第9章域帐户的管理分解.ppt

主讲教师:谭鸣钟 第9章 域帐户的管理 主要知识点： 一、创建和管理域用帐户 （了解） 二、活动目录物理结构 （了解） 三、组的类型和作用范围 （掌握） 四、用户配置文件 （掌握） 一　域用户和计算机帐户 1、用户帐户和计算机帐户概述 （1） 活动目录用户帐户 用户帐户是用来记录用户的用户名和密码、隶属的组、可以访问的网络资源，以及用户的个人文件和设置。每个用户都应在域控制器中有一个用户帐户，才能访问服务器，使用网络上的资源。用户帐户由一个“用户名”和一个“密码”来标识，二者都需要用户在登录时键入。活动目录用户帐户使用户以验证和授权访问域资源的身份登录到计算机和域。而且，用户帐户也可作为某些应用程序的服务帐户。 Windows Server 2003 提供可用于登录到Windows Server 2003 计算机的内置用户帐户。这些内置帐户包括：管理员帐户和客户帐户。内置帐户是默认的用户帐户，它用于使用户登录到本地计算机和访问其上的资源。这些主要是为初始登录和本地计算机配置而设计的。每个内置帐户都有不同的权利和权限组合。管理员帐户具有最广泛的权利和权限，而客户帐户则只有有限的权利和权限。 如果网络管理员未修改或禁用内置帐户的权利和权限，则任何使用管理员或客户身份登录到网络的用户或服务均可以使用它们。如果管理员希望获得用户验证和授权的安全性，则应为每个用户创建独立的用户帐户。为用户创建了独立的用户帐户后，用户需要使用活动目录的用户和计算机加入到网络中。之后，网络管理员可将每个用户帐户（包括管理员和客户帐户）添加到Window 2003 组中以控制指定给帐户的权利和权限。 （2） 计算机帐户 每个加入域的Windows Server 2003 和Windows NT 计算机都具有计算机帐户，否则无法进行域连接，实现域资源的访问。与用户帐户类似，计算机帐户也提供验证和审核计算机登录到网络以及访问域资源的方法。不过，一个计算机系统要加入到域中，只能使用一个计算机帐户，而一个用户可拥有多个用户帐户，且可在不同的计算机（指已经连接到域中的计算机）上使用自己的用户帐户进行网络登录。 2、创建用户和计算机帐户 当有新的用户需使用网络上的资源时，作为管理员的用户必须在域控制器中为其添加一个相应的用户帐户，否则该用户无法访问域中的资源。另一方面，当有新的客户计算机要加入到域中时，作为管理员的用户必须在域控制器中为其创建一个计算机帐户，以便它有资格成为域成员。计算机帐户的创建非常简单，这里不再细述，下面着重介绍用户帐户的创建步骤： 第1步 在【Active Directory用户和计算机】窗口的 控制台目录树中，单击之后再双击域节点， 展开该节点。 第2步 如果要创建用户帐户，右键单击要添加用户 的组织单元或容器，从弹出的快捷菜单中选 择【新建】→【用户】命令；如果要创建计 算机帐户，右键单击要添加计算机的组织单 元或容器，从弹出的快捷菜单中选择【新 建】→【计算机】命令。这里选择【新建】 →【用户】命令，打开【创建新对象用户】 对话框之一，如下图所示。 第3步 在【名】和【姓】文本框中分别输入姓和 名，并在【用户登录名】文本框中输入用户 登录时使用的名字。如果用户需要在 Windows NT，Windows 98或者Windows 95 计算机上以不同的登录名登录时，可在【用 户登录名（Windows 2000 以前版本）】文本 框中输入不同的登录名。 第4步 单击【下一步】按钮，打开【新建对象－用 户】对话框之二，如后图所示。 第5步 在【密码】和【确认密码】文本框中输入要 为用户设置的密码。如果希望用户下次登录 时更改密码，可启用【用户下次登录时须更 改密码】复选框，否则启用【用户不能更改 密码】复选框。如果希望密码永远不过期， 可启用【密码永不过期】复选框。如果暂不 启用该用户帐户，可启用【帐户已禁用】复 选框。 第6步 单击【完成】按钮即可完成创建。 对于Active Directory用户，可以配置各种属性，要访问Active Directory用户的属性对话框，需打开【A