域用户帐号与管理

1.0 目的规范用户帐号管理制度，确保域及用户帐号安全2.0 范围适用于***集团所有域用户3.0 职责3.1 IT指定人员负责具体事务。

3.2 IT经理负责审批。

4.0 管理规定4.1 用户帐号的管理1. 电脑用户的设置：新增用户需填写IT服务申请单，递交至本部门经理批准，经IT经理审核批准后，由IT系统管理员添加；2. 用户电子邮件的设置：根据用户填写的IT服务申请单，IT经理审核批准后，由IT系统管理员添加；公司内部邮箱，由部门经理核准；对外的邮件，香港公司和其他分公司需要报香港行政部主管批准，东莞及其它工厂需报营运经理批准后才可执行；3. 用户名的规定：大陆地区的用户，用户字的第一个字母加上姓的全称，如有重复，则在其后再加上A,B,C,以示区分；香港和其他地区的同事的用户名是用其英文名称，如有重复加上其姓的全称。

如有特殊需求，需经IT经理批准后才能更改；4. 用户电子邮箱的规定：一般情况下，用户的电子邮箱是以用户名加上公司的域(Domain）的名称构成，如有特殊业务需求，需经IT经理批准后才能更改；5. 电脑使用人员离职时，由IT指定人员根据行政部提供的离职申请表，即时取消其用户名、邮箱及相关许可权，根据需要将其资料转移给指定主管，如遇特殊情况（例如辞退、自离等），需由离职人员所在部门经理，或行政部主管通知IT经理，由IT经理指定IT人员即时处理；6. IT人员依照实际情况制定系统审核策略（捕捉各类非授权的访问和使用），记录在Windows Audit Event中，制定用户密码策略（密码管理原则），记录在用户端提示和密码检查表中；做好邮件分类归档，便于查阅相关邮件。

4.2 用户密码的管理1. 设定所有域帐号密码最小长度为6个字元；2. 设定密码最长使用期限为90天，且3次内不能重复；3. 启用密码必须符合复杂性要求策略（字母+数位+字元）；4. 设定帐号锁定间值设定为5次，帐号锁定时间为30分钟。

AD域域：域是一种管理边界，用于一组计算机共享共用的安全数据库，域实际上就是一组服务器和工作站的集合。

其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略，用户登录也是登录在本机的，密码是放在本机的数据库来验证的。

而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。

AD：活动目录(Active Directory)主要提供以下功能：①基础网络服务：包括DNS、WINS、DHCP、证书服务等。

②服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。

③用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。

④资源管理：管理打印机、文件共享服务等网络资源。

⑤桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。

⑥应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。

【AD域控制器在Windows Server 2003安装及简单应用实验指导书】实验日期：2011年8月2日处别：Commercial DT组别：DT103撰写人：王敦培【实验名称】：AD域控制器在Windows Server 2003安装实验指导书【实验目的】：了解域的作用以及安装方法【实验任务】：搭建一个新域、配置额外域控制器、设置漫游用户配置文件【需要设备】：Windows Server 2003安装版本光盘一张、正常运行台式机一台一、将Windows Server 2003安装至PC上二、将服务器安装AD控制器先设置AD域：1.依次打开：开始-设置-控制面板-管理工具-管理您的服务器(不是向导)-打开后如图一所示2.下一步，选择自定义3.选中域控制器(Active Directory)下一步4.然后会让你安装dns和配置网络,5.把网卡的网线接好，处于已经连接状态，下一步6.安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”:在这里我们要指定一个域名，我在这里指定的是，这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但是我建议还是采用默认的好，省得以后麻烦。

给域用户赋予本机管理员权限
2011-06-19 18:18:55| 分类：Windows | 标签：|举报|字号大中小订阅
之前对域也有所了解，知道域是网络对象的分组，其安全性要高于工作组，不是想进就能进，想退就能退的，需要经过域管理员的同意。

域用户可以使用自己的域帐号开启其它加入此域的主机，哪怕这台机子上并不存在该帐号。

一般情况下，域用户不具有本机的管理员权限，不能随意安装所需要的软件，开启所需要的服务，甚至对于本机的其它磁盘也都是只读权限。

由于域用户不同于本机用户，为域用户赋予权限也有别于本机用户。

那么，如何给域用户赋予本机的管理员权限呢？
首先，配置本机IP地址，DNS服务器为域服务器的IP地址（当然，也可以是其它DNS服务器。

这里是为了保证与域服务器在同一网段。

）：
（域服务器）
（本机）“我的电脑”→右键“属性”→“计算机名”：
点击“更改”→隶属于“域”，输入域（此域必须是已存在的，域服务器必须开启）：
接着，输入域管理员帐号和密码：
重启机子，让更改生效。

点击“选项”按钮：
此时，出现一个“登录到”选项框，这里先选择“本机”，以管理员身份登录。

“我的电脑”→右键“管理”→“计算机管理（本地）”→“系统工具”→“本地用户和组”→“组”：
双击或右键属性“Administrators”：
点击“添加”：
点击“高级”，输入域管理员帐号和密码：
点击“立即查找”，找到要赋予本机管理员权限的域用户，单击“确定”：
注销本机管理员帐号，以域用户身份登录到域：
此时的域用户就拥有了本机的管理员权限。

账号密码及权限管理制度XXXX公司账号密码及权限管理制度1总则1.1 ⽬的为加强公司信息系统账号和密码管理，通过控制⽤户密码、权限，实现控制访问权限分配，防⽌对公司⽹络的⾮授权访问，特制订本管理办法。

1.2 范围所有使⽤本公司⽹络信息系统的⼈员。

1.3 职责公司所有使⽤信息系统的⼈员均需遵守本管理办法规定。

⾏政部⽹络⼯程⼈员负责建⽴账号和密码管理的规范并推动执⾏、审核和检查落地执⾏情况。

1.4 术语和定义内部⽹络：是指在本公司内部所有客户端等组成的局域⽹。

包括但不限于OA 系统以及数据库系统等。

2控制内容1.1 ⽤户注册新⽤户必须加⼊域，否则不允许⼊⽹。

域⽤户账号由⽹络管理员在该⽤户上岗使⽤公司⽹络系统前建⽴,命名原则为职⼯⼯号。

⼀⾃然⼈对应⼀个系统账号，以便将⽤户与其操作联系起来，使⽤户对其操作⾏为负责。

⽤户因⼯作变更或离开公司时，管理员要及时取消或者锁定该⽤户所有账号，对于⽆法锁定或者删除的⽤户账号采⽤更改密码等相应的措施规避风险。

系统管理员应定期检查并取消多余的⽤户账号。

1.2 权限管理⾏政部系统管理员负责分配新⽤户系统权限，负责审批⽤户权限变更申请是否与信息安全策略相违背。

特权⽤户必须按授权程序通过系统等部门主管批准，才可给予相应的权限。

系统管理员应保留所有特权⽤户的授权程序与记录。

权限设定要明细化，尽可能减少因拥有的权限化分较粗带来的不正当信息访问或误操作等现象的发⽣。

若某些权限⽆法细分，则需加强对⽤户的单独监控。

只有⼯作需要的信息访问要求，才可授权。

每个⼈分配的权限以完成本岗位⼯作最低标准为准。

系统管理员对分配的所有权限记录进⾏维护。

不符合授权程序，则不授予权限。

对于本公司外的⽤户，需要访问本公司内部资源时，需要由⽤户的接待者申请为其办理授审批程序。

1.3 密码的选择密码的选择应参考以下规则：最少要有8个字符，必须由字母、数字、⼤⼩写以及特殊字符组成。

不要使⽤别⼈通过个⼈相关信息（如姓名、电话号码、⽣⽇等）容易猜出或破解的密码。

实验五活动目录服务（AD的安装、加入和退出域、域用户的管理和配置）【实验目的】1、理解域的概念，掌握AD的安装方法。

2、掌握加入和退出域的方法。

3、掌握域用户的管理和配置，组的规划和建立。

4、了解Windows Server 2003域用户和本地用户的区别。

5、理解组的概念和作用，认识组的类型。

【实验内容】1、练习AD的安装方法，2、练习加入和退出域的方法。

3、练习域用户的管理和配置，组的规划和建立【实验步骤】一、安装活动目录1）新建DC的角色。

在开始菜单中点击“管理您的服务器”，在打开的画面中点击“添加或删除角色”。

2）在“预备步骤”对话框中，单击[下一步]按钮，出现“服务器角色”对话框后，选择“域控制器”，按[下一步]继续。

3）在“选择总结”对话框中，单击[下一步]按钮，随后会进入AD安装向导过程，（如果直接执行“dcpromo”命令也可以启动AD安装向导，则可以省略前三个步骤），单击[下一步]按钮。

4）出现“操作系统兼容性”对话框，单击[下一步]按钮，在“域控制器类型”对话框中，我们将在这个向导中建立一个新域的DC和林，所以我们选择“新域的域控制器”，按[下一步]按钮继续。

5）选择“在新林中的域”，按[下一步]按钮继续，。

6）出现如下图所示，在“新域的DNS全名”文本框中输入新建域的DNS全名，例如: 或者或者之类的DNS全名。

按[下一步]按钮继续。

7）在“NetBIOS域名”对话框中，在“域NetBIOS名”文本框中输入NetBIOS域名，或者接受显示的名称。

NetBIOS域名是供早期的Windows用户用来识别新域的, 按[下一步]按钮继续。

8）在出现“数据库和日志文件夹”的对话框中（如下图），这些文件夹必须放在NTFS分区上，注意，基于最佳性和可恢复性的考虑，最好将活动目录的数据库和日志保存在不同的硬盘上。

按[下一步]按钮继续。

9）在出现“共享的系统卷”对话框中，该文件夹必须放在NTFS分区上，在Windows Server 2003中，Sysvol文件夹存放域的公用文件的服务器副本，它的内容将被复制到域中的所有域控制器上。

域控中管理计算机和用户帐号管理计算机和用户帐号在Windows2000中用户可以在活动目录用户和计算机管理工具中实现建立用户帐号、计算机帐号、组、安全策略等项。

它可以用于建立或编辑网络中的用户、计算机、组、组织单位、域、域控制器、以及发布网络共享资源。

活动目录用户和计算机管理器是安装在域控制器上的目录管理工具，且用户可以在Windows2000 Professional 中安装它的管理工具，以便利用客户机对活动目录进行远程管理。

本章介绍了Active Directory用户和计算机的常用管理工具的使用：1. 账户、组、组织机构相关的基本概念2. 用户和计算机账户的配置与管理3. 组的创建和管理4. 组织机构的添加与管理5. 资源的发布和搜索6. 域和域间信任的管理7.1 基本概念活动目录用户和计算机管理器中的帐号标识的是一个物理实体如计算机或用户，计算机和用户的帐号在它们登录到网络或访问域中的资源时提供安全信任。

帐号可以用于：验证计算机或用户的身份允许访问域中资源审核用户或计算机帐号的活动7.1.1 用户帐号用户帐号能够让用户以授权的身份登录到计算机和域中并访问其中资源。

用户帐号也可以作为某些软件的服务帐号。

7.1.2 计算机帐号每一个运行Windows 2000 和Windows NT 的计算机在加入到域时都需要一个计算机帐号，就象用户帐号一样，被用来验证和审核计算机的登录过程和访问域资源。

7.1.3 组组是可包含用户、联系人、计算机和其他组的Active Directory 或本机对象。

使用组可以：管理用户和计算机对Active Directory 对象及其属性、网络共享位置、文件、目录、打印机列队等共享资源的访问。

筛选器组策略设置创建电子邮件通讯组有两种类型的组：安全组通讯组安全组用于将用户、计算机和其他组收集到可管理的单位中。

为资源（文件共享、打印机等等）指派权限时，管理员应将那些权限指派给安全组而非个别用户。

这个用户从这台电脑登录。

不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

而工作组只是进行本地电脑的信息与安全的认证。

二、公司采用域管理的好处1、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。

2、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。

3、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。

4、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。

5、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。

6、方便用户使用各种资源。

7、SMS（System Management Server）能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。

并能集中管理系统补丁（如Windows Updates），不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽。

8、资源共享用户和管理员可以不知道他们所需要的对象的确切名称，但是他们可能知道这个对象的一个或多个属性，他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表，通过域使得基于一个或者多个对象属性来查找一个对象变得可能。

9、管理A、域控制器集中管理用户对网络的访问，如登录、验证、访问目录和共享资源。

为了简化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上进行修改，这种更新可以复制到域中所有的其他域控制器上。

B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。

因为域控制器提供了对网络上所有资源的单点登录，管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。

域控中管理计算机和用户帐号域控（Domain Controller）是一种在Windows Server操作系统上运行的服务，用于管理计算机和用户账号。

域控是基于目录服务的概念，它使用了Windows Active Directory（AD）作为其目录服务。

域控的主要功能是集中管理和控制网络中的计算机和用户账号。

它通过提供统一的身份验证和授权机制，使得企业或组织能够更好地管理和保护其计算资源和数据。

以下是域控管理计算机和用户账号的主要应用：1.用户账号管理：域控可以集中管理和控制用户账号。

管理员可以创建、删除和修改用户账号，并为其分配角色和权限。

用户账号的信息被存储在AD中，登录到域控的计算机时，用户可以使用其账号进行身份验证和访问控制。

2.计算机管理：域控可以管理和控制网络中的计算机。

管理员可以将计算机添加到域中，从而使其受到域控的管理和控制。

域控可以为计算机提供集中的软件安装、补丁管理、策略设置等功能。

管理员可以通过域控远程管理计算机，而不需要直接登录到每台计算机上去进行管理。

3.组策略管理：域控可以通过组策略设置来集中管理计算机和用户账号的配置。

组策略可以控制计算机的安全设置、网络设置、软件设置等，以及用户账号的权限和配置。

管理员可以通过组策略设置统一的规则和标准，确保网络中的计算机和用户账号都按照企业或组织的要求进行配置和使用。

4.身份验证和访问控制：域控通过集中的身份验证和访问控制机制，确保只有经过身份验证的用户账号才能访问网络中的计算资源。

用户账号可以通过域控进行身份验证，并根据其权限和角色来控制对计算机和资源的访问。

域控使用了统一的身份验证协议，并提供了强大的访问控制策略，以保护网络中的信息资产。

5.安全审计和报告：域控可以提供安全审计和报告功能，以监控和记录网络中的用户和计算机的活动。

管理员可以通过域控获取各种安全日志和报告，以及监控和分析网络中的安全事件。

这有助于保护网络免受恶意活动和安全威胁。

帐号和口令管理规范目录1目的 (2)2适用范围 (2)3职责及权限 (2)4术语和定义 (2)5帐号的注册 (2)6域帐号的命名规范 (3)7口令选取规范 (3)8口令管理规范 (4)9相关文件 (4)10相关记录 (4)1目的明确个人帐户、口令及权限安全责任，规定个人帐户安全管理涉及的内容和要求，最大程度上消除个人信息的安全隐患，从而避免因个人帐户、口令和权限的安全漏洞带给整个企业网络环境中的信息系统更高的安全风险。

本规范涉及帐号的注册、域帐号命名规范、口令选取规范、口令管理规范、无人值守用户设备及共享管理和权限等方面的内容，遵循这些专门的管理规范中的要求，针对个人不同系统帐号的特点进行更加细致的规定。

2适用范围1.本规范适用于运维中心所有员工。

2.本规范应当向适用范围内的所有运维中心员工发布。

3职责及权限1.外包事业部。

负责信息安全规范文档的审批，包括修改的审批。

2.运维中心：负责维护公司所有个人帐号的开通及安全管理与审核。

4术语和定义管理员是指对系统、网络或者应用拥有超级权限的人员，包含但不限于系统管理员、网络管理员、数据库管理员以及应用管理员。

5帐号的注册1.只有授权用户才可以申请系统账号，账号相应的权限应该以满足用户需要为原则，不得有与用户职责无关的权限。

2.一人一账号，以便将用户与其操作联系起来，使用户对其操作负责。

3.用户必须签署声明，表示他们知晓访问的条件。

4.管理员必须维护对注册使用服务的所有用户的正式记录。

5.用户因工作变更或离开公司时，管理员要及时取消或者锁定其所有账号，对于无法锁定或者删除的用户账号采用更改口令等相应的措施规避该风险。

6.管理员应定期检查并取消多余的用户账号。

6域帐号的命名规范1.所有员工域帐号与其他办公系统帐号相同，格式都为：姓的拼音.名字拼音。

2.如出现姓和名拼音相同的情况则在后入职员工的的名字拼音后后加a、b等字母。

7口令选取规范1.用户应该有意识地选择强壮的口令（即难以破解和猜测的口令），不要使用弱口令。