4)用户帐号能够让用户以授权的身份登录到计算机和域中并访问其中资源。 5)组可包含用户、联系人、计算机。使用组可以: § 管理用户和计算机对 Active Directory 对象及其属性、网络共享位置、文件、目录、打印机列队等共享资源的访问。 有两种类型的组:§ 安全组 ;§ 通讯组
安全组用于将用户、计算机和其他组收集到可管理的单位中。为资源(文件共享、打印机等等)指派权限时,管理员应将那些权限指派给安全组而非个别用户。权限可一次分配给这个组,而不是多次分配给单独的用户。使用组而不是单独的用户可简化网络的维护和管理。 通讯组只能用作电子邮件的通讯组。通讯组无安全功能。
【实验步骤】
1、新建域用户帐户:用户可以在域内的任意机器上用此账户登陆。
在 Windows Server 2003中,一个用户帐号包含了用户的名称、密码、所属组、个人信息、通讯方式等信息,在添加一个用户帐号后,它被自动分配一个安全标识 SID ,这个标识是唯一的。在域中利用帐号的SID来决定用户的权限。
步骤1 打开“开始”→“管理工具”→“ Active Directry 用户和计算机”,单击 “Users” 容器会看到在安装 Active Directry 时建立的用户帐号。
步骤2 右键单击“Users”→新建→用户→在创建新对象对话框中输入用户的姓名、登录名,其中的下层登录名是指当用户从运行 WindowsNT/98 等以前版本的操作系统的计算机登录网络所使用的用户名。 如下图,单击“下一步”。
步骤3 在密码对话框中输入密码并选择“密码永不过期”选项。单击“下一步”。在完成对话框中会显示以上设置的信息,单击完成,这时用户会在管理器中看到新添加的用户 2、管理域用户账户。
右键单击“用户名”,选中“属性”,则打开“属性对话框”
- 6 -
A:输入用户的信息:在用户属性对话框中的“常规”标签中可以输入有关用户的描述、电话、电子邮件地址及个人主页地址等;在地址标签中输入用户的所在地区及通信地址;在电话标签中输入有关用户的家庭电话、移动电话、及相关备注信息。这样便于用户以后在活动目录中查找用户并获得相关信息。
B:设置用户登录时间:在“帐户”标签中单击“登录时间”按钮,出现如下图对话框,图中横轴每个方块代表一小时,纵轴每个方块代表一天,蓝色方块表示允许用户使用的时间,空白方块表示该时间不允许用户使用,默认为在所有时间均允许用户使用。在这个例子中用户设置允许用户在每星期的周一到周五的 7:00~19:00 之间使用。步骤:在用户的登录时段对话框中,选择允许登录的时间段单击“允许的登录”,当用户在允许登录的时间段内登录到网络中,并且一直持续到超过允许登录的时间时,用户可以继续连接使用,但不允许作新的连接,如果用户注销后,则无法再次登录。(如果强迫用户超过设置的登陆时间就被迫注销,则可以通过组策略去更改:在“计算机配置”-〉“Windows设置”-〉“安全设置”-〉“本地策略”-〉“安全选项”)。
- 7 -
C:限制用户由某台客户机登录。 在“帐户” 标签中单击“登录到”按钮出现如下图对话框所示,在默认情况下用户可以从所有的客户机登录,也可以设置让用户从某些工作站登录,设置时输入计算机的计算机名称(NetBIOS名),然后单击添加按钮即可。
D:设置帐户的有效期限。 在“帐户” 标签中的下方,用户可以选择帐户的使用期限,在默认情况下帐户是永久有效的,但对于临时员工来说,设置帐户的有效期限就非常有用,在有效期限到期后,该帐户被标记为失效
E:管理用户帐户。 在创建用户帐号后,可以根据需要对帐户进行密码重新设置、修改、重命名等操作。
重设密码:选择用户帐户→操作→重设密码,在密码设置对话框中输入新的密码,如果要求用户在下次登录时修改密码则选中\用户下次登录时须更改密码\选项
帐户的移动:选择用户帐号→操作→移动,在移动对话框中选择相应的容器或OU 重命名:选择帐户→操作→重命名,更改用户的名称,对内置的帐户也可以更改,(如更改系统管理员的帐户名称,这样有利于提高系统的安全性),在更改名称后,由于该帐户的安全标识 SID 并未被修改,所以,其帐户的属性、权限等设置均未发生改变。
删除帐户:选择帐户→操作→删除,用户可以一次删除一个或多个帐户,在删除帐户后如再添加一个相同名称的帐户,由于 SID 的不同,它无法继承已被删除帐户的属性和权限。
复制:可以复制这个账户,可以将此账户复制添加到任意的组内。 禁用:可以禁用此账户。
可以打开账户的主页,或者发送邮件等一些常规操作。
F:将账户加入组。在属性设置中选择“隶属于”选项卡,如下图1。点击添加按钮,在出现的对话框中单击“高级”按钮,再单击“立即查找”,搜索结果会显示域内所有的组,双击选中下面所要查找的组,再单击“确定”即可加入组了。
- 8 -
3、组的管理
用户可以利用将用户加入到组中的方式,简化网络的管理工作。当用户对组设置了权限后,则组中所有的用户就具有了该权限,这样避免用户对每一个用户设置权限,从而减轻了工作量。
A:创建组
(1)打开 “Active Directory 用户和计算机”,在控制台树中,双击域节点, 右键单击“Users”,指向“新建”,然后单击“组”,键入新组的名称。在默认情况下,用户输入的名称还将作为新组的 Windows 2000 以前版本的名称如下图。
- 9 -
(2) 单击所需的\组作用域\; 单击所需的\组类型\。注意:如果用户目前创建的组所属的域处于混合模式,则只能选择具有“域本地”或“全局”作用域的安全组。
B:指定用户隶属的组:在用户“属性”对话框中单击“隶属于”标签,可以查看到当前用户隶属于那些组,如要将用户添加到其它的组中则单击添加按钮,出现如下图所示的对话框,单击“高级”,再单击“立即查找”,在下方的窗体中选择需要添加的组(可以按住 Shift 或 Ctrl 键,利用鼠标选择多个组),然后单击添加按钮则所选的组会出现在下方的窗体中,单击确定。
- 10 -