网络管理员完全手册Word格式文档下载.docx
- 文档编号:18835438
- 上传时间:2023-01-01
- 格式:DOCX
- 页数:100
- 大小:3.13MB
网络管理员完全手册Word格式文档下载.docx
《网络管理员完全手册Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《网络管理员完全手册Word格式文档下载.docx(100页珍藏版)》请在冰豆网上搜索。
密码和确认密码:
用户账户登录时需要使用的密码。
用户下次登录时须更改密码:
如果选中此复选框,用户在使用新账户首次登录时,将被提示更改密码,如果采用默认设置,则选中此复选框。
当去除“用户下次登录时须更改密码”前的勾选后,“用户不能更改密码”和“密码永不过期”这两个选项将由灰变实。
图4-3
图4-4
单击“创建”按钮,成功创建之后又将返回创建新用户的对话框。
单击“关闭”按钮,关闭该对话框,然后在计算机管理控制台中将能够看到新创建的用户账户,如图4-5所示。
注销Administrator,使用新创建的用户账户“xubinhui”登录,登录时将弹出更改密码的提示信息对话框,如图4-6所示。
图4-5
图4-6
图4-7
单击“确定”按钮,将弹出“更改密码”的对话框。
在相应的文本框内输入新密码,然后单击“确定”按钮,将弹出密码更改成功的信息提示框,如图4-7所示。
单击“确定”按钮后,首次登录成功。
如果在创建用户账户时,选中了“用户下次登录时须更改密码”复选框,只有首次登录时需要更改密码,以后则正常登录。
4.1.2
设置本地账户属性注销xubinhui,以Administrator账户登录WindowsServer2003,参照上面的步骤打开如图4-2所示的计算机管理控制台,在用户账户“xubinhui”上右击,在弹出的菜单中根据实际需要选择菜单中的命令对账户进行操作。
选择“设置密码”命令可以更改当前用户账户的密码。
选择“删除”命令或“重命名”命令可以删除当前用户账户或更改当前用户账户的名称。
选择“属性”命令,如图4-8所示。
将会弹出该账户的属性对话框,如图4-9所示。
图4-8
图4-9
”标志,如图4-10所示。
⊗根据要求设置xubinhui账户的“常规”属性,例如停用xubinhui账户,则在“常规”选项卡中选中“账户已禁用”复选框,然后单击“确定”按钮返回计算机管理控制台,停用的账户以红色的“
图4-10
至于本地账户的其他属性选项卡,将在后面的章节中加以介绍。
4.2
本地组的管理
在WindowsServer2003中组的概念就相当于公司中部门的概念,其实在WindowsServer2003中的组常常就对应着公司的部门,也就是说组的名称常常就是公司部门的名称。
组内的账户就是部门的成员账户。
组的出现,极大地方便了WindowsServer2003的账户管理和后面将要学习的资源访问权限的设置。
那么,在WindowsServer2003中如何管理本地组?
以及都有哪些内置的本地组?
将在下面详细介绍。
首先来介绍组的创建和成员的添加。
案例:
创建本地组并将成员添加本地组。
在如图4-2所示的计算机管理控制台中右击“组”,选择“新建组”命令,如图4-11所示。
将弹出“新建组”的对话框,如图4-12所示。
根据实际需要在相应的文本框内输入内容,例如在“组名”文本框输入“技术部”,在描述文本框输入“技术部”,然后单击“添加”按钮,将弹出如图4-13所示的选择用户或组的对话框。
图4-11
图4-12
图4-13
根据实际需要输入要添加到技术部组中的用户或其他组,例如输入用户“xubinhui”然后单击“确定”按钮返回。
这时,用户“xubinhui”将出现在下面的文本框中。
单击“确定”按钮,组的创建和设置完成。
也可以在账户“属性”设置中将账户添加到组,通过账户属性的“隶属于”选项卡操作。
在选定的账户上右击,选择“属性”命令,在弹出的对话框上打开“隶属于”选项卡,如图4-14所示。
单击“添加”按钮出现如图4-15所示的对话框,在此可以直接输入需要添加的组的名称,如果记不清楚组的名称,可以单击“高级”按钮,在弹出的对话框中实行查找,如图4-16所示。
单击“立即查找”按钮,将会出现本计算机所有的组的名称。
图4-14
图4-15
选择想要加入的组,如图4-17所示。
单击“确定”按钮,返回“选择组”对话框。
加入的组将出现在“选择组”对话框中,如图4-18所示。
然后单击“确定”按钮,返回用户属性对话框,如图4-19所示。
单击“确定”按钮,完成组的添加。
图4-16
图4-17
图4-18
图4-19
在WindowsServer2003中有如下几个内置组:
Administrators组、Users组、PowerUsers组、BackupOperators组、Guests组。
属于Administrators组的用户,都具备系统管理员的权限,拥有对这台计算机最大的控制权,内置的系统管理员Administrator就是此本地组的成员,而且无法将其从此组中删除。
Users组权限受到很大的限制,其所能执行的任务和能够访问的资源,根据指派给他的权利而定。
所有创建的本地账户都自动属于此组。
PowerUsers组内的用户可以添加、删除、更改本地用户账户;
建立、管理、删除本地计算机内的共享文件夹与打印机。
BackupOperators组的成员可以利用“WindowsServer2003备份”程序来备份与还原计算机内的文件和数据。
Guests组包含Guest账户,一般被用于在域中或计算机中没有固定账户的用户临时访问域或计算机时使用的。
该账户默认情况下不允许对域或计算机中的设置和资源做更改。
出于安全考虑Guest账户在WindowsServer2003安装好之后是被禁用的,如果需要可以手动地启用。
应该注意分配给该账户的权限,该账户也是黑客攻击的主要对象。
这些本地组中的本地用户只能访问本计算机的资源,一般不能访问网络上其他计算机上的资源,除非在那台计算机上有相同的用户名和密码。
也就是说,如果一个用户需要访问多台计算机上的资源,则用户需要在每一台需要访问的计算机上拥有相应的本地用户账户,并在登录某台计算机时由该计算机验证。
这些本地用户账户存放于创建该账户的计算机上的本地SAM数据库中,这些账户在存放该账户的计算机上必须是唯一的。
这样大大增加了管理员的工作量,以及网络的复杂程度,为了能够很方便地访问网络资源,WindowsServer2003引进了“域”和“活动目录”,在前面学习活动目录时,已经了解了活动目录的用处,并且通过安装活动目录创建了域。
下面来学习域用户账户的管理。
本地账户都存储在%SystemRoot%\system32\config\Sam数据库中,当忘记administrator密码时,可以将这台计算机的SAM数据库删除,然后登录时,administrator的密码为空。
4.3域用户账户的管理
域用户账户是用户访问域的唯一凭证,因此在域中必须是唯一的。
域用户账户保存在AD(活动目录)数据库中,该数据库位于在DC(域控制器)上的\%systemroot%\NTDS文件夹下。
为了保证账户在域中的唯一性,每一个账户都被WindowsServer2003签订一个唯一的SID(SecurityIdentifier,安全识别符)。
SID将成为一个账户的属性,不随账户的修改、更名而改动,并且一旦账户被删除,则SID也将不复存在,即便重新创建一个一模一样的账户,其SID也不会和原有的SID一样,对于WindowsServer2003而言,这就是两个不同的账户。
在WindowsServer2003中系统实际上是利用SID来对应用户权限的,因此只要SID不同,新建的账户就不会继承原有的账户的权限与组的隶属关系。
与域用户账户一样,本地用户账户也有一个唯一的SID来标志账户,并记录账户的权限和组的隶属关系。
这一点需要特别注意。
当一台服务器一旦安装AD成为域控制器后,其本地组和本地账户是被禁用的
4.3.1
创建域用户
创建域用户账户是在活动目录数据库中添加记录,所以一般是在域控制器中进行的,当然也可以使用相应的管理工具或命令通过网络在其他计算机上操作,但都需要有创建账户的权限。
创建域用户。
创建域用户账户,操作如下。
执行“开始”→“程序”→“管理工具”→“ActiveDirectory用户和计算机”命令,弹出如图4-20所示窗口。
也可以通过在“控制面板”中双击“管理工具”,然后在“管理工具”窗口中双击“ActiveDirectory用户和计算机”图标,打开“ActiveDirectory用户和计算机”窗口。
在“Users”上右击,执行“新建”→“用户”命令,如图4-20所示。
弹出一个创建用户的对话框,在该对话框中输入用户信息,如图4-21所示。
图4-20
图4-21
单击“下一步”按钮,输入用户密码,如图4-22所示。
为了域用户账户的安全,管理员在给每个用户设置初始化密码后,最好将“用户下次登录时须更改密码”复选框选中。
以便用户在第一次登录时更改自己的密码。
在服务器提升为域控制器后,WindowsServer2003对域用户的密码复杂性要求比较高,如果不符合要求,就会弹出如图4-23所示的警告提示框,用户无法创建。
图4-22
图4-23
在为用户设置好符合域控制器安全性密码设置条件的密码后,单击“下一步”按钮,然后单击“完成”按钮,至此,域用户账户已经建立好了。
4.3.2
设置域账户属性
对于域用户账户来说,它的属性设置比本地账户复杂得多。
以刚才创建的用户账户为例,来学习设置域账户属性。
在账户“许斌辉”上右击,选择“属性”命令,弹出新对话框,如图4-24所示。
也可以通过选择“许斌辉”这一用户后在工具栏上打开“操作”菜单,同样会出现“属性”命令。
或者直接在“许斌辉”账户上双击,同样可以弹出如图4-24所示对话框。
在“常规”选项卡中输入用户信息,如图4-24所示。
从图4-24可以看出,域用户账户的属性明显比本地用户复杂。
在“地址”选项卡中输入用户的地址和邮编,在“电话”选项卡中输入用户的各种电话号码。
图4-24
图4-25
在“账户”选项卡中可以更改用户登录名、密码策略和账户策略,如图4-25所示。
在“账户”选项卡中,可以控制用户的登录时间和只能登录哪些服务器或计算机。
单击“登录时间”按钮,可在如图4-26所示的对话框中设置登录时间。
同时可以通过单击“登录到”按钮,控制用户只能登录哪些服务器或计算机,如图4-27所示。
图4-26
图4-27
对于时间控制,如果已登录用户在域中的工作时间超过设定的“允许登录”时间,并不会断开与域的连接。
但用户注销后重新登录时,便不能登录了,“登录时间”只是限定可以登录到域中的时间。
对于控制用户可以登录到哪些计算机时,在“计算机名”下的文本框中只能输入计算机NetBIOS名,不能输入DNS名或IP地址。
在“单位”选项卡中可以输入职务、部门、公司名称、直接下属等,如图4-28所示。
在“隶属于”选项卡中,单击“添加”按钮,可以将该用户添加到组,如图4-29所示。
用户属性对话框中的其他选项卡,将在后面的章节中加以介绍。
图4-28
图4-29
4.4
域模式中的组管理4.4.1
域模式中的组类型
在域中有两种组的类型:
安全组和分发组。
1.安全组(SecurityGroups)
安全组顾名思义即实现与安全性有关的工作和功能,是属于WindowsServer2003的安全主体。
可以通过给安全组赋予访问资源的权限来限制安全组的成员对域中资源的访问。
每个安全组都会有一个唯一的SID,在AD中不会重复。
安全组也具有分发组的功能,可以组织属于该安全组的成员的E-MAIL地址以形成E-MAIL列表。
2.分发组(DistributionGroups)
分发组不是WindowsServer2003的安全实体,它没有SID,因此也不能被赋予访问资源的权限。
分发组就其本质而言是一个用户账户的列表,即分发组可以组织其成员的E-MAIL地址成为E-MAIL列表。
利用这个特性使基于AD的应用程序就可以直接利用分发组来发E-MAIL给多个用户以及实现其他和E-MAIL列表相关的功能(例如在MicrosoftExchange2003Server中使用)。
如果应用程序想使用分发组,则其必须支持AD。
不支持AD的应用程序将不能使用分发组的所有功能。
4.4.2
组的作用域组的作用域决定了组的作用范围、组中可以拥有的成员以及组之间的嵌套关系。
在WindowsServer2003域模式下组有3种组作用域:
全局组作用域、本地组作用域和通用组作用域。
在详细了解全局组作用域、本地组作用域和通用组作用域之前,先来了解一下WindowsServer2003下域功能级别。
WindowsServer2003下域功能级别一共有4种,它们是Windows2000混合(默认)、Windows2000本机、WindowsServer2003临时和WindowsServer2003。
默认情况下,域以Windows2000混合功能级别操作。
如表4-1所示,列出了域功能级别以及相应的所支持的域控制器。
表4-1
域功能级别
支持的域控制器
Windows2000混合(默认)
WindowsNT4.0
Windows2000
WindowsServer2003家族
Windows2000本机
WindowsServer2003家族
WindowsServer2003临时
WindowsServer2003
一旦提升域功能级别之后,就不能再将运行旧版操作系统的域控制器引入该域中。
例如,如果将域功能级别提升至WindowsServer2003,则不能再将运行Windows2000Server的域控制器添加到该域中。
如果想提升域功能级别,则可以按以下步骤进行操作。
打开“ActiveDirectory用户和计算机”窗口,在域名上右击,选择“提升域功能级别”命令,如图4-30所示。
在“提升域功能级别”对话框中选择一个可用的域功能级别,如图4-31所示。
单击“提升”按钮,在弹出的警告信息提示框中单击“确定”按钮,如图4-32所示,即可提升域功能级别。
图4-30
作用域组(不论是安全组还是通讯组)都有一个作用域,用来确定在域树或林中该组的应用范围。
有三类不同的组作用域:
通用、全局和本地域。
图4-31
图4-32
通用组的成员可包括域树或林中任何域中的其他组和账户,而且可在该域树或林中的任何域中指派权限。
全局组的成员可包括只在其中定义该组的域中的其他组和账户,而且可在林中的任何域中指派权限。
本地域组的成员可包括WindowsServer2003、Windows2000或WindowsNT域中的其他组和账户,而且只能在域内指派权限。
表4-2总结了不同组作用域的行为。
表4-2
通用作用域
全局作用域
本地域作用域
当域功能级别被设置为Windows2000本机或WindowsServer2003时,通用组的成员可包括来自任何域的账户、全局组和通用组
当域功能级别被设置为Windows2000本机或WindowsServer2003时,全局组的成员可包括来自相同域的账户或全局组
当域功能级别被设置为Windows2000本机或WindowsServer2003时,本地域组的成员可包括来自任何域的账户、全局组或通用组,以及来自相同域的本地域组
当域功能级别被设置为Windows2000混合时,不能创建具有通用组的安全组
当域功能级别被设置为Windows2000混合时,全局组的成员可包括来自相同域的账户
当域功能级别被设置为Windows2000本机或WindowsServer2003时,本地域组的成员可包括来自任何域的账户或全局组
当域功能级别被设置为Windows2000本机或WindowsServer2003时,组可被添加到其他组并在任何域中指派权限
组可被添加到其他组并且在任何域中指派权限
组可被添加到其他本地域组并且仅在相同域中指派权限
组可转换为本地域作用域。
只要组中没有其他通用组作为其成员,就可以转换为全局作用域
只要组不是具有全局作用域的任何其他组的成员,就可以转换为通用作用域
只要组不把具有本地域作用域的其他组作为其成员,就可转换为通用作用域
为了方便地控制资源的访问,WindowsServer2003建议采用AGDLP策略,如图4-33所示。
A(Accounts)指的是在WindowsServer2003的域用户账户。
G(GlobalGroup)指的是将上述的用户账户添加到某个全局组中。
DL(DomainLocalGroup)指的是将全局组添加到某个域本地组中,可以使用内置的域本地组,也可以创建一个新的域本地组来接纳全局组的成员。
P(Permission)指的是最后将访问资源的权限赋予相应的域本地组,则域本地组中的成员就可以在权限的控制下访问资源了。
图4-33
AGDLP策略很好地控制了资源访问的权限,极大方便了网络管理员的工作。
对于AGDLP策略的应用,将在后面的章节中详细介绍。
4.4.3
创建域组案例:
创建域组。
首先创建一个全局组。
在“Users”上右击,执行“新建”→“组”命令,如图4-19所示。
在弹出的创建用户的对话框中输入用户信息,设置组作用域为全局组,如图4-34所示。
将技术部的用户添加到创建的组中。
在创建的“技术部”组上右击,选择“属性”命令,弹出如图4-35所示的对话框。
打开“成员”选项卡,如图4-36所示。
单击“添加”按钮。
在弹出的“选择用户、联系人或计算机”对话框中输入用户名称(如果需要添加多个用户,则用户之间用分号隔开),然后单击“确定”按钮,用户就添加到全局组中,如图4-37所示。
图4-34
图4-35
图4-36
图4-37
如果忘记需要添加的用户名称,可以单击“高级”按钮,在弹出的对话框中单击“立即查找”按钮,如图4-38所示。
计算机将域中所有的用户、联系人或计算机都显示在对话框中,从中选择需要添加的用户,单击“确定”按钮,如图4-39所示。
图4-38
图4-39
在返回的对话框中,已经选择的用户出现在其中,单击“确定”按钮,如图4-40所示。
返回“成员”选项卡,如图4-41所示。
单击“确定”按钮,用户添加完毕。
图4-40
图4-41
4.4.4
采用复制创建新的域账号
采用复制的方式创建新的域用户,默认情况下,只有最常用的属性(比如登录时间、工作站限制、账户过期限制、隶属于哪个组等)才传递给复制的用户。
采用复制创建新的域账号。
打开“ActiveDirectory用户和计算机”窗口,右击要复制的用户账户,然后选择“复制”命令,如图4-42所示。
在弹出的“复制对象-用户”对话框中输入新建的用户信息,如图4-43所示。
然后跟新建用户一样,设置用户密码,完成用户的复制。
图4-42
图4-43
然后,可以打开通过复制创建的用户的“属性”窗口,打开“隶属于”选项卡,可以清楚地看到原来被复制的这个用户所隶属于的组出现在这个新建的用户属性中,如图4-44所示。
图4-44
4.4组织单位简介包含在域中的特别有用的目录对象类型就是组织单位。
组织单位是可将用户、组、计算机和其他组织单位放入其中的ActiveDirectory容器。
它不能容纳来自其他域的对象。
组织单位中可包含其他的组织单位。
可使用组织单位创建可缩放到任意规模的管理模型。
正因为如此,一般在企业中大量使用组织单元来和企业的职能部门关联,然后将部门中的员工、小组、计算机以及其他设备统一在组织单位中管理。
用户可拥有对域中所有组织单位或对单个组织单位的管理权限。
组织单位的管理员不需要具有域中任何其他组织单位的管理权限。
组织单位对于管理委派和组策略的设置非常重要,这一点将在后面的章节中详细介绍。
4.5.1
创建组织单位
打开“ActiveDirectory用户和计算机”窗口,在需要创建组织单位的域中右击,执行“新建”→“组织单位”命令,如图4-45所示。
弹出“新建对象-组织单位”对话框,如图4-46所示。
输入想要创建的组织单位的名称,单击“确定”按钮。
完成组织单位的创建。
图4-45
图4-46
4.5.2
向组织单位中添加组织单位、用户和组
可以向刚创建的组织单位中添加组织单位、用户和组。
其操作方法同新建组织单位、用户和组一样。
打开“ActiveDirectory用户和计算机”窗口,单击新创建的组织单位,在右侧栏空白处右击,执行“新建”→“组织单位”命令,如图4-47所示。
经过设置后,就在组织单位下添加了组织单位、用户和组,如图4-48所示。
图4-47
图4-48
还可以将其他组织单位中的用户和组通过移动添加到此组织单位中,在“ActiveDirectory用户和计算机”窗口中选择以前创建的用户和组,右击,选择“移
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络管理员 完全 手册