域用户帐号与管理

1.0 目的规范用户帐号管理制度，确保域及用户帐号安全2.0 范围适用于***集团所有域用户3.0 职责3.1 IT指定人员负责具体事务。

3.2 IT经理负责审批。

4.0 管理规定4.1 用户帐号的管理1. 电脑用户的设置：新增用户需填写IT服务申请单，递交至本部门经理批准，经IT经理审核批准后，由IT系统管理员添加；2. 用户电子邮件的设置：根据用户填写的IT服务申请单，IT经理审核批准后，由IT系统管理员添加；公司内部邮箱，由部门经理核准；对外的邮件，香港公司和其他分公司需要报香港行政部主管批准，东莞及其它工厂需报营运经理批准后才可执行；3. 用户名的规定：大陆地区的用户，用户字的第一个字母加上姓的全称，如有重复，则在其后再加上A,B,C,以示区分；香港和其他地区的同事的用户名是用其英文名称，如有重复加上其姓的全称。

如有特殊需求，需经IT经理批准后才能更改；4. 用户电子邮箱的规定：一般情况下，用户的电子邮箱是以用户名加上公司的域(Domain）的名称构成，如有特殊业务需求，需经IT经理批准后才能更改；5. 电脑使用人员离职时，由IT指定人员根据行政部提供的离职申请表，即时取消其用户名、邮箱及相关许可权，根据需要将其资料转移给指定主管，如遇特殊情况（例如辞退、自离等），需由离职人员所在部门经理，或行政部主管通知IT经理，由IT经理指定IT人员即时处理；6. IT人员依照实际情况制定系统审核策略（捕捉各类非授权的访问和使用），记录在Windows Audit Event中，制定用户密码策略（密码管理原则），记录在用户端提示和密码检查表中；做好邮件分类归档，便于查阅相关邮件。

4.2 用户密码的管理1. 设定所有域帐号密码最小长度为6个字元；2. 设定密码最长使用期限为90天，且3次内不能重复；3. 启用密码必须符合复杂性要求策略（字母+数位+字元）；4. 设定帐号锁定间值设定为5次，帐号锁定时间为30分钟。

AD域域：域是一种管理边界，用于一组计算机共享共用的安全数据库，域实际上就是一组服务器和工作站的集合。

其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略，用户登录也是登录在本机的，密码是放在本机的数据库来验证的。

而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。

AD：活动目录(Active Directory)主要提供以下功能：①基础网络服务：包括DNS、WINS、DHCP、证书服务等。

②服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。

③用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。

④资源管理：管理打印机、文件共享服务等网络资源。

⑤桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。

⑥应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。

【AD域控制器在Windows Server 2003安装及简单应用实验指导书】实验日期：2011年8月2日处别：Commercial DT组别：DT103撰写人：王敦培【实验名称】：AD域控制器在Windows Server 2003安装实验指导书【实验目的】：了解域的作用以及安装方法【实验任务】：搭建一个新域、配置额外域控制器、设置漫游用户配置文件【需要设备】：Windows Server 2003安装版本光盘一张、正常运行台式机一台一、将Windows Server 2003安装至PC上二、将服务器安装AD控制器先设置AD域：1.依次打开：开始-设置-控制面板-管理工具-管理您的服务器(不是向导)-打开后如图一所示2.下一步，选择自定义3.选中域控制器(Active Directory)下一步4.然后会让你安装dns和配置网络,5.把网卡的网线接好，处于已经连接状态，下一步6.安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”:在这里我们要指定一个域名，我在这里指定的是，这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但是我建议还是采用默认的好，省得以后麻烦。

3种用组策略将域帐号加入本地管理员组的方法台湾女同事问了我2次当前系统域帐号是怎么在第一次登录时，自动加入域客户端本地管理员组的？我猜不外乎就是脚本、计算机策略或虚拟机初始化的自动应答脚本，结果系统的前任同事找到了答案--GPO的用户策略（确切讲是用户首选项），SIGN!今天琢磨了一下，采用下列3种方法之一即可实现：1、对于WIN2003域控制器(DC)环境，使用计算机策略的“受限制的组”用户和组”.用在将登录帐号自动加入本地管理员组的场合。

地用户和组”，用在将重要的域组加入客户端本地管理员组的场合。

下面让我细细道来。

第1种方法的步骤很简单：.在域中创建一个test01\g1组帐号，将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组，然后把一些元素添入选项，参照本文第1幅图.刷新域客户机的组策略，就可以看到test01\g1组被自动加入到本地管理员组了，如下图第2种方法：为了避免干扰，我创建了另一个2008R2的域来验证第2种方法，该域WINXP03客户机的初始本地管理员成员如下：为了使GPO“首选项”能作用到客户端，需要在域客户端安装客户端扩展集组件(CSE)，URL 为：/zh-cn/library/cc731892(WS.10).aspx根据客户端OS类型选相应组件下载，并安装到WINXP03客户机中，如下图（XMLLite XML 无需安装）：在2008R2上开始设置GPO的用户配置项，按下图添加对客户端本地Administrators的操作策略操作中的“更新”代表更新域客户端Administrators组中的成员，“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组，只要域帐号一登录，就把它加入本地管理员组现在用域帐号test02\user_1登录测试一下用户首选项策略生效，该帐号被成功加入管理员组接下来看看“删除所有成员用户”的结果换一个test02\user_2帐号，显然，已将前面加入的user_1帐号删除，还有其他除administrator 以外的用户帐号被删除（本地的USER1）然后我们继续选删除所有成员组，并计划将本地administrator也从管理员组中删除其结果如下：1.所有用户帐号被从管理员组中删除，除当前登录用户除外。

账号密码及权限管理制度XXXX公司账号密码及权限管理制度1总则1.1 ⽬的为加强公司信息系统账号和密码管理，通过控制⽤户密码、权限，实现控制访问权限分配，防⽌对公司⽹络的⾮授权访问，特制订本管理办法。

1.2 范围所有使⽤本公司⽹络信息系统的⼈员。

1.3 职责公司所有使⽤信息系统的⼈员均需遵守本管理办法规定。

⾏政部⽹络⼯程⼈员负责建⽴账号和密码管理的规范并推动执⾏、审核和检查落地执⾏情况。

1.4 术语和定义内部⽹络：是指在本公司内部所有客户端等组成的局域⽹。

包括但不限于OA 系统以及数据库系统等。

2控制内容1.1 ⽤户注册新⽤户必须加⼊域，否则不允许⼊⽹。

域⽤户账号由⽹络管理员在该⽤户上岗使⽤公司⽹络系统前建⽴,命名原则为职⼯⼯号。

⼀⾃然⼈对应⼀个系统账号，以便将⽤户与其操作联系起来，使⽤户对其操作⾏为负责。

⽤户因⼯作变更或离开公司时，管理员要及时取消或者锁定该⽤户所有账号，对于⽆法锁定或者删除的⽤户账号采⽤更改密码等相应的措施规避风险。

系统管理员应定期检查并取消多余的⽤户账号。

1.2 权限管理⾏政部系统管理员负责分配新⽤户系统权限，负责审批⽤户权限变更申请是否与信息安全策略相违背。

特权⽤户必须按授权程序通过系统等部门主管批准，才可给予相应的权限。

系统管理员应保留所有特权⽤户的授权程序与记录。

权限设定要明细化，尽可能减少因拥有的权限化分较粗带来的不正当信息访问或误操作等现象的发⽣。

若某些权限⽆法细分，则需加强对⽤户的单独监控。

只有⼯作需要的信息访问要求，才可授权。

每个⼈分配的权限以完成本岗位⼯作最低标准为准。

系统管理员对分配的所有权限记录进⾏维护。

不符合授权程序，则不授予权限。

对于本公司外的⽤户，需要访问本公司内部资源时，需要由⽤户的接待者申请为其办理授审批程序。

1.3 密码的选择密码的选择应参考以下规则：最少要有8个字符，必须由字母、数字、⼤⼩写以及特殊字符组成。

不要使⽤别⼈通过个⼈相关信息（如姓名、电话号码、⽣⽇等）容易猜出或破解的密码。