单击此处编辑母版标题样式,*,*,单击此处编辑母版文本样式,1.什么是活动目录?,3.什么是组织单位?,活动目录实际上是一个网络清单，存储网络对象信息，包括域、用户、计算机、组织单位等信息，使管理员与用户方便地查找、管理和使用网络信息。,域是一组相互之间有逻辑关系的计算机集合，只要是互联的即可。是活动目录的分区，定义了安全边界，在没有授权的情况下，不允许其它域中的用户访问本域中的资源。,组织单位是域中的一类目录对象，它包括域中一些用户、计算机、组、文件等资源。主要用于网络构建。可使网络管理员以一种更容易理解和管理的方式来模拟实际工作中的单位结构。,2.什么是域?,复 习 提 问,1,4.1 用户账户、计算机账户,4.2 创建用户账户和计算机账户,4.3 用户账户与计算机账户的维护,4.4 将用户账户和计算机账户添加到组,4.5 管理客户计算机,4.6 资源发布的管理,第4章 用户与计算机账户,2,本章学习内容及要求：,熟悉用户账户与计算机账户的基本概念,掌握创建用户账户和计算机账户的方法,掌握用户账户与计算机账户的管理方法,了解资源发布的管理的方法,第4章 用户与计算机账户,3,一、,用户账户,1,、概念：表示诸如个人等物理实体，为用户提供安全凭据，以便用户能够登录到计算机或网络并访问资源。,2,、,Windows 2000,的用户账户分两类：本地账户、域用户账户,本地用户账户:,是建立在,Windows 2000,独立服务器、,Windows 2000,成员服务器或,Windows 2000 Professional,的,本地安全数据库内,，用来记录用户的用户名和口令、隶属的组、可以访问的网络资源，以及用户的个人文件和设置。,域用户账户：,是建立在,域控制器的,Active Directory,数据库内,。主要用于验证用户或计算机的身份，授权对域资源的访问并审核用户或计算机账户所执行的操作等。,4.1 用户账户、计算机账户,4,表4-1 本地用户账户与域用户账户的区别,账号类型,有效范围,创建位置,存储位置,本地账户,工作组模式,计算机管理器,Sam(,本地计算机),域用户账户,域模式,AD,的用户与计算机,DC（,活动目录）,说明：由于,Windows 2000,的很多特性都必须在域模式下使用，,所以以下的用户管理均以域用户账户为例。,5,3,、标识方法：“用户名”、“口令”（,注意：需要用户在登录时键入）,4,、,Windows 2000,的域用户账户分类：内置账户、自定义账户,常见的内置账户有以下几种：,管理员账户(,Administrator)：,系统管理员拥有最高的权限，用于管理计算机与域内的设置，可以更名，但无法删除。,客户账户(,Guest)：,是供用户临时使用的账户，它只有少部分的权限。可以更名，但无法删除。此账户默认是被禁用的。,自定义账户可以根据用户的需要自行创建。,6,二、计算机账户,1,、概念：表示诸如计算机等物理实体，为计算机提供安全凭据，以便计算机能够登录到,Windows,网络并访问域资源。,2,、说明：每个加入域的,Windows 2000,和,Windows NT,计算机都具有计算机账户，否则无法进行域连接，实现域资源的访问。与用户账户类似，计算机账户也提供验证和审核计算机登录到网络以及访问域资源的方法。,注意:,一台计算机系统要加入到域中，只能使用一个计算机账户，而一个用户可拥有多个用户账户，且可在不同的计算机上使用自己的用户账户进行网络登录。,7,一、创建用户账户,二、重设用户密码,用户密码是用户在进行网络登录时所采用的最重要的安全措施，当密码被别人盗用或者用户感到有必要修改时，作为管理员可以通过,Windows 2000,提供的修改密码工具对用户使用的旧密码进行重新设置。,三、,设置用户帐户属性,1,、用户信息,2,、用户的环境,3,、登录时间,4,、限制用户由某台客户机登录,5,、账户的有效期限,说明：计算机账户的创建及属性设置与用户账户配置步骤类似。,4.2 创建用户账户和计算机账户,8,创建账户后，可根据需要对账户进行维护，本节介绍几种常用的维护方法。,一、删除用户账户和计算机账户,在网络的使用中，当域中的某个计算机断开了与网络的连接，管理员不再希望某个用户账户存在于系统的安全域中或某一个用户账户不再被使用，可将其用户账户删除以便更新系统的用户信息。以防有其他计算机假借原来的计算机使用域中的网络资源。,二、停用用户账户和计算机账户,若某个用户的账户暂时不使用，可将其停用。停用账户的目的是防止其他用户或者计算机使用暂时不使用的账户进行域登录。当该用户或者计算机需要重新使用已被停用的账户时，管理员可重新启用该账户以便用户或计算机使用。,4.3 用户账户与计算机账户的维护,9,三、移动用户账户和计算机账户,在一个大型网络中，为了便于管理，作为管理员经常需要将用户账户和计算机账户移动到新的组织单元或容器中。,账户被移动之后，用户和计算机仍可使用它们进行网络登录，不需要重新创建。不过，用户和计算机账户的管理者和组策略将随着组织单元的改变而改变。,10,为便于管理员对众多的用户和计算机账户进行管理，,Windows 2000 Server,继续沿用了,Windows NT,系统中组的策略。通过将不同的计算机添加到具有不同权限的组中的方式，使该用户和计算机继承所在组的所有权限。同时作为管理员也可以直接通过组来对多个用户和计算机账户进行管理，这便大大减轻了用户对计算机账户的管理工作。,4.4 将用户账户和计算机账户添加到组,11,管理客户计算机是,Windows 2000,网络的强大功能之一，它允许管理员通过域控制器直接管理网络中的客户计算机，这样不但加强了域控制器的作用，而且有利于用户对网络的管理和维护。,管理内容：系统工具、存储、服务器应用程序等。,说明：通过域控制器直接管理的计算机所运行的系统必须是,Windows 2000,或,Windows NT,系统，安装,Windows 9598,或者其他系统的计算机不能被直接管理。,4.5 管理客户计算机,12,一、资源的发布,1,、公布共享文件夹,单击该超级链接观看演示4.6.1,设置文件夹的共享属性，以供域中的用户进行访问。,2,、公布,Windows NT,打印机,设置共享打印机，以供域中的用户共享该打印机。,（步骤与公布共享文件夹类似）,二、资源的查找,通过域控制器查找域内所需资源。,4.6 资源发布的管理,13,