1.3 域用户与域用户组管理
计算机是模拟现实生活的电子设备,同样,联网的计算机也是在模拟客观世界人与人之间的关系与交往。在现实世界中,人人都有一个身份,每个人的身份决定了他的工作与职权范围。而在计算机网络中也有一个代表“身份”的名称,称为“用户”。用户的权限不同,决定了用户对计算机及网络控制的能力与范围也各不相同。用户有两种类型:一种是只能用来访问本地计算机(或使用远程计算机访问本计算机)的“本地用户账户”,另一种是可以访问网络中所有计算机的“域用户账户”。
1.3.1 命名惯例
在企业网络中,使用计算机的每个人都应该有一个用户账户,用户通过他们自己的账户可以使用企业网络中指定的资源,完成与其相对应的任务。除了每个人有一个用户账户外,还可能有为此用户提供的一些对应服务,如企业电子邮件服务、企业办公自动化的登录账户等。所以,通常情况下都是使用统一的方式进行命名,以便于计算机的使用者记住自己的用户名。另外,通常用户名还与企业为其提供的电子邮件相对应(如用户名为zs,企业电子邮件是zs@heinfo.local)。
命名习惯通常如下:
· 对于计算机来说,如果计算机是专属于某一个人使用,则以这个人的名字命名计算机;如果计算机是几个人来共用,则以科室的名称命名;如果一个科室中有多台计算机,在命名的时候同时添加序号即可。
· 对于每个使用者,通常都是使用其“姓”的全称+“名”的简称,如张三的用户名为zhangs。
· 如果使用简称之后有“重名”的现象,可以对重名的用户使用全称。
1.3.2 密码要求
在以前的Windows 2000网络中,对密码是没有强度要求的,用户可以根据习惯是否使用密码,也可以根据习惯使用哪种密码。但随着网络安全越来越被重视,Windows Server 2008网络对密码有了新要求。用户不仅必须设置和使用自己的密码,而且密码要符合如下要求。
· 不能包含用户的账户名,不能包含用户姓名中超过两个连续字符的部分。
l 至少有6个字符长。
· 包含以下4类字符中的3类字符:
? 英文大写字母(A ~ Z)。
? 英文小写字母(a ~ z)。
? 10 个基本数字(0 ~ 9)。
? 非字母字符(例如 !、$、#、%)。
在更改或创建密码时执行复杂性要求。对于“本地用户账户”或修改了Windows Server 2008默认组策略的计算机,其用户密码可以随意设置。
将计算机升级到Active Directory服务器后,原来的“本地用户和用户组”管理工具将不复存在,而改用“Active Directory用户和计算机”进行统一的管理,原来的“本地用户”将迁移到Active Directory用户中,并具有更多的属性。
Active Directory的用户可以在其所属的整个网络或与其建立了信任关系的网络中使用。
1.3.3 创建域用户账户
创建域用户账户的步骤如下:
(1)以管理员身份(Administrator账户)登录服务器,从“管理工具”中打开“Active Directory用户和计算机”控制台,如图1-13所示。在“Active Directory用户和计算机”中的heinfo.local(域名)下的Users中保存了域中的用户和用户组。可以在Users中创建新的用户和用户组,也可以在heinfo.local域下面创建OU(组织单元),再在OU中创建用户和用户组。
图1-13 Active Directory用户和计算机
(2)在Users右侧的空白窗格中右击,或者在Users上右击,从快捷菜单中选择“新建”→“用户”命令,打开“新建对象-用户”对话框,如图1-14所示。在“姓名”文本框中输入要创建的用户名如ws01,在“用户登录名”文本框中输入ws01,其他可以不输入。
(3)单击“下一步”按钮,显示图1-15所示的对话框,在“密码”与“确认密码”文本框中输入新密码(注意,用户密码必须符合Windows强密码的要求,详情参见1.3.2节的内容),根据实际情况设置用户的登录属性。
图1-14 创建用户 图1-15 设置密码
(4)单击“下一步”按钮,创建用户完成,如图1-16所示。如果设置的用户密码符合Windows要求,单击“完成”按钮后将会返回“Active Directory用户和计算机”控制台;如不符合要求,则会显示图1-17所示的对话框。此时可返回并重新设置符合要求的密码,再继续创建用户。
1.3.4 设置域用户账户的属性
域用户账户除了具有“本地用户账户”的全部属性外,还具有一些其他的属性,如用户的地址、电话、单位等信息,还可以设置用户的登录时间、登录到的计算机等信息。本节将介绍怎样设置用户的登录时间和登录到的计算机。
如果要设置账户的登录时间,可以按照如下的步骤操作:
(1)选择欲设置登录时间的用户,右击并选择快捷菜单中的“属性”命令,打开用户属性对话框,如图1-18所示。
(2)选择“账户”选项卡,单击“登录时间”按钮,打开登录时间设置对话框。默认允许登录时间是全部。可以设置的登录时间是按星期一到星期日、每天24小时、每小时一个设置区间来划分的。用鼠标选中区域,选择“允许登录”或“拒绝登录”单选按钮即可设置为允许或拒绝登录,如图1-19所示。图1-20所示为设置每星期一到星期五的8:00~18:00和星期六的18:00~24:00允许登录,其他时间则不允许登录。
图1-19 登录时间设置 图1-20 登录时间
(3)设置完成后单击“确定”按钮返回。
2.设置登录到的计算机
如果指定账户在指定的计算机登录,可以按照如下方式设置:
(1)在用户属性对话框的“账户”选项卡中,单击“登录到”按钮(见图1-18),显示“登录工作站”对话框,如图1-21所示。默认选中“所有计算机”单选按钮,允许该用户登录到所有计算机。
(2)如果要设置允许登录的计算机,可选中“下列计算机”单选按钮,在“计算机名”文本框中输入允许此用户登录到的计算机名,单击“添加”按钮添加到列表中即可。可以在列表中添加多台计算机,如图1-22所示。
图1-21 登录到计算机 图1-22 添加计算机
(3)单击“确定”按钮保存设置并返回。
1.3.5 其他操作
在“Active Directory用户和计算机”窗口中,选中一个用户,右击,将显示快捷菜单,如图1-23所示,可以完成添加到组、禁用和启动、重置密码、移动、复制、删除和重命名等操作。
图1-23 快捷菜单
1.添加到组
如果在快捷菜单中选择“添加到组”命令,将显示图1-24所示的“选择组”对话框,可以将用户添加到其他用户组中。
2.禁用账户
如果在快捷菜单中选择“禁用账户”命令,将会禁用此账户登录。
3.重置密码
在快捷菜单中选择“重置密码”命令,可以重新设置用户的密码,如图1-25所示。
图1-24 将用户添加到组 图1-25 重置密码
4.移动
在快捷菜单中选择“移动”命令,可以把用户移动到另一个组中,如图1-26所示。
5.复制
如果在快捷菜单中选择“复制”命令,将显示图1-27所示的创建用户对话框。输入新用户的信息(用户名、登录名),单击“下一步”按钮,显示设置密码对话框,设置密码之后,复制用户完成,系统将创建一个与选择用户的属性相同的用户。
复制的用户具有与被复制用户相同的权限及所属用户组。
6.打开主页或发送邮件
如果选择快捷菜单中的“打开主页”命令,将会打开用户的主页;选择快捷菜单中的“发送邮件”,将会向此用户发送邮件。使用这两项的前提是已经在用户的属性中进行了相应的设置。
7.删除
选择快捷菜单中的“删除”命令,将删除所选择的用户。
8.重命名
选择快捷菜单中的“重命名”命令,可以更改被选择用户的显示名称。
1.3.6 创建域用户组
在“Active Directory用户和计算机”窗口中,选择Users,在右侧的空白窗格中右击,显示图1-28所示的快捷菜单,选择“新建”→“组”命令,显示新建用户组对话框,如图1-29所示。
图1-28 新建组 图1-29 新建用户组
在“组名”及“组名(Windows 2000以前版本)”文本框中输入组名,从“组作用域”和“组类型”选项区域中选择合适的类型,单击“确定”按钮即完成用户组的创建。