用户和组的管理
合集下载
用户和组的管理
passwd文件格式
账号名称:密码:UID:GID:个人资料:主目录:Shell 每个字段的说明如下: (1) 账号名称:用户登录Linux 系统时使用的名称。 (2) 密码:这里的密码是经过加密后的密码,而不是真正的密码,若为“x”,说明密码已经被移动到shadow 这个加密过后的文件。 (3) UID:用户的标识,是一个数值,Linux 系统内部使用它来区分不同的用户。通常Linux 对于UID 有几个限制,具体如下。 ① 0 为系统管理员,即root 用户,所以新建另一个系统管理员账号时,可以将该账号的UID 改成0 即可。 ② 1~500 为保留给系统使用的ID,其实1~65534 之间的账号并没有不同,也就是除了0 之外,其他的UID 并没有区别,但将500 以下的ID 留给系统作为保留账号是一个好习惯。 ③ 500~65535 在Fedora中是给一般使用者用的,passwd 文件最后一行的记录Bob用户的UID就是500。 (4) GID:用户所在组的标识,是一个数值,Linux 系统内部使用它来区分不同的组,相同的组具有相同的GID。 (5) 个人资料:可以记录用户的个人信息,如姓名、电话等信息。 (6) 主目录:root 的主目录为/root,所以当root 用户登录之后,当前的目录就是/root;对于其他用户通常是/home/username,这里username 是用户名,用户执行“cd~”命令时当前目录会切换到个人主目录,如Bob用户的主目录为/home/Bob。 (7) Shell:定义用户登录后使用的Shell 版本,默认是bash。
Linux 的用户
在Linux系统中,每个用户对应一个帐号。Fedora 8安装完成后,系统本身已创建了一些特殊用户,它们具有特殊的意义,其中最重要的是超级用户,即 root。还有一类用户是系统用户,是Linux 系统正常工作所必需的内建用户,主要是为了满足相应的系统进程对文件属主的要求而建立的,如bin、daemon、adm、lp 等用户。系统用户不能用来登录。系统用户也被称为虚拟用户。
03用户及组管理
2. passwd命令
格式: passwd [<选项>] [<用户名>] 功能:设置、修改用户的口令以及口令的属性,超级用户使用 useradd命令创建用户账户之后,需要使用passwd命令设 置初始口令,否则该用户不能被允许登录。 选项: -d用户名(delete) 删除用户的口令,则该用户账号无需口 令即可登录。 -l 用户名(lock) 暂时禁用指定的用户账号。 -u用户名(unlock) 恢复禁用用户账号。 -S用户名(status) 显示指定用户账号的状态
普通用户是在系统安装后由超级用户创建的, 通常完成指定权限的操作,而且也只能操作自 己所拥有权限的文件和目录,UID值500~6000
1.2 用户账号管理文件
用户帐号管理文件构成: 1)用户账号文件/etc/passwd 2)用户影子文件/etc/shadow 用户账号信息文件/etc/passwd组成: a.用户名:在系统中是唯一的,可由字母、数字和 符号组成。 b.口令:此字段存放加密口令。第二级 c.用户ID :系统内部用它来标识用户且唯一。 超级用户:UID=0,GID=0; 普通用户:UID≥500; 系统用户:0<UID<500。
5.其他的shell命令 1)id命令 格式:id [<选项>]用户名 功能:查看一个用户的UID和GID 选项: -g 只显示用户的组的GID -G 只显示用户的附属组的GID -u 只显示UID
2)whoami命令 格式:whoami 功能:用于显示当前用户的名称。
3)su命令
格式:su [-][<用户名>] 功能:转换当前用户到指定的用户账号。 选项: -用户名 在转换当前用户的同时转换用户工作环 境;若不指定用户名则转换当前用户到 root。
如何在终端中管理用户和用户组
如何在终端中管理用户和用户组在终端中管理用户和用户组终端是计算机操作系统中最基本的界面之一,通过终端可以进行各种操作,包括管理用户和用户组。
用户和用户组的管理对于一个操作系统来说尤为重要,可以保证系统的安全性和权限的合理分配。
本文将介绍如何在终端中进行用户和用户组的管理。
一、用户管理用户是操作系统中的一个重要组成部分,每个用户都拥有自己的账户和对应的权限。
在终端中,可以通过以下命令来进行用户的管理:1. 创建用户:使用命令"sudo adduser username",其中username为你要创建的用户名。
在执行该命令后,系统会提示你输入相关信息,如密码、姓名等。
按照提示完成信息输入后,用户便成功创建。
2. 删除用户:使用命令"sudo deluser username",其中username为你要删除的用户名。
执行该命令后,系统会删除该用户的账户和相关权限。
3. 修改用户信息:使用命令"sudo usermod -l new_usernameold_username",其中new_username为你想要修改的新用户名,old_username为原始的用户名。
执行该命令后,系统会将原始用户名修改为新的用户名。
4. 重置用户密码:使用命令"sudo passwd username",其中username为你要重置密码的用户名。
执行该命令后,系统会提示你输入新密码,并要求确认。
完成输入后,该用户的密码便成功重置。
5. 切换用户:使用命令"su username",其中username为你要切换的用户名。
执行该命令后,系统会要求输入该用户的密码,输入正确后即可切换为该用户。
二、用户组管理用户组是一种对用户进行归类,方便对用户进行管理和权限分配的方式。
在终端中,可以通过以下命令来进行用户组的管理:1. 创建用户组:使用命令"sudo addgroup groupname",其中groupname为你要创建的用户组名称。
用户和组管理
在Windows Server 2003中,用组账户来表示 组,用户只能通过用户账户登录计算机,不能 通过组账户登录。
1. 组的类型
与用户账户一样,根据Windows Server 2003服务器的工作组模式和 域模式,组分为本地组和域组。 1)本地组
创建在本地的组账户叫本地组。这些组账户的信息被存储在本地安全 账户数据库(SAM)中。本地组只能在本地计算机上使用,它有两种类型: 用户创建的组和系统内置的组。 2)域组
(2)弹出“user属性”对话框,在“常规”选项卡中选中 “账户已禁用”复选框,如下图B所示,单击“确定”按钮, 该账户即被禁用。
(3)如果要重新启用该账户,只要取消选中“账户已禁 用”复选框即可。
图A
图B
1.2 组的管理
组是指本地计算机或Active Directory中的对 象,包括用户、联系人、计算机和其他组。通 过组来管理用户和计算机对共享资源的访问。 引入组的概念主要是为了方便管理访问权限相 同的一系列用户账户。
5)禁用与激活账户
当某个用户长期不使用时,就要禁用该账户,不允许该账 户登录,禁用后该账户信息会显示为“╳”。禁用与激活本 地账户的操作步骤如下:
(1)在“计算机管理”窗口的左窗格中,选择“本地用 户和组”→“用户”选项,在右窗格中右击需要禁用的账户, 这里选择user账户,然后选择快捷菜单中的“属性”命令, 如下图A所示。
(3)设置好以上选项后,单击“创建”按钮,即可完成 新用户的创建。
图A
图B
2)更改账户
要对已经建立的账户 更改登录名,具体操作 为:
在“计算机管理”窗 口左侧的目录树列表中 选择“本地用户和 组”→“用户”选项,在 右侧用户列表格中右击 需要重命名的账户,选 择快捷菜单中的“重命 名”命令,如右图所示。 然后输入新的名称。
1. 组的类型
与用户账户一样,根据Windows Server 2003服务器的工作组模式和 域模式,组分为本地组和域组。 1)本地组
创建在本地的组账户叫本地组。这些组账户的信息被存储在本地安全 账户数据库(SAM)中。本地组只能在本地计算机上使用,它有两种类型: 用户创建的组和系统内置的组。 2)域组
(2)弹出“user属性”对话框,在“常规”选项卡中选中 “账户已禁用”复选框,如下图B所示,单击“确定”按钮, 该账户即被禁用。
(3)如果要重新启用该账户,只要取消选中“账户已禁 用”复选框即可。
图A
图B
1.2 组的管理
组是指本地计算机或Active Directory中的对 象,包括用户、联系人、计算机和其他组。通 过组来管理用户和计算机对共享资源的访问。 引入组的概念主要是为了方便管理访问权限相 同的一系列用户账户。
5)禁用与激活账户
当某个用户长期不使用时,就要禁用该账户,不允许该账 户登录,禁用后该账户信息会显示为“╳”。禁用与激活本 地账户的操作步骤如下:
(1)在“计算机管理”窗口的左窗格中,选择“本地用 户和组”→“用户”选项,在右窗格中右击需要禁用的账户, 这里选择user账户,然后选择快捷菜单中的“属性”命令, 如下图A所示。
(3)设置好以上选项后,单击“创建”按钮,即可完成 新用户的创建。
图A
图B
2)更改账户
要对已经建立的账户 更改登录名,具体操作 为:
在“计算机管理”窗 口左侧的目录树列表中 选择“本地用户和 组”→“用户”选项,在 右侧用户列表格中右击 需要重命名的账户,选 择快捷菜单中的“重命 名”命令,如右图所示。 然后输入新的名称。
《用户和组管理》课件
定期审计
对用户和组的活动进行实时监控,及时发现异常行为并采取相应措施。
监控
定期更新操作系统、软件和应用程序,以修复安全漏洞和提升性能。
及时升级软件版本,获取最新的功能和安全补丁。
系统更新
软件升级
数据备份
定期备份重要数据,确保数据安全和可恢复性。
备份策略
制定合理的备份策略,确保备份数据的完整性和可用性。
通过用户和组管理,可以限制不同用户的访问权限,防止未经授权的用户访问系统资源,提高系统的安全性。
提高系统安全性
通过用户和组管理,可以对多个用户进行批量配置和管理,减少管理员的工作量,提高管理效率。
提高管理效率
通过用户和组管理,可以控制不同用户对数据的访问和修改权限,保证数据的完整性和准确性。
保证数据完整性
案例描述
某科技公司面临用户和组管理混乱的问题,需要建立一套有效的用户和组管理系统,以确保公司内部资源的安全和高效利用。
解决方案
采用基于角色的访问控制(RBAC)模型,根据员工职责和工作内容划分不同的角色和权限,建立用户和组管理系统,实现资源的统一管理和分配。
案例名称
某大学校园用户和组管理
解决方案
采用单点登录(SSO)技术,将各个系统集成到一个平台上,实现用户和组信息的统一管理和权限控制。同时,建立用户自助服务平台,方便用户自行管理个人信息和权限。
详细描述
在Linux系统中,权限分为读、写和执行三种类型,分别用r、w和x表示。可以使用`chmod`命令修改文件或目录的权限,使用`chown`命令更改文件或目录的所有者和所属组。
ACL(Access Control Lists)是用于更精细地控制用户访问权限的一种机制。
ACL可以为用户或组设置特定的访问权限,以覆盖传统的文件和目录权限。可以使用`setfacl`命令设置ACL,使用`getfacl`命令查看ACL。
对用户和组的活动进行实时监控,及时发现异常行为并采取相应措施。
监控
定期更新操作系统、软件和应用程序,以修复安全漏洞和提升性能。
及时升级软件版本,获取最新的功能和安全补丁。
系统更新
软件升级
数据备份
定期备份重要数据,确保数据安全和可恢复性。
备份策略
制定合理的备份策略,确保备份数据的完整性和可用性。
通过用户和组管理,可以限制不同用户的访问权限,防止未经授权的用户访问系统资源,提高系统的安全性。
提高系统安全性
通过用户和组管理,可以对多个用户进行批量配置和管理,减少管理员的工作量,提高管理效率。
提高管理效率
通过用户和组管理,可以控制不同用户对数据的访问和修改权限,保证数据的完整性和准确性。
保证数据完整性
案例描述
某科技公司面临用户和组管理混乱的问题,需要建立一套有效的用户和组管理系统,以确保公司内部资源的安全和高效利用。
解决方案
采用基于角色的访问控制(RBAC)模型,根据员工职责和工作内容划分不同的角色和权限,建立用户和组管理系统,实现资源的统一管理和分配。
案例名称
某大学校园用户和组管理
解决方案
采用单点登录(SSO)技术,将各个系统集成到一个平台上,实现用户和组信息的统一管理和权限控制。同时,建立用户自助服务平台,方便用户自行管理个人信息和权限。
详细描述
在Linux系统中,权限分为读、写和执行三种类型,分别用r、w和x表示。可以使用`chmod`命令修改文件或目录的权限,使用`chown`命令更改文件或目录的所有者和所属组。
ACL(Access Control Lists)是用于更精细地控制用户访问权限的一种机制。
ACL可以为用户或组设置特定的访问权限,以覆盖传统的文件和目录权限。可以使用`setfacl`命令设置ACL,使用`getfacl`命令查看ACL。
linux管理用户和组实训
linux管理用户和组实训以Linux管理用户和组为主题的实训,主要涉及到在Linux系统中如何管理用户和组的相关操作。
本文将从用户和组的概念、用户和组的创建与删除、用户和组的权限管理以及用户和组的管理工具等方面进行介绍和实操,帮助读者更好地理解和掌握Linux系统中用户和组的管理方法。
一、用户和组的概念在Linux系统中,用户和组是用于区分和管理不同用户和用户组的一种机制。
用户是系统中的一个实体,可以通过用户名和密码登录系统。
组是一组具有相同权限的用户的集合,通过将用户划分为不同的组来实现权限管理和资源共享。
二、用户和组的创建与删除1. 创建用户:可以使用命令`useradd`来创建用户,例如`useradd username`,其中`username`为要创建的用户名。
2. 删除用户:可以使用命令`userdel`来删除用户,例如`userdel username`,其中`username`为要删除的用户名。
3. 创建组:可以使用命令`groupadd`来创建组,例如`groupadd groupname`,其中`groupname`为要创建的组名。
4. 删除组:可以使用命令`groupdel`来删除组,例如`groupdel groupname`,其中`groupname`为要删除的组名。
三、用户和组的权限管理1. 用户权限:可以使用命令`chmod`来修改用户对文件或目录的权限,例如`chmod u+r file`,表示给用户添加读权限。
2. 组权限:可以使用命令`chmod`来修改组对文件或目录的权限,例如`chmod g+w file`,表示给组添加写权限。
3. 其他用户权限:可以使用命令`chmod`来修改其他用户对文件或目录的权限,例如`chmod o-x file`,表示禁止其他用户执行该文件。
四、用户和组的管理工具1. useradd命令:用于创建用户,可以设置用户的密码、家目录、所属组等信息。
用户和用户组的管理
详细描述
在操作系统中,可以使用命令行或图形界面工具将单个用户添加到现有用户组中或从用户组中删除。此外,还可 以将一个用户从一个组移动到另一个组,或将其从所有组中删除。这些操作有助于管理和维护系统的安全性和稳 定性。
04
用户和用户组的管理工具
本地用户和组管理工具
本地用户和组管理工具是操作系统自带的工具,用于管理本地 计算机上的用户和用户组。这些工具包括“计算机管理”控制 台、命令行工具(如net user和net localgroup)等。
用户组是一种将多个用户归为一个组的机制,方便对用户的集中管理。
在操作系统中,用户组可以用来分配和管理权限,以便更好地控制对资
源的访问。
02
组账号
组账号是用于标识和验证用户组的身份的。与用户账号类似,每个组账
号也具有唯一的名称和密码。通过组账号,管理员可以管理组内的成员
和权限。
03
组权限
组权限是指用户组在操作系统中拥有的访问和控制资源的权限。与用户
使用AD用户和组管理工具可以创建、修改和删除活动目录中的用户和用户组, 以及设置用户权限和配置组策略等。
其他管理工具
其他用户和组管理工具包括第三方管理工具、脚本语言(如 PowerShell)等。这些工具可以提供更灵活和强大的功能, 用于自动化用户和组管理任务。
使用其他管理工具可以方便地实现批量创建和管理用户和 组,以及自定义脚本以实现特定的管理需求。
用户和用户组的管理
目录
• 用户和用户组的基本概念 • 用户管理 • 用户组管理 • 用户和用户组的管理工具 • 用户和用户组的管理策略与实践
01
用户和用户组的基本概念
用户定义
用户定义
用户是指使用计算机或网络服务 的个人或实体。在操作系统中, 用户是访问系统资源的基本单位, 具有账号、密码等身份验证信息。
在操作系统中,可以使用命令行或图形界面工具将单个用户添加到现有用户组中或从用户组中删除。此外,还可 以将一个用户从一个组移动到另一个组,或将其从所有组中删除。这些操作有助于管理和维护系统的安全性和稳 定性。
04
用户和用户组的管理工具
本地用户和组管理工具
本地用户和组管理工具是操作系统自带的工具,用于管理本地 计算机上的用户和用户组。这些工具包括“计算机管理”控制 台、命令行工具(如net user和net localgroup)等。
用户组是一种将多个用户归为一个组的机制,方便对用户的集中管理。
在操作系统中,用户组可以用来分配和管理权限,以便更好地控制对资
源的访问。
02
组账号
组账号是用于标识和验证用户组的身份的。与用户账号类似,每个组账
号也具有唯一的名称和密码。通过组账号,管理员可以管理组内的成员
和权限。
03
组权限
组权限是指用户组在操作系统中拥有的访问和控制资源的权限。与用户
使用AD用户和组管理工具可以创建、修改和删除活动目录中的用户和用户组, 以及设置用户权限和配置组策略等。
其他管理工具
其他用户和组管理工具包括第三方管理工具、脚本语言(如 PowerShell)等。这些工具可以提供更灵活和强大的功能, 用于自动化用户和组管理任务。
使用其他管理工具可以方便地实现批量创建和管理用户和 组,以及自定义脚本以实现特定的管理需求。
用户和用户组的管理
目录
• 用户和用户组的基本概念 • 用户管理 • 用户组管理 • 用户和用户组的管理工具 • 用户和用户组的管理策略与实践
01
用户和用户组的基本概念
用户定义
用户定义
用户是指使用计算机或网络服务 的个人或实体。在操作系统中, 用户是访问系统资源的基本单位, 具有账号、密码等身份验证信息。
用户帐户与组帐户管理
2024年2月17日星期六3时33分47秒
第4页/共31页
13.2 本地用户和组
13.2.1 用户帐户的创建
用户本地账户是建立在Windows Server 2003成员 服务器的本地安全数据库内,而不是域控制器内的账户。 用户可以利用本地账户登录此账户所在的计算机,但是无 法登录域。同时只能访问这台计算机内的资源,无法访问 网络上的资源。建议只在未加入域的计算机内建立本地用 户账户。
2024年2月17日星期六3时33分47秒
第8页/共31页
13.2 本地用户和组
(2)右击,从弹出的菜单中选择“新用户”命令,弹 出“新用户”对话框。输入用户名、全名、描述和密码。输 入时密码。为了避免在输入时被他人看到密码,因此在对话 框中的密码只会以星号(*)显示。需要再次输入密码来确 认所输入的密码是否正确。密码最多128个字符,密码的大 小写是有区别的。
(2)单击“下一步”按钮,弹出新建域用户帐户的对 话框,“密码”与“确认密码”:输入用户账户的密码。
(3) 单击“下一步”按钮后,提示用户账户的信息, 最后单击“完成”按钮,完成用户账户的创建。
2024年2月17日星期六3时33分47秒
第19页/共31页
13.3 域帐户管理
2. 域用户账户的属性设置 每个域用户都有一些相关的属性可供设置,例如,某
2024年2月17日星期六3时33分47秒
第7页/共31页
13.2 本地用户和组
2. 创建本地用户帐户 建立本地账户可以用“计算机管理”中的“本地用户和
组”管理单元来创建本地用户帐户,而且必须拥有管理员权 限。创建本地用户帐户的步骤如下:
(1)选择“开始管理工具计算机管理”选项,弹 出“计算机管理”窗口,依次展开“系统管理本地用户和 组用户”,在“计算机管理”窗口右侧列出已经存在的帐 户。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第5讲 用户和组的管理
企业需求
? 公司有100个员工,每个人工作内容不同。 然而他们中有些人有相同的权限。
? 需要为每个人创建不同的帐号 ? 还需要把有类似功能的用户放在一个组
中 ? 每个用户有自己的特定信息,需要可以用户创建一个帐号 ? 把有共同点的用户放在同一组中。 ? 设置每个用户的信息,同时要求用
– 明确是管理员还是用户管理密码,最好用户管理自己的 密码。
– 密码的长度在 7~128之间。 – 使用不易猜出的字母组合,例如不要使用自己的名字、
生日以及家庭成员的名字等。 – 密码可以使用大小写字母、数字和其它合法的字符。
5.1.2账户的类型
WORKGROUP 和 DOMAIN
工作组和域
5.1.2账户的类型
它有两种类型:用户创建的组和系统内置 的组。
5.2 组的分类
组的分类
? 根据组的作用范围,Windows Server 2003域组分为通用组、全 局组和本地域组,它们的成员和权限作用范围见表
特性 成员 权限范围 转换
通用组
所有域的用户、全 局组、通用组,不 包括任何域的本地 域组
所有域
可以转换为本地域 组,可以转换为全 局组(只要该组的 成员不含通用组)
内置账户
? Windows Server 2003安装完毕后,系统 会在服务器上自动创建一些内置账户
? Administrator (系统管理员): 拥有最 高权限。
? Guest(来宾) :是为临时访问计算机的用 户提供的。该账户自动生成,且不能被删 除,可以更改名字
5.2组的概念
5.2组的概念
机和其他“组织单位”
? 组织单位只能包含本域的对象,不 能包含来自其他域的对象
“组”和“组织单位”的区别
? 组是用户账户或其他组账户的集合, 主要用于用户账户的组织管理,以及 资源权限的访问控制
? 组织单位是多种对象的集合,主要着 眼于网络系统的构建。
基本操作篇
本地账户和组的建立 与设置
开 始
创建方式的不同
工域作只组能可以由由域任何控一制个计器算来机的创管理
员来创建,用户在系统的“计算机名
称建更,改然”对后话才框中允输许入新其的它组名的,重 新计启算动机计算加机入后就这创个建了域一。个新组,
每一台计算机都有权利创建一个组;
5.1.2账户的类型
?安全机制不同 ?登录方式不同
5.1.2账户的类型
5.3.1创建本地账户
? 用户不能更改密码:只允许用户使用管理员分 配的密码。
? 密码永不过期:密码默认的有限期为 42天,超 过42 天系统会提示用户更改密码,选中此项表 示系统永远不会提示用户修改密码。
? 账户已禁用:选中此项表示任何人都无法使用 这个账户登录,适用于企业内某员工离职时, 防止他人冒用该账户登录。
全局组
同一域的用户、 全局组
所有域 可以转换为通用 组(只要该组不 是隶属于任何一 个全局组)
本地域组
所有域的用户、 全局组、通用组, 同一域的本地域 组
同一域
可以转换为通用 组(只要该组的 成员不含本地域 组)
组织单位OU
? OU是活动目录中一种特有的目录对 象类型
? 组织单位是一种目录容器 ? 可以包含用户、组、计算机、打印
5.3.1创建本地账户
→
管
理
工
具
→
计
算
机
管
理
5.3.1创建本地账户
? 密码:用户登录时使用的密码。 ? 确认密码:为防止密码输入错误,需再输入一遍。 ? 用户下次登录时须更改密码:用户首次登录时,使
用管理员分配的密码,当用户再次登录时,强制用 户更改密码,用户更改后的密码只有自己知道,这 样可保证安全使用。
户第一次登录时,要修改密码 ? 区分组和组织单位
目录结构
? 基本概念
– 账户
? 账户的概念 ? 账户的分类
–组
? 组的概念 ? 组的分类
? 基本操作
基本概念篇
5.1.1账户的概念
账户是用户登录到域访问网络资源或 登录到某台计算机访问该机上的资源 的标识,包括账户名和密码。
★帐户名的命名规则★
?本地账户 ?域账户 ?内置账户
本地账户
本地账户对应对等网的工作组模式,建立在 非域控制器的Windows Server 2003独立服务 器、成员服务器以及Windows XP客户端。本 地账户只能在本地计算机上登录,无法访问 域中其它计算机资源。
SAM数据库文件路径为系统盘下 \Windows\system32\config\SAM。在SAM中, 每个账户被赋予唯一的安全识别号(SID , Security Identifier),用户要访问本地计算机, 都需要经过该机SAM中的SID 验证。
? 什么是组 –“组”:相同权限的用户的集合。 – 组的信息存放在本地安全账户数据 库中(SAM) 。
5.2组的分类
?本地组 ?域组
5.2组的分类
?域本组地:组:该创账建户在本创地建的在组账W户i。nd可o以w在s WSeinrdvoewrs 2S0e0rv3er的20域03控/2制00器0 /上N,T独 立组服账务户器或的成信员息服务被器存、储W在indAocwtsivXeP 、 W 器D的iinrd计eoc算wtso机r上NyT创数建W据本or地k库s组ta中t。io这,n 些等这组非些账域户组控的制 信能息够被被存使储用在在本整地个安 域全 账中户的数计据算库 (机S上AM。)内。本地组只能在本地机使用,
本地账户
本地账户建立在本地,且只能在本地计算机 上登录;
本地账户的登录验证
域账户
域账户和密码存储在域控制器上Active Directory 数据库中
域数据库的路径为域控制器中的系统盘下 \Windows\NTDS\NTDS.DIT 。
域账户一旦建立,会自动地被复制到同域中 的其它域控制器上
复制完成后,域中的所有域控制器都能在 用户登录时提供身份验证功能。
– 账户名必须唯一,且不分大小写。 – 最多包含 20个大小写字符和数字,输入时可
超过20个字符,但只识别前 20个字符。 – 不能使用保留字字符:” ^ [ ] :;|=,+
*?<> – 可以是字符和数字的组合。 – 不能与组名相同。
★密码的命名规则★
– 必须为 Administrator账户分配密码,防止未经授权就使 用。
企业需求
? 公司有100个员工,每个人工作内容不同。 然而他们中有些人有相同的权限。
? 需要为每个人创建不同的帐号 ? 还需要把有类似功能的用户放在一个组
中 ? 每个用户有自己的特定信息,需要可以用户创建一个帐号 ? 把有共同点的用户放在同一组中。 ? 设置每个用户的信息,同时要求用
– 明确是管理员还是用户管理密码,最好用户管理自己的 密码。
– 密码的长度在 7~128之间。 – 使用不易猜出的字母组合,例如不要使用自己的名字、
生日以及家庭成员的名字等。 – 密码可以使用大小写字母、数字和其它合法的字符。
5.1.2账户的类型
WORKGROUP 和 DOMAIN
工作组和域
5.1.2账户的类型
它有两种类型:用户创建的组和系统内置 的组。
5.2 组的分类
组的分类
? 根据组的作用范围,Windows Server 2003域组分为通用组、全 局组和本地域组,它们的成员和权限作用范围见表
特性 成员 权限范围 转换
通用组
所有域的用户、全 局组、通用组,不 包括任何域的本地 域组
所有域
可以转换为本地域 组,可以转换为全 局组(只要该组的 成员不含通用组)
内置账户
? Windows Server 2003安装完毕后,系统 会在服务器上自动创建一些内置账户
? Administrator (系统管理员): 拥有最 高权限。
? Guest(来宾) :是为临时访问计算机的用 户提供的。该账户自动生成,且不能被删 除,可以更改名字
5.2组的概念
5.2组的概念
机和其他“组织单位”
? 组织单位只能包含本域的对象,不 能包含来自其他域的对象
“组”和“组织单位”的区别
? 组是用户账户或其他组账户的集合, 主要用于用户账户的组织管理,以及 资源权限的访问控制
? 组织单位是多种对象的集合,主要着 眼于网络系统的构建。
基本操作篇
本地账户和组的建立 与设置
开 始
创建方式的不同
工域作只组能可以由由域任何控一制个计器算来机的创管理
员来创建,用户在系统的“计算机名
称建更,改然”对后话才框中允输许入新其的它组名的,重 新计启算动机计算加机入后就这创个建了域一。个新组,
每一台计算机都有权利创建一个组;
5.1.2账户的类型
?安全机制不同 ?登录方式不同
5.1.2账户的类型
5.3.1创建本地账户
? 用户不能更改密码:只允许用户使用管理员分 配的密码。
? 密码永不过期:密码默认的有限期为 42天,超 过42 天系统会提示用户更改密码,选中此项表 示系统永远不会提示用户修改密码。
? 账户已禁用:选中此项表示任何人都无法使用 这个账户登录,适用于企业内某员工离职时, 防止他人冒用该账户登录。
全局组
同一域的用户、 全局组
所有域 可以转换为通用 组(只要该组不 是隶属于任何一 个全局组)
本地域组
所有域的用户、 全局组、通用组, 同一域的本地域 组
同一域
可以转换为通用 组(只要该组的 成员不含本地域 组)
组织单位OU
? OU是活动目录中一种特有的目录对 象类型
? 组织单位是一种目录容器 ? 可以包含用户、组、计算机、打印
5.3.1创建本地账户
→
管
理
工
具
→
计
算
机
管
理
5.3.1创建本地账户
? 密码:用户登录时使用的密码。 ? 确认密码:为防止密码输入错误,需再输入一遍。 ? 用户下次登录时须更改密码:用户首次登录时,使
用管理员分配的密码,当用户再次登录时,强制用 户更改密码,用户更改后的密码只有自己知道,这 样可保证安全使用。
户第一次登录时,要修改密码 ? 区分组和组织单位
目录结构
? 基本概念
– 账户
? 账户的概念 ? 账户的分类
–组
? 组的概念 ? 组的分类
? 基本操作
基本概念篇
5.1.1账户的概念
账户是用户登录到域访问网络资源或 登录到某台计算机访问该机上的资源 的标识,包括账户名和密码。
★帐户名的命名规则★
?本地账户 ?域账户 ?内置账户
本地账户
本地账户对应对等网的工作组模式,建立在 非域控制器的Windows Server 2003独立服务 器、成员服务器以及Windows XP客户端。本 地账户只能在本地计算机上登录,无法访问 域中其它计算机资源。
SAM数据库文件路径为系统盘下 \Windows\system32\config\SAM。在SAM中, 每个账户被赋予唯一的安全识别号(SID , Security Identifier),用户要访问本地计算机, 都需要经过该机SAM中的SID 验证。
? 什么是组 –“组”:相同权限的用户的集合。 – 组的信息存放在本地安全账户数据 库中(SAM) 。
5.2组的分类
?本地组 ?域组
5.2组的分类
?域本组地:组:该创账建户在本创地建的在组账W户i。nd可o以w在s WSeinrdvoewrs 2S0e0rv3er的20域03控/2制00器0 /上N,T独 立组服账务户器或的成信员息服务被器存、储W在indAocwtsivXeP 、 W 器D的iinrd计eoc算wtso机r上NyT创数建W据本or地k库s组ta中t。io这,n 些等这组非些账域户组控的制 信能息够被被存使储用在在本整地个安 域全 账中户的数计据算库 (机S上AM。)内。本地组只能在本地机使用,
本地账户
本地账户建立在本地,且只能在本地计算机 上登录;
本地账户的登录验证
域账户
域账户和密码存储在域控制器上Active Directory 数据库中
域数据库的路径为域控制器中的系统盘下 \Windows\NTDS\NTDS.DIT 。
域账户一旦建立,会自动地被复制到同域中 的其它域控制器上
复制完成后,域中的所有域控制器都能在 用户登录时提供身份验证功能。
– 账户名必须唯一,且不分大小写。 – 最多包含 20个大小写字符和数字,输入时可
超过20个字符,但只识别前 20个字符。 – 不能使用保留字字符:” ^ [ ] :;|=,+
*?<> – 可以是字符和数字的组合。 – 不能与组名相同。
★密码的命名规则★
– 必须为 Administrator账户分配密码,防止未经授权就使 用。