Guests组:包含Guest帐户,一般被用于在域中或计算机中没有固定帐户的用户临时访问域或计算机时使用的。该帐户默认情况下不允许对域或计算机中的设置和资源作更改。出于安全考虑Guest帐户在Windows Server 2003安装好之后是被禁用的,如果需要可以手动的启用。应该注意分配给该帐户的权限,该帐户也是黑客攻击的主要对象。
这些本地组中的本地用户只能访问本计算机的资源,一般不能访问网络上其他计算机上的资源,除非在那台计算机上有相同的用户名和密码。也就是说,如果一个用户需要访问多台计算机上的资源,则用户需要在每一台需要访问的计算机上拥有相应的本地用户帐户,并在登录某台计算机时由该计算机验证。这些本地用户帐户存放于创建该帐户的计算机上的本地SAM数据库中,这些帐户在存放该帐户的计算机上必须是唯一的。这样大大增加了管理员的工作量,以及网络的复杂程度,为了能够很方便的访问网络资源,Windows Server 2003引进了“域”和“活动目录”,在前面学习活动目录时,已经了解了活动目录的用处,并且通过安装活动目录创建了域。下面我们来学习域用户帐户的管理。
提示: 本地帐户都存储在%SystemRoot%\\system32\\config\\Sam数据库中,当忘记administrator密码时,可以想办法将这台计算机的SAM数据库删除,然后登录时,administrator的密码为空。 4.3域用户帐户的管理
域用户帐户是用户访问域的唯一凭证,因此在域中必须是唯一的。域用户帐户保存在AD(活动目录)数据库中,该数据库位于在DC(域控制器)上的\\%systemroot%\\NTDS文件夹下。为了保证帐户在域中的唯一性,每一个帐户都被Windows Server 2003签订一个唯一的SID(Security Identifier,安全识别符),该SID将是独一无二的,相当于现实生活中我们的身份证号码。SID将成为一个帐户的属性,不随帐户的修改、更名而改动,并且一旦帐户被删除则SID也将不复存在,即便重新创建一个一模一样的帐户其SID也不会和原有的SID一样,对于Windows Server 2003而言这就是两个不同的帐户。在Windows Server 2003中系统内实际上是利用SID来对应用户的权限的,因此只要SID不同则新建的帐户就不会继承原有的帐户的权限与组的隶属关系。与域用户帐户一样本地用户帐户也有一个唯一的SID来标识账户,并记录账户的权限和组的隶属关系。这一点需要特别注意。
当一台服务器一旦安装AD成为域控制器后,其本地组和本地帐户是被禁用的。
4.3.1创建域用户
创建域用户帐户是在活动目录数据库中添加记录,所以一般是在域控制器进行,当然也可以使用相应的管理工具或命令通过网络在其它计算机上操作。注意,创建域用户帐户需要有创建帐户的权限。
案例:创建域用户
创建域用户帐户,操作如下:
1. 从“开始”→“程序” →“管理工具” →单击“Active Directory用户和计算机”,出现如图4-20窗口。
图4-20Active Directory用户和计算机
也可以通过在“控制面板”中双击“管理工具”。在“管理工具”窗口中双击“Active Directory用户和计算机”图标,打开“Active Directory用户和计算机”窗口。
2. 在“Users”上单击右键,选择“新建” →单击“用户”如图4-20,弹出一个创建用户的新窗口,在该窗口中输入用户信息,如图4-21。
图4-20 创建域用户
3. 单击“下一步”,输入用户密码,如图4-21所示:
图4-21 设置密码
提示: 为了域用户帐户的安全,管理员在给每个用户设置初始化密码后,最好将“用户下次登录时须更改密码”选中。以便用户在第一次登录时更改自己的密码。在服务器提升为域控制器后,在Windows Server 2003中对域用户的密码复杂性要求比较高,如果不符合要求,就会弹出如图4-22所示的警告窗口,用户无法创建。
图4-22 密码要求
4. 在为用户设置好符合域控制器安全性密码设置条件的密码后单击“下一步” ,然后单击“完成”,至此,域用户帐户已经建立好了。
4.3.2设置域帐户属性
对于域用户帐户来说,它的属性设置比本地帐户复杂得多。以刚才创建的用户帐户为例,我们来学习设置域帐户属性。
1. 在帐户“许斌辉”上单击右键,选择弹出菜单上的“属性”,弹出新窗口,如图4-23所示:
图4-23 “常规”选项卡
也可以通过选择“许斌辉”这一用户后在工具栏单击“操作”,同样会出现“属性”选项。或者直接在“许斌辉”帐户上双击,同样可以弹出图4-23窗口。
2. 在“常规”选项卡中填入用户信息,如图4-23。从图4-23可以看出,域用户帐户的属性明显比本地用户复杂。
3. 在“地址”选项卡中添加用户的地址和邮编,在“电话”选项卡中填入的是用户的各种电话号码。
4. 在“帐户”选项卡中可以更改用户登录名、密码策略和帐户策略。如图4-24,在“帐户”选项卡中,可以控制用户的登录时间和只能登录哪些服务器或计算机。单击“登录时间”按钮,可在弹出如图4-25所示的窗口中设置登录时间。
图4-24 帐户选项
图4-25 登录时间
同时可以通过单击“登录到”按钮,控制用户只能登录哪些服务器或计算机。如图4-26
图4-26 登录计算机
提示 对于时间控制,如果已经登录用户在域中的工作的时间超过设定的“允许登录”时间,并不会断开与域的连接。但一旦用户注销后重新登录时,便不能登录了,“登录时间”只是限定可以登录到域中的时间。对于控制用户可以登录到哪些计算机时,在“计算机名”下的编辑框中只能输入计算机NetBIOS名,这里不能输入DNS名或IP地址。 5. 在“单位”选项卡中可以填入职务、部门、公司名称、直接下属等。如图4-27