文档详细说明了如何在 Windows Server 中管理用户账户，包括将账户添加到不同权限的群组、使用本地和域群组、以及不同域的操作模式。此外，它介绍了如何进行批量账户处理、重命名、删除及密码重置等操作，以及如何使用用户配置文件。最后，还提及了 runas 命令的使用方法，便于以特定身份执行程序。

1. 建立與管理 帳戶 part2

2. 將帳戶加入群組中 預設在 網域控制站 上新增的帳戶都會隸屬於 Domain Users 群組 , 如果要讓這個帳戶擁有較多的權限 , 可以在 成員隸屬 頁次將帳戶加入其它的群組中：

3. 將帳戶加入群組中

4. 將帳戶加入群組中

5. 將帳戶加入群組中 若不記得群組的名稱 , 可在上述畫面中按下 進階 鈕 , 就會出現如下畫面讓我們搜尋群組名稱：

6. 將帳戶加入群組中

7. 將帳戶加入群組中

8. 本機群組 (Local Group)-1 在本機建立的群組稱之為本機群組，獨立伺服器或成員伺服器都擁有內建的本機群組： ─ Administrators ：此群組成員可以完全不受限制地存取本機資源，內建本機 使用者帳戶 Administrator 即為此群組之預設成員。本機電腦加入網域後，網域 上的通用群組 Domain Admins 會自動加入此群組，代表網域上具有系統管理員 身分的使用者在本機上亦具有系統管理員的身分。

9. 本機群組 (Local Group)-2 ─ Guests ：此群組成員只能以管理員授與的權限存取資源，內建本機使用者 帳戶 Guest 即為此群組之預設成員。本機電腦加入網域後，網域上的通用群組 Domain Guests 會自動加入此群組。 ─ Power Users ：此群組成員可以安裝應用程式、新增 / 刪除 / 修改本機使用 者帳戶與群組，並且擁有管理本機共用資料夾與印表機的權利，但是不具有 更改檔案的擁有權、備份或還原資料、管理安全與稽核記錄之權利。 ─ Users ：此群組成員只可以執行得到授權的應用程式。本機電腦加 入網域後，網域上的通用群組 Domain Users 會自動加入此群組。

10. 網域區域群組 (Domain Local Group) 網域區域群組可以包含 任何網域的使用者帳戶 、 通用群組 、 萬用群組 及 同網域的網域區域群組 ，但其權限範圍僅限於同網域 ( 建立該群組的網域 ) 的資源；換言之，網域區域群組只限於存取同網域的資源，無法存取其他 網域的資源。在管理網域資源時，一般都會把存取權限指派給網域區域群組 ，而不會直接指派給使用者帳戶 ( 如下圖 ) 。

11. 通用群組 (Global Group) 通用群組通常被用來組織需要相同權限的使用者帳戶，例如將同屬業務部門 的員工，加入稱為「 sales 」的通用群組。此群組可包含 同網域的使用者帳戶 與 其他通用群組 ，但其權限範圍是整個樹系之資源；然而實際應用上，最好 將通用群組加入網域區域群組，而不要直接將權限指派給通用群組 ( 如下圖 ) 。

12. 萬用群組 (Universal Group) 萬用群組只會在網域模式為 Windows 2000 純粹模式或 Windows Server 2003 模式中出現，可以包含 任何網域的使用者帳戶 、 通用群組 與 萬用群組 ，但其權 限範圍是整個樹系之資源。既然萬用群組可以包含整個樹系中任一網域的使用 者帳戶，何不捨棄通用群組，只使用萬用群組來管理網域？

13. 特殊系統群組 -1 特殊系統群組是系統為了某些管理上的方便，自動將使用者組織起來。 此群組平常在「電腦管理」或「 Active Directory 使用者及電腦」中無法看到 ，只會在指派使用者權利或設定權限時才會出現。 ─ Everyone ：所有登入該網域的使用者， Guest 也是其成員之一。 ─ Authenticated Users ：經過授權的合法使用者。

14. 特殊系統群組 -2 ─ Interactive ：任何在本機登入的使用者。 ─ Network ：透過網路連線到本機上分享資源的使用者。 ─ Anonymous Logon ：匿名進入的使用者。在 Windows 2000 以前， Anonymous Logon 預設為 Everyone 群組成員之一，但在 Windos 2003 中 已不再屬於 Everyone 群組。 ─ Dialup ：撥號連線的使用者。

15. 網域運作模式 Windows Server 2003 提供之網域運作模式 ( 或稱為『網域的功能等級』 ) 有 3 種： Windows 2000 混合模式 (Mixed mode) Windows 2000 純粹模式 (Native mode) Windows Server 2003 模式。 在不同模式下 , 所能執行的功能有頗大的差異。因此何時該變更模式、如何變更模式 , 是每位網管人員必備的知識。

16. Windows 2000 純粹模式 欲採用純粹模式 , 必須符合唯一的條件：所有的 DC 都必須安裝 Windows 2000 Server 或 Windows Server 2003 系統。至於其他非 DC 的電腦 , 則無此限制。

17. 純粹模式的特性 除了 網域區域群組 (Domain local group) 和 通用群組 (Global group) 外 , 另外多了 萬用群組 (Universal group) 。 支援更複雜 , 且更多層次的群組巢接 (Group nesting) 功能。例如：網域區域群組可以包含同網域其他的網域區域群組或同樹系的通用群組和萬用群組。

18. 網域區域、通用及萬用群組 網域區域群組 主要用來將任意網域的成員組成群組 , 指定該群組所在網域的資源使用權限 , 給該群組中的成員。 通用群組 主要用來將單一網域的成員組成需要相同權限的群組。 萬用群組 主要用來將任意網域的成員組成群組 , 指定任意網域的資源使用權限 , 給該群組中的成員。

19. Windows 2000 混合模式 使用混合模式的情形為：網域中同時包含 Windows 2000 Server 、 Windows Server 2003 之 DC , 以及 Windows NT 4.0 的備份網域控制站 (Backup Domain Controller, BDC) 。 微軟 之所以這樣設計 , 主要是提供 Windows NT 使用者一個『 漸進升級 』的選擇。

20. Windows 2000 混合模式 當您計劃將原有的 Windows NT 之網域升級到 Windows Server 2003 的環境時 , 可以先採混合模式 , 讓 Windows NT 系統之 BDC 和 Windows 2000 Server 系統之 DC 並行運作一段時間。等到一切正常之後 , 再將所有的 BDC 都升級成安裝 Windows Server 2003 系統之 DC, 並變更網域運作模式為 Windows 2000 純粹模式或 Windows Server 2003 模式。

21. Windows Server 2003 模式 雖然 Windows 2000 Server 已提供了 AD 服務 , 但是 Windows Server 2003 又加強許多 AD 服務的功能性與便利性。若網域內的 DC 皆安裝了 Windows Server 2003 系統 , 將 DC 提升到 Windows Server 2003 模式 , 便能充份運用其 AD 服務之新管理功能。

22. 如何變更網域的模式 Windows Server 2003 預設的網域模式為 Windows 2000 混合模式 , 所以您必須自行轉換成其他模式。 欲變更網域模式 , 首先執行『 開始 / 系統管理工具 / Active Directory 網域及信任 』命令 , 並如下操作：

23. 如何變更網域的模式

24. 如何變更網域的模式

25. 如何變更網域的模式

26. 同時處理多個帳戶 如果我們想將多個帳戶做相同的處理 , 例如都設成相同的網頁、一樣的登入時間、下次登入都要改密碼 ... 等 , 不必逐一分開設定 , 可同時選取多個帳戶來進行管理。以下就用設成相同網頁、不可修改密碼為例 , 示範這種操作方式：

27. 同時處理多個帳戶

28. 同時處理多個帳戶

29. 同時處理多個帳戶

30. 同時處理多個帳戶 利用這種技巧 , 在管理時就可省下很多時間。不過並非所有的設定都可使用這種方式 , 由前圖可發現 , 選取多個使用者帳戶開啟的 內容 交談窗 , 其中的頁次比開啟單一帳戶 內容 交談窗少很多 , 這些未列出的設定值 , 就只好各別設定了。

31. 管理使用者帳戶 刪除帳戶 停用帳戶 複製帳戶 重新命名 重設密碼 移動帳戶 傳送電子郵件 開啟帳戶首頁

32. 刪除帳戶 一旦將帳戶刪除 , 即使重新建立同名的帳戶 , 系統還是會賦予新的 SID, 亦即其權限不會和之前的一樣 , 必須重新指派。 在刪除帳戶前 , 請先確定電腦或網路中是否有該帳戶加密的重要檔案以及網域中是否已設定加密資料修復代理 , 若未設定加密資料修復代理 , 而且有該帳戶加密的重要檔案 , 就要先將檔案解密再刪除帳戶 , 否則帳戶一旦刪除就不能將檔案解密了。

33. 刪除帳戶

34. 停用帳戶

35. 停用帳戶 停用某個帳戶之後 , 該帳戶的圖示上就會出現打叉符號 , 表示目前沒有人可以使用它來登入網域。 若要重新啟用帳戶 , 只須在該帳戶上按右鈕 , 執行『 啟用帳戶 』命令即可。

36. 複製帳戶 同一個部門的員工 , 一般而言都隸屬於相同的群組 , 具有相同的權限。系統管理員可先建好一位員工的帳戶 , 然後以此帳戶為範本 , 利用複製帳戶功能 , 複製出多個帳戶。複製時 , 只需重新設定新使用者的姓名、登入名稱及密碼 , 其它的設定則會延用原帳戶的內容 , 使新的的帳戶和原來的範本帳戶 , 都會屬於相同的群組 , 具有相同的權限。

37. 複製帳戶

38. 複製帳戶

39. 重新命名

40. 重新命名

41. 重新命名

42. 重設密碼 當使用者忘記密碼時 , 即使是系統管理員也無法查知其密碼為何 , 此時就必須重新設定該帳戶的密碼：

43. 重設密碼

44. 移動帳戶

45. 傳送電子郵件 在帳戶內容交談窗的 一般 頁次中 , 如果輸入了該帳戶的電子郵件帳號 , 則除了方便我們在 AD 中搜尋使用者外 , 還可以直接啟動預設的電子郵件處理程式 , 寄發信件給該使用者：

46. 傳送電子郵件

47. 使用者設定檔 本機使用者設定檔 (Local Profile) 漫遊使用者設定檔 (Roaming Profile) 強制使用者設定檔 (Mandatory Profile)

48. 本機使用者設定檔 在預設的情況下 , 使用者第一次在某一台電腦登入時 , 系統便會在該電腦系統磁碟的 Documents and Settings 資料夾中自動建立一個與帳戶同名的子資料夾 , 然後將預設的設定檔資料複製到此資料夾中 , 成為該帳戶的本機使用者設定檔：

49. 本機使用者設定檔

50. 本機使用者設定檔

51. 看不到 Default User 資料夾 Default User 是一個隱藏的資料夾 , 如果您看不到此資料夾 , 這是因為資料夾選項被設為 不顯示隱藏的檔案和資料夾 。 此時可執行『 工具 / 資料夾選項 』命令 , 然後切換到檢視頁次進行如下設定即可看到 Default User 資料夾：

52. 看不到 Default User 資料夾

53. 本機使用者設定檔 如果下次使用另一台電腦登入 ( 假設從來沒有用過這台電腦 ), 則該電腦又會自動產生此帳戶的 本機使用者設定檔 。 本機帳戶其設定檔資料夾為『 帳戶名稱 』 , 而網域帳戶其設定檔資料夾為『 帳戶名稱 . 網域名稱 』 , 隨著使用者選擇登入本機或登入網域 , 分別套用不同的設定檔 , 登出時 , 變動的部分只更新到所使用的帳戶 , 不會影響到另一個帳戶：

54. 本機使用者設定檔

55. RUNAS 命令 在視窗環境中執行 RUNAS 命令 在命令提示字元中執行 RUNAS 命令 指定捷徑的執行身份

56. 在視窗環境中執行 RUNAS 命令 要在視窗環境中執行 RUNAS 命令非常簡單 , 只需在 .EXE 或 .MSC 檔上按下滑鼠右鈕：

57. 在視窗環境中執行 RUNAS 命令

58. 在命令提示字元中執行 RUNAS 命令

59. 在命令提示字元中執行 RUNAS 命令 以開啟 電腦管理 主控台為例：啟動 命令提示字元 或執行『 開始 / 執行 』命令 , 然後輸入 runas /user: administrator@ xdom.com "mmc %windir%\system32\

60. 查看 RUNAS.EXE 的詳細語法

61. 指定捷徑的執行身份 先在桌面上建立『 c:\windows\system32\cmd.exe 』這個執行檔的捷徑：

62. 指定捷徑的執行身份

63. 指定捷徑的執行身份

64. 指定捷徑的執行身份 完成上述設定後 , 當雙按捷徑時 , 就會出現交談窗詢問要用什麼身份來執行：