示框，用戶無法創建。在為用戶設置好符合域控制器安全性密碼設置條件的密碼后，單擊 下一步”按鈕，然后單擊完成”按鈕，至此，域用戶賬戶已經建立好了。4.3.2設置域賬戶屬性對于域用戶賬戶來說，它的屬性設置比本地賬戶復雜得多。以剛才創建的用戶賬戶為例， 來學習設置域賬戶屬性。在賬戶 許斌輝”上右擊，選擇 屬性”命令，彈出新對話框，如圖4-24所示。也可以通過選

22、擇 許斌輝”這一用戶后在工具欄上打開操作”菜單，同樣會出現 屬性”命令。或者直接在 許斌輝”賬戶上雙擊，同樣可以彈出如圖4-24所示對話框。在 常規”選項卡中輸入用戶信息，如圖4-24所示。從圖4-24可以看出，域用戶賬戶的屬性明顯比本地用戶復雜。在 地址”選項卡中輸入用戶的地址和郵編，在電話”選項卡中輸入用戶的各種電話號碼。許斌癢屋性取消I 應用迪 |確定圖 4 - 24圖 4 - 25在賬戶”選項卡中可以更改用戶登錄名、密碼策略和賬戶策略，如圖戶”選項卡中，可以控制用戶的登錄時間和只能登錄哪些服務器或計算機。單擊4-25所示。在賬登錄時間”按鈕，可在如圖4-26所示的對話框中設置登錄時間。

23、同時可以通過單擊登錄到”按鈕，控制用戶只能登錄哪些服務器或計算機，如圖4-27所示。圖 4 - 26圖 4 - 27對于時間控制，如果已登錄用戶在域中的工作時間超過設定的允許登錄”時間，并不會斷開與域的連接。但用戶注銷后重新登錄時，便不能登錄了，登錄時間”只是限定可以登錄到域中的時間。對于控制用戶可以登錄到哪些計算機時，在 計算機名”下的文本框中只能輸入計算機NetBIOS名，不能輸入 DNS名或IP地址。在 單位”選項卡中可以輸入職務、部門、公司名稱、直接下屬等，如圖4-28所示。在隸屬于”選項卡中，單擊 添加”按鈕，可以將該用戶添加到組，如圖4-29所示。用戶屬4.4域模式中的組管理 4.

24、4.1域模式中的組類型在域中有兩種組的類型：安全組和分發組。1. 安全組(Security Groups )安全組顧名思義即實現與安全性有關的工作和功能，是屬于Windows Server 2003的安全主體。可以通過給安全組賦予訪問資源的權限來限制安全組的成員對域中資源的訪問。每個 安全組都會有一個唯一的SID，在AD中不會重復。安全組也具有分發組的功能，可以組織屬于該安全組的成員的E-MAIL地址以形成E-MAIL列表。2. 分發組(Distribution Groups )分發組不是 Windows Server 2003的安全實體，它沒有 SID，因此也不能被賦予訪問資源的 權限。分發

25、組就其本質而言是一個用戶賬戶的列表，即分發組可以組織其成員的E-MAIL地址成為E-MAIL列表。利用這個特性使基于AD的應用程序就可以直接利用分發組來發E-MAIL給多個用戶以及實現其他和E-MAIL列表相關的功能(例如在Microsoft Exchange2003 Server 中使用)。如果應用程序想使用分發組，則其必須支持AD。不支持AD的應用程序將不能使用分發組的所有功能。4.4.2組的作用域組的作用域決定了組的作用范圍、組中可以擁有的成員以及組之間的嵌套關系。在 Windows Server 2003域模式下組有 3種組作用域：全局組作用域、本地組作用域和通用組作用域。在詳細了解全

26、局組作用域、本地組作用域和通用組作用域之前，先來了解一下Win dowsServer 2003下域功能級別。Windows Server 2003下域功能級別一共有 4種，它們是 Windows2000 混合（默認）、Windows 2000 本機、Windows Server 2003 臨時和 Windows Server 2003。默認情況下，域以 Windows 2000混合功能級別操作。如表4-1所示，列出了域功能級別以及相應的所支持的域控制器。表4-1域功能級別支持的域控制器|Win dows 2000 混合（默認）Win dows NT 4.0Win dows 2000Win do

27、ws Server 2003家族Win dows 2000 本機Win dows 2000Win dows Server 2003家族Win dows Server 2003臨時Win dows NT 4.0Win dows Server 2003家族Win dows Server 2003Win dows Server 2003家族一旦提升域功能級別之后，就不能再將運行舊版操作系統的域控制器引入該域中。例如，如果將域功能級別提升至Windows Server 2003，則不能再將運行 Windows 2000 Server的域控制器添加到該域中。如果想提升域功能級別，則可以按以下步驟進行操作

28、。打開“Active Directory用戶和計算機”窗口，在域名上右擊，選擇提升域功能級別”命令，如圖4-30所示。在提升域功能級別”對話框中選擇一個可用的域功能級別，如圖4-31所示。單擊 提升”按鈕，在彈出的警告信息提示框中單擊確定”按鈕，如圖4-32所示，即可提升域功能級別。.4描述幫朋QD允許您把域瓦當前域功龍怨別提升域功能級別indowsMO霸翩圖 4 - 31|腔吠冊s 2000噸模式mingj 1 亀. com選撿一個可用的域功能皺別匡）:WOT 0晦 I職消I幫助 IWindows 2000溫合模式&文件（X）操作迦 査看（1）宙口 幫助isers操作主機地口屋性區） 圖 4

29、 - 30范圍。有三類不同的組作用域：通用、全局和本地域。Active Directory用戶和計算桃DefaultDefault Default Def a.ult新建 所有任務g）coiitainr f*. contaiitT o., coniainr fo. container fo.委派控制（1）.-. 查找連接到坯 連接到域拄制器 .查看電）從這里創建宙口毗）刷新邏） 導出列表（D- -作用域組（不論是安全組還是通訊組）都有一個作用域，用來確定在域樹或林中該組的應用Active Directory用戶和計算機Lt保存的查詢 由 i IS囤喝|留鏗澎陶音越倉提升域功能級別（A）.min

30、gji鼻4 c卯5個對象ingj類型jui. ltmbuiltinD amainjomputers容蠱rM)in Con.爼織單位oraipSde.容需容器XJ探升域功蠱鞍別! 此更改譽響整個域捉升域功能圾別后，他可能無法還原*圖 4 - 32通用組的成員可包括域樹或林中任何域中的其他組和賬戶，而且可在該域樹或林中的任何域中指派權限。全局組的成員可包括只在其中定義該組的域中的其他組和賬戶，而且可在林中的任何域中指派權限。本地域組的成員可包括 Windows Server 2003、Windows 2000或 Windows NT 域中的其他組 和賬戶，而且只能在域內指派權限。表4-2總結了不同

31、組作用域的行為。表4-2通用作用域全局作用域本地域作用域當域功能級別被設置為Windows 2000 本機或Windows Server 2003 時，通用組的成員可包括來自任何 域的賬戶、全局組和通用組當域功能級別被設置為Windows 2000本機或 WindowsServer 2003 時，全局組的成員可包括來自相同 域的賬戶或全局組當域功能級別被設置為Windows 2000 本機或 WindowsServer 2003 時，本地域組的成員可包括來自任何域的賬戶、全局組或通用組，以及來自相同域 的本地域組當域功能級別被設置為Windows 2000混合時，不能創建具有通用組的安全組當域

32、功能級別被設置為Windows 2000混合時，全局組的成員可包括來自相同域的賬戶當域功能級別被設置為Windows 2000 本機或 Windows Server 2003 時，本地域組的成 員可包括來自任何域的賬戶或 全局組當域功能級別被設置為Windows 2000 本機或Windows Server 2003 時，組可被添加到其他組并在任何域中指派權限組可被添加到其他組 并且在任何域中指派權限組可被添加到其他本地域 組并且僅在相同域中指派權限組可轉換為本地域作用 域。只要組中沒有其他通用 組作為其成員，就可以轉換 為全局作用域只要組不是具有全局 作用域的任何其他組的成 員，就可以轉換為

33、通用作用 域只要組不把具有本地域作 用域的其他組作為其成員，就可 轉換為通用作用域為了方便地控制資源的訪問，Windows Server 2003建議采用AGDLP策略，如圖4-33所示。A ( Accounts )指的是在 Windows Server 2003的域用戶賬戶。G( Global Group )指的是將上述的用戶賬戶添加到某個全局組中。DL ( Domain Local Group)指的是將全局組添加到某個域本地組中，可以使用內置的域本地組，也可以創建一個新的域本地組來接納全局組的成員。P ( Permission)指的是最后將訪問資源的權限賦予相應的域本地組，則域本地組中的成

34、員就可以在權限的控制下訪問資源了。AGDLP策略很好地控制了資源訪問的權限，極大方便了網絡管理員的工作。對于AGDLP策略的應用，將在后面的章節中詳細介紹。4.4.3創建域組案例：創建域組。首先創建一個全局組。在“Users上右擊，執行 新建”七T命令，如圖4-19所示。在彈出的創建用戶的對話框中 輸入用戶信息，設置組作用域為全局組，如圖4-34所示。將技術部的用戶添加到創建的組中。在創建的 技術部”組上右擊，選擇 屬性”命令，彈出如圖4-35所示的對話框。打開 成員”選項卡，如圖4-36所示。單擊 添加”按鈕。在彈出的 選擇用戶、聯系人或計算機”對話框中輸入用戶名稱(如果需要添加多個用戶，則

35、用戶之間用分號隔開)，然后單擊確定”按鈕，用戶就添加到全局組中，如圖4-37所示。取消成扇管理者應用|圖 4 - 36選擇用聯丟人或計篦機選擇對象類型高級取消U圖 4 - 37如果忘記需要添加的用戶名稱，可以單擊高級”按鈕，在彈出的對話框中單擊立即查找按鈕，如圖4-38所示。計算機將域中所有的用戶、聯系人或計算機都顯示在對話框中，從 中選擇需要添加的用戶，單擊確定”按鈕，如圖4-39所示。圖 4 - 38圖 4 - 39在返回的對話框中，已經選擇的用戶出現在其中，單擊 確定”按鈕，如圖4-40所示。返回 成員”選項卡，如圖4-41所示。單擊 確定”按鈕，用戶添加完畢。圖 4 - 404.4.4

36、采用復制創建新的域賬號采用復制的方式創建新的域用戶，默認情況下，只有最常用的屬性（比如登錄時間、工作站限制、賬戶過期限制、隸屬于哪個組等）才傳遞給復制的用戶。案例：采用復制創建新的域賬號。打開“Active Directory用戶和計算機”窗口，右擊要復制的用戶賬戶，然后選擇 復制”命令,如圖4-42所示。在彈出的 復制對象一用戶”對話框中輸入新建的用戶信息，如圖4-43所示。然后跟新建用戶一樣，設置用戶密碼，完成用戶的復制。Tt Eirectery用尸和計算機E立件（）操作）査看理）窗口 CD幫助Q0 4今丨15両為|圖圉陽|虜迺Active Directory SFSli+HL 由一|保存

37、的查詢fniiiiao, com _ Built 二J ComputersE： 型 Bflmain ControilersK _J Forei gnSacuri tyPriticipaJ j UsersUsers19個對*名舔Domain Con. iSBoaaiik GuKtKDomain UserlEnterprise. 也(Jroup Poli. (GllSt復制忝加鯽 禁用咪戶） 重設密碼（X）. 移動世） 打開主貢） 損送郵件（A）有威控制菖 有來賓飭RAS and I A . Schema AdkinsSUPPORT_3S.T aln計算機 聯茶人所有枉驗逛)4從這里創建窗口址In

38、etOrgf erEonMSMQ BA列別主刷新的導出列養C).打印機嚀用戶7創逹一個新:一！ 1圖 4-45圖 4 - 464.5.2向組織單位中添加組織單位、用戶和組用戶和可以向剛創建的組織單位中添加組織單位、用戶和組。其操作方法同新建組織單位、 組一樣。打開“Active Directory用戶和計算機窗口，單擊新創建的組織單位，在右側欄空白處右擊,4-48所示。圖 4 - 47圖 4 - 48執行 新建” t組織單位”命令，如圖4-47所示。經過設置后，就在組織單位下添加了組織單位、用戶和組，如圖還可以將其他組織單位中的用戶和組通過移動添加到此組織單位中，在“Active Direct

39、ory用戶和計算機”窗口中選擇以前創建的用戶和組，右擊，選擇移動”命令，如圖4-49所示。在彈出的對話框中選擇想要移動到的組織單位名稱，如圖4-50所示。單擊 確定”按鈕，完成用戶和組的移動。在Windows Server 2003中隨著多用戶賬戶的引入，每個用戶可以在同一臺計算機上創建不同的用戶界面，這些同一臺計算機上不同的用戶界面便是通過用戶配置文件來實現的。用戶配置文件定義了用戶使用Windows Server 2003的工作環境，其中包括用戶計算機的桌面設置、區域設定、鼠標、聲音設置等參數，另外還有網絡連接和打印機設置等。但是用戶配置文件并不是一個具體的文件，它是由一系列文件和文件夾組

40、成的。在硬盤上的Windows NT所在的分區中會有一個“ Documents and Settings文件夾，在這個文件夾中每一個用戶都會有一個以自己的登錄名命名的文件夾，該文件夾中包含了用戶的各種設置（如圖4-51所示），這就是用戶配置文件。從圖中可以看到這些文件夾中分別包含了開始菜單、桌面、收藏夾、我的文檔和網上鄰居等的設置，還有一些隱藏文件夾：NetHood、PrintHood、本地設置、Recent和模板文件夾等。其中還有一個 Ntuser.dat文件，該文件中存儲了Windows Server 2003的注冊表中的“ HKEY_CURRENT_USER 下的數據。另外在“Docum

41、ents and Settings文件夾下還可以看到一個All Users文件夾，該文件夾中包含了開始菜單、桌面的內容。每個用戶的配置文件中也包含了開始菜單和桌面的內容，這與All Users中的有什么不同的呢？眾所周知Windows Server 2003是一個多用戶的操作系統，一臺計算機可以有多個人來使用，每個人都會有自己的應用程序。在Windows Server2003中有公用程序”和個人程序”之分。所謂公用程序”即該程序可以供所有登錄到這臺計 算機上的用戶使用，這些程序將出現在每一個登錄到計算機上的用戶的開始菜單 程序中，這些設置將保存在 All Users文件夾下的開始菜單文件夾中。

42、只有 Administrators、Server Operators Power Users組內的用戶安裝的程序才可以是公共程序，所以如果想要程序可以 被多個用戶使用就需要由上述組中的成員來安裝。而 個人程序”即為由普通用戶自己安裝的應用程序，只有安裝該程序的用戶在登錄到這臺計算機上時才會出現在開始菜單 程序中供用戶使用。個人程序”的設置保存在用戶配置文件的文件夾中。4.5.3用戶配置文件的類型用戶第一次登錄到某臺計算機上時，Windows Server 2003即為該用戶創建一個用戶配置文件。該文件保存在 C:Docume nts and Sett in gsUser name文件夾中，其中

43、User name為該用戶的用戶名。用戶在登錄的計算機上對工作環境所作的修改將被保存到該文件夾下的配置文件中，并在下次進入到系統時應用修改后的配置。用戶配置文件包括多種類型，分別用于不同的工作環境。1.默認的用戶配置文件( Default User Profile )默認的用戶配置文件用于生成一個新用戶的工作環境，所有對用戶配置文件的修改都是在默認用戶配置文件上進行的。默認的用戶配置文件在所有基于Windows Server 2003的計算機上都存在，該文件保存在 C:Documents and SettingsDefault User隱藏文件夾中。 當用戶第一 次登錄到計算機上的時候其用戶配

44、置文件的內容就是由Default User文件夾中的內容和 AllUsers文件夾中的內容組成的。1 /本地用戶配置文件(Local User Profile)當一個用戶第一次登錄到一臺計算機上時創建的用戶配置文件就是本地用戶配置文件。一臺計算機上可以有多個本地用戶配置文件，分別對應于每一個曾經登錄過該計算機的用戶。域用戶的配置文件夾的名字的形式為用戶名.域名”而本地用戶的配置文件的名字直接就是以用戶命名。用戶配置文件不能直接被編輯。要想修改配置文件的內容需要以該用戶登錄， 然后手動地修改用戶的工作環境如桌面、開始菜單、鼠標等，系統會自動地將修改后的配置保存到用戶配置文件中去。查看目前的計算機

45、上的本地用戶配置文件的操作如下。在 我的電腦”上右擊，在彈出的快捷菜單中選擇屬性”命令，打開 系統屬性”對話框。打開高級”選項卡，單擊用戶配置文件項中的設置”按鈕，打開 用戶配置文件”對話框(如圖4-52所示)。圖 4 - 522 /漫游用戶配置文件(Roaming User Profile )當一個用戶需要經常在其他計算機上登錄，并且每次都希望使用相同的工作環境時就需要使用漫游用戶配置文件。該配置文件被保存在網絡中的某臺服務器上，并且當用戶更改了其工作環境后，新的設置也將自動保存到服務器上的配置文件中，以保證其在任何地點登錄都能使用相同的新的工作環境。所有的域用戶賬戶默認使用的是該類型的用戶

46、配置文件。該文件是在用戶第一次登錄時由系統自動創建的。2.強制性用戶配置文件（Mandatory User Profile ）強制性用戶配置文件不保存用戶對工作環境的修改，當用戶更改了工作環境參數之后退出登錄再重新登錄時，工作環境又恢復到強制用戶配置文件中所設定的狀態。當需要一個統一的工作環境時該文件就十分有用。該文件由管理員控制，可以是本地的也可以是漫游的用戶配 置文件，通常將強制性用戶配置文件保存在某臺服務器上，這樣不管用戶從哪臺計算機上登錄都將得到一個相同且不能更改的工作環境。因此強制性用戶配置文件有時候也被稱為強制性漫游用戶配置文件。4.5.4設置漫游用戶配置文件要創建漫游用戶配置文件

47、，系統管理員首先要在網絡上的一臺服務器上共享一個文件夾，用于存放漫游用戶配置文件。案例：設置漫游用戶配置文件。假如要為用戶創建一個漫游用戶配置文件其操作如下。首先以管理員的身份登錄到網絡中的一臺服務器上（該服務器即為要保存漫游用戶配置文件的服務器）。在該服務器上創建一個文件夾（本例中為Roaming Profiles ）。在該文件夾上右擊，在彈出的快捷菜單中選擇 共享”命令或者選擇 屬性”命令，然后在彈出的 文件夾屬性”對話框中單 擊 共享”標簽（如圖4-53所示）。選中 共享該文件夾”單選按鈕，在 共享名”文本框中輸入文件夾的共享名，可以采用默認的共享名即文件夾的名稱（如圖4-54所示）。（

48、本例中單擊 確定”按鈕，關閉文件夾屬性對話框。這時在硬盤上就會生成一個共享文件夾為 Roaming Profiles ）（如圖 4-55 所示）。以管理員的身份登錄到域控制器上。打開“Active Directory用戶和計算機 窗口，展開要配置的用戶所屬的域（本例中為 ），找到要配置的用戶（本例中用戶的登錄名為xubinhui ）。在該用戶的圖標上右擊，在彈出的快捷菜單中選擇屬性”命令，打開用戶屬性對話框。單擊配置文件”標簽，打開 配置文件”選項卡（如圖4-56所示）。在配置文件路徑文本框中輸入配置文件放置的路徑，路徑的形式為 Server_nameShared_ folder_name%User_name%，其中user_name%為一個變量，系統會按照用戶的登錄名自動 創建該文件夾（在本例中路徑應該是niceRoaming Profiles%User_name% ）。單擊 確定”按鈕結束操作。當“xubinhui這個用戶在網絡中登錄時，系統會