1、主講：宋一兵網絡操作系統Windows 2003實用教程 第4章 用戶和組管理 網絡操作系統Windows 2003實用教程 第4章： 用戶和組管理 4.1節4.2節4.3節了解用戶和組的基本概念。熟悉用戶、組的功能、權限和作用域。掌握用戶賬戶、計算機賬戶和組管理的基本方法。4.4節4.5節4.6節4.1 用戶和組概述4.2 用戶賬戶管理4.3 計算機賬戶管理4.4 組管理網絡操作系統Windows 2003實用教程 第4章 用戶和組管理 4.5 組織單位管理4.6 組策略管理第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程

2、4.1 用戶和組概述對于安裝了Windows Server 2003操作系統的獨立服務器，可以使用【本地用戶和組】保護并管理存儲在本地計算機上的用戶和組，為用戶和組指派權利和權限，從而限制了用戶和組執行某些操作的能力。權利可授權用戶在計算機上執行某些操作，如備份文件和文件夾或者關機。權限是與對象（通常是文件、文件夾或打印機）相關聯的一種規則，它規定哪些用戶可以訪問該對象以及以何種方式訪問。第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.1.1 賬戶類型本地賬戶本地賬戶對應于工作在工作組模式下的服務器使用，包括運行Wind

3、ows Server 2003操作系統的獨立服務器、成員服務器以及Windows XP操作系統客戶端等。本地賬戶只能在本地計算機上登錄，無法訪問域中其他計算機的資源。本地賬戶由【本地用戶和組】來管理。域賬戶域賬戶對應于工作在域模式下的服務器使用，一個域賬戶包括用戶名、密碼以及該用戶賬戶所在的組等信息。域賬戶可以存儲在活動目錄中，也可以存儲在本地計算機中。對于運行Windows Server 2003操作系統的域控制器，域賬戶由 【Active Directory 用戶和計算機】來管理。第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實

4、用教程 4.1.1 賬戶類型內置賬戶內置賬戶與服務器的工作模式無關，是安裝Windows Server 2003操作系統時自動創建的一些賬戶，為本地計算機的初始登錄和配置提供方便。系統經常使用的內置賬戶有以下幾種。Administrator賬戶Guest賬戶HelpAssistant賬戶第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.1.2 組類型本地組本地組是指創建在本地的組賬戶。可以在Windows Server 20032000NT獨立服務器或成員服務器、Windows XP、Windows NT Workstat

5、ion等非域控制器的計算機上創建本地組。這些組賬戶的信息被存儲在本地安全賬戶數據庫內。系統安裝時將自動創建一些內置組，當然，用戶也可以在使用中自己創建并管理本地組。第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.1.2 組類型域組域組創建在Windows Server 2003操作系統的域控制器上，組賬戶的信息被存儲在活動目錄數據庫中，這些組能夠被使用在整個域中的計算機上。Active Directory 中的組是駐留在域和組織單位容器對象中的目錄對象，在安裝Active Directory時提供了一系列默認的組，它還允

6、許創建組。第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.1.3 組作用域Windows Server 2003操作系統中的組作用域有3種。通用作用域：可將其成員作為來自域樹或域林中任何 Windows Server 2003 域的組和賬戶，并且在域樹或域林的任何域中都可獲得權限。全局作用域：可將其成員作為僅來自組所定義的域的組和賬戶，并且在域林的任何域中都可獲得權限。本地作用域：可將其成員作為來自 Windows Server 2003 或 Windows NT 域的組和賬戶，并且可用于僅在域中授予權限。Windows

7、 Server 2003操作系統中的組作用域第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.1.3 組作用域全局作用域到通用作用域：當要更改的組不是另一個全局作用域組的成員時，允許進行該轉換。本地作用域到通用作用域：當要更改的組沒有另一個本地域組作為其成員時，允許進行該轉換。通用作用域到全局作用域：當要更改的組沒有另一個通用組作為其成員時，允許進行該轉換。通用作用域到本地作用域：該操作沒有限制。第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.1.3

8、 組作用域2. 組作用域的特點與關系通用組的主要作用是用來合并跨越不同域的組。全局組是屬于本域的，它的修改不在自身域外復制，所以全局組允許內部頻繁的修改。域本地組可被添加到其他本地域組并且僅在相同域中指派權限，因此域本地組就被完全限制了在本域內，所以對于一個多域的環境，由于其他域不能評估本地域組，因此不應該用域本地組來為Active Directory中的對象分配權限。第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.1.3 組作用域2. 組作用域的特點與關系因此可以說全局組的主要作用是基于組織結構、行政結構規劃；域本地組

9、的作用是基于資源規劃。而通用組的主要作用是讓組織結構、行政結構與資源規劃連通的一個組。全局組用來劃分人，域本地組用來劃分資源也就是物，通用組把人與資源集合起來。第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.1.4 默認安全設置管理員組（Administrators）管理員組的成員可以執行操作系統支持的所有功能。用戶組（Users）Users組提供了一個最安全的程序運行環境。全新安裝后，在系統的NTFS格式的卷上，默認的安全設置被設計為禁止該組的成員危及操作系統的完整性及安裝程序。超級用戶組（Power Users）Po

10、wer Users 組的成員擁有的權限比 Users 組的成員多，但比管理員組的成員少。超級用戶可以執行除了為管理員組保留的任務外的其他任何操作系統任務。備份操作員組（Backup Operators）備份操作員組的成員可以備份和還原計算機上的文件，而不管保護這些文件的權限如何。他們還可以登錄到計算機和關閉計算機，但不能更改安全性設置。第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.2 用戶賬戶管理本地用戶賬戶是在工作組環境上或是域的成員機登錄本地機器所使用的賬戶名和密碼，而域賬戶是在域的管理模式下域上的用戶所使用的賬戶

11、。本地用戶賬戶存儲在本地的SAM數據庫中，而域賬戶存儲在AD（Active Directory）中。本地用戶賬戶的用戶只能使用該賬戶登錄到本地計算機上，而域賬戶用戶可以在整個域環境中所有的計算機上進行登錄。本地用戶賬戶只能在賬戶所屬的計算機上進行管理，每個計算機上的管理員單獨管理自己機器上的本地賬戶，而域賬戶通過AD用戶和計算機管理工具進行統一的管理。第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.2.1 本地用戶賬戶管理【案例4-1】 創建本地用戶賬戶。第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4

12、.6節網絡操作系統Windows 2003實用教程 4.2.1 本地用戶賬戶管理關于用戶賬戶名稱用戶名不能與被管理的計算機上的其他用戶或組名相同，最多可以包含 20 個大寫或小寫字符，但不能包含下列特殊字符“ / : ; | = , + * ? ”，而且用戶名不能只由句點“.”和空格組成。第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.2.1 本地用戶賬戶管理關于密碼強度要想保證計算機用戶的安全，需要為用戶賬戶設置強密碼。所謂強密碼是指滿足以下要求的密碼。長度至少有7個字符。 不包含用戶名、真實姓名或公司名稱。 不包含完

13、整的字典詞匯。 與先前的密碼大不相同。遞增密碼（Password1、Password2、Password3 .）不能算作強密碼。包含全部4組字符類型，即大寫字母、小寫字母、數字和鍵盤上的符號，如“ ! # $ % & * ( ) _ + - = | : ; ? , . /”等。第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.2.1 本地用戶賬戶管理關于密碼策略可以設置賬戶的密碼策略，包括密碼是否應符合復雜性要求、最小長度、最長使用期限等，方法是選擇【開始】/【所有程序】/【管理工具】/【本地安全策略】命令，打開【本地安全

14、設置】窗口 第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.2.1 本地用戶賬戶管理【案例4-2】 本地用戶賬戶的常見管理操作 第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.2.2 域用戶賬戶管理【案例4-3】創建域用戶賬戶 第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.2.2 域用戶賬戶管理【案例4-4】移動用戶賬戶 第4章： 用戶和組管理 4.1節4.2節4.3節4.

15、4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.2.2 域用戶賬戶管理【案例4-5】設置用戶賬戶屬性 第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.3 計算機賬戶管理【案例4-6】 創建計算機賬戶。 第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.3 計算機賬戶管理【案例4-7】重置計算機賬戶【案例4-8】禁用/啟用計算機賬戶 第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows

16、 2003實用教程 4.4 組管理組的作用域有3種，即本地作用域、全局作用域和通用作用域；組的類型有兩種，即安全組和通訊組。當域處于本機模式時，可以更改組的作用域和組的類型，如果在混合模式下，則不能更改組的作用域和組類型。組管理包括創建組，為組添加成員以及設定權限等。第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.4.1 創建組【案例4-9】創建組第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.4.2 組成員管理【案例4-10】添加組的成員第4章：

17、 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.5 組織單位管理組織單位是包含在域中的特別有用的目錄對象類型，是可將用戶、組、計算機和其他組織單位放入其中的Active Directory容器，也是可以指派組策略設置或委派管理權限的最小作用域或單元。使用組織單位，可在組織單位中代表邏輯層次結構的域中創建容器，可以根據組織模型管理賬戶和資源的配置和使用。第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.5.1 創建組織單位【案例4-11】創建組織單位。第4章：

18、 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.5.2 委派組織單位控制權【案例4-12】委派組織單位的控制權。第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.6 組策略管理組策略設置定義了系統管理員需要管理的用戶桌面環境的多種組件，例如，用戶可用的程序、用戶桌面上出現的程序以及【開始】菜單命令等。使用組策略可以為特定用戶組創建特定的桌面配置。 第4章： 用戶和組管理 4.1節4.2節4.3節4.4節4.5節4.6節網絡操作系統Windows 2003實用教程 4.6.1 組策略概述默認情況下，安裝 Active Directory 時，會創建兩個非本地組策略對象。 【Default Domain Policy】：與域鏈接，它通過策略繼承影響域中的所有用戶和計算機（包括作為域控制器的計算機）。 【Default Domain Controllers Policy】：