建立與管理 帳戶
新增網域使用者帳戶 <ul><li>Windows Server 2003  會將所有使用者帳戶資訊存於一個特別的位置 ,  依伺服器類型不同其位置也不同: </li></ul><ul><ul><li>網域控制站會將帳戶資訊存於  AD  資料...
Security Identifier (SID) <ul><li>當系統管理員新增了一個使用者帳戶 ,  系統會自動賦予一個  Security Identifier (SID)  給該帳戶。 SID  為獨一無二的數字 ,  也是  Win...
新增網域使用者帳戶 <ul><li>執行『 開始  /  系統管理工具  / Active Directory  使用者及電腦 』命令: </li></ul>
安裝  AD  預設會有  5  種容器 <ul><li>Builtin : 用來存放內建本機群組  ( 例如: Administrators, Account Operators, Guests,  及 Users)  。 </li></ul...
安裝  AD  預設會有  5  種容器 <ul><li>Domain Controllers : 用來存放網域控制站。換言之 ,  在網域內若有多部網域控制站 ,  都會顯示在這裡。 </li></ul><ul><li>Foreign Sec...
設定帳戶名稱 <ul><li>我們可以在任何的容器中新增使用者帳戶 ,  舉例來說 ,  如果要在  Users  容器中新增使用者帳戶 ,  請在該容器上按右鈕 ,  執行『 新增  /  使用者 』命令 ,  就會啟動精靈 ,  首先要設定...
設定帳戶名稱
設定帳戶名稱 <ul><li>上圖中使用者登入名稱即是所謂的  User Principle Name (UPN)  名稱 , UPN  與  e-mail  具有相似的格式 ,  例如:『 [email_address] 』 ,  其中『 e...
利於網域管理的命名原則 <ul><li>使用者的全名在同一個容器不得重複;而  UPN  名稱在整個網域  (Domain) 、網域樹狀目錄  (Domain Tree)  與樹系  (Forest)  中都不得重複。 </li></ul><u...
利於網域管理的命名原則 <ul><li>如需與  Windows NT4.0  相容 ,  使用者登入名稱 則不要超過  20  個字元 ,  並且不要包含『  &quot; / : ; | = , + * ? <  和  > 』等特殊符號。 ...
設定帳戶密碼 <ul><li>按前圖的 下一步 鈕 ,  進入設定密碼的交談窗: </li></ul>
設定帳戶密碼 <ul><li>使用者必須在下次登入時變更密碼 </li></ul><ul><ul><li>在交談窗的 密碼 欄與 確認密碼 欄的設定只是個初始值。勾選此項後 ,  使用者第一次以該帳戶登入網域時 ,  系統會顯示另一個交談窗 ,...
設定帳戶密碼 <ul><li>使用者不能變更密碼 </li></ul><ul><ul><li>在預設的情況下 ,  使用者可以隨時按  [Ctrl] + [Alt] + [Del]  鍵 ,  然後按 變更密碼 鈕來變更密碼。若勾選此項 ,  ...
設定帳戶密碼 <ul><li>密碼永久有效 </li></ul><ul><ul><li>勾選此項後 ,  系統會忽略群組原則中有關密碼有效期限的設定。亦即 ,  此帳戶的密碼永遠不會過期 ,  系統不會要求使用者變更密碼。 </li></ul>...
設定帳戶密碼 <ul><li>帳戶已停用 </li></ul><ul><ul><li>若勾選此項 ,  任何人都無法使用這個帳戶來登入網域 ,  適用於當某位員工離職或休長假時 ,  可以避免其他人冒用他的身份。 </li></ul></ul>
設定帳戶密碼 <ul><li>密碼設定完成後 ,  請按 下一步 鈕繼續: </li></ul>
網域使用者帳戶  VS.    本機使用者帳戶 <ul><li>在網域控制站上建立的是 網域使用者帳戶 ,  這個帳戶的資料會儲存在  AD  中 , 可用來登入網域、存取網域內的資源 。 </li></ul><ul><li>非網域控制站的  ...
建立本機使用者帳戶 ( 非 DC) <ul><li>執行『 開始  /  系統管理工具  /  電腦管理 』 命令: </li></ul>
建立本機使用者帳戶 ( 非 DC)
建立本機使用者帳戶 ( 非 DC) <ul><li>本機使用者帳戶適用於 工作群組  (Workgroup)   的網路環境 ,  一般不會在加入網域的電腦上建立本機使用者帳戶 ,  因為: </li></ul><ul><ul><li>系統管理...
如何登入網域或本機
如何登入網域或本機 <ul><li>除了按 選項 鈕來改變登入的目的外 ,  也可直接在 使用者名稱 欄輸入  UPN  名稱。要登入本機 ,  就輸入『 電腦名稱    帳戶名稱 』;要登入網域 ,  則輸入『 網域名稱    帳戶名稱 』。...
如何登入網域或本機
內建的  Administrator    與  Guest  帳戶 這個是我們剛才新增的使用者帳戶
Administrator – 系統管理員帳戶 <ul><li>此帳戶對網域有最大的控制權  ( 可以管理帳戶和群組、檔案與印表機 ,  以及設定群組原則等 ),  我們無法刪除它。 </li></ul><ul><li>建議您將  Admini...
Administrator  帳戶的特色 <ul><li>密碼永久有效。 </li></ul><ul><li>Administrator  帳戶無法被停用。 </li></ul><ul><li>Administrator  帳戶永遠不會到期。 ...
Guest -  來賓帳戶 <ul><li>Guest  是所謂的 來賓 帳戶 ,  其用途是供未擁有帳戶的使用者 ,  可利用  Guest  帳戶登入系統 ,  存取一些公開的資源。此帳戶的用意 ,  主要是為方便想提供公開資源的網路環境 ...
使用者帳戶的內容 <ul><li>新增使用者帳戶後 ,  系統管理員需要對該帳戶做進一步的設定 ,  例如:輸入電子郵件位址、限制登入的時間、設定 主資料夾 以及將帳戶加入群組等等。這些資料都是在帳戶的 內容 交談窗中設定。 </li></ul>
使用者帳戶的內容
輸入帳戶的   電子郵件帳號與首頁 <ul><li>開啟帳戶的內容交談窗後 ,  預設停留在 一般 頁次 ,  在此頁次中可以設定使用者的姓名、電子郵件帳號以及首頁 . . . 等個人資料: </li></ul>
輸入帳戶的   電子郵件帳號與首頁
輸入帳戶的   電子郵件帳號與首頁 <ul><li>輸入電子郵件帳號與網址後 ,  就可以在 Active Directory  使用者及電腦 主控台中執行以下動作: </li></ul><ul><ul><li>在帳戶名稱上按右鈕 ,  執行『...
限制登入的時間與   能夠登入的工作站
限制帳戶登入的時間 <ul><li>要限制帳戶登入的時間 ,  請按上圖的 登入時數 鈕 ,  開啟如下的交談窗: </li></ul>
限制帳戶登入的時間 <ul><li>舉例來說 ,  若要設定只有週一到週五的上午  8  時至下午  6  時 ,  允許此帳戶登入網域 ,  請先選取上圖中的 拒絕登入 單選鈕 ,  將所有時間都設為不能登入網域  ( 亦即藍色方塊全部變為白...
限制帳戶登入的時間
限制帳戶登入的時間 <ul><li>此處的設定只能限制使用者能夠登入網域的時段 ,  但如果帳戶在允許的時段內登入網域 ,  一直連線到超過指定的時間  ( 例如下午  6 : 01  還在用電腦 ),  系統並不會自動將其登出。若要強迫使用者...
限制帳戶登入的時間
限制帳戶只能由特定電腦 登入網域 <ul><li>請按 登入到 鈕 ,  開啟如下的交談窗: </li></ul>
限制帳戶只能由特定電腦 登入網域 <ul><li>在 電腦名稱 欄位中只接受  NetBIOS  名稱  ( 如: Cobra),  而不支援  DNS  名稱或  IP  位址: </li></ul>
取消帳戶鎖定與設定帳戶到期日
取消帳戶鎖定與設定帳戶到期日 <ul><li>帳戶已鎖定多選鈕 預設是無法勾選的 ,  因為這項設定是提供給系統本身的安全防衛機制使用的:當使用者輸入錯誤密碼導致登入失敗多次 ,  這時系統就會將帳戶『鎖定』 ,  也就是無法再用此帳戶登入網域...
取消帳戶鎖定與設定帳戶到期日 <ul><li>設定 帳戶到期日 的目的 ,  是為了不讓臨時約聘人員在離職後仍能存取資源 ,  因此最好事先設定帳戶到某日後自動失效 ,  如此系統管理員屆時就無須手動停用此帳戶。請注意!若使用者一直不登出 , ...
Upcoming SlideShare
Loading in …5
×

User Manage

2,452 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,452
On SlideShare
0
From Embeds
0
Number of Embeds
39
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

User Manage

  1. 1. 建立與管理 帳戶
  2. 2. 新增網域使用者帳戶 <ul><li>Windows Server 2003 會將所有使用者帳戶資訊存於一個特別的位置 , 依伺服器類型不同其位置也不同: </li></ul><ul><ul><li>網域控制站會將帳戶資訊存於 AD 資料庫中。 </li></ul></ul><ul><ul><li>非網域控制站的成員伺服器 , 或工作群組中的獨立伺服器 , 則將帳戶資料存於 Security Accounts Manager (SAM) 資料庫。 </li></ul></ul>
  3. 3. Security Identifier (SID) <ul><li>當系統管理員新增了一個使用者帳戶 , 系統會自動賦予一個 Security Identifier (SID) 給該帳戶。 SID 為獨一無二的數字 , 也是 Windows Server 2003 實際上用來辨識使用者的依據 , 它並不因帳戶重新命名或重設密碼而更動 , 即使重新建立一個與已經被刪除的帳戶同名、同權限的帳戶 , 新舊帳戶的 SID 仍不會一樣。 </li></ul>
  4. 4. 新增網域使用者帳戶 <ul><li>執行『 開始 / 系統管理工具 / Active Directory 使用者及電腦 』命令: </li></ul>
  5. 5. 安裝 AD 預設會有 5 種容器 <ul><li>Builtin : 用來存放內建本機群組 ( 例如: Administrators, Account Operators, Guests, 及 Users) 。 </li></ul><ul><li>Computers : 用來存放網域內電腦帳戶 , 當 Windows 2000 / XP / 2003 電腦加入網域時 , 這些電腦的帳戶都會存放於此。 </li></ul>
  6. 6. 安裝 AD 預設會有 5 種容器 <ul><li>Domain Controllers : 用來存放網域控制站。換言之 , 在網域內若有多部網域控制站 , 都會顯示在這裡。 </li></ul><ul><li>Foreign Security Principals : 儲存來自有信任關係網域的物件。 </li></ul><ul><li>Users : 用來存放網域內的使用者帳戶及群組。 </li></ul>
  7. 7. 設定帳戶名稱 <ul><li>我們可以在任何的容器中新增使用者帳戶 , 舉例來說 , 如果要在 Users 容器中新增使用者帳戶 , 請在該容器上按右鈕 , 執行『 新增 / 使用者 』命令 , 就會啟動精靈 , 首先要設定的就是帳戶的名稱: </li></ul>
  8. 8. 設定帳戶名稱
  9. 9. 設定帳戶名稱 <ul><li>上圖中使用者登入名稱即是所謂的 User Principle Name (UPN) 名稱 , UPN 與 e-mail 具有相似的格式 , 例如:『 [email_address] 』 , 其中『 emily 』是使用者帳戶名稱 , 『 xdom.com 』則代表該帳戶所在的網域名稱。 UPN 名稱的後半部 (@xdom.com) 又稱為 UPN 尾碼。 </li></ul>
  10. 10. 利於網域管理的命名原則 <ul><li>使用者的全名在同一個容器不得重複;而 UPN 名稱在整個網域 (Domain) 、網域樹狀目錄 (Domain Tree) 與樹系 (Forest) 中都不得重複。 </li></ul><ul><li>使用者的姓名與 UPN 名稱可以使用中文 , 但如果網域內有非 Windows Server 2003 電腦 , 為避免在這些電腦上無法輸入中文帳戶 , 建議 UPN 名稱不要使用中文。 </li></ul>
  11. 11. 利於網域管理的命名原則 <ul><li>如需與 Windows NT4.0 相容 , 使用者登入名稱 則不要超過 20 個字元 , 並且不要包含『 &quot; / : ; | = , + * ? < 和 > 』等特殊符號。 </li></ul>
  12. 12. 設定帳戶密碼 <ul><li>按前圖的 下一步 鈕 , 進入設定密碼的交談窗: </li></ul>
  13. 13. 設定帳戶密碼 <ul><li>使用者必須在下次登入時變更密碼 </li></ul><ul><ul><li>在交談窗的 密碼 欄與 確認密碼 欄的設定只是個初始值。勾選此項後 , 使用者第一次以該帳戶登入網域時 , 系統會顯示另一個交談窗 , 強制使用者自定新的密碼 , 爾後必須用此新密碼來登入。如此可確保連系統管理員都不知道自己的密碼。 </li></ul></ul>
  14. 14. 設定帳戶密碼 <ul><li>使用者不能變更密碼 </li></ul><ul><ul><li>在預設的情況下 , 使用者可以隨時按 [Ctrl] + [Alt] + [Del] 鍵 , 然後按 變更密碼 鈕來變更密碼。若勾選此項 , 就可以鎖定此帳戶的密碼 , 讓使用者無法變更。 </li></ul></ul><ul><ul><li>建議您鎖定像 Guest 這種共用帳戶的密碼 , 讓任何人都可以使用該帳戶 , 但不能更改密碼。 </li></ul></ul>
  15. 15. 設定帳戶密碼 <ul><li>密碼永久有效 </li></ul><ul><ul><li>勾選此項後 , 系統會忽略群組原則中有關密碼有效期限的設定。亦即 , 此帳戶的密碼永遠不會過期 , 系統不會要求使用者變更密碼。 </li></ul></ul><ul><ul><li>此選項與 使用者必須在下次登入時變更密碼 彼此互斥 , 兩者不能同時勾選。 </li></ul></ul>
  16. 16. 設定帳戶密碼 <ul><li>帳戶已停用 </li></ul><ul><ul><li>若勾選此項 , 任何人都無法使用這個帳戶來登入網域 , 適用於當某位員工離職或休長假時 , 可以避免其他人冒用他的身份。 </li></ul></ul>
  17. 17. 設定帳戶密碼 <ul><li>密碼設定完成後 , 請按 下一步 鈕繼續: </li></ul>
  18. 18. 網域使用者帳戶 VS. 本機使用者帳戶 <ul><li>在網域控制站上建立的是 網域使用者帳戶 , 這個帳戶的資料會儲存在 AD 中 , 可用來登入網域、存取網域內的資源 。 </li></ul><ul><li>非網域控制站的 Windows Server 2003 獨立伺服器、成員伺服器、以及 Windows XP 用戶端 , 則會有另一組 本機使用者帳戶 , 本機使用者帳戶的資料不會發佈到 AD 上 , 只存在本機中。因此該帳戶只能登入帳戶所在的電腦 , 存取該台電腦上的資源 , 而無法登入網域。 </li></ul>
  19. 19. 建立本機使用者帳戶 ( 非 DC) <ul><li>執行『 開始 / 系統管理工具 / 電腦管理 』 命令: </li></ul>
  20. 20. 建立本機使用者帳戶 ( 非 DC)
  21. 21. 建立本機使用者帳戶 ( 非 DC) <ul><li>本機使用者帳戶適用於 工作群組 (Workgroup) 的網路環境 , 一般不會在加入網域的電腦上建立本機使用者帳戶 , 因為: </li></ul><ul><ul><li>系統管理員無法在 Active Directory 使用者及電腦主控台 , 集中管理本機使用者帳戶 , 而必須到各台電腦上 , 進行本機使用者帳戶的權限設定 , 如此反而增加管理上的負擔。 </li></ul></ul><ul><ul><li>本機使用者帳戶只能在本機電腦上使用 , 無法存取網域中其他電腦的資源 , 實用性不高。 </li></ul></ul>
  22. 22. 如何登入網域或本機
  23. 23. 如何登入網域或本機 <ul><li>除了按 選項 鈕來改變登入的目的外 , 也可直接在 使用者名稱 欄輸入 UPN 名稱。要登入本機 , 就輸入『 電腦名稱 帳戶名稱 』;要登入網域 , 則輸入『 網域名稱 帳戶名稱 』。 </li></ul>
  24. 24. 如何登入網域或本機
  25. 25. 內建的 Administrator 與 Guest 帳戶 這個是我們剛才新增的使用者帳戶
  26. 26. Administrator – 系統管理員帳戶 <ul><li>此帳戶對網域有最大的控制權 ( 可以管理帳戶和群組、檔案與印表機 , 以及設定群組原則等 ), 我們無法刪除它。 </li></ul><ul><li>建議您將 Administrator 帳戶重新命名 , 讓想破解系統管理員帳戶密碼的人 , 無法猜到帳戶名稱。 </li></ul>
  27. 27. Administrator 帳戶的特色 <ul><li>密碼永久有效。 </li></ul><ul><li>Administrator 帳戶無法被停用。 </li></ul><ul><li>Administrator 帳戶永遠不會到期。 </li></ul><ul><li>Administrator 帳戶不受登入時數與只能使用指定電腦登入的限制。 </li></ul>
  28. 28. Guest - 來賓帳戶 <ul><li>Guest 是所謂的 來賓 帳戶 , 其用途是供未擁有帳戶的使用者 , 可利用 Guest 帳戶登入系統 , 存取一些公開的資源。此帳戶的用意 , 主要是為方便想提供公開資源的網路環境 , 不必讓所有的使用者都擁有個人的帳戶。 </li></ul><ul><li>基於安全的考量 , 系統預設停用此帳戶 , 因為若啟用 Guest 帳戶 , 任何人都可以透過 網路上的芳鄰 使用網域中部分的資源。 </li></ul>
  29. 29. 使用者帳戶的內容 <ul><li>新增使用者帳戶後 , 系統管理員需要對該帳戶做進一步的設定 , 例如:輸入電子郵件位址、限制登入的時間、設定 主資料夾 以及將帳戶加入群組等等。這些資料都是在帳戶的 內容 交談窗中設定。 </li></ul>
  30. 30. 使用者帳戶的內容
  31. 31. 輸入帳戶的 電子郵件帳號與首頁 <ul><li>開啟帳戶的內容交談窗後 , 預設停留在 一般 頁次 , 在此頁次中可以設定使用者的姓名、電子郵件帳號以及首頁 . . . 等個人資料: </li></ul>
  32. 32. 輸入帳戶的 電子郵件帳號與首頁
  33. 33. 輸入帳戶的 電子郵件帳號與首頁 <ul><li>輸入電子郵件帳號與網址後 , 就可以在 Active Directory 使用者及電腦 主控台中執行以下動作: </li></ul><ul><ul><li>在帳戶名稱上按右鈕 , 執行『 傳送郵件 』命令 , 即可啟動電子郵件用戶端程式 ( 預設為 Outlook Express), 寄發信件給這個使用者。 </li></ul></ul><ul><ul><li>在帳戶名稱上按右鈕 , 執行『 開啟首頁 』命令 , 即可啟動瀏覽器瀏覽其網頁。 </li></ul></ul>
  34. 34. 限制登入的時間與 能夠登入的工作站
  35. 35. 限制帳戶登入的時間 <ul><li>要限制帳戶登入的時間 , 請按上圖的 登入時數 鈕 , 開啟如下的交談窗: </li></ul>
  36. 36. 限制帳戶登入的時間 <ul><li>舉例來說 , 若要設定只有週一到週五的上午 8 時至下午 6 時 , 允許此帳戶登入網域 , 請先選取上圖中的 拒絕登入 單選鈕 , 將所有時間都設為不能登入網域 ( 亦即藍色方塊全部變為白色方塊 ), 然後參考下面的步驟來做: </li></ul>
  37. 37. 限制帳戶登入的時間
  38. 38. 限制帳戶登入的時間 <ul><li>此處的設定只能限制使用者能夠登入網域的時段 , 但如果帳戶在允許的時段內登入網域 , 一直連線到超過指定的時間 ( 例如下午 6 : 01 還在用電腦 ), 系統並不會自動將其登出。若要強迫使用者超過設定時間就被迫登出網域 , 必須在群組原則的 電腦設定 / Windows 設定 / 安全性設定 / 本機原則 / 安全性選項 中設定 超過登入時數就自動將使用者登出原則 : </li></ul>
  39. 39. 限制帳戶登入的時間
  40. 40. 限制帳戶只能由特定電腦 登入網域 <ul><li>請按 登入到 鈕 , 開啟如下的交談窗: </li></ul>
  41. 41. 限制帳戶只能由特定電腦 登入網域 <ul><li>在 電腦名稱 欄位中只接受 NetBIOS 名稱 ( 如: Cobra), 而不支援 DNS 名稱或 IP 位址: </li></ul>
  42. 42. 取消帳戶鎖定與設定帳戶到期日
  43. 43. 取消帳戶鎖定與設定帳戶到期日 <ul><li>帳戶已鎖定多選鈕 預設是無法勾選的 , 因為這項設定是提供給系統本身的安全防衛機制使用的:當使用者輸入錯誤密碼導致登入失敗多次 , 這時系統就會將帳戶『鎖定』 , 也就是無法再用此帳戶登入網域。在這種情況下 , 系統管理員需進入 Active Directory 使用者及電腦 , 手動取消此選項 , 才能重新啟用該帳戶。 </li></ul>
  44. 44. 取消帳戶鎖定與設定帳戶到期日 <ul><li>設定 帳戶到期日 的目的 , 是為了不讓臨時約聘人員在離職後仍能存取資源 , 因此最好事先設定帳戶到某日後自動失效 , 如此系統管理員屆時就無須手動停用此帳戶。請注意!若使用者一直不登出 , 即使超過帳戶到期日 , 系統並不會自動將其登出 , 亦即帳戶到期日只在下次登入時生效。 </li></ul>

×