第 7 章建立與管理使用者帳戶

第 7 章建立與管理使用者帳戶

本章重點 • 7 - 1 新增使用者帳戶 • 7 - 2 使用者帳戶的內容 • 7 - 3 管理使用者帳戶 • 7 - 4 RUNAS 命令 • 7 - 5 使用者設定檔

建立與管理使用者帳戶 • 任何人想要使用網域內的資源, 例如：電腦、印表機、共用資料夾等, 必須先以使用者帳戶登入網域, 之後才可以在授權範圍內使用網域的資源。 • 本章將介紹如何建立、設定、管理帳戶, 以及與帳戶有關的各項應用。

7 - 1 新增使用者帳戶 • Windows Server 2008 將使用者帳戶資訊儲存於固定的位置, 依伺服器類型不同, 其位置也不同： • 網域控制站會將帳戶資訊存於 AD 資料庫中, 該資料庫所對應的檔案為 \%systemroot%\NTDS\NTDS.DIT（『%systemroot%』表示 Windows Server 2008 系統所在的資料夾, 預設為 Windows）。

新增使用者帳戶 • 成員伺服器或獨立伺服器則將帳戶資料存於 Security Accounts Manager (SAM) 資料庫, 該資料庫對應的的檔案為 \%systemroot%\system32\config\SAM。 • 要新增網域使用者帳戶, 請在 DC 執行『開始 / 系統管理工具 / Active Directory 使用者和電腦』命令。

Windows的密碼 儲存在登錄HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Account\Users 或 %SYSTEMROOT%\system32\config\sam 早期 Windows 的密碼(LM 密碼)，將密碼轉成大寫後，分成兩個7 Bytes的區塊，每個區塊再採用類似早期 Linux 密碼的方式計算出雜湊值，然後合併起來現在則是以 MD4 計算雜湊值，然後再加上使用者名稱及網域名稱(如果是AD密碼)當做 SALT，再以MD4/5計算一次雜湊值，最後儲存到登錄中 MD4/5(MD4(密碼)+使用者名稱[+網域名稱]) http://blogs.technet.com/jesper_johansson/default.aspx 6

新增使用者帳戶

新增使用者帳戶 • 安裝 Active Directory 網域服務之後, 預設會有以下 5 種容器： • Builtin：用來存放內建的群組, 例如：Administrators、Account Operators、Guests 及 Users。 • Computers：用來存放網域內的電腦帳戶, 凡是加入網域的電腦, 其電腦名稱都會出現於此容器內。 • Domain Controllers：用來存放網域控制站的電腦帳戶。

新增使用者帳戶 • 換言之, 網域內所有的網域控制站都會出現在此容器內。 • ForeignSecurityPrincipals：儲存來自有信任關係網域的物件。 • Users：用來存放網域內的使用者帳戶及群組。

設定帳戶名稱 • 我們可以在任何的容器中新增使用者帳戶, 不過為了便於管理, 通常會在 Users 容器中新增使用者帳戶。 • 請在 Users容器上按右鈕, 執行『新增 / 使用者』命令, 首先要設定的就是帳戶的名稱：

設定帳戶名稱 • 上圖中的使用者登入名稱即是所謂的 UPN（User Principal Name）, UPN 與 e-mail 有相似的格式。 • 例如：『emily@xdom.com』, 『emily』是使用者帳戶名稱『, xdom.com』則代表該帳戶所在的網域名稱；UPN 的後半部 (@xdom.com) 又稱為 UPN 尾碼。

設定帳戶名稱 • 在設定使用者帳戶名稱時, 請遵循以下兩項原則： • 1. 使用者的全名在同一個容器不得重複；而 UPN 在整個網域 (Domain)、網域樹狀目錄 (Domain Tree) 與樹系 (Forest) 中都不得重複。 • 2. 使用者的姓名與 UPN 可以使用中文, 如需與 Windows NT4.0 相容, 則不要超過 20 個字元, 並且不要包含『"/\:;|=,+*?< 和 >』等特殊符號。

設定帳戶密碼 • 了解使用者帳戶的命名原則之後, 請按前圖的下一步鈕, 開啟以下的交談窗：

設定帳戶密碼 • 上圖中 4 個多選鈕的意義如下： • 使用者必須在下次登入時變更密碼： • 勾選此項後, 使用者首次登入網域時, 系統會強迫他立即設定新的密碼, 並用新密碼來登入。 • 如此可確保連系統管理員也不知道使用者個人的密碼。 • 使用者不能變更密碼： • 在預設的情況下, 使用者可以隨時按 Ctrl + Alt + Del鍵, 然後按變更密碼鈕來變更密碼（這是以 Windows XP / Vista 為例）。

設定帳戶密碼 • 若勾選此項, 便鎖定此帳戶的密碼, 讓使用者無法變更。通常對於大家共用的帳戶或是某些服務所使用的帳戶, 會勾選此項。 • 密碼永久有效： • 勾選此項後, 系統會忽略群組原則中有關密碼有效期限的設定。亦即, 此帳戶的密碼永遠不會過期, 系統也不會要求使用者變更密碼。 • 此選項與使用者必須在下次登入時變更密碼彼此互斥, 兩者不能同時勾選。 • 帳戶已停用。

設定帳戶密碼 • 若勾選此項, 任何人都無法使用這個帳戶來登入網域, 適用於某位員工留職停薪或休長假時, 可避免其他人冒用他的身分登入。 • 在前頁交談窗完成密碼設定之後, 請按下一步鈕繼續：

登入時自動建立的資料夾 • 當我們在某一部工作站（假設是 tony-vista）用先前建立的登入名稱（在上例為 miin）來登入網域時, 在該工作站的 %systemdrive%\Users資料夾會自動建立同名的子資料夾－『%systemdrive%\Users\miin』, 用來儲存該帳戶的使用者設定檔。

登入時自動建立的資料夾 • 萬一本機使用者帳戶也有一個 miin, 而且更早登入過, 意味著『%systemdrive%\Users\miin』早已經存在, 怎能再建立同名的資料夾呢？ • 此時系統會為網域的 miin 建立『%systemdrive%\Users\miin.xdom』子資料夾以資區別, 其中『xdom』是網域名稱。

登入時自動建立的資料夾 • 同理, 若是網域的 miin 先登入、而本機的 miin 後登入, 則為前者建立的資料夾是『%systemdrive%\Users\miin』。 • 後者則是『%systemdrive%\Users\miin.tony-vista』, 『tony-vista』是電腦名稱。 • 簡而言之, 同名而且後登入的帳戶, 所建立的資料夾名稱會加上『.網域名稱』或『.電腦名稱』。

Administrator 與 Guest 帳戶 • 在進一步說明使用者帳戶的細節之前, 我們先來認識 Administrator 與 Guest 這兩個內建的帳戶：

Administrator - 系統管理員帳戶 • Administrator 帳戶擁有最大的控制權, 我們無法刪除它, 但可以將它更名。更名可讓企圖冒用系統管理員帳戶的使用者, 不易猜到真正的名稱。 • 此外, Administrator 帳戶還有以下幾點特色： • 密碼永久有效, 不會逾期失效。

Administrator - 系統管理員帳戶 • 在 DC 上預設是 Administrators、Domain Admins、Enterprise Admins、Group Policy Admins和 Schema Admins等 5 個群組的成員。 • Administrator 帳戶永遠不會到期。 • Administrator 帳戶不受登入時段與只能使用特定電腦登入的限制。

Guest - 來賓帳戶 • Guest 是為了讓沒有帳戶的使用者, 仍可共用 Guest 帳戶來登入網域, 存取所需的資源。主要是為了便於提供公開的網路資源, 省去為所有的存取者都建立帳戶的麻煩。 • 但基於安全考量, 系統預設停用 Guest 帳戶。

如何登入本機？ • Windows Server 2008 升級為 DC 或加入網域後, 預設都是登入網域。 • 若要改為登入本機, 可用以下方式：

如何登入本機？

7 - 2 使用者帳戶的內容 • 新增使用者帳戶後, 系統管理員需要對該帳戶做進一步的設定, 例如：輸入電子郵件位址、限制登入的時段、設定主資料夾以及將帳戶加入群組等等。 • 這些資料都是在帳戶的內容交談窗中設定, 要開啟此交談窗, 請依下面方式操作。

使用者帳戶的內容

設定電子郵件位址與首頁 • 開啟帳戶的內容交談窗後, 預設停留在一般頁次, 可以設定使用者的姓名、電子郵件帳號以及首頁等等個人資料：

設定電子郵件位址與首頁 • 輸入了電子郵件位址與網址後, 爾後在 Active Directory 使用者和電腦視窗對帳戶名稱按右鈕, 執行『傳送郵件』命令, 即可啟動 Outlook Express 寄送郵件給該使用者。 • 執行『開啟首頁』命令, 即可啟動瀏覽器開啟其網頁, 如下圖。

設定電子郵件位址與首頁

限制登入的時段與能夠登入的工作站 • 系統管理員可以針對特定帳戶, 限制登入時間以及能夠用來登入的電腦。請切換到帳戶頁次：

限制帳戶登入的時段 • 若要限制帳戶登入的時段, 請按上圖的登入時數鈕, 開啟以下的交談窗：

限制帳戶登入的時段 • 舉例來說, 若要設定只有週一到週五的上午 8 時至下午 6 時, 允許此帳戶登入網域, 請先選取上圖中的拒絕登入單選鈕, 將所有時間都設為不能登入（亦即藍色方塊全部變為白色方塊）, 然後操作如下。

限制帳戶登入的時段

限制帳戶登入的時段 • 有一點請注意！如果帳戶在允許的時段內登入網域, 一直連線到超過指定的時段（例如到了下午 6:05 還沒登出）, 系統並不會自動將其登出。 • 若要強迫使用者超過設定時段會被登出, 必須在群組原則的電腦設定 / Windows 設定 / 安全性設定 / 本機原則 / 安全性選項中設定超過登入時數就自動將使用者登出原則。

限制帳戶登入的時段

限制帳戶只能用特定的電腦登入網域 • 要限制帳戶只能夠用特定的電腦登入網域, 請按登入到鈕, 開啟如下的交談窗：

限制帳戶只能用特定的電腦登入網域 • 請注意！在電腦名稱欄位中只接受電腦名稱 (例如：Cobra), 而不支援 DNS 名稱或 IP 位址。 • 我們可以利用這項功能, 限制使用者只能從自己的電腦登入網域, 但如果他的電腦故障, 或變更了電腦名稱, 則該帳戶就無法登入網域了, 所以規劃時請務必謹慎。

設定帳戶到期日與取消帳戶鎖定 • 在帳戶頁次中還能夠『設定帳戶到期日』及『取消帳戶鎖定』。前者可讓短期作業人員的帳戶, 在工作合約期滿後自動失效, 以減輕系統管理員的負擔。 • 其設定方式如下：

設定帳戶到期日與取消帳戶鎖定 • 不過, 若使用者在登入後、一直不登出, 即使超過了帳戶到期日, 系統並不會自動將其登出。 • 至於解除鎖定帳戶多選鈕則是當使用者連續多次登入失敗, 系統會將帳戶鎖定, 使得任何使用者無法再用此帳戶登入網域。 • 在這種情況下, 系統管理員需手動勾選此多選鈕, 才能重新啟用該帳戶, 這是防止有心人士用嘗試錯誤法來破解的一種安全機制。

設定主資料夾 • 主資料夾的功用, 主要是讓各帳戶在網路上有一個專屬的位置, 用以儲存個人資料；此外, 對系統管理員來說, 可以將各帳戶的主資料夾設定在同一部電腦中, 以方便集中管理與備份。 • 其實這項設定是為了支援 Windows NT / 95 / 98 電腦而設的, 若工作站都是 Windows 2000 / 2003 / 2003 R2 / XP / Vista 等電腦, 可改用第 13 章介紹的資料夾重新導向群組原則來設定。

設定主資料夾 • 主資料夾有以下 3 點特色： • 主資料夾的權限預設只有該帳戶自己及 Administrators 群組的成員有完全控制權。 • 設定主資料夾的路徑之後, 系統就會立刻在該路徑建立資料夾, 該資料夾的名稱便是使用者名稱。 • 無論使用者用哪一部電腦登入網域, 都能夠存取到自己的主資料夾 (因為登入後系統會自動將主資料夾連線為網路磁碟機)。

設定主資料夾 • 切換到設定檔頁次可以設定主資料夾以及使用者設定檔, 關於後者將在 7-6 節說明, 此處先介紹如何設定主資料夾。 • 我們可以將本機或網路上的共用資料夾設為主資料夾, 其步驟如下：

設定主資料夾 • 設定了主資料夾後, 無論使用者用從哪一部電腦登入網域, 系統都會自動將主資料夾連線為網路磁碟機。 • 此外, 使用者開啟『命令提示字元』視窗時, 預設出現的命令提示符號也會是主資料夾的磁碟機代號。

將帳戶加入群組中 • 預設每個網域使用者帳戶都隸屬於 Domain Users群組, 如果要讓某個帳戶擁有較多的權限, 可以在隸屬於頁次將它加入其它的群組中：

將帳戶加入群組中 • 若不記得群組的名稱, 可在上述畫面中按下進階鈕、再按立即尋找鈕, 就會出現如下的交談窗, 讓我們選擇群組。

將帳戶加入群組中

一次設定多個使用者帳戶 • 如果我們想對多個帳戶做相同的處理, 例如：都設成相同的網頁、一樣的登入時段、下次登入都要改密碼...等等, 不必逐一設定, 可同時選取多個帳戶一次做完。 • 以下就用設成『相同到期日、不可修改密碼』為例示範。

第 7 章建立與管理使用者帳戶