本地用户和组的管理组织
本地用户和组的管理
(以下操作均在Windows Server 2003系统中实现,在客户端操作系统XP中部份操作可能会有所不同)
一、概述
和win95/98等操作系统不同,2000/XP/2003等操作系统是区分用户的。每个用户有自己独立的工作环境,相互独立;用户可以保存自己的文档而不用担心会被其他用户查看;还可以分别为每个用户设置不同的访问资源的权限等。
在工作组环境中,所有计算机是独立的,要让用户能够登录到计算机并使用计算机的资源,必须为每个用户建立本地用户帐户。同时,为了方便对用户受予对资源的访问权限,我们可以使用本地组来实现。
本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机;本地用户帐户保存在本地计算机;本地用户若需要访问其它计算机,需要在其它计算机上有相应的用户帐户以便进行身份验证。
二、“本地用户和组”管理工具
要创建本地帐户,需要使用“本地用户和组”管理工具。此工具包含在“计算机管理”工具里,也可以从MMC控制台添加。
1、要打开“计算机管理”工具,右击“我的电脑”,在快捷菜单中选择“管理”
打开的“计算机管理”工具如下图所示。
2、要使用MMC控制台,请在“运行”里输入“mmc”,打开MMC控制台
在MMC控制台“文件”菜单中选择“添加/删除管理单元”
在弹出的“添加/删除管理单元”对话框中选择“添加”
在“添加独立管理单元”对话框中,找到“本地用户和组”,按“添加”
在“选择目标机器”对话框中,选择“本地计算机”,点击“完成”
分别点击“关闭”和“确定”按钮退出“添加管理单元”的对话框,现在已经在MMC控制台中添加了“本地用户和组”管理单元了。
三、创建本地用户
双击“本地用户和组”管理单元,打开“用户”和“组”两个子项
点击“用户”项,在右边的窗口可以看到当前的用户帐户。这些帐户是系统内置的帐户,是我们在安装操作系统时系统自动建立的。其中有一个管理员帐户“administrator”,这个帐户是用于管理用途的,它的权限是最大的。由于这个帐户是系统内置的帐户,所以它不能被删除,也不能被禁用。
要新建用户帐户,右击“用户”项或在右边的窗口的空白处单击鼠标右键,在弹出的快捷菜单中选择“新用户”
在弹出的“新用户”对话框中,分别设置“用户名”、“密码”以及其它的一些选项。
在“用户名”文本框中,输入用户的帐号。用户帐号最好使用英文字符,尽量不要使用中文(主要是考虑到管理上的方便),比如可以使用用户姓名的拼音作为用户名;而在“全名”和“描述”中,则可以输入一些中文信息,这些信息是可选的,可以不填,但如果用户较多的话,这些信息有助于我们快速识别该帐户。在“密码”中为用户输入一个初始密码。作为管理员,在为用户创建帐户时,可以为所有用户使用相同的密码,然后通过下面的选项来强制用户在第一次登录时更改密码。设置密码时,为了安全,请设置复杂的密码。复杂的密码包括大写字母、小写字母、数字和特殊符号中的其中三种,但建议把这四种字符都用上,同时密码的长度最好在七到八位以上。例如“P@ssw0rd”这个密码就是一个安全的复杂密码,它包括了大写字母“P”,小写字母“sswrd”,特殊符号“@”和数字“0”,同时长度有8位。“用户下次登录时须更改密码”选项:勾选了该选项后,用户下次在登录时必须更改一个新的密码才能够正常登录,否则系统拒绝用户登录;“用户不能更改密码”选项:勾选该选项后,用户就不能更改密码,该选项通常用在一些公共帐号中。例如有一个企业,经常有客人来访,公司为了方便客人使用计算机,可以在专用的计算机上添加一个公用帐户,并勾选该选项,使客人无法随意更改密码,保证任何人都可正常登录并使用该计算机。“密码永不过期”选项:默认情况下,用户的密码使用期限是42天,也就是说42天之后用户必须更改一个新密码才能够继续正常使用计算机。但对于一些特殊的帐号,比如一个专门为远程用户拨入时使用的帐号,我们可能不希望定期更改密码,这时可以勾选该选项以达到目的。“帐户已停用”选项:如果一个用户暂时(或永久)不使用计算机,可以把该用户的帐户暂时停用。注意尽量不要删除帐户,因为当我们创建用户帐户时,系统会为每个用户帐户分配一个“SID”,
这个SID叫做“安全的标识符”它是一个非常长的字符串,并且系统创建的每一个SID都不可能重复,它用于唯一的标识一个对象。当我们删除了一个帐户后,即使再重新建立一个同名的帐户,系统也会认为这两个帐户是不同的帐户,因为它们的SID不一样,这样原来的帐户可以访问的资源对于新的用户帐户来说都是不能正常访问的。所以对于不用的帐户,尽可能选择禁用(停用)帐户而不是删除帐户。
输入信息
完成并创建了一个用户帐户
四、管理本地用户帐户
1、本地用户帐户数据库的保存路径:保存本地用户帐户的数据库文件名称是“SAM”,它保存在“%systemroot%\system32\config”文件夹里。同时,用户的密码是以加密的形式保存的。
2、重设密码
当用户忘记密码而无法登录时,管理员可以为用户重新设置密码。但要注意,如果使用重设密码,用户原有的加密文件就再也打不开了,用户申请的数字证书也不能用了。所以只有在逼不得已的情况下才使用“重设密码”。使用重设密码无须提供旧密码,通常该操作由管理员完成。
要重设密码,选择要重设密码的用户帐户,单击鼠标右键,在出现的快捷菜单中选择“设置密码”
系统弹出一个警告的对话框,按“继续”
打开“为XXX设置密码”的对话框,在这里为用户输入新的密码后点击“确定”
系统会提示密码已设置成功的对话框,重设密码完成。
3、更改密码
为了安全,用户自己可以随时更改密码。由用户自己更改密码的操作叫“更改密码”,它是由用户自己完成,同时在更改密码时需要提供旧密码。
用户要更改密码,按“ctrl+alt+del”打开“Windows安全”对话框
在对话框中点击“更改密码”按钮,打开更改密码对话框
输入旧密码和两次新密码后点击确定,经系统确认后提示“您的密码已更改”,说明用户已成功更改密码。
4、删除用户
要删除一个用户帐户,右击该用户帐户,在弹出的快捷菜单中选择“删除”
系统弹出一个警告对话框,提示每个用户帐户用一个唯一的标识符所标识,删除后即使重建一个同名帐户,系统也会把两个帐户当作是不同的帐户对待,原有用户所能够访问的资源新用户都不能访问。如果确定要删除用户,点击确定,帐户将被删除;不删除用户请点击否。
5、重命名帐户
如果一个员工离职了,来了一个新员工接替旧员工的工作,我们可以选择重命名旧员工的帐户,让新员工继续使用这个帐户,原有的权限将不会改变。
要重命名一个帐户,右击该帐户,在弹出的快捷菜单中选择“重命名”
这时该帐户的“名称”变成可编辑状态,我们可以直接输入一个新的名字,完成后按回车。
6、设置用户帐户的属性
要设置用户帐户的属性,右击该用户帐户,在弹出的快捷菜单中选择“属性”,打开“XXX属性”对话框
a、“常规”选项卡
全名:可以更改用户的全名。这里可以为用户设置中文名称,以方便识别。该选项可选。描述:为用户输入一些描述信息,例如:部门、职位等,可以用中文,该选项可选。“用户下次登录时须更改密码”、“用户不能更改密码”、“密码永不过期”、“帐户已禁用”等选项在前面已有讲述,此处略过。“帐户已锁定”:当用户因为输错一定次数的密码时帐户可能会被锁定,类似于银行提款机在用户输错三次密码后会吞卡。当用户帐户被锁定时,用户将不能登录系统。管理员需要使用自己的帐户登录系统后取消该选项即可立即解除锁定。
b、“隶属于”选项卡
该选项卡用于设置该用户属于哪个组。我们可以为不同的组设置不同的权限,以控制用户对资源的访问。关于组的概念在后面会有讲述。
c、“配置文件”选项卡
该选项卡用于设置用户配置文件的存放路径以及用户主文件夹的位置。在工作组环境很少用到(意义不大),但在域环境非常常用,所以该选项卡留在讲解域环境的用户和组管理时才详细介绍。
d、“环境”、“会话”、“远程控制”和“终端服务配置文件”选项卡
这四个选项卡主要和终端服务相关,在使用终端服务时才进行配置。该选项卡在讲解终端服务时才进一步讨论。在此略过。
e、“拨入”选项卡
管理本地用户和组
WINDOWS2003本地用户和组 用户:(CMD:net user) SYSTEM 本地机器上拥有最高权限的用户:使用普通的用户管理工具通常是查看不到它们的 SID码 S-1-5-18 ADMINISTRATOR 基本上是本地机器上拥有最高权限的用户,你可以对它重命名,但不能删除 GUEST 只拥有相对极少的权限,在默认情况下是被禁止的 SUPPORT_388945A0 WINDOWS XP和WINDOWS2003中新增的一个用户帐户,可以用来通过WINDOWS中的HELP AND SUPPORT CENTER (求助与支持中心)提供远程支持;默认情况下是被禁用的 IUSER_MACHINENAME 如果安装了IIS,别人就能使用这个帐户来匿名访问IIS;它是GUESTS用户组的用员 IWAM_MACHINENAME 如果安装了IIS,各种IIS应用程序就将运行在这个帐户下;它是IIS_WPG用户组的成员之一 TSINTERNETUSER 如果激活了远程终端服务,远程用户将被自动设置为这个帐户 用户组(CMD:net localgroup) 用户组是为简化用户管理工作而引入的一个概念--它们就像是一些容器,每个容器里是一些拥有同样权限的用户 Administrators 这个是用户组里成员在本地机器上拥有最高权限(SID-1-5-32-544) USERS 本地机器上所有的用户帐户;这是一个低权限的用户组(SID:S-1-5-32-545) GUESTS 与USER组相同 Remote Desktop Users WINDOWS2003中新增用户组,相当于远程终端用户 Network Configuration Operators WINDOWS2003新增用户组这个用户组有足够的权限去管理网络配置状况 HelpServicesGroup WINDOWS2003中新增的用户组,供HELP AND SUPPORT CENTRER组件使用Backup Operators 虽然不ADMINISTRATORS的权限大,,但也差不多 Power Users 拥有的权限比 Users 组的成员所拥有的多,但比 Administrators 组的成员所拥有的少 Print Operators 虽然不如ADMINISTOR的权限大,但也相差不多. IIS_WPG WINDOWS2003中新增用户组,如果安装了IIS,,WEB应用进程的帐户将被容纳在这个用户组里 Performance Log Users WINDOWS2003中新增的用户组,这个用户组有权从远程安排性能计数器的日志工作
域用户与组账户的管理
一、实验目的 1.添加域用户 2.用户的漫游 3.组织单元委派控制 4.AGDLP实现组的嵌套 二、实验步骤及结果分析 1.添加域用户 添加域用户常见的几种方法: 1.1.直接在根DC里新建用户 1.1.1.新建组织单位。启动要DC服务器,运行dsa.msc 打开Active Directory用户和计算机,在“域名”(如https://www.360docs.net/doc/3112786591.html,)处右击,“新建组织单位”,如名称为“DQA”。 1.1. 2.新建用户。在新建的“组织单位”(DQA)项上右击选择“新建用户”,输入新建用户的“用户登录名”,(如hero)。下一步,输入7位以上的安全密码,一直下一步,完成新建用户。
注:如果想要将密码设为简单密码或密码为空,首先要在“开始”“程序”“管理工具”“默认域安全设置”,打开“默认域安全设置”,再依次展开“安全设置”“帐户策略”“密码策略”,将“密码必须符合复杂性要求”禁用,并将“密码长度最小值”设为“0字符”。这样在新建用户时就不用再设置复杂的密码了。
1.1.3.删除用户。只需直接在相应的“组织单位”(如DQA )中的用户(如hero)上右击,选择删除即可。 1.2.使用目录服务工具添加 所谓的目录服务工具是指利用CMD命令新建账户,常用的命令有:dsadd 添加账户或组;dsmod 修改用户或组的信息;dsrm 删除用户或组。 1.2.1.添加账户。在CMD命令提示符里输入如:dsadd user cn=feng,ou=DQA,dc=fenger,dc=com 回车后即可成功创建一个新用户。若需在用户里面将其相应的信息加入,只须在上命令后加入一些其它信息的命令,如:-email xx@https://www.360docs.net/doc/3112786591.html, –tel 12315 –office F999 等等。其它详细信息命令可用“dsadd user /?”查看。 1.2.2.修改用户信息。在CMD命令提示符里输入如:dsmod user cn=sun,ou-DQA,dc=fenger,dc=com –email yy@https://www.360docs.net/doc/3112786591.html, –tel 12111 –office G-101 。即在命令参数后输入要修改信息项的信息。若修改成功后,在根DC查看用户属性的信息会与原属性有明显不同。
4用户和组的管理
项目4 用户和组管理 任务描述: 在公司内部的服务器建设中,服务器上需要为每个公司内部人员设置用户名和密码,而公司人员又分为管理人员和普通员工,需要将员工分类,并设定权限,要求如下: 共有员工5人,管理人员2人,jack和linda,普通员工3人,lily,mike,joy 管理人员属于用户组manger,普通员工属于用户组class,而mike由于出差在外地,暂时需要把账号禁用,如何配置这些员工的账号并设置用户组呢? 任务目标: ●掌握用户管理命令和图形操作界面 ●掌握用户组管理命令和图形操作界面 任务重点: ●用户和组的管理命令 任务难点: ●用户和组的管理命令 知识准备: 4.1.1 linux用户 为了使用多用户的Linux操作系统,登录者必须是系统允许登录的已经注册的用户。管理和维护用户的账号、密码、权限的重大任务就成了系统管理员的一项重要工作之一。 Linux下的用户可以分为3类:超级用户、系统用户和普通用户。超级用户的用户名为root,它具有一切权限,只有进行系统维护(如建立用户等)或其他必要情形下才用超级用户登录,以避免系统出现安全问题。系统用户是Linux系统正常工作所必须的内建的用户,主要是为了满足相应的系统进程而建立的,系统用户不能用来登录,如bin、daemon、adm、lp等用户。而普通用户是为了让使用者能够使用Linux系统资源而建立的,大多数用户属于此类。 4.1.2 linux用户组 用户组(group)就是具有相同特征的用户(user)的集合体;比如有时我们要让多个用户具有相同的权限,比如查看、修改某一文件或执行某个命令,这时我们需要用户组,我们把用户都定义到同一用户组,我们通过修改文件或目录的权限,让用户组具有一定的操作权限,这样用户组下的用户对该文件或目录都具有相同的权限,这是我们通过定义组和修改文件的权限来实现的。 4.1.3 使用图形界面管理用户和组 创建一个用户账号对于系统来说是至关重要的。可以使用传统的命令行方式,也可以利用图形界面工具来操作。 在RHEL5的桌面环境中,提供了图形界面的用户和组管理工具,大大简化了对用户和组的管理复杂度,可以作为用户和组管理的辅助手段。 1.启动用户和组管理的图形界面 用户和组管理程序可以在Linux图形界面下使用命令行和菜单两种启动方式进行启动,
用户与组的管理题目
第五单元用户与组的管理 一、填空题 1.根据服务器的工作模式,组分为本地组和域组。 2.账户的类型分为本地用户账户、域用户账户、内置用户账户。 3.工作组模式下,账户存储在服务器的sam文件中;域模式下,账户存储在活动目录数据库中。 4.活动目录中按照能够授权的范围,分为本地域组、全局组、通用组。 5.用户配置文件并不是一个单独的文件,而是由用户配置文件夹、Ntuser.dat文件和ALL User文件夹3部分内容组成。 6.Windows Server 2008服务器有两种工作模式:工作组模式和域模式。 7.本地账户对应对等网的工作组模式,本地账户只能在本地计算机上登录。 8.本地计算机上都有一个管理账户数据的数据库,称为安全账户管理器。 9.用户要访问本地计算机,都需要经过该机SAM中的SID验证。 10.域账户和密码存储在域控制器上Active Directory 数据库中。 11.域数据库的路径为域控制器中的系统盘下\Windows\NTDS\NTDS.DIT。 12.组织单元是域中包含的一类目录对象,它包括域中的一些用户、计算机和组、文件与打印机等资源。 二、选择题
1.在设置域账户属性时,(C )项目不能被设置。 A.账户登录时间 B.账户的个人信息 C.账户的权限 D.指定账户登录域的计算机 2.下列(C )不是合法的账户名 A.abc_123 B.windows book C.dictionar* C.abdkeofFHEKLLOP 3.下面(C )用户不是内置本地域组成员 A.Account Operator B.Administrator C.Domain Admins D.Backup Operators 4.下面(A )不是Windows Server 2008所提供的用户配置文件。 A.默认用户配置文件 B.本地用户配置文件 C.漫游用户配置文件 C.强制性用户配置文件 5.以下那种权限未授予“超级用户”组成员?(B ) A.创建任何用户和组 B.删除任何用户和组 C.创建网络共享 D.创建网络打印机 6.关于内置账户,以下陈述不正确的是:(A ) A.在缺省情况下,“管理员”账户能被删除 B.在缺省情况下,“管理员”账户被启用 C.在缺省情况下,“访客”账户不能被删除 D.在缺省情况下,“访客”账户不被启用 7.以下哪个用户组拥有最低级别的权限?(B ) A.用户 B.访客 C.任何人D复制员
2.用户和组的管理
1)用户的管理 ●创建一个新用户user01,设置其主目录为/home/user01: 输入useradd -d /home/user01 user01 输入ls /home 查看是否已经建立user01的主目录 ●查看/etc/passwd文件的最后一行: 输入tail -1 /etc/passwd 显示user01:x:501:501::/home/user01:/bin/bash ●查看/etc/shadow文件的最后一行: 输入t ail -1 /etc/shadow 显示user01:!!:15046:0:99999:7::: ●给用户user01设置密码口令: [root@localhost ~]# passwd user01 Changing password for user user01. New UNIX password: 注意比较不同BAD PASSWORD: it is too simplistic/systematic Retype new UNIX password: passwd: all authentication tokens updated successfully. ●查看/etc/shadow的最后一行有什么变化: [root@localhost ~]# tail -1 /etc/shadow user01:$1$tePv1IAP$6ZqAEcRjYnFQPfG2r66bO0:15046:0:99999:7::: [root@localhost ~]# passwd -l user01 //锁定用户user01 Locking password for user user01. passwd: Success [root@localhost ~]# tail -1 /etc/shadow user01:!!$1$tePv1IAP$6ZqAEcRjYnFQPfG2r66bO0:15046:0:99999:7::: //密码域前多了!! [root@localhost ~]# passwd -u user01 //解除对user01的锁定禁用 Unlocking password for user user01. passwd: Success. [root@localhost ~]# usermod -l user02 user01 //更改用户user01的账户 名为user02 [root@localhost ~]# tail -1 /etc/passwd user02:x:501:501::/home/user01:/bin/bash [root@localhost ~]# tail -1 /etc/shadow user02:$1$tePv1IAP$6ZqAEcRjYnFQPfG2r66bO0:15046:0:99999:7::: [root@localhost ~]# userdel user02 //删除user02,如果加上-r选项会一 并删除用户主目录 [root@localhost ~]# ls /home hetaoboy user01 //因为使用userdel 命令没有使用-r选项,所以主目录仍然存在 [root@localhost ~]# tail -1 /etc/group user01:x:501: //考察组文件,发现主组账户依然存在,名称不变 [root@localhost ~]# tail -1 /etc/gshadow
本地用户和组的管理
本地用户和组的管理 (以下操作均在Windows Server 2003系统中实现,在客户端操作系统XP 中部份操作可能会有所不同) 一、概述 和win95/98等操作系统不同,2000/XP/2003等操作系统是区分用户的。每个用户有自己独立的工作环境,相互独立;用户可以保存自己的文档而不用担心会被其他用户查看;还可以分别为每个用户设置不同的访问资源的权限等。 在工作组环境中,所有计算机是独立的,要让用户能够登录到计算机并使用计算机的资源,必须为每个用户建立本地用户帐户。同时,为了方便对用户受予对资源的访问权限,我们可以使用本地组来实现。 本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机;本地用户帐户保存在本地计算机;本地用户若需要访问其它计算机,需要在其它计算机上有相应的用户帐户以便进行身份验证。 二、“本地用户和组”管理工具 要创建本地帐户,需要使用“本地用户和组”管理工具。此工具包含在“计算机管理”工具里,也可以从MMC控制台添加。 1、要打开“计算机管理”工具,右击“我的电脑”,在快捷菜单中选择“管理”
打开的“计算机管理”工具如下图所示。 2、要使用MMC控制台,请在“运行”里输入“mmc”,打开MMC控制台
在MMC控制台“文件”菜单中选择“添加/删除管理单元” 在弹出的“添加/删除管理单元”对话框中选择“添加”
在“添加独立管理单元”对话框中,找到“本地用户和组”,按“添加”
在“选择目标机器”对话框中,选择“本地计算机”,点击“完成” 分别点击“关闭”和“确定”按钮退出“添加管理单元”的对话框,现在已经在MMC控制台中添加了“本地用户和组”管理单元了。 三、创建本地用户 双击“本地用户和组”管理单元,打开“用户”和“组”两个子项
3种用组策略将域帐号加入本地管理员组的方法
3种用组策略将域帐号加入本地管理员组的方法 1、对于WIN2003域控制器(DC)环境,使用计算机策略的“受限制的组”
2、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。 3、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用计算机配置首选项中“本地用户和组”,用在将重要的域组加入客户端本地管理员组的场合。
下面让我细细道来。 第1种方法的步骤很简单: .在域中创建一个test01\g1组帐号,将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组,然后把一些元素添入选项,参照本文第1幅图.刷新域客户机的组策略,就可以看到test01\g1组被自动加入到本地管理员组了,如下图 第2种方法:
为了避免干扰,我创建了另一个2008R2的域来验证第2种方法,该域WINXP03客户机的初始本地管理员成员如下: 为了使GPO“首选项”能作用到客户端,需要在域客户端安装客户端扩展集组件(CSE),URL为: https://www.360docs.net/doc/3112786591.html,/zh-cn/library/cc731892(WS.10).aspx 根据客户端OS类型选相应组件下载,并安装到WINXP03客户机中,如下图(XMLLite XML无需安装):
在2008R2上开始设置GPO的用户配置项,按下图添加对客户端本地Administrators的操作策略 操作中的“更新”代表更新域客户端Administrators组中的成员,“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组,只要域帐号一登录,就把它加入本地管理员组
用户和组的管理3
子项目1.用户的管理 ●创建一个新用户user01,设置其主目录为/home/user01 : #useradd –d /home/user01 -m user01 ●查看/etc/passwd 文件的最后一行,看看是如何记录的。 ●查看文件/etc/shadow 文件的最后一行,看看是如何记录的。 ●给用户user01 设置密码:#passwd user01 。 ●再次查看文件/etc/shadow 文件的最后一行,看看有什么变化。
●使用user01 用户登录系统,看能否登录成功。。 ●锁定用户user01 :#passwd -l user01。 ●查看文件/etc/shadow 文件的最后一行,看看有什么变化。 ●再次使用user01 用户登录系统,看能否登录成功。 ●解除对用户user01 的锁定:#passwd -u user01 ●更改用户user01 的帐户名为user02 :#usermod –l user02 user01。 ●查看/etc/passwd 文件的最后一行,看看有什么变化。
●删除用户user02 。 子项目2.组的管理 ●创建一个新组,stuff:#groupadd stuff。 ●查看/etc/group 文件的最后一行,看看是如何设置的。 ●创建一个新帐户user02,并把他的起始组和附属组都设为stuff:#useradd –g stuff – G stuff user02。 ●查看/etc/group 文件中的最后一行,看看有什么变化。 ●给组stuff 设置组密码:#gpasswd stuff。 ●在组stuff 中删除用户user02:#gpasswd –d user02 stuff 。
实验三 用户和组的管理
实验项目3 用户和组的管理 一、实验目的 ●熟悉Linux用户的访问权限。 ●掌握在Linux系统中增加、修改、删除用户或用户组的方法。 ●掌握用户账户管理及安全管理。 二、项目背景 某公司有60个员工,分别在5个部门工作,每个人工作内容不同。需要在服务器上为每个人创建不同的账号,把相同部门的用户放在一个组中,每个用户都有自己的工作目录。并且需要根据工作性质给每个部门和每个用户在服务器上的可用空间进行限制。 三、实验内容 ●用户的访问权限。 ●账号的创建、修改、删除。 ●自定义组的创建与删除。 四、实验步骤 子项目1.用户的管理 ●创建一个新用户user01,设置其主目录为/home/user01: ●查看/etc/passwd文件的最后一行,看看是如何记录的。 ●查看文件/etc/shadow文件的最后一行,看看是如何记录的。
●给用户user01设置密码:#passwd user01。 ●再次查看文件/etc/shadow文件的最后一行,看看有什么变化。 ●使用user01用户登录系统,看能否登录成功。 ●锁定用户user01:#passwd -l user01。 ●查看文件/etc/shadow文件的最后一行,看看有什么变化。 ●再次使用user01用户登录系统,看能否登录成功。
●解除对用户user01的锁定:#passwd -u user01 ●更改用户user01的帐户名为user02:#usermod–l user02 user01。 ●查看/etc/passwd文件的最后一行,看看有什么变化。 ●删除用户user02。 子项目2.组的管理 ●创建一个新组,stuff:#groupadd stuff。 ●查看/etc/group文件的最后一行,看看是如何设置的。 ●创建一个新帐户user02,并把他的起始组和附属组都设为stuff:#useradd–g stuff –G stuff user02。
win7系统计算机管理没有本地用户和用户组解决办法
Win7系统计算机管理没有本地用户和组解决办法 问题描述: 目前在VMware安装了win7系统,想利用ServerU建立一个FTP服务器,在添加本地FTP用户账户的时候,在“计算机-管理”中如下,没有“本地用户和组”,无法添加用户,没办法往下做实验啊啊啊~~~ 心想可能是安装虚拟机没有正确安装,网上找解决办法~~~~,需要的就是锲而不舍的精神!! 解决办法: 怀疑可能是本地用户和组模块没有正确安装,手动安装一下。 (1)开始->运行,输入MMC,打开微软的管理控制台。
在控制台对话框中,点击文件->添加/删除管理单元,下图: 在打开的“添加/删除管理单元”对话框中点击“添加”按钮->在“添加独立单元对话框中选择“本地用户和组”,并点击完成。 弹出“选择目标机器”对话框,选择需要这个管理单元管理的计算机,选择“本地计算机”。
提示本系统为win7家庭普通版,不能用于此版本的windows系统。未能正确安装。 查看系统版本信息,如下: 本机运行的是windows 7旗舰版,查看拥有“本地用户和组”管理模块,所以不是安装的问题,系统版本问题。
(2)只能是下载旗舰版本的系统再来做实验啦。不过添加“本地用户和组”的方法是值得学习的对于其他版本适用喔! (3)还有一种添加方法 运行windows+R,运行DOS命令框,输入命令“control user passwords2”,打开用户对话框 点击“高级”页签,然后再点击“高级用户管理”中点击“高级”。
打开“本地用户和组”的信息,进行相应设定。但相同原因,因为系统本身版本不支持。 心得: Windows 7家庭普通版系统,不支持“本地用户和组”系统,Windows7 旗舰版,服务器版本才有“本地用户和组”管理模块管理本地和其他用户。
管理员操作手册 AD域控及组策略管理 CTO
AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介 1、工作组与域的区别........................................ 2、公司采用域管理的好处.................................... 3、Active Directory(AD)活动目录的功能...................... 二、AD域控(DC)基本操作.................................... 1、登陆AD域控............................................. 2、新建组织单位(OU)...................................... 3、新建用户................................................ 4、调整用户................................................ 5、调整计算机.............................................. 三、AD域控常用命令.......................................... 1、创建组织单位:(dsadd)................................... 2、创建域用户帐户(dsadd)................................... 3、创建计算机帐户(dsadd)................................... 4、创建联系人(dsadd)....................................... 5、修改活动目录对象(dsmod)............................... 6、其他命令(dsquery、dsmove、dsrm)....................... 四、组策略管理 .............................................. 1、打开组策略管理器........................................ 2、受信任的根证书办法机构组策略设置........................ 3、IE安全及隐私组策略设置 .................................
20141025用户和组的管理
实验3 用户和组的管理 一、实验目的 ●熟悉Linux用户的访问权限。 ●掌握在Linux系统中增加、修改、删除用户或用户组的方法。 ●掌握用户账户管理及安全管理。 二、项目背景 某公司有60个员工,分别在5个部门工作,每个人工作内容不同。需要在服务器上为每个人创建不同的账号,把相同部门的用户放在一个组中,每个用户都有自己的工作目录。并且需要根据工作性质给每个部门和每个用户在服务器上的可用空间进行限制。 三、实验内容 ●用户的访问权限。 ●账号的创建、修改、删除。 ●自定义组的创建与删除。 四、实验步骤 子项目1.用户的管理 ●创建一个新用户user01,设置其主目录为/home/user01: #useradd –d /home/user01 -m user01 ●查看/etc/passwd文件的最后一行,看看是如何记录的。 ●查看文件/etc/shadow文件的最后一行,看看是如何记录的。 ●给用户user01设置密码:#passwd user01。 ●再次查看文件/etc/shadow文件的最后一行,看看有什么变化。 ●使用user01用户登录系统,看能否登录成功。。 ●锁定用户user01:#passwd -l user01。 ●查看文件/etc/shadow文件的最后一行,看看有什么变化。 ●再次使用user01用户登录系统,看能否登录成功。 ●解除对用户user01的锁定:#passwd -u user01 ●更改用户user01的帐户名为user02:#usermod –l user02 user01。 ●查看/etc/passwd文件的最后一行,看看有什么变化。 ●删除用户user02。 子项目2.组的管理 ●创建一个新组,stuff:#groupadd stuff。 ●查看/etc/group文件的最后一行,看看是如何设置的。
windows 7 系统计算机管理里面没有本地用户和组及家庭版系统开启管理员账号
windows 7 系统计算机管理里面没有本地用户和组 方法一: 打开本地组策略编辑器,提示:MMC 无法创建管理单元。此管理单元可能没有正确安装。这个问题比较复杂,下面是其中一种解决方法:打开记事本,复制下面内容,以reg格式保存,将数据导入注册表。 Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}] @="Local Group Policy Editor" [HKEY_CLASSES_ROOT\CLSID\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}\InPro cServer32] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00, 74,00,25,\ 00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,47,0 0,50,00,\ 45,00,64,00,69,00,74,00,2e,00,64,00,6c,00,6c,00,00,00 "ThreadingModel"="Apartment"
你可以按照下面的方法尝试: 方法二: 1 开始->运行->输入“mmc”回车,打开“控制台” 2 在“控制台”对话框中,点击“文件”->"添加/删除管理单元" 3 在打开的“添加/删除管理单元”对话框中点击“添加”按钮->在“添加独
最新域用户与组账户的
域用户与组账户的管 理
一、实验目的 1.添加域用户 2.用户的漫游 3.组织单元委派控制 4.AGDLP实现组的嵌套 二、实验步骤及结果分析 1.添加域用户 添加域用户常见的几种方法: 1.1.直接在根DC里新建用户 1.1.1.新建组织单位。启动要DC服务器,运行dsa.msc 打开Active Directory用户和计算机,在“域名”(如https://www.360docs.net/doc/3112786591.html,)处右击,“新建→组织单位”,如名称为“DQA”。 1.1. 2.新建用户。在新建的“组织单位”(DQA)项上右击选择“新建→用户”,输入新建用户的“用户登录名”,(如hero)。下一步,输入7位以上的安全密码,一直下一步,完成新建用户。
注:如果想要将密码设为简单密码或密码为空,首先要在“开始”→“程序”→“管理工具”→“默认域安全设置”,打开“默认域安全设置”,再依次展开“安全设置”→“帐户策略”→“密码策略”,将“密码必须符合复杂性要求”禁用,并将“密码长度最小值”设为“0字符”。这样在新建用户时就不用再设置复杂的密码了。
1.1.3.删除用户。只需直接在相应的“组织单位”(如DQA )中的用户(如hero)上右击,选择删除即可。 1.2.使用目录服务工具添加 所谓的目录服务工具是指利用CMD命令新建账户,常用的命令有:dsadd 添加账户或组;dsmod 修改用户或组的信息;dsrm 删除用户或组。 1.2.1.添加账户。在CMD命令提示符里输入如:dsadd user cn=feng,ou=DQA,dc=fenger,dc=com 回车后即可成功创建一个新用户。若需在用户里面将其相应的信息加入,只须在上命令后加入一些其它信息的命令,如:-email xx@https://www.360docs.net/doc/3112786591.html, –tel 12315 –office F999 等等。其它详细信息命令可用“dsadd user /?”查看。 1.2.2.修改用户信息。在CMD命令提示符里输入如:dsmod user cn=sun,ou- DQA,dc=fenger,dc=com –email yy@https://www.360docs.net/doc/3112786591.html, –tel 12111 –office G-101 。即在命令参数后输入要修改信息项的信息。若修改成功后,在根DC查看用户属性的信息会与原属性有明显不同。
实验六 用户和组的管理
实验六用户和组的管理 一、实验目的 (1) 理解用户账户的类型及特点 (2) 掌握组的分类和作用域 (3) 熟悉活动目录和计算机控制台的使用。 (4) 掌握用户账户和组的创建与管理。 二、实验环境 三台计算机,一台安装Windows 98或XP,二台已安装Windows Server 2003的计算机,其中一台计算机配置成Windows 2003域控制器,另一台已计算机登录到域。 三、实验内容与步骤 1. 用户账户的创建 (1)创建新用户账户注意事项 ①命名约定 用户登录名和全称必须是惟一的,用户登录名最多可以包含20个字符,可以是大小写字母或者是数字。 ②密码注意事项 必须给管理员账户分配复杂的密码,决定是由管理员还是由用户来控制密码,让用户们知道如何使用难以被猜到的复杂密码,避免使用有明显关联的密码,比如你的姓,使用长密码,使用大小写字母和非字母数字字符的组合。 (2)建立域用户账户 如果要在成员服务器中建立用户,可安装管理工具,运行安装光盘的文件:\i386\adminpak.msi即可进行安装。 默认情况下,只有系统管理员才具有管理用户账户的权限,所以建立用户账户之前,必须用Administrator账户登录,然后使用“Active Directory用户和计算机”控制台来建立域用户账户。 建立域用户账户的步骤如下: ①打开“Active Directory用户和计算机”控制台,双击域名(https://www.360docs.net/doc/3112786591.html,),用鼠标右键单击组织单位“jxx”,从弹出的快捷菜单中选择“新建”→“用户”命令。出现“新建对象-用户”对话框,如图6.1所示。
图6.1 “新建对象–用户”窗口(1) ①在“姓”文本框中键入用户的姓氏,在“名”文本框中键入用户的名字,在“英文缩写”文本框中键入用户的姓名缩写。在“用户登录名”中,键入用户登录名称,单击下拉列表中的用户主体名称(UPN) 后缀,用户账户的默认UPN 后缀是该用户账户所在域的DNS 域名。通过为所有用户提供单个UPN 后缀,可添加备用的UPN 后缀以便简化管理和用户登录过程。如果用户使用不同的名称从运行Windows 98、Windows 95、Windows NT 的计算机登录,请将显示在“用户登录名(Windows 2000 以前版本)”中的用户登录名改成其他名称。单击“下一步”按钮,显示图6.2所示的输入密码窗口。 图6.2 “新建对象–用户”窗口(2) ②在“密码”和“确认密码”中,键入用户的密码,然后选择适当的密码选项,单击“下一步”按钮,然后单击“完成”按钮完成用户账户的创建。 (3)创建用户主要名称后缀 当我们的用户主名后缀和根域的域名有出入的情况下,我们可能就需要添加用户主名后缀,方法是: 通过“管理工具”中的“Active Directory 域和信任关系”,打开“Active Directory 域和信任关系”管理单元,右击“Active Directory 域和信任关系”选择“属性”命令,打开“Active Directory 域和信任关系属性”窗口,如图6.3所示,在“其他UPN后缀”文本框下输入其他名称后缀名:https://www.360docs.net/doc/3112786591.html,,然后单击“添加”按钮,再单击“完成”按钮完成设置。
域用户帐户和组的管理
域用户帐户和组的管理
域用户帐户和组的管理 (以下操作均在Windows Server 2003系统中实现,客户端也是使用2003来模拟,和实际中客户端使用的XP操作系统可能会有所不同) 很多企业都会用到域环境来实现管理,域的实际应用非常广泛。下面我们讲解在域环境下如何管理用户帐户和组。在讲解过程中我们会涉及到用户帐户、计算机帐户、组和OU等对象。 一、域用户帐户的特点 和本地用户帐户不同,域用户帐户保存在活动目录中。由于所有的用户帐户都集中保存在活动目录中,所以使得集中管理变成可能。同时,一个域用户帐户可以在域中的任何一台计算机上登录(域控制器除外),用户可以不再使用固定的计算机。当计算机出现故障时,用户可以使用域用户帐户登录到另一台计算机上继续工作,这样也使帐号的管理变得简单。 附注: 在工作组环境中,所有计算机是独立的,要让用户能够登录到计算机并使用计算机的资源,必须为每个用户建立本地用户帐户。同时,为了方便实现用户对网络资源的访问权限,我们可以使用本地组来实现。 本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机;本地用户帐户保存在本地计算机;本地用户若需要访问其它计算机,需要在其它计算机上有相应的用户帐户以便进行身份验证。 二、管理工具 要对域中的用户和计算机等对象进行管理,我们要使用“Active Directory用户和计算机”管理工具。该工具在我们安装了活动目录后会被添加到管理工具中,我们可以在管理工具里找到它。
打开后如图所示,在窗口的左边,可以看到我们创建的域。按左边的“+”号展开该域 展开后可以找到“users”管理单元,点击后在右边就可以看到一些内置的用户帐号和组。当系统安装了活动目录后,原来的本地用户和组帐号都没有了,这些对象会变成域用户帐号和域本地组,并被放在该“users”管理单元内。
用户和组群管理
useradd/adduser——创建用户帐户 useradd [options] LOGIN / useradd -D / useradd -D [options] -d:指定用户的主目录 -e:设置帐户的有效期限,加上用户帐户停用日期,日期格式为MM/DD/YY -f:设密码过期后多少天关闭该帐户 -c:设用户名全称 -g:指定帐户的主要组群 -G:指定帐户多个次要组群 -m:用户目录若不存在则自动创建 -M:不建立用户目录 -r:创建系统用户帐户。不会建立用户主目录,也不会响应在文件/etc/login.defs中定义的值 -s:用户登录后使用的shell类型 -u:指定用户的UID。不可为负值 lnewusers——创建用户帐户 lnewusers [OPTION]... -f:从指定文件中读取帐户数据,而不是标准输入 -M:不创建用户主目录 -n:不创建用户邮件队列文件 常见用户yangyang [root@centos7 /]# lnewusers yangyang:server:1000:1000:yangyang:/home/yangyang:/bin/bash //输入用户信息后按回车——>按[ctrl+d]退出 [root@centos7 /]# grep yangyang /etc/passwd yangyang:x:1000:1000:yangyang:/home/yangyang:/bin/bash usermod——修改用户帐户 usermod [选项] 登录名 -g:修改用户主组群 -G:修改用户次要组群(附加组群) -l:修改用户名称 -L:锁定用户密码,使密码无效 -s:修改用户使用的shell。若没有,系统将选用预设的shell -U:解除密码锁定 -u:修改用户UID -c:修改用户名全称 -d:修改用户主目录,若指定-m选项,用户旧目录会移动到新目录中,若旧目录不存在,则新建目录 -e:修改用户有效期限,加上用户帐户停用日期,格式为MM/DD/YY -f:修改密码过期后多少天关闭该帐户 -o:允许使用重复的UID -m:移动主目录的内容到新的位置 userdel——删除用户帐户 userdel [选项] 登录名 -r:删除用户时,把用户主目录和本地邮件存储的目录或文件一同删除
实验十一 Linux下用户和组的管理
实验十一Linux下用户和组的管理、磁盘限额一.实验目的: 1.掌握在Linux系统下利用命令方式实现用户和组的管理; 2.掌握利用Linux-conf进行用户和组的管理; 3.掌握磁盘限额的实现方法。 二.实验内容: 1.用户和组的管理; 2.磁盘限额。 三.实验步骤: 1.用户的管理 ●创建一个新用户user01,设置其主目录为/home/user01: ●查看/etc/passwd文件的最后一行,看看是如何记录的。 ●查看文件/etc/shadow文件的最后一行,看看是如何记录的。 ●给用户user01设置密码: ●再次查看文件/etc/shadow文件的最后一行,看看有什么变化。 ●使用user01用户登录系统,看能否登录成功。。 ●锁定用户user01: ●查看文件/etc/shadow文件的最后一行,看看有什么变化。 ●再次使用user01用户登录系统,看能否登录成功。 ●解除对用户user01的锁定:#passwd -u user01 ●更改用户user01的帐户名为user02:#usermod –l user02 user01。 ●查看/etc/passwd文件的最后一行,看看有什么变化。 ●删除用户user02。
2.组的管理 ●创建一个新组,stuff:#groupadd stuff。 ●查看/etc/group文件的最后一行,看看是如何设置的。 ●创建一个新帐户user02,并把他的起始组和附属组都设为stuff:#useradd –g stuff –G stuff user02。 ●查看/etc/group文件中的最后一行,看看有什么变化。 ●给组stuff设置组密码:#gpasswd stuff。 ●在组stuff中删除用户user02:#gpasswd –d user02 stuff。 ●再次查看/etc/group文件中的最后一行,看看有什么变化。 ●删除组stuff。 3.用Linux-conf创建用户和组 ●进入X-Window图形界面。 ●在终端中输入userconf命令,启动Linux-conf的用户管理子程序,在打开的界面中练习用户、组的设置。 4.磁盘限额 ●启动vi来编辑/etc/fstab文件。 ●把/etc/fstab文件中的home分区添加用户和组的磁盘限额。 ●用quotacheck命令创建https://www.360docs.net/doc/3112786591.html,er和aquota.group文件:#quotacheck -guvam ●给用户user01设置磁盘限额功能:#edquota -u user01。 ●将其blocks的soft设置为4000,hard设置为5000;inodes的设置为4000,hard设置为5000。编辑完成后保存并退出。 ●重新启动系统。 ●用quotaon命令启用quota功能:#quotaon –ugva。 ●切换到用户user01,查看自己的磁盘限额及使用情况。 ●尝试复制大小分别超过磁盘限额软限制和硬限制的文件到用户的主目录下,检验一下磁盘限额功能是否起作用。
形考任务1-第3章实训项目报告-管理域用户账户与组账户
Windows网络操作系统管理 实训项目报告(三) 服务器 https://www.360docs.net/doc/3112786591.html, https://www.360docs.net/doc/3112786591.html, https://www.360docs.net/doc/3112786591.html, https://www.360docs.net/doc/3112786591.html, https://www.360docs.net/doc/3112786591.html,
1.此处粘贴:创建域森林的“查看DNS记录”画面。(参考教材图3-77)。 2.此处粘贴:创建域用户帐户的完成画面。(参考教材图3-49)。 3.此处粘贴:设置域用户账户的登录时间,以及限制登录地点的设置画面。(参考教材图3-103,
3-105)。 4.此处粘贴:禁用域用户账户,重设账户密码,删除用户账户的设置画面。(参考教材图3-107)。
5.此处粘贴:把一系列的用户账户加入到本地域组账户的完成画面。(参考教材图3-114)。
四、实训中遇到的难点及解决办法 难点是:域的概念和特点,在建立森林域和第一棵域树及第二棵域树及子树 组织单位及域组的的概念和特点,域用户账户和域组账户的概念和特点,以及域组 账户的使用原则。 解决办法:一定要明白各自的概念,然后,画好拓扑图,按照要求一步一步的逐步建立。 五、实训体会 通过这次实验,我明白本地用户帐户是在本地计算机上创建,帐户的所有信息都存储在本地计算机的SAM文件中。利用本地用户账户只能登录到本机,在登录时要到SAM文件中进行身份验证,其作用范围也仅限于本地计算机。域用户账户只能在域控制器上创建,所有的域用户账户信息都存放在域控制器的活动目录中。使用域用户账户可以在任何一台已经加入到域中的计算机上登录,在登录时要到域控制器上进行身份验证,然后可以根据相应的权限使用域中的资源。普通的域用户账户对本地计算机只拥有本地users组成员的权限。域用户的安全性要求比较高,所有的域用户必须要设置密码,而且密码要符合复杂性要求。需要注意的是,当一台服务器在被配置为域控制器之后,将自动禁用所有的本地用户账户,目的是为了禁止从本地登录,以提高系统安全性。