項目2用戶和組的管理

1、“十二五十二五”職業(yè)教育國家規(guī)劃教材職業(yè)教育國家規(guī)劃教材Windows Server 2003 系統(tǒng)管理與網(wǎng)絡(luò)管理2022年4月5日項目項目2 用戶和組的管理用戶和組的管理項目項目2 用戶和組的管理用戶和組的管理嶺南信息技術(shù)有限公司于2012年為某上市公司擴建了集團總部的內(nèi)部局域網(wǎng)，該局域網(wǎng)覆蓋了集團的3棟辦公大樓，包括信息點共計1 000余個，并擁有各類服務(wù)器約30余臺。由于公司計算機和用戶數(shù)量較多，因此，為了方便管理，要根據(jù)用戶所屬的部門類型設(shè)置不同的賬戶和權(quán)限，那么如何正確而有效地進行用戶和組的管理才能實現(xiàn)這一目的呢？項目項目2 用戶和組的管理用戶和組的管理（1 1）為了保證系統(tǒng)資源合理

2、利用，需要局域網(wǎng)中）為了保證系統(tǒng)資源合理利用，需要局域網(wǎng)中的用戶向管理員申請賬戶，通過賬戶進入系統(tǒng)，從而的用戶向管理員申請賬戶，通過賬戶進入系統(tǒng)，從而方便管理員對特定的用戶進行跟蹤和管理，控制這些方便管理員對特定的用戶進行跟蹤和管理，控制這些用戶對資源的訪問。用戶對資源的訪問。（2 2）可以利用組賬戶幫助管理員簡化操作的復(fù)雜）可以利用組賬戶幫助管理員簡化操作的復(fù)雜程度，同一類型的用戶可以加入同一個組，從而降低程度，同一類型的用戶可以加入同一個組，從而降低管理的難度。管理的難度。項目項目2 用戶和組的管理用戶和組的管理（1）熟悉用戶賬戶的創(chuàng)建與管理。）熟悉用戶賬戶的創(chuàng)建與管理。（2）熟悉組賬戶的

3、創(chuàng)建與管理。）熟悉組賬戶的創(chuàng)建與管理。（3）掌握本地安全策略的設(shè)置。）掌握本地安全策略的設(shè)置。項目項目2 用戶和組的管理用戶和組的管理任務(wù)任務(wù)1 用戶的創(chuàng)建與管理用戶的創(chuàng)建與管理任務(wù)任務(wù)2 組賬戶的創(chuàng)建與管理組賬戶的創(chuàng)建與管理任務(wù)任務(wù)3 設(shè)置本地安全策略設(shè)置本地安全策略項目項目2 用戶和組的管理用戶和組的管理任務(wù)任務(wù)1 用戶的創(chuàng)建與管理用戶的創(chuàng)建與管理1任務(wù)任務(wù)1 1 用戶的創(chuàng)建與管理用戶的創(chuàng)建與管理1用戶賬戶概述用戶賬戶是計算機的基本安全組件，計算機通過用戶賬戶來辨別用戶身份，讓有使用權(quán)限的人登錄計算機，訪問本地計算機資源或從網(wǎng)絡(luò)訪問這臺計算機的共享資源。指派不同用戶不同的權(quán)限，可以讓用戶執(zhí)

4、行不同的計算機管理任務(wù)。2系統(tǒng)的內(nèi)置賬戶Administrator和GuestAdministrator：使用內(nèi)置Administrator賬戶可以對整臺計算機或域配置進行管理，如創(chuàng)建修改用戶賬戶和組、管理安全策略、創(chuàng)建打印機、分配允許用戶訪問資源的權(quán)限等。Guest：一般的臨時用戶可以使用內(nèi)置Guest賬戶進行登錄并訪問資源。任務(wù)任務(wù)1 1 用戶的創(chuàng)建與管理用戶的創(chuàng)建與管理3用戶賬戶的命名規(guī)則（1）命名約定。 賬戶名必須唯一：本地賬戶必須在本地計算機上唯一。 賬戶名不能包含的字符：* / : : | =，+ / “。 賬戶名最長不能超過20個字符。（2）密碼原則。 一定要給Administr

5、ator賬戶指定一個密碼，以防止他人隨便使用該賬戶。 確定是管理員還是用戶擁有密碼的控制權(quán)。 密碼不能太簡單，應(yīng)該不容易讓他人猜出。 密碼最多可由128個字符組成，推薦最小長度為8個字符。 密碼應(yīng)由大小寫字母、數(shù)字以及合法的非字母數(shù)字的字符混合組成，如“Pssw0rd”。任務(wù)任務(wù)1 1 用戶的創(chuàng)建與管理用戶的創(chuàng)建與管理1創(chuàng)建本地用戶賬戶（1）打開“開始管理工具計算機管理”，如圖2.2所示。（2）在“計算機管理”中，展開“本地用戶和組”，在“用戶”目錄上單擊鼠標右鍵，選擇“新用戶”命令，如圖2.3。圖2.2 計算機管理界面圖2.3 選擇“新用戶”命令任務(wù)任務(wù)1 1 用戶的創(chuàng)建與管理用戶的創(chuàng)建與管

6、理（3）打開“新用戶”對話框后，輸入用戶名、全名和描述，并且輸入密碼，如圖2.4所示。可以設(shè)置密碼選項，包括“用戶下次登錄時必須更改密碼”、“用戶不能更改密碼”等，設(shè)置完成后，單擊“創(chuàng)建”按鈕新增用戶賬戶，如圖2.4所示。圖2.4 “新增用戶”對話框任務(wù)任務(wù)1 1 用戶的創(chuàng)建與管理用戶的創(chuàng)建與管理2設(shè)置用戶賬戶的屬性在“本地用戶和組”的右側(cè)欄中，雙擊一個用戶，將顯示“user1屬性”對話框，如圖2.5所示。（1）“常規(guī)”選項卡可以設(shè)置與賬戶有關(guān)的描述信息（2）“隸屬于”選項卡在“隸屬于”選項卡中，可設(shè)置將該賬戶加入到其他的本地組中。（3）“配置文件”選項卡在“配置文件”選項卡可以設(shè)置用戶賬戶的

7、配置文件路徑、登錄腳本和主文件夾路徑。圖2.5 “user1屬性”對話框任務(wù)任務(wù)1 1 用戶的創(chuàng)建與管理用戶的創(chuàng)建與管理3刪除本地用戶賬戶在“計算機管理”控制臺中，選擇要刪除的用戶賬戶，執(zhí)行刪除 功 能 ， 如 圖 2 . 1 0 所 示 ， 但 是 系 統(tǒng) 內(nèi) 置 賬 戶 ， 如Administrator、Guest等無法刪除。刪除用戶賬戶時會出現(xiàn)如圖2.11所示的對話框。圖2.10 刪除用戶賬戶圖2.11 刪除賬戶時的對話框項目項目2 用戶和組的管理用戶和組的管理 任務(wù)任務(wù)2 組賬戶的創(chuàng)建與組賬戶的創(chuàng)建與管理管理2任務(wù)任務(wù)2 2 組賬戶的創(chuàng)建與管理組賬戶的創(chuàng)建與管理組賬戶是計算機的基本安全

8、組件，它是用戶賬戶的集合。但是，組賬戶并不能用于登錄計算機，但是可以用于組織用戶賬戶。通過使用組，管理員可以同時向一組用戶分配權(quán)限，故可簡化對用戶賬戶的管理。組可以用于組織用戶賬戶，讓用戶繼承組的權(quán)限。注意：同一個用戶賬戶可以同時為多個組的成員，這樣該用戶的權(quán)限就是所有組權(quán)限的合并。任務(wù)任務(wù)2 2 組賬戶的創(chuàng)建與管理組賬戶的創(chuàng)建與管理打開打開“計算機管理計算機管理”管理控制臺，在管理控制臺，在“本地用戶和組本地用戶和組”樹中的樹中的“組組”目錄里，可以查看本地內(nèi)置的所有組賬戶，如圖目錄里，可以查看本地內(nèi)置的所有組賬戶，如圖2.12所所示。示。圖2.12 內(nèi)置組賬戶任務(wù)任務(wù)2 2 組賬戶的創(chuàng)建與

9、管理組賬戶的創(chuàng)建與管理1創(chuàng)建本地用戶組從“計算機管理”控制臺中展開“本地用戶和組”，鼠標右鍵單擊“組”按鈕，選擇“新建組”命令，如圖2.13所示。在“新建組”窗口中輸入組名和描述，如圖2.14所示，然后單擊“創(chuàng)建”按鈕即可完成創(chuàng)建。在圖2.14中，在創(chuàng)建用戶組的同時向組中添加用戶，單擊“添加”按鈕，圖2.13 選擇“新建組”命令 圖2.14 輸入組名和描述 任務(wù)任務(wù)2 2 組賬戶的創(chuàng)建與管理組賬戶的創(chuàng)建與管理2刪除、重命名本地組及修改本地組成員在“計算機管理”控制臺中選擇要刪除的組賬戶，然后執(zhí)行刪除功能，如圖2.16所示，在彈出的對話框中選擇“是”即可。但是，管理員只能刪除新增的組，不能刪除系

10、統(tǒng)內(nèi)置的組。當管理員刪除系統(tǒng)內(nèi)置組時，系統(tǒng)將拒絕刪除操作。重命名組的操作與刪除組的操作類似。圖2.16 刪除操作項目項目2 用戶和組的管理用戶和組的管理任務(wù)任務(wù)3 設(shè)置本地安全策設(shè)置本地安全策略略3任務(wù)任務(wù)3 設(shè)置本地安全策略設(shè)置本地安全策略系統(tǒng)管理員可以通過設(shè)置安全策略，確保執(zhí)行的Windows Server 2003計算機的安全。Windows Server 2003在“管理工具”菜單提供了“本地安全設(shè)置”控制臺，可以集中管理本地計算機的安全設(shè)置原則，使用管理員賬戶登錄到本地計算機，即可打開“本地安全設(shè)置”控制臺，如圖2.19所示。圖2.19 “本地安全設(shè)置”控制臺任務(wù)任務(wù)3 設(shè)置本地安全

11、策略設(shè)置本地安全策略1密碼安全設(shè)置密碼安全設(shè)置Windows Server 2003的密碼原則主要包括以下四項：密碼必須符合復(fù)雜性要求，密碼長度最小值，密碼使用期限和強制密碼歷史等。（1）密碼必須符合復(fù)雜性要求。只要在“本地安全設(shè)置”中選擇“賬戶策略”下的“密碼策略”，雙擊右邊的“密碼必須符合復(fù)雜性要求”，選擇“已啟用”即可，如圖2.20所示。圖2.20 啟用密碼復(fù)雜性要求任務(wù)任務(wù)3 設(shè)置本地安全策略設(shè)置本地安全策略（2）密碼長度最小值。默認密碼長度最小值為0個字符。最好設(shè)置最小密碼長度為6或更長的字符。（3）密碼使用期限。默認密碼最長有效期設(shè)置為42天，用戶賬戶的密碼必須在42天之后修改，也

12、就是說密碼在42天之后會過期。默認密碼的最短有效期為0天，即用戶賬戶的密碼可以立即修改。與前面類似，可以修改默認密碼的最長有效期和最短有效期。（4）強制密碼歷史。默認強制密碼歷史為0個。如果將強制密碼歷史改為3個，即系統(tǒng)會記住最后3個用戶設(shè)置過的密碼，當用戶修改密碼時，如果為最后3個密碼之一，系統(tǒng)將拒絕用戶的要求。這樣可以防止用戶重復(fù)使用相同的字符來組成密碼。任務(wù)任務(wù)3 設(shè)置本地安全策略設(shè)置本地安全策略2 2賬戶鎖定策略賬戶鎖定策略賬戶鎖定閾值為“0次無效登錄”，可以設(shè)置為5次或更多的次數(shù)以確保系統(tǒng)安全，如圖2.23所示。3 3用戶權(quán)限分配用戶權(quán)限分配用戶權(quán)限的分配在“本地安全設(shè)置”的“本地策

13、略”下設(shè)置，如圖2.24所示。圖2.23 賬戶鎖定閾值圖2.24 用戶權(quán)限分配任務(wù)任務(wù)3 設(shè)置本地安全策略設(shè)置本地安全策略（2）允許本地登錄。決定哪些用戶可以交互式地登錄此計算機，默認為Administrators、Backup Operators、Power Users，如圖2.26所示。（3）關(guān)閉系統(tǒng)。決定哪些本地登錄計算機的用戶可以關(guān)閉操作系統(tǒng)。默認能夠關(guān)閉系統(tǒng)的是Administrators、Backup Operators和Power Users，如圖2.27所示。 圖2.26 允許在本地登錄界面 圖2.27 關(guān)閉系統(tǒng)界面 項目項目2 2 用戶和組的管理用戶和組的管理實訓(xùn)實訓(xùn)2 用戶

14、和組的管理用戶和組的管理 2實訓(xùn)實訓(xùn)2 用戶和組的管理用戶和組的管理 （1 1）熟悉）熟悉Windows Server 2003Windows Server 2003各種賬戶類型。各種賬戶類型。（2 2）熟悉）熟悉Windows Server 2003Windows Server 2003用戶賬戶的創(chuàng)建和管理。用戶賬戶的創(chuàng)建和管理。（3 3）熟悉）熟悉Windows Server 2003Windows Server 2003組賬戶的創(chuàng)建和管理。組賬戶的創(chuàng)建和管理。（4 4）熟悉）熟悉Windows Server 2003Windows Server 2003安全策略的設(shè)置。安全策略的設(shè)置。實訓(xùn)實訓(xùn)2 用戶和組的管理用戶