1、 Windows Server 2008系統是一個多用戶多任務的分時操作系統，任何一個要使用系統資源的用戶，都必須首先向管理員申請一個賬號，然后以這個賬號的身份進入系統。一方面可以幫助管理員對使用系統的用戶進行跟蹤，并控制他們對系統資源的訪問，另一方面也可以利用組賬戶幫助管理員簡化操作的復雜程度，降低管理的難度。 三峽縱橫科技信息技術有限公司是一家主要提供計算機網絡建設與維護的網絡技術服務公司，2007年為上市公司宜昌安琪集團建設了集團總部內部的局域網絡，覆蓋了集團四幢辦公大樓，近1000個節點，擁有各種類型的服務器三十余臺。集團各公司的網絡早期都使用的是工作組的管理模式，計算機沒有辦法集中管

2、理，用戶訪問網絡資源也沒有辦法統一身份驗證。網絡擴建后開始使用了域模式來進行管理，作為技術人員，你如何在域環境中實現集中管理集團各公司計算機和域用戶，以及實現集中的身份驗證？在計算機網絡中，計算機的服務對象是用戶，用戶通過賬戶訪問計算機資源，所以用戶也就是賬戶。所謂用戶的管理也就是賬戶的管理。每個用戶都需要有一個賬戶，以便登錄到域訪問網絡資源或登錄到某臺計算機訪問該機上的資源。組是用戶賬戶的集合，管理員通常通過組來對用戶的權限進行設置從而簡化了管理。用戶賬戶由一個賬戶名和一個密碼來標識，二者都需要用戶在登錄時鍵入。賬戶名是用戶的文本標簽，密碼則是用戶的身份驗證字符串，是在Windows Ser

3、ver 2008網絡上的個人唯一標識。用戶賬戶通過驗證后登錄到工作組或是域內的計算機上，通過授權訪問相關的資源，它也可以作為某些應用程序的服務賬戶。賬戶名的命名規則如下：賬戶名必須唯一，可以不用區分大小寫。最多包含20個大小寫字符和數字，輸入時可超過20個字符，但只識別前20個字符。不能使用保留字字符：”、/、：、；、|、=、，、+、*、？、，、。賬戶名不能只由句點（.）和空格組成。可以是字符和數字的組合。賬戶名不能與被管理的計算機上任何其他用戶名或組名相同。為了維護計算機的安全，每個賬戶必須有密碼，設立密碼應遵循以下規則：必須為Administrator賬戶分配密碼，防止未經授權就使用。明確

4、是管理員還是用戶管理密碼，最好用戶管理自己的密碼。密碼的長度最好在8127之間。如果網絡包含運行Windows 95或Windows 98的計算機，應考慮使用不超過14個字符的密碼。如果密碼超過14個字符，則可能無法從運行Windows 95或Windows 98的計算機登錄到網絡。使用不易猜出的字母組合，例如不要使用自己的名字、生日以及家庭成員的名字等。密碼可以使用大小寫字母、數字和其它合法的字符，并且嚴格區分大小寫。密碼最好不要為空白，若為空白，則系統默認此用戶賬戶只能夠若為空白，則系統默認此用戶賬戶只能夠本地登錄，無法網絡登錄本地登錄，無法網絡登錄（無法從其他計算機使用此賬戶來聯機）。W

5、indows Server 2008服務器有兩種工作模式：工作組模式和域模工作組模式和域模式式。域和工作組都是由一些計算機組成的，例如可以把企業的每個部門組織成一個域或者一個工作組，這種組織關系和物理上計算機之間的連接沒有關系，僅僅是是邏輯意義上的。企業的網絡中可以創建多個域和多個工作組，域和工作組之間的區別可以歸結為以下三點：（1）創建方式不同：工作組可以由任何一個計算機的管理員來創建，用戶在系統的“計算機名稱更改”對話框中輸入新的組名，重新啟動計算機后就創建了一個新組，每一臺計算機都有權利創建一個組；而域只能在域控制器上由管理員來創建，然后才允許其它的計算機加入這個域。（2）安全機制不同：

6、在域中有可以登錄該域的賬戶，這些由域管理員來建立與管理；在工作組中不存在工作組的賬戶，只有本機上的賬戶和密碼。（3）登錄方式不同：在工作組方式下，計算機啟動后自動就在工作組中；登錄域時要提交域用戶名和密碼，只到用戶登錄域成功之后，才被賦予相應的權限。Windows Server 2008針對這兩種工作模式提供了三種不同類型的用戶賬戶，分別是本地用戶賬戶、域用戶賬戶和內置用戶賬戶。1、本地用戶賬戶：本地用戶賬戶對應對等網的工作組模式，建立在非域控制器的Windows Server 2008獨立服務器、成員服務器以及Windows XP客戶端的計算機上。本地賬戶只能在本地計算機上登錄，無法訪問域中

7、其它計算機資源。本地計算機上都有一個管理賬戶數據的數據庫，稱為安全賬戶管理器（SAM，Security Accounts Managers）。SAM數據庫文件路徑為系統盤下Windowssystem32configSAM。在SAM中，每個賬戶被賦予唯一的安全識別號（SID，Security Identifier），用戶要訪問本地計算機，都需要經過該機SAM中的SID驗證。在系統內部，是使用SID來代表該用戶，同時權限也都是通過SID來記錄，而不是用戶賬戶名稱。例如某個文件的權限列表內，會記錄著哪一些SID具有哪種權限，而不是哪一些用戶賬戶名稱有哪種權限。若賬戶刪除，然后再添加一個相同名稱的賬戶

8、，此時系統會分配給這個新賬戶一個新的SID，它與原賬戶的SID不同，因此這個新賬戶不會擁有原賬戶的權限。本地的驗證過程，都由創建本地帳戶的本地計算機完成，沒有集中的網絡管理。2、域用戶賬戶：對應于域模式網絡，域賬戶和密碼存儲在域控制器上Active Directory數據庫中，域數據庫的路徑為域控制器中的系統盤下WindowsNTDSNTDS.DIT。因此，域賬戶和密碼被域控制器集中管理。3、內置賬戶：系統會在服務器上自動創建一些內置賬戶Administrator（系統管理員）擁有最高的權限，管理著Windows Server 2008系統和域，用戶可以用它來管理計算機，例如創建、更改、刪除用

9、戶與組賬戶，設置安全原則、添加打印機、設置用戶權限等。系統管理員的默認名字是Administrator，可以更改系統管理員的名字，但不能刪除該賬戶。該賬戶無法被禁止，永遠不會到期，不受登錄時間和只能使用指定計算機登錄的限制。 Guest（來賓）是為臨時訪問計算機的用戶提供的，該賬戶自動生成，且不能被刪除，可以更改名字。Guest只有很少的權限，默認情況下，該賬戶被禁止使用。例如當希望局域網中的用戶都可以登錄到自己的計算機，但又不愿意為每一個用戶建立一個賬戶時，就可以啟用Guest。有個用戶之后，為了簡化網絡的管理工作，Windows Server 2008中提供了用戶組的概念。用戶組就是指具有

10、相同或者相似特性的用戶集合，我們可以把組看作一個班級，用戶便是班級里的學生。當要給一批用戶分配同一個權限時，就可以將這些用戶都歸到一個組中，只要給這個組分配此權限，組內的用戶就都會擁有此權限。就好像給一個班級發了一個通知，班級內的所有學生都會收到這個通知一樣，組是為了方便管理用戶的權限而設計的。組是指本地計算機或Active Directory中的對象，包括用戶、聯系人、計算機和其它組。在Windows Server 2008中，通過組來管理用戶和計算機對共享資源的訪問。如果賦予某個組訪問某個資源的權限，這個組的用戶都會自動擁有該權限。例如，網絡部的員工可能需要訪問所有與網絡相關的資源，這時不

11、用逐個向該部門的員工授予對這些資源的訪問權限，而是可以使員工成為網絡部的成員，以使用戶自動獲得該組的權限。如果某個用戶日后調往另一部門，只需將該用戶從組中刪除，所有訪問權限即會隨之撤銷。與逐個撤銷對各資源的訪問權限相比，該技術比較容易實現。一般組用于以下三個方面：（1）管理用戶和計算機對于共享資源的訪問，如網絡各項文件、目錄和打印隊列等；（2）篩選組策略；（3）創建電子郵件分配列表等。Windows Server 2008同樣使用唯一安全標識符SID來跟蹤組，權限的設置都是通過SID進行的，而不是利用組名。更改任何一個組的賬戶名，并沒有更改該組的SID，這意味著在刪除組之后又重新創建該組，不能

12、期望所有權限和特權都與以前相同。新的組將有一個新的安全標識符，舊組的所有權限和特權已經丟失。在Windows Server 2008中，用組賬戶來表示組，用戶只能通過用戶賬戶登錄計算機，不能通過組賬戶登錄計算機。注意：我們在前面學習過組織單元（OU），兩者是相同的概念嗎？組織單元是域中包含的一類目錄對象，它包括域中一些用戶、計算機和組、文件與打印機等資源。由于活動目錄服務把域詳細地劃分成組織單元，而組織單元還可以再劃分成下級組織單元，因此組織單元的分層結構可用來建立域的分層結構模型，進而可使用戶把網絡所需的域的數量減至最小。組織單元具有繼承性，子單位能夠繼承父單位的訪問許可樹。域管理員可以使用

13、組織單元來創建管理模型，該模型可調整為任何尺寸，而且，域管理員可授予用戶對域中所有組織單元或單個組織單元的管理權限。組和組織單元有很大的不同，組主要用于權限設置，而組織單元則主要用于網絡構建；另外，組織單元只表示單個域中的對象集合（可包括組對象），而組可以包含用戶、計算機、本地服務器上的共享資源，單個域、域目錄樹或目錄林。與用戶賬戶一樣，可以分別在為本地和域中創建組賬戶。創建在本地的組賬戶：創建在本地的組賬戶。可以在Windows Server 2008/2003/2000/NT獨立服務器或成員服務器、Windows XP、Windows NT Workstation等非域控制器的計算機上創建

14、本地組。這些組賬戶的信息被存儲在本地安全賬戶數據庫（SAM）內。本地組只能在本地機使用，它有兩種類型：用戶創建的組和系統內置的組（后面將詳細介紹Windows Server 2008的內置組）。創建在域的組賬戶：該賬戶創建在Windows Server 2008的域控制器上，組賬戶的信息被存儲在Active Directory數據庫中，這些組能夠被使用在整個域中的計算機上。根據組的作用范圍，Windows Server 2008域內的組分為通用組、全局組和本地域組，這些組的特性說明如下。1、通用組：通用組可以指派所有域中的訪問權限，以便訪問每個域內的資源。具有如下的特性：可以訪問任何一個域內的

15、資源，成員能夠包含整個域目錄林中任何一個域內的用戶、通用組、全局組，但無法包含任何一個域內的本地域組。2、全局組：全局組主要用來組織用戶，即可以將多個即將被賦予相同權限的用戶賬戶加入到同一個全局組中。具有如下的特性：可以訪問任何一個域內的資源成員只能包含與該組相同域中的用戶和其他全局組。3、本地域組：本地域組主要被用來指派在其所屬域內的訪問權限，以便可以訪問該域內的資源。具有如下的特性：只能訪問同一域內的資源，無法訪問其他不同域內的資源。成員能夠包含任何一個域內的用戶、通用組、全局組以及同一個域內的域本地組，但無法包含其他域內的域本地組。組分類方法有很多，根據權限不同，可以分為安全組和分布式組

16、。安全組：安全組主要用于控制和管理資源的安全性。如果某個組是安全性的組，則可以在共享資源的屬性對話框中，選擇“共享”選項卡，并為該組的成員分配訪問控制權限，例如設置該組的成員對特定文件夾具有“寫入”的訪問權限。除此之外，還可以使用該組進行管理，例如可以將信使所發送的信息發送給該組的所有成員。分布式組：通常分布式組來管理與安全性質無關的任務。例如，可以將信使所發送的信息發送給某個分布式組，但是卻不能為其設置資源的權限，即不能在某個文件夾屬性對話框的“共享”選項卡中為該組的成員分配訪問控制權限。提示：、僅在支持活動目錄的計算機上，才能使用分布式組。、用戶建立的應用型組和系統內置或預定義的內置組與用

17、戶組大都是安全組。、一個賬戶可以不隸屬于任何的組，也可以同時隸屬于多個組。使用組賬戶可以方便和簡化賬戶的管理。因為賦予組的權限和許可時，對于組中所有賬戶的成員都會生效。 在Windows Server 2008中，如果想讓網絡中的其他計算機能夠登錄服務器，就必須給這些計算機分配用戶賬戶，這樣才能構建出客戶機/服務器模式的網絡。通過對這些賬戶的管理，來滿足網絡管理員的日常管理需要。 通過任務掌握本地用戶賬戶與域用戶賬戶的創建與管理，特別是對賬戶進行重新設置密碼、修改和重新命名等相關操作。1、創建本地賬戶本地賬戶是工作在本地機的，只有系統管理員才能在本地創建用戶。下面舉例說明如何創建本地用戶，例如

18、在Windows獨立服務器上創建本地帳戶User的操作步驟如下：1）選擇菜單“開始”“管理工具”“計算機管理”“本地用戶和組”命令，在彈出的“計算機管理”窗口中，右擊“用戶”，選擇“新用戶”命令，如圖5-1所示。2）彈出“新用戶”對話框，如圖5-2所示，該對話框中的選項介紹如下：用戶名：系統本地登錄時使用的名稱。全名：用戶的全稱。描述：關于該用戶的說明文字。密碼：用戶登錄時使用的密碼。確認密碼：為防止密碼輸入錯誤，需再輸入一遍。用戶下次登錄時須更改密碼：用戶首次登錄時，使用管理員分配的密碼，當用戶再次登錄時，強制用戶更改密碼，用戶更改后的密碼只有自己知道，這樣可保證安全使用。用戶不能更改密碼：

19、只允許用戶使用管理員分配的密碼。密碼永不過期：密碼默認的有限期為42天，超過42天系統會提示用戶更改密碼，選中此項表示系統永遠不會提示用戶修改密碼。賬戶已禁用：選中此項表示任何人都無法使用這個賬戶登錄，適用于企業內某員工離職時，防止他人冒用該賬戶登錄。2、更改賬戶：要對已經建立的賬戶更改登錄名，具體的操作步驟為：在“計算機管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇并右擊該賬戶，選擇“重命名”選項，輸入新名字，如圖5-3所示。3、刪除賬戶：如果某用戶離開公司，為防止其它用戶使用該用戶賬戶登錄，就要刪除該用戶的賬戶，具體的操作步驟為：在“計算機管理”窗口中，選擇“本地用戶和組”“

20、用戶”命令，在列表中選擇并右擊該賬戶，選擇“刪除”命令；單擊“是”按鈕，即可刪除。4、禁用與激活賬戶：當某個用戶長期休假或離職時，就要禁用該用戶的賬戶，不允許該賬戶登錄，該賬戶信息會顯示為“X”。禁用與激活一個本地賬戶的操作基本相似，具體的操作步驟如下：在“計算機管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇并右擊該賬戶，選擇“屬性”命令，彈出“Userl屬性”對話框，選擇“常規”選項卡，選中“賬戶已禁用”復選框，如圖5-4所示，單擊“確定”按鈕，該賬戶即被禁用。如果要重新啟用某賬戶，只要取消選中“賬戶已禁用”復選框即可。5、更改賬戶密碼重設密碼可能會造成不可逆的信息丟失，要更改

21、用戶的密碼一般分以下二種情況：如 果 用 戶 在 知 道 密 碼 的 情 況 下 想 更 改 密 碼 ， 登 錄 后 按組合鍵，輸入正確的舊密碼，然后輸入新密碼即可。如果用戶忘記了登錄密碼，可以使用“密碼重設盤”來進行密碼重設，密碼重設只能用于本地計算機中。 創建“密碼重設盤”的具體操作步驟如下：1）系統登錄后按組合鍵，進入系統界面，如圖5-5所示，單擊“更改密碼”按鈕，彈出“更改密碼”窗口，如圖5-6所示。2）單擊“創建密碼重設盤”按鈕，進入“歡迎使用忘記密碼向導”對話框，對使用密碼重設盤進行了簡要介紹，單擊“下一步”按鈕，進入“創建密碼重置盤”對話框，如圖5-7所示，按照提示，在軟驅中插入

22、一張軟盤或是在USB接口中插入U盤。3）單擊“下一步”按鈕，進入“當前用戶賬戶密碼”對話框，如圖5-8所示，輸入當前的密碼，單擊“下一步”按鈕，開始創建密碼重設盤，創建完畢，進入“正在完成忘記密碼向導”對話框，單擊“完成”按鈕，即可完成密碼重設盤的創建。創建密碼重設盤后，如果忘記了密碼，可以插入這張制作好的“密碼重設盤”來設置新密碼，具體的操作步驟如下：1） 在系統登錄時輸入密碼有誤時，會進入如圖5-9所示的密碼錯誤提示界面2）單擊“確定”按鈕，進入如圖5-10所示的密碼出錯后登錄界面，單擊“重設密碼”按鈕，進入“歡迎使用密碼重置向導”對話框，此時將密碼重設盤插入軟驅或者USB接口。3）單擊“

23、下一步”按鈕，進入“插入密碼重置盤”對話框，如圖5-11所示。4）單擊“下一步”按鈕，進入“重置用戶用戶帳戶和密碼”對話框，如圖5-12所示，輸入新密碼及密碼提示，單擊“下一步”按鈕，進入“正在完成密碼重設向導”對話框，單擊“完成”按鈕即可完成設置新密碼。提示：若無密碼重設盤，可直接在賬戶上更改密碼，缺點是用戶將無法訪問受保護的數據，例如用戶的加密文件、存儲在本機用來連接Internet的密碼等數據。步驟為：單擊“計算機管理”“本地用戶和組”選項，在“用戶”列表中選擇并右擊該賬戶，選擇“設置密碼”。1、創建域賬戶當有新的用戶需要使用網絡上的資源時，管理員必須在域控制器中為其添加一個相應的用戶賬

24、戶，否則該用戶無法訪問域中的資源。另一方面，當有新的客戶計算機要加入到域中時，管理員必須在域控制器中為其創建一個計算機賬戶，以使它有資格成為域成員。創建域賬戶的具體操作步驟如下：1）在域控制器或者已經安裝了域管理工具的計算機上的“控制面板”中，雙擊“管理工具”，選擇“Active Directory用戶和計算機”選項，彈出“Active Directory用戶和計算機”窗口，如圖5-13所示，在窗口的左部選中“Users”對象，右擊在彈出的快捷菜單中選擇“新建”“用戶”命令。2）進入 “新建對象用戶”對話框，如圖5-14所示，輸入用戶的姓名以及登錄名等資料，注意登錄名才是用戶登錄系統所需要輸入

25、的。3）單擊“下一步”按鈕，打開密碼對話框，如圖5-15所示，輸入密碼并選擇對密碼的控制項，單擊“下一步”按鈕，單擊“完成”按鈕。4）創建完畢，在窗口右部的列表中會有新創建的用戶。域用戶是用一個人頭像來表示，和本地用戶的差別在于域的人頭像背后沒有計算機圖標，如圖5-16所示，利用新建立的用戶可以直接登錄到Windows Server 2008/2003/XP/2000/NT等非域控制器的成員計算機上。2、刪除域賬戶在刪除域賬戶之前，要確定計算機或網絡上是否有該賬戶加密的重要文件，如果有則先將文件解密再刪除賬戶，否則該文件將不會被解密。刪除域賬戶的操作步驟為：在“計算機管理”窗口中，選擇“本地用

26、戶和組”“用戶”命令，在列表中選擇右擊要刪除的用戶名，在彈出的快捷菜單中選擇“刪除”命令即可。3、禁用域賬戶如果某用戶離開公司，就要禁用該賬戶，操作步驟為：在“計算機管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇右擊要禁用的賬戶名，在彈出的快捷菜單中選擇“禁用賬戶”命令即可。4、復制域賬戶：同一部門的員工一般都屬于相同的組，有基本相同的權限，系統管理員無需為每個員工建立新賬戶，只需要建好一個員工的賬戶，然后以此為模板，復制出多個賬戶即可，操作步驟如為：在“計算機管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇右擊選擇作為模板的賬戶，選擇“復制”命令，進入“復制對象用戶

27、”對話框，與新建用戶賬戶步驟相似，依次輸入相關信息即可。5、移動域賬戶：如果某員工調動到新部門，系統管理員需要將該賬戶移到新部門的組織單元中去，只需用鼠標將賬戶拖曳到新的組織單元即可移動域賬戶。6、重設密碼：當用戶忘記密碼時，系統管理員也無法知道該密碼是什么，這時就需要重設密碼，操作步驟為：在“計算機管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇右擊要改密碼的賬戶，選擇“重設密碼”命令，進入“重設密碼”對話框，輸入新密碼。建議用戶選中“用戶下次登錄時須更改密碼”復選框，單擊“確定”按鈕，這樣用戶下次登錄時，可重新設置自己的密碼。新建用戶賬戶后，管理員要對賬戶做進一步的設置，例如添

28、加用戶個人信息、賬戶信息、進行密碼設置、限制登錄時間等，這些都是通過設置賬戶屬性來完成的。1、用戶個人信息設置個人信息包括姓名、地址、電話、傳真、移動電話、公司、部門等信息，要設置這些詳細的信息，在賬戶屬性中的“常規”、“地址”、“電話”及“單位”等選項卡中設置即可，如圖5-17所示。2、登錄時間的設置限制要限制賬戶登錄的時間，需要設置賬戶屬性的“賬戶”選項卡，默認情況下用戶可以在任何時間登錄到域。例如設置某用戶登錄時間是周一到周五早8點到晚18點，具體的操作步驟如下：1）在“計算機管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇右擊要改設置登錄時間的賬戶，選擇“屬性”菜單，選擇“

29、賬戶”標簽，如圖5-18所示，選擇“登錄時間（L）”按鈕。2）打開“登錄時間”對話框，如圖5-19所示，選擇周一到周五早8點到晚18點時間段，選擇“允許登錄”單選按鈕，確定即可。注意這里只能限制用戶的登錄域的時間，如果用戶在允許時間段登錄，但一直連到超過時間，系統不能自動將其注銷。3、設置賬戶只能從特定計算機登錄系統默認用戶可以從域內任一臺計算機登錄域，也可以限制賬戶只能從特定計算機登錄，操作步驟為：在“計算機管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇并右擊賬戶，選擇“屬性”菜單，單擊“賬戶”選項卡，選擇“登錄到（T）”按鈕，在“登錄工作站”對話框中，如圖5-20所示，設置登

30、錄的計算機名。注意這里的計算機名稱只能是NetBIOS名稱，不支持DNS名和IP地址。4、設置賬戶過期日設置賬戶過期日，一般是為了不讓臨時聘用的人員在離職后繼續訪問網絡，通過對賬戶屬性事先進行設置，可以使賬戶到期后自動失效，省去了管理員手工刪除該賬戶的操作。設置的步驟是：在“計算機管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇并右擊賬戶，單擊“屬性”“賬戶”“賬戶過期”選項，輸入合適的時間即可。5將賬戶加入到組默認在域控制器上新建的賬戶是Domain Users組的成員，如果讓該用戶擁有其它組的權限，可以將該用戶加入到其它組中。例如將用戶劉本軍加入到“技術部”組中，操作步驟為：1

31、）在“計算機管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇并右擊賬戶“劉本軍”，彈出“劉本軍 屬性”對話框，選擇“隸屬于”選項卡，如圖5-21所示。2）單擊“添加”按鈕，彈出“選擇組”對話框，如圖5-22所示。3）單擊“高級（A）”按鈕，在彈出的“選擇組”對話框中，單擊“立即查找（N）”按鈕，然后在查找的結果中選擇組名“技術部”，如圖5-23所示，單擊“確定”按鈕。（注意：“技術部”組事先已建立好。）4）“技術部”組就被加入到“隸屬于”列表了，單擊“確定”按鈕即可將域賬戶加入到該組中來。 除去Windows Server 2008內置組之外，用戶還可以根據實際需要創建自己的用戶組

32、。可以將一個部門的用戶全部放置到一個用戶組中，然后針對這個用戶組進行屬性設定，這樣就能夠快速完成組內所有用戶的屬性改動。 通過任務掌握本地組賬戶與域組賬戶的創建與管理，熟悉Windows Server 2008內置的本地組和域組的相關特性。創建本地組賬戶的用戶必須是Administrators組或Account Operators組的成員，建立本地組賬戶并在本地組中添加成員的具體操作步驟如下：1）在獨立服務器上以Administrator身份登錄，右擊“我的電腦”，選擇“管理”“計算機管理”“本地用戶和組”“組”命令，右擊“組”，選擇“新建組”命令，如圖5-24所示。2）進入“新建組”對話框，

33、如圖5-25所示，輸入組名、組的描述，單擊“添加”按鈕，即可把已有的賬戶或組添加到該組中，該組的成員在“成員”列表框中列出。3）單擊“創建”按鈕完成創建工作，本地組用背景為計算機的兩個人頭像表示，如圖5-26所示。4）管理本地組操作較簡單，在“計算機管理”窗口右部的組列表中，右擊選定的組，選擇快捷菜單中的相應命令可以刪除組、更改組名，或者為組添加或刪除組成員。只有Administrators組的用戶才有權限建立域組賬戶，域組賬戶要創建在域控制器的活動目錄中。創建域組賬戶的步驟如下：（1）在域控制器上，選擇“開始”“管理工具”“Active Directory用戶和計算機”命令，單擊域名，右擊某

34、組織單位，選擇“新建”“組”命令，如圖5-27所示。（2）進入“新建對象組”對話框，如圖4-35所示，輸入組名，選擇“組作用域”、“組類型”后，單擊“確定”按鈕即可完成創建工作。提示：關于“組作用域”和“組類型”，這兩項是創建組時要特別注意的，默認情況下，系統會自動創建全局安全組。域組用兩個人頭像表示，人頭像背后沒有計算機圖標，和本地組有區別，本地組也用兩個人頭像表示，但人頭像背后有計算機圖標。Windows Server 2008在安裝時會自動創建一些組，這種組叫內置組。內置組又分為內置本地組和內置域組，內置域組又分為內置本地域組、內置全局組和內置通用組。1、內置本地組：創建于Windows

35、 Server 2008/2003/2000/NT獨立服務器或成員服務器、Windows XP、Windows NT等非域控制器的“本地安全賬戶數據庫”中，這些組在建立的同時就已被賦予一些權限，以便管理計算機，如圖5-29所示。Administrators：在系統有最高權限，擁有賦予權限，添加系統組件，升級系統，配置系統參數，配置安全信息等權限。內置的系統管理員賬戶是Administrators組的成員。如果這臺計算機加入到域中，域管理員自動加入到該組，并且有系統管理員的權限。Backup Operators：它是所有Windows Server 2008都有的組，可以忽略文件系統權限進行備份

36、和恢復，可以登錄系統和關閉系統，可以備份加密文件。Cryptographic Operators：已授權此組的成員執行加密操作。Dirtributed COM Users：允許此組的成員在計算機上啟動、激活和使用DCOM對象。Event Log Readers：此組的成員可以從本地計算機中讀取事件日志。Guests：內置的Guest賬戶是該組的成員。IIS_IUSRS：這是Internet信息服務（IIS）使用的內置組。Network Configuration Operators：該組內的用戶可在客戶端執行一般的網絡配置，例如更改IP，但不能添加/刪除程序，也不能執行網絡服務器的配置工作。P

37、erformance Log Users：該組的成員可以從本地計算機和遠程客戶端管理計數器、日志和警告，而不用成為Administrators組的成員。Performance Monitor Users：該組的成員可以從本地計算機和遠程客戶端監視性能計數器，而不用成為Administrators組或Performance Log Users組的成員。Power Users：存在于非域控制器上，可進行基本的系統管理，如共享本地文件夾、管理系統訪問和打印機、管理本地普通用戶；但是它不能修改Administrators組、Backup Operators組，不能備份恢復文件，不能修改注冊表。Remo

38、te Desktop Users：該組的成員可以通過網絡遠程登錄。Replicator：該組支持復制功能。Replicator組的唯一成員是域用戶賬戶，用于登錄域控制器的復制器服務，不能將實際用戶賬戶添加到該組中。Users：是一般用戶所在的組，新建的用戶都會自動加入該組對系統有基本的權力，如運行程序，使用網絡，不能關閉Windows Server 2008，不能創建共享目錄和本地打印機。如果這臺機加入到域，則域的域用戶自動被加入到該組的Users組。Certificate Service DOCM Access：允許該組的成員連接到企業中的證書頒布發機構。Print Operators：成員

39、可以管理域打印機。2、內置域組：活動目錄中組按照能夠授權的范圍，分為本地域組、全局組和通用組。（1）內置本地域組內置本地域組代表的是對某種資源的訪問權限。創建本地域組的目的是針對某種資源的訪問情況而創建的。例如在網絡上有一個激光打印機，針對該打印機的使用情況，可以創建一個“激光打印機使用者”本地域組，然后授權該組使用該打印機。以后哪個用戶或全局組需要使用打印機，可以直接將用戶或組添加到“激光打印機使用者”，就等于授權使用打印機了。自己創建的本地域組，可以授權訪問本域計算機上的資源，它代表的是訪問資源的權限；其成員可以是本域的用戶、組或其他域的用戶組；只能授權其訪問本域資源，其他域中的資源不能拭

40、授權其訪問。這些內置的本地域組位于活動目錄的Builtin容器內，如圖5-30所示，下面列出幾個較常用的本地域組。Account Operator：系統默認其組成員可以在任何一個容器（Builtin容器和域控制器組織單元除外）或組織單元內創建、刪除賬戶、更改用戶賬戶、組賬戶和計算機賬戶組，但不能更改和刪除Administrators組與Domain Admins組的成員。Administrator：成員可以在所有域控制器上完成全部管理工作，默認的成員有Administrator用戶、Domain Admins全局組、Enterprise Admins全局組等。Backup Operators：

41、成員可以備份和還原所有域控制器內的文件和文件夾，可以關閉域控制器。Guest：成員只能完成授權的任務、訪問授權的資源，默認時Guest和全局組Domain Guests是該組的成員。Network Configuration Operators：其成員可以域控制器上執行一般的網絡設置工作。pre-Windows 2000 Compatible Access：該組主要是為了與Windows NT 4.0（或更舊的系統）兼容，其成員可讀取Windows Server 2008域中所有用戶與組賬戶。其默認成員為特殊組Everyone。只有在用戶使用的計算機是Windows NT 4.0或更舊的系統時

42、，才將用戶加入該組中。Printer Operators：其成員可以創建、停止或管理在域控制器上的共享打印機，也可以關閉域控制器。Remote Desktop Users：其成員可以通過遠程計算機登錄。Server Operators：其成員可以創建、管理、刪除域控制器上的共享文件夾與打印機，備份與還原域控制器內的文件，鎖定與解開域控制器，將域控制器上的硬盤格式化，更改域控制器的系統時間，關閉域控制器等。Users：默認時，Domain Users組是其成員，可以用該組來指定每個在域中賬戶應該具有的基本權限。 （2）內置全局組：當創建一個域時，系統會在活動目錄中創建一些內置的全局組，其本身并沒

43、有任何權利與權限，但是可以通過將其加入到具備權利或權限的域本地組內，或者直接為該全局組指派權利或權限。這些內置的全局組位于Users容器內，下面列出幾個較為常用的全局組，如圖5-31所示。Domain Admins：域內的成員計算機會自動將該組加入到其Administrators組中，此該組內的每個成員都具備系統管理員的權限。該組默認成員為域用戶Administrator。Domain Computers：所有加入該域的計算機都被自動加入到該組內。Domain Controllers：域內的所有域控制器都被自動加入到該組內。Domain Users：域內的成員計算機會自動將該組加入到其User

44、s組中，該組默認的成員為域用戶Administrator，以后添加的域用戶賬戶都自動屬于該Domain Users全局組。Domain Guests：Windows Server 2008會自動將該組加入到Guests域本地組內，該組默認的成員為用戶賬戶Guest。Enterprise Admins：該組只存在于整個域目錄林的根域中，其成員具有管理整個目錄林內的所有域的權利。SchemaAdmins：只存在于整個域目錄林的根域中，其成員具備管理架構的權利。Group Policy Creator Owners：該組中的成員可以修改域的組策略。Read-only Domain Controlle

45、rs：此組中的成員是域中只讀域控制器。（3）內置通用組和全局組的作用一樣，目的是根據用戶的職責合并用戶。與全局且不同的是，在多域環境中它能夠合并其他域中的域用戶賬戶，例如可以把兩個域中的經理賬戶添加到一個通用組。在多域環境中，可以在任何域中為其授權。（4）內置的特殊組特殊組存在于每一臺Windows Server 2008計算機內，用戶無法更改這些組的成員，也就是說，無法在“Active Directory用戶和計算機或“本地用戶與組”內看到、管理這些組。這些組只有在設置權利、權限時才看得到。以下列出幾個較為常用的特殊組。Everyone：包括所有訪問該計算機的用戶，如果為Everyone指定

46、了權限并啟用Guest賬戶時一定要小心，Windows會將沒有有效賬戶的用戶當成Guest賬戶，該賬戶自動得到Everyone的權限。Authenticated Users：包括在計算機上或活動目錄中的所有通過身份驗證的賬戶，用該組代替Everyone組可以防止匿名訪問。Creator Owner：文件等資源的創建者就是該資源的Creator Owner。不過，如果創建是屬于Administrators組內的成員，則其Creator Owner為Administrators組。Network：包括當前從網絡上的另一臺計算機與該計算機上的共享資源保持聯系 的任何賬戶。Interactive：包括

47、當前在該計算機上登錄的所有賬戶。Anonymous Logon：包括Windows Server 2008不能驗證身份的任何賬戶。注意，在Windows Server 2008中，Everyone組內并不包含Anonymous Logon組。Dialup：包括當前建立了撥號連接的任何賬戶。 用戶可以通過用戶配置文件維護自己的桌面環境，以便讓用戶在每次登錄時，都有統一的工作環境與界面，如相同的桌面、相同的網絡打印機、相同的窗口顯示等。 通過任務掌握本地用戶配置文件、漫游用戶配置文件的創建與使用，了解強制用戶配置文件的作用。用戶配置文件是使用計算機符合所需的外觀和工作方式的設置的集合，其中包括桌面

48、背景、屏幕保護程序、指針首選項、聲音設置及其他功能的設置。用戶配置文件可以確保只要登錄到Windows便會使用個人首選項。與用于登錄到Windows的用戶賬戶不同，每個賬戶至少有一個與其關聯的用戶配置文件。1、用戶配置文件的類型Windows Server 2008所提供的用戶配置文件主要分為以下三種：（1）本地用戶配置文件：當一個用戶第一次登錄到一臺計算機上時，創建的用戶配置文件就是本地用戶配置文件。一臺計算機上可以有多個本地用戶配置文件，分別對應于每一個曾經登錄過該計算機的用戶。域用戶的配置文件夾名字的形式為“用戶名.域名”，而本地用戶的配置文件的名字是直接以用戶命名的。用戶配置文件不能直

49、接被編輯，要想修改配置文件的內容需要以該用戶登錄，然后手動修改用戶的工作環境如桌面、“開始”菜單、鼠標等，系統會自動地將修改后的配置保存到用戶配置文件中。（2）漫游用戶配置文件該文件只適用于域用戶，域用戶才有可能在不同的計算機上登錄。當一個用戶需要經常在其他計算機上登錄，并且每次都希望使用相同的工作環境時，就需要使用漫游用戶配置文件。該配置文件被保存在網絡中的某臺服務器上，并且當用戶更改了其工作環境后，新的設置也將自動保存到服務器上的配置文件中，以保證其在任何地點登錄都能使用相同的新的工作環境。所有的域用戶賬戶默認使用的是該類型的用戶配置文件，該文件是在用戶第一次登錄時由系統自動創建的。（3）

50、強制性用戶配置文件強制性用戶配置文件不保存用戶對工作環境的修改，當用戶更改了工作環境參數之后退出登錄再重新登錄時，工作環境又恢復到強制用戶配置文件中所設定的狀態。當需要一個統一的工作環境時該文件就十分有用。該文件由管理員控制，可以是本地的也可以是漫游的用戶配置文件，通常將強制性用戶配置文件保存在某臺服務器上，這樣不管用戶從哪臺計算機上登錄都將得到一個相同且不能更改的工作環境。因此強制性用戶配置文件有時也被稱為強制性漫游用戶配置文件。2、用戶配置文件的內容用戶配置文件并不是一個單獨的文件，而是由用戶配置文件夾、Ntuser.dat文件和All User（公用）文件夾三部分內容組成，這三部分內容在

51、用戶配置文件中起著不同的作用。（1）用戶配置文件夾打開資源管理器，在“用戶”文件夾內有一些以用戶名命名的子文件夾，它們包含了相應用戶的桌面設置、開始菜單等用戶工作環境的設置，如圖5-32所示。（2）Ntuser.dat文件用戶配置文件夾內有部分數據存儲在注冊表的HKEY_CURRENT_USER內，存儲著當前登錄用戶的環境設置數據。隱藏文件Ntuser.dat即HKEY_CURRENT_USER數據存儲的位置。（3）All User（公用）文件夾它包含所有用戶的公用數據，如公用程序組中包含了每個用戶登錄都可以使用的程序。1、創建和使用本地用戶配置文件計算機內All User（公用）文件夾的內容

52、構成了第一次在該計算機登錄的用戶的桌面環境。用戶登錄后，可以定制自己的工作環境，當用戶注銷時，這些設置的更改會存儲到這個用戶的本地用戶配置文件文件夾內。若使用域賬戶登錄，則會在計算機內建立一個名為“用戶名.域名”的用戶配置文件文件夾。用鼠標右鍵單擊“計算機”圖標，在彈出的菜單中選擇“屬性”命令，打開“系統屬性”對話框，選擇“高級”選項卡，在“用戶配置文件”欄中單擊“設置”按鈕，可以查看當前計算機內的用戶配置文件及其屬性，如圖5-33所示。2創建和使用漫游用戶配置文件漫游用戶文件只適用于域用戶，它存儲在網絡服務器中，無論用戶從域內哪臺計算機登錄，都可以讀取它的漫游用戶配置文件。用戶注銷時，發生的改變會被同時存儲到網絡服務器中的漫游配置文件夾和本地用戶配置文件，若相同，則直接使用本地用戶配置文件，提高讀取效率。若無法訪問漫游用戶配置文件，用戶首次登錄時會以Default User配置文件的內容設置環境，當用戶注銷時不會被存儲；若以前登錄過，則使用它在計算機中的本地用戶配置文件。假設要指定域用戶“劉本軍”（登錄名為liubj）來使用漫游用戶配置文件，并設置將這個漫游用戶配置文件存儲在服務器“Win2008”的共享文件夾內，具體的操作步驟如下：1）以域管理員的身份在域