[教学研究]第四章1 创建和管理用户.ppt

一、用户账户 用户账户：是用户访问网络资源的身份。 Windows2000网络三种类型用户账户：.域用户账户：在DC上建立，保存在域的AD数据库中，用于用户登录域的凭证，由域的DC来验证，用户账号具有唯一性，是访问域的唯一凭证。用户可以登录到域访问域中的资源。 保存用户账号的AD数据库?安全账号管理器SAM，位于DC上的\%systemroot%\ NTDS.DIT文件中.每个账号有一个唯一的安全识别符SID，SID独一无二。在Windows2000系统中实际是利用SID来对用户进行识别的 一、用户账户 .本地用户账户：只能建立在Windows 2000独立服务器、成员服务器或Windows 2000 Professional的计算机中。作用范围创建账号的本机，控制用户对本机资源访问。管理比较分散；建议在域环境中只使用域用户账号，本地用户账号使用于工作组模式中。存储在本机的SAM，由唯一的SID来识别。 一、用户账户 .内部用户账户： Administrator和Guest。不允许被删除，但是允许改名，并且Administrator不允许被屏蔽。 Administrator：在域和计算机中权限不受限制，用于对本地计算机和域进行管理。注：为了安全性，建议将该账号改名。 Guest：在域或者计算机中对于没有账号的临时访问用户使用。默认情况下不允许修改计算机的任何资源，并且默认是屏蔽的（可以手动启动）。 一、用户账户 用户登录名：在活动目录中，每一个用户都有一个用户登录名。在Win2000网络中，用户可以使用用户主名，也可以使用用户登录名来登录。在pre-windows 2000版本的客户机上登录，必须使用用户登录名。 用户主名：在活动目录中，每一个用户都有一个用户主名。用户主名包括两部分：用户主名前缀和后缀。如：user1@，这是用户主名。 其中的user1为用户登录名，也就是用户账户名。 使用用户主名的优点：当用户从一个域移动到另一个域时用户主名不变，因为这个名字在活动目录中是唯一的。另外，可以创建和用户邮件地址相同的用户主名，便于记忆用户的邮件地址 创建用户主名后缀 通过创建用户主名后缀，简化管理和用户登录过程。 创建方法：打开“活动目录域和信任关系”，右击“活动目录域和信任关系”，选择“属性”，打开“UPN后缀”标签 二、Windows 2000账号约定 账号的命名约定和账号的密码约定 1、账号命名约定 域用户账号的用户登录名在AD中必须唯一； 域用户账号的完全名称在创建该用户账号的域中必须唯一； 本地用户账号在创建该账号的计算机上必须唯一； 对于临时账号，要用特殊名称，以便快速标识； 用户账号的登录名最多20个大小写字符和数字，不能使用系统保留字符： “、”、/、\、[、]、:、；、|、=、，、+、*、？、、 二、Windows 2000账号约定 2、账号密码约定：验证账号合法性 避免使用有明显意义的字符或数字的组合，采用大小写和数字的无意义的混合； 规定最小的密码长度（最长达128位）； 密码由管理员控制还是账号拥有者控制； 定期更改密码，尽量不使用相同密码； 三、创建本地用户账号 可以在一台除了DC以外的基于Windows 2000的计算机上创建。建议在属于域的计算机上不要设置本地账号。 操作方法：控制面板?管理工具?计算机管理?本地用户和组?用户右击?新用户 四、创建基于域的用户账号 域用户账号作为AD的一个对象保存在DC上。 1、账号创建工具的安装： I386文件夹运行Adminpak.msi安装“Windows 2000 Administration Tools Setup Wizard” 2、创建域用户账号 域用户账号在DC上被创建，自动复制到域中的其他DC上。 四、创建基于域的用户账号 创建账户：控制面板?管理工具?Active Directory用户和计算机?选择域?Users右击?新建用户 Creating User Accounts Creating User Accounts Creating User Accounts Creating User Accounts Creating User Accounts 五、管理用户账户 包括：.禁用/启用用户账户.重设密码.移动用户账户：直接分配给对象的权限随用户一起移动；从前父对象继承来的权限不再适 用，代之以新对象继承的权限；可以同时移动多个用户.删除用户账户.重命名.解除锁定 管理用户账户 复制用户账户：通过复制现有用户账户来创建新的用户账户，可以把一部分属性信息复制过去，从而简化管理。 可以复制的属性：地址（街道地址除外）；账号（登录名称除外）；配置文件（配置文件路径和主文件夹除外）；机构（职务除外）；成员归属；