当前位置:文档之家 › 用户和组账号管理

用户和组账号管理

  • 格式:ppt
  • 大小:4.33 MB
  • 文档页数:54

下载文档原格式

  / 54

合集下载

03用户及组管理

03用户及组管理

2. passwd命令
格式: passwd [<选项>] [<用户名>] 功能:设置、修改用户的口令以及口令的属性,超级用户使用 useradd命令创建用户账户之后,需要使用passwd命令设 置初始口令,否则该用户不能被允许登录。 选项: -d用户名(delete) 删除用户的口令,则该用户账号无需口 令即可登录。 -l 用户名(lock) 暂时禁用指定的用户账号。 -u用户名(unlock) 恢复禁用用户账号。 -S用户名(status) 显示指定用户账号的状态
普通用户是在系统安装后由超级用户创建的, 通常完成指定权限的操作,而且也只能操作自 己所拥有权限的文件和目录,UID值500~6000
1.2 用户账号管理文件
用户帐号管理文件构成: 1)用户账号文件/etc/passwd 2)用户影子文件/etc/shadow 用户账号信息文件/etc/passwd组成: a.用户名:在系统中是唯一的,可由字母、数字和 符号组成。 b.口令:此字段存放加密口令。第二级 c.用户ID :系统内部用它来标识用户且唯一。 超级用户:UID=0,GID=0; 普通用户:UID≥500; 系统用户:0<UID<500。
5.其他的shell命令 1)id命令 格式:id [<选项>]用户名 功能:查看一个用户的UID和GID 选项: -g 只显示用户的组的GID -G 只显示用户的附属组的GID -u 只显示UID
2)whoami命令 格式:whoami 功能:用于显示当前用户的名称。
3)su命令
格式:su [-][<用户名>] 功能:转换当前用户到指定的用户账号。 选项: -用户名 在转换当前用户的同时转换用户工作环 境;若不指定用户名则转换当前用户到 root。

第5章用户账号与组管理-课件

第5章用户账号与组管理-课件

3. 用户组账号文件——group
用户组是逻辑地组织用户账号集合的方便途径,它允许用户在组内 共享文件。系统上的每一个文件都有一个用户和一个组的属主。使 用“ls –l”命令可以看到每一个文件的属主和组。
于系统上的每个组,在/etc/group文件中有一行记录,记录的格式:
groupname : passwd : GID : userlist
// 改 变 lbgroup 组 的GID为503
//查询操作结果是 否正确
// 改 变 lbgroup 组 名为ydgroup
//查询操作结果是 否正确
6. 删除组账号
groupdel命令用于删除指定的组账号,若该群组中仍 包括某些用户,则必须先删除这些用户后,方能删除群组。 该命令的语法格式为:
3. 删除用户——userdel
userdel命令用于删除指定的用户账号。其使用的语法格式 为:
userdel [-r] [-f] [用户账号]
需要补充说明的是userdel命令可删除用户账号与相关的文 件。若不加参数,则仅删除用户账号,而不删除相关文件。
其中参数“-f”是用来删除用户登入目录以及目录中所有文件。
GECOS 这字段是可选的,通常用于保存用户命名的信息
Directory 用户的主目录,用户成功登录后的默认目录。
shell
用户所使用的shell,如该字段为空则使“/bin/sh”
2. 用户口令文件——shadow
在shadow文件中,每行定义了一个用户信息,行中各字 段各字段用“:”隔开。为进一步提高安全性,shadow 文件中保存的是已加密的口令。图3-2中显示了shadow 文件的前10行内容。
表5-2 group文件字段说明

WindowsServer网络操作系统项目教程 第3章 用户账户和组管理

WindowsServer网络操作系统项目教程 第3章 用户账户和组管理

第3章 用户账户和组管理
5
3.1.2 本地组管理
对用户账户进行分组管理可以更加有效并且灵活地分配设 置权限,以方便管理员对Windows Server 2019进行具体的管 理。如果Windows Server 2019计算机被安装为成员服务器 (而不是域控制器),将自动创建一些本地组。如果将特定角 色添加到计算机中,还将创建额外的组,用户可以执行与该组 角色相对应的任务。例如,如果计算机被配置成为FTP服务器, 将创建管理和使用FTP服务的本地组。
第3章 用户账户和组管理
6
3.1.3 域用户账户管理
在Windows Server 2019操作系统中,选择“开始”菜单 “Windows管理工具” “Active Directory用户和计算机”, 可以进行相关的域用户账户管理操作。
1.域用户账户的一般管理 2.设置域用户账户的属性
第3章 用户账户和组管理
1.用户账户命名规则 2.强密码原则 3.账户策略 4.重新命名Administrator账户 5.创建一个陷阱账户 6.禁用或删除不必要的账户
第3章 用户账户和组管理
பைடு நூலகம்10
3.2.2 常用的系统进程与服务
进程与服务是Windows NT操作系统性能管理中常常触的内容,科学地管理进程与服务 能提升系统的性能。Windows NT常用系统进程和服务的管理、系统日志的管理,以保护操 作系统的安全。
1.域内的组类型 2.组作用域
第3章 用户账户和组管理
8
3.2 安全策略服务管理
3.2.1 用户账户安全策略管理 3.2.2 常用的系统进程与服务
第3章 用户账户和组管理
9
3.2.1 用户账户安全策略管理

《用户和组管理》课件

《用户和组管理》课件
定期审计
对用户和组的活动进行实时监控,及时发现异常行为并采取相应措施。
监控
定期更新操作系统、软件和应用程序,以修复安全漏洞和提升性能。
及时升级软件版本,获取最新的功能和安全补丁。
系统更新
软件升级
数据备份
定期备份重要数据,确保数据安全和可恢复性。
备份策略
制定合理的备份策略,确保备份数据的完整性和可用性。
通过用户和组管理,可以限制不同用户的访问权限,防止未经授权的用户访问系统资源,提高系统的安全性。
提高系统安全性
通过用户和组管理,可以对多个用户进行批量配置和管理,减少管理员的工作量,提高管理效率。
提高管理效率
通过用户和组管理,可以控制不同用户对数据的访问和修改权限,保证数据的完整性和准确性。
保证数据完整性
案例描述
某科技公司面临用户和组管理混乱的问题,需要建立一套有效的用户和组管理系统,以确保公司内部资源的安全和高效利用。
解决方案
采用基于角色的访问控制(RBAC)模型,根据员工职责和工作内容划分不同的角色和权限,建立用户和组管理系统,实现资源的统一管理和分配。
案例名称
某大学校园用户和组管理
解决方案
采用单点登录(SSO)技术,将各个系统集成到一个平台上,实现用户和组信息的统一管理和权限控制。同时,建立用户自助服务平台,方便用户自行管理个人信息和权限。
详细描述
在Linux系统中,权限分为读、写和执行三种类型,分别用r、w和x表示。可以使用`chmod`命令修改文件或目录的权限,使用`chown`命令更改文件或目录的所有者和所属组。
ACL(Access Control Lists)是用于更精细地控制用户访问权限的一种机制。
ACL可以为用户或组设置特定的访问权限,以覆盖传统的文件和目录权限。可以使用`setfacl`命令设置ACL,使用`getfacl`命令查看ACL。

第5章 用户与组账号管理

第5章 用户与组账号管理

【例5-11】查看用户student的主目录及登录相关信息. [root@rhel4 ~]# finger student Login: student Name: (null) Directory: /home/student Shell: /bin/bash On since Mon Dec 31 10:02 (CST) on tty3 On since Mon Dec 31 10:05 (CST) on tty4 3 hours 29 minutes idle No mail. No Plan.
5.1.5 与用户和组管理相关的文件和目录
/etc/skel 目录 /etc/login.defs 配置文件 添加用户规则文件/etc/default/u 5.3 图形界面下用户和组的管理
5.2.1 用户账号管理
1.创建新用户 在Linux中,创建或添加新用户用useradd命令来实现,其使用格式为: useradd [选项] 用户名 useradd命令只能由root用户使用.选项用于设置用户账号参数. useradd主要选项说明
5.1.2 用户的账号文件
用户的账号信息通过用户配置文件/etc/passwd和用户口令文件 /etc/shadow来保存. 1.用户配置文件/etc/passwd
/etc/passwd文件保存除用户口令以外的用户账号信息,所有用户均可查看 该文件.某/etc/passwd文件内容如下所示: [root@rhel4 ~]# cat /etc/passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin ...... lenovo:x:500:500::/home/lenovo:/bin/bash /etc/passwd文件中每一行描述一个用户配置信息,通过":"将用户的各个属 性信息分隔开来,从左到右依次为:用户名,口令,用户ID(UID),用户所属 组的组ID(GID),全称,用户主目录和登录Shell.

管理本地用户与组账户

管理本地用户与组账户

管理本地用户与组账户
(1) 每台 Windows计算机都有一个“本地安全帐户管理器”,称为 Security Accounts Manager database (SAM)数据库。

(2) “用户”与“用户帐户”具有不同的含义。

简单地说,“用户”是指在网络中工作的人;而“用户帐户”是指用户在网络中工作时所使用的身份标志。

(3) 一个用户可以拥有多个用户帐户。

(4) 一个用户帐户也可以同时被多个用户使用。

(5) 在工作组中,每台Windows计算机的管理员都能够在本地计算机的SAM数据库中创建并管理本地用户帐户。

(6) 在工作组中,用户只能使用本地用户帐户登录到该帐户所在的计算机上,身份验证由这台计算机通过查询本机的SAM数据库完成。

登录成功后,用户只能使用这个用户帐户访问本台计算机上的资源,而不能访问其他计算机上的资源。

(7) 内置的本地用户帐户主要有:Administrator和Guest。

(8) 使用组帐户的主要目的是简化为用户分配权限和权利的管理工作。

(9) 在一个工作组中,每台计算机的管理员可以在本地计算机的SAM数据库中创建组帐户。

这种组帐户只能对本地计算机上的本地用户帐户进行组织,只能拥有对本地计算机的权限和权利,因此称为“本地组帐户”。

(10) 一旦给某个组分配了权限或权利,那么这个组中的所有成员都将具有该组所拥有的权限或权利。

(11) 管理员经常会遇到为多个用户帐户分配相同权限或权利的情形,因此,如果把这些用户帐户加入一个组中,然后给该组而不是给该组中的用户帐户分配权限或权利,这样可以大大减少权限或权利的分配次数,从而减轻管理员的工作负担。

实训项目报告管理域用户账户与组账户

实训项目报告管理域用户账户与组账户管理域用户账户与组账户是一项重要的工作,对于企业的信息系统安全和管理非常关键。

本文将介绍如何有效地管理域用户账户和组账户。

首先,管理域用户账户包括创建、修改和删除用户账户。

在创建用户账户时,需要明确用户的身份和权限,并为其分配合适的访问权限。

对于权限的分配,应根据用户的工作职责和需要进行合理的划分。

同时,在创建用户账户时,应设定强密码策略,并要求用户定期更换密码,以增强账户安全性。

在修改用户账户时,要根据实际情况对用户的权限进行调整。

例如,员工调岗或离职时,需要及时变更其账户权限或禁用账户,避免权限过大或滥用。

此外,还要定期审查和更新用户账户信息,确保账户的准确性和安全性。

对于删除用户账户,同样需要审慎操作。

在员工离职或合同到期后,应及时删除对应账户,以防止账户被恶意使用。

同时,必须注意备份员工账户的重要数据,以便在需要时进行数据恢复或追溯。

另外,管理域组账户也是管理的重点之一、组账户可以将相同权限和访问需求的用户进行分类集中管理,提高管理效率和一致性。

在创建组账户时,需要明确组的名称、目的和所包含的用户。

同时,也要为组账户分配合适的访问权限,确保用户能够顺利完成工作。

在修改组账户时,应根据需要对组的权限进行调整。

例如,有新的用户需要加入组账户,或者一些用户需要从组中移除,都需要及时调整组的成员。

此外,也需要定期审查和更新组账户的信息,保证其准确性和安全性。

最后,对于删除组账户,同样需要谨慎操作。

需要先将组中的用户移除,再进行删除操作。

同时,也要注意备份组账户的重要数据,以便在需要时进行数据恢复或追溯。

综上所述,管理域用户账户与组账户是一项重要的工作,需要合理分配权限,定期审查和更新账户信息,并注意账户的安全性。

只有做好对账户的管理,才能保障企业信息系统的安全和有序运行。

用户和用户组的管理

详细描述
在操作系统中,可以使用命令行或图形界面工具将单个用户添加到现有用户组中或从用户组中删除。此外,还可 以将一个用户从一个组移动到另一个组,或将其从所有组中删除。这些操作有助于管理和维护系统的安全性和稳 定性。
04
用户和用户组的管理工具
本地用户和组管理工具
本地用户和组管理工具是操作系统自带的工具,用于管理本地 计算机上的用户和用户组。这些工具包括“计算机管理”控制 台、命令行工具(如net user和net localgroup)等。
用户组是一种将多个用户归为一个组的机制,方便对用户的集中管理。
在操作系统中,用户组可以用来分配和管理权限,以便更好地控制对资
源的访问。
02
组账号
组账号是用于标识和验证用户组的身份的。与用户账号类似,每个组账
号也具有唯一的名称和密码。通过组账号,管理员可以管理组内的成员
和权限。
03
组权限
组权限是指用户组在操作系统中拥有的访问和控制资源的权限。与用户
使用AD用户和组管理工具可以创建、修改和删除活动目录中的用户和用户组, 以及设置用户权限和配置组策略等。
其他管理工具
其他用户和组管理工具包括第三方管理工具、脚本语言(如 PowerShell)等。这些工具可以提供更灵活和强大的功能, 用于自动化用户和组管理任务。
使用其他管理工具可以方便地实现批量创建和管理用户和 组,以及自定义脚本以实现特定的管理需求。
用户和用户组的管理
目录
• 用户和用户组的基本概念 • 用户管理 • 用户组管理 • 用户和用户组的管理工具 • 用户和用户组的管理策略与实践
01
用户和用户组的基本概念
用户定义
用户定义
用户是指使用计算机或网络服务 的个人或实体。在操作系统中, 用户是访问系统资源的基本单位, 具有账号、密码等身份验证信息。

用户帐户与组帐户管理


2024年2月17日星期六3时33分47秒
第4页/共31页
13.2 本地用户和组
13.2.1 用户帐户的创建
用户本地账户是建立在Windows Server 2003成员 服务器的本地安全数据库内,而不是域控制器内的账户。 用户可以利用本地账户登录此账户所在的计算机,但是无 法登录域。同时只能访问这台计算机内的资源,无法访问 网络上的资源。建议只在未加入域的计算机内建立本地用 户账户。
2024年2月17日星期六3时33分47秒
第8页/共31页
13.2 本地用户和组
(2)右击,从弹出的菜单中选择“新用户”命令,弹 出“新用户”对话框。输入用户名、全名、描述和密码。输 入时密码。为了避免在输入时被他人看到密码,因此在对话 框中的密码只会以星号(*)显示。需要再次输入密码来确 认所输入的密码是否正确。密码最多128个字符,密码的大 小写是有区别的。
(2)单击“下一步”按钮,弹出新建域用户帐户的对 话框,“密码”与“确认密码”:输入用户账户的密码。
(3) 单击“下一步”按钮后,提示用户账户的信息, 最后单击“完成”按钮,完成用户账户的创建。
2024年2月17日星期六3时33分47秒
第19页/共31页
13.3 域帐户管理
2. 域用户账户的属性设置 每个域用户都有一些相关的属性可供设置,例如,某
2024年2月17日星期六3时33分47秒
第7页/共31页
13.2 本地用户和组
2. 创建本地用户帐户 建立本地账户可以用“计算机管理”中的“本地用户和
组”管理单元来创建本地用户帐户,而且必须拥有管理员权 限。创建本地用户帐户的步骤如下:
(1)选择“开始管理工具计算机管理”选项,弹 出“计算机管理”窗口,依次展开“系统管理本地用户和 组用户”,在“计算机管理”窗口右侧列出已经存在的帐 户。

【Linux】学习笔记:(二)用户和组群账户管理

【Linux】学习笔记:(⼆)⽤户和组群账户管理⽬录前⾔在Linux系统中,⽤户账户是登录系统的唯⼀凭证,其中root⽤户是系统的最⾼管理者,该⽤户的UID是0,与⽤户和组群账户相关的配置⽂件有/etc/passwd,/etc/shadow,/etc/group和/etc/gshadow。

⼀、⽤户账户简介1、⽤户账户分类root⽤户root⽤户UID为0。

root⽤户的权限是最⾼的,普通⽤户⽆法执⾏的操作,root⽤户都能完成,所以也称之为超级⽤户系统⽤户系统⽤户的UID为1~999这类⽤户不具有登录Linux的能⼒,但却是系统运⾏不可缺少的⽤户。

普通⽤户系统⽤户的UID为1000~60000在Linux系统上进⾏普通操作,其使⽤系统的权限受限制。

2、 /etc/passwd⽂件假设以账户zhangsan登录系统时,系统⾸先会检查/etc/passwd⽂件,存在zhangsan账户,然后确定⽤户zhangsan的UID,通过UID确认⽤户⾝份,如果存在,则读取/etc/shadow⽂件中对应的密码,核实⽆误,则登录系统,读取⽤户的配置⽂件[root@centos83 home]# cat /etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologin..............(省略)..........sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologinrngd:x:994:991:Random Number Generator Daemon:/var/lib/rngd:/sbin/nologinzhangsan:x:1000:1000::/home/zhangsan:/bin/bash字段字段含义⽤户名在系统中⽤户名应该具有唯⼀性密码存放加密⽤户的密码,看到的是⼀个x,其实密码已经被映射到/etc/shadow⽂件中⽤户标识号(UID)每个⽤户的UID都是唯⼀的,root⽤户的UID是0,普通⽤户的UID默认从1000开始组群标识号(GID)在系统内⽤⼀个整数标识⽤户所属的主要组群ID号,每个组群ID都是唯⼀的⽤户名全称⽤户名描述,可以不设置主⽬录⽤户登录系统后⾸先进⼊的⽬录登录shell⽤户使⽤的Shell类型,Linux系统默认使⽤的Shell是/bin/bash2、 /etc/shadow⽂件/etc/shadow⽂件内容包括⽤户及被加密的密码以及其他/ect/passwd不能包括的信息,⽐如账户有效期等/etc/shadow⽂件只有root⽤户可以读取和操作,确保系统安全[root@centos83 home]# cat /etc/shadowroot:$6$Uq9EeN5GfNDLF83M$csUva0exzO/n3PIvhKv5D1Xs3Ga06G2whjfagtEtJUW1wlQbREEd6HkOjTRCTqGuZCXvg2WQ1wdyzqY.qfAzE1::0: 99999:7:::bin:*:18397:0:99999:7:::..............(省略)..........sshd:!!:18625::::::rngd:!!:18625::::::zhangsan:$6$HMTy.raoMPbhboQn$71FPRHyRycVf3AcenfNW1n7/qD7ep.x5vSeBSSxzJdWmvjoQ98oDhfA8Kz/6PlOgKe/ksj58AXeWBPOGAm/dl1 :18625:0:99999:7:::字段字段含义⼆、 ⽤户账户设置1、useradd :创建⽤户创建⽤户useradd moon创建⽤户并设置UID 为1010useradd -u 1010 moon创建⽤户并设置⽤户所属群组为rootuseradd -g root moon创建系统⽤户mysql 并设置所属组群useradd -r -g mysql mysql2、 usermod :修改⽤户账户修改⽤户pp 的登录名为moonusermod -l moon pp修改⽤户moon 账户过期时间为2028年11⽉23⽇usermod -e 11/23/2028 moon修改⽤户moon 的主⽬录到/home/oopp ,并⾃动创建⽬录usermod -d /home/oopp -m moon ⽤户名这⾥的⽤户名和/etc/passwd 中的相同加密密码密码已经加密,如果由⽤户显⽰"!!",则表⽰这个⽤户还没有设置密码,⽆法登录到系统⽤户最后⼀次更改密码的⽇期从1970年1⽉1⽇算起到最后⼀次修改密码的时间间隔天数密码允许更换前的天数如果设置为0,则禁⽤此功能。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
通过组策略将用户权限一次性分配给组来进行委派 管理。然后可以向组添加那些希望和组具有相同权 利的成员。
创建电子邮件分发列表。
在域中,组的类型有两种,分别是“安全组”和 “通讯组”。安全组即可以设置权限,也可以收发 电子邮件;而通讯组不能设置权限,只能收发电子 邮件。 根据组的作用范围不同,组又分为“本地域组”、 “全局组”和“通用组”三种。
本地域组:
作用范围是该组所在的域内 可以包含的成员包括:所有域的用户帐户、全局组、通用组,
以及本域的域本地组。
全局组:
作用范围是所有受信任的域 可以包含的成员有:本域的用户帐户和全局组。
通用组:
作用范围是所有受信任的域 可以包含的成员有:所有域的用户帐户、全局组和通用组。
这些重要的元素不同于各个用户。我们希望这些元素与登 录联系起来,当用户登录到其它系统时可用。或当用户的 系统损坏必须重装时,也可用。
默认,用户文件被存储在系统本地。 %Systemdrive% \Documents and Settings\%Username% 文件夹中
有以下特征: 当用户第一次登录到一个系统。系统为该用户新建用户文 件。新的用户文件夹名,会与登录的名字类似。 所有对用户桌面或软件环境所做修改,都会被保存在本地 用户文件夹中( Local User Profiles ) 用户的环境由All users文件夹扩展,其中可以包括桌面或 开始菜单中的shortcuts,网上邻居,甚至应用程序数据。 All users中的元素与用户文件夹中的内容结合产生用户环 境。默认,只有Administrators group 的用户才可以更改 All users文件夹。 如果用户登录到其它系统, documents and settings 中的 内容不会跟随用户。系统会重新为用户生成一个用户文件 夹
在AD域服务中的组都是存储在域和OU中的。使 用且可以一次给一组用户指定权限,而不必单 独地给每一个用户重复指定权限,从而简化管 理。
使用 AD DS 中的组可以执行以下操作:
通过将共享资源的权限分配给组而不是单个用户来 简化管理。将权限分配给组会将对资源使用同一个用户文件夹。方法如上。 在复制文件到目的地时。访问权限设置为一个组都能访 问。
既然有多个用户都可以访问同一个用户文件夹,自然不 希望该文件夹中的内容,被修改。这时可以配置强制文 件(Mandatory Profile )
一个Mandatory Profile 不允许用户更改profile环境。即 使用户在本机上做了修改,但下次用户登录时,这些修 改将不会被保存。
利用命令行工具CSVDE
CSVDE是一个命令行工具,可以将AD中的对象导出 成一个后缀名为.csv或.txt的文件;也可以将这样 的文件导入成AD,作为对象。
comma-separated value text file,逗号分隔文件, 可以在Excel或文件编辑器中被打开查看。
导出ou中 的记录
导入账号
Dsquery的例子: dsquery user “ou=students,ou=rjgc,ou=jsj,dc=czu,dc=internal” –disabled 查询在指定ou内的被禁用的账号
Dsmod的例子: dsquery user “ou=students,ou=rjgc,ou=jsj,dc=czu,dc=internal” –disabled | dsmod user –disabled no –pwd !@345czu 将查询结果导入给dsmod命令,启用账号,修改密码
同时,一个域用户帐户可以在域中的任何一台 计算机上登录,用户可以不再使用固定的计算 机。当计算机出现故障时,用户可以使用域用 户帐户登录到另一台计算机上继续工作,这样 也使帐号的管理变得简单。
OU(组织单位) 在域中有很多的对象,包括用户帐户、组、共享文件夹和共享打印机等。这 些对象都是集中存储在活动目录中并使用“AD用户与计算机”管理工具来进 行管理。但如果这些大量的对象都放在“users”管理单元内进行管理,会带 来一定的不便,例如不便于查找、难于设置策略等。
全局组属于某个域,但作用范围是整个森林, 主要用来组织对网络访问具有相同要求的用 户
全局组的成员只包括组所在域的其他组和帐 户
使用具有全局作用域的组来管理需要进行日 常维护的目录对象,如用户和计算机帐户。 由于具有全局作用域的组在自已的域外不会 被复制,因此您可以经常更改具有全局作用 域的组中的帐户,且不会对全局编录产生重 复流量。
按企业的组织结构来划分。方法是为不同的部门创建不同的OU,把属于每个部门的 对象都放在一个OU里,比如财务部的OU放财务部的用户帐户、财务部的计算机帐户 和组等,而业务部的OU放业务部的用户帐户、业务部的计算机帐户和组等。这是一 种常用的方法;
按地区来划分。该方法主要用在有分支机构的企业,分别为不同的分支机构创建不 同的OU,然后把属于该分支机构的所有对象都放在相应的OU里。比如一个企业有广 州总公司、上海分公司和北京分公司,那么就分别为这三个分公司建立三个OU,一 个OU放广州总公司的对象,一个放上海分公司的对象,还有一个放北京分公司的对 象;
选择文件,点击“复制”。键入 路径,格式为: \\<server>\<share>\<username> 可以点击“更改”,修改可访问 文件夹的人。
最后,打开用户账号的”属性 “对话框,在配置文件页中, 输入同样的文件路径。
漫游文件可以为多个用户建立标准的桌面环境。但是不 同的用户在今后会对自己的桌面环境做不同的修改。
通过对Active Directory 中的组进行管理,可以实
现如下功能: (1)简化管理
将shism域账号添加到本地 administrators组后,shism账号 拥有管理员权限
(2)委派管理
和本地用户帐户不同,域用户帐户保存在活动 目录中。由于所有的用户帐户都集中保存在活 动目录中,所以使得集中管理变成可能
XP中用于 管理本地 账号的工

组织单元(OU,Organizational Unit)是组 织、管理一个域内对象的容器,它能包容用户 账户、用户组、计算机、打印机和其他的组织 单元。
组是用户和计算机账户、联系人以及其他可作 为单个单元管理的集合,属于特定组的用户和 计算机称为组成员。
混合划分方法。该方法是按组织结构划分和按地区划分两种方法的结合,先为不同 分支机构创建OU,再在不同的分支机构的OU里按组织结构来创建子OU。这也是一 种常用的方法。
利用账号模板
可以创建一个账号模板,预先设置相关的共同属
禁用
通过账号模板进行复制
复制时,仍然要求你 输入姓名,登录姓名 和密码。但会发现这 个新帐号有一些属性 是从模板中复制得到 的。
稍作计划之后,通过创建具有本地域作用域的组并 为其分配访问打印机的权限,即可简化此日常管理 任务。
将这五个用户帐户放在具有全局作用域的组中,并将此 组添加到具有本地域作用域的组。若要授予这五个用户 访问新打印机的权限,可以为具有本地域作用域的组分 配新打印机的访问权限。具有全局作用域的组的所有成 员都会自动获得对新打印机的访问权限。
你可以建立一个自定义的用户文件,提供设计 好的桌面和软件环境。
建立自定义的用户文件,不需要特别的工具, 只要新建一个帐户,以该账号,登录到系统, 正确修改桌面和软件设置。
当用户文件修改成功 后,以管理员身份登 录到系统,打开系统 “属性”,在高级页 中,点击用户配置文 件中的“设置”按钮。
如果用户需要在多台计算机上工作,你可以配 置漫游用户文件( roaming user profiles , RUPs)。以此保证无论在什么地方登录,他们 的documents and settings 保持一致。
RUPs将文件存放在服务器上,也意味着,文件 可以被备份,扫描viruses,被集中控制。即使 用户不用移动, RUPs也可以在用户系统损坏时, 保证用户文件与系统恢复前一致。
Mandatory Profile可以用于锁住桌面。尤其是多个用户 共享一个用户配置文件时。
将用户配置文件变成Mandatory 的,只要重命名文件夹 中Ntuser.dat文件为Ntuser.man。
组(group)是多个具有相同管理任务的用户和 计算机账号的集合单元。属于特定组的用户和 计算机被称为组成员。
作用域
组类型
通常为本域的资源创建本地域组 帮助用户定义和管理单一域内的资源访问权
限 本地域组的成员可以是
同一个域的本地域组 任何域内的账户 具有全局作用域的域组 具有通用域的组
他们能访问的资源只是该本地域组所在域中的 资源
例如,若要授予五个用户访问特定打印机的权限, 您可以在打印机权限列表中添加五个用户帐户。但 是,如果您以后要授予这五个用户访问新打印机的 权限,则必须重新在新打印机权限列表中指定这五 个帐户。
注意:rups文件夹权限的设置 (1)共享 (2)NTFS权限 (3)共享权限
当用户注销时,系统会将用户文件上传至服务
器。用户只要是登录到域,无论是哪个系统,
或哪台计算机,用户文件都以RUP形式,从服
务器上下载到本地。(the system copies only
files that have changed)
如果用户登录后,不能访问他的IE收藏夹,或 不能见到熟悉的快捷方式或桌面的文档。这些 内容都与用户文件的组件相关。
一个用户文件包括文件夹和数据文件。数据文件中有用户 特定的桌面环境。
设置包括: 开始菜单,桌面,以及快速启动栏中的快捷方式(Shortcuts) 桌面上的文件。在My Documents 中的文件 IE收藏夹和Cookies 程序的特殊文件,如office用户字典,用户模板等。 网上邻居 桌面的显示设置,如外观,墙纸和屏保