04本地用户与组的管理.ppt

本章结构 本章目标 工作组环境下账户和组的管理 理解工作组的概念 掌握本地用户帐户的管理 掌握本地组账户的管理 掌握ALP规则 工作组的特点 每一台计算机都独立维护自己的资源，不能集中管理所有网络资源 每一台计算机都在本地存储用户的账户 一个账户只能登录到一台计算机 工作组中的计算机的地位都是平等的 工作组中计算机的操作系统可以不相同 加入工作组 【控制面板】|【系统】|【计算机名】|【更改】 本地用户账户 本地账户存储在本地计算机上的SAM中 %systemroot%\system32\config 本地账户只能登录到本地计算机 本地账户主要用于工作组环境中 创建本地用户账户 使用计算机管理工具进行用户管理 默认账户 Administrator Guest 创建用户 用户名 全名 描述 密码相关选项 创建本地用户账户(续) 创建本地用户账户(续) 用户下次登录时必须更改密码 用户不能更改密码 密码永不过期 账户已禁用 设置账户属性 更改账户密码 重设密码 由管理员完成 更改密码 由用户自己完成 重命名和删除账户 重命名用户 接替工作 管理员账户重命名 删除用户 删除后重建同名帐户SID不同 先将账户禁用一段时间后再将其删除 本地组概念 组的概念 组是账户的集合 方便管理（例如赋加权限） 当一个用户加入到一个组以后，该用户会继承该组所拥有的权限 创建本地组并添加组成员 创建组 使用计算机管理工具中的用户和组管理 需要输入组名和描述 可以直接添加成员 内置组 默认本地组 （内置组） 系统自动建立 拥有特殊的权限 有些组是动态的 内置组(续) 管理本地组 ALP规则 ALP策略 A：账户（Account） L：本地组（Localgroup） P：权限（Permission） ALP规则 将用户账户加入本地组 为本地组分配权限 本章总结 工作组的概念 本地用户帐户的管理 本地组账户的管理 ALP规则 实验要求 完成标准 修改计算机所在的工作组名称 创建3个用户账户user1、user2、user3 创建本地组localgroups 将3个用户帐户加入本地组localgroups 修改用户账户user1的用户名和密码，然后使用该账户登录计算机 作业 在什么情况下适合采用工作组模式，工作组有哪些特点？ Power Users 组中的成员有哪些权限？ ALP规则的含义是什么？ 当一个员工离开公司，另一个员工接替工作时，可以将前员工使用的用户账户更改为新服务员工使用的名字，并重设密码。更名以后原用户账户所有权限将全部保留下来。要实现以上目标就需要对用户账户重命名。给管理员Administrator重命名，可以起到一定安全作用。 当用户账户永远不再使用时，就可以将用户账户删除，删除以后即使再建立一个同名账户，也不能保留以前的权限。因为在系统内部真正能够唯一标识用户的是SID，当一个用户被删除后，虽然可以建立一个同名的用户，但内部的SID不会相同，所以，系统依然会认为是两个用户。 比较安全的方法是先将此账户禁用一段时间后再将其删除。 使用whoami /user命令，可以显示当前用户的信息以及安全标识符 (SID) 建立完用户账户以后，就要为用户分配相应的权限，例如，访问打印机和访问文件权限等。如果用户数量比较多，并且权限设置经常变动，管理员的工作量会相当大，这时就可以考虑使用组来完成权限的分配。 默认本地组和系统内置组都有特殊的权限和用途，主要是集中在对操作系统的管理上。这并不能满足对大量资源进行管理的需求。 １，net? localgroup? administrators? lee ?/add，将用户名lee（该用户已经存在）加入管理员组。　 １，net? localgroup? “Power Users”? lee ?/add，将用户名lee（该用户已经存在）加入Power Users组。　 每一个默认本地组都有其特殊的功能，其中，administrators组是内置的管理员组，该组成员拥有本地计算机最大的管理权限。Power Users组权限仅次于administrators组，可以对计算机进行大多数的日常管理，但不具有更改IP地址和格式化硬盘等权限，一般情况下，可以给用户授予Power Users组的权限。 在工作组环境下，多个用户账户访问相同的资源时，可以分别给每个用户账户分配权限，但这并不是最佳方法，通常推荐的方法是应用ALP规则，就是将用户账户加入本地组，然后为本地组分配权限，这样，本地组的所有用户账户就会相应的访问权限。 * 第1阶段 网络工程师 《Windows Server 2003系统管理》课程内容 第1章 Windows Server 2003 概述 第2章 安装及配置Windows S