[第5單元]用戶與組的管理

1、 Windows Server 2008系統(tǒng)是一個多用戶多任務(wù)的分時操作系統(tǒng)，任何一個要使用系統(tǒng)資源的用戶，都必須首先向管理員申請一個賬號，然后以這個賬號的身份進(jìn)入系統(tǒng)。一方面可以幫助管理員對使用系統(tǒng)的用戶進(jìn)行跟蹤，并控制他們對系統(tǒng)資源的訪問，另一方面也可以利用組賬戶幫助管理員簡化操作的復(fù)雜程度，降低管理的難度。 三峽縱橫科技信息技術(shù)有限公司是一家主要提供計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)與維護(hù)的網(wǎng)絡(luò)技術(shù)服務(wù)公司，2007年為上市公司宜昌安琪集團(tuán)建設(shè)了集團(tuán)總部內(nèi)部的局域網(wǎng)絡(luò)，覆蓋了集團(tuán)四幢辦公大樓，近1000個節(jié)點(diǎn)，擁有各種類型的服務(wù)器三十余臺。集團(tuán)各公司的網(wǎng)絡(luò)早期都使用的是工作組的管理模式，計(jì)算機(jī)沒有辦法集中管

2、理，用戶訪問網(wǎng)絡(luò)資源也沒有辦法統(tǒng)一身份驗(yàn)證。網(wǎng)絡(luò)擴(kuò)建后開始使用了域模式來進(jìn)行管理，作為技術(shù)人員，你如何在域環(huán)境中實(shí)現(xiàn)集中管理集團(tuán)各公司計(jì)算機(jī)和域用戶，以及實(shí)現(xiàn)集中的身份驗(yàn)證？在計(jì)算機(jī)網(wǎng)絡(luò)中，計(jì)算機(jī)的服務(wù)對象是用戶，用戶通過賬戶訪問計(jì)算機(jī)資源，所以用戶也就是賬戶。所謂用戶的管理也就是賬戶的管理。每個用戶都需要有一個賬戶，以便登錄到域訪問網(wǎng)絡(luò)資源或登錄到某臺計(jì)算機(jī)訪問該機(jī)上的資源。組是用戶賬戶的集合，管理員通常通過組來對用戶的權(quán)限進(jìn)行設(shè)置從而簡化了管理。用戶賬戶由一個賬戶名和一個密碼來標(biāo)識，二者都需要用戶在登錄時鍵入。賬戶名是用戶的文本標(biāo)簽，密碼則是用戶的身份驗(yàn)證字符串，是在Windows Ser

3、ver 2008網(wǎng)絡(luò)上的個人唯一標(biāo)識。用戶賬戶通過驗(yàn)證后登錄到工作組或是域內(nèi)的計(jì)算機(jī)上，通過授權(quán)訪問相關(guān)的資源，它也可以作為某些應(yīng)用程序的服務(wù)賬戶。賬戶名的命名規(guī)則如下：賬戶名必須唯一，可以不用區(qū)分大小寫。最多包含20個大小寫字符和數(shù)字，輸入時可超過20個字符，但只識別前20個字符。不能使用保留字字符：”、/、：、；、|、=、，、+、*、？、，、。賬戶名不能只由句點(diǎn)（.）和空格組成?？梢允亲址蛿?shù)字的組合。賬戶名不能與被管理的計(jì)算機(jī)上任何其他用戶名或組名相同。為了維護(hù)計(jì)算機(jī)的安全，每個賬戶必須有密碼，設(shè)立密碼應(yīng)遵循以下規(guī)則：必須為Administrator賬戶分配密碼，防止未經(jīng)授權(quán)就使用。明確

4、是管理員還是用戶管理密碼，最好用戶管理自己的密碼。密碼的長度最好在8127之間。如果網(wǎng)絡(luò)包含運(yùn)行Windows 95或Windows 98的計(jì)算機(jī)，應(yīng)考慮使用不超過14個字符的密碼。如果密碼超過14個字符，則可能無法從運(yùn)行Windows 95或Windows 98的計(jì)算機(jī)登錄到網(wǎng)絡(luò)。使用不易猜出的字母組合，例如不要使用自己的名字、生日以及家庭成員的名字等。密碼可以使用大小寫字母、數(shù)字和其它合法的字符，并且嚴(yán)格區(qū)分大小寫。密碼最好不要為空白，若為空白，則系統(tǒng)默認(rèn)此用戶賬戶只能夠若為空白，則系統(tǒng)默認(rèn)此用戶賬戶只能夠本地登錄，無法網(wǎng)絡(luò)登錄本地登錄，無法網(wǎng)絡(luò)登錄（無法從其他計(jì)算機(jī)使用此賬戶來聯(lián)機(jī)）。W

5、indows Server 2008服務(wù)器有兩種工作模式：工作組模式和域模工作組模式和域模式式。域和工作組都是由一些計(jì)算機(jī)組成的，例如可以把企業(yè)的每個部門組織成一個域或者一個工作組，這種組織關(guān)系和物理上計(jì)算機(jī)之間的連接沒有關(guān)系，僅僅是是邏輯意義上的。企業(yè)的網(wǎng)絡(luò)中可以創(chuàng)建多個域和多個工作組，域和工作組之間的區(qū)別可以歸結(jié)為以下三點(diǎn)：（1）創(chuàng)建方式不同：工作組可以由任何一個計(jì)算機(jī)的管理員來創(chuàng)建，用戶在系統(tǒng)的“計(jì)算機(jī)名稱更改”對話框中輸入新的組名，重新啟動計(jì)算機(jī)后就創(chuàng)建了一個新組，每一臺計(jì)算機(jī)都有權(quán)利創(chuàng)建一個組；而域只能在域控制器上由管理員來創(chuàng)建，然后才允許其它的計(jì)算機(jī)加入這個域。（2）安全機(jī)制不同：

6、在域中有可以登錄該域的賬戶，這些由域管理員來建立與管理；在工作組中不存在工作組的賬戶，只有本機(jī)上的賬戶和密碼。（3）登錄方式不同：在工作組方式下，計(jì)算機(jī)啟動后自動就在工作組中；登錄域時要提交域用戶名和密碼，只到用戶登錄域成功之后，才被賦予相應(yīng)的權(quán)限。Windows Server 2008針對這兩種工作模式提供了三種不同類型的用戶賬戶，分別是本地用戶賬戶、域用戶賬戶和內(nèi)置用戶賬戶。1、本地用戶賬戶：本地用戶賬戶對應(yīng)對等網(wǎng)的工作組模式，建立在非域控制器的Windows Server 2008獨(dú)立服務(wù)器、成員服務(wù)器以及Windows XP客戶端的計(jì)算機(jī)上。本地賬戶只能在本地計(jì)算機(jī)上登錄，無法訪問域中

7、其它計(jì)算機(jī)資源。本地計(jì)算機(jī)上都有一個管理賬戶數(shù)據(jù)的數(shù)據(jù)庫，稱為安全賬戶管理器（SAM，Security Accounts Managers）。SAM數(shù)據(jù)庫文件路徑為系統(tǒng)盤下Windowssystem32configSAM。在SAM中，每個賬戶被賦予唯一的安全識別號（SID，Security Identifier），用戶要訪問本地計(jì)算機(jī)，都需要經(jīng)過該機(jī)SAM中的SID驗(yàn)證。在系統(tǒng)內(nèi)部，是使用SID來代表該用戶，同時權(quán)限也都是通過SID來記錄，而不是用戶賬戶名稱。例如某個文件的權(quán)限列表內(nèi)，會記錄著哪一些SID具有哪種權(quán)限，而不是哪一些用戶賬戶名稱有哪種權(quán)限。若賬戶刪除，然后再添加一個相同名稱的賬戶

8、，此時系統(tǒng)會分配給這個新賬戶一個新的SID，它與原賬戶的SID不同，因此這個新賬戶不會擁有原賬戶的權(quán)限。本地的驗(yàn)證過程，都由創(chuàng)建本地帳戶的本地計(jì)算機(jī)完成，沒有集中的網(wǎng)絡(luò)管理。2、域用戶賬戶：對應(yīng)于域模式網(wǎng)絡(luò)，域賬戶和密碼存儲在域控制器上Active Directory數(shù)據(jù)庫中，域數(shù)據(jù)庫的路徑為域控制器中的系統(tǒng)盤下WindowsNTDSNTDS.DIT。因此，域賬戶和密碼被域控制器集中管理。3、內(nèi)置賬戶：系統(tǒng)會在服務(wù)器上自動創(chuàng)建一些內(nèi)置賬戶Administrator（系統(tǒng)管理員）擁有最高的權(quán)限，管理著Windows Server 2008系統(tǒng)和域，用戶可以用它來管理計(jì)算機(jī)，例如創(chuàng)建、更改、刪除用

9、戶與組賬戶，設(shè)置安全原則、添加打印機(jī)、設(shè)置用戶權(quán)限等。系統(tǒng)管理員的默認(rèn)名字是Administrator，可以更改系統(tǒng)管理員的名字，但不能刪除該賬戶。該賬戶無法被禁止，永遠(yuǎn)不會到期，不受登錄時間和只能使用指定計(jì)算機(jī)登錄的限制。 Guest（來賓）是為臨時訪問計(jì)算機(jī)的用戶提供的，該賬戶自動生成，且不能被刪除，可以更改名字。Guest只有很少的權(quán)限，默認(rèn)情況下，該賬戶被禁止使用。例如當(dāng)希望局域網(wǎng)中的用戶都可以登錄到自己的計(jì)算機(jī)，但又不愿意為每一個用戶建立一個賬戶時，就可以啟用Guest。有個用戶之后，為了簡化網(wǎng)絡(luò)的管理工作，Windows Server 2008中提供了用戶組的概念。用戶組就是指具有

10、相同或者相似特性的用戶集合，我們可以把組看作一個班級，用戶便是班級里的學(xué)生。當(dāng)要給一批用戶分配同一個權(quán)限時，就可以將這些用戶都?xì)w到一個組中，只要給這個組分配此權(quán)限，組內(nèi)的用戶就都會擁有此權(quán)限。就好像給一個班級發(fā)了一個通知，班級內(nèi)的所有學(xué)生都會收到這個通知一樣，組是為了方便管理用戶的權(quán)限而設(shè)計(jì)的。組是指本地計(jì)算機(jī)或Active Directory中的對象，包括用戶、聯(lián)系人、計(jì)算機(jī)和其它組。在Windows Server 2008中，通過組來管理用戶和計(jì)算機(jī)對共享資源的訪問。如果賦予某個組訪問某個資源的權(quán)限，這個組的用戶都會自動擁有該權(quán)限。例如，網(wǎng)絡(luò)部的員工可能需要訪問所有與網(wǎng)絡(luò)相關(guān)的資源，這時不

11、用逐個向該部門的員工授予對這些資源的訪問權(quán)限，而是可以使員工成為網(wǎng)絡(luò)部的成員，以使用戶自動獲得該組的權(quán)限。如果某個用戶日后調(diào)往另一部門，只需將該用戶從組中刪除，所有訪問權(quán)限即會隨之撤銷。與逐個撤銷對各資源的訪問權(quán)限相比，該技術(shù)比較容易實(shí)現(xiàn)。一般組用于以下三個方面：（1）管理用戶和計(jì)算機(jī)對于共享資源的訪問，如網(wǎng)絡(luò)各項(xiàng)文件、目錄和打印隊(duì)列等；（2）篩選組策略；（3）創(chuàng)建電子郵件分配列表等。Windows Server 2008同樣使用唯一安全標(biāo)識符SID來跟蹤組，權(quán)限的設(shè)置都是通過SID進(jìn)行的，而不是利用組名。更改任何一個組的賬戶名，并沒有更改該組的SID，這意味著在刪除組之后又重新創(chuàng)建該組，不能

12、期望所有權(quán)限和特權(quán)都與以前相同。新的組將有一個新的安全標(biāo)識符，舊組的所有權(quán)限和特權(quán)已經(jīng)丟失。在Windows Server 2008中，用組賬戶來表示組，用戶只能通過用戶賬戶登錄計(jì)算機(jī)，不能通過組賬戶登錄計(jì)算機(jī)。注意：我們在前面學(xué)習(xí)過組織單元（OU），兩者是相同的概念嗎？組織單元是域中包含的一類目錄對象，它包括域中一些用戶、計(jì)算機(jī)和組、文件與打印機(jī)等資源。由于活動目錄服務(wù)把域詳細(xì)地劃分成組織單元，而組織單元還可以再劃分成下級組織單元，因此組織單元的分層結(jié)構(gòu)可用來建立域的分層結(jié)構(gòu)模型，進(jìn)而可使用戶把網(wǎng)絡(luò)所需的域的數(shù)量減至最小。組織單元具有繼承性，子單位能夠繼承父單位的訪問許可樹。域管理員可以使用

13、組織單元來創(chuàng)建管理模型，該模型可調(diào)整為任何尺寸，而且，域管理員可授予用戶對域中所有組織單元或單個組織單元的管理權(quán)限。組和組織單元有很大的不同，組主要用于權(quán)限設(shè)置，而組織單元則主要用于網(wǎng)絡(luò)構(gòu)建；另外，組織單元只表示單個域中的對象集合（可包括組對象），而組可以包含用戶、計(jì)算機(jī)、本地服務(wù)器上的共享資源，單個域、域目錄樹或目錄林。與用戶賬戶一樣，可以分別在為本地和域中創(chuàng)建組賬戶。創(chuàng)建在本地的組賬戶：創(chuàng)建在本地的組賬戶?？梢栽赪indows Server 2008/2003/2000/NT獨(dú)立服務(wù)器或成員服務(wù)器、Windows XP、Windows NT Workstation等非域控制器的計(jì)算機(jī)上創(chuàng)建

14、本地組。這些組賬戶的信息被存儲在本地安全賬戶數(shù)據(jù)庫（SAM）內(nèi)。本地組只能在本地機(jī)使用，它有兩種類型：用戶創(chuàng)建的組和系統(tǒng)內(nèi)置的組（后面將詳細(xì)介紹Windows Server 2008的內(nèi)置組）。創(chuàng)建在域的組賬戶：該賬戶創(chuàng)建在Windows Server 2008的域控制器上，組賬戶的信息被存儲在Active Directory數(shù)據(jù)庫中，這些組能夠被使用在整個域中的計(jì)算機(jī)上。根據(jù)組的作用范圍，Windows Server 2008域內(nèi)的組分為通用組、全局組和本地域組，這些組的特性說明如下。1、通用組：通用組可以指派所有域中的訪問權(quán)限，以便訪問每個域內(nèi)的資源。具有如下的特性：可以訪問任何一個域內(nèi)的

15、資源，成員能夠包含整個域目錄林中任何一個域內(nèi)的用戶、通用組、全局組，但無法包含任何一個域內(nèi)的本地域組。2、全局組：全局組主要用來組織用戶，即可以將多個即將被賦予相同權(quán)限的用戶賬戶加入到同一個全局組中。具有如下的特性：可以訪問任何一個域內(nèi)的資源成員只能包含與該組相同域中的用戶和其他全局組。3、本地域組：本地域組主要被用來指派在其所屬域內(nèi)的訪問權(quán)限，以便可以訪問該域內(nèi)的資源。具有如下的特性：只能訪問同一域內(nèi)的資源，無法訪問其他不同域內(nèi)的資源。成員能夠包含任何一個域內(nèi)的用戶、通用組、全局組以及同一個域內(nèi)的域本地組，但無法包含其他域內(nèi)的域本地組。組分類方法有很多，根據(jù)權(quán)限不同，可以分為安全組和分布式組

16、。安全組：安全組主要用于控制和管理資源的安全性。如果某個組是安全性的組，則可以在共享資源的屬性對話框中，選擇“共享”選項(xiàng)卡，并為該組的成員分配訪問控制權(quán)限，例如設(shè)置該組的成員對特定文件夾具有“寫入”的訪問權(quán)限。除此之外，還可以使用該組進(jìn)行管理，例如可以將信使所發(fā)送的信息發(fā)送給該組的所有成員。分布式組：通常分布式組來管理與安全性質(zhì)無關(guān)的任務(wù)。例如，可以將信使所發(fā)送的信息發(fā)送給某個分布式組，但是卻不能為其設(shè)置資源的權(quán)限，即不能在某個文件夾屬性對話框的“共享”選項(xiàng)卡中為該組的成員分配訪問控制權(quán)限。提示：、僅在支持活動目錄的計(jì)算機(jī)上，才能使用分布式組。、用戶建立的應(yīng)用型組和系統(tǒng)內(nèi)置或預(yù)定義的內(nèi)置組與用

17、戶組大都是安全組。、一個賬戶可以不隸屬于任何的組，也可以同時隸屬于多個組。使用組賬戶可以方便和簡化賬戶的管理。因?yàn)橘x予組的權(quán)限和許可時，對于組中所有賬戶的成員都會生效。 在Windows Server 2008中，如果想讓網(wǎng)絡(luò)中的其他計(jì)算機(jī)能夠登錄服務(wù)器，就必須給這些計(jì)算機(jī)分配用戶賬戶，這樣才能構(gòu)建出客戶機(jī)/服務(wù)器模式的網(wǎng)絡(luò)。通過對這些賬戶的管理，來滿足網(wǎng)絡(luò)管理員的日常管理需要。 通過任務(wù)掌握本地用戶賬戶與域用戶賬戶的創(chuàng)建與管理，特別是對賬戶進(jìn)行重新設(shè)置密碼、修改和重新命名等相關(guān)操作。1、創(chuàng)建本地賬戶本地賬戶是工作在本地機(jī)的，只有系統(tǒng)管理員才能在本地創(chuàng)建用戶。下面舉例說明如何創(chuàng)建本地用戶，例如

18、在Windows獨(dú)立服務(wù)器上創(chuàng)建本地帳戶User的操作步驟如下：1）選擇菜單“開始”“管理工具”“計(jì)算機(jī)管理”“本地用戶和組”命令，在彈出的“計(jì)算機(jī)管理”窗口中，右擊“用戶”，選擇“新用戶”命令，如圖5-1所示。2）彈出“新用戶”對話框，如圖5-2所示，該對話框中的選項(xiàng)介紹如下：用戶名：系統(tǒng)本地登錄時使用的名稱。全名：用戶的全稱。描述：關(guān)于該用戶的說明文字。密碼：用戶登錄時使用的密碼。確認(rèn)密碼：為防止密碼輸入錯誤，需再輸入一遍。用戶下次登錄時須更改密碼：用戶首次登錄時，使用管理員分配的密碼，當(dāng)用戶再次登錄時，強(qiáng)制用戶更改密碼，用戶更改后的密碼只有自己知道，這樣可保證安全使用。用戶不能更改密碼：

19、只允許用戶使用管理員分配的密碼。密碼永不過期：密碼默認(rèn)的有限期為42天，超過42天系統(tǒng)會提示用戶更改密碼，選中此項(xiàng)表示系統(tǒng)永遠(yuǎn)不會提示用戶修改密碼。賬戶已禁用：選中此項(xiàng)表示任何人都無法使用這個賬戶登錄，適用于企業(yè)內(nèi)某員工離職時，防止他人冒用該賬戶登錄。2、更改賬戶：要對已經(jīng)建立的賬戶更改登錄名，具體的操作步驟為：在“計(jì)算機(jī)管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇并右擊該賬戶，選擇“重命名”選項(xiàng)，輸入新名字，如圖5-3所示。3、刪除賬戶：如果某用戶離開公司，為防止其它用戶使用該用戶賬戶登錄，就要刪除該用戶的賬戶，具體的操作步驟為：在“計(jì)算機(jī)管理”窗口中，選擇“本地用戶和組”“

20、用戶”命令，在列表中選擇并右擊該賬戶，選擇“刪除”命令；單擊“是”按鈕，即可刪除。4、禁用與激活賬戶：當(dāng)某個用戶長期休假或離職時，就要禁用該用戶的賬戶，不允許該賬戶登錄，該賬戶信息會顯示為“X”。禁用與激活一個本地賬戶的操作基本相似，具體的操作步驟如下：在“計(jì)算機(jī)管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇并右擊該賬戶，選擇“屬性”命令，彈出“Userl屬性”對話框，選擇“常規(guī)”選項(xiàng)卡，選中“賬戶已禁用”復(fù)選框，如圖5-4所示，單擊“確定”按鈕，該賬戶即被禁用。如果要重新啟用某賬戶，只要取消選中“賬戶已禁用”復(fù)選框即可。5、更改賬戶密碼重設(shè)密碼可能會造成不可逆的信息丟失，要更改

21、用戶的密碼一般分以下二種情況：如 果 用 戶 在 知 道 密 碼 的 情 況 下 想 更 改 密 碼 ， 登 錄 后 按組合鍵，輸入正確的舊密碼，然后輸入新密碼即可。如果用戶忘記了登錄密碼，可以使用“密碼重設(shè)盤”來進(jìn)行密碼重設(shè)，密碼重設(shè)只能用于本地計(jì)算機(jī)中。 創(chuàng)建“密碼重設(shè)盤”的具體操作步驟如下：1）系統(tǒng)登錄后按組合鍵，進(jìn)入系統(tǒng)界面，如圖5-5所示，單擊“更改密碼”按鈕，彈出“更改密碼”窗口，如圖5-6所示。2）單擊“創(chuàng)建密碼重設(shè)盤”按鈕，進(jìn)入“歡迎使用忘記密碼向?qū)А睂υ捒?，對使用密碼重設(shè)盤進(jìn)行了簡要介紹，單擊“下一步”按鈕，進(jìn)入“創(chuàng)建密碼重置盤”對話框，如圖5-7所示，按照提示，在軟驅(qū)中插入

22、一張軟盤或是在USB接口中插入U(xiǎn)盤。3）單擊“下一步”按鈕，進(jìn)入“當(dāng)前用戶賬戶密碼”對話框，如圖5-8所示，輸入當(dāng)前的密碼，單擊“下一步”按鈕，開始創(chuàng)建密碼重設(shè)盤，創(chuàng)建完畢，進(jìn)入“正在完成忘記密碼向?qū)А睂υ捒颍瑔螕簟巴瓿伞卑粹o，即可完成密碼重設(shè)盤的創(chuàng)建。創(chuàng)建密碼重設(shè)盤后，如果忘記了密碼，可以插入這張制作好的“密碼重設(shè)盤”來設(shè)置新密碼，具體的操作步驟如下：1） 在系統(tǒng)登錄時輸入密碼有誤時，會進(jìn)入如圖5-9所示的密碼錯誤提示界面2）單擊“確定”按鈕，進(jìn)入如圖5-10所示的密碼出錯后登錄界面，單擊“重設(shè)密碼”按鈕，進(jìn)入“歡迎使用密碼重置向?qū)А睂υ捒颍藭r將密碼重設(shè)盤插入軟驅(qū)或者USB接口。3）單擊“

23、下一步”按鈕，進(jìn)入“插入密碼重置盤”對話框，如圖5-11所示。4）單擊“下一步”按鈕，進(jìn)入“重置用戶用戶帳戶和密碼”對話框，如圖5-12所示，輸入新密碼及密碼提示，單擊“下一步”按鈕，進(jìn)入“正在完成密碼重設(shè)向?qū)А睂υ捒?，單擊“完成”按鈕即可完成設(shè)置新密碼。提示：若無密碼重設(shè)盤，可直接在賬戶上更改密碼，缺點(diǎn)是用戶將無法訪問受保護(hù)的數(shù)據(jù)，例如用戶的加密文件、存儲在本機(jī)用來連接Internet的密碼等數(shù)據(jù)。步驟為：單擊“計(jì)算機(jī)管理”“本地用戶和組”選項(xiàng)，在“用戶”列表中選擇并右擊該賬戶，選擇“設(shè)置密碼”。1、創(chuàng)建域賬戶當(dāng)有新的用戶需要使用網(wǎng)絡(luò)上的資源時，管理員必須在域控制器中為其添加一個相應(yīng)的用戶賬

24、戶，否則該用戶無法訪問域中的資源。另一方面，當(dāng)有新的客戶計(jì)算機(jī)要加入到域中時，管理員必須在域控制器中為其創(chuàng)建一個計(jì)算機(jī)賬戶，以使它有資格成為域成員。創(chuàng)建域賬戶的具體操作步驟如下：1）在域控制器或者已經(jīng)安裝了域管理工具的計(jì)算機(jī)上的“控制面板”中，雙擊“管理工具”，選擇“Active Directory用戶和計(jì)算機(jī)”選項(xiàng)，彈出“Active Directory用戶和計(jì)算機(jī)”窗口，如圖5-13所示，在窗口的左部選中“Users”對象，右擊在彈出的快捷菜單中選擇“新建”“用戶”命令。2）進(jìn)入 “新建對象用戶”對話框，如圖5-14所示，輸入用戶的姓名以及登錄名等資料，注意登錄名才是用戶登錄系統(tǒng)所需要輸入

25、的。3）單擊“下一步”按鈕，打開密碼對話框，如圖5-15所示，輸入密碼并選擇對密碼的控制項(xiàng)，單擊“下一步”按鈕，單擊“完成”按鈕。4）創(chuàng)建完畢，在窗口右部的列表中會有新創(chuàng)建的用戶。域用戶是用一個人頭像來表示，和本地用戶的差別在于域的人頭像背后沒有計(jì)算機(jī)圖標(biāo)，如圖5-16所示，利用新建立的用戶可以直接登錄到Windows Server 2008/2003/XP/2000/NT等非域控制器的成員計(jì)算機(jī)上。2、刪除域賬戶在刪除域賬戶之前，要確定計(jì)算機(jī)或網(wǎng)絡(luò)上是否有該賬戶加密的重要文件，如果有則先將文件解密再刪除賬戶，否則該文件將不會被解密。刪除域賬戶的操作步驟為：在“計(jì)算機(jī)管理”窗口中，選擇“本地用

26、戶和組”“用戶”命令，在列表中選擇右擊要刪除的用戶名，在彈出的快捷菜單中選擇“刪除”命令即可。3、禁用域賬戶如果某用戶離開公司，就要禁用該賬戶，操作步驟為：在“計(jì)算機(jī)管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇右擊要禁用的賬戶名，在彈出的快捷菜單中選擇“禁用賬戶”命令即可。4、復(fù)制域賬戶：同一部門的員工一般都屬于相同的組，有基本相同的權(quán)限，系統(tǒng)管理員無需為每個員工建立新賬戶，只需要建好一個員工的賬戶，然后以此為模板，復(fù)制出多個賬戶即可，操作步驟如為：在“計(jì)算機(jī)管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇右擊選擇作為模板的賬戶，選擇“復(fù)制”命令，進(jìn)入“復(fù)制對象用戶

27、”對話框，與新建用戶賬戶步驟相似，依次輸入相關(guān)信息即可。5、移動域賬戶：如果某員工調(diào)動到新部門，系統(tǒng)管理員需要將該賬戶移到新部門的組織單元中去，只需用鼠標(biāo)將賬戶拖曳到新的組織單元即可移動域賬戶。6、重設(shè)密碼：當(dāng)用戶忘記密碼時，系統(tǒng)管理員也無法知道該密碼是什么，這時就需要重設(shè)密碼，操作步驟為：在“計(jì)算機(jī)管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇右擊要改密碼的賬戶，選擇“重設(shè)密碼”命令，進(jìn)入“重設(shè)密碼”對話框，輸入新密碼。建議用戶選中“用戶下次登錄時須更改密碼”復(fù)選框，單擊“確定”按鈕，這樣用戶下次登錄時，可重新設(shè)置自己的密碼。新建用戶賬戶后，管理員要對賬戶做進(jìn)一步的設(shè)置，例如添

28、加用戶個人信息、賬戶信息、進(jìn)行密碼設(shè)置、限制登錄時間等，這些都是通過設(shè)置賬戶屬性來完成的。1、用戶個人信息設(shè)置個人信息包括姓名、地址、電話、傳真、移動電話、公司、部門等信息，要設(shè)置這些詳細(xì)的信息，在賬戶屬性中的“常規(guī)”、“地址”、“電話”及“單位”等選項(xiàng)卡中設(shè)置即可，如圖5-17所示。2、登錄時間的設(shè)置限制要限制賬戶登錄的時間，需要設(shè)置賬戶屬性的“賬戶”選項(xiàng)卡，默認(rèn)情況下用戶可以在任何時間登錄到域。例如設(shè)置某用戶登錄時間是周一到周五早8點(diǎn)到晚18點(diǎn)，具體的操作步驟如下：1）在“計(jì)算機(jī)管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇右擊要改設(shè)置登錄時間的賬戶，選擇“屬性”菜單，選擇“

29、賬戶”標(biāo)簽，如圖5-18所示，選擇“登錄時間（L）”按鈕。2）打開“登錄時間”對話框，如圖5-19所示，選擇周一到周五早8點(diǎn)到晚18點(diǎn)時間段，選擇“允許登錄”單選按鈕，確定即可。注意這里只能限制用戶的登錄域的時間，如果用戶在允許時間段登錄，但一直連到超過時間，系統(tǒng)不能自動將其注銷。3、設(shè)置賬戶只能從特定計(jì)算機(jī)登錄系統(tǒng)默認(rèn)用戶可以從域內(nèi)任一臺計(jì)算機(jī)登錄域，也可以限制賬戶只能從特定計(jì)算機(jī)登錄，操作步驟為：在“計(jì)算機(jī)管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇并右擊賬戶，選擇“屬性”菜單，單擊“賬戶”選項(xiàng)卡，選擇“登錄到（T）”按鈕，在“登錄工作站”對話框中，如圖5-20所示，設(shè)置登

30、錄的計(jì)算機(jī)名。注意這里的計(jì)算機(jī)名稱只能是NetBIOS名稱，不支持DNS名和IP地址。4、設(shè)置賬戶過期日設(shè)置賬戶過期日，一般是為了不讓臨時聘用的人員在離職后繼續(xù)訪問網(wǎng)絡(luò)，通過對賬戶屬性事先進(jìn)行設(shè)置，可以使賬戶到期后自動失效，省去了管理員手工刪除該賬戶的操作。設(shè)置的步驟是：在“計(jì)算機(jī)管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇并右擊賬戶，單擊“屬性”“賬戶”“賬戶過期”選項(xiàng)，輸入合適的時間即可。5將賬戶加入到組默認(rèn)在域控制器上新建的賬戶是Domain Users組的成員，如果讓該用戶擁有其它組的權(quán)限，可以將該用戶加入到其它組中。例如將用戶劉本軍加入到“技術(shù)部”組中，操作步驟為：1

31、）在“計(jì)算機(jī)管理”窗口中，選擇“本地用戶和組”“用戶”命令，在列表中選擇并右擊賬戶“劉本軍”，彈出“劉本軍 屬性”對話框，選擇“隸屬于”選項(xiàng)卡，如圖5-21所示。2）單擊“添加”按鈕，彈出“選擇組”對話框，如圖5-22所示。3）單擊“高級（A）”按鈕，在彈出的“選擇組”對話框中，單擊“立即查找（N）”按鈕，然后在查找的結(jié)果中選擇組名“技術(shù)部”，如圖5-23所示，單擊“確定”按鈕。（注意：“技術(shù)部”組事先已建立好。）4）“技術(shù)部”組就被加入到“隸屬于”列表了，單擊“確定”按鈕即可將域賬戶加入到該組中來。 除去Windows Server 2008內(nèi)置組之外，用戶還可以根據(jù)實(shí)際需要創(chuàng)建自己的用戶組

32、。可以將一個部門的用戶全部放置到一個用戶組中，然后針對這個用戶組進(jìn)行屬性設(shè)定，這樣就能夠快速完成組內(nèi)所有用戶的屬性改動。 通過任務(wù)掌握本地組賬戶與域組賬戶的創(chuàng)建與管理，熟悉Windows Server 2008內(nèi)置的本地組和域組的相關(guān)特性。創(chuàng)建本地組賬戶的用戶必須是Administrators組或Account Operators組的成員，建立本地組賬戶并在本地組中添加成員的具體操作步驟如下：1）在獨(dú)立服務(wù)器上以Administrator身份登錄，右擊“我的電腦”，選擇“管理”“計(jì)算機(jī)管理”“本地用戶和組”“組”命令，右擊“組”，選擇“新建組”命令，如圖5-24所示。2）進(jìn)入“新建組”對話框，

33、如圖5-25所示，輸入組名、組的描述，單擊“添加”按鈕，即可把已有的賬戶或組添加到該組中，該組的成員在“成員”列表框中列出。3）單擊“創(chuàng)建”按鈕完成創(chuàng)建工作，本地組用背景為計(jì)算機(jī)的兩個人頭像表示，如圖5-26所示。4）管理本地組操作較簡單，在“計(jì)算機(jī)管理”窗口右部的組列表中，右擊選定的組，選擇快捷菜單中的相應(yīng)命令可以刪除組、更改組名，或者為組添加或刪除組成員。只有Administrators組的用戶才有權(quán)限建立域組賬戶，域組賬戶要創(chuàng)建在域控制器的活動目錄中。創(chuàng)建域組賬戶的步驟如下：（1）在域控制器上，選擇“開始”“管理工具”“Active Directory用戶和計(jì)算機(jī)”命令，單擊域名，右擊某

34、組織單位，選擇“新建”“組”命令，如圖5-27所示。（2）進(jìn)入“新建對象組”對話框，如圖4-35所示，輸入組名，選擇“組作用域”、“組類型”后，單擊“確定”按鈕即可完成創(chuàng)建工作。提示：關(guān)于“組作用域”和“組類型”，這兩項(xiàng)是創(chuàng)建組時要特別注意的，默認(rèn)情況下，系統(tǒng)會自動創(chuàng)建全局安全組。域組用兩個人頭像表示，人頭像背后沒有計(jì)算機(jī)圖標(biāo)，和本地組有區(qū)別，本地組也用兩個人頭像表示，但人頭像背后有計(jì)算機(jī)圖標(biāo)。Windows Server 2008在安裝時會自動創(chuàng)建一些組，這種組叫內(nèi)置組。內(nèi)置組又分為內(nèi)置本地組和內(nèi)置域組，內(nèi)置域組又分為內(nèi)置本地域組、內(nèi)置全局組和內(nèi)置通用組。1、內(nèi)置本地組：創(chuàng)建于Windows

35、 Server 2008/2003/2000/NT獨(dú)立服務(wù)器或成員服務(wù)器、Windows XP、Windows NT等非域控制器的“本地安全賬戶數(shù)據(jù)庫”中，這些組在建立的同時就已被賦予一些權(quán)限，以便管理計(jì)算機(jī)，如圖5-29所示。Administrators：在系統(tǒng)有最高權(quán)限，擁有賦予權(quán)限，添加系統(tǒng)組件，升級系統(tǒng)，配置系統(tǒng)參數(shù)，配置安全信息等權(quán)限。內(nèi)置的系統(tǒng)管理員賬戶是Administrators組的成員。如果這臺計(jì)算機(jī)加入到域中，域管理員自動加入到該組，并且有系統(tǒng)管理員的權(quán)限。Backup Operators：它是所有Windows Server 2008都有的組，可以忽略文件系統(tǒng)權(quán)限進(jìn)行備份

36、和恢復(fù)，可以登錄系統(tǒng)和關(guān)閉系統(tǒng)，可以備份加密文件。Cryptographic Operators：已授權(quán)此組的成員執(zhí)行加密操作。Dirtributed COM Users：允許此組的成員在計(jì)算機(jī)上啟動、激活和使用DCOM對象。Event Log Readers：此組的成員可以從本地計(jì)算機(jī)中讀取事件日志。Guests：內(nèi)置的Guest賬戶是該組的成員。IIS_IUSRS：這是Internet信息服務(wù)（IIS）使用的內(nèi)置組。Network Configuration Operators：該組內(nèi)的用戶可在客戶端執(zhí)行一般的網(wǎng)絡(luò)配置，例如更改IP，但不能添加/刪除程序，也不能執(zhí)行網(wǎng)絡(luò)服務(wù)器的配置工作。P

37、erformance Log Users：該組的成員可以從本地計(jì)算機(jī)和遠(yuǎn)程客戶端管理計(jì)數(shù)器、日志和警告，而不用成為Administrators組的成員。Performance Monitor Users：該組的成員可以從本地計(jì)算機(jī)和遠(yuǎn)程客戶端監(jiān)視性能計(jì)數(shù)器，而不用成為Administrators組或Performance Log Users組的成員。Power Users：存在于非域控制器上，可進(jìn)行基本的系統(tǒng)管理，如共享本地文件夾、管理系統(tǒng)訪問和打印機(jī)、管理本地普通用戶；但是它不能修改Administrators組、Backup Operators組，不能備份恢復(fù)文件，不能修改注冊表。Remo

38、te Desktop Users：該組的成員可以通過網(wǎng)絡(luò)遠(yuǎn)程登錄。Replicator：該組支持復(fù)制功能。Replicator組的唯一成員是域用戶賬戶，用于登錄域控制器的復(fù)制器服務(wù)，不能將實(shí)際用戶賬戶添加到該組中。Users：是一般用戶所在的組，新建的用戶都會自動加入該組對系統(tǒng)有基本的權(quán)力，如運(yùn)行程序，使用網(wǎng)絡(luò)，不能關(guān)閉Windows Server 2008，不能創(chuàng)建共享目錄和本地打印機(jī)。如果這臺機(jī)加入到域，則域的域用戶自動被加入到該組的Users組。Certificate Service DOCM Access：允許該組的成員連接到企業(yè)中的證書頒布發(fā)機(jī)構(gòu)。Print Operators：成員

39、可以管理域打印機(jī)。2、內(nèi)置域組：活動目錄中組按照能夠授權(quán)的范圍，分為本地域組、全局組和通用組。（1）內(nèi)置本地域組內(nèi)置本地域組代表的是對某種資源的訪問權(quán)限。創(chuàng)建本地域組的目的是針對某種資源的訪問情況而創(chuàng)建的。例如在網(wǎng)絡(luò)上有一個激光打印機(jī)，針對該打印機(jī)的使用情況，可以創(chuàng)建一個“激光打印機(jī)使用者”本地域組，然后授權(quán)該組使用該打印機(jī)。以后哪個用戶或全局組需要使用打印機(jī)，可以直接將用戶或組添加到“激光打印機(jī)使用者”，就等于授權(quán)使用打印機(jī)了。自己創(chuàng)建的本地域組，可以授權(quán)訪問本域計(jì)算機(jī)上的資源，它代表的是訪問資源的權(quán)限；其成員可以是本域的用戶、組或其他域的用戶組；只能授權(quán)其訪問本域資源，其他域中的資源不能拭

40、授權(quán)其訪問。這些內(nèi)置的本地域組位于活動目錄的Builtin容器內(nèi)，如圖5-30所示，下面列出幾個較常用的本地域組。Account Operator：系統(tǒng)默認(rèn)其組成員可以在任何一個容器（Builtin容器和域控制器組織單元除外）或組織單元內(nèi)創(chuàng)建、刪除賬戶、更改用戶賬戶、組賬戶和計(jì)算機(jī)賬戶組，但不能更改和刪除Administrators組與Domain Admins組的成員。Administrator：成員可以在所有域控制器上完成全部管理工作，默認(rèn)的成員有Administrator用戶、Domain Admins全局組、Enterprise Admins全局組等。Backup Operators：

41、成員可以備份和還原所有域控制器內(nèi)的文件和文件夾，可以關(guān)閉域控制器。Guest：成員只能完成授權(quán)的任務(wù)、訪問授權(quán)的資源，默認(rèn)時Guest和全局組Domain Guests是該組的成員。Network Configuration Operators：其成員可以域控制器上執(zhí)行一般的網(wǎng)絡(luò)設(shè)置工作。pre-Windows 2000 Compatible Access：該組主要是為了與Windows NT 4.0（或更舊的系統(tǒng)）兼容，其成員可讀取Windows Server 2008域中所有用戶與組賬戶。其默認(rèn)成員為特殊組Everyone。只有在用戶使用的計(jì)算機(jī)是Windows NT 4.0或更舊的系統(tǒng)時

42、，才將用戶加入該組中。Printer Operators：其成員可以創(chuàng)建、停止或管理在域控制器上的共享打印機(jī)，也可以關(guān)閉域控制器。Remote Desktop Users：其成員可以通過遠(yuǎn)程計(jì)算機(jī)登錄。Server Operators：其成員可以創(chuàng)建、管理、刪除域控制器上的共享文件夾與打印機(jī)，備份與還原域控制器內(nèi)的文件，鎖定與解開域控制器，將域控制器上的硬盤格式化，更改域控制器的系統(tǒng)時間，關(guān)閉域控制器等。Users：默認(rèn)時，Domain Users組是其成員，可以用該組來指定每個在域中賬戶應(yīng)該具有的基本權(quán)限。 （2）內(nèi)置全局組：當(dāng)創(chuàng)建一個域時，系統(tǒng)會在活動目錄中創(chuàng)建一些內(nèi)置的全局組，其本身并沒

43、有任何權(quán)利與權(quán)限，但是可以通過將其加入到具備權(quán)利或權(quán)限的域本地組內(nèi)，或者直接為該全局組指派權(quán)利或權(quán)限。這些內(nèi)置的全局組位于Users容器內(nèi)，下面列出幾個較為常用的全局組，如圖5-31所示。Domain Admins：域內(nèi)的成員計(jì)算機(jī)會自動將該組加入到其Administrators組中，此該組內(nèi)的每個成員都具備系統(tǒng)管理員的權(quán)限。該組默認(rèn)成員為域用戶Administrator。Domain Computers：所有加入該域的計(jì)算機(jī)都被自動加入到該組內(nèi)。Domain Controllers：域內(nèi)的所有域控制器都被自動加入到該組內(nèi)。Domain Users：域內(nèi)的成員計(jì)算機(jī)會自動將該組加入到其User

44、s組中，該組默認(rèn)的成員為域用戶Administrator，以后添加的域用戶賬戶都自動屬于該Domain Users全局組。Domain Guests：Windows Server 2008會自動將該組加入到Guests域本地組內(nèi)，該組默認(rèn)的成員為用戶賬戶Guest。Enterprise Admins：該組只存在于整個域目錄林的根域中，其成員具有管理整個目錄林內(nèi)的所有域的權(quán)利。SchemaAdmins：只存在于整個域目錄林的根域中，其成員具備管理架構(gòu)的權(quán)利。Group Policy Creator Owners：該組中的成員可以修改域的組策略。Read-only Domain Controlle

45、rs：此組中的成員是域中只讀域控制器。（3）內(nèi)置通用組和全局組的作用一樣，目的是根據(jù)用戶的職責(zé)合并用戶。與全局且不同的是，在多域環(huán)境中它能夠合并其他域中的域用戶賬戶，例如可以把兩個域中的經(jīng)理賬戶添加到一個通用組。在多域環(huán)境中，可以在任何域中為其授權(quán)。（4）內(nèi)置的特殊組特殊組存在于每一臺Windows Server 2008計(jì)算機(jī)內(nèi)，用戶無法更改這些組的成員，也就是說，無法在“Active Directory用戶和計(jì)算機(jī)或“本地用戶與組”內(nèi)看到、管理這些組。這些組只有在設(shè)置權(quán)利、權(quán)限時才看得到。以下列出幾個較為常用的特殊組。Everyone：包括所有訪問該計(jì)算機(jī)的用戶，如果為Everyone指定

46、了權(quán)限并啟用Guest賬戶時一定要小心，Windows會將沒有有效賬戶的用戶當(dāng)成Guest賬戶，該賬戶自動得到Everyone的權(quán)限。Authenticated Users：包括在計(jì)算機(jī)上或活動目錄中的所有通過身份驗(yàn)證的賬戶，用該組代替Everyone組可以防止匿名訪問。Creator Owner：文件等資源的創(chuàng)建者就是該資源的Creator Owner。不過，如果創(chuàng)建是屬于Administrators組內(nèi)的成員，則其Creator Owner為Administrators組。Network：包括當(dāng)前從網(wǎng)絡(luò)上的另一臺計(jì)算機(jī)與該計(jì)算機(jī)上的共享資源保持聯(lián)系 的任何賬戶。Interactive：包括

47、當(dāng)前在該計(jì)算機(jī)上登錄的所有賬戶。Anonymous Logon：包括Windows Server 2008不能驗(yàn)證身份的任何賬戶。注意，在Windows Server 2008中，Everyone組內(nèi)并不包含Anonymous Logon組。Dialup：包括當(dāng)前建立了撥號連接的任何賬戶。 用戶可以通過用戶配置文件維護(hù)自己的桌面環(huán)境，以便讓用戶在每次登錄時，都有統(tǒng)一的工作環(huán)境與界面，如相同的桌面、相同的網(wǎng)絡(luò)打印機(jī)、相同的窗口顯示等。 通過任務(wù)掌握本地用戶配置文件、漫游用戶配置文件的創(chuàng)建與使用，了解強(qiáng)制用戶配置文件的作用。用戶配置文件是使用計(jì)算機(jī)符合所需的外觀和工作方式的設(shè)置的集合，其中包括桌面

48、背景、屏幕保護(hù)程序、指針首選項(xiàng)、聲音設(shè)置及其他功能的設(shè)置。用戶配置文件可以確保只要登錄到Windows便會使用個人首選項(xiàng)。與用于登錄到Windows的用戶賬戶不同，每個賬戶至少有一個與其關(guān)聯(lián)的用戶配置文件。1、用戶配置文件的類型Windows Server 2008所提供的用戶配置文件主要分為以下三種：（1）本地用戶配置文件：當(dāng)一個用戶第一次登錄到一臺計(jì)算機(jī)上時，創(chuàng)建的用戶配置文件就是本地用戶配置文件。一臺計(jì)算機(jī)上可以有多個本地用戶配置文件，分別對應(yīng)于每一個曾經(jīng)登錄過該計(jì)算機(jī)的用戶。域用戶的配置文件夾名字的形式為“用戶名.域名”，而本地用戶的配置文件的名字是直接以用戶命名的。用戶配置文件不能直

49、接被編輯，要想修改配置文件的內(nèi)容需要以該用戶登錄，然后手動修改用戶的工作環(huán)境如桌面、“開始”菜單、鼠標(biāo)等，系統(tǒng)會自動地將修改后的配置保存到用戶配置文件中。（2）漫游用戶配置文件該文件只適用于域用戶，域用戶才有可能在不同的計(jì)算機(jī)上登錄。當(dāng)一個用戶需要經(jīng)常在其他計(jì)算機(jī)上登錄，并且每次都希望使用相同的工作環(huán)境時，就需要使用漫游用戶配置文件。該配置文件被保存在網(wǎng)絡(luò)中的某臺服務(wù)器上，并且當(dāng)用戶更改了其工作環(huán)境后，新的設(shè)置也將自動保存到服務(wù)器上的配置文件中，以保證其在任何地點(diǎn)登錄都能使用相同的新的工作環(huán)境。所有的域用戶賬戶默認(rèn)使用的是該類型的用戶配置文件，該文件是在用戶第一次登錄時由系統(tǒng)自動創(chuàng)建的。（3）

50、強(qiáng)制性用戶配置文件強(qiáng)制性用戶配置文件不保存用戶對工作環(huán)境的修改，當(dāng)用戶更改了工作環(huán)境參數(shù)之后退出登錄再重新登錄時，工作環(huán)境又恢復(fù)到強(qiáng)制用戶配置文件中所設(shè)定的狀態(tài)。當(dāng)需要一個統(tǒng)一的工作環(huán)境時該文件就十分有用。該文件由管理員控制，可以是本地的也可以是漫游的用戶配置文件，通常將強(qiáng)制性用戶配置文件保存在某臺服務(wù)器上，這樣不管用戶從哪臺計(jì)算機(jī)上登錄都將得到一個相同且不能更改的工作環(huán)境。因此強(qiáng)制性用戶配置文件有時也被稱為強(qiáng)制性漫游用戶配置文件。2、用戶配置文件的內(nèi)容用戶配置文件并不是一個單獨(dú)的文件，而是由用戶配置文件夾、Ntuser.dat文件和All User（公用）文件夾三部分內(nèi)容組成，這三部分內(nèi)容在

51、用戶配置文件中起著不同的作用。（1）用戶配置文件夾打開資源管理器，在“用戶”文件夾內(nèi)有一些以用戶名命名的子文件夾，它們包含了相應(yīng)用戶的桌面設(shè)置、開始菜單等用戶工作環(huán)境的設(shè)置，如圖5-32所示。（2）Ntuser.dat文件用戶配置文件夾內(nèi)有部分?jǐn)?shù)據(jù)存儲在注冊表的HKEY_CURRENT_USER內(nèi)，存儲著當(dāng)前登錄用戶的環(huán)境設(shè)置數(shù)據(jù)。隱藏文件Ntuser.dat即HKEY_CURRENT_USER數(shù)據(jù)存儲的位置。（3）All User（公用）文件夾它包含所有用戶的公用數(shù)據(jù)，如公用程序組中包含了每個用戶登錄都可以使用的程序。1、創(chuàng)建和使用本地用戶配置文件計(jì)算機(jī)內(nèi)All User（公用）文件夾的內(nèi)容

52、構(gòu)成了第一次在該計(jì)算機(jī)登錄的用戶的桌面環(huán)境。用戶登錄后，可以定制自己的工作環(huán)境，當(dāng)用戶注銷時，這些設(shè)置的更改會存儲到這個用戶的本地用戶配置文件文件夾內(nèi)。若使用域賬戶登錄，則會在計(jì)算機(jī)內(nèi)建立一個名為“用戶名.域名”的用戶配置文件文件夾。用鼠標(biāo)右鍵單擊“計(jì)算機(jī)”圖標(biāo)，在彈出的菜單中選擇“屬性”命令，打開“系統(tǒng)屬性”對話框，選擇“高級”選項(xiàng)卡，在“用戶配置文件”欄中單擊“設(shè)置”按鈕，可以查看當(dāng)前計(jì)算機(jī)內(nèi)的用戶配置文件及其屬性，如圖5-33所示。2創(chuàng)建和使用漫游用戶配置文件漫游用戶文件只適用于域用戶，它存儲在網(wǎng)絡(luò)服務(wù)器中，無論用戶從域內(nèi)哪臺計(jì)算機(jī)登錄，都可以讀取它的漫游用戶配置文件。用戶注銷時，發(fā)生的改變會被同時存儲到網(wǎng)絡(luò)服務(wù)器中的漫游配置文件夾和本地用戶配置文件，若相同，則直接使用本地用戶配置文件，提高讀取效率。若無法訪問漫游用戶配置文件，用戶首次登錄時會以Default User配置文件的內(nèi)容設(shè)置環(huán)境，當(dāng)用戶注銷時不會被存儲；若以前登錄過，則使用它在計(jì)算機(jī)中的本地用戶配置文件。假設(shè)要指定域用戶“劉本軍”（登錄名為liubj）來使用漫游用戶配置文件，并設(shè)置將這個漫游用戶配置文件存儲在服務(wù)器“Win2008”的共享文件夾內(nèi)，具體的操作步驟如下：1）以域管理員的身份在域