項目配置與管理本地用戶與組特訓了解用戶和組的基本概念、用戶和組的類型掌握用戶賬戶的建立與管理方法掌握用戶組的建立與管理方法掌握賬戶和組的權限設置方法學習目標：知識目標技能目標態度目標會創建本地用戶賬戶、本地用戶組熟悉用戶賬戶屬性的設置與管理能創建用戶配置文件能對本地組進行維護與管理培養認真細致的工作態度和工作作風養成刻苦、勤奮、好問、獨立思考和細心檢查的學習習慣能與組員精誠合作，能正確面對他人的成功或失敗具有一定自學能力，分析問題、解決問題能力和創新的能力新天教育培訓集團的服務器初步完成了操作系統的安裝，并進行了簡單的環境配置。接下來就是使用服務器上的資源，對服務器進行有效的管理并保證系統和各種資源的安全。銷售中心的小雷就想體驗體驗WindowsServer2008R2操作系統，這時唐宇應該讓他使用什么賬戶進行登錄才能更好地保證系統的安全呢？唐宇想了想，要小雷等一等，他需要為普通用戶建立賬戶，并設置相關權限才能更好地保證系統的安全。首先根據用戶的需要建立對應的賬戶，接下來將權限相同的賬戶加入到相應的組，然后通過組來設置用戶權限。2.1情境描述本項目的具體任務有哪些？用戶賬戶和組賬戶有什么作用？如何保證使用網絡和計算機資源的合法性？如何理解賬戶權限？12342.2任務分析2.3知識儲備在計算機網絡中，計算機的服務對象是用戶，用戶通過賬戶訪問計算機資源，所以用戶也就是賬戶。所謂用戶的管理也就是賬戶的管理。每個用戶都需要有一個賬戶，以便登錄到域訪問網絡資源或登錄到某臺計算機訪問該機上的資源。組是用戶賬戶的集合，管理員通常通過組來對用戶的權限進行設置從而簡化了管理。WindowsServer2008針對這兩種工作模式提供了三種不同類型的用戶賬戶，分別是本地用戶賬戶、域用戶賬戶和內置用戶賬戶。當某用戶成員加入一個組時，則該用戶也將被賦予該組的所有權限。2.3知識儲備本地用戶賬戶對應對等網的工作組模式，建立在非域控制器的WindowsServer2008獨立服務器、成員服務器以及WindowsXP客戶端的計算機上。本地賬戶只能在本地計算機上登錄，無法訪問域中其它計算機資源。1、用戶帳戶是用來記錄用戶的用戶名和口令、隸屬的組、可以訪問的網絡資源，經及用戶的人個文件和設置。2、常用內置帳戶有Administrator、Guest、IUSR_Computername和IWAM_Computername。3、WindowsServer2008在工作組模式下默認只有Administrator賬戶和Guest賬戶。2.3知識儲備在WindowsServer2008中，一個用戶賬號包含了用戶的名稱、密碼、所屬組、個人信息、通信方式等信息。

用戶帳戶由一個帳戶名和一個密碼來標識，而用戶帳戶的命名規則十分重要，一個有效的用戶名是指符合WindowsServer2008用戶命名規則，但用戶也可以建立自己的命名約定。WindowsServer2008的用戶命名規則包括如下內容。●用戶名必須唯一，且不分大小寫。●用戶名最多可以包含20個大小寫字符和數字，輸入時可超過20個字符，但只識別前20個字符。●用戶名不能使用系統保留字符：*“”/\[]：；<>?+=，|。●用戶名不能只由句點和空格組成。用戶組就是指具有相同或者相似特性的用戶集合，我們可以把組看作一個班級，用戶便是班級里的學生。組是指本地計算機或ActiveDirectory中的對象，包括用戶、聯系人、計算機和其它組。一般組用于以下三個方面：（1）管理用戶和計算機對于共享資源的訪問，如網絡各項文件、目錄和打印隊列等；（2）篩選組策略；（3）創建電子郵件分配列表等。2.3知識儲備根據組的作用范圍，WindowsServer2008域內的組分為通用組、全局組和本地域組，這些組的特性說明如下。1、通用組：通用組可以指派所有域中的訪問權限，以便訪問每個域內的資源。2、全局組：全局組主要用來組織用戶，即可以將多個即將被賦予相同權限的用戶賬戶加入到同一個全局組中。3、本地域組：本地域組主要被用來指派在其所屬域內的訪問權限，以便可以訪問該域內的資源。2.3知識儲備為了服務器的安全以及對服務器的方便管理，通過在本地服務器上創建用戶賬戶，實現對用戶訪問網絡中各種資源權限的管理，以保護本地系統和網絡服務器不被非法用戶訪問，達到控制網絡系統資源分布與共享的目的。任務描述2.4任務實施在WindowsServer2008中，為新天有關人員創建相應的賬戶，本任務以賬戶名xesuxn為例進行創建。【任務案例2-1】2.4任務實施STEP01選擇“計算機管理”命令點擊“開始”→“管理工具”→“計算機管理”，如圖2-1所示。STEP02選擇“新用戶”命令在“用戶”選項上單擊鼠標右鍵，在彈出的快捷菜單中選擇“新用戶”命令，如圖2-2所示。STEP03打開“新用戶”對話框輸入用戶名、全名和描述，并且輸入密碼。STEP04查看新建用戶單擊“創建”按鈕，“xesuxn”這個用戶就創建好了。如圖2-4所示。新建用戶賬戶后，為了管理和使用的方便，管理員要對賬戶做進一步的設置。例如設置密碼選項或禁用賬戶、添加用戶個人信息、賬戶信息、用戶的撥入權限、用戶配置文件終端等，這些都是通過設置賬戶屬性來完成的。任務描述新的本地用戶賬戶創建后，為了管理的方便，需要對相關屬性進行必要的設置。請修改新用戶xesuxn的相關屬性。【任務案例2-2】STEP01配置“xesuxn屬性”信息新的本地用戶賬戶xesuxn創建后，在圖2-4的左側窗格中選擇“用戶”節點，將會在右側窗格中看到剛才創建的賬戶。右擊xesuxn賬戶，從彈出的快捷菜單中選擇“屬性”命令，如圖2-5所示，打開“xesuxn屬性”對話框，如圖2-6所示。STEP02配置“隸屬于”選項卡信息

（1）打開“隸屬于”選項卡，如圖2-7所示，可以將此用戶賬戶加入到本地組中，在默認設置下是加入到Users組中。

（2）單擊“添加”按鈕，打開“選擇組”對話框，如圖2-8所示。直接輸入待加入組的名稱，若想同時將該賬戶加入多個組中，用“；”隔開即可。STEP02配置“隸屬于”選項卡信息

（3）單擊“檢查名稱”按鈕檢查，如果組存在將如圖2-9所示，其中前面代表計算機名稱后面代表組名稱。或直接單擊”高級”按鈕，在打開的對話框中單擊“立即查找”按鈕搜索出可用組，如圖2-10所示，然后在搜索結果中選擇相應的組加入。STEP03配置“配置文件”選項卡信息切換到“配置文件”選項卡，如圖2-11所示，可以設置本地用戶賬戶的配置文件路徑、登錄腳本以及主文件夾路徑。STEP04配置“環境”選項卡信息切換到”環境”選項卡，如圖2-12所示，可以設置終端服務客戶機的工作環境。STEP05配置“會話”選項卡信息打開“會話”選項卡，如圖2-13所示，可根據具體情況設置會話的時間以及會話結束時所要進行的相關操作。STEP06配置“遠程控制”選項卡信息選中“啟用遠程控制”復選框打開遠程控制或觀察會話功能，然后再選中“需要用戶權限”復選框申請用戶遠程控制或觀察會話的權限。STEP07配置“遠程桌面服務配置文件”選項卡信息打開“遠程桌面服務配置文件”選項卡，如圖2-15所示。STEP08配置“撥入”選項卡信息打開”撥入”選項卡，如圖2-16所示，可以設置本地用戶賬戶的一系列撥入屬性。在企業內部有時會出現某個用戶帳戶長期休假或離職時，就要禁用該用戶的帳戶，不允許該帳戶登錄，該帳戶信息會顯示為X。有時當某個用戶離開公司，為防止其他用戶使用該用戶帳戶登錄，就要刪除該用戶的帳戶，被刪除的帳戶將永遠無法恢復。帳戶創建之后，有時可以隨時更改帳戶名，有時出于安全的原因，有時需要更改用戶的密碼等。任務描述本地用戶賬戶創建后，為了管理的方便，請對用戶abc進行禁用，對aaa進行刪除，并重設abc的密碼（請先按照任務案例2-2添加aaa和abc用戶）。【任務案例2-3】STEP01禁用用戶帳戶(1)在“計算機管理”管理控制臺中，右擊abc帳戶，在彈出的快捷菜單中選擇“屬性”命令。(2)切換到“常規”選項卡，選中“帳戶已禁用”復選框，單擊“確定”按鈕。(3)如果要重新啟用某帳戶，只要取消選中“帳戶已禁用”復選框即可。STEP02刪除用戶帳戶在列表中選擇需要刪除的帳戶aaa，右擊該帳戶，在彈出的快捷菜單中選擇“刪除”命令，如圖2-18所示。STEP03更改用戶帳戶名右鍵單擊該帳戶，在圖2-18彈出的快捷菜單中選擇“重命名”命令，在原用戶名處輸入新用戶名即可。STEP04重設帳戶密碼（1）右擊需要重設密碼的帳戶，在彈出的快捷菜單中選擇“設置密碼”命令。（2）單擊“繼續”按鈕，輸入新密碼，再次輸入新密碼進行確認即可，如圖2-20所示。組賬戶是計算機的基本安全組件，用戶賬戶的集合。但是，組賬戶并不能用于登錄計算機，但是可以用于組織用戶賬戶。通過使用組，管理員可以同時向一組用戶分配權限，故可簡化對用戶賬戶的管理。任務描述為新天家俬銷售中心新建三個用戶組，分別是manager、office和sales，并將xesuxn添加到office組。【任務案例2-4】STEP01選擇”新建組”命令右擊”組”節點，從彈出的快捷菜單中選擇”新建組”命令，如圖2-21所示。STEP02打開“新建組”對話框輸入新建組的組名office和描述信息，如圖2-22所示。STEP03為組添加新成員

（1）在圖2-21中找到需添加用戶的office組，右擊它，在彈出的菜單中選擇屬性，單擊“添加”按鈕為該組添加新成員。

（2）直接輸入待加入用戶名稱，如：xesuxn，然后可以單擊”檢查名稱”按鈕檢查。STEP03為組添加新成員

（3）或直接單擊“高級”按鈕，在打開的對話框中單擊“立即查找”按鈕搜索出可用組，如圖2-25所示。

（4）或者在如圖2-22所示的窗口中，右擊需要加入組office的成員xesuxn，從彈出的快捷菜單中選擇”屬性”命令，選擇“隸屬于”選項，單擊“添加”按鈕，如圖2-26所示。刪除本地組

計算機中組太多而又不再需要時可以將其刪除，打開“計算機管理”管理控制臺，如圖2-26所示，右擊要刪除的用戶組，選擇“刪除”命令，單擊“確定”按鈕即可刪除。

可以刪除新增組不能刪除系統內置組，刪除內置組時會出現圖2-28所示錯誤提示。如果有管理員特權但未經授權或不具備相關知識的人員復制或刪除機密數據、傳播病毒或禁用網絡，他們可能會惡意或無意地給各方面造成損害。因此，正確地管理對網絡中的服務器和域控制器有管理控制權限的用戶和組至關重要。任務描述在新天家俬銷售中心的服務器中新建了本地用戶和組，但在使用過程中難免會出現一些安全問題，為做好防范，請完成磁盤安全、用戶安全、本地安全等相關信息的設置。【任務案例2-5】STEP01

設置磁盤安全

在一個NTFS卷或NTFS卷下的一個目錄上右擊，從彈出的快捷菜單中選擇“屬性”命令，進入如圖2-29所示的磁盤屬性設置對話框。切換到“安全”選項卡就可以對一個卷，或者一個卷下面的目錄進行權限設置，或單擊“高級”按鈕進一步設置。此時，我們會看到完全控制、修改、讀取和運行、列出文件夾目錄、讀取、寫入和特別的權限7種權限。STEP02

設置用戶安全

打開“計算機管理”管理控制臺，完成Administrator用戶重命名（改成xintian）、禁用Guest賬戶、限制不必要的用戶、創建陷阱用戶、把共享文件的權限從Everyone組改成授權用戶和開啟用戶策略等幾個方面的安全設置。STEP03

本地安全設置

在WindowsServer2008中，選擇“開始”→“管理工具”→“本地安全策略”命令，打開“本地安全策略”窗口，如圖2-32所示，展開“安全設置”項目設置本地安全策略。STEP03

本地安全設置（1）帳戶策略→密碼策略

①設置“強制密碼歷史”策略。

進入如圖2-33所示的“強制密碼歷史屬性”對話框，輸入數值后單擊“確定”按鈕。

②設置“密碼最短使用期限”策略。

進入如圖2-34所示的“密碼最短使用期限屬性”對話框，輸入數值后單擊“確定”按鈕。STEP03

本地安全設置（1）帳戶策略→密碼策略

③設置“密碼最長使用期限”策略。

進入如圖2-35所示的“密碼最長使用期限屬性”對話框。輸入數值后單擊“確定”按鈕。

④設置“密碼長度最小值”策略。進入如圖2-36所示的“密碼長度最小值屬性”對話框，輸入數值后單擊“確定”按鈕。STEP03

本地安全設置（1）帳戶策略→密碼策略

⑤設置“密碼必須符合復雜性要求”策略。進入如圖2-37所示的“密碼必須符合復雜性要求屬性”對話框，選中“已啟用”單選按鈕后單擊“應用”按鈕。

⑥設置“用可還原的加密來儲存密碼”策略。進入如圖2-38所示的“用可還原的加密來儲存密碼屬性”對話框，選中“已啟用”單選按鈕后單擊“應用”按鈕。STEP03

本地安全設置（2）帳戶策略→賬戶鎖定策略