Windows_Server_2003本地账户和组的概念

实训七管理用户和组一、实训目的1．掌握本地帐户与域帐户的管理方法；2．掌握设置帐户属性的方法；3．掌握用户配置文件的创建方法；4．掌握用户组的管理方法；5．在活动目录中利用OU管理资源的方法。

二、实训环境Win2003server 1台、直通双绞线4根(每根3米)、WinXP 3台，组网形式如下。

三、实训理论基础每个用户都需要有一个帐户，以便登录到域访问网络资源或登录到某台计算机访问该机上的资源，创建和管理用户对象是网络管理员执行的最常见任务。

组是用户帐户的集合，管理员通常通过组来对用户的权限进行设置从而简化了管理。

1．用户账户简介Windows Server 2003提供两种主要类型用户账户：本地用户账户（Local User Account）和域用户账户（Domain User Account）。

除此之外，Windows Server 2003系统中还有内置用户账户（Built-in User Account）。

2．本地用户账户本地用户帐户只能登录到帐户所在的计算机并获得对该资源的访问。

当创建本地用户帐户后，Windows Server 2003将在该机的本地安全性数据库中创建该帐户，本地帐户信息存储在本地，不会被复制到其他计算机或域控制器。

当创建一个本地用户账户后，计算机使用本地安全性数据库验证本地用户账户，以便让用户登录到该计算机。

3．创建本地用户账户创建本地用户账户可以在除了域的域控制器以外的任何一台基于Windows Server 2003的计算机上进行。

出于安全性考虑，通常建议只在不是域的组成部分的计算机上创建和使用本地用户账户，即在属于域的计算机上不要设置本地账户。

工作组模式是使用本地用户账户的最佳场所，如图4．域用户账户域用户账户可让用户登录到域并获得对网络上其他地方资源的访问权。

域用户账户是在域控制器上建立的，作为Active Directory 的一个对象保存在域的Active Directory 数据库中。

1、本地域组：多域用户访问单域资源（访问同一个域）本地域组的成员可包括Windows Server2003、Windows 2000或WindowsNT域中的其他组和账户，而且只能在其所在域内指派权限。

2、全局组：单域用户访问多域资源（必须是一个域里面的用户）全局组的成员可包括其所在域中的其他组和账户，而且可在林中的任何域中指派权限；3、通用组：多域用户访问多域资源通用组的成员可包括域树或林中任何域的其他组和账户，而且可在该域树或林中的任何域中指派权限；当域功能级别设置为Windows2000混合模式时，不能创建具有通用组的安全组。

本地域组：可以从任何域添加用户账户、通用组和全局组。

域本地组不能嵌套于其他组中。

它主要是用于授予位于本域资源的访问权限。

全局组：只能在创建该全局组的域上进行添加用户账户和全局组，但全局组可以嵌套在其他组中。

可以将某个全局组添加到同一个域上的另一个全局组中，或添加到其他域的通用组和域本地组中（注意这里不能它加入到不同域的全局组中，全局组只能在创建它的域中添加用户和组）。

虽然可以利用全局组授予访问任何域上的资源的权限，但一般不直接用它来进行权限管理。

通用组：通用组是集合了上面两种组的优点，即可以从任何域中添加用户和组，可以嵌套于其他域组中。

比如：有两个域，A和B，A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹。

这时，可以在B中建一个DL，因为DL的成员可以来自所有的域，然后把这8个人都加入这个DL，并把FINA的访问权赋给DL。

这样做的坏处是什么呢？因为DL 是在B域中，所以管理权也在B域，如果A域中的5个人变成6个人，那只能A域管理员通知B域管理员，将DL的成员做一下修改，B域的管理员太累了。

这时候，我们改变一下，在A和B域中都各建立一个全局组（G），然后在B域中建立一个DL，把这两个G都加入B域中的DL中，然后把FINA的访问权赋给DL。

哈哈，这下两个G组都有权访问FINA文件夹了，是吗？组嵌套造成权限继承嘛！这时候，两个G分布在A和B域中，也就是A和B的管理员都可以自己管理自己的G啦，只要把那5个人和3个人加入G中，就可以了！以后有任何修改，都可以自己做了，不用麻烦B域的管理员！这就是A-G-DL-P。

管理Active Directory用户和计算机服务器技术2010-01-26 21:36:55 阅读133 评论0 字号：大中小在使用Windows Server 2003 所包括的Active Directory服务的网络上，每个用户都必须由目录中的一个用户对象来表示。

用户对象由包含用户信息的属性和用户在网络上的权利组成。

创建和管理用户对象是网络管理员执行的常见任务。

一、用户账号简介用户账号可为用户提供登录到域以访问网络资源或登录到计算机以访问该机资源的能力。

定期使用网络的每个人都应有一个惟一的用户账号。

Windows Server 2003提供两种主要类型的用户账号：本地用户账号和域用户账号。

除此之外，Windows Server 2003系统中还有内置的用户账号。

1.本地用户账号（Local User Account）本地用户账号只能登录到账号所在计算机并获得对该资源的访问。

当创建本地用户账号后，Windows Server 2003将在该机的本地安全性数据库中创建该账号，本地账号信息仍为本地，不会被复制到其他计算机或域控制器。

当创建一个本地用户账号后，计算机使用本地安全性数据库验证本地用户账号，以便让用户登录到该计算机。

注意不要在需要访问域资源的计算机上创建本地用户账号，因为域不能识别本地用户账号，也不允许本地用户访问域资源。

而且，域管理员也不能管理本地用户账号，除非他们用计算机管理控制台中的操作菜单连接到本地计算机。

2.域用户账号（Domain User Account）域用户账号可让用户登录到域并获得对网络上其他地方资源的访问。

域用户账号是在域控制器上建立的，作为AD的一个对象保存在域的AD数据库中。

用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号，该账号将被域的域控制器所验证。

当在一个域控制器上新建一个用户账号后，该用户账号被复制到域中所有其他计算机上，复制过程完成后，域树中的所有域控制器就都可以在登录过程中对用户进行身份验证。

第1章习题解答1-1 简述网络操作系统的分类答：网络操作系统一般可以分为两类：面向任务型与通用型。

面向任务型网络操作系统是为某种特殊网络应用要求设计的；通用型网络操作系统能提供基本的网络服务功能，支持用户在各个领域应用的需求。

1-2 简述网络操作系统的功能答：网络操作系统除了应具有前述一般操作系统的进程管理、存储管理、文件管理和设备管理等功能之外，还应提供高效可靠的通信能力及多种网络服务功能。

包括文件、打印、数据库、通信、信息、分布式、网络管理和．Internet/Intranet服务。

1-5 简述Windows Server 2003系统的新功能答：1、Active Directory 改进；2、卷影子副本恢复；3、群集技术新特性；4、文件及打印服务新功能；5、Internet Information Services 6.0(IIS 6.0)新功能；6、系统管理新功能；7、集成的 .NET框架；8、安全的无线局域网(802.1X) ；9、命令行管理；10、终端服务新功能；11、组策略管理控制台；12、企业UDDI(Universal Description, Discovery, and Integration,UDDI)服务新功能。

第2章习题2-1 安装Windows Server 2003有哪几种类型？答：1 通过安装光盘直接安装Windows server 2003 2.从网络环境安装Windows server 2003 3.Wwindows server 2003的自动安装 4.从低版本升级到Windows server 2003。

5.还原安装Windows server 20032-2 应答文件的用户交互类型有哪几种？答：用户交互类型有5种，分别为：用户控制全部自动隐藏页只读使用GUI2-3安装Windows Server 2003对系统的要求有哪些？答：（1）对于基于x86 的计算机：建议使用最小速度为550MHz（支持的最小速度为133MHz）的一个或多个处理器。