【實驗目的】:
1. 學會在Windows 2003 Sever下管理本地用戶和組
2. 熟悉 indows 2003 Sever用戶管理機制
【實驗內容】:
1. 帳號的創建、修改、刪除
2. 組的創建、修改、刪除
3. 本地用戶權限管理、分配
4. 遠程用戶權限管理、分配
【實驗原理及相關知識】:
1.1本地用戶的含義
用戶分爲本地用戶和全局用戶。所謂“本地”用戶指平時直接使用的計算機,本地用戶對應着對等網工作組模式,用戶驗證都在各自的本地計算機上進行。全局用戶對應着客戶機/服務器工作模式,用戶驗證都在域控制器上進行。
本地用戶只能建立在Windows 2003獨立服務器、Windows 2003成員服務器或基於Windows 2003 Professional的計算機中,這種用戶的作用範圍僅限於在創建該用戶的計算機上,以控制用戶對該計算機上資源的訪問。也就是說,如果一個用戶需要訪問多臺計算機上的資源,而這些計算機不屬於某個域,則用戶要在每一臺需要訪問的計算機上擁有相應的本地用戶帳號,並在登錄某臺計算機時由該計算機驗證。
1.3系統內建用戶
系統內建用戶是Windows 2003操作系統自帶的,在安裝好Windows 2003之後這些用戶就已存在,並已經賦予了相應的權限。Windows 2003利用這此用戶完成某些特定的工作。
Windows2003中常見的內置用戶包括系統管理員用戶Administrator和來賓用戶guest(默認禁用)。系統內建用戶和組都不允許被刪除,並且Administrator帳號也不允許被禁用,但內建用戶帳號允許更名。
沒有能過系統驗證的用戶,都將自動轉爲guest用戶訪問系統。所以,從安全性角度考慮,guest用戶不要輕易啓用。
1.4組的相關知識
組是Windows 2003網絡環境中的一個非常重要的概念,是用戶帳號的集合,當用戶較多的時候,就通常將具有相同身份和屬性的用戶組合到一個邏輯的集合中,並且一次賦予該集合訪問資源的權限而不再單獨給用戶賦予權限,從而簡化了管理。
一個用戶帳號可屬於多個組。用戶登錄後,如果又修改了權力權限,要再次登錄才能生效。
本地組中有兩種主要的組類型:用戶創建的本地組和系統內置組。
a) Administrators 組的特點
1. 它是所有的Windows 2003上都有的惟一的一個被賦予了所有內建權力的組
2. 它可以給自己賦予所有自己沒有的權力
3. 它可添加系統組件,升級系統
4. 它可配置系統重要參數,如註冊表的修改
5. 它可配置安全信息
b) Power Users 組
1. 它存在於非域控制器上
2. 它可進行基本的系統管理工作
3. 它不能修改Administrators 組和Backup Operators組
4. 它不能備份/恢復文件
5. 它不能修改註冊表
c) Backup Operators 組
1. 它是所有的Windows 2003上都有的
2. 它可以忽略文件系統的權限進行備份和恢復
3. 它可以登錄系統和關閉系統
4. 它對加密文件也可以做備份
d) Users 組
1. 它是一般用戶所在的組,對系統可使用基本的權力。
2. 它可運行程序,使用網絡
3. 它可以關閉Windows 2003Professional,但不能關閉Windows 2003Sever
4. 它不能創建共享目錄和本地打印機
e) 系統內建的特殊組
1. Everyone 組:它包括所有的用戶,包括guest
2. Authenticated Users組:它包含所有被身份驗證成功的用戶,但不包括guest組的成員,在Windows 2003Sever 中是Users組的成員
3. Interactive組:包含所有交互試登錄的用戶
【實驗過程及主要步驟】
該實驗中具體就是在計算機上建立實驗文件夾,對本地訪問的用戶分配不同的權限,測試用戶具有何種操作權限,然後將該文件夾發佈於局域網中,再對遠程訪問用戶給與不同的權限,測試遠程用戶的操作權限。下面具體的對用戶和組的權限設置與管理進行詳細介紹。
在該實驗中用到的網絡拓撲圖如下:
創建帳號
1. 啓動Windows 2003Sever,以管理員(Administrator)身份登錄系統
右鍵點擊“我的電腦”,選擇管理菜單,就進入到“計算機管理”界面
2. 單擊“本地用戶和組”前面的加號,展開出現“用戶”圖標。在“用戶”圖標上右擊,在彈出的快捷菜單中單擊“新用戶”
3. 打開“新用戶”對話框後,在“用戶名”文本框中輸入用戶帳號的登錄名稱,如輸入“bdfw001”;在“全名”文本框中輸入用戶的全名,在“描述”文本框中輸入帳號的簡單描述,以方便日後的管理工作;在“密碼”和“確認密碼”文本框中輸入相同的密碼。
4.單擊“創建”按鈕後,該用戶帳號會被創建,但新用戶對話框不會消失,可以接着創建下一個用戶帳號,如bdfw002, bdfw003。最後,單擊“關閉”按鈕,結束新用戶的創建.。
創建本地組
創建本地組的操作要由本地計算機的Administrators組或Account Operators組的成員進行,方法與創建本地用戶類似,操作步驟如下:
.單擊“創建”按鈕,再單擊“關閉”按鈕,返回到“計算機管理”窗口中。這時在右側的子窗口中可以看到新建的組。
本地用戶權限分配
1. 按照上述方法,建立用於本地訪問資源的用戶組”bdfw”,並建立用戶”bdfw001”讓它只隸屬於組”bdfw”,不屬於組”User”
然後在建立用於遠程訪問資源的用戶組”ycfw”,並建立用戶”ycwf001”讓它只隸屬於組”ycfw”.不屬於組”User”.
在D盤新建一個文件夾,取名“試驗1”,再建幾個子文件夾,放少許文件再裏面,打開文件“試驗1”屬性對話框,切換到“安全”標籤。
點擊添加按鈕,把組”bdfw”加上,然後對它的權限進行分配,注意此時給權限的時候應該一項一項的加入,不要一次全給,這樣方便看用戶有何種操作權限。這裏首先給”讀取、禁止寫入”權限。
2. 然後把現在的用戶”Administrator”註銷掉,用“bdfw001”這個用戶登陸,看該用戶對文件夾有何種操作權限。大家還可以嘗試多建幾個用戶,分別賦予其他的權限,操作方法一致。需要注意的是每給一個權限以後都必須看一下用戶具有何種操作!
遠程用戶權限分配
方法和上面類似,首先應將現在的賬戶“administrator”密碼進行修改,不能爲“123456”,然後建立一個文件夾“試驗1-1”,將該文件共享,並且給“Administrator”組讀取權限,給“ycfw”組完全控制權限。
3. 然後在其他電腦上訪問你剛纔共享的文件,打開我的電腦,在地址欄輸入\\共享電腦IP分別用賬戶”Administrator”用戶和“ycfw001”進行訪問,看兩個用戶之間的操作權限區別。如圖1-11 注意:當用一個用戶登陸以後,系統將記住該用戶,在一定時間內在訪問的話就不用輸入用戶名和密碼了,爲了換用戶登陸可以進行一下操作,打開命令提示符,輸入net use \\共享電腦IP /del 即可。
此文章爲 強子的好東西 原創,特此聲明!