《windows 2000網(wǎng)絡(luò)基礎(chǔ)教程與上機指導(dǎo)》第5章windows 2000用戶管理

1、第5章 Windows 2000用戶管理,教學(xué)提示：對于Windows 2000系統(tǒng)管理員來說，用戶賬戶管理是最基本也是最重要的工作之一。賬戶管理的主要內(nèi)容包括：增加/刪除賬戶、修改賬戶信息、建立賬戶本地配置文件和漫游配置文件、賬戶授權(quán)與審核等。,教學(xué)目標：本章的主要目標是學(xué)習(xí)Windows 2000賬戶的基本管理操作，并掌握用戶配置文件的設(shè)置方法。,5.1 用 戶 分 類,用過Windows 95或Windows 98的用戶都知道

2、，Windows 95或Windows 98的用戶密碼形同虛設(shè)，在進入系統(tǒng)時雖然提示輸入登錄用戶名和密碼，簡單地單擊【取消】按鈕就可以進入系統(tǒng)。Windows 2000在這一方面作了很大的改進：用戶必須輸入正確的用戶名和密碼才能登錄系統(tǒng)，如果不輸入正確的用戶名和密碼就不能進入系統(tǒng)；同時將不同用戶分配不同的權(quán)限。這就為規(guī)范管理計算機用戶提供了手段。 可以從權(quán)限和應(yīng)用范圍兩方面對用戶進行分類：從權(quán)限上，Windows 20

3、00將用戶分為管理員、用戶和來賓三類，各有其不同的默認權(quán)限；從應(yīng)用范圍上，Windows 2000將用戶分為本地用戶和全局用戶(域用戶)，每一臺Windows 2000服務(wù)器(非域控制器)都可以創(chuàng)建和管理自己的用戶賬戶即本地用戶，而域用戶則是由作為域控制器的服務(wù)器創(chuàng)建和管理的，目的是為用戶提供全域范圍內(nèi)的安全憑據(jù)，以便用戶能夠登錄到網(wǎng)絡(luò)并訪問域資源。,5.2 本 地 用 戶,Windows 2000 系統(tǒng)管理員的一項主要任務(wù)就是管理賬

4、戶 。本地用戶賬戶使用戶能登錄本機并訪問本機資源。分配給賬戶的權(quán)限和特權(quán)確定了用戶可執(zhí)行的操作，以及可訪問的計算機資源。 5.2.1 創(chuàng)建本地用戶 5.2.2 刪除本地用戶 5.2.3 停用本地用戶 5.2.4 重設(shè)用戶密碼,5.2.1 創(chuàng)建本地用戶,當(dāng)有新的用戶需登錄Windows 2000系統(tǒng)，作為管理員的用戶必須為其添加一個相應(yīng)的用戶賬戶，否則該用

5、戶無法進入系統(tǒng)。下面介紹本地用戶賬戶的創(chuàng)建過程。,返回,5.2.2 刪除本地用戶,當(dāng)系統(tǒng)中的某一個用戶賬戶不再被使用或者作為管理員的用戶不再希望某個用戶賬戶存在于系統(tǒng)中，可將該用戶賬戶刪除以便更新系統(tǒng)的用戶信息。,返回,5.2.3 停用本地用戶,如果某個用戶的賬戶暫時不使用，可將其停用。例如，單位有人長期出差在外期間，為防止他人盜用其賬戶，可暫停其賬戶的使用。賬戶被停用之后，無法登錄進入系統(tǒng)。當(dāng)該用戶需要重新使用已被停用的賬戶時，系

6、統(tǒng)管理員可按照停用賬戶類似的操作重新啟用該賬戶以便用戶使用。,返回,5.2.4 重設(shè)用戶密碼,用戶密碼是用戶在進行系統(tǒng)登錄時所提供的最重要的安全憑證，因此當(dāng)用戶密碼被別人盜用或者用戶感到有必要修改自己的密碼時，用戶可以通過Windows 2000 提供的修改密碼工具對用戶密碼進行重新設(shè)置。在設(shè)置密碼時，應(yīng)注意避免過于簡單，以免被他人輕易破解。,返回,5.3 域 用 戶,在一個網(wǎng)絡(luò)中，用戶和計算機都是網(wǎng)絡(luò)的主體 ， 兩者缺一不可。

7、擁有計算機賬戶是計算機接入 Windows 2000 和 Windows NT 網(wǎng)絡(luò)的基礎(chǔ)，擁有用戶賬戶是用戶登錄到網(wǎng)絡(luò)并使用網(wǎng)絡(luò)資源的基礎(chǔ)，因此用戶和計算機賬戶管理是Windows 2000 網(wǎng)絡(luò)管理中最必要、最常用的工作。 5.3.1 域用戶簡介 5.3.2 創(chuàng)建域用戶 5.3.3 刪除域用戶 5.3.4 停用域用戶 5.3.5 移動域用戶,5.3.1 域用戶簡介,域用

8、戶主要用于：驗證用戶或計算機的身份、授權(quán)對域資源的訪問、審核使用用戶或計算機賬戶所執(zhí)行的操作等。 用戶賬戶用來記錄用戶的用戶名和密碼、隸屬的組和可以訪問的網(wǎng)絡(luò)資源，以及用戶的個人文件和設(shè)置。每個用戶都應(yīng)在域控制器中擁有一個用戶賬戶，才能訪問服務(wù)器，使用網(wǎng)絡(luò)上的資源。用戶賬戶由一個“用戶名”和一個“密碼”來標識，二者都需要用戶在登錄時輸入?；顒幽夸浻脩羰褂靡呀?jīng)驗證和授權(quán)訪問域資源的身份登錄到計算機和域。而且，用戶賬戶也可

9、作為某些應(yīng)用程序的服務(wù)賬戶。 每個加入域的Windows 2000和Windows NT計算機都具有計算機賬戶，否則無法進行域連接，實現(xiàn)域資源的訪問。與用戶賬戶類似，計算機賬戶也提供驗證和審核計算機機登錄到網(wǎng)絡(luò)以及訪問域資源的方法。不過，一個計算機系統(tǒng)要加入到域中，只能使用一個計算機賬戶，而一個用戶可擁有多個賬戶，且可在不同計算機(通常指已經(jīng)連接到域中的計算機)上使用自己的賬戶進行網(wǎng)絡(luò)登錄。,返回,5.3.2 創(chuàng)建域

10、用戶,當(dāng)有新的用戶需使用網(wǎng)絡(luò)上的資源時，作為管理員的用戶必須在域控制器中為其添加一個相應(yīng)的賬戶，否則該用戶無法訪問域中的資源。另一方面，當(dāng)有新的客戶計算機要加入到域中時，作為管理員的用戶必須在域控制器中為其創(chuàng)建一個計算機賬戶，以便它有資格成為域成員。計算機賬戶的創(chuàng)建非常簡單，這里不再細述，下面只著重介紹域用戶賬戶的創(chuàng)建過程。,返回,5.3.3 刪除域用戶,當(dāng)系統(tǒng)中的某一個用戶賬戶不再被使用或者作為管理員的用戶不再希望某個用戶賬戶存在于

11、域中，可將該用戶賬戶刪除。另外，在網(wǎng)絡(luò)的使用中，當(dāng)域中的某個計算機斷開了與網(wǎng)絡(luò)的連接，或者管理員不再希望某個計算機存在于域中，可將該計算機的計算機賬戶從域控制器中刪除，以防其他計算機假借原來的計算機使用域中的網(wǎng)絡(luò)資源。 要刪除一個用戶和計算機賬戶，在【Active Divectory 用戶和計算機】窗口的控制臺目錄樹中，展開域節(jié)點。單擊要刪除的用戶或者計算機所在的組織單元或容器，例如Users，使詳細資料窗口中列出組織單

12、元或容器的內(nèi)容。然后在詳細資料窗口中右擊要刪除的用戶或者計算機，從彈出的快捷菜單中選擇【刪除】命令，出現(xiàn)信息確認框后，單擊【是】按鈕即可將該用戶或者計算機刪除。如圖5.9所示。,返回,,圖5.9 刪除域用戶,返回,5.3.4 停用域用戶,停用賬戶的目的是防止其他用戶或者計算機使用暫時不使用的賬戶進行域登錄。賬戶被停用之后，當(dāng)該用戶或者計算機需要重新使用已被停用的賬戶時，系統(tǒng)管理員要重新啟用該賬戶以便用戶或計算機使用。

13、 停用用戶賬戶，在【Active Divectory 用戶和計算機】窗口的控制臺目錄樹中，展開域節(jié)點。單擊要停用的用戶賬戶或者計算機所在的組織單元或容器，使詳細資料窗口中列出該組織單元或容器的內(nèi)容。然后在詳細資料窗口中，右擊要停用的用戶或者計算機賬戶，從彈出的快捷菜單中選擇【停用賬戶】命令，出現(xiàn)信息確認框后，單擊【是】按鈕即可停用被選用戶或者計算機賬戶。如圖5.10所示。,返回,,圖5.10 停用賬戶,返回,5.3.5 移動域用戶,

14、在一個大型網(wǎng)絡(luò)中，為了便于管理，系統(tǒng)管理員經(jīng)常需要將用戶和計算機賬戶移動到新的組織單元或容器中。例如，公司一個職員從銷售部調(diào)到工程部，則應(yīng)將其賬戶從銷售部的組織單元中移動到工程部所在的組織單元中。賬戶被移動之后，用戶和計算機仍可使用原有賬戶進行網(wǎng)絡(luò)登錄，不需要重新創(chuàng)建。不過，用戶和計算機賬戶的管理人和組策略將隨著組織單元的改變而改變。 要移動用戶和計算機賬戶，在Active Divectory 用戶和計算機窗口的控制臺

15、目錄樹中，展開域節(jié)點。單擊要移動用戶或者計算機賬戶所在的組織單元或容器，使詳細資料窗口中列出相應(yīng)的內(nèi)容，右擊要移動的用戶賬戶，從彈出的快捷菜單中選擇【移動】命令，打開移動對話框，在【將對象移動到容器】文本框中雙擊域節(jié)點，展開該節(jié)點，如圖5.11所示。單擊移動的目標組織單元，然后單擊【確定】按鈕即可完成移動。,返回,,圖5.11 移動域用戶,返回,5.3.6 重設(shè)域用戶密碼,(1) 在【Active Divectory 用戶和計算機

16、】窗口的控制臺目錄樹中，展開域節(jié)點。然后單擊包含要重新設(shè)置密碼的用戶的組織單元或容器，使詳細資料窗口中列出相應(yīng)的內(nèi)容。 (2) 在詳細資料窗口中，右擊要重新設(shè)置密碼的用戶賬戶，從彈出的快捷菜單中選擇【重設(shè)密碼】命令，打開如圖5.12所示的【重設(shè)密碼】對話框，在【新密碼】和【確認密碼】文本框中輸入要設(shè)置的新密碼。如果允許用戶更改密碼，可啟用【用戶下次登錄時須更改密碼】復(fù)選框。 (3) 單擊【確定】按鈕保存

17、設(shè)置。 (4) 在彈出的確認信息框，單擊【確定】按鈕可完成設(shè)置。,返回,,圖5.12 重設(shè)域用戶密碼,返回,5.4 使用用戶配置文件管理用戶登錄環(huán)境,5.4.1 用戶配置文件概述5.4.2 使用本地用戶配置文件5.4.3 使用漫游用戶配置文件,5.4.1 用戶配置文件概述,在運行 Windows 2000 的計算機上，通過用戶配置文件這種機制來自動創(chuàng)建和維護本地計算機上每個用戶工作環(huán)境的桌面設(shè)置，以使系統(tǒng)

18、每次重新啟動后，總會恢復(fù)到關(guān)機前的桌面狀態(tài)。用戶配置文件定義用戶的桌面環(huán)境，包括個人顯示設(shè)置、網(wǎng)絡(luò)和打印機連接，以及其他指定的設(shè)置。用戶或者用戶的系統(tǒng)管理員可以定義桌面環(huán)境。當(dāng)用戶第一次登錄到計算機的時候，系統(tǒng)為每個用戶創(chuàng)建一個用戶配置文件。 用戶配置文件為用戶提供了多種便利。,返回,5.4.2 使用本地用戶配置文件,對于全新安裝Windows 2000 Server 的用戶 ，本地用戶配置文件將保存在系統(tǒng)所在磁盤分

19、區(qū)的Documents and Settings 文件夾中的用戶名下面。對于從WINNT升級至Windows 2000 Server 的升級安裝的用戶，本地用戶配置文件保存在 WINNT\profiles 文件夾中的用戶名下面。如果在服務(wù)器上用戶沒有預(yù)先配置漫游用戶配置文件，則該用戶第一次登錄到計算機時，系統(tǒng)會在該用戶名稱下創(chuàng)建一個用戶配置文件夾。然后默認用戶中的內(nèi)容將復(fù)制到新用戶配置文件夾中。用戶配置文件，與“所有用戶”文件夾中的

20、公用程序組設(shè)置一起創(chuàng)建用戶的桌面。當(dāng)用戶注銷時，在會話期間對默認設(shè)置做的所有更改都會保存到新的用戶配置文件夾中?！澳J用戶”中的用戶配置文件保持不變。,返回,5.4.3 使用漫游用戶配置文件,從Active Directory 中，可以為漫游用戶配置文件指派服務(wù)器位置。如果在用戶的域賬戶中輸入了用戶配置文件的路徑，那么當(dāng)用戶注銷時，該用戶本地用戶配置文件的副本將保存到本地的用戶配置文件路徑位置。用戶下次登錄時，用戶配置文件路徑位置中的

21、用戶配置文件，將與本地用戶配置文件夾中的副本進行比較，然后打開最新的用戶配置文件副本。如果服務(wù)器不能使用，就使用本地緩存的漫游用戶配置文件的副本。不論用戶在什么地方登錄，都可以使用自己的用戶設(shè)置和文檔。,返回,5.5 上 機 指 導(dǎo),目的：掌握Windows 2000域控制器中用戶與計算機賬戶的設(shè)置和使用。環(huán)境：運行Windows 2000 server/或Windows Professional 的計算機各一臺，且位于同一局域網(wǎng)中

22、，其中運行Windows 2000 server 的機器設(shè)置成主域服務(wù)器。注意將兩臺機器的IP地址配置在同一網(wǎng)段，保證網(wǎng)絡(luò)連通。5.5.1 設(shè)置用戶賬戶 以系統(tǒng)管理員身份登錄到Windows 2000 server。5.5.2 設(shè)置計算機賬戶 加入到域中且運行Windows 2000的每一臺計算機均要具有計算機賬戶。5.5.3 使用用戶和計算機賬戶 在另外一臺安裝了Windows