域用户及组账户的管理Word文件下载.docx
- 文档编号:22502433
- 上传时间:2023-02-04
- 格式:DOCX
- 页数:10
- 大小:208.77KB
域用户及组账户的管理Word文件下载.docx
《域用户及组账户的管理Word文件下载.docx》由会员分享,可在线阅读,更多相关《域用户及组账户的管理Word文件下载.docx(10页珍藏版)》请在冰豆网上搜索。
》提升域功能级别
》组的使用准则
3.1 域用户账户
作为域系统管理员,可以利用“ActiveDirectory用户和计算机”控制台来建立并管理域用户账户。
当用户利用域用户账户登录域后,便可以直接连接域内的所有计算机、访问资源。
换句话说,域用户在域内的一台计算机上登录成功后,当他们要连接域内的其他计算机时,并不需要再次登录到其他计算机上。
这个只需要登录一次的功能,被制为“单一登录”(singlesign-on )”。
本机用户账户并不具备“单一登录和”的功能,也就是说利用本机用户账户登录后,当要连接其他计算机时,必须再次登录。
非域控制器的WdindowsServer2003、WindowsXPProfessional等计算机默认没有"
ActiveDirectory用户和计算机”控制台等管理ActiveDirectory的工具,不过,可以通过安装“WindowsServer2003AdministrationToolPack”来拥有这些工具,也就是运行位于WindowsServer2003安装光盘中的I386文件夹内的ADMINPAD.MSI程序。
3.1.1 组织单位
组织单位内可以容纳其他的对象,如用户账户、组账户、计算机账户等,以便更容易的管理资源,并可以通过组策略来集中管理域的用户工作环境与计算机环境。
你可以利用“开始”-》“管理工具”-》“ActiveDirectory用户和计算机”->
"
右击域名称“-》”新建“-》”组织单位“的途径来建立组织单位。
应设置有意义的组织单位名称,如”业务部“、”研发部“等,而且不要经常改变名称。
3.1.2 用户登录账户
在WindowsServer2003或Windows2000Server域中,用户可以利用”用户登录名称(Windows2000以前版本)“来登录域(见图3-1):
》用户登录名称(userprincipalname,UPN) 它的格式与电子邮件账户相同,例如图3-1中的test@yu.local,这个名称只能在WindowsServer2003,WindowsXPProfessional,Windows2000计算机上登录域时使用(如图3-2)。
在整个林内,这个名称必须是唯一的。
UPN并不会随着账户的转移而改变,举例来说,用户”王乔治“的用户账户位于域内,若其UPN为test@yu.local,则即使这个用户账户被转移到林中的另一个域,如域,,其UPN仍然是test@yu.local,用户王乔泽仍然可以继续使用原来的UPN登录。
图3-1
图3-2
》用户登录名称(Windows2000以前的版本) 图3-1所示中的YU\test是旧格式的登录账户。
WindowsNT、Windows98等Windows2000之前版本的旧用户必须以这种格式的名称来登录域,也就是用户在这些计算机上登录时,必须使用这个名称。
WindowsServer2003,WindowsXPProfessional,Windows2000计算机也可也采用这种锟名称来登录,如图3-3所示。
但是在同一个域内,这个名称必须是唯一的。
图3-3
3.1.3 建立UPN的后缀
默认的UPN的后缀是用户账户所在域的域名称,如用户账户建立在域yu.local内,则其UPN的后缀为yu.local,在某些情况之下,用户可以希望使用其他替代的后缀(altemativesuffix),例如:
》由于UPN的格式与电子邮件账户相同,因此用户可能希望他的UPN可以与电子邮件账户相同,让用户不论是登录域或收发电子邮件,都可以使用一致的名称。
》如果域内有较多层的子域,则域名称会太长,如sales.north.yu.local,因而子域内的用户的UPN后缀也会太长,给用户登录造成不便。
建立UPN后缀的步骤为:
步骤1:
执行命令“开始”-》“管理工具”-》“ActiveDirecotry域和信任关系”-》右击如图3-4所示的“ActiveDirectory域和信任关系”-》“属性”。
图3-4
步骤2在图3-5所示对话框中输入替代的UPN后缀,并单击“添加”按键。
后缀不一定要符合DNS格式,可以是,也可以是yu.
图3-5
完成后,就可以通过“ActiveDirectory用户和计算机”控制台来改变用户的UPN后缀,如图3-6所示。
图3-6
3.1.4账户的一般管理工作
本节将介绍圆谎账户的一般管理工作,例如更改域用户的账户名称,删除账户、禁用账户、启用账户、移动账户、修改密码与解除锁定账户等。
右击欲修改的用户账户,弹出的快捷菜单如图3-7所示。
图3-7
》禁用账户和启用账户如果某个用户因故在一段时间内无法来上班,则可以先将该用户的账户禁用,待该用户回来上班后,再将其重新启用即可。
例如,图3-7中空间菜单所显示是“禁用账户”的字样,如果该账户已被禁用了,则此处的字样为“启用账户”。
若用户账户已被禁用,则该用户账户图形上会有一个红色的×
符号,如图3-7中的用户“李小洋”
》重命名重新命名以后,该用户账户原来所拥有权限、权利与组关系都不会受到影响。
例如当某员工离职时,你可以暂时先将其用户账户禁用,等到新员工来接替他工作时,再将此账户改为新员工的名称,重设密码并修改相关的个人数据,然后再重新启用账户。
在每一个用户账户添加完成之后,系统都会为其建立一个唯一的安全标识符(securityidentifier,SID),而系统内部是以这个SID来代表该用户,并限定权限的。
例如,在某个文件的权限清单内,记录着哪一些SID具备着哪些的权限,而不是哪些账户名称拥有哪些权限。
由于用户账户名称更改后,其安全识别码(SID)并没有改变,因此账户的内容、权利与权限等设置都不变。
》删除如果这个账户以后不用了,则可以将此账户删除,以免占用ActiveDirectory数据库的空间。
注意:
账户删除以后,当添加一个相同名称的账户时,这个新账户并不会继承原账户的权限,权利与组关系,因为WindowsServer2003会给予这个新账户一个新的安全识别码(SID),而系统是利用SID来记录用户的权限的。
因此对WindowsServer2003而言,这是两个不同的账户,也就不会继承原来账户的权利、权限与组关系了。
》重设密码当用户忘记密码或密码使用期限到期时,系统管理员可以重新替用户设定一个新的密码。
》解除被锁定的账户域的“账户策略”内设定,如果用户输入密码失败多次,就将此账户锁定。
用户账户被锁定后,系统管理员可以通过:
右击用户账户-》“属性”-》“账户”-》撤选图3-8所示对话框中的“账户已锁定”选项,来解除锁定。
图3-8
》移动账户如果要将账户移动到同一个域内的其他OU内,则可以执行命令:
右击转账户-》“移动”-》“选择新目的地”,或按住此账户,将其拖放到新目的地(drag-and-drop)的方法来实现。
提示:
如果要将账户移动到另一个域,则可以使用“ActiveDirectory迁移工具”,它位于WindowsServer2003安装光盘的/I386\ADMT资料夹内,程序名称为ADMIG-RATION.MSI,也可以利用Movetree.exe程序,它位于WindowsServer2003安装光盘的\SUPPORT\TOOLS\SUPTOOLS.MSI文件内。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 用户 账户 管理