配置windows 2000 Server服务器
--------------------------------------------------------------------------------
建立和管理用户账号
在windows 2000 Server域控制安装和配置结束后,如果要让网络中的其他计算机登录服务器,还需要在域控制器上创建这些计算机的用户账号,并给这些账号设置一定的安全属性。
1. windows 2000 Server
windows 2000 Server 提供了3种不同的用户账号类型,分别是:内置用户账号、域用户账号和本地用户账号。这三个账号位于“Active Directory用户和计算机”窗口的“User”组中(如图7-28所示),其功能特点分别如下:
(1) 内置用户账号
安装windows 2000 Server时,由系统自动创建的账号称为内置账号。内置账号有3个:系统管理员(Administrator)、来宾(Guest)和Internet Guest(IUR-Computer Name)。
系统管理员(Administrator):Administrator作为系统管理员,拥有最高的权限,用户可以用它来管理windows2000 Server资源和域的账号数据库。需要说明的是,Administator用户对系统具有最高的权限,可以建立、修改、删除用户账号及与之相关的信息,所以该账号的密码一定要保密。另外,Administrator账号名称可以更改,但不能删除。如果对Administrator账号进行更名时,可在图7-28所示的窗口中先选取Administrator,然后单击右键,在弹出的快捷菜单中选择“重命名”一项进行修改。
来宾(Guest):Guest是为没有专门设置账号的计算机访问域控制器时使用的一个临时账号,该账号可以访问网络中的部分资源。Guest账号的名称可以修改,但不能删除。
Internet Guest(IUR-Computer Name):IUR-Computer Name用来供Internet服务器的匿名访问者使用,在局域网中没有意义。
(2) 域用户账号
域用户账号允许用户登录到域上,并访问网络上的任意位置的资源。域用户账号一般用于存在多个域的网络中,在只有一个域的小型网络中一般没有太大意义,所以用户也不必关心它。
(3) 本地用户账号
本地用户账号允许用户登录服务器上的相关资源。在创建本地用户账号时windows 2000 Server会将账号名称及相关信息自动存放在本地的安全数据库中,而不会复制到其他的域中。当本地账号登录网络时,服务器便在本地安全数据库中查询该账号名,并鉴别其对应的密码当正确后才能允许该账号登录服务器。我们在局域网中给用户创建的账号一般是本地用户账号。
2. 用户账号的命名规划
在windows 2000 Server中,系统对用户账号的命名规则有严格的要求。有些用户平时不注意这一点使用了不符合要求的账号名,结果导致这些账号在实际应用中无效,或为用户账号的安全使用带来了隐患。其实,一个完整的账号应包括账号名称、密码和账号选项三部分,具体要求如下:
(1) 账号名称的命名规则
账号命称规定了用户在域中的标示方式,在进行命名时,要注意以下几点:
第一:每个用户的账号名称在Active Directory中是唯一的,不同的用户使用不同的账号名称。
第二:每个账号名称最大可以容纳20个字符。
第三:当一个局域网中的用户较多时,账号名称应该便于记忆和区分。
(2) 账号的密码要求
为了控制对域控制器的安全访问,拒绝非法用户登录网络,这时可以对每个用户账号设置一个密码,在使用某一账号登录服务时,只有输入的密码正确后才允许登录,否则被拒绝。在windows 2000 Server中,对密码的设置要求一般如下:
第一:常用于密码的字符主要有字母A-Z(大小写不等效)和数字0-9。
第二:密码最长可以达到128个字符,最短不限。但为了安全起见,建议密码在七个字符以上。
第三:一般为Administrator系统管理员账号设置永久密码。
(3) 账号选项
账号选项包括登录时间、允许用户登录的计算机和账号的使用时限等。
第一:登录时间。可以设置某些用户在某一特定的时间登录服务器如果实际登录时间不在设定的时间段内,系统将拒绝登录。
第二:允许用户登录的计算机可以设定某一用户只能从某一计算机登录网络(注:该功能在现有的windows 2000 Server版本中很难实现)。
第三:账号的使用时限。可以设置账号在网络中的有效时间限制,当超过这一预设的时限时该账号将自动无效。
3. 创建用户账号
在掌握了账号的命名规则后,就可以对要求登录网络的用户创建账号了。在网络使用期间,如果有新用户加入网络时,也可以为其添加所需的账号。具体方法如下:
第一步:选择“开始/程序/管理工具 /Active Directory用户和计算机”,出现如图7-29所示的窗口中在该窗口中已经显示了前面创建的域名。
第二步:在窗口的“树”列表中选择“Users”文件夹单击鼠标右键,在出现的快捷菜单中选择“新建”下方的用户“User”出现的对话框。大家发现其中的内容较多在实际登录网络时使用的是“用户登录名”下方的具体名称,其他项目可根据需要进行填写。
第三步:当用户的有关信息填入结束后,可单击“下一步”,出现如的对话框。可在“密码”后输入该用户账号的使用密码并在“确认密码”中重新输入进行确认。另外,系统还提供了4种对该密码的限制方式。其中:如果选择了“用户下次登录时需更改密码”一项,当用户下次使用该账号登录服务器时,系统要求先更改密码后再登录;当选择了“用户不能更改密码”一项后,用户将无权更改自己的密码;当需要该密码长期有效时,可选择“密码永不过期”一项;如果某用户在某一段时间因出差在外或其他原因不需要登录服务器时,可以选择“账户已停用”一项,这样当别人使用该账户登录服务器时将无效。具体选择哪一项,用户可根据实际需要来选定。对于学校,网吧等公用网络,建议同时选择“用户不能更改密码”和“密码永不过期”两项。
第四步:单击“下一步”后,出现信息,说明该用户账户已经创建成功。
第五步:单击“完成”按钮,该用户将显示在域中的“User”文件夹中
通过以上方法,可以继续建立其他用户账户。
4. 设置用户账号的安全属性
当建立了用户账户后,根据不同的应用需要,可以设置它们的属性,具体内容和方法如下:
第一步:选择“开始/程序 /管理工具/Active Directory用户和计算机”,在出现的对话框的“树”列表框中选择“User”文件夹,再选择该文件夹中要设置的属性的账户名称,单击鼠标右键,选择快捷菜单中的“属性”一项,出现对话框,在该对话框中显示了与该账户有关的“电话号码”、“电子邮件”等内容,可根据实际需要修改相关的项目。
第二步:选择“账户”标签项,在该对话框中可以对“用户登录名”、“账户选项”等内容进行修改。
第三步:单击其中的“登录时间”按钮,在出现的对话框中设置该用户登录的时间范围。系统默认的登录时间为每周7天、每天24小时,如果需要对登录时间进行限制,则可用鼠标拖动要限制的时间范围,然后单击“拒绝登录”按钮就可以完成。设置结束后单击“确定”返回账户属性注对话框。该功能对一些登录服务器的时间要求较严格的用户有用,例如:企业内部可能要在某一个时间内对本天所有的经营情况进行统计,为了使统计结果精确可靠,在统计之前需要断开用户与服务器的连接,这时就可以使用该功能对用户的具体使用时间进行限制。
第四步:选择“登录到”一项,系统默认为该用户可以登录到网络中的所有工作站,即在用户登录到windows 2000 Server域控制器后,用户之间都可以互访。如果设置该用户只能登录到某一台计算机时,则可以选择“下列计算机”一项,然后依次在“计算机名”下方输入要登录的计算机名,单击“添加”按钮进行设置,设置结束后单击“确定”返回用户属性设置主对话框。
第五步:如果要使账号在指定的时间到期,可选择7-35中“账户过期”下的“在这之后”一项,再单击后面的下拉按钮,在出现的如图7-38所示的对话框中设置到期的时间。如果该账号将在2001年7月20日到期,则可以先单击对话框中三角按钮具体的年和月,再在下面的对话框中选择具体的日期即可。
以上介绍了几个常用的功能项的设置,如果要设置其他的功能,可选择如图7-35所示的其他标签进行设置。
5. 更改用户账号的密码
当需要更改某一用户的账号的密码时,可以通过以下的方法进行:
第一步:选择“开始/程序/管理工具/Active Directory用户和计算机”,启动“Active Directory用户和计算机”窗口。
第二步:打开窗口中的“树”列表下的“User”文件夹,在右边用户列表中选择要更改密码的用户名,然后单击鼠标右键,在出现的快捷菜单中选择“重设密码”一项,出现如图7-39所示的对话框。
第三步:在对话框的“新密码”处输入该账号的新密码,并在“确认密码”后面重新输入一次以进行确认。如果要求用户下次登录时更改密码,则可以选择“用户下次登录时须更改密码”一项。
第四步:设置结束后,单击“确定”,更改密码成功。
6. 删除用户账号
由于网络中用户的更新,当某一个用户账号不再使用时,为了简化网络管理,可它从服务器中删除,具体方法如下:
第一步:选择“开始/程序/管理工具/Active Directory用户和计算机”,启动“Active Directory用户和计算机”窗口。
第二步:在窗口中“树”列表下打开“User”文件夹,并在右边的列表框中选择要删除的用户名称,单击鼠标右键,在出现的快捷菜单中选择“删除”一项。
第三步:如果已确定要删除该账号,可单击“是”,否则单击“否”取消删除操作。
7. 停用、启用用户账号
如果某个用户的账号暂时不使用,可将其停用。这里的账号停用要和前面所介绍的删除账号区别开来,停用只表示该账号在设置的某一段时间内不能使用,当需要时还可以重新启用,而删除账号是将账号从服务器中删掉,无法再找回来的账号,即使重新建一个同名的账号也不能完全代表删除前的账号信息。对账号的停用和启用的设置方法分别如下:
选择“开始/程序/管理工具/Active Directory用户和计算机”,打开“Active Directory用户和计算机”窗口。在窗口中“树”列表下打开“User”文件夹,并在右边的列表框中选择要停用的用户名称,单击鼠标右键,在出现的快捷菜单中选择“停用账号”一项,出现该账号已被停用的提示信息。单击“确定”后,返回“Active Directory用户和计算机”主窗口,发现代表该账号的人头榜出现了一个“×”,表示该账号已被停用。
如果要重新启用已被停用的账号,可选择已被停用的账号的账号名,然后单击鼠标右键,在出现的快捷菜单中选择“启用账号”一项,在出现的对话框中。单击“确定”后,该账号重新恢复使用。
为了网络的安全起见,可以将Guest 账号设置为“停用”状态。
8. 账好的更名
在windows 2000 Server域控制器中可以对已有的账号进行更名,账号更名的方法如下:
选择“开始/程序/管理工具/Active Directory用户和计算机”,打开“Active Directory用户和计算机”窗口。在窗口中“树”列表下打开“User”文件夹,并在右边的列表中选取要更名的账号名称,单击鼠标右键,在出现快捷菜单中选择“重命名”一项,此时光标在用户账号的名称上闪烁,只需要通过键盘输入新的账号名称即可。
|
