第6章用戶管理

1、用戶管理第6章 用戶管理 6.1 用戶管理與目錄服務(wù)6.2 域與活動目錄6. 3 用戶賬戶管理6. 4 組賬戶管理6.5 實驗操作1：用域管理用戶用戶管理6.1 用戶管理與目錄服務(wù) 6.1.1 目錄服務(wù)的概念 l 目錄（directory）是用來存儲用戶賬戶、組、打印機(jī)、共享文件夾等對象（object）的一個集合。l 目錄服務(wù)（Directory Service，DS）是一個代表網(wǎng)絡(luò)用戶及資源的基于對象的數(shù)據(jù)庫； 主要用于存放用戶的信息及網(wǎng)絡(luò)配置數(shù)據(jù)，便于管理人員和應(yīng)用程序?qū)π畔⑦M(jìn)行添加、修改和查詢。l 目錄服務(wù)的功能是讓用戶很容易地在目錄內(nèi)方便、快速地查找到所需要的數(shù)據(jù)。 用戶管理 概括講，

2、目錄服務(wù)就是按照樹狀信息組織模式，實現(xiàn)信息管理和服務(wù)接口的一種方法。 目錄服務(wù)系統(tǒng)一般由兩部分組成： 第一部分是數(shù)據(jù)庫，一種分布式的數(shù)據(jù)庫，且擁有一個描述數(shù)據(jù)的規(guī)則； 第二部分是訪問和處理數(shù)據(jù)庫時使用的訪問協(xié)議。用戶管理6.1.2 Novell目錄服務(wù) l Novell Directory Services（Novell目錄服務(wù)，NDS），是基于Novell NetWare網(wǎng)絡(luò)操作系統(tǒng)的目錄服務(wù)。 l NDS是一種流行的軟件產(chǎn)品，它能夠從管理的角度對計算機(jī)資源的訪問進(jìn)行管理并能跟蹤網(wǎng)絡(luò)用戶。l 網(wǎng)絡(luò)管理員通過使用NDS可以建立和控制用戶數(shù)據(jù)庫，并能夠通過帶有圖形用戶界面GUI的目錄來管理他們。

3、l 管理員可以對遠(yuǎn)程計算機(jī)用戶集中進(jìn)行添加、更新和管理。應(yīng)用程序也可以自動分配并集中維護(hù)。l NDS可以在Windows NT、Sun Microsystem的Solaris、IBM的OS/360和Novell自己的NetWare下運行，所以它可以控制多平臺的網(wǎng)絡(luò)。 用戶管理6.1.3 Microsoft目錄服務(wù) Microsoft目錄服務(wù)，即大家熟知的活動目錄（Active Directory，AD）。 活動目錄是一個名稱空間。 “名稱空間”是一塊規(guī)劃好的區(qū)域，在這個區(qū)域內(nèi)可以利用某個名字找到與這個名字相關(guān)的信息。 例如：一個電話簿就是一個名稱空間，可以利用人名在這個電話簿中到對應(yīng)的電話號碼

4、等信息。 在TCP/IP網(wǎng)絡(luò)環(huán)境中，用域名系統(tǒng)DNS解析計算機(jī)名稱與IP地址之間的映射關(guān)系，Windows 2000/2003中活動目錄的名稱空間是以域為單位進(jìn)行劃分，并采用了DNS結(jié)構(gòu)。用戶管理6.1.4 iPlanet目錄服務(wù) iPlanet 目錄服務(wù)（iPlanet Directory Server，iDS）作為SUN公司的產(chǎn)品，為大量用戶開發(fā)外聯(lián)網(wǎng)（Extranet）應(yīng)用提供所需求的可伸縮性和信息控制。 通過跨越多個應(yīng)用實現(xiàn)集中化用戶、組和訪問控制，iPlanet Directory Server可以極大地簡化管理。用戶管理6.1.5 OpenLDAP OpenLDAP是一個通過Int

5、ernet進(jìn)行集體開發(fā)的項目。 它的目標(biāo)是提供一個穩(wěn)定的、商業(yè)級的、功能全面的LDAP套件，其中包括LDAP服務(wù)器和一些開發(fā)工具。 具體內(nèi)容請參考網(wǎng)站。 用戶管理6.1.6 LDAP LDAP(Light Directory Access Protocol，輕型目錄訪問協(xié)議)，它其實是實現(xiàn)目錄服務(wù)的一個協(xié)議。 LDAP協(xié)議從1963年批準(zhǔn)，產(chǎn)生了LDAP v1版本，隨后于1967年發(fā)布了第三個版本LDAP v3。 LDAP v3協(xié)議不是單個協(xié)議，而是一個協(xié)議族。 LDAP的應(yīng)用主要涉及以下幾種類型： 信息安全類：數(shù)字證書管理、授權(quán)管理、單點登錄；用戶管理 科學(xué)計

6、算類：DCE(Distributed Computing Envirionment，分布式計算環(huán)境)、UDDI(Universal Description，Discovery and Integration，統(tǒng)一描述、發(fā)現(xiàn)和集成協(xié)議)； 網(wǎng)絡(luò)資源管理類：MAIL系統(tǒng)、DNS系統(tǒng)、網(wǎng)絡(luò)用戶管理、電話號碼簿； 電子政務(wù)資源管理類：內(nèi)網(wǎng)組織信息服務(wù)、電子政務(wù)目錄體系、數(shù)字化校園的統(tǒng)一身份認(rèn)證等。 用戶管理6.2 域與活動目錄 6.2.1 域目錄及信任關(guān)系 1域目錄樹 如圖6-1所示的是一個樹狀結(jié)構(gòu)的域目錄樹； 其中最上層的域名是這個域目錄樹的根域，下面的和是的兩個子域。用戶管理圖6-1 域目錄樹結(jié)構(gòu)

7、 用戶管理 2域的信任關(guān)系 當(dāng)一個域被加入到域目錄樹時，這個域會自動信任上層的父域，同時父域也會自動信任這個新域，而且這種信任關(guān)系具有雙向性。 當(dāng)兩個域之間建立了信任關(guān)系后，才可以相互訪問對方域內(nèi)的資源。 3域目錄林 在大型網(wǎng)絡(luò)中有時需要同時創(chuàng)建多個域來對網(wǎng)絡(luò)進(jìn)行管理。 如圖6-2所示，域目錄林是由2個或多個域目錄樹組成的，每個域目錄樹都有自己唯一的名稱空間。 用戶管理圖6-2 域目錄林結(jié)構(gòu)用戶管理6.2.2 域控制器 活動目錄的目錄數(shù)據(jù)存儲在域控制器內(nèi)。 根據(jù)需要，一個域內(nèi)可以只有一臺域控制器，也可以存在多臺域控制器。 當(dāng)一個域內(nèi)存在多個域控制器時，每一個域控制器的地位是平等的，它們各自存儲

8、著一份相同的活動目錄。 當(dāng)在一臺域控制器內(nèi)添加了一個用戶賬戶后，這個賬戶信息首先保存在這臺域控制器的活動目錄內(nèi)，然后再被自動復(fù)制到域內(nèi)的其他域控制器的活動目錄中，使同一域中所有域控制器內(nèi)的活動目錄數(shù)據(jù)都保持同步。 用戶管理6.2.3 全局編錄 全局編錄由域控制器扮演，其中包含活動目錄內(nèi)的每個對象。 這些對象的屬性信息是不完整的，主要是常用于搜索的屬性，例如用戶的姓名、登錄的賬戶名稱等。 全局編錄即使在用戶不知道對象位于哪個域內(nèi)的情況下，仍然可以快速地找到所需要的對象。 另外，全局編錄還負(fù)責(zé)提供用戶登錄時，該用戶所隸屬的通用組數(shù)據(jù)。 用戶管理6. 3 用戶賬戶管理 6.3.1 用戶賬戶的分類 1

9、本地用戶賬戶 本地用戶賬戶是創(chuàng)建在非域控制器的“本地安全賬戶數(shù)據(jù)庫”內(nèi)的用戶賬戶信息。 用戶可以利用本地用戶賬戶登錄該賬戶所在的計算機(jī)，并只能訪問本地計算機(jī)上的資源。 如果要訪問其他計算機(jī)上的資源，則必須遠(yuǎn)程登錄并輸入遠(yuǎn)程計算機(jī)內(nèi)的本地用戶賬戶的名稱和密碼。 用戶管理 2域用戶賬戶 域用戶賬戶存儲在域控制器的活動目錄(Active Directory，AD)數(shù)據(jù)庫內(nèi)。 用戶可以利用域用戶賬戶登錄域，并訪問網(wǎng)絡(luò)上的資源，如域中其他計算機(jī)上內(nèi)的文件、打印機(jī)等。用戶管理 3用戶賬戶的管理 由于本地用戶賬戶信息創(chuàng)建在本地計算機(jī)的“本地安全賬戶數(shù)據(jù)庫”內(nèi)，只能訪問本地計算機(jī)內(nèi)的資源，無法利用本地用戶賬戶

10、訪問網(wǎng)絡(luò)中的資源。 域用戶賬戶信息存儲在域控制器的活動目錄數(shù)據(jù)庫內(nèi)，當(dāng)域用戶賬戶通過域控制器的驗證后，該用戶就可以訪問域內(nèi)其他計算機(jī)上的資源。用戶管理 為便于用戶賬戶管理，建議僅在未加入域的計算機(jī)上創(chuàng)建本地用戶賬戶。 如果用戶的計算機(jī)通過域進(jìn)行管理，則要求在域控制器上為該用戶創(chuàng)建域用戶賬戶，然后讓用戶的計算機(jī)加入域。 用戶管理 6.3.2 系統(tǒng)內(nèi)置的用戶賬戶 安裝好Windows 2000/2003系統(tǒng)后，會自動創(chuàng)建一些內(nèi)置的賬戶，最常用到的是系統(tǒng)管理員賬戶Administrator和客戶臨時登錄賬戶Guest。 Administrator：Administrator擁有對本機(jī)和網(wǎng)絡(luò)管理的最高

11、權(quán)限，可以用Administrator來管理本機(jī)或域內(nèi)的設(shè)置。 如創(chuàng)建、更改、刪除用戶與組賬戶，設(shè)置安全策略，設(shè)置用戶的權(quán)限等。 Guest：Guest是供用戶臨時使用的賬戶，主要供偶爾登錄系統(tǒng)的用戶使用。 Guest賬戶僅具有很少部分的權(quán)限。 用戶管理 6. 4 組賬戶管理 6.4.1 組的分類 根據(jù)是否使用域管理模式，可將組分為本地組和域組。 域組中，根據(jù)管理權(quán)限的不同，又可分為安全組和分布式組。 1本地組和域組 與用戶賬戶相同，可以在本地計算機(jī)上創(chuàng)建和使用組，也可以在域控制器上創(chuàng)建和使用組。 其中，在非域控制器的計算機(jī)上創(chuàng)建的組稱為本地組，而在域控制器上創(chuàng)建的組稱為域組。用戶管理 2安全

12、組與分布式組 根據(jù)管理權(quán)限的不同，可以將域組分為安全組和分布式組兩種類型。 其中，安全組可以被用來設(shè)置權(quán)限。而分布式組用在與安全（如權(quán)限設(shè)置）無關(guān)的任務(wù)上。 用戶管理 6.4.2 組的使用范圍 根據(jù)使用范圍的不同，可以將域內(nèi)的組分為通用組、全局組和本地域組3類。 1通用組 通用組可以指派所有域中的訪問權(quán)限，以便訪問每一個域內(nèi)的資源。 通用組中的成員可以是域目錄林中任何一個域內(nèi)的用戶、通用組或全局組。但無法包含任何一個域內(nèi)的本地域組。 另外，通用組中的成員可以訪問任何一個域內(nèi)的資源。用戶管理 2全局組 全局組主要用來組織用戶，將具有相同權(quán)限的多個用戶加入到同一個全局組中進(jìn)行集中管理。 全局組中的

13、成員只能是與該組位于相同域中的用戶或全局組，即只能將同一個域中的用戶或其他全局組加入到全局組內(nèi)。 位于全局組中的用戶可以訪問域目錄林中任何一個域中的資源。用戶管理 3本地域組 本地域組主要被用來指派在其所屬域內(nèi)的訪問權(quán)限，以便可以訪問該域內(nèi)的資源。 本地域組內(nèi)的成員能夠包含域目錄林中任何一個域內(nèi)的用戶、通用組、全局組，還能夠包含同一個域內(nèi)的本地域組，但不能包含其他域內(nèi)的本地域組。 本地域組內(nèi)的用戶只能訪問該用戶所在域內(nèi)的資源，而無法訪問其他不同域內(nèi)的資源。 用戶管理6.4.3 系統(tǒng)內(nèi)置的組 1內(nèi)置的本地組 在Windows 2000/2003/XP/Vista等非域控制器的計算機(jī)的“本地安全賬

14、戶數(shù)據(jù)庫”內(nèi)，系統(tǒng)內(nèi)置了一些本地組，這些組已被分配相應(yīng)的權(quán)限，以便對本地計算機(jī)進(jìn)行管理。 只能將用戶賬戶加入到相應(yīng)的本地組中，這些用戶賬戶就繼承了本地組的權(quán)限。 用戶管理 Administrators：屬于Administrators組內(nèi)的用戶具有對本地計算機(jī)進(jìn)行管理的最高權(quán)限，可以執(zhí)行系統(tǒng)管理員的操作。 Backup Operators：屬于Backup Operators組內(nèi)的用戶，可以進(jìn)行文件或文件夾的“備份”與“還原”操作。 用戶管理 Guests：該組提供沒有用戶賬戶但需要臨時訪問本地計算機(jī)內(nèi)資源的用戶使用。 該組中的成員無法永久地改變其桌面的工作環(huán)境。 Network Config

15、uration Operators：該組中的用戶可以在客戶端進(jìn)行一般的網(wǎng)絡(luò)設(shè)置操作，如修改IP地址等。 Power Users：該組的權(quán)限位于Administrators組與Users組之間。 例如可以創(chuàng)建、刪除、更改本地用戶賬戶，創(chuàng)建、刪除、管理本地計算機(jī)內(nèi)的共享文件夾與共享打印機(jī)、自定義計算機(jī)時間等系統(tǒng)設(shè)置。 用戶管理 Remote Desktop Users：該組中的成員可以進(jìn)行遠(yuǎn)程計算機(jī)登錄，如使用Telnet或終端服務(wù)登錄等。 Users：Users組中的成員只擁有一些基本的權(quán)限，如運行應(yīng)用程序。 但不能修改操作系統(tǒng)的設(shè)置，不能更改其他用戶的數(shù)據(jù)，不能關(guān)閉服務(wù)器級的計算機(jī)。 用戶管理

16、 2內(nèi)置的本地域組l 在Windows 2000/2003活動目錄中，系統(tǒng)內(nèi)置了一些本地域組，并被分配了相應(yīng)的權(quán)限，以便讓這些組中的成員具有管理整個域與活動目錄的能力。l 這些內(nèi)置的本地域組位于活動目錄的Builtion容器內(nèi)。 用戶管理 圖6-4 Windows Server 2003本地域組 用戶管理 Account Operators：屬于該組中的成員，可以在除Builtion和Domain Controller組織單位之外的其他任何一個容器與組織單位內(nèi)新建、刪除、更改用戶賬戶、組賬戶、計算機(jī)賬戶。 Administrator：屬于該組中的成員具有對系統(tǒng)的最高管理權(quán)限，可以執(zhí)行整個活動目

17、錄的管理任務(wù)。 內(nèi)置的系統(tǒng)管理員賬戶Administrator就屬于該組中。該組默認(rèn)的成員還有Domain Admins全局組、Enterprise Admins全局組等。 Backup Operators：該組中的成員可以備份與還原域控制器內(nèi)的文件和文件夾，還可以關(guān)閉域控制器。用戶管理 Guests：該組中的賬戶提供沒有用戶賬戶但需要臨時訪問域控制器內(nèi)資源的用戶使用。 該組默認(rèn)的成員為用戶賬戶Guest與全局組Domain Guests。 Network Configuration Operators：該組中的用戶可以在域控制器上進(jìn)行一般的網(wǎng)絡(luò)設(shè)置操作，如修改IP地址等。 不能添加或刪除程序

18、，也不可以執(zhí)行與網(wǎng)絡(luò)服務(wù)器設(shè)置相關(guān)的任務(wù)，如DNS、DHCP、WINS服務(wù)器的設(shè)置等。用戶管理 Pre-Windows 2000 Compatible Access：該組主要是為了兼容Windows NT 4.0及以前版本的計算機(jī)。 當(dāng)用戶使用的計算機(jī)是Windows NT 4.0及以前版本時，才將用戶加入該組。 Printer Operators：該組中的成員可以創(chuàng)建、停止或管理在域控制器上的共享打印機(jī)，也可以將域控制器關(guān)閉。 Remote Desktop Users：該組中的成員可以通過終端服務(wù)功能進(jìn)行遠(yuǎn)程計算機(jī)登錄。用戶管理 Server Operators：該組中的成員可以創(chuàng)建、管理、

19、刪除域控制器上的共享文件夾和打印機(jī)； 可以進(jìn)行備份與還原操作，并能夠?qū)τ蚩刂破魃系挠脖P進(jìn)行格式化，或更改域控制器的系統(tǒng)時間； 可以關(guān)閉域控制器。 Users：Users本地域組中的成員只擁有一些基本的權(quán)限，如運行應(yīng)用程序。 不能修改操作系統(tǒng)的設(shè)置，不能更改其他用戶的數(shù)據(jù)等。該組中的默認(rèn)成員為Domain Users全局組。 用戶管理 3內(nèi)置的全局組 當(dāng)創(chuàng)建一個域時，系統(tǒng)會自動在活動目錄中創(chuàng)建一些內(nèi)部的全局組。 Domain Admins：由于域內(nèi)的成員計算機(jī)會自動將該組加入到Administrators組中，所以Domain Admins這個全局組中的成員都具有系統(tǒng)管理員的權(quán)限。 該組默認(rèn)的成員為域用戶Administrator。 Domain Computers：所有加入該域的計算機(jī)都被自動加入到該組內(nèi)。用戶管理 Domain Controllers：域內(nèi)的所有域控制器都被自動加入到該組內(nèi)。 Domain Users：所有添加的域用戶賬戶都自動加入到該組內(nèi)。 Enterprise Admins：該組只存在于整個域目錄林的根域中，其成員具有管理整個域目錄林內(nèi)的所有域的權(quán)限。 Schema Admins：該組只存在于整個域目錄林的根域