Windows 2000网络操作系统 教学课件 作者 张宪海 宋一兵 第4章 账户和组管理.pptVIP

第4章 账户和组管理 第4章 账户和组管理 4.1 概述 4.1.1 账户类型 4.1.2 组类型 4.1.3 组作用域 4.1.4 内置和预定义组 4.1.5 默认安全设置 4.1.1 账户类型 　　Windows 2000 Server中的账户分为两种类型，即： 用户账户：一个Windows 2000 用户的所有信息组成的记录就叫做用户账户。用户账户的内容包括用户名、密码、所属组、以及访问资源的权利和权限等等。 计算机账户：加入到域中且运行 Windows 2000 或 Windows NT 的每一台计算机均具有计算机账户 。 　　Windows 2000 提供了两种预定义用户账户，即： 管理员账户：是第一次安装系统时所用的账户，是工作站或成员服务器中管理员组的成员。管理员账户永远不能被删除、禁用或从本地组中删除。 来宾账户 ：使用时不需要密码，默认是禁用的，但可以启用，并设置其权利和权限。默认情况下，来宾账户是内置来宾组的成员，该组允许用户登录工作站或成员服务器。其他权利及任何权限都必须由管理员组的成员授予来宾组。 4.1.2 组类型 Windows 2000 中定义了两种组类型即： 安全组：位于定义资源和对象权限的选择性访问控制表（DACL）中，可用作电子邮件实体，向组发送电子邮件的同时会将邮件发给组的所有成员。 通讯组：不采用安全机制，不在 DACL 中。只有在电子邮件应用程序（如 Exchange）中，才能使用通讯组将电子邮件发送给一组用户。如果不需要安全的组，创建通讯组而非安全组。 　　安全组和通讯组之间可以相互转换。任何时候，组都可以从安全组转换为通讯组，反之亦然，但转换的前提是域处于本机模式下。当域处于混合模式时，不能转换组。 　　虽然联系人可添加到安全组和通讯组中，但是不能为联系人指派权利和权限。可向组中的联系人发送电子邮件。 4.1.3 组作用域 所谓组作用域是用来标识组在域树或树林中所应用的范围。Windows 2000 Server中定义了三类不同的作用域，即 ： 通用作用域：可将其成员作为来自域树或树林中任何 Windows 2000 域的组和账户，并且在域树或树林的任何域中都可获得权限。有通用作用域的组称为通用组。 全局作用域：可将其成员作为仅来自组所定义的域的组和账户，并且在树林的任何域中都可获得权限。有全局作用域的组称作全局组。 本地作用域：可将其成员作为来自 Windows 2000 或 Windows NT 域的组和账户，并且可用于仅在域中授予权限。具有域本地作用域的组称作域本地组。 4.1.4 内置和预定义组 　　安装域控制器时，系统默认安装了一些内置组和预定义组，这些组存储在【Active Directory 用户和计算机】控制台的【内置和用户】文件夹中。这些内置和预定义组属于安全组，可用于将某些角色、权利和权限授予默认组的用户。 4.1.5 默认安全设置 　　Windows 2000 的默认安全设置包括对4个默认组和3个特殊组的权限许可，即管理员组、用户、超级用户、备份操作员4个默认组和交互、网络、终端服务器用户三个特殊组。 1．管理员组 　　管理员组的成员可以执行操作系统支持的所有功能，最好用于： 安装操作系统和组件（例如硬件驱动程序、系统服务等等） 安装 Service Packs 和 Windows Packs 升级/修复操作系统 配置关键操作系统参数 获取已经不能访问的文件的所有权 管理安全措施和审核日志 备份和还原系统 2．用户 　　用户组提供了一个最安全的程序运行环境，默认的安全设置被设计为禁止该组的成员危及操作系统的完整性及安装程序。用户不能修改系统注册表设置、操作系统文件和程序文件；用户可以关闭工作站，但不能关闭服务器；用户可以创建本地组，但只能修改自己创建的本地组；用户可以运行由管理员安装和配置的 Windows 2000 认可的程序，并对他们自己的所有数据文件和自己的那一部分注册表有完全的控制权。 　　用户无法安装其他用户运行的程序（这样可防止特洛伊木马程序），也不能访问其他用户的私人数据或桌面设置。 　　为确保 Windows 2000 系统的安全性，管理员应该： 确保最终用户只属于 用户 组 安装和配置 用户 组成员可以成功运行的 Windows 2000程序 3．超级用户 　　超级用户 组的成员拥有的权限比用户组的成员多，但比管理员组的成员少。超级用户可以执行除了为管理员组保留的任务外的其他任何操作系统任务。包括： 除了 Windows 2000 认可的应用程序外，还可以运行一些安全性不太严格的应用程序 安装不修改操作系统文件并且不需要安装系统服务的应用程序 自定义系统资源，包括打印机、日期/时间、电源选项和其他控制面板资源