域用户及组账户的管理
电子教案5Windows Server 2016 (管理用户账户和组)
管理用户账户和组计图1 公司域环境示意图二、项目任务分析根据图1的公司域环境示意图,完成活动目录的管理与维护。
具体要求如下。
1.在Win2016-2这台独立服务器上创建本地用户账户及设置本地用户账户的属性;删除本地用户账户;2.在Win2016-2这台独立服务器上使用命令行创建账户和组;3.在Win2016-1这台域控制器上创建与管理域用户;4.在Win2016-1这台域控制器上管理域组账户。
三、项目理论目标分析1.分析知识目标2.分析技能目标讲授5’讲解示范(E)模仿练习(E)任务1 创建本地用户账户一、课堂讲解1.管理用户账户和组的相关知识;2.讲解本地用户和账户的创建与管理。
二、操作示范1.在Win2016-2这台独立服务器上创建本地用户账户;2.在Win2016-2这台独立服务器上设置本地用户账户的属性;3.在Win2016-2这台独立服务器上删除本地用户账户。
三、模仿练习请同学们按刚才的操作示范进行练习,该独立服务器名是Server1。
完成:✧在Server1这台独立服务器上创建本地用户账户;✧在Server1这台独立服务器上设置本地用户账户的属性;✧在Server1这台独立服务器上删除本地用户账户。
讲授案例分析学生实践35’讲解示范(E)一、课堂讲解相关命令。
讲授20’模仿练习(E)任务2 使用命令行创建账户和组net user username password /addnet localgroup groupname username /add二、操作示范在Win2016-2这台独立服务器上使用命令创建本地用户账户和组;三、模仿练习请同学们按刚才的操作示范进行练习,该独立服务器名是Server1。
完成:✧在Server1这台独立服务器上使用命令创建本地账户;✧在Server1这台独立服务器上使用命令创建本地组。
相关命令。
net user username password /addnet localgroup groupname username /add案例分析学生实践讲解示范(E)模仿练习(E)任务3 创建与管理域用户一、课堂讲解1.域用户账户;2.计算机账户。
如何使用ActiveDirectory管理Windows用户和组
如何使用ActiveDirectory管理Windows用户和组Active Directory(AD)是Windows操作系统中最常用的目录服务,它允许管理员集中管理用户账户、安全策略、组织单位等,为组织提供基于角色的访问控制和身份认证。
本文将介绍如何使用Active Directory管理Windows用户和组。
第一章:Active Directory简介Active Directory是Windows Server操作系统的一项功能,用于集中管理用户、计算机、服务和其他资源。
它提供了分层的目录结构,按照域的概念组织,每个域包含一个或多个域控制器(Domain Controller)。
域控制器负责存储、验证和复制目录信息。
第二章:创建AD域和域控制器首先,我们需要创建一个自己的AD域。
在开始之前,请确保你有一台安装了Windows Server操作系统的计算机,并且以管理员身份登录。
打开“服务器管理器”,选择“添加角色和功能”,在向导中选择“Active Directory域服务”。
按照向导的提示完成安装,安装过程中会要求你创建一个新的域或加入现有域。
第三章:添加用户账户在Active Directory中,用户账户用来标识和验证用户。
为了添加新的用户账户,我们可以打开“Active Directory用户和计算机”,在合适的组织单位(OU)下右键选择“新建用户”并按照向导的提示填写相关信息。
一般来说,我们需要设置账户名称、用户名、密码、描述等信息。
新建用户账户后,可以通过选中该用户账户,右键选择“重置密码”来更改用户密码。
第四章:创建和管理组在Active Directory中,组用于将用户账户和计算机账户进行逻辑分组,以便于管理。
创建新组的方法与添加用户账户类似,只需在“Active Directory用户和计算机”中选择合适的OU,右键选择“新建组”。
在组属性中,我们可以设置组名称、描述、成员等信息。
WindowsServer网络操作系统项目教程 第3章 用户账户和组管理
第3章 用户账户和组管理
5
3.1.2 本地组管理
对用户账户进行分组管理可以更加有效并且灵活地分配设 置权限,以方便管理员对Windows Server 2019进行具体的管 理。如果Windows Server 2019计算机被安装为成员服务器 (而不是域控制器),将自动创建一些本地组。如果将特定角 色添加到计算机中,还将创建额外的组,用户可以执行与该组 角色相对应的任务。例如,如果计算机被配置成为FTP服务器, 将创建管理和使用FTP服务的本地组。
第3章 用户账户和组管理
6
3.1.3 域用户账户管理
在Windows Server 2019操作系统中,选择“开始”菜单 “Windows管理工具” “Active Directory用户和计算机”, 可以进行相关的域用户账户管理操作。
1.域用户账户的一般管理 2.设置域用户账户的属性
第3章 用户账户和组管理
1.用户账户命名规则 2.强密码原则 3.账户策略 4.重新命名Administrator账户 5.创建一个陷阱账户 6.禁用或删除不必要的账户
第3章 用户账户和组管理
பைடு நூலகம்10
3.2.2 常用的系统进程与服务
进程与服务是Windows NT操作系统性能管理中常常触的内容,科学地管理进程与服务 能提升系统的性能。Windows NT常用系统进程和服务的管理、系统日志的管理,以保护操 作系统的安全。
1.域内的组类型 2.组作用域
第3章 用户账户和组管理
8
3.2 安全策略服务管理
3.2.1 用户账户安全策略管理 3.2.2 常用的系统进程与服务
第3章 用户账户和组管理
9
3.2.1 用户账户安全策略管理
用 户 和 组
用户和组
知识点: ·创建和管理用户帐户:创建和管理本地用户帐户,创建和管理域用户帐户。 ·利用组管理对资源的访问:在工作组中实现组,在域中实现组。 ·共享磁盘资源:共享和权限,共享文件夹,磁盘配额。 ·配置网络打印机:Windows 2000下的打印功能,配置基于Web打印机。
1.1 创建和管理用户帐户 1.1.1 概述 用户帐户是含有特定用户信息的记录,用户帐户使得用户能登录到指定计算机,以访 问该计算机上的资源;或是登录到特定的域,以访问网络资源。 域是在同一个域名和安全范围内的一组帐户和网络资源的集合。
注意:这里介绍的组,仅仅是本机模式下的组,而不是处在混合模式下的网络中的组。
1.2.2 在工作组中实现组 一个工作组下可能会由几台计算机组成,它没有域网络中的纷繁功能,但通过在工作组 这样的简单计算机分组中使用组概念,可以使工作组中引入相当的网络功能。 1. 本地组和内置本地组: ⑴ 本地组
在工作组中实现一个组,该组就是本地组。 作为本地组还应注意: ·本地组只能包含来自创建该本地组的计算机的本地用户帐户; ·本地组不能是任何其他组的成员; ·本地组不出现在域的活动目录中,所以只能在工作组下的各个计算机的安全性帐户 管理器中进行管理。 ⑵ 内置本地组 除了自定义的本地组以外,Windows 2000 Professional和Windows 2000 Server还 提供了默认的组,就是内置本地组,这些组都有一组事先确定的权限和内置功能。
⑴ 设置用户帐户密码 ⑵ 设置本地用户帐户的属性
1.1.3 创建和管理域用户帐户
域用户帐户与本地用户帐户的区别在于:本地用户帐户只能在创建了该用户帐户的单 个独立的计算机系统上登录,使用该一台计算机上的资源;而域用户帐户可以在创建了该 用户帐户的域下的任何一台成员工作站或服务器上登录系统,并且可以使用域中所有的共 享网络资源。
实训七管理用户和组
实训七管理用户和组一、实训目的1.掌握本地帐户与域帐户的管理方法;2.掌握设置帐户属性的方法;3.掌握用户配置文件的创建方法;4.掌握用户组的管理方法;5.在活动目录中利用OU管理资源的方法。
二、实训环境Win2003server 1台、直通双绞线4根(每根3米)、WinXP 3台,组网形式如下。
三、实训理论基础每个用户都需要有一个帐户,以便登录到域访问网络资源或登录到某台计算机访问该机上的资源,创建和管理用户对象是网络管理员执行的最常见任务。
组是用户帐户的集合,管理员通常通过组来对用户的权限进行设置从而简化了管理。
1.用户账户简介Windows Server 2003提供两种主要类型用户账户:本地用户账户(Local User Account)和域用户账户(Domain User Account)。
除此之外,Windows Server 2003系统中还有内置用户账户(Built-in User Account)。
2.本地用户账户本地用户帐户只能登录到帐户所在的计算机并获得对该资源的访问。
当创建本地用户帐户后,Windows Server 2003将在该机的本地安全性数据库中创建该帐户,本地帐户信息存储在本地,不会被复制到其他计算机或域控制器。
当创建一个本地用户账户后,计算机使用本地安全性数据库验证本地用户账户,以便让用户登录到该计算机。
3.创建本地用户账户创建本地用户账户可以在除了域的域控制器以外的任何一台基于Windows Server 2003的计算机上进行。
出于安全性考虑,通常建议只在不是域的组成部分的计算机上创建和使用本地用户账户,即在属于域的计算机上不要设置本地账户。
工作组模式是使用本地用户账户的最佳场所,如图4.域用户账户域用户账户可让用户登录到域并获得对网络上其他地方资源的访问权。
域用户账户是在域控制器上建立的,作为Active Directory 的一个对象保存在域的Active Directory 数据库中。
AD管理域用户和组帐户PPT课件
可以创建组的地方
选择根据组所需要的管理能力创建组的特定域或组织单位。 例如,如果域中有多个组织单位,而每一个都有不同的管 理员,则可在那些组织单位中创建具有全局作用域的组, 这样管理员就能在各自的组织单位中管理用户的组成员身 份。如果组织单位以外的访问控制需要组,组织单位中的 组可以嵌套至可在树林中的其他地方使用的具有通用作用 域的组(或具有全局作用域的其他组)中。
Everyone 代表所有当前网络的用户,包括来自其他域的 来宾和用户。无论用户何时登录到网络上,它们都将被自 动添加到 Everyone 组。
第22页/共33页
特殊标识 (cont.)
Network 代表当前通过网络访问给定资源的用户(不 是通过从本地登录到资源所在的计算机来访问资源的 用户)。无论用户何时通过网络访问给定的资源,它 们都将自动添加到 Network 组。
第14页/共33页
域组
Active Directory Users and Computers Console Window Help
Active View
Tree
Builtin 9 objects
Active Directory Users and Computer Name
Type
Description
Interactive 代表当前登录到特定计算机上并且访问 该计算机上给定资源的所有用户(不是通过网络访问 资源的用户)。无论用户何时访问当前登录的计算机 上的给定资源,它们都被自动添加到 Interactive 组。
虽然可以给特殊标识指派对资源的权利和权限,但不 能修改或查看其成员身份。组作用域不适用于特殊标 识。无论用户何时登录或访问特殊资源,都被自动指 派这些特殊标识。
实训项目报告管理域用户账户与组账户
实训项目报告管理域用户账户与组账户管理域用户账户与组账户是一项重要的工作,对于企业的信息系统安全和管理非常关键。
本文将介绍如何有效地管理域用户账户和组账户。
首先,管理域用户账户包括创建、修改和删除用户账户。
在创建用户账户时,需要明确用户的身份和权限,并为其分配合适的访问权限。
对于权限的分配,应根据用户的工作职责和需要进行合理的划分。
同时,在创建用户账户时,应设定强密码策略,并要求用户定期更换密码,以增强账户安全性。
在修改用户账户时,要根据实际情况对用户的权限进行调整。
例如,员工调岗或离职时,需要及时变更其账户权限或禁用账户,避免权限过大或滥用。
此外,还要定期审查和更新用户账户信息,确保账户的准确性和安全性。
对于删除用户账户,同样需要审慎操作。
在员工离职或合同到期后,应及时删除对应账户,以防止账户被恶意使用。
同时,必须注意备份员工账户的重要数据,以便在需要时进行数据恢复或追溯。
另外,管理域组账户也是管理的重点之一、组账户可以将相同权限和访问需求的用户进行分类集中管理,提高管理效率和一致性。
在创建组账户时,需要明确组的名称、目的和所包含的用户。
同时,也要为组账户分配合适的访问权限,确保用户能够顺利完成工作。
在修改组账户时,应根据需要对组的权限进行调整。
例如,有新的用户需要加入组账户,或者一些用户需要从组中移除,都需要及时调整组的成员。
此外,也需要定期审查和更新组账户的信息,保证其准确性和安全性。
最后,对于删除组账户,同样需要谨慎操作。
需要先将组中的用户移除,再进行删除操作。
同时,也要注意备份组账户的重要数据,以便在需要时进行数据恢复或追溯。
综上所述,管理域用户账户与组账户是一项重要的工作,需要合理分配权限,定期审查和更新账户信息,并注意账户的安全性。
只有做好对账户的管理,才能保障企业信息系统的安全和有序运行。
server-2019域用户和组的管理
Type
User User User
Administer user accounts in thDeesrcersiputilotns box
实现用户登录主名后缀
创建和删除一个UPN后缀 用户主名登录身份验证过程 用户主名如何在网络上路由 名称后缀冲突如何检测以及如何解决 启用和禁用名称后缀在林信任环境中路由
成员资格
可以包含目录林中的任何域的用户帐号全局组和通用 组,以及同一域的域本地组。
成员属于 作用范围 权限范围
域本地组可以是同一域中的域本地组
域本地组只在它自己的域中可见
域本地组位于其中的域 Add
DLG
Domain Local Group
Global Group
Domain Add
使用通用组
Universal Group
DN = Full Name + Path
使用CSVDE创建多用户帐号
objectClass
displayName userPrincipalName samAccountName
ldifde
Dn:cn=peter,ou=tech,dc=contoso,dc=com Changetype:add Objectclass:user Samaccountname:peter Userprincipalname:petercontoso Displayname:peter Useraccountcontrol:514 Dn:cn=peter,ou=tech,dc=contoso,dc=com Changetype:delete Dn:cn=peter,ou=tech,dc=contoso,dc=com Changetype:modify Replace:samaccountname Samaccountname:richard
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
域用户及组账户的管理
域系统管理员需要为每一个用户分别建立一个用户账户,让用户可以利用这个账户来登录域、访问网络上的资源。
系统管理员同时也需要了解如何巧用组,以便有效的管理资源的访问。
本章的主要内容包括:
》域用户账户
》一次同时添加多个用户账户
》域组账户
》提升域功能级别
》组的使用准则
3.1域用户账户
作为域系统管理员,可以利用“Active Directory用户和计算机”控制台来建立并管理域用户账户。
当用户利用域用户账户登录域后,便可以直接连接域内的所有计算机、访问资源。
换句话说,域用户在域内的一台计算机上登录成功后,当他们要连接域内的其他计算机时,并不需要再次登录到其他计算机上。
这个只需要登录一次的功能,被制为“单一登录”(single sign-on )”。
本机用户账户并不具备“单一登录和”的功能,也就是说利用本机用户账户登录后,当要连接其他计算机时,必须再次登录。
非域控制器的Wdindows Server2003、Windows XP Professional等计算机默认没有"Active Directory 用户和计算机”控制台等管理Active Directory的工具,不过,可以
通过安装“Windows Server 2003 Administration Tool Pack”来拥有这些工具,也就是运行位于Windows Server 2003安装光盘中的I386文件夹内的ADMINPAD.MSI程序。
3.1.1组织单位
组织单位内可以容纳其他的对象,如用户账户、组账户、计算机账户等,以便更容易的管理资源,并可以通过组策略来集中管理域的用户工作环境与计算机环境。
你可以利用“开始”-》“管理工具”-》“Active Directory用户和计算机”->"右击域名称“-》”新建“-》”组织单位“的途径来建立组织单位。
应设置有意义的组织单位名称,如”业务部“、”研发部“等,而且不要经常改变名称。
3.1.2用户登录账户
在Windows Server 2003或Windows 2000 Server域中,用户可以利用”用户登录名称(Windows 2000以前版本)“来登录域(见图3-1):
》用户登录名称(user principal name, UPN)它的格式与电子邮件账户相同,例如图3-1中的test@yu.local,这个名称只能在Windows Server 2003, Windows XP Professional, Windows 2000计算机上登录域时使用(如图3-2)。
在整个林内,这个名称必须是唯一的。
UPN并不会随着账户的转移而改变,举例来说,用户”王乔治“的用户账户位于域 内,若其UPN为test@yu.local,则即使这个用户账户被转移到林中的另一个域,如域,,其UPN仍然是test@yu.local,用户王乔泽仍然可以继续使用原来的UPN登录。
图3-1
图3-2
》用户登录名称(Windows 2000以前的版本)图3-1所示中的YU\test是旧格式的登录账户。
Windows NT、Windows 98等Windows 2000之前版本的旧用户必须以这种格
式的名称来登录域,也就是用户在这些计算机上登录时,必须使用这个名称。
Windows Server 2003,Windows XP Professional,Windows 2000计算机也可也采用这种锟名称来登录,如图3-3所示。
但是在同一个域内,这个名称必须是唯一的。
图3-3
3.1.3 建立UPN的后缀
默认的UPN的后缀是用户账户所在域的域名称,如用户账户建立在域yu.local内,则其UPN的后缀为yu.local,在某些情况之下,用户可以希望使用其他替代的后缀(altemativesuffix),例如:
》由于UPN的格式与电子邮件账户相同,因此用户可能希望他的UPN可以与电子邮件账户相同,让用户不论是登录域或收发电子邮件,都可以使用一致的名称。
》如果域内有较多层的子域,则域名称会太长,如sales.north.yu.local,因而子域内的用户的UPN后缀也会太长,给用户登录造成不便。
建立UPN后缀的步骤为:
步骤1:执行命令“开始”-》“管理工具”-》“Active Direcotry域和信任关系”-》右击如图3-4所示的“Active Directory域和信任关系”-》“属性”。
图3-4
步骤2 在图3-5所示对话框中输入替代的UPN后缀,并单击“添加”按键。
后缀不一定要符合DNS格式,可以是,也可以是yu.
图3-5
完成后,就可以通过“Active Directory用户和计算机”控制台来改变用户的UPN后缀,如图3-6所示。
图3-6
3.1.4 账户的一般管理工作
本节将介绍圆谎账户的一般管理工作,例如更改域用户的账户名称,删除账户、禁用账户、启用账户、移动账户、修改密码与解除锁定账户等。
右击欲修改的用户账户,弹出的快捷菜
单如图3-7所示。
图3-7
》禁用账户和启用账户如果某个用户因故在一段时间内无法来上班,则可以先将该用户的账户禁用,待该用户回来上班后,再将其重新启用即可。
例如,图3-7中空间菜单所显示是“禁用账户”的字样,如果该账户已被禁用了,则此处的字样为“启用账户”。
若用户账户已被禁用,则该用户账户图形上会有一个红色的×符号,如图3-7中的用户“李小洋”》重命名重新命名以后,该用户账户原来所拥有权限、权利与组关系都不会受到影响。
例如当某员工离职时,你可以暂时先将其用户账户禁用,等到新员工来接替他工作时,再将此账户改为新员工的名称,重设密码并修改相关的个人数据,然后再重新启用账户。
在每一个用户账户添加完成之后,系统都会为其建立一个唯一的安全标识符(security identifier,SID),而系统内部是以这个SID来代表该用户,并限定权限的。
例如,在某个文件的权限清单内,记录着哪一些SID具备着哪些的权限,而不是哪些账户名称拥有哪些权限。
由于用户账户名称更改后,其安全识别码(SID)并没有改变,因此账户的内容、权利与权限等设置都不变。
》删除如果这个账户以后不用了,则可以将此账户删除,以免占用Active Directory数据库的空间。
注意:账户删除以后,当添加一个相同名称的账户时,这个新账户并不会继承原账户的权限,权利与组关系,因为Windows Server 2003会给予这个新账户一个新的安全识别码(SID),而系统是利用SID来记录用户的权限的。
因此对Windows Server 2003而言,这是两个不同的账户,也就不会继承原来账户的权利、权限与组关系了。
》重设密码当用户忘记密码或密码使用期限到期时,系统管理员可以重新替用户设定一个新的密码。
》解除被锁定的账户域的“账户策略”内设定,如果用户输入密码失败多次,就将此账户锁定。
用户账户被锁定后,系统管理员可以通过:右击用户账户-》“属性”-》“账户”-》撤选图3-8所示对话框中的“账户已锁定”选项,来解除锁定。
图3-8
》移动账户如果要将账户移动到同一个域内的其他OU内,则可以执行命令:右击转账户-》“移动”-》“选择新目的地”,或按住此账户,将其拖放到新目的地(drag-and-drop)的方法来实现。
提示:如果要将账户移动到另一个域,则可以使用“Active Directory迁移工具”,它位于Windows Server 2003安装光盘的/I386\ADMT资料夹内,程序名称为
ADMIG-RATION.MSI,也可以利用Movetree.exe程序,它位于Windows Server 2003安装光盘的\SUPPORT\TOOLS\SUPTOOLS.MSI文件内。