• Save
User Manage
Upcoming SlideShare
Loading in...5
×
 

User Manage

on

  • 3,300 views

 

Statistics

Views

Total Views
3,300
Views on SlideShare
3,264
Embed Views
36

Actions

Likes
0
Downloads
0
Comments
0

4 Embeds 36

http://jiannrong.blogspot.com 18
http://jiannrong.blogspot.tw 12
http://www.slideshare.net 5
http://jiannrong.blogspot.hk 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

User Manage User Manage Presentation Transcript

  • 建立與管理 帳戶
  • 新增網域使用者帳戶
    • Windows Server 2003 會將所有使用者帳戶資訊存於一個特別的位置 , 依伺服器類型不同其位置也不同:
      • 網域控制站會將帳戶資訊存於 AD 資料庫中。
      • 非網域控制站的成員伺服器 , 或工作群組中的獨立伺服器 , 則將帳戶資料存於 Security Accounts Manager (SAM) 資料庫。
  • Security Identifier (SID)
    • 當系統管理員新增了一個使用者帳戶 , 系統會自動賦予一個 Security Identifier (SID) 給該帳戶。 SID 為獨一無二的數字 , 也是 Windows Server 2003 實際上用來辨識使用者的依據 , 它並不因帳戶重新命名或重設密碼而更動 , 即使重新建立一個與已經被刪除的帳戶同名、同權限的帳戶 , 新舊帳戶的 SID 仍不會一樣。
  • 新增網域使用者帳戶
    • 執行『 開始 / 系統管理工具 / Active Directory 使用者及電腦 』命令:
  • 安裝 AD 預設會有 5 種容器
    • Builtin : 用來存放內建本機群組 ( 例如: Administrators, Account Operators, Guests, 及 Users) 。
    • Computers : 用來存放網域內電腦帳戶 , 當 Windows 2000 / XP / 2003 電腦加入網域時 , 這些電腦的帳戶都會存放於此。
  • 安裝 AD 預設會有 5 種容器
    • Domain Controllers : 用來存放網域控制站。換言之 , 在網域內若有多部網域控制站 , 都會顯示在這裡。
    • Foreign Security Principals : 儲存來自有信任關係網域的物件。
    • Users : 用來存放網域內的使用者帳戶及群組。
  • 設定帳戶名稱
    • 我們可以在任何的容器中新增使用者帳戶 , 舉例來說 , 如果要在 Users 容器中新增使用者帳戶 , 請在該容器上按右鈕 , 執行『 新增 / 使用者 』命令 , 就會啟動精靈 , 首先要設定的就是帳戶的名稱:
  • 設定帳戶名稱
  • 設定帳戶名稱
    • 上圖中使用者登入名稱即是所謂的 User Principle Name (UPN) 名稱 , UPN 與 e-mail 具有相似的格式 , 例如:『 [email_address] 』 , 其中『 emily 』是使用者帳戶名稱 , 『 xdom.com 』則代表該帳戶所在的網域名稱。 UPN 名稱的後半部 (@xdom.com) 又稱為 UPN 尾碼。
  • 利於網域管理的命名原則
    • 使用者的全名在同一個容器不得重複;而 UPN 名稱在整個網域 (Domain) 、網域樹狀目錄 (Domain Tree) 與樹系 (Forest) 中都不得重複。
    • 使用者的姓名與 UPN 名稱可以使用中文 , 但如果網域內有非 Windows Server 2003 電腦 , 為避免在這些電腦上無法輸入中文帳戶 , 建議 UPN 名稱不要使用中文。
  • 利於網域管理的命名原則
    • 如需與 Windows NT4.0 相容 , 使用者登入名稱 則不要超過 20 個字元 , 並且不要包含『 &quot; / : ; | = , + * ? < 和 > 』等特殊符號。
  • 設定帳戶密碼
    • 按前圖的 下一步 鈕 , 進入設定密碼的交談窗:
  • 設定帳戶密碼
    • 使用者必須在下次登入時變更密碼
      • 在交談窗的 密碼 欄與 確認密碼 欄的設定只是個初始值。勾選此項後 , 使用者第一次以該帳戶登入網域時 , 系統會顯示另一個交談窗 , 強制使用者自定新的密碼 , 爾後必須用此新密碼來登入。如此可確保連系統管理員都不知道自己的密碼。
  • 設定帳戶密碼
    • 使用者不能變更密碼
      • 在預設的情況下 , 使用者可以隨時按 [Ctrl] + [Alt] + [Del] 鍵 , 然後按 變更密碼 鈕來變更密碼。若勾選此項 , 就可以鎖定此帳戶的密碼 , 讓使用者無法變更。
      • 建議您鎖定像 Guest 這種共用帳戶的密碼 , 讓任何人都可以使用該帳戶 , 但不能更改密碼。
  • 設定帳戶密碼
    • 密碼永久有效
      • 勾選此項後 , 系統會忽略群組原則中有關密碼有效期限的設定。亦即 , 此帳戶的密碼永遠不會過期 , 系統不會要求使用者變更密碼。
      • 此選項與 使用者必須在下次登入時變更密碼 彼此互斥 , 兩者不能同時勾選。
  • 設定帳戶密碼
    • 帳戶已停用
      • 若勾選此項 , 任何人都無法使用這個帳戶來登入網域 , 適用於當某位員工離職或休長假時 , 可以避免其他人冒用他的身份。
  • 設定帳戶密碼
    • 密碼設定完成後 , 請按 下一步 鈕繼續:
  • 網域使用者帳戶 VS. 本機使用者帳戶
    • 在網域控制站上建立的是 網域使用者帳戶 , 這個帳戶的資料會儲存在 AD 中 , 可用來登入網域、存取網域內的資源 。
    • 非網域控制站的 Windows Server 2003 獨立伺服器、成員伺服器、以及 Windows XP 用戶端 , 則會有另一組 本機使用者帳戶 , 本機使用者帳戶的資料不會發佈到 AD 上 , 只存在本機中。因此該帳戶只能登入帳戶所在的電腦 , 存取該台電腦上的資源 , 而無法登入網域。
  • 建立本機使用者帳戶 ( 非 DC)
    • 執行『 開始 / 系統管理工具 / 電腦管理 』 命令:
  • 建立本機使用者帳戶 ( 非 DC)
  • 建立本機使用者帳戶 ( 非 DC)
    • 本機使用者帳戶適用於 工作群組 (Workgroup) 的網路環境 , 一般不會在加入網域的電腦上建立本機使用者帳戶 , 因為:
      • 系統管理員無法在 Active Directory 使用者及電腦主控台 , 集中管理本機使用者帳戶 , 而必須到各台電腦上 , 進行本機使用者帳戶的權限設定 , 如此反而增加管理上的負擔。
      • 本機使用者帳戶只能在本機電腦上使用 , 無法存取網域中其他電腦的資源 , 實用性不高。
  • 如何登入網域或本機
  • 如何登入網域或本機
    • 除了按 選項 鈕來改變登入的目的外 , 也可直接在 使用者名稱 欄輸入 UPN 名稱。要登入本機 , 就輸入『 電腦名稱 帳戶名稱 』;要登入網域 , 則輸入『 網域名稱 帳戶名稱 』。
  • 如何登入網域或本機
  • 內建的 Administrator 與 Guest 帳戶 這個是我們剛才新增的使用者帳戶
  • Administrator – 系統管理員帳戶
    • 此帳戶對網域有最大的控制權 ( 可以管理帳戶和群組、檔案與印表機 , 以及設定群組原則等 ), 我們無法刪除它。
    • 建議您將 Administrator 帳戶重新命名 , 讓想破解系統管理員帳戶密碼的人 , 無法猜到帳戶名稱。
  • Administrator 帳戶的特色
    • 密碼永久有效。
    • Administrator 帳戶無法被停用。
    • Administrator 帳戶永遠不會到期。
    • Administrator 帳戶不受登入時數與只能使用指定電腦登入的限制。
  • Guest - 來賓帳戶
    • Guest 是所謂的 來賓 帳戶 , 其用途是供未擁有帳戶的使用者 , 可利用 Guest 帳戶登入系統 , 存取一些公開的資源。此帳戶的用意 , 主要是為方便想提供公開資源的網路環境 , 不必讓所有的使用者都擁有個人的帳戶。
    • 基於安全的考量 , 系統預設停用此帳戶 , 因為若啟用 Guest 帳戶 , 任何人都可以透過 網路上的芳鄰 使用網域中部分的資源。
  • 使用者帳戶的內容
    • 新增使用者帳戶後 , 系統管理員需要對該帳戶做進一步的設定 , 例如:輸入電子郵件位址、限制登入的時間、設定 主資料夾 以及將帳戶加入群組等等。這些資料都是在帳戶的 內容 交談窗中設定。
  • 使用者帳戶的內容
  • 輸入帳戶的 電子郵件帳號與首頁
    • 開啟帳戶的內容交談窗後 , 預設停留在 一般 頁次 , 在此頁次中可以設定使用者的姓名、電子郵件帳號以及首頁 . . . 等個人資料:
  • 輸入帳戶的 電子郵件帳號與首頁
  • 輸入帳戶的 電子郵件帳號與首頁
    • 輸入電子郵件帳號與網址後 , 就可以在 Active Directory 使用者及電腦 主控台中執行以下動作:
      • 在帳戶名稱上按右鈕 , 執行『 傳送郵件 』命令 , 即可啟動電子郵件用戶端程式 ( 預設為 Outlook Express), 寄發信件給這個使用者。
      • 在帳戶名稱上按右鈕 , 執行『 開啟首頁 』命令 , 即可啟動瀏覽器瀏覽其網頁。
  • 限制登入的時間與 能夠登入的工作站
  • 限制帳戶登入的時間
    • 要限制帳戶登入的時間 , 請按上圖的 登入時數 鈕 , 開啟如下的交談窗:
  • 限制帳戶登入的時間
    • 舉例來說 , 若要設定只有週一到週五的上午 8 時至下午 6 時 , 允許此帳戶登入網域 , 請先選取上圖中的 拒絕登入 單選鈕 , 將所有時間都設為不能登入網域 ( 亦即藍色方塊全部變為白色方塊 ), 然後參考下面的步驟來做:
  • 限制帳戶登入的時間
  • 限制帳戶登入的時間
    • 此處的設定只能限制使用者能夠登入網域的時段 , 但如果帳戶在允許的時段內登入網域 , 一直連線到超過指定的時間 ( 例如下午 6 : 01 還在用電腦 ), 系統並不會自動將其登出。若要強迫使用者超過設定時間就被迫登出網域 , 必須在群組原則的 電腦設定 / Windows 設定 / 安全性設定 / 本機原則 / 安全性選項 中設定 超過登入時數就自動將使用者登出原則 :
  • 限制帳戶登入的時間
  • 限制帳戶只能由特定電腦 登入網域
    • 請按 登入到 鈕 , 開啟如下的交談窗:
  • 限制帳戶只能由特定電腦 登入網域
    • 在 電腦名稱 欄位中只接受 NetBIOS 名稱 ( 如: Cobra), 而不支援 DNS 名稱或 IP 位址:
  • 取消帳戶鎖定與設定帳戶到期日
  • 取消帳戶鎖定與設定帳戶到期日
    • 帳戶已鎖定多選鈕 預設是無法勾選的 , 因為這項設定是提供給系統本身的安全防衛機制使用的:當使用者輸入錯誤密碼導致登入失敗多次 , 這時系統就會將帳戶『鎖定』 , 也就是無法再用此帳戶登入網域。在這種情況下 , 系統管理員需進入 Active Directory 使用者及電腦 , 手動取消此選項 , 才能重新啟用該帳戶。
  • 取消帳戶鎖定與設定帳戶到期日
    • 設定 帳戶到期日 的目的 , 是為了不讓臨時約聘人員在離職後仍能存取資源 , 因此最好事先設定帳戶到某日後自動失效 , 如此系統管理員屆時就無須手動停用此帳戶。請注意!若使用者一直不登出 , 即使超過帳戶到期日 , 系統並不會自動將其登出 , 亦即帳戶到期日只在下次登入時生效。