1 / 31

第四章、 创建和管理用户帐号

第四章、 创建和管理用户帐号. 关于用户账号的初步介绍 关于创建用户账号的操作要点 创建本地用户账号 创建和配置域用户账号 为域用户账号设置属性 利用用户配置文件自定义用户设置值 最佳实践. 第四章、 创建和管理用户帐号. 一、关于 用户帐号的介绍 用户帐户 : 包含用户唯一的身份标识,给予用户访问资源的权力及能力。 用户帐号的分类: 本地用户帐号,域用户帐号, 内置用户帐号(自动) 二 . 创建用户帐号 1 、命名规则 用户登录名和用户全称必须是唯一的 用户名最多 20 个字符 命名方案应能解决重名问题、能标示特殊身份的用户等.

jaegar
Download Presentation

第四章、 创建和管理用户帐号

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第四章、 创建和管理用户帐号 • 关于用户账号的初步介绍 • 关于创建用户账号的操作要点 • 创建本地用户账号 • 创建和配置域用户账号 • 为域用户账号设置属性 • 利用用户配置文件自定义用户设置值 • 最佳实践 北大瑞通高级技术培训中心 http://www.easthome.com

  2. 第四章、 创建和管理用户帐号 • 一、关于用户帐号的介绍 • 用户帐户: • 包含用户唯一的身份标识,给予用户访问资源的权力及能力。 • 用户帐号的分类: • 本地用户帐号,域用户帐号,内置用户帐号(自动) • 二.创建用户帐号 • 1、命名规则 • 用户登录名和用户全称必须是唯一的 • 用户名最多20个字符 • 命名方案应能解决重名问题、能标示特殊身份的用户等 北大瑞通高级技术培训中心 http://www.easthome.com

  3. 第四章、 创建和管理用户帐号 • 2、设置密码 • 给Administrator 设密码 • 可以让用户自己或由管理员给定密码 • 采用复杂的密码来提高安全性 • 联想得到有关联的密码禁用 • 采用尽量长的密码,最长可达128位最小不得少于8位 • 采用尽量复杂的密码 • 3、帐号选项 • 登录时间、用户可登录的计算机、帐号失效日期 • 二、创建本地用户帐号 北大瑞通高级技术培训中心 http://www.easthome.com

  4. 第四章、 创建和管理用户帐号 • 三.创建和设置域用户帐号 • 1、管理Win2000网络的合理方法: • 在Win2000 Professional或Member Server的机器上安装“管理工具”adminpak.MSI • 管理员平时要以普通用户的身份登录,当需要管理员权限时运行Run as 命令。 • 2、创建域用户帐号 • Administrator用管理活动目录的工具:    “Active Directory User And Computer ” • 设定密码 北大瑞通高级技术培训中心 http://www.easthome.com

  5. 第四章、 创建和管理用户帐号 • 创建主文件夹管理用户数据,放在服务器上还是放在用户 计算机上。 • 备份和恢复能力 • 服务器上有足够的空间—win2000有磁盘定额功能 • 网络性能 • 设置帐号属性 • 个人属性 • 帐号属性 • 登录选项 • 复制域用户帐号: • 权限、权力不被复制;可复制的内容有限、只能复制DC上的用户。 北大瑞通高级技术培训中心 http://www.easthome.com

  6. 第四章、 创建和管理用户帐号 • 创建域用户帐号模板: • 用户帐号模板永远是禁用的 • 用户帐户模板用于创建共同需求的用户 • 创建模板新的域用户帐号和复制域用户帐号是禁用的 • 复制模板来创建用户,修改相应的名称密码并清除“帐号禁用”的选择 • 四.用User Profiles定制用户环境 • 1、用户配置文件的功能: • 对Display, regional, mouse,printer,network等属性进行设置;定义用户工作环境。 • 2、 user profiles类型 北大瑞通高级技术培训中心 http://www.easthome.com

  7. Display Display Regional Settings Regional Settings Modify Save Mouse Mouse Sounds Sounds 第四章、 创建和管理用户帐号 • Default User Profile • Serves as the bases for alluser profiles • Local User Profile • Created the First Time a User Logs on to a Computer • Stored on a Computer's Local Hard Disk User Profile Profile Windows 2000 Client • Roaming User Profile • Created by the System Administrator • Stored on a server • Mandatory User Profile • Created by the System Administrator • Stored on a server Windows 2000 Client Windows 2000 Client Profile Server 北大瑞通高级技术培训中心 http://www.easthome.com

  8. 第四章、 创建和管理用户帐号 • 默认的用户配置文件 Default User Profiles • 所有user profiles 的基础 • 一用户第一次登录到某个计算机时,win2000 创建一个用户配置默认的user profiles文件的副本并以该用户名命名。 • 本地用户配置文件local user profiles • 针对具体的计算机修改的 • 漫游的用户配置文件Roaming User Profiles • 由系统管理员创建,并存储在某个服务器 • 任一时候,任一计算机。用户使用同一配置文件,用户更改后变化保存。 北大瑞通高级技术培训中心 http://www.easthome.com

  9. 第四章、 创建和管理用户帐号 • 强制漫游的用户配置文件 Mandatory Roaming User Profiles • 由Admin创建,用于一些特定的用户 • 可以是本地的/漫游的 • 不保存更改 • 3、创建漫游/强制漫游用户配置文件 • 创建漫游用户配置文件 • 只有admin可以修改rooming user profiles 文件 Ntuser.dat 文件记录内容 • 创建强制漫游用户配置文件 • rooming user profiles 文件 Ntuser.dat改为 Ntuser.man 北大瑞通高级技术培训中心 http://www.easthome.com

  10. Rename the Administrator Account Create a User Account with Administrative Rights Create a User Account for Non-Administrative Tasks Enable the Guest Account Only in Low Security Networks Create Random Initial Passwords Require New Users to Change Their Passwords Set Account Expiration Dates for Temporary Employees 第四章、 创建和管理用户帐号 • 五、最佳方案 北大瑞通高级技术培训中心 http://www.easthome.com

  11. 第五章、 用组帐号管理对资源的访问 • 关于Windows 2000种组的初步介绍 • 在工作组中实现组 • 在域中实现组 • 最佳实践 北大瑞通高级技术培训中心 http://www.easthome.com

  12. 第五章、 用组帐号管理对资源的访问 • 一、Windows 2000的组的介绍 • 组的概念: • 用户账号的集合 • 组的作用: • 简化管理,一次给多个用户授权。 • 组作用的范围是由该组所在位置而决定的。 • 1、 win2000中组的工作方式 1) 组中可以包含用户,计算机组,打印机,共享 文件夹 2) 一个用户可以是多个组的成员 3) 新设的组的权限;用户新添加入组,所得权限 必须在重新登录后才有作用 北大瑞通高级技术培训中心 http://www.easthome.com

  13. SAM SAM Member Server Client Computer 第五章、 用组帐号管理对资源的访问 • 2、工作组和域中的组 1) 工作组中的组(Group in Workgroup) • 创建在非DC的计算机上 • 驻留在SAM数据库中 • 只能访问本地资源 Workgroup • Created on Computers That Are Not Domain Controllers • Reside in SAM • Used to Control Access to Resources for the Computer 北大瑞通高级技术培训中心 http://www.easthome.com

  14. Domain Controller 第五章、 用组帐号管理对资源的访问 • 2) 域中的工作组 • 只在DC上 • 在AD中 • 访问域中的计算机中的资源 Domain • Created on Domain Controllers • Reside in Active Directory • Used to Control Resources in the Domain 北大瑞通高级技术培训中心 http://www.easthome.com

  15. 第五章、 用组帐号管理对资源的访问 • 二、在工作组中实现组帐号 • 1、本地组(Local Groups) • 只在不属于域的计算机上使用本地组; • 在域的客户机和成员服务器上也可存在,但不推荐使用。 • 包含本地用户帐号(本地组所在计算机上) • 不能是其他组的成员 • 2、内置的本地组(Built-in Local Groups) • 优先使用; • 不能删除、特殊身份组、every one等 • 在工作组中使用本地组的策略—ALP。 A—Accounts L—Local group P—Permissions 北大瑞通高级技术培训中心 http://www.easthome.com

  16. L L L Add Add Add P P P A A A 第五章、 用组帐号管理对资源的访问 L Add Assign P A Assign Assign Windows 2000 Professional Workgroup Windows 2000Professional Assign Windows 2000 Server Windows 2000 Professional = = = A L P User Accounts LocalGroup Permissions 北大瑞通高级技术培训中心 http://www.easthome.com

  17. 第五章、 用组帐号管理对资源的访问 • 三、在域中实现组帐号 • 1、组类型和范围 • 组类型决定:组可以管理哪些类型的任务 • 组范围决定:该组跨越的域多个还是单个 • 各种类型的domain group都有一个范围属性 • 2、组的类型: • 安全组(Security Groups) • 用于授权,用于与安全性有关的功能 • 具有分布组的全部功能 • 分布组(Distribution Groups) • 仅用于活动目录应用程序、某些程序只能读分布组 • 分发E-mail,不能给予授权 北大瑞通高级技术培训中心 http://www.easthome.com

  18. Group Types Security Groups • Used to assign permissions • Can be used as an e-mail distribution list Distribution Groups • Cannot be used to assign permissions • Can be used as an e-mail distribution list 第五章、 用组帐号管理对资源的访问 Group Scopes Global Group Used to organize users who share similar network access requirements Domain Local Group Used to assign permissions to domain resources Universal Group Used to assign permissions to related resources in multiple domains 北大瑞通高级技术培训中心 http://www.easthome.com

  19. 第五章、 用组帐号管理对资源的访问 • 3、组的范围(Group Scopes) • 组的scope决定组用在域中某范围,影响组的成员 资格和组的嵌套能力(nesting) • Win2000提供组的范围:全局组,本地组,通用组 • 1)全局组(Global group) • 包括其所在域中的用户帐号 • 可以加到本域或其它域的域本地组、通用组中。 • 可以加到本域的全局组中(仅限在本机模式中有效) • 2)域本地组(Domain local group) • 混合模式下,可包括域任何域的用户帐号和全局组;本机模式下,还包括通用组。 • 混合模式下,不能加到其它任何组中。本机模式下,可以加入到本域的域本地组中。 北大瑞通高级技术培训中心 http://www.easthome.com

  20. 第五章、 用组帐号管理对资源的访问 • 3)通用组(Universal group) • 在混合模式下不可用,只在本机模式下可用。 • 为多个域中的相关资源授权 • 开放的成员关系:所有的用户和组(不含本地组) • 可加入任何域中的域本地组或通用组 • 4、内置的和预定义的域中组 • 1)位置: • 全局范围的预定义的组在“user” 文件夹中 • 域本地组范围的内值的组在“build in”文件夹中 • 2) win2000域中缺省的组 • 内置域本地组: • 为用户提供域定义的权利和权限 • 只在DC的AD中 • 不能删除 北大瑞通高级技术培训中心 http://www.easthome.com

  21. 第五章、 用组帐号管理对资源的访问 • 特殊组的成员 • 当你在一台计算机上登录的时候,你就是这台计算机上Interactive(交互式)特殊组的成员; • 当您连接到一台远程计算机的共享目录时,你就是这台计算机上Network System特殊组的成员。 • Everyone组 • 域定义的全局组 • 只在DC上 • 在AD的用户文件夹中 • 方便Admin管理,控制域中所有用户 • 4、在单域中使用组的策略—A-G-DL-P 北大瑞通高级技术培训中心 http://www.easthome.com

  22. 第五章、 用组帐号管理对资源的访问 A AGDLP Strategy for Groups in a Domain G User Accounts Add Global Group Add P DL Assign Domain Local Group 北大瑞通高级技术培训中心 http://www.easthome.com

  23. 第五章、 用组帐号管理对资源的访问 • 四、注意事项 • 1、内值的域组Administrator和Account operators 组的成员可以赋予用户创建域组的权力 • 2、根据你使用组的情况确定所要求组的作用域 • 3、确定是否有足够权限 • 4、确定组的名称 • 5、删除组 • 所删除组,权限消失 • 组中成员不因组的删除而消失 • 不能删除内置组和预定义的组 北大瑞通高级技术培训中心 http://www.easthome.com

  24. 第六章、 用NTFS管理数据 • 一、NTFS权限简介 • 利用NTFS权限可以控制用户帐号和组对文件夹、文件的访问 • NTFS权限仅适用于NTFS分区 • NTFS 对分区,文件夹,文件都起作用 • 1、访问控制列表(Access Control List) • 每个文件和文件夹都维护一个访问控制列表(ACL) • ACL对用户来讲是不可见的。 • 2、NTFS文件夹的权限 List Folder Contents Read Write Read & Execute Modify Full Control • 3、NTFS文件的权限 Read WriteRead & ExecuteModify Full Control • 4.、缺省的NTFS权限是Everyone组Full Control。 北大瑞通高级技术培训中心 http://www.easthome.com

  25. 第六章、 用NTFS管理数据 • 二.Win2000如何运用NTSF权限 • 1、多个NTFS权限的情况 • NTFS权限是累积的; • 文件的权限覆盖文件夹的权限; • 否定(Deny)权限覆盖其它权限。 • 2、NTFS权限的继承 • NTFS权限可以创建文件夹时得到 • 父文件夹的权限被子文件夹及文件所继承 • 可以阻止继承 • 3、拷贝文件和文件夹时NTFS权限的变化 • 随目的文件夹的权限而变化 • 由NTFS分区拷贝到FAT分区,权限丢失 北大瑞通高级技术培训中心 http://www.easthome.com

  26. 第六章、 用NTFS管理数据 • 4、移动文件和文件夹时NTFS权限的变化 • 同一分区内,移动,权限不变 • 在不同分区内,则继承目的文件夹的权限 • 由NTFS分区拷贝到FAT分区,权限丢失 • 三、使用NTFS权限 • 1、授予NTFS权限 • 2、设置权限的继承性 • 3、最佳实践 • 尽量给组授权而不是给用户授权 • 将文件归类 • Apps data folder、user home folder 放在独立的分区中 • 在用户完成任务的前提下,给他最严格权限 北大瑞通高级技术培训中心 http://www.easthome.com

  27. 第六章、 用NTFS管理数据 • 四、运用特殊的NTFS权限 • 1、改变的权限(Change Permissions) • 不能对文件或文件夹进行删除或写的操作,但可以更改原有的权限; • 2、夺取所有权的权限(Take Ownership) • 当前对象的所有者和有Full Control权限的用户,有权把Full Control和Take Ownership的权限授给其它的用户和组; • Administrators组的成员对任何对象有Take Ownership的权限,而不管他们对这些对象有无访问权限。 • 注: Right(权力):执行系统任务。 Permissions(权限):对资源访问的限制。 北大瑞通高级技术培训中心 http://www.easthome.com

  28. 第六章、 用NTFS管理数据 • 五、在NTFS分区上压缩数据 • 1、介绍 • 压缩文件夹可包含非压缩文件 • 文件夹被压缩但其中的文件、子文件夹可以不压缩 • 要考虑下列因素 • NTFS分配磁盘空间时是基于非压缩的尺寸; • 加密的文件和文件夹不能压缩; • 颜色显示 • 应用程序访问压缩文件 • 2、拷贝/移动压缩的文件和文件夹 • 在同一分区之内复制、不同分区之间复制、不同分区之间移动时,继承目标文件夹的压缩状态; • 在同一分区内移动时,保留压缩状态 北大瑞通高级技术培训中心 http://www.easthome.com

  29. 第六章、 用NTFS管理数据 • 3、注意事项: • 当你拷贝一个压缩的文件到另一个压缩的文件夹时,系统要先解压,然后再压缩。这样会降低系统的性能。 • NTFSFAT压缩属性丢失 • 4、最佳实践 • 根据文件类型选择是否压缩 • 不要对压缩文件再压缩 • 采用不同颜色表示压缩文件/文件夹 • 压缩稳定的数据而不是变化频繁的数据 • 六、设置磁盘配额(Disk Quotas) • 利用磁盘限额可以每用户,每分区上跟踪和控制磁盘空间使用 • 磁盘空间的计算是基于文件和文件夹的所有者的; • 对所有的用户和单个用户执行磁盘配额; • 磁盘配额不使用磁盘压缩,并独立于磁盘计算。 北大瑞通高级技术培训中心 http://www.easthome.com

  30. 第六章、 用NTFS管理数据 • 七、运用EFS保证数据安全 • 1、EFS 介绍 • 基于公共密钥的文件级或文件夹级的保护功能 • 为NTFS分区提供加密 • 由指定的EFS恢复代理启用文件恢复功能 • 2、特性 • 在后台运行,仅允许授权用户访问,自动解密,保存时在加密 • 管理员可作为恢复代理,访问数据 • 提供内置的数据恢复支持功能 • 至少有一个恢复代理,可以指定多个代理,代理需要EFS恢复代理证书 • 3、加密和解密文件夹或文件; • 用公钥加密后的文件只有授权的用户才能访问,恢复代理(Recovery Agent)可以解密。 • 其他用户即便改变了所属关系也不能解密 北大瑞通高级技术培训中心 http://www.easthome.com

  31. 第六章、 用NTFS管理数据 对称密钥 1 64K 64K 对称密钥 2 用文件拥有者的公钥加密 DDF DRF 64K 对称密钥 3 用文件加密代理密钥加密 64K 对称密钥4 密文 DRF:Data Decryption Field 数据解密区 DDF:Data Recovery Field 数据恢复区 北大瑞通高级技术培训中心 http://www.easthome.com

More Related