第4章(1)創(chuàng)建和管理用戶

1、一、用戶賬戶n用戶賬戶：是用戶訪問網(wǎng)絡(luò)資源的身份。nWindows2000網(wǎng)絡(luò)三種類型用戶賬戶：.域用戶賬戶：在DC上建立，保存在域的AD數(shù)據(jù)庫中，用于用戶登錄域的憑證，由域的DC來驗證，用戶賬號具有唯一性，是訪問域的唯一憑證。用戶可以登錄到域訪問域中的資源。 保存用戶賬號的AD數(shù)據(jù)庫安全賬號管理器SAM，位于DC上的%systemroot% NTDS.DIT文件中.每個賬號有一個唯一的安全識別符SID，SID獨一無二。在Windows2000系統(tǒng)中實際是利用SID來對用戶進(jìn)行識別的一、用戶賬戶.本地用戶賬戶：只能建立在Windows 2000獨立服務(wù)器、成員服務(wù)器或Windows 2000

2、Professional的計算機(jī)中。作用范圍創(chuàng)建賬號的本機(jī)，控制用戶對本機(jī)資源訪問。管理比較分散；建議在域環(huán)境中只使用域用戶賬號，本地用戶賬號使用于工作組模式中。存儲在本機(jī)的SAM，由唯一的SID來識別。一、用戶賬戶.內(nèi)部用戶賬戶： Administrator和Guest。不允許被刪除，但是允許改名，并且Administrator不允許被屏蔽。nAdministrator：在域和計算機(jī)中權(quán)限不受限制，用于對本地計算機(jī)和域進(jìn)行管理。注：為了安全性，建議將該賬號改名。nGuest：在域或者計算機(jī)中對于沒有賬號的臨時訪問用戶使用。默認(rèn)情況下不允許修改計算機(jī)的任何資源，并且默認(rèn)是屏蔽的（可以手動啟動）

3、。一、用戶賬戶 用戶登錄名：在活動目錄中，每一個用戶都有一個用戶登錄名。在Win2000網(wǎng)絡(luò)中，用戶可以使用用戶主名，也可以使用用戶登錄名來登錄。在pre-windows 2000版本的客戶機(jī)上登錄，必須使用用戶登錄名。n用戶主名：在活動目錄中，每一個用戶都有一個用戶主名。用戶主名包括兩部分：用戶主名前綴和后綴。如：，這是用戶主名。其中的user1為用戶登錄名，也就是用戶賬戶名。使用用戶主名的優(yōu)點：當(dāng)用戶從一個域移動到另一個域時用戶主名不變，因為這個名字在活動目錄中是唯一的。另外，可以創(chuàng)建和用戶郵件地址相同的用戶主名，便于記憶用戶的郵件地址創(chuàng)建用戶主名后綴n通過創(chuàng)建用戶主名后綴，簡化管理和用戶

4、登錄過程。n創(chuàng)建方法：打開“活動目錄域和信任關(guān)系”，右擊“活動目錄域和信任關(guān)系”，選擇“屬性”，打開“UPN后綴”標(biāo)簽二、Windows 2000賬號約定n賬號的命名約定和賬號的密碼約定n1、賬號命名約定n域用戶賬號的用戶登錄名在AD中必須唯一；n域用戶賬號的完全名稱在創(chuàng)建該用戶賬號的域中必須唯一；n本地用戶賬號在創(chuàng)建該賬號的計算機(jī)上必須唯一；n對于臨時賬號，要用特殊名稱，以便快速標(biāo)識；n用戶賬號的登錄名最多，： “、”、/、:、；、|、=、，、+、*、？、二、Windows 2000賬號約定n2、賬號密碼約定：驗證賬號合法性n避免使用有明顯意義的字符或數(shù)字的組合，采用大小寫和數(shù)字的無意義的混

5、合；n規(guī)定最小的密碼長度（最長達(dá)128位）；n密碼由管理員控制還是賬號擁有者控制；n定期更改密碼，盡量不使用相同密碼；三、創(chuàng)建本地用戶賬號n可以在一臺除了DC以外的基于Windows 2000的計算機(jī)上創(chuàng)建。建議在屬于域的計算機(jī)上不要設(shè)置本地賬號。n操作方法：控制面板管理工具計算機(jī)管理本地用戶和組用戶右擊新用戶四、創(chuàng)建基于域的用戶賬號n域用戶賬號作為AD的一個對象保存在DC上。n1、賬號創(chuàng)建工具的安裝：nI386文件夾運行Adminpak.msi安裝“Windows 2000 Administration Tools Setup Wizard”n2、創(chuàng)建域用戶賬號n域用戶賬號在DC上被創(chuàng)建，自

6、動復(fù)制到域中的其他DC上。四、創(chuàng)建基于域的用戶賬號n創(chuàng)建賬戶：控制面板管理工具Active Directory用戶和計算機(jī)選擇域Users右擊新建用戶Creating User AccountsCreating User AccountsCreating User AccountsCreating User AccountsCreating User Accounts五、管理用戶賬戶n包括：.禁用/啟用用戶賬戶.重設(shè)密碼.移動用戶賬戶：直接分配給對象的權(quán)限隨用戶一起移動；從前父對象繼承來的權(quán)限不再適 用，代之以新對象繼承的權(quán)限；可以同時移動多個用戶.刪除用戶賬戶.重命名.解除鎖定管理用戶賬戶n

7、復(fù)制用戶賬戶：通過復(fù)制現(xiàn)有用戶賬戶來創(chuàng)建新的用戶賬戶，可以把一部分屬性信息復(fù)制過去，從而簡化管理。n可以復(fù)制的屬性：地址（街道地址除外）；賬號（登錄名稱除外）；配置文件（配置文件路徑和主文件夾除外）；機(jī)構(gòu)（職務(wù)除外）；成員歸屬；n操作：鼠標(biāo)右擊要復(fù)制的用戶賬戶，選擇“復(fù)制”n創(chuàng)建用戶賬戶模板：和上面復(fù)制用戶的操作相同，但是模板用戶的賬號應(yīng)該是禁用的。復(fù)制用戶賬戶管理用戶賬戶搜索用戶賬戶n搜索用戶賬戶：“活動目錄和計算機(jī)”工具/action菜單/查找搜索用戶賬戶搜索用戶賬戶搜索用戶賬戶六、創(chuàng)建多用戶賬戶nCsvde（逗號分離值目錄交換）格式：第一行必須是屬性行；以后每一行是各個屬性的值例：DN,

8、objectclass,samAccountName,userPrincipalName,displayName,userAccountControl“cn=user1,ou=user,dc=snowolf,dc=com”,user,user1,user1,512導(dǎo)入：csvde i f filename創(chuàng)建多用戶賬戶nLdifde（輕型目錄訪問協(xié)議互換格式目錄交換）例：#create user1 DN: cn=user1,ou=user,dc=snowolf,dc=comobjectclass:usersamAccountName:user1userPricipalName:displayn

9、ame:user1userAccountControl:512導(dǎo)入：ldifde i f filename七、通過創(chuàng)建主文件夾管理用戶賬戶n提供一個中心場所，用于存儲用戶私人文檔n存儲位置：服務(wù)器；個人計算機(jī)n集中存放：集中化管理，定期備份數(shù)據(jù)，定期殺毒，保證服務(wù)器的高穩(wěn)定性和高可用性；要求有足夠的硬盤空間和網(wǎng)絡(luò)帶寬。n分散存放：沒有集中的數(shù)據(jù)維護(hù)功能；速度比較快。n創(chuàng)建方法：.創(chuàng)建并共享一個文件夾.為該文件夾指定合適的權(quán)限：保證所有用戶都能訪問.為該用戶提供其主文件夾的路徑：在用戶屬性對話框注：主文件夾默認(rèn)情況下只有賬號所有者和Administrator擁有“完全控制”的權(quán)限。八、利用用戶配

10、置文件自定義用戶環(huán)境n用戶的計算環(huán)境主要由用戶配置文件決定，包括顯示器、區(qū)域設(shè)置、鼠標(biāo)和聲音設(shè)置、網(wǎng)絡(luò)和打印機(jī)連接等。n可以為用戶建立多個配置文件，每一個配置適用于該用戶需要登錄的一臺計算機(jī)。n用戶配置文件類型：默認(rèn)用戶配置文件；本地用戶配置文件；漫游用戶配置文件（在服務(wù)器上）；強(qiáng)制性用戶配置文件（由管理員創(chuàng)建，用戶不能修改，可以是本地的，也可以是漫游的）八、利用用戶配置文件自定義用戶環(huán)境n默認(rèn)用戶配置文件：x:documents and SettingsDefault User隱藏文件夾中n本地用戶配置文件：當(dāng)一個用戶第一次登錄到一臺計算機(jī)上時創(chuàng)建的用戶配置文件。存放位置：c:documents and settingsusername利用用戶配置文件自定義用戶環(huán)境n漫游的用戶配置文件：不管用戶登錄到哪個計算機(jī)上，都可以為他們提供相同的工作環(huán)境。n創(chuàng)建方法：n首先由網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)的一臺服務(wù)器上共享一個文件夾，用于存放漫游用戶配置文件。n然后以管理員身份登錄到DC上Active Directory用戶和計算機(jī)選擇用戶屬性配置文件選項卡，在配置文