新增网域使用者帐户Word下载.docx
《新增网域使用者帐户Word下载.docx》由会员分享,可在线阅读,更多相关《新增网域使用者帐户Word下载.docx(10页珍藏版)》请在冰豆网上搜索。
6.進入密碼遺失精靈的畫面,其中並請您注意:
不論您想變更密碼幾次,這張磁片只需要建立一次,按下一步鈕。
7.依指示將空白磁片放入磁碟機中,按下一步鈕。
8.輸入目前使用者的帳戶密碼,按下一步鈕。
9.開始建立密碼重設磁片,出現完成100%畫面,按下一步鈕。
10.按完成鈕。
●找系統管理員求救
如果使用者忘了密碼,也沒製作密碼重設磁片,只好向系統管理員發出『SOS』訊號了!
此時系統管理員可以進入電腦管理主控台中,在使用者帳戶上按右鍵選擇設定密碼指令,來變更使用者的密碼。
不過這種方式是『非不得已』下的方法,因為為了安全性的考量,一旦以這種方式變更密碼後,使用者將無法再存取有些資料,例如經由使用者加密過的檔案。
4-2-1新增網域使用者帳戶
在WindowsServer2003的網域系統中,每一個使用者都必須要能被系統所辨認,以便存取網路上的資源,因此建立每一位使用者的帳戶是最基本的步驟。
您可以在網域中的任一台網域控制站建立帳戶,這個帳戶會被自動的複製到網域內的所有網域控制站中。
在新增使用者帳戶時,必須指定一個組織單位(OU)或容器(Container),才能將使用者新增到其中,例如:
Users,或是您自行新增的OU。
以下我們就利用ActiveDirectory使用者及電腦來新增網域使用者的帳戶。
1.先啟動ActiveDirectory使用者及電腦,點選網域名稱按右鍵,選擇新增/組織單位。
2.鍵入組織單位的名稱,例如顧問,按確定鈕。
2.接著點選顧問OU,再點選執行/新增/使用者指令。
3.在圖4-31中鍵入使用者名稱,以及使用者登入名稱,然後點選
鈕。
此名稱必須是唯一的,此名稱供使用者在Windows2000之前版本的電腦登入時使用
4.出現圖4-32,輸入適當的密碼及確認密碼,畫面中的核對方塊與建立本機使用者帳戶相同,於此不重述。
新增網域使用者帳戶時,密碼的設定比在本機時更為嚴格,必須符合安全性、和複雜性原則,長度至少大於6個字元,而且要包含英數、或大小寫,如果不夠嚴謹是無法完成新增程序的。
5.點選
鈕,再點選
鈕,即可完成新增的工作。
新增的網域使用者帳戶,預設的情況下是無法在網域控制站登入的,必須以群組原則將其開放為可以在本機登入,詳細的作法請參考第十章。
4-2-2使用者帳戶的相關設定
完成新的網域使用者帳戶後,您可以查看其內容,並做進一步的設定。
通常這些內容建立的愈完整,將來在AD中尋找使用者時就愈有效率。
圖4-36是在ActiveDirectory使用者及電腦中按右鍵查看新增的使用者內容之結果,其中有十多個標籤,本節將挑其中較重要的加以說明。
✧成員隸屬標籤
這個標籤中可以設定該使用者要隸屬於哪些群組。
點選
鈕,即可選擇要加入那些群組。
✧設定檔標籤
鍵入使用者設定檔的預設路徑,並視需要在主資料夾中鍵入使用者可以存取的資料夾。
此資料夾是做為所有未定義工作目錄的應用程式的預設資料夾,它可以放在本機中,也可以是一個共用的網路資料夾。
使用者設定檔會決定每一個使用者登入之後的工作環境,此部份的詳細說明請參考第九章。
✧撥入標籤
如果要授予此使用者,可以使用撥入的方法來執行遠端存取的動作,可以點選¤
允許存取選項鈕。
在此對話方塊中,另有一些回撥選項,所謂回撥是指當您從遠端連接到此電腦後,電腦自動將連接切斷,再自動撥回到您在遠端的機器,重新建立連接關係。
這是為了節省在遠端使用者的電話費所做的設計。
說明如下:
(1)不要回撥:
沒有回撥的功能。
(2)自動回撥到:
指定回撥電話要撥到哪個地方,例如撥到您家或是撥到分公司。
此種方式較具安全性,使用者僅能在固定的地點撥入來連接主機。
但是若是使用者出差在外,臨時有需要與公司的主機連線時,除非預先知道所在地方的電話,否則無法設定。
(3)由撥號者設定:
此選項是為了彌補上一選項的缺點而設定。
當您在遠端連接到公司的主機後,會出現一個對話方塊,要求您輸入回撥的號碼,然後主機會將連接斷線,再回撥到您鍵入的號碼來連線。
這樣即使您是在飯店中,只要有此權限,亦可連接到公司的主機。
✧帳戶標籤
您可以在帳戶到期日中設定此帳戶的有效期限,預設為¤
永久有效。
假設針對一批須受訓二個月的人員帳戶,就可以設定為2個月的有效帳戶期限,當期限一到,該帳戶自動無效。
在圖4-40中另有登入時數及登入到二個按鈕,分別說明如下。
1.點選
鈕時會出現登入時數的對話方塊,預設值為當週的每一小時都允許存取。
若是要限制此使用者某一段時間不可存取,例如週六至週日,可以用滑鼠選取該範圍,再點選¤
拒絕登入鈕,則該範圍就會留白,如圖4-41所示。
存取的時段
2.點選
鈕會出現登入工作站的對話方塊,這是用來設定使用者可以從網域中的那些電腦登入到此伺服器,預設值為可從所有電腦登入。
您也可以設定某些使用者只能從固定的幾台工作站中登入,此時您必須指定電腦的名稱,再按新增鈕即可。
另外,您也可以在ActiveDirectory使用者及電腦視窗中,以右鍵點選使用者帳戶,來重新命名帳戶、刪除帳戶、停用(啟用)帳戶、重設密碼、或解除鎖定帳戶…等。
4-2-3大量使用者的新增方法
如果您要一次新增四、五十個使用者,可以使用addusers.exe程式。
addusers.exe可以讓您一次新增很多使用者,您可以用addusers/?
查得其語法。
addusers.exe程式可以從Microsoft網站上下載,也可以使用在Windows2000ResourceKit中的這支程式。
要一次新增多筆使用者的程序如下:
步驟:
1.先用記事本建立一個文字檔(存檔類型為Unicode),其中包括所有您要新增的使用者的資料,如圖4-44所示。
圖4-44要新增的使用者資料
上圖所用的語法如下:
【Users】
使用者名稱,全名,密碼,描述、主磁碟機,主資料夾,設定檔,登入指令檔
其中『主磁碟機,主資料夾,設定檔,登入指令檔』四項可省略不打。
2.將檔案儲存,例如命名為users1.txt,連同addusers.exe一起存放到相同的路徑中,本例中是將此二檔案放在d:
磁碟的根目錄下。
3.以可以建立使用者的身份登入,在命令提示字元中執行下列指令,如圖4-45所示。
Addusers/cd:
\users1.txt
圖4-45
經由上述動作,即可將文字檔users1.txt中所有的使用者加到網域控制站中,預設的容器為Users,如果在加入的同時,也要指定群組,請參考4-3-4節的示範。
Users
以這種方式新增的使用者,第一次登入網域時,會強迫使用者變更密碼。
4-3群組
在網域中為了簡化管理網域資源的使用權限,可將使用者帳戶以群組來劃分,具有相同使用權限的分為同一群組。
這樣以後若必須變更或新增該網域資源的使用權限時,只須修改群組的成員,或將新使用者加入適當的群組中即可。
4-3-1網域功能等級
網域功能的等級是以網域控制站所運作的伺服器版本做為判斷的依據,其可分為以下三級:
Windows2000混合模式(mixedmode)
網域內的網域控制站可以是WindowsNTServer4.0、Windows2000Server、WindowsServer2003
Windows2000原始模式(nativemode)
網域內的網域控制站可以是Windows2000Server或WindowsServer2003
WindowsServer2003模式
網域內的網域控制站只能是WindowsServer2003,唯一支援可以變更網域控制站之電腦名稱的等級
原始模式和WindowsServer2003模式可以有較多的群組功能,例如支援群組類型(安全性群組及發佈群組)的相互轉換。
預設的網域功能等級為混合模式,您可以將混合模式提高為原始模式或WindowsServer2003模式,或將原始模式担提升為WindowsServer2003模式,但一旦完成升級,就無法再回復到原來的模式了。
提高等級的方法如下:
1.開啟ActiveDirectory使用者及電腦主控台。
2.在網域稱上按右鍵,並點選提高網域功能等級指令。
3.目前為預設的Windows2000混合模式,您可以提高為另二種等級。
4.按升級鈕後出現圖4-50的警告訊息,提醒你一旦升級,就無法再回到原來的等級了。
鈕,待出現成功升級的訊息後,更新的資訊會自動被複製到所有的網域控制站內。
4-3-2群組的類型和使用領域
WindowsServer2003的群組依適用領域(scope)的不同,可以分成通用、網域區域及萬用三種;
若依群組類型來分,又可分成安全性群組及發佈群組二種。
✧群組領域
群組領域決定這個群組可以在網路上的那些網域中活動,同時也決定誰可以加入這個群組。
●通用群組(globalgroup):
用來組織同一個網域內的使用者。
可將相似權限的使用者帳戶加入同一群組,其可以包含同一網域內的其他通用群組。
如果是在混合模式中,通用群組只能包含同一網域中的使用者。
如果是在原始模式,則還可包括同一網域中的其他通用群組。
這個群組的人可以在樹系中的所有網域獲得授權。
●網域區域群組(domainlocalgroup):
用來指派所屬網域內的存取權限,該群組只能存取同一網域內的資源。
如果是在混合模式中,網域區域群組只能包含使用者及任何網域的通用群組;
如果是在原始模式,則另外還可包含樹系中的萬用群組,以及同一網域中的網域區域群組。
這個群組的人,只能在其所屬的網域群組中獲得授權。
●萬用群組(universalgroup):
用來指派所有網域內的存取權限,可以存取所有網域內的資源。
若類型為安全性群組,則只有在原始模式之下才能使用萬用群組。
其成員可以包括使用者、通用群組,以及樹系中任一網域的其他萬用群組。
◆群組的使用準則
為了方便您管理網路上的資源,您可以依據下列準則來建立群組:
1.在單一網域下,以通用群組與網域區域群搭配使用。
您可以先將使用者帳戶(Account)加入通用群組(globalgroup),再將通用群組加入網域區域群組(domainlocalgroup),然後再指派給這個群組適當的權限(permissions);
這也就是所謂的A、G、DL、P程序。
2.在多網域的複雜網路環境下,使用者可能要存取多個網域中的資源,此時以通用群組與萬用群組搭配使用。
例如您可以先在各網域中建立好通用群組,將相同權限的使用者帳戶加入;
然後在某個網域中建立一個萬用群組,接著將各網域中的通用群組加入到該萬用群組中,這個程序就是A、G、U、P。
✧群組類型
群組類型有安全性(security)及發佈(distribution)二種。
安全性群組可以被授與或拒絕某種權限,例如對檔案的『讀取』或『拒絕』權限。
也可以用在與安全無關的工作上,例如發送電子郵件。
發佈群組則不能被授與任何權限,所以可用在與權限的設定無關的工作上。
因此若要使用檔案總管將資料夾檔案授權給群組時,您會看不到發佈群組。
如果某個群組只是要用來發E-mail的(例如客戶名單),則可以使用發佈群組。
該群組可以配合ExchangeServer來發佈電子郵件。
4-3-3內建的群組及特性
在安裝WindowsServer2003時,系統會自動在本機電腦內建立一些群組,有些則在升級為網域控制站時建立在AD資料庫中。
如果您的構型不是很複雜,就可以套用這些內建的群組,而不需自己另外建立。
您可以在非網域控制站的電腦中看到下列內建的本機群組,這些群組已具備一些權利和權限,您只須將使用者帳戶加入即可具有相同的權利和權限。
9圖4-52
同樣的,在網域的AD中也內建了許多群組,他們包括通用群組、網域區域群組和一些特殊群組。
你可以啟動ActiveDirectory使用者及電腦,點選網域名稱之下的Builtin容器,即可看到許多內建的網域區域群組,如圖所示。
您可以從上圖的描述欄中看到各群組的基本描述,例如PrintOperators群組的成員可以管理網路中的印表機。
再點選左側的Users資料夾,您可以看到更多的群組,其中有很多是通用群組。
在使用群組時有一個觀念要先澄清,那就是Administrators群組並不是至高無上的,有時候一個使用者雖然屬於Administrators群組,但有些動作仍然無法執行。
例如對於加密的檔案,使用者Administrator(這才是真正至高無上的使用者)可以將其解密。
但同屬Administrators群組的其他使用者卻不能解密。
網域中的使用者Administrator不僅僅是隸屬於Administrators群組;
他同時還可以屬於其他的6個群組。
所以,您可以將Administrator這個使用者更名,以便保護這個帳戶,但是無法刪除。
除了上述所介紹的這些群組外,還有一些特殊群組存在於每部WindowsServer2003中,不過您無法在電腦管理或ActiveDirectory使用者及電腦中看到(或管理)它們,只有在您設定權限或選擇使用者時才看得到這些群組。
●everyone:
任何一個使用者都屬於這個群組。
●AuthenticatedUsers:
任何一個以有效的使用者帳戶來連接的使用者,都屬於這個群組。
●Interactive:
只要在本機登入的使用者皆屬於。
●Network:
透過網路來連接此電腦的使用者都屬於。
●CreatorOwner:
檔案、資料夾等資源的建立者就是該資源的建立者(擁有者)。
●AnonymousLogon:
只要未使用有效的WindowsServer2003帳戶來連線的使用者都屬於這個群組。
Dialup:
以撥接方式來連線的使用者皆屬於。
在WindowsServer2003中有二個重要的名詞,一個是權利(Right),另一個是權限(Permission)。
所謂權利是規定使用者或群組能否對系統執行某些動作,例如登入本機,關閉電腦或查看安全日誌。
而權限則是規定使用者或群組能否存取或控制某一資源(例如檔案或印表機等等),權限通常都是透過檔案總管來管理,在下一章會有更進一步的介紹。
接下來將最常見的三個群組的特性說明如下:
✧系統管理者(Administrators)
在前面曾提到,Administrators群組並不是至高無上的,但其中的Administrator則是擁有最高權限的帳戶,包括了可以建立、刪除和管理其他使用者的帳戶以及區域群組;
可以共享目錄及印表機;
可以將資源授權給其他使用者;
可以安裝操作系統檔案及程式。
不過,在WindowsServer2003中的系統管理者(Administrator),並不是十項全能的。
例如在NTFS檔案系統中,檔案的建立者擁有對該檔案的所有權,若他對該檔案做了密碼限制,即使是系統管理者也無法接觸該檔案。
他必須先取得擁有權,再去修改安全性設定,才可存取該檔案。
當您以系統管理者登入時,您可以同時擁有使用者與管理者雙重角色。
為了避免不小心毀損系統構型,建議您自己再建立另一個使用者帳戶。
平時可以用一般使用者登入,等要管理系統時才改用系統管理者登入。
✧使用者(Users)
在您以系統管理者的身份所建立的帳戶中,大部份的人都屬於使用者帳戶。
使用者群組有下列的特性:
1.可以從遠端登入網域並用其連線到網路中。
2.無法使用交談式方式登入網控制站,也就是說無本機登入的權利。
3.無法關掉Server。
4.可以在電腦中保有其設定檔。
✧來賓(Guests)
來賓的權限比一般使用者要小,他無法在電腦上保留其設定檔,無法鎖住電腦,也無法自己建立、刪除或修改群組。
4-4建立群組
當內建的群組無法滿足安全需求時,您也可以自已新增群組並設定其權限。
由前一節的介紹,我們知道群組和使用者帳戶一樣,可以分別在本機或網域內建立。
4-4-1新增本機群組及成員
本機群組會建立在本機安全資料庫中,而非網域控制站,而且本機群組只能存取所在電腦中的資源。
因此建議你只在未加入網域的電腦中建立本機群組帳戶。
至於本機群組中的成員,可以視該本機電腦是否加入網域而不同:
以WindowsServer2003為例,要建立本機群組的方法為:
1.執行開始/系統管理工具/電腦管理,或展開檔案總管,在我的電腦上按右鍵選擇管理,開啟電腦管理視窗。
2.展開本機使用者和群組,在群組上按右鍵選擇新群組。
3.鍵入群組的名稱及描述,例如『專案一』,接著按新增鈕。
4.按下進階鈕,再按下立即尋找鈕,從搜尋結果清單中選擇成員,再按確定鈕。
6.按下建立鈕,接著可再建立新群組,或按關閉鈕離開。
本機若已加入網域,則在新增成員時,會出現訊息要求確認身份。
看到網域使用者帳戶
此時您就可以將網域中的使用者帳戶加入群組中;
若要顯示本機使用者帳戶,可點選位置鈕重新選擇本機位置。
我們可以將權限相同的使用者帳戶歸入相同的群組中,然後只須對該群組授予權限,該群組內的所有使用者都會有相同的權限,如此可以省去您一一為使用者設定權限的麻煩。
4-4-2新增網域群組
您可以在網域中的任何一部網域控制站,來執行新增群組的作業。
1.執行開始/系統管理工具/ActiveDirectory使用者及電腦。
2.點選網域名稱將其展開,再點選任一個OU或Container,按右鍵點選新增/群組指令。
(你可以事先將OU建立好)
3.鍵入群組名稱(例如:
測試),以及供舊版作業系統存取的名稱(預設與群組名稱同),再設定群組領域及群組類型,一般預設即為8通用、8安全性。
按確定鈕。
與使用者帳戶一樣,系統會為您所新增的群組,建立一個唯一的SID,並透過SID來設定權限。
您可以在新增的群組上按右鍵,來執行群組的更名、刪除…等動作。
4-4-3新增網域群組成員
網域群組建立好之後,可以將成員或其它群組加入。
1.在欲加入成員的群組上按右鍵,選擇內容指令。
2.切換到成員標籤,按新增鈕。
3.按下進階鈕,再按下立即尋找鈕,從搜尋結果中點選要加入的使用者,按確定鈕,再按確定鈕。
4.切換到成員隸屬標籤,先按下新增鈕,再按進階鈕,然後按立即尋找鈕,從搜尋結果中選擇群組名稱,按確定鈕。
4-4-4將大量使用者加入某群組
除了addusers可以加入大量的使用者帳戶外,您還可以用usrtogrp.exe這支程式,將多筆新增的使用者加入指定的群組中。
Usrtogrp的語法如下:
Usrtogrpfilename
其對應的文字檔格式如下:
domain:
網域名稱
globalgroup:
通用群組名稱。
localgroup:
區域群組名稱。
User1(以下為要加入的使用者名稱)
User2
1.首先以記事本建立要加入群組的使用者。
在這個範例中是將使用者加入教學通用群組中。
2.將資料存檔,例如命名為teaching.txt。
3.接著在命令提示字元中執行usrtogrp指令,即可完成新增群組並將員加入的工作。
該教學群組會置於Users容器中,您可以在ActiveDirectory使用者及電腦中查看。
升级会员 