任務(wù)1新建本地用戶和組

任務(wù)2新建域用戶、組和組織單位項目背景某公司在武漢和廣州有兩個分公司，部門經(jīng)理考慮到不同部門使用公司資源的權(quán)限不同，為了簡化網(wǎng)絡(luò)管理，要求武漢分公司的網(wǎng)絡(luò)管理員小王在該公司域服務(wù)器上設(shè)置組織單位來顯示公司的架構(gòu)，在不同的組織單位內(nèi)部設(shè)置自己員工的域賬戶，以便網(wǎng)絡(luò)管理員對用戶賬戶和公司計算機(jī)進(jìn)行管理。任務(wù)1新建本地用戶和組某公司的員工需要在服務(wù)器上通過本地用戶和組來添加用戶和組。該操作禁止在服務(wù)器上安裝域服務(wù)，如果安裝了域服務(wù)，則不能進(jìn)行本地用戶和組的創(chuàng)建。WindowsServer2019要求所有用戶都要登錄才能訪問本地和網(wǎng)絡(luò)資源。Windows通過實施交互式登錄過程(提供用戶身份驗證)來保護(hù)資源。一、默認(rèn)本地用戶和組WindowsServer2019操作系統(tǒng)安裝完成以后，有四個默認(rèn)的本地用戶賬戶。管理員可以根據(jù)需要進(jìn)行本地賬戶和組的創(chuàng)建。默認(rèn)的本地賬戶和創(chuàng)建的本地用戶賬戶在“計算機(jī)管理”窗口中顯示，如圖2-1所示的為默認(rèn)的本地用戶賬戶。表2-1描述了默認(rèn)本地用戶賬戶Administrator和Guest的特點(diǎn)。默認(rèn)的本地組是在安裝操作系統(tǒng)時自動創(chuàng)建的，如圖2-2所示。如果一個用戶屬于某個本地組，則該用戶就具有在本地計算機(jī)上執(zhí)行某種任務(wù)的權(quán)利和能力。管理員可以向本地組添加本地用戶賬戶、域用戶賬戶、計算機(jī)賬戶以及組賬戶。表2-2提供了部分默認(rèn)組的描述以及每個組的默認(rèn)用戶權(quán)限。這些用戶權(quán)限是在本地安全策略中分配的。二、創(chuàng)建本地用戶和組本地用戶和組位于“計算機(jī)管理”窗口中，用戶可以使用該窗口中的管理工具來管理單個本地或遠(yuǎn)程計算機(jī)；可以使用本地用戶和組保護(hù)并管理存儲在本地計算機(jī)上的用戶賬戶和組；可以在特定計算機(jī)上(只能是這臺計算機(jī))分配本地用戶賬戶或組賬戶的權(quán)限和權(quán)利。本地用戶和組可以為用戶和組分配權(quán)限和權(quán)利，從而限制用戶和組執(zhí)行某些操作的能力。權(quán)利的作用是授權(quán)用戶在計算機(jī)上執(zhí)行某些操作，如備份文件和文件夾或關(guān)機(jī)。權(quán)限是與對象(通常文件、文件夾或打印機(jī))相關(guān)聯(lián)的一種規(guī)則，它規(guī)定哪些用戶可以訪問該對象以及以何種方式訪問。其他注意事項(也適用于域用戶的創(chuàng)建)如下：(1)若要創(chuàng)建本地用戶和組，必須提供在本地計算機(jī)上Administrator的憑據(jù)，或創(chuàng)建本地用戶和組的必須是本地計算機(jī)上管理員組的成員。(2)用戶名不能與被管理的計算機(jī)上任何其他用戶名或組名相同。用戶名最多可以包含20個大寫字符或小寫字符(除?"/\[]:;|=,+*?<>@外)，并且用戶名不能只由句點(diǎn)(.)或空格組成。(3)在“密碼”和“確認(rèn)密碼”文本框中，可以輸入不超過127個字符的密碼。(4)使用強(qiáng)密碼和合適的密碼策略有利于保護(hù)計算機(jī)免受攻擊。三、管理本地用戶賬戶(一)重設(shè)用戶密碼當(dāng)忘記用戶密碼時，可以使用Administrator賬戶重置密碼，過程如圖2-3和圖2-4所示。(二)重命名賬戶由于賬戶的所有權(quán)限、信息、屬性等實際上是綁定在SID上而不是在用戶名上的，因此對賬戶重命名并不會影響賬戶自身的任何用戶權(quán)限。如果公司中有員工離職，同時該崗位還需要招聘新員工，則可以不刪除實際離職員工的賬戶，只需要通過重命名的方式直接將賬戶傳遞給新員工使用，這樣可以保證用戶賬戶數(shù)據(jù)不受損失。另外，重命名系統(tǒng)管理員賬戶Administrator和來賓賬戶Guest，可以使未授權(quán)的人員在輸入用戶名和密碼時增加難度，提高系統(tǒng)安全性，如圖2-5所示。(三)刪除賬戶假如公司有員工離職了，為了防止其繼續(xù)使用賬戶登錄計算機(jī)系統(tǒng)，也為了避免出現(xiàn)太多的垃圾賬戶，系統(tǒng)管理員可以采取刪除賬戶的方式來回收該賬戶，但在執(zhí)行刪除操作之前應(yīng)確認(rèn)其必要性，因為刪除賬戶的操作是不可逆的，會導(dǎo)致與該賬戶有關(guān)的所有信息丟失。每個賬戶都有一個除名稱之外的唯一的標(biāo)識符SID，SID在新增賬戶時由系統(tǒng)自動產(chǎn)生，不同賬戶的SID也不相同。由于系統(tǒng)在設(shè)置用戶的權(quán)限、訪問控制列表中的資源訪問能力等信息時，內(nèi)部都使用SID，因此一旦用戶賬戶被刪除，這些信息也就跟著消失了。即使重新創(chuàng)建一個名稱相同的用戶賬戶，也不能獲得原來用戶賬戶的權(quán)限。系統(tǒng)內(nèi)置賬戶是無法刪除的。刪除用戶賬戶過程如圖2-6和圖2-7所示。(四)禁用賬戶禁用lishi用戶，想要取消禁用該用戶，將“l(fā)ishi屬性”對話框中“賬戶已禁用”復(fù)選框取消勾選即可，如圖2-8所示。創(chuàng)建本地用戶zhangsan、lishi和本地組sales，并將zhangsan和lishi用戶加入sales組中。(1)選擇“服務(wù)器管理器”→“工具”→“計算機(jī)管理”選項，打開“計算機(jī)管理”窗口，如圖2-9所示。(2)右擊“用戶”選項，在彈出的快捷菜單中選擇“新用戶”命令，打開“新用戶”對話框，輸入用戶名和密碼，如圖2-10所示。(3)根據(jù)上述操作，創(chuàng)建lishi。(4)在如圖2-11所示的“計算機(jī)管理”窗口中，右擊“組”選項，在彈出的快捷菜單中選擇“新建組”命令，打開“新建組”對話框，如圖2-12所示，按照圖中的步驟進(jìn)行操作，并同時將所有屬于該組的用戶添加進(jìn)去。任務(wù)2新建域用戶、組和組織單位在域服務(wù)器中新建域用戶和組，將域用戶加入不同的組中；新建組織單位，在組織單位內(nèi)部新建下一級的組織單位，并在某個組織單位內(nèi)部新建域用戶和組。一、域用戶和組ActiveDirectory域用戶賬戶代表物理實體，如人員。管理員可以將用戶賬戶用作某些應(yīng)用程序的專用服務(wù)賬戶。用戶賬戶也被稱為安全主體，安全主體是指自動為其分配安全標(biāo)識符(SID)的目錄對象，這些對象可用于訪問域資源。用戶賬戶主要的作用如下：(1)驗證用戶的身份。用戶可以使用能夠通過域身份驗證的身份登錄計算機(jī)或域。每個登錄到網(wǎng)絡(luò)的用戶都應(yīng)該有唯一的賬戶和密碼。為了最大限度地保證安全，要避免多個用戶共享同一個賬戶。(2)授權(quán)或拒絕對域資源的訪問。在驗證用戶身份之后，為該用戶授予訪問域資源的權(quán)限或拒絕該用戶對域資源的訪問。(一)默認(rèn)域用戶和組1.域用戶ActiveDirectory用戶和“計算機(jī)管理”窗口中的“用戶”容器顯示了兩種不同的內(nèi)置用戶賬戶：Administrator和Guest。這些內(nèi)置用戶賬戶是在創(chuàng)建域時自動創(chuàng)建的。每個內(nèi)置用戶賬戶都有不同的權(quán)限組合。Administrator賬戶在域內(nèi)具有最大的權(quán)限，而Guest賬戶則具有有限的權(quán)限。如果網(wǎng)絡(luò)管理員沒有修改或禁用內(nèi)置用戶賬戶的權(quán)限，惡意用戶(或服務(wù))就會使用這些權(quán)限通過Administrator賬戶或Guest賬戶非法登錄域。保護(hù)這些賬戶的一種較好的安全操作是重命名或禁用它們。由于重命名的用戶賬戶會保留其SID，因此也會保留其他所有屬性，如說明、密碼、組成員身份、用戶配置文件、賬戶信息以及任何已分配的權(quán)限和用戶權(quán)利。若要擁有用戶身份驗證和授權(quán)的安全優(yōu)勢，則可通過“ActiveDirectory用戶和計算機(jī)”窗口為所有加入網(wǎng)絡(luò)的用戶創(chuàng)建單獨(dú)的用戶賬戶，然后將各個用戶賬戶添加到組以控制分配給該賬戶的權(quán)限。加入該組的用戶可以識別網(wǎng)絡(luò)，擁有權(quán)限訪問資源。通過設(shè)置強(qiáng)密碼和實施賬戶鎖定策略，可以幫助減少域抵御攻擊。強(qiáng)密碼會減少智能密碼猜測和字典攻擊的危險；賬戶鎖定策略會減少攻擊者通過重復(fù)登錄企圖危及用戶所在域安全的可能性；賬戶鎖定策略將確定用戶賬戶在禁用之前嘗試登錄的失敗次數(shù)。每個ActiveDirectory用戶賬戶都有許多賬戶選項，這些選項將確定如何對使用該特定用戶賬戶登錄網(wǎng)絡(luò)的人員進(jìn)行身份驗證。管理員可以使用表2-3中的選項為用戶賬戶設(shè)置密碼和安全特定信息。2.域中組組是指用戶與計算機(jī)賬戶、聯(lián)系人以及其他可以作為單個單位管理的組的集合，屬于特定組的用戶和計算機(jī)被稱為組成員。ActiveDirectory域服務(wù)中的組都是駐留在域和組織單位容器對象中的目錄對象。ADDS在安裝時會提供一組默認(rèn)組。ADDS中的組可以執(zhí)行以下操作。(1)通過將共享資源的權(quán)限分配給組，而不是單個用戶來簡化管理。將權(quán)限分配給組時，也會將對資源的相同訪問權(quán)限分配給該組的所有成員。(2)通過組策略將用戶權(quán)限一次性分配給組來進(jìn)行委派管理，然后可以向組中添加成員與組具有相同的權(quán)利。(3)創(chuàng)建電子郵件分發(fā)列表。組的特征體現(xiàn)在它的作用域和類型上，組作用域確定了組在域樹或林內(nèi)的應(yīng)用程度。此外，還存在無法修改或查看其成員身份的組，這些組被稱為特殊身份組。根據(jù)不同環(huán)境，它們代表了不同時間內(nèi)的不同用戶。例如，Everyone組代表所有當(dāng)前網(wǎng)絡(luò)用戶的特殊身份組，包括來自其他域的來賓和用戶。圖2-13所示為系統(tǒng)安裝后默認(rèn)的域用戶和組。組的特征體現(xiàn)在用來標(biāo)識組在域樹或林中的應(yīng)用程度的作用域。有三個組作用域：本地域組、全局組和通用組。1)本地域組本地域組的成員可以包括域中的其他組和用戶賬戶，管理員僅能在域內(nèi)為這些組的成員分配權(quán)限。具有本地域作用域的組可幫助用戶定義和管理單一域內(nèi)的資源訪問權(quán)限。這些組的成員可以包括下列組。(1)具有全局作用域的組；(2)具有通用作用域的組；(3)賬戶；(4)具有本地域作用域的其他組；(5)上述任意組的組合。2)全局組全局組的成員只包括組定義所在域的其他組和用戶賬戶，管理員可以在林中的任何域為這些組成員分配權(quán)限。使用具有全局作用域的組來管理需要進(jìn)行日常維護(hù)的目錄對象，如用戶和計算機(jī)賬戶。由于具有全局作用域的組在自己的域外不會被復(fù)制，因此用戶可以經(jīng)常更改具有全局作用域的組中的賬戶，而不會對全局編錄產(chǎn)生重復(fù)流量。當(dāng)用戶對復(fù)制到全局編錄的域目錄對象指定權(quán)限時，強(qiáng)烈建議使用全局組或通用組，而不要使用本地域組。3)通用組通用組的成員可以包括域樹或林中的任何域的其他組和用戶賬戶，管理員可以在域樹或林中的任何域為這些組成員分配權(quán)限?？梢允褂镁哂型ㄓ米饔糜虻慕M來合并跨域的組。因此，管理員可向具有全局作用域的組中添加賬戶，并在具有通用作用域的組內(nèi)嵌套這些組。使用此作用域時，對具有全局作用域的組成員身份的任何更改都不會影響具有通用作用域的組。不要經(jīng)常更改具有通用作用域的組的成員身份，對這類組的成員身份的任何更改都會導(dǎo)致該組的全部成員身份被復(fù)制到林中的各個全局編錄中。ADDS中有兩種組類型：安全組和通信組。管理員可以使用通信組來創(chuàng)建電子郵件分發(fā)列表，而使用安全組來分配共享資源的權(quán)限。共享權(quán)限與用戶權(quán)限不同。權(quán)限用于確定可以訪問共享資源的對象，并確定訪問級別，如“完全控制”。管理員可以使用安全組來管理共享資源的訪問和權(quán)限的設(shè)置。系統(tǒng)將自動分配某些域?qū)ο笊显O(shè)置的權(quán)限，以允許針對默認(rèn)安全組的各種訪問級別。與通信組類似，安全組也可以用作電子郵件實體。將電子郵件發(fā)送到組時，也會將該郵件發(fā)送到該組的所有成員。(二)創(chuàng)建域用戶和組如果要管理域用戶，需要在ActiveDirectory域服務(wù)中創(chuàng)建用戶賬戶。若要執(zhí)行此過程，則創(chuàng)建的用戶賬戶必須是ActiveDirectory域服務(wù)中AccountOperators組、DomainAdmins組或EnterpriseAdmins組的成員，或者必須被委派了適當(dāng)?shù)臋?quán)限。從安全角度來考慮，可以使用“運(yùn)行身份”來執(zhí)行此過程。如果未分配密碼，則用戶首次登錄時(使用空白密碼)系統(tǒng)會彈出一條登錄消息，顯示“您必須在第一次登錄時更改密碼”。用戶更改密碼后，則可以登錄系統(tǒng)。如果服務(wù)的用戶賬戶的密碼已更改，則必須重置使用該用戶賬戶驗證的服務(wù)。如果要添加組，則可以單擊要添加組的文件夾，然后點(diǎn)擊工具欄上的“新建組”圖標(biāo)。完成此過程，最低需要使用AccountOperators組、DomainAdmins組、EnterpriseAdmins組或類似組中的成員身份。二、組織單位(一)組織單位概述域中包含的一種特別有用的目錄對象類型是組織單位(OU)。OU是一個ActiveDirectory容器，用于放置用戶、組、計算機(jī)和其他OU。OU不能包含來自其他域中的對象。OU是可以向其分配組策略設(shè)置或委派管理權(quán)力的最小作用域或單位。管理員使用OU可以在域中創(chuàng)建表示組織的層次結(jié)構(gòu)、邏輯結(jié)構(gòu)的容器，然后可以根據(jù)組織模型管理賬戶及配置和使用資源。OU可以包含其他OU。管理員可以根據(jù)需要將OU的層次結(jié)構(gòu)擴(kuò)展為模擬域中組織的層次結(jié)構(gòu)。使用OU有助于最大限度地減少網(wǎng)絡(luò)所需的域數(shù)目。管理員可以使用OU創(chuàng)建能夠縮放到任意大小的管理模型，可以具有對域中的所有OU或單個OU的管理權(quán)利。一個OU的管理員不一定對域中的任何其他OU具有管理權(quán)利。(二)操作組織單位所需的權(quán)限若要新建、移動或刪除OU，最低需要使用AccountOperators組、DomainAdmins組、EnterpriseAdmins組或類似組中的成員身份。如果選定的OU包含其他對象，則“ActiveDirectory用戶和計算機(jī)”窗口會提示用戶繼續(xù)或取消移動或刪除操作。如果選擇繼續(xù)，則OU中的所有對象都會被移動或刪除。(三)刪除組織單位的權(quán)限不足(1)在刪除創(chuàng)建的組織單位時，可能會報錯，如圖2-14所示。下面我們來解決該問題。操作：選擇“查看”→“高級功能”命令，然后在彈出的對話框中選中要刪除的組織單位，單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”命令，在打開的“廣州分公司屬性”對話框中選擇“對象”選項卡，將“防止對象被意外刪除”復(fù)選框前面的對鉤取消，如圖2-15所示，點(diǎn)擊“確定”按鈕后，重新刪除組織單位，即可刪除。(2)重置域用戶賬戶密碼，如圖2-16所示。要完成該操作，最低需要使用AccountOperators組、DomainAdmins組、EnterpriseAdmins組或類似組中的成員身份。(3)出于安全考慮，若要防止特定用戶登錄，可以禁用而不用刪除用戶賬戶。按如圖2-17所示的操作步驟可禁用用戶賬戶。按如圖2-18所示的步驟可啟用用戶賬戶。要完成此過程，最低需要使用AccountOperators組、DomainAdmins組、EnterpriseAdmins組或類似組中的成員身份。(4)按如圖2-19所示的步驟可移動用戶賬戶。要完成此過程，最低需要使用AccountOperators組、DomainAdmins組、EnterpriseAdmins組或類似組中的成員身份。例如，徐軍從上海銷售部調(diào)職到蘇州人力資源部，要對其賬戶xujun進(jìn)行移動。本任務(wù)需要創(chuàng)建公司的組織架構(gòu)，在組織架構(gòu)中創(chuàng)建相關(guān)的用戶和組。公司的組織架構(gòu)如表2-4所示。(1)選擇“服務(wù)器管理器”→“工具”→“ActiveDirectory管理中心”選項，打開“ActiveDirectory管理中心”窗口，如圖2-20所示。(2)在“abc本地”選項上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“新建”→“組織單位”命令，打開“創(chuàng)建組織單位：某公司”窗口，如圖2-21所示。(3)在“某公司”選項上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“新建”→“組織單位”命令，如圖2-22所示。在打開的“創(chuàng)建組織