实验五 设置Windows 2000 server用户账户
【实验目的】
1、熟悉Windows 2000 网络中缺省的用户和用户组。
2、掌握在网络中为用户设置账户属性规则的方法。
3、掌握创建用户和用户组的方法。
【实验环境】
完成实验四,已安装Windows 2000 Server域控制器,已将计算机作为工作站加入到Windows 2000 Server域。
【实验步骤】
步骤一、查看Windows 2000上的用户和用户组
1、 Windows 2000 Server提供了三种用户账户类型:域用户账户、本地用户帐户以及内置用户帐户。
本地用户账户:在本机建立的用户账户称之为本地用户账户,该账户只允许用户使用本机资源的权限。当我们建立一个本地用户账户时, Windows 2000 会在本机的计算机安全数据库中建立该用户账户的资讯,但不会将该资讯复制到域控制器中。一旦本地用户建立后,本地计算机就会使用这个本机安全数据库来验证用户注册,如果符合就会允许用户登入。我们在局域网中给用户所创建的账户一般是本地用户账户。
域用户账户:域用户账户允许注册的用户登录到域上,并访问网络上任意位置的资源,因此域用户帐户的权限比本机用户帐户的广一些。
内置用户账户: 在安装Windows 2000 时,由系统自动创建的用户帐户我们称之为内置用户帐户,通常为系统管理员(Administrator)与来宾(Guest)。
Administrator:该账号为初次安装Windows 2000 Server系统的预设系统管理器,因此具有最高的权限。可管理Windows 2000 Server的资源和域的账户数据库。该账户可以更名但无法删除,也无法Disable。因此,为了安全考虑,我们进入系统后应将Administrator账户更名。
Guest:该账户是为没有专门设置账户的计算机访问域控制器时使用的一个临时账号,也就是未在系统中建立固定账号的人暂时使用。该账号也不能删除,但可以更名和Disable。在预设的情况下,Guest账户是停用的,如果需要使用账户可以自行启动该账户。但该账户的网络安全性很低。
1)启动域控制器Server,以管理员(Administrator)身份登录到XXX域中,单击[开始]—[程序]—[管理工具]---[Active Directory用户和计算机]选项,屏幕显示如图5-1所示的窗口画面。
![](https://wkrtcs.bdimg.com/rtcs/image?w=406&md5sum=fa127c8c4a658cd94b66d9f44650cc44&sign=9aa6d5c284&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=3&ipr={"t":"img","w":"406","h":"257.33333333333","dataType":"png","c":"word/media/image1.png","imgOriW":633,"imgOriH":401})
图5-1
2) 双击上图右方窗口内的[Users]项目,屏幕显示如图5-2所示的画面,我们可以看到域用户的名称。
![](https://wkrtcs.bdimg.com/rtcs/image?w=366&md5sum=fa127c8c4a658cd94b66d9f44650cc44&sign=9aa6d5c284&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=3&ipr={"t":"img","w":"366","h":"250.66666666667","dataType":"png","c":"word/media/image2.png","imgOriW":632,"imgOriH":433})
图5-2
2、当安装完Windows 2000 Server后,系统会建立一些用户组。通常这些组为区分系统管理工作的权限所设立,不同的组有不同的资源存取权限。在Windows 2000 Server中有以下几种类型的内置组:
1)在[Active Directory用户及计算机]的管理工具中点选树状目录下的[Builtin]项目就可以看到内建的组,如图共有9种内置用户组,以下我们对内置用户组进行说明:
Account Operators:该组的成员具有操作用户管理员所属域的账户和组,并可设定账户的最高权限。但是该组成员无法修改Administrators与任何的Operators组。
Administrators:该组的成员可以完全不受限制地存取计算机或域的资源,可说是最具权力的一组。在预设的情况下,Administrator账户与Domain Admins通用组都是该组的成员。
Backup Operators:该组的成员可使用Windows备份工具来进行备份或还原的工作,但只能因为备份或还原文件的因素才可以覆盖完全性限制。
Guests:该组的成员只能享有管理员授与的权限以及存取指定权限的资源。预设的情况下Guest账户与Domain Guest通用组都是该组的成员。
Printer Operators:该组的成员可以管理网络打印机,包括建立、管理以及删除网络打印机。
Replicator:该组的成员支持域中的文件复写,可启动目录复制程序进行目录复制。
Server Operators:该组的成员可以管理域服务器,包括建立、管理、删除任何服务器的共享目录、管理网络打印机,备份任何服务器的文件,格式化服务器硬盘,锁定服务器以及变更服务器的系统时间等权限。
Users:该组的成员会被防止制造意外或有意的变更系统,因此他们只可以执行得到授权的应用程序,而且不可执行大部分的继承应用系统。
2)通用组:
在[USERS]文件夹中的通用组包括:Cert Publishers、Domain Admins、 Domain Computers、Domain Controllers、Domain Guest、Domain Users、Enterprise Admins以及Group Policy Creator Owners。 Windows 2000 会建立内建的通用组来组织不同状态的用户账户(一般用户、Administrators以及Guest),以下说明一般内建通用组的预设成员:
Domain Admins:该组可以代表具有操作域权利的用户,在预设的情况下, Domain Admins会属于Administrators域本地组,因此该组的成员可以在域中执行管理工作。 Windows 2000 Server不会将任何所建立的账户放到Domain Admins组中,只有内置的Administrators帐户是其唯一的成员。因此,如果希望某一用户成为域系统管理器,就要将该用户帐户加至Domain Admins组中,而不要直接加至Administrators组中。
Domain Guests:所有域来宾, Windows 2000 会自动将Guest用户加至该组,并将该组加至内置组Guest组中。
Domain Users:所有域的成员,在预设的情况下,任何所建立的用户账户都会是Domain Users组的成员;而任何所建立的计算机帐户都会是Domain Computers组的成员。因此,如果想让所有的账户都具有某种资源存取权限,则可以将该权限指定给Domain Users组。在预设情况下Domain Users是内置组 Users组的成员。
3)本地组:
当我们将Windows 2000 Server安装成独立服务器或成员服务器时,他们都拥有内建的本地组,内建的本地组提供了在单一的计算机上执行系统工作的权利,在Windows 2000 Server的独立服务器或成员服务器中,请点选[开始]---[管理工具]---[计算机管理]选项,在屏幕出现的窗口中点选[系统工具]---展开[本地用户和组]项目---[组]项目,就可以看到内建的本地组。
步骤二、创建和管理账户
为了能让用户顺利登入网域,必须创建一些使用账户。创建账户可以通过“添加”或“复制”的方式进行。
1、创建账户:
1)首先选择[开始]—程序]---[管理工具]---[Active Directory]中点选[User],按鼠标右键弹出式菜单的[添加]---[用户]选项,或点选主功能表的[操作]---[新建]---[用户]选项。
2)点选该选项之后系统会弹出一新用户的对话框,依照提示输入用户的基本资料,用户名称的输入可由任意的英文字母与数字组成,包括空白字符。如图5-3所示。完成后按[下一步]。
![](https://wkrtcs.bdimg.com/rtcs/image?w=346.66666666667&md5sum=fa127c8c4a658cd94b66d9f44650cc44&sign=9aa6d5c284&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=3&ipr={"t":"img","w":"346.66666666667","h":"266","dataType":"png","c":"word/media/image3.png","imgOriW":585,"imgOriH":449})
图5-3
3)此时出现通行密码的对话框,如图5-4所示,在密码对话框中输入密码或不填写密码并选择[用户下次登录时须更改密码]选项,以便用户在第一次登录时修改密码。
![](https://wkrtcs.bdimg.com/rtcs/image?w=432&md5sum=fa127c8c4a658cd94b66d9f44650cc44&sign=9aa6d5c284&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=3&ipr={"t":"img","w":"432","h":"279.33333333333","dataType":"png","c":"word/media/image4.png","imgOriW":586,"imgOriH":451})
图5-4
4)在完成对话框中的设置后,单击完成。这时就会在管理器中看到新添加的用户。
2、管理用户账户:
在创建用户账户后,可以根据需要对账户进行设置、修改、删除等操作。
1)设置用户登录时间
首先双击欲设定的账户,此时会出现账户内容的对话框,点选[账户]标签后,出现如图5-5所示画面。
![](https://wkrtcs.bdimg.com/rtcs/image?w=333.33333333333&md5sum=fa127c8c4a658cd94b66d9f44650cc44&sign=9aa6d5c284&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=3&ipr={"t":"img","w":"333.33333333333","h":"350.66666666667","dataType":"png","c":"word/media/image5.png","imgOriW":564,"imgOriH":562})
图5-5
然后单击[登录时间]按钮,出现如图5-6所示的对话框,图中横轴每个方块代表一小时,纵轴每个方块代表一天,蓝色方块表示允许用户使用的时间,空白方块表示该时间不允许用户使用,默认为在所有时间均允许用户使用。
![](https://wkrtcs.bdimg.com/rtcs/image?w=404&md5sum=fa127c8c4a658cd94b66d9f44650cc44&sign=9aa6d5c284&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=3&ipr={"t":"img","w":"404","h":"209.33333333333","dataType":"png","c":"word/media/image6.png","imgOriW":677,"imgOriH":367})
图5-6
2) 限制用户登录的客户机
在账户中单击[登录到]按钮出现如图5-7所是画面,在默认情况下用户可以从所有的客户机登录,也可以设置让用户从某些工作站登录,设置时输入计算机名称,然后单击添加按钮,这些设置对于非Windows NT/2000工作站是无效的,例如用户可以不受限制的从任何一台DOS、Windows9X客户机登录。
![](https://wkrtcs.bdimg.com/rtcs/image?w=378.66666666667&md5sum=fa127c8c4a658cd94b66d9f44650cc44&sign=9aa6d5c284&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=3&ipr={"t":"img","w":"378.66666666667","h":"374","dataType":"png","c":"word/media/image7.png","imgOriW":496,"imgOriH":449})
图5-7
3)设置账户的有效期限
在账户的下方,用户可以选择账户的使用期限,在默认的情况下账户是永久有效的,但对于临时用户来说,设置账户的有效期限就非常有用,该账户被标记为失效,默认为一个月。
4) 设置账户属于的组
点选[账户]上的[成员属于]标签,显示如图5-8所示画面,在这个标签下,可以规划该用户所属于的组。在Windows 2000 Server的内置组中各有各的权限,如果想让该用户具备某一权限,则可以加入相对应的组。
![](https://wkrtcs.bdimg.com/rtcs/image?w=286&md5sum=fa127c8c4a658cd94b66d9f44650cc44&sign=9aa6d5c284&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=3&ipr={"t":"img","w":"286","h":"311.33333333333","dataType":"png","c":"word/media/image8.png","imgOriW":562,"imgOriH":562})
图5-8
例如,让该账户登录的用户具有维护域账户的权限,则要将该账户添加到“Account Operators”组当中。请按[添加]按钮,就会出现选择组的画面,点选要添加的组名称后按[添加]按钮或双击改组名称,此时该组的名称就会加至下方的对话框之中,然后按[确定]按钮回到上一画面,可以发现加入的用户组。
3、建立了用户账户后,除了基本属性设置外,可以通过一些管理的方法来简化添加、修改账户、重新设定密码或停止/启动账户。
1)复制账户
如果要建立一批属性设定相同的用户账户时,为节省重复输入的时间,可以使用复制的方法。首先要建立一个账户来当样板,然后使用该样板来复制其他的用户账户。复制后的账户要修改注册名称、密码以及基本资料。复制账户时,点选“原账户”鼠标右键弹出式菜单的[复制]选项,此时就会出现与添加账户时相同的画面,因此也就如同添加账户一般。
2)停用账户:暂时停止该账户的使用,停用后的用户会有一个红色标记。
3)启动账户:该选项要在停用账户上点选了才会有效,启动后原来停用的标记就会消失。
4)重设密码:重新设定用户的密码,在用户忘记密码后特别有用,点选该选项后就可以重新设定。
5)移动账户:将该账户移至另外的文件夹中,点选后会出现选择对象容器的画面,选择要移动到的容器,按[确定]按钮就可以了。
6)删除账户:当我们不再需要该账户时可使用本功能。点选该选项时会出现一确定对话框,如果确定删除则会将一切设定都永久删除。
步骤三、创建和管理用户组
一般而言,管理用户的方法是通过账户,但当有很多账户的内容性质接近,如果一一对其操作就显得相当麻烦,也没有效率。因此可以通过用户的组概念来管理整批用户,其方法是添加一用户组,然后将性质相近的用户加入该组中。如果改变该组的属性,则所属的成员也会跟着改变。因此可以节省很多时间,也易于管理。
1、添加用户组
1)打开[Active Directory用户和计算机]
2)在控制台树中,双击域节点。
3)选择要添加组的文件夹单击右键,点选[新建]---[组]。
4)在出现的新增组的对话框中,键入新组的名称。如图5-9所示。
5)选择所需的[组作用域]和[组类型]。
6)单击[确定],用户组就创建完成了。
![](https://wkrtcs.bdimg.com/rtcs/image?w=344&md5sum=fa127c8c4a658cd94b66d9f44650cc44&sign=9aa6d5c284&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=3&ipr={"t":"img","w":"344","h":"257.33333333333","dataType":"png","c":"word/media/image9.png","imgOriW":585,"imgOriH":437})
图5-9
2、管理用户组
1)添加用户组后,点选其鼠标右键弹出式菜单中的[属性]选项或双击该用户组来设定它的属性,如图5-10所示,可以为组加入组的成员,组成员由用户账户和其他的组所组成。
![](https://wkrtcs.bdimg.com/rtcs/image?w=284&md5sum=fa127c8c4a658cd94b66d9f44650cc44&sign=9aa6d5c284&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=3&ipr={"t":"img","w":"284","h":"275.33333333333","dataType":"png","c":"word/media/image10.png","imgOriW":531,"imgOriH":548})
图5-10
2、删除组
1)打开[Active Directory用户和计算机]
2)在控制台树中,双击域节点。
3)单击包含该组的文件夹,选择该组单击右键,然后选择[删除]。
本周上理论课,记得带上次的测试题。
