windows-server-2008用戶與組管理

用戶和組的管理用戶和組的管理項(xiàng)目情境嶺南信息技術(shù)有限公司于2012年為某上市公司擴(kuò)建了集團(tuán)總部的內(nèi)部局域網(wǎng)，該局域網(wǎng)覆蓋了集團(tuán)的3棟辦公大樓，包括信息點(diǎn)共計(jì)1000余個(gè)，并擁有各類服務(wù)器約30余臺(tái)。由于公司計(jì)算機(jī)和用戶數(shù)量較多，因此，為了方便管理，要根據(jù)用戶所屬的部門類型設(shè)置不同的賬戶和權(quán)限，那么如何正確而有效地進(jìn)行用戶和組的管理才能實(shí)現(xiàn)這一目的呢？項(xiàng)目2用戶和組的管理項(xiàng)目分析（1）為了保證系統(tǒng)資源合理利用，需要局域網(wǎng)中的用戶向管理員申請賬戶，通過賬戶進(jìn)入系統(tǒng)，從而方便管理員對特定的用戶進(jìn)行跟蹤和管理，控制這些用戶對資源的訪問。（2）可以利用組賬戶幫助管理員簡化操作的復(fù)雜程度，同一類型的用戶可以加入同一個(gè)組，從而降低管理的難度。用戶和組的管理項(xiàng)目目標(biāo)（1）熟悉用戶賬戶的創(chuàng)建與管理。（2）熟悉組賬戶的創(chuàng)建與管理。（3）掌握本地安全策略的設(shè)置。項(xiàng)目2用戶和組的管理項(xiàng)目任務(wù)任務(wù)1用戶的創(chuàng)建與管理任務(wù)2組賬戶的創(chuàng)建與管理任務(wù)3設(shè)置本地安全策略用戶和組的管理任務(wù)1用戶的創(chuàng)建與管理1用戶的創(chuàng)建與管理任務(wù)知識(shí)準(zhǔn)備1．用戶賬戶概述用戶賬戶是計(jì)算機(jī)的基本安全組件，計(jì)算機(jī)通過用戶賬戶來辨別用戶身份，讓有使用權(quán)限的人登錄計(jì)算機(jī)，訪問本地計(jì)算機(jī)資源或從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)的共享資源。指派不同用戶不同的權(quán)限，可以讓用戶執(zhí)行不同的計(jì)算機(jī)管理任務(wù)。 2．系統(tǒng)的內(nèi)置賬戶Administrator和GuestAdministrator：使用內(nèi)置Administrator賬戶可以對整臺(tái)計(jì)算機(jī)或域配置進(jìn)行管理，如創(chuàng)建修改用戶賬戶和組、管理安全策略、創(chuàng)建打印機(jī)、分配允許用戶訪問資源的權(quán)限等。Guest：一般的臨時(shí)用戶可以使用內(nèi)置Guest賬戶進(jìn)行登錄并訪問資源。

任務(wù)1用戶的創(chuàng)建與管理3．用戶賬戶的命名規(guī)則（1）命名約定。①賬戶名必須唯一：本地賬戶必須在本地計(jì)算機(jī)上唯一。②賬戶名不能包含的字符：*/\[]::|=，+/<>“。③賬戶名最長不能超過20個(gè)字符。（2）密碼原則。①一定要給Administrator賬戶指定一個(gè)密碼，以防止他人隨便使用該賬戶。②確定是管理員還是用戶擁有密碼的控制權(quán)。③密碼不能太簡單，應(yīng)該不容易讓他人猜出。④密碼最多可由128個(gè)字符組成，推薦最小長度為8個(gè)字符。⑤密碼應(yīng)由大小寫字母、數(shù)字以及合法的非字母數(shù)字的字符混合組成，如“P@ssw0rd”。

任務(wù)1用戶的創(chuàng)建與管理任務(wù)實(shí)施1．創(chuàng)建本地用戶賬戶（1）打開“開始→管理工具→計(jì)算機(jī)管理”，如圖2.2所示。（2）在“計(jì)算機(jī)管理”管理控制臺(tái)中，展開“本地用戶和組”，在“用戶”目錄上單擊鼠標(biāo)右鍵，選擇“新用戶”命令，如圖2.3。圖2.2計(jì)算機(jī)管理界面圖2.3選擇“新用戶”命令用戶的創(chuàng)建與管理任務(wù)實(shí)施（3）打開“新用戶”對話框后，輸入用戶名、全名和描述，并且輸入密碼，如圖2.4所示?？梢栽O(shè)置密碼選項(xiàng)，包括“用戶下次登錄時(shí)必須更改密碼”、“用戶不能更改密碼”等，設(shè)置完成后，單擊“創(chuàng)建”按鈕新增用戶賬戶，如圖2.4所示。圖2.4“新增用戶”對話框任務(wù)1用戶的創(chuàng)建與管理任務(wù)實(shí)施2．設(shè)置用戶賬戶的屬性在“本地用戶和組”的右側(cè)欄中，雙擊一個(gè)用戶，將顯示“user1屬性”對話框，如圖2.5所示。（1）“常規(guī)”選項(xiàng)卡可以設(shè)置與賬戶有關(guān)的描述信息（2）“隸屬于”選項(xiàng)卡在“隸屬于”選項(xiàng)卡中，可設(shè)置將該賬戶加入到其他的本地組中。（3）“配置文件”選項(xiàng)卡在“配置文件”選項(xiàng)卡可以設(shè)置用戶賬戶的配置文件路徑、登錄腳本和主文件夾路徑。圖2.5“user1屬性”對話框任務(wù)1用戶的創(chuàng)建與管理任務(wù)實(shí)施3．刪除本地用戶賬戶在“計(jì)算機(jī)管理”控制臺(tái)中，選擇要?jiǎng)h除的用戶賬戶，執(zhí)行刪除功能，如圖2.10所示，但是系統(tǒng)內(nèi)置賬戶，如Administrator、Guest等無法刪除。刪除用戶賬戶時(shí)會(huì)出現(xiàn)如圖2.11所示的對話框。圖2.10刪除用戶賬戶圖2.11刪除賬戶時(shí)的對話框項(xiàng)目2用戶和組的管理任務(wù)2組賬戶的創(chuàng)建與管理2組賬戶的創(chuàng)建與管理任務(wù)知識(shí)準(zhǔn)備組賬戶是計(jì)算機(jī)的基本安全組件，它是用戶賬戶的集合。但是，組賬戶并不能用于登錄計(jì)算機(jī)，但是可以用于組織用戶賬戶。通過使用組，管理員可以同時(shí)向一組用戶分配權(quán)限，故可簡化對用戶賬戶的管理。組可以用于組織用戶賬戶，讓用戶繼承組的權(quán)限。注意：同一個(gè)用戶賬戶可以同時(shí)為多個(gè)組的成員，這樣該用戶的權(quán)限就是所有組權(quán)限的合并。任務(wù)2組賬戶的創(chuàng)建與管理打開“計(jì)算機(jī)管理”管理控制臺(tái)，在“本地用戶和組”樹中的“組”目錄里，可以查看本地內(nèi)置的所有組賬戶，如圖2.12所示。圖2.12內(nèi)置組賬戶組賬戶的創(chuàng)建與管理任務(wù)實(shí)施1．創(chuàng)建本地用戶組從“計(jì)算機(jī)管理”控制臺(tái)中展開“本地用戶和組”，鼠標(biāo)右鍵單擊“組”按鈕，選擇“新建組”命令，如圖2.13所示。在“新建組”窗口中輸入組名和描述，如圖2.14所示，然后單擊“創(chuàng)建”按鈕即可完成創(chuàng)建。在圖2.14中，在創(chuàng)建用戶組的同時(shí)向組中添加用戶，單擊“添加”按鈕，圖2.13選擇“新建組”命令圖2.14輸入組名和描述任務(wù)2組賬戶的創(chuàng)建與管理任務(wù)實(shí)施2．刪除、重命名本地組及修改本地組成員在“計(jì)算機(jī)管理”控制臺(tái)中選擇要?jiǎng)h除的組賬戶，然后執(zhí)行刪除功能，如圖2.16所示，在彈出的對話框中選擇“是”即可。但是，管理員只能刪除新增的組，不能刪除系統(tǒng)內(nèi)置的組。當(dāng)管理員刪除系統(tǒng)內(nèi)置組時(shí)，系統(tǒng)將拒絕刪除操作。重命名組的操作與刪除組的操作類似。圖2.16刪除操作用戶和組的管理任務(wù)3設(shè)置本地安全策略3設(shè)置本地安全策略任務(wù)知識(shí)準(zhǔn)備系統(tǒng)管理員可以通過設(shè)置安全策略，確保執(zhí)行的WindowsServer2003計(jì)算機(jī)的安全。WindowsServer2003在“管理工具”菜單提供了“本地安全設(shè)置”控制臺(tái)，可以集中管理本地計(jì)算機(jī)的安全設(shè)置原則，使用管理員賬戶登錄到本地計(jì)算機(jī)，即可打開“本地安全設(shè)置”控制臺(tái)，如圖2.19所示。圖2.19“本地安全設(shè)置”控制臺(tái)任務(wù)3設(shè)置本地安全策略任務(wù)實(shí)施1．密碼安全設(shè)置WindowsServer2003的密碼原則主要包括以下四項(xiàng)：密碼必須符合復(fù)雜性要求，密碼長度最小值，密碼使用期限和強(qiáng)制密碼歷史等。（1）密碼必須符合復(fù)雜性要求。只要在“本地安全設(shè)置”中選擇“賬戶策略”下的“密碼策略”，雙擊右邊的“密碼必須符合復(fù)雜性要求”，選擇“已啟用”即可，如圖2.20所示。圖2.20啟用密碼復(fù)雜性要求任務(wù)3設(shè)置本地安全策略（2）密碼長度最小值。默認(rèn)密碼長度最小值為0個(gè)字符。最好設(shè)置最小密碼長度為6或更長的字符。（3）密碼使用期限。默認(rèn)密碼最長有效期設(shè)置為42天，用戶賬戶的密碼必須在42天之后修改，也就是說密碼在42天之后會(huì)過期。默認(rèn)密碼的最短有效期為0天，即用戶賬戶的密碼可以立即修改。與前面類似，可以修改默認(rèn)密碼的最長有效期和最短有效期。（4）強(qiáng)制密碼歷史。默認(rèn)強(qiáng)制密碼歷史為0個(gè)。如果將強(qiáng)制密碼歷史改為3個(gè)，即系統(tǒng)會(huì)記住最后3個(gè)用戶設(shè)置過的密碼，當(dāng)用戶修改密碼時(shí)，如果為最后3個(gè)密碼之一，系統(tǒng)將拒絕用戶的要求。這樣可以防止用戶重復(fù)使用相同的字符來組成密碼。任務(wù)實(shí)施任務(wù)3設(shè)置本地安全策略任務(wù)實(shí)施2．賬戶鎖定策略賬戶鎖定閾值為“0次無效登錄”，可以設(shè)置為5次或更多的次數(shù)以確保系統(tǒng)安全，如圖2.23所示。3．用戶權(quán)限分配用戶權(quán)限的分配在“本地安全設(shè)置”的“本地策略”下設(shè)置，如圖2.24所示。圖2.23賬戶鎖定閾值圖2.24用戶權(quán)限分配任務(wù)3設(shè)置本地安全策略任務(wù)實(shí)施（2）允許本地登錄。決定哪些用戶可以交互式地登錄此計(jì)算機(jī)，默認(rèn)為Administrators、BackupOperators、PowerUsers，如圖2.26所示。（3）關(guān)閉系統(tǒng)。決定哪些本地登錄計(jì)算機(jī)的用戶可以關(guān)閉操作系統(tǒng)。默認(rèn)能夠關(guān)閉系統(tǒng)的是Administrators、BackupOperators和PowerUsers，如圖2.27所示。圖2.26允許在本地登錄界面圖2.27關(guān)閉系統(tǒng)界面項(xiàng)目2用戶和組的管理實(shí)訓(xùn)2用戶和組的管理

2實(shí)訓(xùn)2用戶和組的管理實(shí)訓(xùn)目標(biāo)（1）熟悉WindowsServer2003各種賬戶類型。（2）熟悉WindowsServer2003用戶賬戶的創(chuàng)建和管理。（3）熟悉WindowsServer2003組賬戶的創(chuàng)建和管理。（4）熟悉WindowsServer2003安全策略的設(shè)置。實(shí)訓(xùn)2用戶和組的管理實(shí)訓(xùn)準(zhǔn)備（1）網(wǎng)絡(luò)環(huán)境：已建好1