81 网络用户管理.docx
《81 网络用户管理.docx》由会员分享,可在线阅读,更多相关《81 网络用户管理.docx(26页珍藏版)》请在冰豆网上搜索。
81网络用户管理
8.1网络用户管理
2011-7-719:
12:
54本站原创佚名【字体:
大中小】{SQL_我要评论()}
国际标准化组织(ISO)在ISO/IEC7498-4文档中定义了网络管理的五大功能,并被广泛接受。
这五大基本功能是:
故障管理、计费管理、配置管理、性能管理、安全管理。
由此可见,了解并掌握局域网的管理与维护操作技巧是何等的重要。
本章主要介绍基于Window2000的局域网的相关管理与维护,主要内容有:
管理用户和计算机、管理磁盘系统、共享设置、数据备份和还原。
服务器是整个基于Windows2000的局域网的核心,网络系统的安全与否很大程度上取决于对服务器端的帐户设置。
Windows2000Server除了继承WindowsNT的用户管理技巧外,还引入了更方便、更安全的用户管理机制。
Windows2000Server将对用户、组和计算机等的管理全部集成到MMC(MicrosoftManagementConsole,管理控制台)上,使得系统管理员可以摆脱各种繁琐的工作,管理起来轻松自如。
本节将详细讲解Windows2000Server中用户帐户的管理方法。
在Windows2000Server中通过“ActiveDirectory用户和计算机”创建新的用户账户。
新的用户账户将在MMC(管理控制台)连接到的第一个域控制器上创建,然后被复制到所有的域控制器上。
可按如下操作步骤创建用户账户:
1.进入管理控制台MMC
选择“开始”→“程序”→“管理工具”→“ActiveDirectory用户和计算机”命令打开“ActiveDirectory用户和计算机”管理器,如图8-1所示。
(也可选择“控制面板”→“管理工具”。
)
图8-1ActiveDirectory用户和计算机
2.创建组织单位
Windows2000Server允许在Users文件夹中直接新建用户。
但为了对新建的用户帐户按组织单位管理,在新建用户之前最好先创建组织单位。
创建组织单位操作类似建立文件夹。
实例一:
首先创建“学生”和“教师”两个组织单位,用于组织管理学生用户和教师用户,接着在“学生”下创建“计02-1班”和“计02-2班”两个班级组织单位,用于分别组织管理两个班的学生用户。
具体操作如下:
在“ActiveDirectory用户和计算机”中选择域→选取“操作”菜单→“新建”→“组织单位”→在“新建对象-组织单位”对话框中填写组织单位名称:
学生→“确定”。
重复上述操作,建立“教师”、“计02-1班”和“计02-2班”三个组织单位。
创建完成后如图8-2所示。
图8-2ActiveDirectory用户和计算机
全称
用户登录名
密码
备注
罗福强
lfq@
下次登录时必须更改
教师
计02-1-01
j02101@
下次登录时必须更改
计02-1班01号学生
计02-2-01
j02201@DDFFE
下次登录时必须更改
计02-1班01号学生
表8-1学生用户
1.打开新建用户对话框
单击Users文件夹,然后选取“操作”→“新建”→“用户”菜单,弹出图8-3所示的对话框。
图8-3新建用户
2.填写用户帐户基本信息
在“姓名”文本框中输入:
罗福强。
在“用户登录名”文本框中输入:
lfq。
如图8-4所示。
填写上述信息后,单击“下一步”,弹出如图8-5所示对话框。
图8-4新建用户
在填写用户信息时应注意以下几点:
•“用户登录名”:
表示用户唯一的登录名,遵守Windows2000Server的命名规则,用户名与下拉列表框中的域名组合,构成用户完整的Internet登录名。
•“用户登录名(Windows2000以前版本)”:
用户的计算机如果使用MicrosoftWindows2000以前的版本,如Windows95,则用户需使用此登录名登录网络。
此登录名在域中必须是唯一的。
•用户登录名不能超过20个字符,且不能使用/“”:
;[]()=?
+*<>等字符,用户名不能仅由空格组成。
图8-5“新建对象-用户”密码设置窗口
3.设置用户密码
图8-5所示对话框各选项说明如下:
•“密码”:
用来鉴别用户密码,为了保证网络的安全,应该指定用户密码;
•“确认密码”:
重复输入密码以确认密码是否正确;
•“用户下次登录时须更改密码”:
如果希望用户在第一次登录时更改密码,选中此项,可保证用户是唯一知道该密码的人;
•“用户不能更改密码”:
选中此项,只有管理员可更改密码,此项适合于公用帐户,也便于对用户密码进行控制;
•“帐户已停用”:
可禁用该帐户。
在“密码”和“确认密码”文本框中分别输入:
111111。
单击“下一步”,将显示所创建的用户信息,如图8-6所示。
图8-6“新建对象-用户”的完成窗口
4.完成创建任务
单击“完成”即可。
重复以上步骤,创建表8-1所示的其余两个学生用户。
创建的每一个用户帐户都有相关的一系列属性,可根据需要设置用户常规、地址、电话、单位、帐户、拨入等属性。
1.打开用户属性对话框
要想设置用户帐户属性,必须打开用户的属性对话框。
可按以下操作步骤完成:
首先,选择要设置属性的用户,如选择用户名“罗福强”。
然后,选择“操作”菜单中的“属性”命令,打开如图8-7所示的用户属性对话框。
该对话框包含了用户的所有信息。
图8-7用户属性对话框
2.填写用户资料
在用户属性对话框中只需分别选择“常规”、“地址”、“电话”、“单位”选项卡,即可填写或更改用户的详细资料。
3.设置帐户属性
利用属性对话框中的“帐户”选项卡,可以设置用户帐户的有关选项。
可以按以下操作步骤完成。
(1)选择“帐户”选项卡,所图8-8所示。
图8-8用户属性-“帐户”选项卡
(2)根据实际情况,填写相关选项,填写方法与创建新用户时基本相同,填写完毕,单击“应用”即可。
4.设置登录时间
默认情况下,Windows2000Server允许用户一天24小时随时登录到网络。
为用户设置登录时间,以限制用户登录网络的时间,在一定程度上可提高网络的安全性。
实例三:
限制用户“罗福强”的登录时间为:
除双休外,每周每天8:
00am~6:
00pm之间登录网络。
其操作步骤如下:
1.打开设置登录时间对话框
在“帐户”选项卡中单击“登录时间”按钮,打开设置登录时间对话框,如图8-9所示。
其中蓝色部分表示可登录的时间,白色表示不能登录的时间。
图8-9设置登录时段对话框
2.设置允许登录时间
首先单击“允许登录”单选钮,然后单击鼠标左键,以选择开始登录时间,如星期一上午8:
00,拖动鼠标至结束时间,如星期五下午6:
00,即可。
3.设置拒绝登录时间。
首先单击“拒绝登录”单选钮,然后单击鼠标左键,以选择开始登录时间,拖动鼠标至结束时间即可,如两个双休日全天,星期一至星期五每天0:
00至8:
00,18:
00至24:
00。
4.完成设置。
完成以上设置,效果如图8-9所示。
单击“确定”按钮,返回“用户属性”对话框。
图8-10登录工作站对话框
5.设置登录工作站
在默认情况下,每个用户都可以从域中的所有计算机登录到网络中。
如果想控制用户只能从某一台或某一些计算机登录,例如希望学生上机操作时对号入座,每个学生只能从规定的计算机登录入网,这时就得进行相应的设置。
实例四:
规定学生“计02-1-01”只能从工作站user01登录。
其设置步骤如下:
1.打开“登录工作站”对话框。
选择用户“计02-1-01”,打开其用户属性,在“帐户”选项卡中,单击“登录到”按钮,打开如图8-10所示的“登录工作站”对话框。
2.选中“下列计算机”单选钮。
3.添加登录的计算机。
在“计算机”文本框中,输入可以进行登录的计算机名称:
user01,并单击“添加”按钮,添加后效果如图8-10所示。
4.完成设置。
单击“确定”按钮,返回用户属性对话框。
如果要使用户能从其他计算机登录,则只须在第三步操作中重复添加相应的计算机即可。
6.配置拨入设置
为用户配置拨号设置之后,用户就可以从远程通过拨号连接到网络。
单击“用户属性”对话框的“拨入”选项卡,完成相应设置即可。
下面是“拨入”选项卡各选项的说明:
•“允许访问”或“拒绝访问”:
指明是否允许用户通过远程访问;
•“验证呼叫方ID”:
为用户指定拨入电话号码;
•“不回叫”:
指定该用户不能使用回叫;
•“由呼叫方设置(仅路由和远程访问服务)”:
指定用户可以设置回叫选项;
•“总是回叫到”:
指定用户必须使用回叫,用户只有使用指定的电话号码才能连接到网络上。
用户帐户一旦创建,系统管理员就要承担起对其管理职责,常规管理包括用户帐户的复制、移动、删除、重命名、重设密码、停用等。
1.复制
如果要创建的用户帐户与已存在的用户帐户设置相同,那么最佳办法就是复制帐户。
复制用户帐户可避免为用户逐个设置用户属性,尤其是当具有相同属性的帐户较多时可大大提高工作效率。
具体操作方法是:
选择要复制的帐户→选择“操作”→“复制”→填写新用户帐户信息→“确定”。
2.移动
当用户已更换组织单位时,需要将用户移动到其新的组织单位中,以避免用户组织混乱。
实例五:
将用户“计02-1-01”、“计02-2-01”、“罗福强”分别移到组织单位“计02-1班”、“计02-2班”、“教师”中。
以移动“计02-1-01”为例,其具体操作如下:
选定用户“计02-1-01”→选择“操作”→“移动”→在“移动”对话框中选择组织单位“计02-1班”→“确定”。
3.删除
当用户离开时,可以删除用户帐户。
其操作方法是:
选定要删除的用户→选择“操作”→“删除”→确认删除,即单击“是”。
注意:
用户删除后不能再恢复,即使用同样的用户名和密码创建新的用户帐户也不能,这是因为Windows2000Server给每个新帐户分配一个独一无二的数值,称为安全标志,并且在计算机内使用这个数值。
4.重命名
当需要为用户更换用户名时,可执行重命名操作。
其操作方法是:
选定要重命名的用户→选择“操作”→“重命名”→在MMC窗口中更改用户名→在“更改用户姓名”对话框中填写用户姓名、登录名→“确定”。
5.重设密码
为安全起见,在Windows2000Server中可对用户密码设定有效期限(见7.1.5安全策略)。
当用户不能登录到网络或者本地计算机时,可重新设置用户的密码。
具体操作如下:
(1)以具有组织单位管理权限的身份或以系统管理员身份登录;
(2)在“ActiveDirectory用户和计算机”窗口中,选择需要改变密码的用户;
(3)选择“操作”→“重设密码”→在“重设密码”对话框中输入新密码→“确定”。
6.停用帐户
在某一时期若不希望用户登录网络,但将来还要让用户登录,则可以停用帐户。
停用之后的帐户可以重新启用。
其操作办法为:
选择帐户→“操作”→“停用帐户”。
组是可包含用户、联系人、计算机和其他组的ActiveDirectory或本机对象。
使用组可以管理用户和计算机对共享资源的访问,包括:
ActiveDirectory对象及其属性、网络共享位置文件、目录、打印机列队等。
1.创建组
创建组是系统管理员的一项重要日常工作,可以使用“ActiveDirectory用户和计算机管理控制台MMC来创建组帐户。
实例六:
在Users文件夹中创建“student”组。
具体操作如下:
1.在“ActiveDirectory用户和计算机”树窗中单击Users文件夹;
2.选择“操作”→“新建”→“组”,打开“新建对象-组”对话框(如图8-11所示);
图8-11“新建对象-组”对话框
3.图8-11对话框中各选项说明如下:
•组作用域:
组有两类作用域:
本地域、全局域,用来设置组的作用范围是本地域还是全局。
•组类型:
Windows2000Server支持两类组:
安全式、分布式。
安全式组用于管理用户和计算机及其属性,以及资源(文件共享、打印机等等)指派权限。
分布式组又称通讯组只能用作电子邮件通讯,不能用于筛选组策略设置,无安全功能。
在“组名”文本框中输入:
Student。
单击“确定”按钮,创建完成。
2.删除组
当不再需要使用某个组时,一定要删除它,这样有助于维护网络的安全性,防止无意中授权的不再需要的组登录网络、访问资源。
删除组并不会删除成员帐户。
在Windows2000Server中,组与用户一样,都是唯一的,其安全标识符(SID)是不能重用的,删除后其SID将不再使用,并不能通过重新创建恢复。
具体操作步骤与删除用户相同(见7.1.3)。
3.添加成员
创建组之后,可以为组添加成员,组的成员可以是用户帐户、计算机及其他组。
实例七:
将用户“计02-1-01”与“计02-2-01”添加到“Student”组中。
具体操作如下:
1.选择组Student。
2.打开组的“属性”对话框:
选择“操作”→“属性”。
3.选择“成员”选项卡。
4.添加成员:
首先单击“添加”按钮,打开“选择用户、组或计算机”对话框;然后在“名称”列表框中选择用户“计02-1-01”,单击“添加”按钮。
重复此操作步聚,将“计02-2-01”加入组。
5.完成结束:
单击“确定”按钮。
为了更有效地管理用户和计算机,维护网络的安全性,系统管理员有时需要设置系统的安全策略。
Windows2000Server通过域安全策略管理控制台集中设置安全策略。
选择“开始”→“程序”→“管理工具”→“域安全策略”,即进行域安全策略管理控制台如图8-12所示。
其中与用户、计算机管理相关的安全策略有:
帐户策略、本地策略、受限制的组文件系统等
图8-12域安全策略
1.帐户策略
此策略应用于用户帐户,包含下列内容:
1.密码策略:
可为本地用户帐户设置密码长度最小值、密码最长或最短的存留期、强制密码历史。
2.帐户锁定策略:
决定系统锁定帐户的时间,以及锁定谁的帐户。
3.Kerberos策略:
决定Kerberos有关的设置,如帐户有效期和强制性。
注意:
Windows2000Server自动设置根域帐户策略。
系统管理员可以为一个组织单位定义一个帐户策略。
组织单位的帐户策略设置只影响该组织单位中任何计算机上的本地策略。
2.本地策略
该策略属于计算机。
本地策略基于已登录的计算机的权限。
包含下列内容:
1.审核策略:
决定记录在计算机(成功的尝试、失败的尝试或两者)的“安全”日志上的安全事件(“安全”日志是事件查看器的一部分)。
2.用户权利分配:
决定在计算机上有登录或任务特权的用户或组。
3.安全选项:
启用或禁用计算机的安全设置,例如数据的数字信号、Administrator和Guest的帐户名、软盘驱动器和光盘的访问、驱动程序的安装以及登录提示。
3.受限制的组
在默认情况下,“受限制的组”有:
Administrators、PowerUsers、PrintOperators、ServerOperators和DomainAdmins,Windows2000Server自动为其提供安全成员。
系统管理员可以添加任何组,可设置受限制的组。
受限制的组可用于解决自动无效成员的问题。
例如,由于PowerUsers组是默认的Windows2000组,因此它自动地成为“受限制的组”的一部分。
假定它包含两个用户:
Alice和Bob。
通过“ActiveDirectory用户和计算机” 管理单元,Bob将Charles添加到组中以在休假时代替自己。
然而,当Bob休假回来时,没有人记得将Charles从组中删除。
在实际部署中,随着时间的流逝,这些情况将会增加不再有这些权限的成员,而导致各组中存在额外成员。
通过“受限制的组”配置安全性可以防止此情况。
由于只有Alice和Bob列在PowerUsers的“受限制的组”节点中,因此当应用组策略设置时,Charles将自动从组中删除。
配置“受限制的组”确保组成员根据指定进行设置。
没有在受限组中指定的组和用户便从指定的组中被除去。
此外,反向成员配置选项确保每个“受限制的组”只是在“成员”栏中指定组中的成员。
由于这些原因,“受限制的组”应该用于配置工作站或服务器上本地组中的成员。
4.委派控制
Windows2000Server允许创建组织单位并管理控制权委派给特定用户或组。
如果想实现委派控制,则在创建组织单位时应首先弄清楚组织单位的结构以及应包含的帐户或共享资源。
例如,创建一个组织单位,该组织单位允许将单个组织单位部门(如人事关系部)的所有分支中所有用户和计算机的管理控制权授予用户。
也可以只把部门内某些资源(例如计算机帐户)的管理控制权授予用户。
另一种可能的管理委派控制是将人事关系单位的管理控制权授予用户,但不包括人事关系单位中包含的任何组织单位。
由于委派管理责任,系统管理员不需要具有广泛权限(例如,在整个域中)的多个管理帐户了。
虽然可能仍使用预定义的域管理器组进行整个域的管理,但是可将域管理员组成员的帐户限制为高度信任的管理用户。
Windows2000定义了许多特殊的权限和用户权利,可用于委派或限制管理控制权。
通过组织位、组和权限的组合,可以为特定的人定义最合适的有效管理范围:
整个域、域中的所有组织单位甚至一个组织单位。
可使用委派控制向导将管理控制权授予用户或组。
实例八:
将“计02-1班”的“创建、删除、管理用户”的管理控制权委派给用户“计02-1-01”。
其具体操作步骤如下:
1.选定组织单元“计02-1班”。
2.打开委派控制向导。
选择“操作”→“委派控制”,打开委派控制向导→“下一步”。
3.添加想委派控制的用户。
单击“添加”按钮→在“选择用户、计算机、组”对话框中的“名称”列表框中选择用户“计02-1-01”→“下一步”→“下一步”,如图8-13所示。
图8-13委派控制任务
4.定义委派控制任务。
可委派任务,包括:
创建、删除以及管理用户帐户,重设用户帐户的密码,读取所有用户信息,创建、删除和管理组、修改组成员,管理组策略组。
也可创建自定义任务支委派。
单击“创建、删除以及管理用户帐户”复选框,单击“下一步”按钮。
5.完成任务。
单击“完成”按钮。
升级会员 