10 管理域用户帐户与组帐户
Windows10开箱即用功能简介
我们见证了远程工作的快速变化
…让 IT 冗重的工作更加复杂 当前工作模式
办公日常
任务工作
远程工作
差旅达人
专业设计
远程工作
远程工作
远程工作
远程工作
远程工作
新常态
2
个人计算机分发的挑战
个人计算机付运
自带设备适配
部署的痛苦
个人计算机及外设的 出货量,在第一季度
后期激增
下载 Workspace ONE 制备工具
• 应用 (Workspace ONE Intelligent Hub, etc.) • 通过 PPKG 安装应用 • 应用配置文件并完成 Sysprep 操作
确认系统处于离线状态!
Drop-Ship
13
使用AutoPilot工厂制备
15
加入传统域的工厂制备
23
谢谢聆听!
20
windows10开箱即用功能简介任务工作专业设计差旅达人办公日常远程工作我们见证了远程工作的快速变化冗重的工作更加复杂当前工作模式新常态远程工作远程工作远程工作远程工作远程工作个人计算机分发的挑战个人计算机付运个人计算机及外设的出货量在第一季度后期激增自带设备适配byod的兴趣比以往任何时候都高尽管许多时候并没有正式的byo计划部署的痛苦客户发现新电脑分发的痛苦第一天就工作就绪即使是远程工作oem工厂最终用户现代部署传统部署交钥匙制备工作就绪体验零接触it恢复分销商集成商由伙伴厂商直接交付
W orkspace ONE AirLift
NEW
Enterprise App
Repository
从 CMT 部署中导出应用至 Workspace ONE.
域用户及组账户的管理
域用户及组账户的管理域系统管理员需要为每一个用户分别建立一个用户账户,让用户可以利用这个账户来登录域、访问网络上的资源。
系统管理员同时也需要了解如何巧用组,以便有效的管理资源的访问。
本章的主要内容包括:》域用户账户》一次同时添加多个用户账户》域组账户》提升域功能级别》组的使用准则3.1域用户账户作为域系统管理员,可以利用“Active Directory用户和计算机”控制台来建立并管理域用户账户。
当用户利用域用户账户登录域后,便可以直接连接域内的所有计算机、访问资源。
换句话说,域用户在域内的一台计算机上登录成功后,当他们要连接域内的其他计算机时,并不需要再次登录到其他计算机上。
这个只需要登录一次的功能,被制为“单一登录”(single sign-on )”。
本机用户账户并不具备“单一登录和”的功能,也就是说利用本机用户账户登录后,当要连接其他计算机时,必须再次登录。
非域控制器的Wdindows Server2003、Windows XP Professional等计算机默认没有"Active Directory 用户和计算机”控制台等管理Active Directory的工具,不过,可以通过安装“Windows Server 2003 Administration Tool Pack”来拥有这些工具,也就是运行位于Windows Server 2003安装光盘中的I386文件夹内的ADMINPAD.MSI程序。
3.1.1组织单位组织单位内可以容纳其他的对象,如用户账户、组账户、计算机账户等,以便更容易的管理资源,并可以通过组策略来集中管理域的用户工作环境与计算机环境。
你可以利用“开始”-》“管理工具”-》“Active Directory用户和计算机”->"右击域名称“-》”新建“-》”组织单位“的途径来建立组织单位。
应设置有意义的组织单位名称,如”业务部“、”研发部“等,而且不要经常改变名称。
Windows实训题目
一、安装、配置Windows网络操作系统假如你是一家学校的网络管理员,负责管理和维护学校的网络。
你的学校新购置了一台计算机,希望承担服务器的角色,为网络中的用户提供多种功能。
现在,需要你对这台计算机执行以下工作:(1)在这台计算机上安装Windows Server 2003企业版操作系统,计算机的名称为“Server01”,并且将其加入到名称为“MSHOME”的工作组中。
(2)设置TCP/IP参数,其中,IP地址:192.168.10.1;子网掩码:255.255.255.0;默认网关:192.168.10.200;首选DNS服务器:192.168.1.1;备用DNS服务器:192.168.1.2。
(3)在计算机上安装一块网卡。
(4)设置显示,分辨率为:1024×768,颜色质量:最高(32位)。
二、创建工作组,管理本地用户帐户和组帐户假如你是一家学校的网络管理员,负责管理和维护学校的网络。
你的学校创建了一个工作组,学校教师需要在这个工作组中工作。
为此,需要你执行以下工作:(1)为学校教师创建本地用户帐户(user01~user15),并且允许用户在第一次登录时更改密码。
(2)在学校中有15名代课教师,你需要为他们创建一个用户帐户(tempuser)并且禁止用户更改帐户密码。
(3)如果一个用户(user07)由于生病而在一段时间内无法上班,需要禁用他的域用户帐户。
(4)如果一个用户(user09)忘记了自己的帐户密码,需要为其重设帐户密码。
(6)一个用户(user12)辞职后离开了学校,需要删除该用户的用户帐户。
(7)创建组帐户(xmxx),并把一系列的用户帐户加入到这个组帐户中。
三、配置文件服务器假如你是一家学校的网络管理员,负责管理和维护学校的网络。
你的学校希望设置文件服务器来管理用户对文件资源的访问。
为此,需要你执行以下工作:(1)在一台计算机上创建共享文件夹(share),并把文件资源放在这个共享文件夹中。
Windows Server活动目录企业应用Windows Server管理域用户账户和组
活动目录企业应用Windows Server 项目三 管理域用户账户与组项目背景•当安装完操作系统并完成操作系统地环境配置后,管理员应规划一个安全地网络环境,为用户提供有效地资源访问服务。
Windows Server 二零一二 R二通过建立账户(包括用户账户与组账户)并赋予账户合适地权限,保证使用网络与计算机资源地合法,以确保数据访问,存储与换服从安全需要。
项目背景•如果是单纯工作组模式地网络,需要使用"计算机管理"工具来管理本地用户与组;如果是域模式地网络,则需要通过"Active Directory管理心"与"Active Directory用户与计算机"工具管理整个域环境地用户与组。
项目目地•一.理解管理域用户账户•二.掌握一次同时添加多个用户账户•三.掌握管理域组账户四.一有关知识•域系统管理员需要为每一个域用户分别建立一个用户账户,让它们可以利用这个账户来登录域,访问网络上地资源。
域系统管理员同时也需要了解如何有效利用组,以便高效地管理资源地访问。
•域系统管理员可以利用Active Directory管理心或Active Directory用户与计算机管理控制台来建立与管理域用户账户。
当用户利用域用户账户登录域后,便可以直接连接域内地所有成员计算机,访问有权访问地资源。
换句话说,域用户在一台域成员计算机上成功登录后,当它要连接域内地其它成员计算机时,并不需要再登录到被访问地计算机,这个功能被称为单点登录。
管理域用户账户与组有关知识•在服务器还没有升级成为域控制器之前,原本位于其本地安全数据库内地本地账户,会在升级为域控制器后被转移到AD DS数据库内,并且是被放置到Users容器内地,您可以通过Active Directory管理心来查看,如图三-一所示(可先单击上方地树视图图标),同时这台服务器地计算机账户会被放置到图地组织单位Domain Controllers内。
用 户 和 组
用户和组
知识点: ·创建和管理用户帐户:创建和管理本地用户帐户,创建和管理域用户帐户。 ·利用组管理对资源的访问:在工作组中实现组,在域中实现组。 ·共享磁盘资源:共享和权限,共享文件夹,磁盘配额。 ·配置网络打印机:Windows 2000下的打印功能,配置基于Web打印机。
1.1 创建和管理用户帐户 1.1.1 概述 用户帐户是含有特定用户信息的记录,用户帐户使得用户能登录到指定计算机,以访 问该计算机上的资源;或是登录到特定的域,以访问网络资源。 域是在同一个域名和安全范围内的一组帐户和网络资源的集合。
注意:这里介绍的组,仅仅是本机模式下的组,而不是处在混合模式下的网络中的组。
1.2.2 在工作组中实现组 一个工作组下可能会由几台计算机组成,它没有域网络中的纷繁功能,但通过在工作组 这样的简单计算机分组中使用组概念,可以使工作组中引入相当的网络功能。 1. 本地组和内置本地组: ⑴ 本地组
在工作组中实现一个组,该组就是本地组。 作为本地组还应注意: ·本地组只能包含来自创建该本地组的计算机的本地用户帐户; ·本地组不能是任何其他组的成员; ·本地组不出现在域的活动目录中,所以只能在工作组下的各个计算机的安全性帐户 管理器中进行管理。 ⑵ 内置本地组 除了自定义的本地组以外,Windows 2000 Professional和Windows 2000 Server还 提供了默认的组,就是内置本地组,这些组都有一组事先确定的权限和内置功能。
⑴ 设置用户帐户密码 ⑵ 设置本地用户帐户的属性
1.1.3 创建和管理域用户帐户
域用户帐户与本地用户帐户的区别在于:本地用户帐户只能在创建了该用户帐户的单 个独立的计算机系统上登录,使用该一台计算机上的资源;而域用户帐户可以在创建了该 用户帐户的域下的任何一台成员工作站或服务器上登录系统,并且可以使用域中所有的共 享网络资源。
AD管理域用户和组帐户PPT课件
可以创建组的地方
选择根据组所需要的管理能力创建组的特定域或组织单位。 例如,如果域中有多个组织单位,而每一个都有不同的管 理员,则可在那些组织单位中创建具有全局作用域的组, 这样管理员就能在各自的组织单位中管理用户的组成员身 份。如果组织单位以外的访问控制需要组,组织单位中的 组可以嵌套至可在树林中的其他地方使用的具有通用作用 域的组(或具有全局作用域的其他组)中。
Everyone 代表所有当前网络的用户,包括来自其他域的 来宾和用户。无论用户何时登录到网络上,它们都将被自 动添加到 Everyone 组。
第22页/共33页
特殊标识 (cont.)
Network 代表当前通过网络访问给定资源的用户(不 是通过从本地登录到资源所在的计算机来访问资源的 用户)。无论用户何时通过网络访问给定的资源,它 们都将自动添加到 Network 组。
第14页/共33页
域组
Active Directory Users and Computers Console Window Help
Active View
Tree
Builtin 9 objects
Active Directory Users and Computer Name
Type
Description
Interactive 代表当前登录到特定计算机上并且访问 该计算机上给定资源的所有用户(不是通过网络访问 资源的用户)。无论用户何时访问当前登录的计算机 上的给定资源,它们都被自动添加到 Interactive 组。
虽然可以给特殊标识指派对资源的权利和权限,但不 能修改或查看其成员身份。组作用域不适用于特殊标 识。无论用户何时登录或访问特殊资源,都被自动指 派这些特殊标识。
实训项目报告管理域用户账户与组账户
实训项目报告管理域用户账户与组账户管理域用户账户与组账户是一项重要的工作,对于企业的信息系统安全和管理非常关键。
本文将介绍如何有效地管理域用户账户和组账户。
首先,管理域用户账户包括创建、修改和删除用户账户。
在创建用户账户时,需要明确用户的身份和权限,并为其分配合适的访问权限。
对于权限的分配,应根据用户的工作职责和需要进行合理的划分。
同时,在创建用户账户时,应设定强密码策略,并要求用户定期更换密码,以增强账户安全性。
在修改用户账户时,要根据实际情况对用户的权限进行调整。
例如,员工调岗或离职时,需要及时变更其账户权限或禁用账户,避免权限过大或滥用。
此外,还要定期审查和更新用户账户信息,确保账户的准确性和安全性。
对于删除用户账户,同样需要审慎操作。
在员工离职或合同到期后,应及时删除对应账户,以防止账户被恶意使用。
同时,必须注意备份员工账户的重要数据,以便在需要时进行数据恢复或追溯。
另外,管理域组账户也是管理的重点之一、组账户可以将相同权限和访问需求的用户进行分类集中管理,提高管理效率和一致性。
在创建组账户时,需要明确组的名称、目的和所包含的用户。
同时,也要为组账户分配合适的访问权限,确保用户能够顺利完成工作。
在修改组账户时,应根据需要对组的权限进行调整。
例如,有新的用户需要加入组账户,或者一些用户需要从组中移除,都需要及时调整组的成员。
此外,也需要定期审查和更新组账户的信息,保证其准确性和安全性。
最后,对于删除组账户,同样需要谨慎操作。
需要先将组中的用户移除,再进行删除操作。
同时,也要注意备份组账户的重要数据,以便在需要时进行数据恢复或追溯。
综上所述,管理域用户账户与组账户是一项重要的工作,需要合理分配权限,定期审查和更新账户信息,并注意账户的安全性。
只有做好对账户的管理,才能保障企业信息系统的安全和有序运行。
用户帐户与组帐户管理
2024年2月17日星期六3时33分47秒
第4页/共31页
13.2 本地用户和组
13.2.1 用户帐户的创建
用户本地账户是建立在Windows Server 2003成员 服务器的本地安全数据库内,而不是域控制器内的账户。 用户可以利用本地账户登录此账户所在的计算机,但是无 法登录域。同时只能访问这台计算机内的资源,无法访问 网络上的资源。建议只在未加入域的计算机内建立本地用 户账户。
2024年2月17日星期六3时33分47秒
第8页/共31页
13.2 本地用户和组
(2)右击,从弹出的菜单中选择“新用户”命令,弹 出“新用户”对话框。输入用户名、全名、描述和密码。输 入时密码。为了避免在输入时被他人看到密码,因此在对话 框中的密码只会以星号(*)显示。需要再次输入密码来确 认所输入的密码是否正确。密码最多128个字符,密码的大 小写是有区别的。
(2)单击“下一步”按钮,弹出新建域用户帐户的对 话框,“密码”与“确认密码”:输入用户账户的密码。
(3) 单击“下一步”按钮后,提示用户账户的信息, 最后单击“完成”按钮,完成用户账户的创建。
2024年2月17日星期六3时33分47秒
第19页/共31页
13.3 域帐户管理
2. 域用户账户的属性设置 每个域用户都有一些相关的属性可供设置,例如,某
2024年2月17日星期六3时33分47秒
第7页/共31页
13.2 本地用户和组
2. 创建本地用户帐户 建立本地账户可以用“计算机管理”中的“本地用户和
组”管理单元来创建本地用户帐户,而且必须拥有管理员权 限。创建本地用户帐户的步骤如下:
(1)选择“开始管理工具计算机管理”选项,弹 出“计算机管理”窗口,依次展开“系统管理本地用户和 组用户”,在“计算机管理”窗口右侧列出已经存在的帐 户。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实训13:管理域用户帐户与组帐户
目的:理解域用户帐户与组帐户的特点、用途,掌 握管理域用户帐户与组帐户的方法与步骤。 内容:创建域用户帐户,使用域用户帐户登录到域, 设置域用户帐户的个人信息,设置域用户帐户的登 录时间,限制域用户帐户只能从特定的计算机上登 录域,禁用、启动域用户帐户,重设域用户帐户的 密码,删除域用户帐户,创建全局组,创建本地域 组,向组中添加成员,从组中删除成员,删除组帐 户,使用AG DL P原则为用户分配权限。 要求:掌握域用户帐户与组帐户的特点、用途,能 够管理域用户帐户与组帐户,掌握AG DL P 原则。
内置全局组:
10.4 管理域组账户
创建全局组
创建全局组账户的步骤为:以域管理员的身份登录域, 打开【管理工具】下的【Active Directory用户和计 算机】。 在【Users】的右键快捷菜单中选中【新建】【组】 选中【安全组】和【全局】,输入该组的名称。
创建本地域组
设置域用户账户的登录时间
限制域用户账户只能从特定的计算机上登录域
禁用、启用域用户账户
在【Active Directory用户和计算机】中右键单击一 个用户账户,在快捷菜单中选择【禁用账户】即可 在用户账户的右键菜单中选择【重设密码】 在用户账户的右键菜单中选择【重命名】 在用户账户的右键菜单中选择【删除】
10.1 理解域用户账户
什么是域用户账户
在域的活动目录数据库中,管理员可以为每个用户创 建一个用户账户,由于这种用户账户只存在于域中, 所以被称为“域用户账户”。 一个域中无论有多少台计算机,一个用户只要拥有一 个域用户账户,便可以访问域中所有计算机上允许访 问的资源。 域用户账户的资源访问范围可以是整个域,而并非局 限在一台计算机上。 在域中,管理员能够在活动目录数据库中创建并管户的个人信息
创建域用户账户后,双击该账户打开它的属性框,可 以对用户的个人信息,如姓名、地址等进行设置。 “常规”、“地址”、“电话”、“单位” 在用户账户的属性对话框中单击【账户】选项卡,然 后单击【登录时间】按钮。 在用户账户的属性对话框中单击【账户】选项卡,然 后单击【登录到】按钮。
用户(A)
全局组(G1 )
权限(P)
资源
全局组(G1 ) 全局组(G2 )
用户(A)
全局组(G2 )
本地域组(DL)
使用这种组的嵌套原则分配的优点:
由于给组而不是给每个用户账户分配权限,减少了权 限的分配次数。 只要打开本地域组,根据里面全局组的名称可以判断 这些用户所在的公司部门。 不希望某个部门的某个用户访问这个共享文件夹,只 要从那个部门所对应的全局组删掉此用户账户即可。 不希望某个部门访问这个共享文件夹,只要从本地组 中删掉这个部门所对应的全局组即可。
内置的域用户账户
创建域后,系统自动创建的一些域用户账户 预先分配了一定的权限和权利 具有管理整个域的所有权利,可执行管理域的所有工作 为安全起见,应将其改名,但无法删除 供域外用户临时访问域中资源而使用的用户账户 只有很少的权利 安全起见,这个账户默认时被禁止使用
Administrator(管理员账户)
使用域用户账户登录到域
用户使用域用户账户可以在域中任何一台计算机上登录 域,身份验证由域控制器检查活动目录完成。登录成功 后,可以访问域中所有计算机上允许访问的资源。 为安全起见,默认时普通用户账户可以在域中非域控制 器的计算机上登录到域,不能在域控制器上登录到域。 设置普通的用户账户可以在域控制器上登录到域:以管 理员的身份单击【管理工具】【安全设置】【本地 策略】【用户权限分配】,双击“允许在本地登录”。 然后在“允许在本地登录属性”对话框中单击【添加用 户或组】,将选定的用户账户或组加入列表即可。
重设域用户账户的密码
重新命名域用户账户
删除域用户账户
10.3 理解域组账户
什么是域组账户
在域中,管理员能够在活动目录数据库中创建并管理 域组账户。 这种组账户只存在于域中。 域组账户有两种:安全组和通信组。 安全组:可以获得权限和权利。
域组账户的类型
域组账户的使用范围
右键单击【Users】,在右键快捷菜单中选中【新建】 【组】 选中【安全组】和【本地域】
向组中添加成员
右键单击一个本地域组账户,选择【属性】,单击 【成员】选项卡。 然后单击【添加】【高级】【立即查找】 右键单击一个本地域组账户,选择【属性】,单击 【成员】选项卡。 选中要删除的成员,单击【删除】按钮。 右键单击要删除的组,然后选择【删除】。
10 管理域用户帐户与组帐户
学习内容
在域中如何管理域用户帐户与组帐户。
理解域用户帐户 管理域用户帐户 理解域组帐户 管理域组帐户 域组帐户的使用原则
学习目标
理解:域用户帐户的概念、特点,域组帐户的概 念、特点,域组帐户的使用原则。 掌握:管理域用户帐户的工作,管理域组帐户的 工作。
Guest(来宾账户)
10.2 管理域用户账户
创建域用户账户
当前的内置用户账户中,只有Administrator才具有创 建、更改、删除域用户账户的权利,应先以 Administrator账户身份登录域。 打开【管理工具】下的【Active Directory用户和计 算机】。 单击域名,然后右击【Users】,选择【新建】【用 户】。 设置姓、名,姓名,用户登录名(用户登录到域所需 要使用的名称,在域中必须是唯一的)。 对用户账户的属性进行设置,如密码等。
从域组的使用范围来看,安全组又分为3种:全局组、 本地域组和通用组。 本地域组中可以包含域用户账户和全局组。 全局组中只能包含其所在域中的域用户账户。 一旦给某个组分配了权限或权利,那么这个组中的所 有成员都将具有该组所拥有的权限或权利。
内置的域组账户
内置的本地组:
Administrator,可执行所有的域管理任务。 Users,用户组,只有基本权限和权利。 Domain Admins,默认时包含Administrator账户。 Domain Users,新创建的域用户账户自动属于该组。
从组中删除成员
删除组帐户
10.5 域组账户的使用原则
在使用组为用户分配权限时,建议使用 AGDLP原则。
A代表用户账户(user Account) G代表全局组(Global group) DL代表本地域组(Domain Local group) P代表权限(Permission) 先将用户账户(A)加入到全局组(G)中,再将全局 组加入到本地域组(DL)中,最后给本地域组分配对 某个资源的权限(P)。