《windows 2000網絡基礎教程與上機指導》第5章windows 2000用戶管理

1、第5章 Windows 2000用戶管理,教學提示：對于Windows 2000系統管理員來說，用戶賬戶管理是最基本也是最重要的工作之一。賬戶管理的主要內容包括：增加/刪除賬戶、修改賬戶信息、建立賬戶本地配置文件和漫游配置文件、賬戶授權與審核等。,教學目標：本章的主要目標是學習Windows 2000賬戶的基本管理操作，并掌握用戶配置文件的設置方法。,5.1 用 戶 分 類,用過Windows 95或Windows 98的用戶都知道

2、，Windows 95或Windows 98的用戶密碼形同虛設，在進入系統時雖然提示輸入登錄用戶名和密碼，簡單地單擊【取消】按鈕就可以進入系統。Windows 2000在這一方面作了很大的改進：用戶必須輸入正確的用戶名和密碼才能登錄系統，如果不輸入正確的用戶名和密碼就不能進入系統；同時將不同用戶分配不同的權限。這就為規(guī)范管理計算機用戶提供了手段。 可以從權限和應用范圍兩方面對用戶進行分類：從權限上，Windows 20

3、00將用戶分為管理員、用戶和來賓三類，各有其不同的默認權限；從應用范圍上，Windows 2000將用戶分為本地用戶和全局用戶(域用戶)，每一臺Windows 2000服務器(非域控制器)都可以創(chuàng)建和管理自己的用戶賬戶即本地用戶，而域用戶則是由作為域控制器的服務器創(chuàng)建和管理的，目的是為用戶提供全域范圍內的安全憑據，以便用戶能夠登錄到網絡并訪問域資源。,5.2 本 地 用 戶,Windows 2000 系統管理員的一項主要任務就是管理賬

4、戶 。本地用戶賬戶使用戶能登錄本機并訪問本機資源。分配給賬戶的權限和特權確定了用戶可執(zhí)行的操作，以及可訪問的計算機資源。 5.2.1 創(chuàng)建本地用戶 5.2.2 刪除本地用戶 5.2.3 停用本地用戶 5.2.4 重設用戶密碼,5.2.1 創(chuàng)建本地用戶,當有新的用戶需登錄Windows 2000系統，作為管理員的用戶必須為其添加一個相應的用戶賬戶，否則該用

5、戶無法進入系統。下面介紹本地用戶賬戶的創(chuàng)建過程。,返回,5.2.2 刪除本地用戶,當系統中的某一個用戶賬戶不再被使用或者作為管理員的用戶不再希望某個用戶賬戶存在于系統中，可將該用戶賬戶刪除以便更新系統的用戶信息。,返回,5.2.3 停用本地用戶,如果某個用戶的賬戶暫時不使用，可將其停用。例如，單位有人長期出差在外期間，為防止他人盜用其賬戶，可暫停其賬戶的使用。賬戶被停用之后，無法登錄進入系統。當該用戶需要重新使用已被停用的賬戶時，系

6、統管理員可按照停用賬戶類似的操作重新啟用該賬戶以便用戶使用。,返回,5.2.4 重設用戶密碼,用戶密碼是用戶在進行系統登錄時所提供的最重要的安全憑證，因此當用戶密碼被別人盜用或者用戶感到有必要修改自己的密碼時，用戶可以通過Windows 2000 提供的修改密碼工具對用戶密碼進行重新設置。在設置密碼時，應注意避免過于簡單，以免被他人輕易破解。,返回,5.3 域 用 戶,在一個網絡中，用戶和計算機都是網絡的主體 ， 兩者缺一不可。

7、擁有計算機賬戶是計算機接入 Windows 2000 和 Windows NT 網絡的基礎，擁有用戶賬戶是用戶登錄到網絡并使用網絡資源的基礎，因此用戶和計算機賬戶管理是Windows 2000 網絡管理中最必要、最常用的工作。 5.3.1 域用戶簡介 5.3.2 創(chuàng)建域用戶 5.3.3 刪除域用戶 5.3.4 停用域用戶 5.3.5 移動域用戶,5.3.1 域用戶簡介,域用

8、戶主要用于：驗證用戶或計算機的身份、授權對域資源的訪問、審核使用用戶或計算機賬戶所執(zhí)行的操作等。 用戶賬戶用來記錄用戶的用戶名和密碼、隸屬的組和可以訪問的網絡資源，以及用戶的個人文件和設置。每個用戶都應在域控制器中擁有一個用戶賬戶，才能訪問服務器，使用網絡上的資源。用戶賬戶由一個“用戶名”和一個“密碼”來標識，二者都需要用戶在登錄時輸入。活動目錄用戶使用已經驗證和授權訪問域資源的身份登錄到計算機和域。而且，用戶賬戶也可

9、作為某些應用程序的服務賬戶。 每個加入域的Windows 2000和Windows NT計算機都具有計算機賬戶，否則無法進行域連接，實現域資源的訪問。與用戶賬戶類似，計算機賬戶也提供驗證和審核計算機機登錄到網絡以及訪問域資源的方法。不過，一個計算機系統要加入到域中，只能使用一個計算機賬戶，而一個用戶可擁有多個賬戶，且可在不同計算機(通常指已經連接到域中的計算機)上使用自己的賬戶進行網絡登錄。,返回,5.3.2 創(chuàng)建域

10、用戶,當有新的用戶需使用網絡上的資源時，作為管理員的用戶必須在域控制器中為其添加一個相應的賬戶，否則該用戶無法訪問域中的資源。另一方面，當有新的客戶計算機要加入到域中時，作為管理員的用戶必須在域控制器中為其創(chuàng)建一個計算機賬戶，以便它有資格成為域成員。計算機賬戶的創(chuàng)建非常簡單，這里不再細述，下面只著重介紹域用戶賬戶的創(chuàng)建過程。,返回,5.3.3 刪除域用戶,當系統中的某一個用戶賬戶不再被使用或者作為管理員的用戶不再希望某個用戶賬戶存在于

11、域中，可將該用戶賬戶刪除。另外，在網絡的使用中，當域中的某個計算機斷開了與網絡的連接，或者管理員不再希望某個計算機存在于域中，可將該計算機的計算機賬戶從域控制器中刪除，以防其他計算機假借原來的計算機使用域中的網絡資源。 要刪除一個用戶和計算機賬戶，在【Active Divectory 用戶和計算機】窗口的控制臺目錄樹中，展開域節(jié)點。單擊要刪除的用戶或者計算機所在的組織單元或容器，例如Users，使詳細資料窗口中列出組織單

12、元或容器的內容。然后在詳細資料窗口中右擊要刪除的用戶或者計算機，從彈出的快捷菜單中選擇【刪除】命令，出現信息確認框后，單擊【是】按鈕即可將該用戶或者計算機刪除。如圖5.9所示。,返回,,圖5.9 刪除域用戶,返回,5.3.4 停用域用戶,停用賬戶的目的是防止其他用戶或者計算機使用暫時不使用的賬戶進行域登錄。賬戶被停用之后，當該用戶或者計算機需要重新使用已被停用的賬戶時，系統管理員要重新啟用該賬戶以便用戶或計算機使用。

13、 停用用戶賬戶，在【Active Divectory 用戶和計算機】窗口的控制臺目錄樹中，展開域節(jié)點。單擊要停用的用戶賬戶或者計算機所在的組織單元或容器，使詳細資料窗口中列出該組織單元或容器的內容。然后在詳細資料窗口中，右擊要停用的用戶或者計算機賬戶，從彈出的快捷菜單中選擇【停用賬戶】命令，出現信息確認框后，單擊【是】按鈕即可停用被選用戶或者計算機賬戶。如圖5.10所示。,返回,,圖5.10 停用賬戶,返回,5.3.5 移動域用戶,

14、在一個大型網絡中，為了便于管理，系統管理員經常需要將用戶和計算機賬戶移動到新的組織單元或容器中。例如，公司一個職員從銷售部調到工程部，則應將其賬戶從銷售部的組織單元中移動到工程部所在的組織單元中。賬戶被移動之后，用戶和計算機仍可使用原有賬戶進行網絡登錄，不需要重新創(chuàng)建。不過，用戶和計算機賬戶的管理人和組策略將隨著組織單元的改變而改變。 要移動用戶和計算機賬戶，在Active Divectory 用戶和計算機窗口的控制臺

15、目錄樹中，展開域節(jié)點。單擊要移動用戶或者計算機賬戶所在的組織單元或容器，使詳細資料窗口中列出相應的內容，右擊要移動的用戶賬戶，從彈出的快捷菜單中選擇【移動】命令，打開移動對話框，在【將對象移動到容器】文本框中雙擊域節(jié)點，展開該節(jié)點，如圖5.11所示。單擊移動的目標組織單元，然后單擊【確定】按鈕即可完成移動。,返回,,圖5.11 移動域用戶,返回,5.3.6 重設域用戶密碼,(1) 在【Active Divectory 用戶和計算機

16、】窗口的控制臺目錄樹中，展開域節(jié)點。然后單擊包含要重新設置密碼的用戶的組織單元或容器，使詳細資料窗口中列出相應的內容。 (2) 在詳細資料窗口中，右擊要重新設置密碼的用戶賬戶，從彈出的快捷菜單中選擇【重設密碼】命令，打開如圖5.12所示的【重設密碼】對話框，在【新密碼】和【確認密碼】文本框中輸入要設置的新密碼。如果允許用戶更改密碼，可啟用【用戶下次登錄時須更改密碼】復選框。 (3) 單擊【確定】按鈕保存

17、設置。 (4) 在彈出的確認信息框，單擊【確定】按鈕可完成設置。,返回,,圖5.12 重設域用戶密碼,返回,5.4 使用用戶配置文件管理用戶登錄環(huán)境,5.4.1 用戶配置文件概述5.4.2 使用本地用戶配置文件5.4.3 使用漫游用戶配置文件,5.4.1 用戶配置文件概述,在運行 Windows 2000 的計算機上，通過用戶配置文件這種機制來自動創(chuàng)建和維護本地計算機上每個用戶工作環(huán)境的桌面設置，以使系統

18、每次重新啟動后，總會恢復到關機前的桌面狀態(tài)。用戶配置文件定義用戶的桌面環(huán)境，包括個人顯示設置、網絡和打印機連接，以及其他指定的設置。用戶或者用戶的系統管理員可以定義桌面環(huán)境。當用戶第一次登錄到計算機的時候，系統為每個用戶創(chuàng)建一個用戶配置文件。 用戶配置文件為用戶提供了多種便利。,返回,5.4.2 使用本地用戶配置文件,對于全新安裝Windows 2000 Server 的用戶 ，本地用戶配置文件將保存在系統所在磁盤分

19、區(qū)的Documents and Settings 文件夾中的用戶名下面。對于從WINNT升級至Windows 2000 Server 的升級安裝的用戶，本地用戶配置文件保存在 WINNT\profiles 文件夾中的用戶名下面。如果在服務器上用戶沒有預先配置漫游用戶配置文件，則該用戶第一次登錄到計算機時，系統會在該用戶名稱下創(chuàng)建一個用戶配置文件夾。然后默認用戶中的內容將復制到新用戶配置文件夾中。用戶配置文件，與“所有用戶”文件夾中的

20、公用程序組設置一起創(chuàng)建用戶的桌面。當用戶注銷時，在會話期間對默認設置做的所有更改都會保存到新的用戶配置文件夾中?！澳J用戶”中的用戶配置文件保持不變。,返回,5.4.3 使用漫游用戶配置文件,從Active Directory 中，可以為漫游用戶配置文件指派服務器位置。如果在用戶的域賬戶中輸入了用戶配置文件的路徑，那么當用戶注銷時，該用戶本地用戶配置文件的副本將保存到本地的用戶配置文件路徑位置。用戶下次登錄時，用戶配置文件路徑位置中的

21、用戶配置文件，將與本地用戶配置文件夾中的副本進行比較，然后打開最新的用戶配置文件副本。如果服務器不能使用，就使用本地緩存的漫游用戶配置文件的副本。不論用戶在什么地方登錄，都可以使用自己的用戶設置和文檔。,返回,5.5 上 機 指 導,目的：掌握Windows 2000域控制器中用戶與計算機賬戶的設置和使用。環(huán)境：運行Windows 2000 server/或Windows Professional 的計算機各一臺，且位于同一局域網中

22、，其中運行Windows 2000 server 的機器設置成主域服務器。注意將兩臺機器的IP地址配置在同一網段，保證網絡連通。5.5.1 設置用戶賬戶 以系統管理員身份登錄到Windows 2000 server。5.5.2 設置計算機賬戶 加入到域中且運行Windows 2000的每一臺計算機均要具有計算機賬戶。5.5.3 使用用戶和計算機賬戶 在另外一臺安裝了Windows