实现域网络管理模式之创建和管理用户组
2007-11-11 06:59:39 来源:WEB开发网关于创建和管理用户(组)这一块知识,首先做了一下简短的解释说明:“创建和管理用户账户及组是网络管理员应该掌握的比较基础的AD技术之一。任何一个用户要想从自己的计算机登录到域中,他的身份必须要通过域控制器的验证,而这种验证就是通过用户使用的登录账户来进行的。”
既然DC的作用之一是用来验证用户身份的,那么毫无疑问创建和管理用户账户(组)的操作就在域控制器中进行。晨晨打算试着创建三个用户账户“zhenghao”、“chenchen”和“hongxiaowei”,然后再添加一个组“CceUsers”。
创建用户账户
在域中创建用户账户的具体步骤如下所述:
第1步 以Administrator(系统管理员)身份登录基于Windows Server 2003的域控制器,然后在“运行”编辑框中键入“DSA.MSC”命令并回车,打开“Active Directory用户和计算机”窗口。
执行上述命令跟依次单击“开始/管理工具/Active Directory用户和计算机”功能相同。
第2步 在“Active Directory用户和计算机”窗口的左窗格中展开域名“cce.com.cn”并双击“Users”容器,然后依次执行“操作/新建/用户”菜单命令,打开“新建对象-用户”对话框。在“用户登录名”编辑框中键入准备创建的用户账户名称(如“zhenghao”),然后根据用户的实际信息在“姓”、“名”编辑框中键入适当内容。单击“下一步”按钮。
第3步 打开设置密码对话框,在“密码”编辑框中键入用户账户的密码。根据Windows Server 2003中规定的密码策略,如果键入的密码少于六位且不够复杂该密码将不被接受。建议键入一个包含字母、下划线和阿拉伯数字在内的比较复杂的密码,并重复输入密码。依次单击“下一步/完成”按钮完成创建。
该对话框的下方提供了设置密码高级属性的复选框。选取“用户下次登录时需更改密码”复选框可以强制用户在第一次登录域时修改密码;选取“用户不能更改密码”复选框则用户没有更改自己的账户密码的权限;选取“密码永不过期”复选框则该密码不受密码策略的时间限制;选取“账户已停用”复选框则可以禁用该用户账户。
第4步 重复上述步骤在“Users”容器中创建用户账户“chenchen”和“hongxiaowei”,并且完成创建以后马上能够在“Active Directory用户和计算机”窗口中看到新创建的用户账户。
用户基本权限设置
所谓基本权限包括用户被允许登录域的时间以及可以从哪一台工作站登录,这些设置对于有着严格上下班制度和工位使用制度的公司尤其有用。以设置用户“zhenghao”的基本权限为例,设置步骤如下:
1. 设置允许登录时段
第1步 以Administrator身份登录域控制器,并打开“Active Directory用户和计算机”窗口。展开“Users”容器,并在右窗格中的用户列表中双击“zhenghao”,打开“zhenghao 属性”对话框。然后单击“账户”标签,切换至“账户”选项卡。
第2步 在“账户”选项卡中单击“登录时间”按钮,打开“zhenghao的登录时间”对话框。对话框中横轴方向每个方块代表一小时,纵轴方向每个方块代表一天。蓝色方块表示允许用户登录的时间,空白方块则表示禁止用户登录的时间,默认情况下任何时间都允许用户登录。
假设准备让“zhenghao”只能在“星期一~星期五”的“7∶00~19∶00”登录到域,则先用鼠标左键单击左上方的“全部”按钮,然后点选“拒绝登录”单选框。用鼠标拖选相应范围的时间块,并点选“允许登录”单选框。单击“确定”按钮完成设置,如图1。
图1 设置登录时间
有趣的是,当用户在允许的时间段内登录到域并且持续使用到超出允许的时间段时,用户仍然可以保持连接并继续使用。不过一旦注销则不允许重新登录了。
2. 设置登录工作站
在未作设置以前,所有的用户可以从任何工作站登录到域中(当然这些工作站必须是域成员计算机,这方面知识将在后文提及)。不过如果需要,完全可以使某用户只能从一台或某几台工作站登录。
在“账户”选项卡中单击“登录到”按钮,打开“登录工作站”对话框。然后点选“下列计算机”单选框,在“计算机名”编辑框中键入相应工作站的NetBIOS名称,并单击“添加”按钮。添加完毕单击“确定”按钮,如图2。
图2 设置用户可登录的计算机
对于Windows 9x工作站而言此功能并非万全之策,因为用户可以从任何基于Windows 9x的工作站登录而不受限制。
删除用户
对于已经失去作用的用户账户(如已调走员工的用户账户)建议及时将其删除,删除的方法比较简单,只需在“Active Directory用户和计算机”窗口的用户列表中右击准备删除的用户账户,在弹出的快捷菜单中执行“删除”命令。确认删除操作不会引发任何问题并单击“确定”按钮即可。
在AD域中,用户账户包含了用户的名称、密码、所属组、个人信息等内容。添加到域中的用户账户会自动得到一个SID(Security Identifier,安全标识符),这个SID 在域中是惟一存在的,即使该用户账户被删除,其SID依然被保留着。如果某个用户账户被删除后,又在域中重新添加了一个相同名称的账户,则该账户会被分配一个新的SID。在域中,用户权限由SID惟一决定。
创建和管理组
组是为了方便管理具有相同属性的用户账户而设计的,创建组的步骤如下所述:
第1步 以Administrator身份登录域控制器,打开“Active Directory用户和计算机”窗口,并展开域目录树“cce.com.cn”。
第2步 依次执行“操作/新建/组”菜单命令,打开“新建对象-组”对话框。在“组名”编辑框中键入准备创建的组的名称,并单击“确定”按钮,如图3。
图3 创建组对象
在“新建对象-组”对话框中可以看到组分为“安全组”和“通讯组”两种类型,而针对每一种组又可赋予“本地域”、“全局”和“通用”三种作用范围。
第3步 单击“Users”容器,在右窗格中的用户和组列表中双击新创建的组“CceUsers”,打开“CceUsers 属性”对话框。然后单击“成员”标签,在“成员”选项卡中单击“添加”按钮,通过高级查找功能将用户“zhenghao”、“chenchen”和“hongxiaowei”添加进来。
也可以直接右击用户账户,在弹出的快捷菜单中执行“添加到组”命令。如果需要一次添加多个用户账户到同一个组,可以在按住Ctrl键的同时选取多个用户进行添加。
第4步 单击“隶属于”标签,在“隶属于”选项卡中单击“添加”按钮。通过高级查找功能选择该组的上一级组(如“DnsAdmins”,DNS管理员组)。这样做可以使组中的成员获得相应的权限。
第5步 单击“管理者”标签,在“管理者”选项卡中单击“更改”按钮,然后通过高级查找功能选择作为该组管理员的用户账户。建议勾选“管理员可以更新成员列表”复选框,最后单击“确定”按钮。
作者:寒江钓叟
更多精彩
赞助商链接