項目4管理用戶賬戶和組當安裝完操作系統，并完成操作系統的環境配置后，管理員應規劃一個安全的網絡環境，為用戶提供有效的資源訪問服務。WindowsServer通過建立賬戶并賦予賬戶合適的權限，保證使用網絡和計算機資源的合法性，以確保數據訪問、存儲和交換服從安全需要。2項目背景如果是單純的工作組模式的網絡，則需要使用“計算機管理”工具來管理本地用戶和組；如果是域模式的網絡，則需要通過“ActiveDirectory管理中心”和“ActiveDirectory用戶和計算機”工具管理整個域環境中的用戶和組。3項目背景學習要點 理解管理用戶賬戶的方法。 掌握管理本地用戶賬戶和組的方法。 掌握一次添加多個用戶賬戶的方法。 掌握管理域組賬戶的方法。 掌握組的使用原則。學習要點素質要點了解中國國家頂級域名“CN”，了解中國互聯網發展中的大事，激發學生的自豪感。“古之立大事者，不惟有超世之才，亦必有堅忍不拔之志。”鞭策學生努力學習。素質要點01.項目基礎知識contents目錄02.項目設計及準備03.項目實施04.習題與實訓項目基礎知識古之立大事者，不惟有超世之才，亦必有堅忍不拔之志。4.101.規劃新的用戶賬戶contents目錄02.本地用戶賬戶03.本地組04.創建組織單位與域用戶賬戶05.用戶登錄賬戶06.創建UPN的后綴規劃新的用戶賬戶古之立大事者，不惟有超世之才，亦必有堅忍不拔之志。4.1.1用戶賬戶和組為每個用戶帳號創建一個唯一的登錄名用批處理為新用戶在活動目錄創建多個用戶帳號將用戶分組，用以管理網絡上的共享資源當為一個分層結構創建一個模型時，將組嵌入別的組中以減少管理任務規劃新的用戶賬戶UsersSharedResourcesPermissionsGroup域用戶賬戶和本地用戶賬戶WindowsServer支持兩種用戶賬戶：域用戶賬戶和本地用戶賬戶。域用戶賬戶可以登錄到域上，并獲得訪問該網絡中資源的權限；本地用戶賬戶只能登錄到一臺特定的計算機上，并訪問其資源。規劃新的用戶賬戶命名約定賬戶名必須唯一，即本地賬戶在本地計算機上必須是唯一的。賬戶名不能包含以下字符：*、;、?、/、\、[、]、:、|、=、,、+、<、>、"。賬戶名最長不能超過20個字符。規劃新的用戶賬戶密碼原則一定要給Administrator賬戶指定一個密碼，以防止他人隨便使用該賬戶。確定是管理員還是用戶擁有密碼的控制權。一般情況下，用戶應可以控制自己的密碼。密碼不能設置得太簡單，不能讓他人隨意猜出。密碼最多可由128個字符組成，推薦最小長度為8個字符。密碼應由大小寫字母、數字，以及合法的非字母、非數字的字符混合組成。規劃新的用戶賬戶本地用戶賬戶盛年不重來，一日難再晨。及時當勉勵，歲月不待人。4.1.2本地用戶賬戶本地用戶賬戶僅允許用戶登錄并訪問創建該賬戶的計算機。當創建本地用戶賬戶時，僅在%Systemroot%\System32\config文件夾下的安全賬戶管理器（SecurityAccountManager，SAM）數據庫中創建相應賬戶，如C:\Windows\System32\config\sam。本地用戶賬戶本地用戶賬戶WindowsServer默認只有Administrator賬戶和Guest賬戶。WindowsServer為每個賬戶提供了名稱，如Administrator、Guest等，這些名稱是為了方便用戶記憶、輸入和使用提供的。本地用戶賬戶本地用戶賬戶本地計算機中的用戶賬戶是不允許重復的。系統內部使用安全標識符（SecurityIdentifiers，SID）來識別用戶身份，每個用戶賬戶都對應一個唯一的SID，這個SID在用戶創建時由系統自動產生。用戶登錄后，可以在命令提示符窗口中輸入“whoami/logonid”命令查詢當前用戶賬戶的SID。本地用戶賬戶本地組幸福和美好未來不會自己出現，成功屬于勇毅而篤行的人。4.1.3本地組對用戶進行分組管理，可以更加有效、靈活地分配設置權限，以方便管理員對WindowsServer進行具體的管理。如果將特定角色添加到計算機中，則將創建額外的組，用戶可以執行與該組角色相對應的任務。本地組本地組可以在“服務器管理器”→“工具”→“計算機管理”→“本地用戶和組”→“組”文件夾中查看默認組。常用的默認組包括以下幾種：Administrators、BackupOperators、Guests、PowerUsers、PrintOperators、RemoteDesktopUsers、Users。一些特殊組：AnonymousLogon、Everyone、Network、Interactive。本地組創建組織單位與域用戶賬戶功崇惟志，業廣惟勤。4.1.4創建組織單位與域用戶賬戶可以將用戶賬戶創建到任何一個容器或組織單位內。下面先創建名稱為“網絡部”的組織單位，再在其內建立域用戶賬戶Rose、Jhon、Mike、Bob、Alice。創建組織單位與域用戶賬戶創建“網絡部”組織單位的方法創建組織單位與域用戶賬戶建立用戶賬戶Jhon的方法創建組織單位與域用戶賬戶用戶登錄賬戶櫪驥不忘千里志，病鴻終有赤霄心。4.1.5用戶登錄賬戶域用戶可以在域成員計算機（域控制器除外）上利用兩種賬戶登錄方式來登錄域，它們分別是UPN登錄與用戶SamAccountName登錄。一般的域用戶默認是無法在域控制器上登錄的。用戶登錄賬戶UPN登錄用戶登錄賬戶用戶SamAccountName登錄用戶登錄賬戶創建UPN的后綴知之愈明，則行之愈篤；行之愈篤，則知之益明。——朱熹(宋)4.1.6創建UPN的后綴用戶賬戶的UPN后綴默認是賬戶所在域的域名。在下面這些情況下，用戶可能希望能夠改用其他后綴。用戶可希望其UPN與電子郵件賬戶相同。若域目錄樹內有多層子域，則域名會太長，如，UPN后綴也會過長，這將造成用戶在登錄時的不便。創建UPN的后綴創建UPN的后綴創建UPN的后綴域用戶賬戶的一般管理功崇惟志，業廣惟勤。4.1.7域用戶賬戶的一般管理一般管理是指重置密碼、禁用（啟用）賬戶、刪除賬戶、移動賬戶、重命名與解除鎖定等。域用戶賬戶的一般管理解除鎖定域用戶賬戶的一般管理設置賬戶策略步驟域用戶賬戶的一般管理在“組策略管理”窗口中選擇“DefaultDomainPolicy”選項并單擊鼠標右鍵在彈出的快捷菜單中選擇“編輯”→“計算機配置”→“策略”→“Windows設置”→“安全設置”→“賬戶策略”→“賬戶鎖定策略”選項。設置域用戶賬戶的屬性古之立大事者，不惟有超世之才，亦必有堅忍不拔之志。4.1.8設置域用戶賬戶的屬性每一個域用戶賬戶內都有一些相關的屬性信息，如地址、電話號碼與電子郵件地址等，域用戶可以通過這些屬性來查找ActiveDirectory域服務數據庫內的用戶。設置域用戶賬戶的屬性設置組織信息組織信息是指：顯示名稱、職務、辦公室部門、電子郵件、網頁、電話號碼、地址等，如圖所示設置域用戶賬戶的屬性設置賬戶過期在“賬戶”內的“賬戶過期”中設置賬戶過期，默認為“從不”，輸入格式為yyyy/mm/dd，如圖所示。設置域用戶賬戶的屬性設置登錄時段登錄時段用來指定用戶可以登錄到域的時間段，默認任何時間段都可以登錄域，若要改變設置，則可單擊“登錄小時”鏈接，并在“登錄小時數”對話框中進行設置。設置域用戶賬戶的屬性限制用戶只能夠通過某些計算機登錄一般域用戶默認可以利用任何一臺域成員計算機（域控制器除外）來登錄域。不過也可以通過下面的方法來限制用戶只可以利用某些特定計算機來登錄域設置域用戶賬戶的屬性域組賬戶盛年不重來，一日難再晨。及時當勉勵，歲月不待人。4.1.9域組賬戶如果能夠使用組（Group）來管理用戶賬戶，則必定能夠減輕許多網絡管理的負擔。例如，針對網絡組設置權限后，此組內的所有用戶都會自動擁有相應權限，不需要為每一個用戶進行設置。域組賬戶也有唯一的SID。域組賬戶域內的組類型安全組（SecurityGroup）分發組（DistributionGroup）域組賬戶組的使用范圍從組的使用范圍來看，域內的組分為本地域組、全局組和通用組3種域組賬戶特性本地域組全局組通用組可包含的成員所有域內的用戶、全局組、通用組；相同域內的本地域組相同域內的用戶與全局組所有域內的用戶、全局組、通用組可以在哪一個域內被分配權限同一個域所有域所有域組轉換可以被轉換成通用組（只要原組內的成員不包含本地域組即可）可以轉換成通用組（只要原組不隸屬于任何一個全局組即可）可以轉換成本地域組；可以轉換成全局組（只要原組內的成員不包含通用組即可）本地域組本地域組主要用來分配其所屬域內的訪問權限，以便訪問該域內的資源。域組賬戶全局組全局組主要用來組織用戶，也就是可以將多個即將被賦予相同權限的用戶賬戶加入同一個全局組內。域組賬戶通用組通用組可以在所有域內為通用組分配訪問權限，以便訪問所有域內的資源。域組賬戶建立與管理域組賬戶幸福和美好未來不會自己出現，成功屬于勇毅而篤行的人。4.1.101．組的新建、刪除建立與管理域組賬戶2．添加組的成員建立與管理域組賬戶3．ActiveDirectory域服務內置的組ActiveDirectory域服務有許多內置的組，它們分別隸屬于本地域組、全局組、通用組與特殊組。建立與管理域組賬戶（1）內置的本地域組內置的本地域組本身已被賦予一些權限，以便具備管理ActiveDirectory域服務的能力。只要將用戶或組賬戶加入這些組，這些賬戶就會自動具備相同的權限。AccountOperatorsAdministratorsBackupOperatorsGuests建立與管理域組賬戶掌握組的使用原則櫪驥不忘千里志，病鴻終有赤霄心。4.1.111．A、G、DL、P原則掌握組的使用原則2．A、G、G、DL、P原則掌握組的使用原則3．A、G、U、DL、P原則掌握組的使用原則項目設計及準備盛年不重來，一日難再晨。及時當勉勵，歲月不待人。4.2項目設計功能與特性本項目所有實例部署在同一個網絡環境下，Server1、Server2是2臺不同角色的域控制器、操作系統是WindowsServer2022。MS1是成員服務器，操作系統為Windowsserver2022項目準備將Server1升級為域控制器并建立域（網絡主DC）在Server2中建立子域將MS1升級成員服務器（添加成員）項目實施幸福和美好未來不會自己出現，成功屬于勇毅而篤行的人。4.3項目實施任務3客戶0201管理本地賬戶和組任務1AGUDLP原則管理域組任務2任務1管理本地賬戶和組添加用戶mike進組添加本地組成員新建student1用戶賬戶設置本地賬戶新建common組創建本地組配置student1用戶賬戶設置用戶賬戶的屬性0403010201-設置本地賬戶01-設置本地賬戶使用命令行創建用戶例如，要建立一個名為mike，密碼為P@ssw0rd的用戶，可以使用以下命令。netusermikeP@ssw0rd/add例如，將用戶mike的密碼設置為P@ssw0rd3（必須符合密碼復雜度要求），可以運行以下命令。netusermikeP@ssw0rd302-設置用戶賬戶的屬性02-設置用戶賬戶的屬性03-創建本地組04-添加本地組成員將成員mike添加到本地組common，可以執行以下操作。打開組的“屬性”對話框。單擊“添加”按鈕，選擇要加入的用戶mike即可。使用命令行的話，可以使用如下命令：netlocalgroupadministratorsmike/add任務2使用AGUDLP原則管理域組域用戶賬戶關系任務背景域用戶賬戶組權限任務分析0102管理域用戶任務實施0301-任務背景02-任務分析④在總公司Server1（林根）上創建通用組project_long_Us，并將總公司和分公司的工程部全局組配置為成員。⑤在子公司Server2上創建本地域組project_china_DLs，并將通用組project_long_Us加入本地域組。⑥創建共享目錄projects_share，配置本地域組權限為讀寫權限。①在總公司Server1和分公司Server2上創建相應工程部員工用戶。②在總公司Server1上創建全局組project_long_Gs，并將總公司工程部用戶加入該全局組；③在分公司上創建全局組project_china_Gs，并將分公司工程部用戶加入該全局組。02-任務分析①總公司工程部員工新增或減少。總公司管理員直接對工程部用戶進行project_long_Gs全局組的加入與退出。②分公司工程部員工新增或減少。分公司管理員直接對工程部用戶進行project_china_Gs全局組的加入與退出。域組調整后的影響03-任務實施03-任務實施03-任務實施03-任務實施03-任務實施03-任務實施在客戶機MS1上（DNS服務器的IP地址一定要設為和），用鼠標右鍵單