实验七 Windows Server 2003 的用户管理
实验目的
掌握 Windows 系统中账户权限的概念。
掌握 Windows 系统中不同类型的组的含义和区别。
掌握创建和修改用户 / 组的方法。
掌握在单个域中使用组的策略( AGDLP )。
实验的理论基础
在 Windows 操作系统中,权限( Permission )代表一个用户对文件、文件夹、打印机等等各种资源的访问能力。系统根据不同的用户账户以及预先的设置指派给每个用户相应的权限,以完成一定的任务,且每个账户之间互相独立。
用户账户主要包括两种类型:域用户账户和本地用户账户。
本地用户账户:利用域用户账户,用户可以登录到特定的计算机,以访问该计算机上的资源。如果用户在其他的计算机上也有自己独立的账户,那么也能够访问其他计算机上的资源。
域用户账户:利用域用户账户,用户可以登录到特定的域来访问网络资源。用户利用自己特有的用户账户和密码,可以从网络上任何计算机访问网络资源,域用户账户信息驻留在活动目录务中。
在很多服务器系统中提供了内置的用户账户用于协助日常的管理任务,或者使得用户可以临时访问资源。如 Windows 20000 server 有两个特别的内置账户,即 ADMINISTRATOR 和 GUEST ,这两个内置户不能被删除。
网络系统为了实现更好的管理,往往将用户分成许多组,组与组之间具有不同的权限,而且一个组的用户和用户之间也可以有不同的权限。常见的用户组主要如下。
Administrators :管理员组,默认情况下,位于该组中的用户对计算机 / 域有不受限制的完全访问权,允许对整个系统进行完全控制。所以,只有受信任的人员才可以成为该组的成员。
Power Users :高级用户组,执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。默认情况下允许该组的成员修改整个计算机的设置,权限仅次于 Administrators 。
Users :普通用户组,该组用户可以运行经过验证的应用程序,但不允许成员个性操作系统的设置或用户资料。 Users 组是最安全的组,权限比较低。
Guests :来宾组,默认情况下跟普通 Users 的成员有同等访问权,但所受的限制更多。
Everyone :所有的用户,这个计算机上的所有用户都属于这个组。
System :拥有系统最高权限,但是该组只有一个用户 System ,不允许任何用户的加入,而且在察看用户组的时候也不会被显示。系统和系统级的服务正常运行所需要的权限都要依靠 System 赋予。
计算机账户:用来验证和审核计算机登录到域的过程和访问域资源。
组作用域
组作用域确定组在域树或树林中所应用的范围。组作用域是只针对域中的组来讲的。有 3 类不同的作用域:全局域、本地域组和通用组。
全局组:
成员只能来源于组所在的域用户账户。
成员可以访问域树林中的任何地方的资源。
本地域组:
成员可以来源于树林中的任何一个域。
被限定只能访问本域资源。
通用组:
成员可以来源于域树林中的任何一个域。
可以访问域树林中任何地方的资源。
单个域中使用组的策略
当在单个域中使用组进行简化管理时,推荐使用 AGDLP 策略。该策略将用户账户( A-ACCOUNTS )放置到全局组( G-GLOBAL )中,将全局组放置在域本地组( DL-DOMAINLOCAL )中,然后为域本地组授权( P-PERMISSONS ),从而达到为用户授权,使用户可以访问域中网络资源的目的。
实验内容
创建和修改本地用户账户。
创建和修改域用户账户。
创建全局组。
实验环境需求
实验分组进行,每组分别安装有 Wiindows2000 server 的计算机作为服务器使用。
实验步骤
1 创建本地用户账户
以系统管理员 Administrators 身份登录,以创建用户账户。
依次单击“开始”→“程序”→“管理工具”→“计算机管理”命令,打开“计算机管理”窗口。
在左侧控制台树下,展开“系统工具”下的“本地用户组”,单击“用户”,将会看到右侧用户列表
右击“用户”,在下拉菜单中选择“新用户”命令。
在“新用户”对话框中输入新用户信息后,单击“创建”按钮。
单击“关闭”按钮完成创建用户过程。
2 . 创建哉用户账户
假设已经建立了一个域 demo.com :
在域中创建一个组织单位,用于存放创建的用户对象。
1 从“管理工具”菜单中打开“ AD 用户和计算机“管理窗口。
2 .在左侧控制台树下,扩展 demo.com 并右击,依次选择“新建”和“组织单位”选项。
3 在“新建对象一组织单位”对话框中,输入组织单位名称,如 Users ,单击“确定”按钮。
在组织 Users 中,创建临时用户 TempUser1 和 User2.
在左侧控制台树中右击 User1 ,选择“新建”选项,单击“用户”命令。
在“新建对象 - 用户”对话框中输入用户信息。
单击“下一步”按钮,输入用户登录的密码和并确认,完成创建。
重复上述步骤创建账户 TempUser2 并设置相应的密码。
3 .设置 TempUser1 和 TempUser2
设置 TempUser1 和 TempUser2 的登录时段和登录服务器等信息:
在左侧控制台树中单击 Users ,在右侧详细窗口双击“ TempUser1 ”,进入其属性对话框。
选择“账户”选项卡,单击“登录时段“。
根据需要设置允许或拒绝 TempUser1 登录的时间时段。
在“账户”选项卡中,单击“登录到”按钮。显示“登录工作站”对话框。
在“登录工作站”对话框中,选择“下列计算机”单选按钮,在“计算机名”文本框输入域控制器的名称,单击“添加”按钮。
在“账户”选项卡中设置用户账户的有效时间。
重复前述过程创建的两个用户能否登录到域中。
4 .创建全局组
( 1 )利用“ AD 计算机和用户”在 Users 中创建一个用户,用户名和登录名设置为 Backup.
(2) 利用“ AD 计算机和用户”在 Users 中创建一个全局组 Backup Admin.
右击左侧“ Users ”,选择“新建”选项,单击“组”命令,组名称为“ Backup Admin ”。
确定该组的类型是“安全”,范围是“全局”,单击“确定”按钮。
向 Backup Admin 组添加域用户账户 Backup 。
在右侧详细资料窗口中,双击“ Backup Admin ”。
选择“成员”选项卡,单击“添加”按钮。
在“选择用户、联系人、计算机或者组”对话框中,在名称栏单击 Backup ,“确定“按钮。
单击“确定“按钮,关闭属性页。
退出登录。
实验要求
在实验报告中应包含如下内容:
本次实验的目的、实验环境和具体的操作步骤。
记录在实验中遇到的问题和相应的解决方法。
思考并回答:
1 如果在要不是域控制器的成员服务器上创建用户和组,该如何操作?
2 能否在域控制器上创建本地用户和组?本地用户和组可在哪些计算机上创建?
3 写出内置组和特殊的不同点。
|