windows-server-2008用戶與組管理

用戶和組的管理用戶和組的管理項目情境嶺南信息技術有限公司于2012年為某上市公司擴建了集團總部的內部局域網，該局域網覆蓋了集團的3棟辦公大樓，包括信息點共計1000余個，并擁有各類服務器約30余臺。由于公司計算機和用戶數量較多，因此，為了方便管理，要根據用戶所屬的部門類型設置不同的賬戶和權限，那么如何正確而有效地進行用戶和組的管理才能實現這一目的呢？項目2用戶和組的管理項目分析（1）為了保證系統(tǒng)資源合理利用，需要局域網中的用戶向管理員申請賬戶，通過賬戶進入系統(tǒng)，從而方便管理員對特定的用戶進行跟蹤和管理，控制這些用戶對資源的訪問。（2）可以利用組賬戶幫助管理員簡化操作的復雜程度，同一類型的用戶可以加入同一個組，從而降低管理的難度。用戶和組的管理項目目標（1）熟悉用戶賬戶的創(chuàng)建與管理。（2）熟悉組賬戶的創(chuàng)建與管理。（3）掌握本地安全策略的設置。項目2用戶和組的管理項目任務任務1用戶的創(chuàng)建與管理任務2組賬戶的創(chuàng)建與管理任務3設置本地安全策略用戶和組的管理任務1用戶的創(chuàng)建與管理1用戶的創(chuàng)建與管理任務知識準備1．用戶賬戶概述用戶賬戶是計算機的基本安全組件，計算機通過用戶賬戶來辨別用戶身份，讓有使用權限的人登錄計算機，訪問本地計算機資源或從網絡訪問這臺計算機的共享資源。指派不同用戶不同的權限，可以讓用戶執(zhí)行不同的計算機管理任務。 2．系統(tǒng)的內置賬戶Administrator和GuestAdministrator：使用內置Administrator賬戶可以對整臺計算機或域配置進行管理，如創(chuàng)建修改用戶賬戶和組、管理安全策略、創(chuàng)建打印機、分配允許用戶訪問資源的權限等。Guest：一般的臨時用戶可以使用內置Guest賬戶進行登錄并訪問資源。

任務1用戶的創(chuàng)建與管理3．用戶賬戶的命名規(guī)則（1）命名約定。①賬戶名必須唯一：本地賬戶必須在本地計算機上唯一。②賬戶名不能包含的字符：*/\[]::|=，+/<>“。③賬戶名最長不能超過20個字符。（2）密碼原則。①一定要給Administrator賬戶指定一個密碼，以防止他人隨便使用該賬戶。②確定是管理員還是用戶擁有密碼的控制權。③密碼不能太簡單，應該不容易讓他人猜出。④密碼最多可由128個字符組成，推薦最小長度為8個字符。⑤密碼應由大小寫字母、數字以及合法的非字母數字的字符混合組成，如“P@ssw0rd”。

任務1用戶的創(chuàng)建與管理任務實施1．創(chuàng)建本地用戶賬戶（1）打開“開始→管理工具→計算機管理”，如圖2.2所示。（2）在“計算機管理”管理控制臺中，展開“本地用戶和組”，在“用戶”目錄上單擊鼠標右鍵，選擇“新用戶”命令，如圖2.3。圖2.2計算機管理界面圖2.3選擇“新用戶”命令用戶的創(chuàng)建與管理任務實施（3）打開“新用戶”對話框后，輸入用戶名、全名和描述，并且輸入密碼，如圖2.4所示?？梢栽O置密碼選項，包括“用戶下次登錄時必須更改密碼”、“用戶不能更改密碼”等，設置完成后，單擊“創(chuàng)建”按鈕新增用戶賬戶，如圖2.4所示。圖2.4“新增用戶”對話框任務1用戶的創(chuàng)建與管理任務實施2．設置用戶賬戶的屬性在“本地用戶和組”的右側欄中，雙擊一個用戶，將顯示“user1屬性”對話框，如圖2.5所示。（1）“常規(guī)”選項卡可以設置與賬戶有關的描述信息（2）“隸屬于”選項卡在“隸屬于”選項卡中，可設置將該賬戶加入到其他的本地組中。（3）“配置文件”選項卡在“配置文件”選項卡可以設置用戶賬戶的配置文件路徑、登錄腳本和主文件夾路徑。圖2.5“user1屬性”對話框任務1用戶的創(chuàng)建與管理任務實施3．刪除本地用戶賬戶在“計算機管理”控制臺中，選擇要刪除的用戶賬戶，執(zhí)行刪除功能，如圖2.10所示，但是系統(tǒng)內置賬戶，如Administrator、Guest等無法刪除。刪除用戶賬戶時會出現如圖2.11所示的對話框。圖2.10刪除用戶賬戶圖2.11刪除賬戶時的對話框項目2用戶和組的管理任務2組賬戶的創(chuàng)建與管理2組賬戶的創(chuàng)建與管理任務知識準備組賬戶是計算機的基本安全組件，它是用戶賬戶的集合。但是，組賬戶并不能用于登錄計算機，但是可以用于組織用戶賬戶。通過使用組，管理員可以同時向一組用戶分配權限，故可簡化對用戶賬戶的管理。組可以用于組織用戶賬戶，讓用戶繼承組的權限。注意：同一個用戶賬戶可以同時為多個組的成員，這樣該用戶的權限就是所有組權限的合并。任務2組賬戶的創(chuàng)建與管理打開“計算機管理”管理控制臺，在“本地用戶和組”樹中的“組”目錄里，可以查看本地內置的所有組賬戶，如圖2.12所示。圖2.12內置組賬戶組賬戶的創(chuàng)建與管理任務實施1．創(chuàng)建本地用戶組從“計算機管理”控制臺中展開“本地用戶和組”，鼠標右鍵單擊“組”按鈕，選擇“新建組”命令，如圖2.13所示。在“新建組”窗口中輸入組名和描述，如圖2.14所示，然后單擊“創(chuàng)建”按鈕即可完成創(chuàng)建。在圖2.14中，在創(chuàng)建用戶組的同時向組中添加用戶，單擊“添加”按鈕，圖2.13選擇“新建組”命令圖2.14輸入組名和描述任務2組賬戶的創(chuàng)建與管理任務實施2．刪除、重命名本地組及修改本地組成員在“計算機管理”控制臺中選擇要刪除的組賬戶，然后執(zhí)行刪除功能，如圖2.16所示，在彈出的對話框中選擇“是”即可。但是，管理員只能刪除新增的組，不能刪除系統(tǒng)內置的組。當管理員刪除系統(tǒng)內置組時，系統(tǒng)將拒絕刪除操作。重命名組的操作與刪除組的操作類似。圖2.16刪除操作用戶和組的管理任務3設置本地安全策略3設置本地安全策略任務知識準備系統(tǒng)管理員可以通過設置安全策略，確保執(zhí)行的WindowsServer2003計算機的安全。WindowsServer2003在“管理工具”菜單提供了“本地安全設置”控制臺，可以集中管理本地計算機的安全設置原則，使用管理員賬戶登錄到本地計算機，即可打開“本地安全設置”控制臺，如圖2.19所示。圖2.19“本地安全設置”控制臺任務3設置本地安全策略任務實施1．密碼安全設置WindowsServer2003的密碼原則主要包括以下四項：密碼必須符合復雜性要求，密碼長度最小值，密碼使用期限和強制密碼歷史等。（1）密碼必須符合復雜性要求。只要在“本地安全設置”中選擇“賬戶策略”下的“密碼策略”，雙擊右邊的“密碼必須符合復雜性要求”，選擇“已啟用”即可，如圖2.20所示。圖2.20啟用密碼復雜性要求任務3設置本地安全策略（2）密碼長度最小值。默認密碼長度最小值為0個字符。最好設置最小密碼長度為6或更長的字符。（3）密碼使用期限。默認密碼最長有效期設置為42天，用戶賬戶的密碼必須在42天之后修改，也就是說密碼在42天之后會過期。默認密碼的最短有效期為0天，即用戶賬戶的密碼可以立即修改。與前面類似，可以修改默認密碼的最長有效期和最短有效期。（4）強制密碼歷史。默認強制密碼歷史為0個。如果將強制密碼歷史改為3個，即系統(tǒng)會記住最后3個用戶設置過的密碼，當用戶修改密碼時，如果為最后3個密碼之一，系統(tǒng)將拒絕用戶的要求。這樣可以防止用戶重復使用相同的字符來組成密碼。任務實施任務3設置本地安全策略任務實施2．賬戶鎖定策略賬戶鎖定閾值為“0次無效登錄”，可以設置為5次或更多的次數以確保系統(tǒng)安全，如圖2.23所示。3．用戶權限分配用戶權限的分配在“本地安全設置”的“本地策略”下設置，如圖2.24所示。圖2.23賬戶鎖定閾值圖2.24用戶權限分配任務3設置本地安全策略任務實施（2）允許本地登錄。決定哪些用戶可以交互式地登錄此計算機，默認為Administrators、BackupOperators、PowerUsers，如圖2.26所示。（3）關閉系統(tǒng)。決定哪些本地登錄計算機的用戶可以關閉操作系統(tǒng)。默認能夠關閉系統(tǒng)的是Administrators、BackupOperators和PowerUsers，如圖2.27所示。圖2.26允許在本地登錄界面圖2.27關閉系統(tǒng)界面項目2用戶和組的管理實訓2用戶和組的管理

2實訓2用戶和組的管理實訓目標（1）熟悉WindowsServer2003各種賬戶類型。（2）熟悉WindowsServer2003用戶賬戶的創(chuàng)建和管理。（3）熟悉WindowsServer2003組賬戶的創(chuàng)建和管理。（4）熟悉WindowsServer2003安全策略的設置。實訓2用戶和組的管理實訓準備（1）網絡環(huán)境：已建好1