网络管理员&MCSE2003之7:第3章 管理用户和计算机帐户(上)
只要对电脑有点了解的人都知道Administrator,没错,他是系统默认的系统管理员帐户,是系统中权力最大的默认用户,当这个系统可以安装Active Directory服务,它就成了域控制器,Administrator帐户自然水涨船高,成了域管理员帐户。
Windows是一个多用户操作系统,我们可以不光只有Administrator帐户,还可以新建更多的用户帐户,根据需要来设定用户的权力和权限,以满足各种类型用户的需求。(正因为管理员帐户Administrator天上地下,大家都知道,所以也带来了安全问题,因为大家都知道这个帐户是管理员账户,只要完成了密码破解就获得了整个系统的控制权,会被坏人利用,所以在实际工作中要对Administrator帐户重命名。)
用户账户是一个对象,它包含用户的所有信息。账户可以是本地账户,也可以是域账户。用户账户包括登录时用到的用户名和密码、用户账户所在的组以及用户访问计算机和网络资源的权限。
本地的用户和组,在开始→管理工具→计算机管理→本地用户和组中进行管理。
他们保存在本地 SAM 数据库中,存放在系统盘符\WINDOWS\system32\config下,注册表相关文件也保存在此目录下,因此备份好此目录,就相当于备份了本地用户、组及注册表信息。
域用户账户的管理在“Active Directory用户和计算机”中。
他们存储在Active Directory的数据库中,并不存储在本地SAM数据库中,他们集中存储在域控制器上。
域用户账户的名称类型共有四种。
1、用户登录名
就是在创建用户账户时,管理员输入的用户登陆名,比如上一节课中创建的One用户,上图中heyijie用户,用户登陆名在其所在的容器中必须惟一。
2、Windows 2000 以前版本的用户登录名
使用域名的NetBIOS(网络基本输入输出系统,比如域名为:Nwtraders.msft,它的NetBIOS名一般就是.msft前面的Nwtraders)名字加用户登陆名,如上图中的Windows 2000 以前版本的用户登录名为:NWTRADERS\heyijie,Windows 2000 以前版本的用户登录名在域中必须惟一。
3、用户主体登录名(UPN,User Principal Name)
由用户登陆名和用户主体名后缀组成(即域名),中间由@字符连接,如上图中的用户主体登录名为:heyijie@nwtraders.msft,用户主体登录名在林中必须惟一。
4、LDAP 相对可分辨名称
LDAP 相对可分辨名惟一标识上一级容器中的对象,一般用户不会使用该名称,只有管理员在脚本或命令行中才会使用该名将用户加入网络。比如本章中的第二幅图中的One用户,他的父容器是Users,他的LDAP 相对可分辨名称为:
CN=one,CN=users,dc=mwtraders,dc=msft
本章的网络环境如下,域名:nwtraders.msft:
例:在域控制器上使用管理员身份在OU生产部中创建一个域用户Kaka以便在Glasgow上登陆,第一次登陆时要求重设密码,并且在Glasgow上拥有管理员的权限。
1、以Administration登陆London,打开Active Directory用户和计算机,在OU生产部中创建一个新用户Kaka。
(姓、名是方便在Active Directory用户和计算机中管理好识别的,可以用中文和英文,但不能用来登陆,“用户登陆名”和“Windows 2000 以前版本用户登陆名”可以不一样,只是以后不方便记忆,他们也可以使用中文。)如下所示,填入内容,单击下一步。
各项功能如下表,第一项表示用户第一次登录时必须更改密码,以后就不需要更改了,直到密码到期,默认可用42天,再单击下一步。
2、在Glasgow上使用刚建立的用户kaka登陆,第一次登陆时要更改密码。
3、Kaka登陆后,但开始→关机中没有关机项,只有注销。
这是因为域用户组(Domain Users)及验证用户组(Authenticated Users)隶属于Glasgow的本地的Users组,没有关机权力,要解决这个问题,要来是给本地的Users组关机的权力,要来把Kaka用户加入到Glasgow的本地的Administrators组,根据本例要求,这里使用后一种方法。
实现这个要求,用下面两种任何一种都可:
(1)要完成这一要求,一种方法是注销后用Glasgow的本地的Administrator身份登陆到本地计算机。
然后对“我的电脑”右击,选“管理”。 在计算机管理中定位到计算机管理(本地)→系统工具→本地用户和组→组,对Administrators组双击打开他的属性。
在其属性中可以看到域中的Domain Admins(域管理员组)已经是其成员,所以所有域管理员组成员都具有域中所有计算机的管理权力,而Administrator正是Domain Admins组默认成员。接下来单击“添加”按钮来加入Kaka用户。
单击2处高级,在弹出对话框中输入对活动目录具有读取权限的域用户名(默认情况下所有域用户都具有对活动目录的读取权限),这里输入Kaka的账户名和密码。
按下面1、2、3的顺序把赵卡卡用户添加进去。
(2)第二种方法,可以以域管理员Administrator在London登陆,在Active Directory用户和计算机管理中实施远程管理。
找到计算机Glasgow,右击选“管理”。
单击“添加”按钮来添加Kaka用户。
当Kaka加入本地管理员组后,Kaka不光是域用户,同时也是Glasgow计算机的管理员了,自然也就了关机权力。
模板复制用户
在一个部门里面,要小批量创建用户,使用用户帐户模板是最合适不过了。
例:把生产部的Kaka用户制作成账户模板,再以他为模板创建生产部的Feifei、Lili用户。
并不是模板帐户所有的属性都能复制到新用户中,下表列出了可复制的属性。
1、在Kaka用户属性中把其制作成账户模板,输入可以复制的属性项目,且是生产部成员公有的属性。
2、完成模板的属性后,对其右击选“复制”。
3、完成以后,查看她的属性。
4、模板中的内容已经复制进去了。
以同样的方法再对Kaka复制为其他用户。
使用命令大批量创建用户
要大批量的创建用户,用模板的方法来复制就比较慢了,最佳方法是使用Dsadd命令来批量创建用户。
例:使用Dsadd命令为生产部创建用户Worker1、Worker2、……、Worker10共10位员工,且统一设置为:“用户下次登陆需更改密码”,密码为:p@ssw0rd,单位中的部门为:生产部,公司为:51CTO。
1、把下面【】号之间的内容复制到London上的一个文本文件,并复制10次,把其中的Worker1依次改为Worker1、Worker2、……、Worker10,然后文件另存为一个bat类型的批处理文件。
【Dsadd user "cn=Worker1,ou=生产部,dc=nwtraders,dc=msft" -samid Worker1 -upn Worker1@nwtraders.msft -pwd p@ssw0rd -dept 生产部 -company 51CTO -mustchpwd yes】
Dsadd命令的功能是把用户添加到目录。可以在CMD命令行中输入dsadd user /?来查询添加用户的方法。几个常用参数如下:
“cn=Worker1,ou=生产部,dc=nwtraders,dc=msft”:要添加的用户可分辨名称(DN),ou=生产部表示用户是生产部OU中的用户。
-samid <SAMName>设置用户的 SAM 帐户名为 <SAMName>。如果没有指定, dsadd 会使用 <UserDN> 公用名(CN)里的前 20 个字符创建 SAM 帐户名。
-upn <UPN> 设置upn(用户登陆名) 值为 <UPN>。
-fn <FirstName> 设置用户名为 <FirstName>。
-mi <Initial> 设置用户中间名首字母为 <Initial>。
-ln <LastName> 设置用户姓为 <LastName>。
-display <DisplayName> 设置用户显示名为 <DisplayName>。
-pwd {<Password> | *} 设置用户密码为 <Password>。如果是 *,会提示您输入密码。
-dept <Department> 设置用户的部门为 <Department>。
-company <Company> 设置用户的公司信息为 <Company>。
-mustchpwd {yes | no} 用户在下次登录时是否更改密码。默认值: no。
-canchpwd {yes | no} 用户是否可以更改密码。如果 -mustchpwd 是 "yes",它应该是 "yes"。默认值: yes。
双击这个批处理文件执行,来创建这10个用户。
属性中的单位也设置了。
域用户的管理
1、禁用用户账户:当用户出差,暂时停止出差用户账户的使用。
2、启用用户账户:用户出差回来,重新启用帐户。
3、重设密码:用户出差回来后忘记了密码或者多次登陆不成功被系统锁定,管理员可为其重设密码。
4、移动用户:用户从一个部门调入另一个部门。
5、删除用户:员工辞职后,删除用户。
值得一提的是:删除一个用户(比如Worder10),再重新创建一个同名用户(比如Worder10)后,他并不会继承原来的权力和权限。因为在Windws系统中用户的权力和权限是通过用户的SID来识别的,第一次建立这个用户时分配了一个SID号,当删除这个用户后,再重建同名用户时,他会获得一个新的SID号,和原来并不同,所以不能继承原来的权力和权限。