3.3.1账户的管理

3.3.1　账户的管理

用户或计算机只有在域中拥有相同的账户才能登录到网络中以及访问域中的资源。账户是实现网络安全性的基础，有了账户可以在用户登录时进行身份认证、在用户访问资源时进行权限确认以及在用户执行系统操作时进行权利约束等。

1．用户账户和计算机账户

（1）Active Directory用户账户

每个具有Active Directory用户账户的合法用户都能够以相应的身份登录到Windows 2000 Server域中，并且用户所有的操作都将一直会被跟踪和审核，甚至用户所执行过的某些操作还可以被记录在安全日志里以进行“备案”。因此，管理员通过给每个网络用户设置一个Active Directory用户账户并分配一定的权限，就可以管理所有的网络用户和资源，并防止非法用户入侵。某些应用程序也将以Active Directory用户账户作为服务账户。

Windows 2000 Server提供了两个预定义的用户账户，Administrator和Guest。它们使用户在安装好Windows后能够进行登录并配置本地计算机。Administrator账户具有最大范围的权利和权限，而Guest账户只具有非常有限的权利和权限。

（2）计算机账户

只有在域中为Windows 2000 Server和Windows NT计算机添加了相应的计算机账户，才能加入到域中。与用户账户相似，计算机账户也是用来审核计算机登录网络以及访问域中资源的过程。合法用户从合法计算机上才能登录到Windows 2000 Serve域中。

（3）组

组是一种包含用户、计算机或者其他组的Active Directory对象。使用组可以简化网络的维护和管理。管理员一般是将资源访问权限分配给组而不是单个用户，当将用户添加到某个组时，它将具有分配给该组的所有权利和权限。

Windows 2000 Server提供了许多内置的组，并且这些组都预先设置了合适的权利和权限。因此，如果没有特定的要求，管理员只需简单地将为每个用户所创建的账户分别添加到相应的组中，这些用户就会拥有相应的权利和权限。

2．管理用户账户

（1）创建用户账户操作步骤如下：

①执行“开始／程序／管理工具／Active Directory用户和计算机”菜单命令，弹出“Active Directory用户和计算机”对话框，如图3-36所示。

图3-36　“Active Directory用户和计算机”对话框

②如果要创建用户账户，用鼠标右键单击要添加用户的组织单元或容器，从弹出的快捷菜单中执行“新建／用户”命令，弹出“新建对象-用户”对话框，在对话框中输入相应的内容，如图3-37所示。

图3-37　“新建对象-用户”对话框

③单击“下一步”按钮，在弹出的对话框中，按要求输入一个用户登录的账号和密码，另外还可以根据情况来选择密码的有效期复选项，如图3-38所示。

图3-38　设置用户密码

④单击“下一步”按钮，弹出的对话框中显示了所创建的用户的属性，再单击“完成”按钮，该用户账户就创建好了，如图3-39所示。

图3-39　用户账户创建完毕

（2）修改用户账户属性操作步骤如下：

①执行“开始／程序／管理工具／Active Directory用户和计算机”菜单命令，弹出“Active Directory用户和计算机”对话框。

②在对话框中选择需要修改属性的用户账户，并用鼠标双击，即可弹出该账户的属性对话框，在对话框中包含了多个选项卡，在这里不仅可以修改，还可以设置一些在新建账户时没有出现的属性，如图3-40所示。

③在对话框中选择“成员属于”选项卡，在该选项卡中可以将用户添加到指定的组中，或者从包含该用户的组中删除它。列表框中所列出来的组是指该用户所隶属的组，一个用户可以隶属于多个组，而该用户的权限则是这些组的权限的并集，如图3-41所示。

图3-40　“常规”选项卡

图3-41　“成员属于”选项卡

④其他的一些账户属性选项卡这里就不一一介绍了。因为有些选项卡中的选项非常简单，比如“地址”、“单位”等。

（3）修改用户账户密码操作步骤如下：

①执行“开始／程序／管理工具／Active Directory用户和计算机”菜单命令，弹出“Active Directory用户和计算机”对话框。

②在对话框中选中需要修改密码的用户，用鼠标右键单击该用户，在弹出的快捷菜单中执行“重设密码”命令，弹出“重设密码”对话框，在该对话框中输入新密码，然后单击“确定”按钮即可，如图3-42所示。

图3-42　重新设置用户账户密码

（4）禁用用户账户操作步骤如下：

①执行“开始／程序／管理工具／Active Directory用户和计算机”菜单命令，弹出“Active Directory用户和计算机”对话框。

②在对话框中选中需要停用的用户，用鼠标右键单击该用户，在弹出的快捷菜单中执行“停用账户”命令，弹出信息确认框后，单击“确定”按钮即可停用被选用户账户，如图3-43所示。

图3-43　停用账户

3．管理计算机账户

（1）添加计算机账户操作步骤如下：

①执行“开始／程序／管理工具／Active Directory用户和计算机”菜单命令，弹出“Active Directory用户和计算机”对话框。

②在控制台目录树中选择一个要添加计算机账户的域，然后在某一个容器上单击鼠标右键，在弹出的快捷菜单中执行“新建／计算机”命令，弹出如图3-44所示的对话框。

③在对话框中，输入计算机的名称，并指定一个能够将此计算机添加到域中的用户或组。根据默认域策略，只有域管理员组的成员可以向域中添加计算机。完成后单击“确定”按钮即可。

图3-44　添加计算机账户

（2）查看和修改计算机账户属性的操作步骤如下：

①执行“开始／程序／管理工具／Active Directory用户和计算机”菜单命令，弹出“Active Directory用户和计算机”对话框。

②用鼠标双击某个计算机账户名称，弹出“计算机账户属性”对话框，如图3-45所示。在对话框中能够被修改的计算机账户属性比较少，许多属性（如“角色”、“操作系统”等）都是由系统自动获得并填写的。

图3-45　“计算机账户属性” 对话框