8.1 网络用户管理.docx

1、8.1 网络用户管理2011-7-7 19:12:54 本站原创 佚名 【字体：大 中 小】 SQL_我要评论() 国际标准化组织（ ISO ）在 ISO/IEC 7498-4 文档中定义了网络管理的五大功能，并被广泛接受。这五大基本功能是：故障管理、计费管理、配置管理、性能管理、安全管理。由此可见，了解并掌握局域网的管理与维护操作技巧是何等的重要。本章主要介绍基于 Window 2000 的局域网的相关管理与维护，主要内容有：管理用户和计算机、管理磁盘系统、共享设置、数据备份和还原。服务器是整个基于 Windows 2000 的局域网的核心，网络系统的安全与否很大程度上取决于对服务器端的帐户

2、设置。 Windows 2000 Server 除了继承 Windows NT 的用户管理技巧外，还引入了更方便、更安全的用户管理机制。 Windows 2000 Server 将对用户、组和计算机等的管理全部集成到 MMC （ Microsoft Management Console ，管理控制台）上，使得系统管理员可以摆脱各种繁琐的工作，管理起来轻松自如。本节将详细讲解 Windows 2000 Server 中用户帐户的管理方法。在 Windows 2000 Server 中通过“Active Directory 用户和计算机”创建新的用户账户。新的用户账户将在 MMC （管理控制台）连

3、接到的第一个域控制器上创建，然后被复制到所有的域控制器上。可按如下操作步骤创建用户账户：1.进入管理控制台 MMC选择“开始”“ 程序” “管理工具” “ Active Directory 用户和计算机”命令打开“ Active Directory 用户和计算机”管理器，如图 8-1 所示。（也可选择“控制面板” “ 管理工具”。）图 8-1 Active Directory 用户和计算机2.创建组织单位Windows 2000 Server 允许在 Users 文件夹中直接新建用户。但为了对新建的用户帐户按组织单位管理，在新建用户之前最好先创建组织单位。创建组织单位操作类似建立文件夹。实例一

4、：首先创建“学生”和“教师” 两个组织单位，用于组织管理学生用户和教师用户，接着在“ 学生”下创建“计 02-1 班”和“ 计 02-2 班” 两个班级组织单位，用于分别组织管理两个班的学生用户。具体操作如下：在“ Active Directory 用户和计算机”中选择域选取“ 操作”菜单“新建”“组织单位”在“ 新建对象 - 组织单位” 对话框中填写组织单位名称：学生“确定” 。重复上述操作，建立“教师”、“计 02-1 班” 和“计 02-2 班”三个组织单位。创建完成后如图 8-2 所示。图 8-2 Active Directory 用户和计算机全称 用户登录名 密码 备注罗福强 下次

5、登录时必须更改 教师计 02-1-01 下次登录时必须更改 计 02-1 班 01 号学生计 02-2-01 j02201DDFFE 下次登录时必须更改 计 02-1 班 01 号学生表 8-1 学生用户1.打开新建用户对话框单击 Users 文件夹，然后选取“操作” “新建” “用户”菜单，弹出图 8-3 所示的对话框。图 8-3 新建用户2.填写用户帐户基本信息在“姓名” 文本框中输入：罗福强。在“用户登录名” 文本框中输入： lfq 。如图 8-4 所示。填写上述信息后，单击“下一步”，弹出如图 8-5 所示对话框。图 8-4 新建用户在填写用户信息时应注意以下几点： “用户登录名”

6、：表示用户唯一的登录名，遵守 Windows 2000 Server 的命名规则，用户名与下拉列表框中的域名组合，构成用户完整的 Internet 登录名。 “用户登录名（ Windows 2000 以前版本）”：用户的计算机如果使用 Microsoft Windows 2000 以前的版本，如 Windows 95 ，则用户需使用此登录名登录网络。此登录名在域中必须是唯一的。 用户登录名不能超过 20 个字符，且不能使用 / “” : ; ( ) = ? + * 等字符，用户名不能仅由空格组成。图 8-5 “新建对象 - 用户” 密码设置窗口3.设置用户密码图 8-5 所示对话框各选项说明如

7、下： “密码 ”：用来鉴别用户密码，为了保证网络的安全，应该指定用户密码； “确认密码” ：重复输入密码以确认密码是否正确； “用户下次登录时须更改密码” ：如果希望用户在第一次登录时更改密码，选中此项，可保证用户是唯一知道该密码的人； “用户不能更改密码” ：选中此项，只有管理员可更改密码，此项适合于公用帐户，也便于对用户密码进行控制； “帐户已停用” ：可禁用该帐户。在“密码” 和“确认密码”文本框中分别输入： 111111 。单击“下一步”，将显示所创建的用户信息，如图 8-6 所示。图 8-6 “新建对象 - 用户” 的完成窗口4.完成创建任务单击“完成”即可。重复以上步骤，创建表 8

8、-1 所示的其余两个学生用户。创建的每一个用户帐户都有相关的一系列属性，可根据需要设置用户常规、地址、电话、单位、帐户、拨入等属性。1.打开用户属性对话框要想设置用户帐户属性，必须打开用户的属性对话框。可按以下操作步骤完成：首先，选择要设置属性的用户，如选择用户名“罗福强” 。然后，选择“操作”菜单中的“属性” 命令，打开如图 8-7 所示的用户属性对话框。该对话框包含了用户的所有信息。图 8-7 用户属性对话框2.填写用户资料在用户属性对话框中只需分别选择“常规” 、“地址” 、“电话”、“单位”选项卡，即可填写或更改用户的详细资料。3.设置帐户属性利用属性对话框中的“帐户”选项卡，可以设置

9、用户帐户的有关选项。可以按以下操作步骤完成。(1)选择“帐户”选项卡，所图 8-8 所示。图 8-8 用户属性 - “帐户” 选项卡(2)根据实际情况，填写相关选项，填写方法与创建新用户时基本相同，填写完毕，单击“应用” 即可。4.设置登录时间默认情况下， Windows 2000 Server 允许用户一天 24 小时随时登录到网络。为用户设置登录时间，以限制用户登录网络的时间，在一定程度上可提高网络的安全性。实例三：限制用户“罗福强”的登录时间为：除双休外，每周每天 8:00am 6:00pm 之间登录网络。其操作步骤如下：1.打开设置登录时间对话框在“帐户” 选项卡中单击“ 登录时间”

10、按钮，打开设置登录时间对话框，如图 8-9 所示。其中蓝色部分表示可登录的时间，白色表示不能登录的时间。图 8-9 设置登录时段对话框2.设置允许登录时间首先单击“允许登录”单选钮，然后单击鼠标左键，以选择开始登录时间，如星期一上午 8:00 ，拖动鼠标至结束时间，如星期五下午 6:00 ，即可。3.设置拒绝登录时间。首先单击“拒绝登录”单选钮，然后单击鼠标左键，以选择开始登录时间，拖动鼠标至结束时间即可，如两个双休日全天，星期一至星期五每天 0:00 至 8:00 ， 18:00 至 24 ： 00 。4.完成设置。完成以上设置，效果如图 8-9 所示。单击“ 确定”按钮，返回“用户属性”对

11、话框。图 8-10 登录工作站对话框5.设置登录工作站在默认情况下，每个用户都可以从域中的所有计算机登录到网络中。如果想控制用户只能从某一台或某一些计算机登录，例如希望学生上机操作时对号入座，每个学生只能从规定的计算机登录入网，这时就得进行相应的设置。实例四：规定学生“计 02-1-01 ”只能从工作站 user01 登录。其设置步骤如下：1.打开“ 登录工作站”对话框。选择用户“计 02-1-01 ”，打开其用户属性，在“帐户” 选项卡中，单击“登录到” 按钮，打开如图 8-10 所示的“登录工作站”对话框。2.选中“ 下列计算机”单选钮。3.添加登录的计算机。在“计算机”文本框中，输入可以

12、进行登录的计算机名称：user01 ，并单击“添加” 按钮，添加后效果如图 8-10 所示。4.完成设置。单击“确定”按钮，返回用户属性对话框。如果要使用户能从其他计算机登录，则只须在第三步操作中重复添加相应的计算机即可。6.配置拨入设置为用户配置拨号设置之后，用户就可以从远程通过拨号连接到网络。单击“用户属性” 对话框的“拨入”选项卡，完成相应设置即可。下面是“拨入” 选项卡各选项的说明： “允许访问” 或“拒绝访问”：指明是否允许用户通过远程访问； “验证呼叫方 ID ”：为用户指定拨入电话号码； “不回叫 ”：指定该用户不能使用回叫； “由呼叫方设置（仅路由和远程访问服务）” ：指定用户

13、可以设置回叫选项； “总是回叫到” ：指定用户必须使用回叫，用户只有使用指定的电话号码才能连接到网络上。用户帐户一旦创建，系统管理员就要承担起对其管理职责，常规管理包括用户帐户的复制、移动、删除、重命名、重设密码、停用等。1.复制如果要创建的用户帐户与已存在的用户帐户设置相同，那么最佳办法就是复制帐户。复制用户帐户可避免为用户逐个设置用户属性，尤其是当具有相同属性的帐户较多时可大大提高工作效率。具体操作方法是：选择要复制的帐户选择“操作”“复制”填写新用户帐户信息“ 确定”。2.移动当用户已更换组织单位时，需要将用户移动到其新的组织单位中，以避免用户组织混乱。实例五：将用户“计 02-1-01

14、 ”、“计 02-2-01 ”、“罗福强” 分别移到组织单位“计 02-1 班”、“计 02-2 班”、“教师”中。以移动“ 计 02-1-01 ”为例，其具体操作如下：选定用户“计 02-1-01 ”选择“操作”“移动” 在“移动”对话框中选择组织单位“ 计 02-1 班”“ 确定” 。3.删除当用户离开时，可以删除用户帐户。其操作方法是:选定要删除的用户选择“操作”“删除”确认删除，即单击“是”。注意：用户删除后不能再恢复，即使用同样的用户名和密码创建新的用户帐户也不能，这是因为 Windows 2000 Server 给每个新帐户分配一个独一无二的数值，称为安全标志，并且在计算机内使用这

15、个数值。4.重命名当需要为用户更换用户名时，可执行重命名操作。其操作方法是：选定要重命名的用户选择“操作”“重命名” 在 MMC 窗口中更改用户名在“更改用户姓名”对话框中填写用户姓名、登录名“确定”。5.重设密码为安全起见，在 Windows 2000 Server 中可对用户密码设定有效期限(见 7.1.5 安全策略) 。当用户不能登录到网络或者本地计算机时，可重新设置用户的密码。具体操作如下：(1)以具有组织单位管理权限的身份或以系统管理员身份登录；(2)在“ Active Directory 用户和计算机”窗口中，选择需要改变密码的用户；(3)选择“操作”“ 重设密码” 在“重设密码”

16、对话框中输入新密码“确定”。6.停用帐户在某一时期若不希望用户登录网络，但将来还要让用户登录，则可以停用帐户。停用之后的帐户可以重新启用。其操作办法为：选择帐户“操作”“停用帐户” 。组是可包含用户、联系人、计算机和其他组的 Active Directory 或本机对象。使用组可以管理用户和计算机对共享资源的访问，包括： Active Directory 对象及其属性、网络共享位置文件、目录、打印机列队等。1.创建组创建组是系统管理员的一项重要日常工作，可以使用“ Active Directory 用户和计算机管理控制台 MMC 来创建组帐户。实例六：在 Users 文件夹中创建“ stude

17、nt ”组。具体操作如下：1.在“ Active Directory 用户和计算机”树窗中单击 Users 文件夹；2.选择“ 操作”“新建”“ 组”,打开“新建对象 - 组”对话框（如图 8-11 所示）；图 8-11 “新建对象 - 组”对话框3.图 8-11 对话框中各选项说明如下： 组作用域：组有两类作用域：本地域、全局域，用来设置组的作用范围是本地域还是全局。 组类型：Windows 2000 Server 支持两类组：安全式、分布式。安全式组用于管理用户和计算机及其属性，以及资源（文件共享、打印机等等）指派权限。分布式组又称通讯组只能用作电子邮件通讯，不能用于筛选组策略设置，无安全

18、功能。在“组名” 文本框中输入： Student 。单击“ 确定”按钮，创建完成。2.删除组当不再需要使用某个组时，一定要删除它，这样有助于维护网络的安全性，防止无意中授权的不再需要的组登录网络、访问资源。删除组并不会删除成员帐户。在 Windows 2000 Server 中，组与用户一样，都是唯一的，其安全标识符（ SID ）是不能重用的，删除后其 SID 将不再使用，并不能通过重新创建恢复。具体操作步骤与删除用户相同（见 7.1.3 ）。3.添加成员创建组之后，可以为组添加成员，组的成员可以是用户帐户、计算机及其他组。实例七：将用户“计 02-1-01 ”与“计 02-2-01 ”添加到

19、“ Student ”组中。具体操作如下：1.选择组 Student 。2.打开组的“属性”对话框：选择“操作”“属性” 。3.选择“ 成员”选项卡。4.添加成员：首先单击“添加”按钮，打开“ 选择用户、组或计算机” 对话框；然后在“ 名称”列表框中选择用户“计 02-1-01 ”，单击 “添加” 按钮。重复此操作步聚，将“计 02-2-01 ”加入组。5.完成结束：单击“确定”按钮。为了更有效地管理用户和计算机，维护网络的安全性，系统管理员有时需要设置系统的安全策略。 Windows 2000 Server 通过域安全策略管理控制台集中设置安全策略。选择“开始”“ 程序”“管理工具”“域安全

20、策略”，即进行域安全策略管理控制台如图 8-12 所示。其中与用户、计算机管理相关的安全策略有：帐户策略、本地策略、受限制的组文件系统等图 8-12 域安全策略1.帐户策略此策略应用于用户帐户，包含下列内容：1.密码策略：可为本地用户帐户设置密码长度最小值、密码最长或最短的存留期、强制密码历史。2.帐户锁定策略：决定系统锁定帐户的时间，以及锁定谁的帐户。3.Kerberos 策略：决定 Kerberos 有关的设置，如帐户有效期和强制性。注意： Windows 2000 Server 自动设置根域帐户策略。系统管理员可以为一个组织单位定义一个帐户策略。组织单位的帐户策略设置只影响该组织单位中任

21、何计算机上的本地策略。2.本地策略该策略属于计算机。本地策略基于已登录的计算机的权限。包含下列内容：1.审核策略：决定记录在计算机（成功的尝试、失败的尝试或两者）的“ 安全”日志上的安全事件（“安全”日志是事件查看器的一部分）。2.用户权利分配：决定在计算机上有登录或任务特权的用户或组。3.安全选项：启用或禁用计算机的安全设置，例如数据的数字信号、 Administrator 和 Guest 的帐户名、软盘驱动器和光盘的访问、驱动程序的安装以及登录提示。3.受限制的组在默认情况下，“受限制的组 ”有： Administrators 、 Power Users 、 Print Operators

22、、Server Operators 和 Domain Admins ， Windows 2000 Server 自动为其提供安全成员。系统管理员可以添加任何组，可设置受限制的组。受限制的组可用于解决自动无效成员的问题。例如，由于 Power Users 组是默认的 Windows 2000 组，因此它自动地成为“受限制的组” 的一部分。假定它包含两个用户： Alice 和 Bob 。通过“ Active Directory 用户和计算机” 管理单元， Bob 将 Charles 添加到组中以在休假时代替自己。然而，当 Bob 休假回来时，没有人记得将 Charles 从组中删除。 在实际部署中

23、，随着时间的流逝，这些情况将会增加不再有这些权限的成员，而导致各组中存在额外成员。通过“受限制的组”配置安全性可以防止此情况。 由于只有 Alice 和 Bob 列在 Power Users 的“受限制的组”节点中，因此当应用组策略设置时，Charles 将自动从组中删除。配置“受限制的组”确保组成员根据指定进行设置。没有在受限组中指定的组和用户便从指定的组中被除去。此外，反向成员配置选项确保每个“受限制的组” 只是在“成员”栏中指定组中的成员。由于这些原因，“受限制的组”应该用于配置工作站或服务器上本地组中的成员。4.委派控制Windows 2000 Server 允许创建组织单位并管理控制

24、权委派给特定用户或组。如果想实现委派控制，则在创建组织单位时应首先弄清楚组织单位的结构以及应包含的帐户或共享资源。例如，创建一个组织单位，该组织单位允许将单个组织单位部门（如人事关系部）的所有分支中所有用户和计算机的管理控制权授予用户。 也可以只把部门内某些资源（例如计算机帐户）的管理控制权授予用户。 另一种可能的管理委派控制是将人事关系单位的管理控制权授予用户，但不包括人事关系单位中包含的任何组织单位。由于委派管理责任，系统管理员不需要具有广泛权限（例如，在整个域中）的多个管理帐户了。虽然可能仍使用预定义的域管理器组进行整个域的管理，但是可将域管理员组成员的帐户限制为高度信任的管理用户。Wi

25、ndows 2000 定义了许多特殊的权限和用户权利，可用于委派或限制管理控制权。通过组织位、组和权限的组合，可以为特定的人定义最合适的有效管理范围：整个域、域中的所有组织单位甚至一个组织单位。可使用委派控制向导将管理控制权授予用户或组。实例八：将“计 02-1 班”的“创建、删除、管理用户” 的管理控制权委派给用户“ 计 02-1-01 ”。其具体操作步骤如下：1.选定组织单元“计 02-1 班 ”。2.打开委派控制向导。选择“操作”“ 委派控制”，打开委派控制向导“下一步”。3.添加想委派控制的用户。单击“添加”按钮在“ 选择用户、计算机、组” 对话框中的“名称”列表框中选择用户“计 02-1-01 ”“下一步” “下一步”，如图 8-13 所示。图 8-13 委派控制任务4.定义委派控制任务。可委派任务，包括：创建、删除以及管理用户帐户，重设用户帐户的密码，读取所有用户信息，创建、删除和管理组、修改组成员 ，管理组策略组。也可创建自定义任务支委派。单击“创建、删除以及管理用户帐户 ”复选框，单击“下一步” 按钮。5.完成任务。单击“完成” 按钮。