1 / 77

建立與管理帳戶

建立與管理帳戶. Windows 2000 系統實務 Ch08. 建立與管理帳戶. 建立 Windows 2000 之後, 接下來必須面對如何規劃使用者帳戶 ( User Account) 網管人員按照實際需要建立群組, 然後將資源的權限開放給群組, 最後把使用者帳戶加入群組中, 如此一來在相同群組中的使用者便擁有相同的權限. 簡介 Microsoft Management Console.

jenna-mccormick
Download Presentation

建立與管理帳戶

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 建立與管理帳戶 Windows 2000 系統實務 Ch08

  2. 建立與管理帳戶 • 建立 Windows 2000 之後, 接下來必須面對如何規劃使用者帳戶 (User Account) • 網管人員按照實際需要建立群組, 然後將資源的權限開放給群組, 最後把使用者帳戶加入群組中, 如此一來在相同群組中的使用者便擁有相同的權限

  3. 簡介 Microsoft Management Console • 除了 Active Directory 之外, MMC 可說是 Windows 2000 另一項重要的革新, 小自管理本機電腦, 大到管理多個網域, MMC 都是不可或缺的工具

  4. 什麼是 MMC -1 • 所有的 Windows 2000 管理工具都是以 MMC 介面呈現

  5. 什麼是 MMC -2 • MMC 是符合 Windows-based Multiple Document Interface (MDI) 規格的應用程式 (MMC.EXE) • 與 MMC 配合的檔案稱為 MS Management Console 檔 (副檔名為 MSC) • 雙按 MSC 檔案時, 系統也會自動使用 MMC.EXE 程式來開啟這個檔案 • 各種管理工具, 其實就是各種MSC 檔

  6. MMC 的介面 • 左窗格的樹狀目錄頁次 • 頁次的內容會隨不同的管理工具而不同 • 在左窗格選取物件後, 右窗格 (又稱 Detail Pane) 會顯示該物件的詳細資料 • 執行鈕, 用來對選取的物件, 執行特定的命令 • 檢視鈕, 用來控制右窗格資訊的顯示方式

  7. 新增網域使用者帳戶 -1 • 任何人要使用網域內的資源, 必須事先在網域控制站(Domain Controller)中儲存有這個網域使用者的帳戶 • 利用帳戶登入網域後, 便可以在該帳戶被賦予的權限範圍內, 使用網域的資源 • Windows 2000 將網域使用者帳戶儲存在 Security Accounts Manager (SAM) 資料庫

  8. 新增網域使用者帳戶 -2 • SAM 資料庫位於網域控制站的\%systemroot%\NTDS\NTDS.DIT檔 (其中 「%systemroot%」 表示安裝 Windows 2000 的資料夾, 預設為WINNT) • 當系統管理員新增了一個使用者帳戶, Windows 2000 會自動賦予一個 Security Identifier (SID) 給該新帳戶

  9. 新增網域使用者帳戶 -3 • SID 為獨一無二的數字, 也是 Windows 2000 實際上用來辨識使用者的依據, 它並不因帳戶重新命名或重設密碼而更動, 即使重新建立一個與已經被刪除的帳戶一模一樣的帳戶, 新舊帳戶的 SID 仍不會一樣

  10. 新增網域使用者帳戶 -4 • Builtin:用來存放內建本機群組(例如:Administrators, Account Operators, Guests, 及 Users) • Computers:用來存放網域內電腦帳戶, 當 Windows 2000 Professional/Server 加入網域時, 系統會自動在此產生對應的電腦帳戶

  11. 新增網域使用者帳戶 -5 • Domain Controllers:用來存放網域控制站, 在網域內若有多部網域控制站, 都會顯示在這裡 • ForeignSecurityPrincipals:儲存來自有信任關係網域的物件 • Users:用來存放網域內使用者帳戶及群組

  12. 設定帳戶名稱 • 要在 某容器中新增使用者帳戶, 請在該容器上按右鈕 • 使用者登入名稱即是所謂的 User Principle Name (UPN) 名稱, UPN 與 e-mail 具有相似的格式, 例如:「lmelvin@machinegunz.com」, 「lmelvin」 是使用者帳戶名稱, 「machinegunz.com」 則代表該帳戶所在的網域名稱

  13. 使用者帳戶的命名原則 • 使用者的全名在同一個容器不得重複 • 使用者的姓名與 UPN 名稱可以使用中文, 但如果網域內有非 Windows 2000 電腦, 為避免在這些電腦上無法輸入中文帳戶, 建議 UPN 名稱不要使用中文 • 為了與 Windows NT4.0 相容,使用者登入名稱最好少於 20 個字元, 並且不要包含 "/\:;|=,+*?< 和 > 等特殊符號

  14. 設定帳戶密碼 -1 • 密碼最多 128 個字元, 大小寫是有差別的! • 使用者必須在下次登入時變更密碼: 勾選此項後, 該帳戶的使用者第一次登入到網域時, 系統會出現另一個交談窗, 強制使用者自訂新的密碼。如此可確保連系統管理員都不知道自己的密碼

  15. 設定帳戶密碼 -2 • 使用者無法變更密碼: 預設在登入網域之後, 使用者可以隨時按 [Alt]+[Ctrl]+[Del] 鍵, 來變更密碼。若勾選此項, 就可以鎖定此帳戶的密碼, 讓使用者無法變更。建議您鎖定像 Guest 這種共用帳戶的密碼, 讓任何人都可以使用該帳戶, 但不能更改密碼

  16. 設定帳戶密碼 -3 • 密碼永久有效: 勾選此項後, 系統會忽略網域群組原則中有關密碼存留期的設定, 帳戶密碼永遠不會過期, 系統不會要求使用者變更密碼 • 帳戶已停用: 若勾選此項, 則任何人無法使用這個帳戶來登入網域, 適用於當某位員工休長假時, 可以避免其他人使用他的帳戶

  17. 網域使用者帳戶 VS. 本機使用者帳戶 • 在網域控制站上我們建立的是「網域使用者帳戶」, 資料會儲存在 AD 中, 用來登入網域, 存取網域內的資源 • 在「非」網域控制站 (獨立伺服器、成員伺服器, 以及 Windows 2000 Professional) 上沒有網域使用者帳戶, 只有「本機使用者帳戶」, 只存在本機中。因此該帳戶只能登入帳戶所在的電腦, 存取該台電腦上的資源, 並無法登入網域

  18. 建立本機使用者帳戶

  19. 本機使用者帳戶 • 本機使用者帳戶適用於工作群組 (Workgroup, 亦即不加入網域的模式) 中, 一般不會對於加入網域的電腦建立本機使用者帳戶, 因為: 系統管理員無法集中管理本機使用者帳戶, 因此必須到各台電腦上, 進行本機使用者帳戶的權限設定, 增加了管理的負擔。 本機使用者帳戶只能在本機電腦上使用, 無法存取其他電腦的資源, 實用性不高

  20. Administrator帳戶 • 對網域有最大的控制權, 我們無法刪除它。建議您重新命名

  21. Guest帳戶 • 系統預設停用此帳戶, 因為若啟用 Guest 帳戶, 任何人都可以使用網域中部分的資源。 • 舉例來說, 某人使用網域外的 Windows 98 電腦, 透過網路上的芳鄰要存取網域內的共享資料夾或印表機, 藉由Guest 帳戶, 他無須輸入帳戶名稱及密碼, 便可以順利取得想要的資源。這樣可能會造成管理上的漏洞,

  22. 使用者帳戶的內容 • 新增使用者帳戶後, 系統管理員需要對該帳戶做進一步的設定, 例如:輸入電子郵件位址、限制登入的時間、設定主資料夾以及將帳戶加入群組... 等

  23. 輸入電子郵件帳號與首頁

  24. 限制登入的時間與能夠登入的工作站

  25. 限制帳戶登入的時間 -1

  26. 限制帳戶登入的時間 -2 • 此處的設定只能限制使用者能夠登入網域的時段, 但如果帳戶在允許的時段內登入網域, 一直連線到超過指定的時間, 系統並不會自動將其登出 • 若要強迫使用者超過時間就登出網域, 必須在群組原則編輯器

  27. 限制帳戶只能由特定電腦登入網域 -1

  28. 限制帳戶只能由特定電腦登入網域 -2 • 要啟用此功能必須安裝 NetBIOS 通訊協定 (Windows 2000 預設會啟用 NetBIOS over TCP/IP, 所以不必另行安裝 NETBEUI 協定也無妨), 因為在電腦名稱欄位中只接受 NetBIOS 名稱 (如:Steve) 不支援 DNS 名稱或 IP 位址

  29. 取消帳戶鎖定與設定帳戶到期日 -1

  30. 取消帳戶鎖定與設定帳戶到期日 -2 • “帳戶已鎖定”多選鈕目前呈現灰色無法變更, 係因為這項設定必須在使用者輸入錯誤密碼造成登入失敗, 導致帳戶被鎖定後才有作用 • 事先設定帳戶到某日後自動失效, 如此屆時就無須手動停用此帳戶。請注意!若使用者一直不登出, 即使超過帳戶到期日, 系統並不會自動將其登出, 亦即帳戶到期日只在下次登入時生效

  31. 設定主資料夾 -1 • 設定主資料夾的目的, 主要是讓各帳戶在網路上有一個專屬的位置, 用來儲存它的資料;對系統管理員來說, 可以將各帳戶的主資料夾設定在同一部電腦中, 方便集中管理與備份 • 主資料夾的權限預設只有「該帳戶」以及 Administrators群組有完全控制權

  32. 設定主資料夾 -2 • 設定主資料夾的路徑之後, 系統就會立刻在該路徑中為帳戶建立主資料夾, 無須等到使用者下次登入才生效 • 無論使用者在哪一部電腦登入網域, 都能夠存取到他的主資料夾(因為登入後系統會自動將主資料夾連線為網路磁碟機) • 可以指定主資料夾是在本機電腦或在網路上的共用資料夾

  33. 將帳戶加入群組中 • 在網域控制站上新增的帳戶都會隸屬於 Domain Users群組

  34. 管理使用者帳戶 • 新增使用者帳戶之後, 系統管理員還可以對帳戶進行刪除、重新命名、移動、重設密碼... 等管理動作, 這些設定在使用者下一次登入時才會生效

  35. 刪除帳戶 • 使用者帳戶屬於安全性主體之一, Windows 2000 會賦予每個帳戶一個獨一無二的 SID, 我們可以指派資源的存取權限 給使用者帳戶。一旦將帳戶刪除, 其 SID 以及之前指派的權限也會一併移除;即使重新建立同名的帳戶, 系統還是會賦予新的 SID, 亦即其權限不會和之前的一樣, 必須重新指派

  36. 停用帳戶

  37. 複製帳戶 • 同一個部門的員工, 一般而言都隸屬於相同的群組, 具有相同的權限 • 系統管理員利用複製帳戶功能, 可以把除了使用者姓名、登入名稱及密碼之外, 其他的設定複製到新的帳戶中, 如此一來複製的帳戶和原來的範本帳戶就會屬於相同的群組, 具有相同的權限

More Related