Windows Server 2003系统管理（第二版） 教学课件 作者 978 7 302 15091 6 ch05.pptVIP

第5章 用户管理 教学目标 介绍如何在Windows Server 2003中进行系统帐户管理 了解Windows Server 2003的安全机制 了解用户的工作环境 教学重点 创建用户帐户 设置帐户属性 组和组织单元的概念 设置组织单元属性 计算机帐户管理 教学过程 用户帐户管理 组和组织单元管理 计算机帐户管理 5.1 用户帐户管理 用户帐户的基本概念 创建用户帐户 设置用户密码策略 管理用户帐户 用户帐户的基本概念 组织单元的基本概念 在Windows Server 2003系统中，Active Directory服务把域又详细的划分成组织单元(Organizational Unit，简称OU)。组织单元是一个逻辑单位，它是域中一些用户、计算机和组、文件与打印机等资源对象，组织单元中还可以再划分下级组织单元。组织单元具有继承性，子单元能够继承父单元的访问许可权。每一个组织单元可以有自己单独的管理员并指定其管理权限，它们管理着不同的任务，从而实现了对资源和用户的分级管理。 创建新组 创建新组 添加组成员 删除域用户组 对于长期不使用的组或者是不符合网络安全的组，系统管理员可将其删除。但是管理员只能删除自己创建的组，而不能删除由系统提供的内置组。当不再需要使用某个组时，一定要删除它们，这样做有助于维护安全性，避免无意中授权不再需要的组去访问资源。 设置组权限 创建新组之后，首先要进行的工作就是设置组的权限。在Windows Server 2003中，为新组设置组权限是通过添加系统内置组和预定义组来完成的。因为新组可以继承内置组和预定义组的权限设置，并将它们的权限赋予自己的组成员。 更换组作用域 每个安全组和分布组均具有作用域，该作用域标识组在域树或树林中所应用的范围。有通用作用域的组可将其成员作为来自域树或树林中任何Windows Server 2003域的组和帐户，并且在域树或树林的任何域中都可获得权限。有通用作用域的组称为通用组。有全局作用域的组可将其成员作为仅来自组所定义的域的组和帐户，并且在树林的任何域中都可获得权限。有全局作用域的组称作全局组。 添加组织单元 组织单位是目录容器对象，可包含用户、组、计算机、打印机、共享文件夹及其他组织单位，其表现为“Active Directory 用户和计算机”窗口中的文件夹形式。系统管理员可以在域中创建组织单位的层次结构。通常，应该创建能反映组织单位的职能或商务结构的单位。 设置组织单元属性 在默认情况下，系统管理员所添加的组织单元都具有相同的属性。因此，组织单元被添加之后，如果不根据需要设置其属性，就很难发挥其管理的方便性和安全性。通过设置组织单元的属性，不但可以指定组织单元的管理人和常规属性，也可为组织单元创建组策略。 5.3 计算机帐户管理 创建计算机帐户 把计算机帐户添加到组 管理客户计算机 查找计算机 创建计算机帐户 当有新的运行Windows Server 2003或 Windows 2000的客户计算机要加入到域中时，管理员应在域控制器中为其创建一个计算机帐户，以便它有资格成为域成员。 把计算机帐户添加到组 为便于系统管理员对众多的计算机帐户进行管理，Windows Server 2003继续沿用了Windows 2000系统中组的策略。通过将不同的计算机添加到具有不同权限的组中的方式，使该计算机继承所在组的所有权限。同时，系统管理员也可以直接通过组来对多个计算机帐户进行管理，这便大大减轻了系统管理员的对计算机帐户的管理工作。 管理客户计算机 在Windows Server 2003网络中，通过域控制器系统管理员可管理网络中的客户计算机。Windows Server 2003的这项网络功能大大加强了网络管理员对网络的管理和维护，特别是方便了管理员对客户计算机的直接管理。但是，管理员所管理的计算机运行的系统必须是Windows Server 2003或Windows 2000系统，安装Windows 95／98或者其他系统的计算机不能被管理。 查找计算机 Windows Server 2003中Active Directory功能的加强，使系统管理员对网络上的用户、计算机、联系人、组、组织单元及网络资源等的查找更加方便。管理员执行这些查找功能，主要是通过“查找用户、联系人及组”窗口来实现的。如果管理员要管理某个计算机，但又不知道其具体位置，可使用“查找用户、联系人及组”窗口来进行查找。 * Windows Server 2003 系统管理 清华大学出版社 教学目标 教学重点 教学过程 用户帐户是多用户计算机系统和网络系统的一种认