实验:域用户与组账户的管理
1.1.
2.新建用户。在新建的“组织单位”(DQA)项上右击选择“新建→用户”,输入新建用户的“用户登录名”,(如hero)。下一步,输入7位以上的安全密码,一直下一步,完成新建用户。
一、实验目的 1.添加域用户 2.用户的漫游 3.组织单元委派控制 4.AGDLP实现组的嵌套 二、实验步骤及结果分析 1.添加域用户 添加域用户常见的几种方法: 1.1.直接在根DC里新建用户 1.1.1.新建组织单位。启动要DC服务器,运行dsa.msc 打开Active Directory用户和计算机,在“域名”(如https://www.doczj.com/doc/b24667084.html,)处右击,“新建组织单位”,如名称为“DQA”。 1.1. 2.新建用户。在新建的“组织单位”(DQA)项上右击选择“新建用户”,输入新建用户的“用户登录名”,(如hero)。下一步,输入7位以上的安全密码,一直下一步,完成新建用户。
注:如果想要将密码设为简单密码或密码为空,首先要在“开始”“程序”“管理工具”“默认域安全设置”,打开“默认域安全设置”,再依次展开“安全设置”“帐户策略”“密码策略”,将“密码必须符合复杂性要求”禁用,并将“密码长度最小值”设为“0字符”。这样在新建用户时就不用再设置复杂的密码了。
1.1.3.删除用户。只需直接在相应的“组织单位”(如DQA )中的用户(如hero)上右击,选择删除即可。 1.2.使用目录服务工具添加 所谓的目录服务工具是指利用CMD命令新建账户,常用的命令有:dsadd 添加账户或组;dsmod 修改用户或组的信息;dsrm 删除用户或组。 1.2.1.添加账户。在CMD命令提示符里输入如:dsadd user cn=feng,ou=DQA,dc=fenger,dc=com 回车后即可成功创建一个新用户。若需在用户里面将其相应的信息加入,只须在上命令后加入一些其它信息的命令,如:-email xx@https://www.doczj.com/doc/b24667084.html, –tel 12315 –office F999 等等。其它详细信息命令可用“dsadd user /?”查看。 1.2.2.修改用户信息。在CMD命令提示符里输入如:dsmod user cn=sun,ou-DQA,dc=fenger,dc=com –email yy@https://www.doczj.com/doc/b24667084.html, –tel 12111 –office G-101 。即在命令参数后输入要修改信息项的信息。若修改成功后,在根DC查看用户属性的信息会与原属性有明显不同。
WINDOWS2003本地用户和组 用户:(CMD:net user) SYSTEM 本地机器上拥有最高权限的用户:使用普通的用户管理工具通常是查看不到它们的 SID码 S-1-5-18 ADMINISTRATOR 基本上是本地机器上拥有最高权限的用户,你可以对它重命名,但不能删除 GUEST 只拥有相对极少的权限,在默认情况下是被禁止的 SUPPORT_388945A0 WINDOWS XP和WINDOWS2003中新增的一个用户帐户,可以用来通过WINDOWS中的HELP AND SUPPORT CENTER (求助与支持中心)提供远程支持;默认情况下是被禁用的 IUSER_MACHINENAME 如果安装了IIS,别人就能使用这个帐户来匿名访问IIS;它是GUESTS用户组的用员 IWAM_MACHINENAME 如果安装了IIS,各种IIS应用程序就将运行在这个帐户下;它是IIS_WPG用户组的成员之一 TSINTERNETUSER 如果激活了远程终端服务,远程用户将被自动设置为这个帐户 用户组(CMD:net localgroup) 用户组是为简化用户管理工作而引入的一个概念--它们就像是一些容器,每个容器里是一些拥有同样权限的用户 Administrators 这个是用户组里成员在本地机器上拥有最高权限(SID-1-5-32-544) USERS 本地机器上所有的用户帐户;这是一个低权限的用户组(SID:S-1-5-32-545) GUESTS 与USER组相同 Remote Desktop Users WINDOWS2003中新增用户组,相当于远程终端用户 Network Configuration Operators WINDOWS2003新增用户组这个用户组有足够的权限去管理网络配置状况 HelpServicesGroup WINDOWS2003中新增的用户组,供HELP AND SUPPORT CENTRER组件使用Backup Operators 虽然不ADMINISTRATORS的权限大,,但也差不多 Power Users 拥有的权限比 Users 组的成员所拥有的多,但比 Administrators 组的成员所拥有的少 Print Operators 虽然不如ADMINISTOR的权限大,但也相差不多. IIS_WPG WINDOWS2003中新增用户组,如果安装了IIS,,WEB应用进程的帐户将被容纳在这个用户组里 Performance Log Users WINDOWS2003中新增的用户组,这个用户组有权从远程安排性能计数器的日志工作
操作如下: 1,Windows server2003系统上安装IIS后复制C:WINDOWSsystem32inetsrviisadmpwd目录,copy iisadmpwd这个目录及子文件。 2,在server2008R2系统上安装好Web服务器(IIS),IIS6脚本工具。 把从server2003上copy的iisadmpwd目录放在系统的C:Windows\sysWOW64\inetsrv目录中 3,注册Iisadmpwd目录下的IISpwchg.dll文件: 以管理员身份运行命令提示符,输入下面的命令,然后回车
regsvr32 C:Windows\SysWOW64\inetsrv\iisadmpwd\iispwchg.dll 4,配置PasswordChangeFlags属性,来确保密码修改这个功能可用:以管理员身份运行命令提示符,切换到cd目录,输入下面命令,然后回车cscript.exe adsutil.vbs set w3svc/passwordchangeflags 0
注:设置PasswordChangeFlags属性的值,你可以组合使用0:默认值,表示用ssl连接来更改密码 1:允许无安全的端口来更改密码,这个对于ssl功能被禁很有用2:禁止更改密码 4:禁止密码过期提示 5、配置IIS7 创建自签名证书,回到主页
6,绑定证书 首先确认默认网站(default web site)的https可用,且绑定好证书; 打开Internet信息服务(IIS)管理器。点击“default web site ”站点,然后点击右侧操作栏的“绑定” , 7,选,“https”协议,然后点击“编辑”,在ssl证书中选择本机服务器的证书
第五单元用户与组的管理 一、填空题 1.根据服务器的工作模式,组分为本地组和域组。 2.账户的类型分为本地用户账户、域用户账户、内置用户账户。 3.工作组模式下,账户存储在服务器的sam文件中;域模式下,账户存储在活动目录数据库中。 4.活动目录中按照能够授权的范围,分为本地域组、全局组、通用组。 5.用户配置文件并不是一个单独的文件,而是由用户配置文件夹、Ntuser.dat文件和ALL User文件夹3部分内容组成。 6.Windows Server 2008服务器有两种工作模式:工作组模式和域模式。 7.本地账户对应对等网的工作组模式,本地账户只能在本地计算机上登录。 8.本地计算机上都有一个管理账户数据的数据库,称为安全账户管理器。 9.用户要访问本地计算机,都需要经过该机SAM中的SID验证。 10.域账户和密码存储在域控制器上Active Directory 数据库中。 11.域数据库的路径为域控制器中的系统盘下\Windows\NTDS\NTDS.DIT。 12.组织单元是域中包含的一类目录对象,它包括域中的一些用户、计算机和组、文件与打印机等资源。 二、选择题
1.在设置域账户属性时,(C )项目不能被设置。 A.账户登录时间 B.账户的个人信息 C.账户的权限 D.指定账户登录域的计算机 2.下列(C )不是合法的账户名 A.abc_123 B.windows book C.dictionar* C.abdkeofFHEKLLOP 3.下面(C )用户不是内置本地域组成员 A.Account Operator B.Administrator C.Domain Admins D.Backup Operators 4.下面(A )不是Windows Server 2008所提供的用户配置文件。 A.默认用户配置文件 B.本地用户配置文件 C.漫游用户配置文件 C.强制性用户配置文件 5.以下那种权限未授予“超级用户”组成员?(B ) A.创建任何用户和组 B.删除任何用户和组 C.创建网络共享 D.创建网络打印机 6.关于内置账户,以下陈述不正确的是:(A ) A.在缺省情况下,“管理员”账户能被删除 B.在缺省情况下,“管理员”账户被启用 C.在缺省情况下,“访客”账户不能被删除 D.在缺省情况下,“访客”账户不被启用 7.以下哪个用户组拥有最低级别的权限?(B ) A.用户 B.访客 C.任何人D复制员
实验项目3 用户和组的管理 一、实验目的 ●熟悉Linux用户的访问权限。 ●掌握在Linux系统中增加、修改、删除用户或用户组的法。 ●掌握用户账户管理及安全管理。 二、项目背景 某公司有60个员工,分别在5个部门工作,每个人工作容不同。需要在服务器上为每个人创建不同的账号,把相同部门的用户放在一个组中,每个用户都有自己的工作目录。并且需要根据工作性质给每个部门和每个用户在服务器上的可用空间进行限制。 三、实验容 ●用户的访问权限。 ●账号的创建、修改、删除。 ●自定义组的创建与删除。 四、实验步骤 子项目1.用户的管理 ●创建一个新用户user01,设置其主目录为/home/user01: ●查看/etc/passwd文件的最后一行,看看是如记录的。 ●查看文件/etc/shadow文件的最后一行,看看是如记录的。
●给用户user01设置密码:#passwd user01。 ●再次查看文件/etc/shadow文件的最后一行,看看有什么变化。 ●使用user01用户登录系统,看能否登录成功。 ●锁定用户user01:#passwd -l user01。 ●查看文件/etc/shadow文件的最后一行,看看有什么变化。 ●再次使用user01用户登录系统,看能否登录成功。
●解除对用户user01的锁定:#passwd -u user01 ●更改用户user01的名为user02:#usermod –l user02 user01。 ●查看/etc/passwd文件的最后一行,看看有什么变化。 ●删除用户user02。 子项目2.组的管理 ●创建一个新组,stuff:#groupadd stuff。 ●查看/etc/group文件的最后一行,看看是如设置的。 ●创建一个新user02,并把他的起始组和附属组都设为stuff:#useradd –g stuff –G stuff user02。
3种用组策略将域帐号加入本地管理员组的方法 1、对于WIN2003域控制器(DC)环境,使用计算机策略的“受限制的组”
2、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。 3、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用计算机配置首选项中“本地用户和组”,用在将重要的域组加入客户端本地管理员组的场合。
下面让我细细道来。 第1种方法的步骤很简单: .在域中创建一个test01\g1组帐号,将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组,然后把一些元素添入选项,参照本文第1幅图.刷新域客户机的组策略,就可以看到test01\g1组被自动加入到本地管理员组了,如下图 第2种方法:
为了避免干扰,我创建了另一个2008R2的域来验证第2种方法,该域WINXP03客户机的初始本地管理员成员如下: 为了使GPO“首选项”能作用到客户端,需要在域客户端安装客户端扩展集组件(CSE),URL为: https://www.doczj.com/doc/b24667084.html,/zh-cn/library/cc731892(WS.10).aspx 根据客户端OS类型选相应组件下载,并安装到WINXP03客户机中,如下图(XMLLite XML无需安装):
在2008R2上开始设置GPO的用户配置项,按下图添加对客户端本地Administrators的操作策略 操作中的“更新”代表更新域客户端Administrators组中的成员,“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组,只要域帐号一登录,就把它加入本地管理员组
本地用户和组的管理 (以下操作均在Windows Server 2003系统中实现,在客户端操作系统XP 中部份操作可能会有所不同) 一、概述 和win95/98等操作系统不同,2000/XP/2003等操作系统是区分用户的。每个用户有自己独立的工作环境,相互独立;用户可以保存自己的文档而不用担心会被其他用户查看;还可以分别为每个用户设置不同的访问资源的权限等。 在工作组环境中,所有计算机是独立的,要让用户能够登录到计算机并使用计算机的资源,必须为每个用户建立本地用户帐户。同时,为了方便对用户受予对资源的访问权限,我们可以使用本地组来实现。 本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机;本地用户帐户保存在本地计算机;本地用户若需要访问其它计算机,需要在其它计算机上有相应的用户帐户以便进行身份验证。 二、“本地用户和组”管理工具 要创建本地帐户,需要使用“本地用户和组”管理工具。此工具包含在“计算机管理”工具里,也可以从MMC控制台添加。 1、要打开“计算机管理”工具,右击“我的电脑”,在快捷菜单中选择“管理”
打开的“计算机管理”工具如下图所示。 2、要使用MMC控制台,请在“运行”里输入“mmc”,打开MMC控制台
在MMC控制台“文件”菜单中选择“添加/删除管理单元” 在弹出的“添加/删除管理单元”对话框中选择“添加”
在“添加独立管理单元”对话框中,找到“本地用户和组”,按“添加”
在“选择目标机器”对话框中,选择“本地计算机”,点击“完成” 分别点击“关闭”和“确定”按钮退出“添加管理单元”的对话框,现在已经在MMC控制台中添加了“本地用户和组”管理单元了。 三、创建本地用户 双击“本地用户和组”管理单元,打开“用户”和“组”两个子项
域用户及组账户的管理 域系统管理员需要为每一个用户分别建立一个用户账户,让用户可以利用这个账户来登录域、访问网络上的资源。系统管理员同时也需要了解如何巧用组,以便有效的管理资源的访问。 本章的主要内容包括: 》域用户账户 》一次同时添加多个用户账户 》域组账户 》提升域功能级别 》组的使用准则 3.1域用户账户 作为域系统管理员,可以利用“Active Directory用户和计算机”控制台来建立并管理域用户账户。当用户利用域用户账户登录域后,便可以直接连接域内的所有计算机、访问资源。换句话说,域用户在域内的一台计算机上登录成功后,当他们要连接域内的其他计算机时,并不需要再次登录到其他计算机上。这个只需要登录一次的功能,被制为“单一登录”(single sign-on )”。 本机用户账户并不具备“单一登录和”的功能,也就是说利用本机用户账户登录后,当要连接其他计算机时,必须再次登录。 非域控制器的Wdindows Server2003、Windows XP Professional等计算机默认没有"Active Directory 用户和计算机”控制台等管理Active Directory的工具,不过,可以
通过安装“Windows Server 2003 Administration Tool Pack”来拥有这些工具,也就是运行位于Windows Server 2003安装光盘中的I386文件夹内的ADMINPAD.MSI程序。 3.1.1组织单位 组织单位内可以容纳其他的对象,如用户账户、组账户、计算机账户等,以便更容易的管理资源,并可以通过组策略来集中管理域的用户工作环境与计算机环境。 你可以利用“开始”-》“管理工具”-》“Active Directory用户和计算机”->"右击域名称“-》”新建“-》”组织单位“的途径来建立组织单位。应设置有意义的组织单位名称,如”业务部“、”研发部“等,而且不要经常改变名称。 3.1.2用户登录账户 在Windows Server 2003或Windows 2000 Server域中,用户可以利用”用户登录名称(Windows 2000以前版本)“来登录域(见图3-1): 》用户登录名称(user principal name, UPN)它的格式与电子邮件账户相同,例如图3-1中的test@yu.local,这个名称只能在Windows Server 2003, Windows XP Professional, Windows 2000计算机上登录域时使用(如图3-2)。在整个林内,这个名称必须是唯一的。 UPN并不会随着账户的转移而改变,举例来说,用户”王乔治“的用户账户位于域https://www.doczj.com/doc/b24667084.html, 内,若其UPN为test@yu.local,则即使这个用户账户被转移到林中的另一个域,如域https://www.doczj.com/doc/b24667084.html,,,其UPN仍然是test@yu.local,用户王乔泽仍然可以继续使用原来的UPN登录。
如何实现AD域账户导入导出
如何实现AD域账户导入导出 作为域管理员,有时我们需要批量地向AD域中添加用户帐户,这些用户帐户既有一些相同的属性,又有一些不同属性。如果在图形界面逐个添加、设置,那么需要的时间和人力会超出能够承受范围。一般来说,如果不超过10个,我们可利用AD用户帐户复制来实现。如果再多的话,就应该考虑使用使用命令行工具,实现批量导入导出对象。微软默认提供了两个批量导入导出工具,分别是CSVDE(CSV目录交换)和LDIFDE(LDAP数据互换格式目录交换)。 具体选择上述哪个工具取决于需要完成的任务。如果需要创建对象,那么既可以使用CSVDE,也可以使用LDIFDE,如果需要修改或删除对象,则必须使用LDIFDE。本文不涉及使用CSVDE导入对象。而是换另一种导入导出AD帐户思路:使用CSVDE工具导出AD 帐户到CSV格式的文件中,再使用For语句读取该文件,使用DSADD命令进行批量添加。 具体步骤:
一:使用CSVDE导出帐户 使用CSVDE 导出现有对象的列表相当简单。 最简单的用法是: csvde –f ad.csv 将Active Directory 对象导出到名为ad.csv 的文件。–f 开关表示后面为输出文件的名称。 但是必须注意,上述的用法是很简单,但是导出来的结果可能存在太多你不希望要的记录和信息。 如果要实现更精确的导出记录,可以使用-d 和-r 以及-l 参数。 其中:-d 用来指定特定的搜索位置和范围 -r 用来指定特定的搜索对象类型 -l 用来指定导出对象的具体属性如: csvde –f users.csv –d "ou=Users,dc=contoso,dc=com" –r "(&(objectcategory=person)( objectclass=user))" –l DN,objectClass,description
AD域控及组策略管理 目录一、ActiveDirectory(AD)活动目录简介错误!未指定书签。 1、工作组与域的区别...................... 错误!未指定书签。 2、公司采用域管理的好处.................. 错误!未指定书签。 3、ActiveDirectory(AD)活动目录的功能..... 错误!未指定书签。 二、AD域控(DC)基本操作 .............. 错误!未指定书签。 1、登陆AD域控........................... 错误!未指定书签。 2、新建组织单位(OU).................... 错误!未指定书签。 3、新建用户.............................. 错误!未指定书签。 4、调整用户.............................. 错误!未指定书签。 5、调整计算机............................ 错误!未指定书签。 三、AD域控常用命令.................... 错误!未指定书签。 1、创建组织单位:(dsadd)................. 错误!未指定书签。 2、创建域用户帐户(dsadd)................. 错误!未指定书签。 3、创建计算机帐户(dsadd)................. 错误!未指定书签。 4、创建联系人(dsadd)..................... 错误!未指定书签。 5、修改活动目录对象(dsmod)............. 错误!未指定书签。 6、其他命令(dsquery、dsmove、dsrm)..... 错误!未指定书签。 四、组策略管理......................... 错误!未指定书签。 1、打开组策略管理器...................... 错误!未指定书签。 2、受信任的根证书办法机构组策略设置...... 错误!未指定书签。 3、IE安全及隐私组策略设置 ............... 错误!未指定书签。 4、注册表项推送.......................... 错误!未指定书签。
Win7系统计算机管理没有本地用户和组解决办法 问题描述: 目前在VMware安装了win7系统,想利用ServerU建立一个FTP服务器,在添加本地FTP用户账户的时候,在“计算机-管理”中如下,没有“本地用户和组”,无法添加用户,没办法往下做实验啊啊啊~~~ 心想可能是安装虚拟机没有正确安装,网上找解决办法~~~~,需要的就是锲而不舍的精神!! 解决办法: 怀疑可能是本地用户和组模块没有正确安装,手动安装一下。 (1)开始->运行,输入MMC,打开微软的管理控制台。
在控制台对话框中,点击文件->添加/删除管理单元,下图: 在打开的“添加/删除管理单元”对话框中点击“添加”按钮->在“添加独立单元对话框中选择“本地用户和组”,并点击完成。 弹出“选择目标机器”对话框,选择需要这个管理单元管理的计算机,选择“本地计算机”。
提示本系统为win7家庭普通版,不能用于此版本的windows系统。未能正确安装。 查看系统版本信息,如下: 本机运行的是windows 7旗舰版,查看拥有“本地用户和组”管理模块,所以不是安装的问题,系统版本问题。
(2)只能是下载旗舰版本的系统再来做实验啦。不过添加“本地用户和组”的方法是值得学习的对于其他版本适用喔! (3)还有一种添加方法 运行windows+R,运行DOS命令框,输入命令“control user passwords2”,打开用户对话框 点击“高级”页签,然后再点击“高级用户管理”中点击“高级”。
打开“本地用户和组”的信息,进行相应设定。但相同原因,因为系统本身版本不支持。 心得: Windows 7家庭普通版系统,不支持“本地用户和组”系统,Windows7 旗舰版,服务器版本才有“本地用户和组”管理模块管理本地和其他用户。
局域网中工作组和域之间的差别 为什么要组建局域网呢?就是要实现资源的共享,既然资源要共享,资源就不会太少。如何管理这些在不同机器上的资源呢?域和工作组就是在这样的环境中产生的两种不同的网络资源管理模式。那么究竟什么是域,什么是工作组呢?它们的区别又是什么呢? "自由"的工作组 工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在"网上邻居"内,可想而知会有多么乱(恐怕网络邻居也会显示"下一页"吧)。为了解决这一问题,Windows 9x/NT/2000才引用了"工作组"这个概念,比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在"网上邻居"里找到那个系的工作组名,双击就可以看到那个系别的电脑了。 那么怎么样才能加入到工作组中呢?其实方法很简单,只需要右击Windows桌面上的"网上邻居",在弹出的菜单出选择"属性",点击"标识",在"计算机名"一栏中添入你想好的名字,在"工作组"一栏中添入你想加入的工作组名称。如果你输入的工作组名称是一个不存在的工作组,那么就相当于新建一个工作组,当然也只有你自己的电脑在里面。不过要注意,计算机名和工作组的长度都不能超过15个英文字符,可以输入汉字,但是也不能超过7个汉字。"计算机说明"是附加信息,不填也可以,但是最好填上一些这台电脑主人的信息,如"数学系主机"等。单击"确定"按钮后,Windows 98提示需要重新启动,按要求重新启动之后,再进入"网上邻居",就可以看到你所在工作组的成员了。 相对而言,所处在同一个工作组内部成员相互交换信息的频率最高,所以你一进入"网上邻居",首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击"整个网络",然后你才会看到网络上其他的工作组,双击其他工作组的名称,这样你才可以看到里面的成员,与之实现资源交换。 除此之外,你也可以退出某个工作组,方法也很简单,只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。也就是说,你可以随便加入同一网络上的任何工作组,也可以随时离开一个工作组。"工作组"就像一个自由加入和退出的俱乐部一样。它本身的作用仅仅是提供一个"房间",以方便网上计算机共享资源的浏览。 域的管理和设置 打个比方,如果说工作组是"免费的旅店"那么域(Domain)就是"星级的宾馆";工作组可以随便出出进进,而域则需要严格控制。"域"的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。 不过在"域"模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为"域控制器(Domain Controller,简写为DC)"。 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。 要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互"看"到是远远不够的,
域用户与组账户的管 理
一、实验目的 1.添加域用户 2.用户的漫游 3.组织单元委派控制 4.AGDLP实现组的嵌套 二、实验步骤及结果分析 1.添加域用户 添加域用户常见的几种方法: 1.1.直接在根DC里新建用户 1.1.1.新建组织单位。启动要DC服务器,运行dsa.msc 打开Active Directory用户和计算机,在“域名”(如https://www.doczj.com/doc/b24667084.html,)处右击,“新建→组织单位”,如名称为“DQA”。 1.1. 2.新建用户。在新建的“组织单位”(DQA)项上右击选择“新建→用户”,输入新建用户的“用户登录名”,(如hero)。下一步,输入7位以上的安全密码,一直下一步,完成新建用户。
注:如果想要将密码设为简单密码或密码为空,首先要在“开始”→“程序”→“管理工具”→“默认域安全设置”,打开“默认域安全设置”,再依次展开“安全设置”→“帐户策略”→“密码策略”,将“密码必须符合复杂性要求”禁用,并将“密码长度最小值”设为“0字符”。这样在新建用户时就不用再设置复杂的密码了。
1.1.3.删除用户。只需直接在相应的“组织单位”(如DQA )中的用户(如hero)上右击,选择删除即可。 1.2.使用目录服务工具添加 所谓的目录服务工具是指利用CMD命令新建账户,常用的命令有:dsadd 添加账户或组;dsmod 修改用户或组的信息;dsrm 删除用户或组。 1.2.1.添加账户。在CMD命令提示符里输入如:dsadd user cn=feng,ou=DQA,dc=fenger,dc=com 回车后即可成功创建一个新用户。若需在用户里面将其相应的信息加入,只须在上命令后加入一些其它信息的命令,如:-email xx@https://www.doczj.com/doc/b24667084.html, –tel 12315 –office F999 等等。其它详细信息命令可用“dsadd user /?”查看。 1.2.2.修改用户信息。在CMD命令提示符里输入如:dsmod user cn=sun,ou- DQA,dc=fenger,dc=com –email yy@https://www.doczj.com/doc/b24667084.html, –tel 12111 –office G-101 。即在命令参数后输入要修改信息项的信息。若修改成功后,在根DC查看用户属性的信息会与原属性有明显不同。
域用户帐户和组的管理
域用户帐户和组的管理 (以下操作均在Windows Server 2003系统中实现,客户端也是使用2003来模拟,和实际中客户端使用的XP操作系统可能会有所不同) 很多企业都会用到域环境来实现管理,域的实际应用非常广泛。下面我们讲解在域环境下如何管理用户帐户和组。在讲解过程中我们会涉及到用户帐户、计算机帐户、组和OU等对象。 一、域用户帐户的特点 和本地用户帐户不同,域用户帐户保存在活动目录中。由于所有的用户帐户都集中保存在活动目录中,所以使得集中管理变成可能。同时,一个域用户帐户可以在域中的任何一台计算机上登录(域控制器除外),用户可以不再使用固定的计算机。当计算机出现故障时,用户可以使用域用户帐户登录到另一台计算机上继续工作,这样也使帐号的管理变得简单。 附注: 在工作组环境中,所有计算机是独立的,要让用户能够登录到计算机并使用计算机的资源,必须为每个用户建立本地用户帐户。同时,为了方便实现用户对网络资源的访问权限,我们可以使用本地组来实现。 本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机;本地用户帐户保存在本地计算机;本地用户若需要访问其它计算机,需要在其它计算机上有相应的用户帐户以便进行身份验证。 二、管理工具 要对域中的用户和计算机等对象进行管理,我们要使用“Active Directory用户和计算机”管理工具。该工具在我们安装了活动目录后会被添加到管理工具中,我们可以在管理工具里找到它。
打开后如图所示,在窗口的左边,可以看到我们创建的域。按左边的“+”号展开该域 展开后可以找到“users”管理单元,点击后在右边就可以看到一些内置的用户帐号和组。当系统安装了活动目录后,原来的本地用户和组帐号都没有了,这些对象会变成域用户帐号和域本地组,并被放在该“users”管理单元内。
windows 7 系统计算机管理里面没有本地用户和组 方法一: 打开本地组策略编辑器,提示:MMC 无法创建管理单元。此管理单元可能没有正确安装。这个问题比较复杂,下面是其中一种解决方法:打开记事本,复制下面内容,以reg格式保存,将数据导入注册表。 Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}] @="Local Group Policy Editor" [HKEY_CLASSES_ROOT\CLSID\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}\InPro cServer32] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00, 74,00,25,\ 00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,47,0 0,50,00,\ 45,00,64,00,69,00,74,00,2e,00,64,00,6c,00,6c,00,00,00 "ThreadingModel"="Apartment"
你可以按照下面的方法尝试: 方法二: 1 开始->运行->输入“mmc”回车,打开“控制台” 2 在“控制台”对话框中,点击“文件”->"添加/删除管理单元" 3 在打开的“添加/删除管理单元”对话框中点击“添加”按钮->在“添加独
一 工作组与域的区别 域管理与工作组管理的主要区别在于: 1、 工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。 2、 在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 3、 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 二 公司采用域管理的好处 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可 以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装,保证网络内软件的统一性。 4、 很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、 使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、 方便用户使用各种资源。域内的计算机 出现故障的时候 可以在第一时间使用其他机器来代替。数据是在网络上面存储所以并不会丢失 并且可以从不同的计算机或者重新安装了操作系统的计算机上来访问。 7、 SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。防止其他员工在客户端随意的安装软件,能够增强客户端的安全性,减少客户端故障 降低维护成本。 8、 资源共享,用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、 管理
通常来说,没有做什么特别的设定的话,都是手动加域,且使用的是管理员帐号,这种情况下是有风险的,容易被人记忆密码。所以,如果可以设置一个普通用户帐号,专门用来执行加域操作,就会降低此类风险。其实默认情况下,域每一个普通帐号都可以将10台电脑加入域内,这是一个很大的隐患。估计很多人都没有试过吧。 加域分两种,一种是将新电脑加入域内,一种是将已经加入过域的电脑,因为故障无法登录域或手动退域,原计算机帐号仍在的情况下加入域建立连接。第二种情况又分上次加域使用的帐号和当前加域使用的帐号是否相同且权限是否一致。而退域,用任何帐号都可以。 下面错误只在本文范畴内,不讨论其他情况。 加域可能的报错A: 就是第二种情况时,加域帐号(权限)不一致。
可能的报错B: 超过普通用户将电脑加域的数值。 取消普通域用户帐号将计算机加入域的权限 域环境,默认普通用户默认能将10台计算机加入到域,如果在考虑到安全因素,需要更改默认设置。一般域内建立的用户默认都是Domain Users组里的,下面将介绍如何取消普通域用户帐号将计算机加入域的权限 方法/步骤 1、在PDC上单击“开始”-“所有程序”- “管理工具”打开“ADSI 编辑器”
2、在打开的ADSI编辑器右击-“连接到”-点击确定。 右键“DC=xxx DC="com" 单击“属性”
3 、找到“ms-DS-MachineAccountQuota”,将其数值由默认的10改成0
这样普通用户就不能将新电脑计算机加入域了。XP会提示“访问拒绝”,Win7会提示错误B(见文章开始部分)。 修改完毕不需要重新启动。即刻生效。 授权特定普通域用户将计算机加入域 进全局组策略修改。 这种情况下,此帐号的确可以在MachineAccountQuota=0的情况下将新
域用户帐户和组的管理 2009-12-15 16:46:24| 分类:工作组和域| 标签:|举报|字号大中小订阅 (以下操作均在Windows Server 2003系统中实现,客户端也是使用2003来模拟,和实际中客户端使用的XP操作系统可能会有所不同) 很多企业都会用到域环境来实现管理,域的实际应用非常广泛。下面我们讲解在域环境下如何管理用户帐户和组。在讲解过程中我们会涉及到用户帐户、计算机帐户、组和OU等对象。 一、域用户帐户的特点 和本地用户帐户不同,域用户帐户保存在活动目录中。由于所有的用户帐户都集中保存在活动目录中,所以使得集中管理变成可能。同时,一个域用户帐户可以在域中的任何一台计算机上登录(域控制器除外),用户可以不再使用固定的计算机。当计算机出现故障时,用户可以使用域用户帐户登录到另一台计算机上继续工作,这样也使帐号的管理变得简单。 附注: 在工作组环境中,所有计算机是独立的,要让用户能够登录到计算机并使用计算机的资源,必须为每个用户建立本地用户帐户。同时,为了方便实现用户对网络资源的访问权限,我们可以使用本地组来实现。 本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机;本地用户帐户保存在本地计算机;本地用户若需要访问其它计算机,需要在其它计算机上有相应的用户帐户以便进行身份验证。 二、管理工具 要对域中的用户和计算机等对象进行管理,我们要使用“Active Directory用户和计算机”管理工具。该工具在我们安装了活动目录后会被添加到管理工具中,我们可以在管理工具里找到它。 打开后如图所示,在窗口的左边,可以看到我们创建的域。按左边的“+”号展开该域
在Windows的domain环境下,加域的客户端修改账户密码是一件很easy的事情;即使没有加域的客户端如果组织中,使用Exchange邮件系统,借助Exchange的owa也可以轻松修改账户密码。 前段时间搞Web+Portal 认证时,由于存在少量的LDAP用户,该Web+Portal认证不支持AD+LDAP双认证。为了让这部分用户也能够实现认证,采用了域名+用户名(避免和域用户重名)的方式导进了AD中,并设置了初始密码。可是问题也出现了,这部分用户不加域也没有Exchange邮箱,如何才能第一次登陆修改密码呢? 记得在Windows 2003 IIS中自带修改域用户密码的ASP网页文件iisadmpwd模块,可以通过web方式修改域用户密码。但是IIS 7上不再支持iisadmpwd功能,正常安装windows server 2008及IIS将不会有iisadmpwd模块。那如何将该模块移植到Windows Server 2008 R2中呢? 一、如果通过web方式修改用户名密码方法如下: 1、首先我们需要在windows server 2003的服务器上已安装iis角色, 然后到C:\WINDOWS\system32\inetsrv目录下,复制iisadmpwd文件。
2、回到windows server 2012上确认IIS角色已安装完成。 3、由于我们的是windows server 2012 x64位系统,所以需要将copy的iisadmpwd目录放在系统的C:\Windows\SysWOW64\inetsrv\目录中 4、注册Iisadmpwd目录下的IISpwchg.dll文件:以管理员身份运行命令提示符,输入下面的命令regsvr32 C:\Windows\SysWOW64\inetsrv\iisadmpwd\iispwchg.dll 然后回车
实验域用户和组的创建 1、实训目的 (1)掌握将计算机加到域的方法 (2)掌握创建与管理域用户和组 2、实训内容 将计算机添加到域中,创建与用户账户、域组 3、课前准备 (1)_____________是计算机网络的基本安全组件,服务器通过_____________来 辨别用户身份,让合法用户登录计算机网络。 (2)在Windows Server 2003域中,域用户组分为____________和_____________ 两种类型,____________是实现与安全有关的工作和功能的用户组; ____________不是Windows Server 2003的安全实体,它不包括SID(安全标示符),不能赋予访问资源的权限。常用的用户组都是____________。(3)在Windows Server 2003内建的用户有____________和____________,其中 ____________具有最高权限,__________是偶尔要使用网域用户存取资源权力的账户。 4、实训 (1)配置服务器的本地连接的属性。 IP地址:________________________、子网掩码:______________________ DNS服务器地址:______________________ (2)配置客户机的本地连接的属性。 IP地址:________________________、子网掩码:______________________ DNS服务器地址:______________________ (3)你是怎样启动活动目录管理控制台的? (4)创建一个PC1用户的基本过程。