
1b42938d64097126c91ce632520cee3e.ppt
- Количество слайдов: 31
第四章、 创建和管理用户帐号 u 关于用户账号的初步介绍 u 关于创建用户账号的操作要点 u 创建本地用户账号 u 创建和配置域用户账号 u 为域用户账号设置属性 u 利用用户配置文件自定义用户设置值 u 最佳实践 课程号; 2152 北大瑞通高级技术培训中心 http: //www. easthome. com 1
第四章、 创建和管理用户帐号 u 一、关于用户帐号的介绍 v 用户帐户: u 包含用户唯一的身份标识,给予用户访问资源的权力 及能力。 v用户帐号的分类: u本地用户帐号,域用户帐号,内置用户帐号(自动) u 二. 创建用户帐号 v 课程号; 2152 1、命名规则 u 用户登录名和用户全称必须是唯一的 u 用户名最多 20个字符 u 命名方案应能解决重名问题、能标示特殊身份的用户等 北大瑞通高级技术培训中心 http: //www. easthome. com 2
第四章、 创建和管理用户帐号 v 2、设置密码 u给Administrator 设密码 u可以让用户自己或由管理员给定密码 u采用复杂的密码来提高安全性 v联想得到有关联的密码禁用 v采用尽量长的密码,最长可达 128位最小不得少于8位 v采用尽量复杂的密码 v 3、帐号选项 u 登录时间、用户可登录的计算机、帐号失效日期 v 二、创建本地用户帐号 课程号; 2152 北大瑞通高级技术培训中心 http: //www. easthome. com 3
第四章、 创建和管理用户帐号 u 三. 创建和设置域用户帐号 v 1、管理Win 2000网络的合理方法: v u 在Win 2000 Professional或Member Server的机器 上安装“管理 具”adminpak. MSI 管理员平时要以普通用户的身份登录,当需要管理 员权限时运行Run as 命令。 v 2、创建域用户帐号 u Administrator用管理活动目录的 具: u 课程号; 2152 “Active Directory User And Computer ” 设定密码 北大瑞通高级技术培训中心 http: //www. easthome. com 4
第四章、 创建和管理用户帐号 v创建主文件夹管理用户数据,放在服务器上还是放在 用户 计算机上。 u备份和恢复能力 u服务器上有足够的空间—win 2000有磁盘定额功 能 u网络性能 v 设置帐号属性 u 个人属性 u 帐号属性 u 登录选项 u 复制域用户帐号: v 权限、权力不被复制;可复制的内容有限、只能 复制DC上的用户。 课程号; 2152 北大瑞通高级技术培训中心 http: //www. easthome. com 5
第四章、 创建和管理用户帐号 v 创建域用户帐号模板: u 用户帐号模板永远是禁用的 u 用户帐户模板用于创建共同需求的用户 u 创建模板新的域用户帐号和复制域用户帐号是 禁用的 u 复制模板来创建用户,修改相应的名称密码并 清除 “帐号禁用”的选择 u 四. 用User Profiles定制用户环境 v v 课程号; 2152 1、用户配置文件的功能: u 对Display, regional, mouse, printer, network等属性 进行设置;定义用户 作环境。 2、 user profiles类型 北大瑞通高级技术培训中心 http: //www. easthome. com 6
第四章、 创建和管理用户帐号 u Display v u Modify Regional Settings Default User Profile Save User Profile Serves as the bases for all user profiles Local User Profile v v Created the First Time a User Logs on to a Computer Stored on a Computer's Local Hard Disk Mouse Sounds n Roaming User Profile l l n Profile Created by the System Administrator Stored on a server Mandatory User Profile l l 课程号; 2152 Created by the System Profile Administrator Server Stored on a server Windows 2000 Client Display Windows 2000 Client Regional Settings Mouse Windows 2000 Client Sounds 北大瑞通高级技术培训中心 http: //www. easthome. com 7
第四章、 创建和管理用户帐号 v 默认的用户配置文件 Default User Profiles u 所有user profiles 的基础 一用户第一次登录到某个计算机时,win 2000 创建 一个用户配置默认的user profiles文件的副本并以该 用户名命名。 v 本地用户配置文件local user profiles u 针对具体的计算机修改的 u v 漫游的用户配置文件Roaming User Profiles u u 课程号; 2152 由系统管理员创建,并存储在某个服务器 任一时候,任一计算机。用户使用同一配置文件, 用户更改后变化保存。 北大瑞通高级技术培训中心 http: //www. easthome. com 8
第四章、 创建和管理用户帐号 v 强制漫游的用户配置文件 Mandatory Roaming User Profiles u 由Admin创建,用于一些特定的用户 u 可以是本地的/漫游的 u 不保存更改 u 3、创建漫游/强制漫游用户配置文件 创建漫游用户配置文件 u 只有admin可以修改rooming user profiles 文件 Ntuser. dat 文件记录内容 v 创建强制漫游用户配置文件 u rooming user profiles 文件 Ntuser. dat 改为 Ntuser. man v 课程号; 2152 北大瑞通高级技术培训中心 http: //www. easthome. com 9
第四章、 创建和管理用户帐号 u五、最佳方案 Rename the Administrator Account Create a User Account with Administrative Rights Create a User Account for Non-Administrative Tasks Enable the Guest Account Only in Low Security Networks Create Random Initial Passwords Require New Users to Change Their Passwords Set Account Expiration Dates for Temporary Employees 课程号; 2152 北大瑞通高级技术培训中心 http: //www. easthome. com 10
第五章、 用组帐号管理对资源的访问 2000种组的初步介绍 u 在 作组中实现组 u 在域中实现组 u 最佳实践 u 关于Windows 课程号; 2152 北大瑞通高级技术培训中心 http: //www. easthome. com 11
第五章、 用组帐号管理对资源的访问 u 一、Windows 2000的组的介绍 组的概念: u 用户账号的集合 v 组的作用: u 简化管理,一次给多个用户授权。 u 组作用的范围是由该组所在位置而决定的。 v 1、 win 2000中组的 作方式 1) 组中可以包含用户,计算机组,打印机,共享 文件夹 2) 一个用户可以是多个组的成员 3) 新设的组的权限;用户新添加入组,所得权限 必须在重新登录后才有作用 v 课程号; 2152 北大瑞通高级技术培训中心 http: //www. easthome. com 12
第五章、 用组帐号管理对资源的访问 u 2、 作组和域中的组 1) 作组中的组(Group in Workgroup) v 创建在非DC的计算机上 v 驻留在SAM数据库中 v 只能访问本地资源 Workgroup 课程号; 2152 n Reside in SAM Member Server Client Computer Created on Computers That Are Not Domain Controllers SAM n n Used to Control Access to Resources for the Computer 北大瑞通高级技术培训中心 http: //www. easthome. com 13
第五章、 用组帐号管理对资源的访问 v 2) 域中的 作组 u只在DC上 u在AD中 u访问域中的计算机中的资源 Domain u Created on Domain Controllers u Reside in Active Directory u Used to Control Resources in the Domain Controller 课程号; 2152 北大瑞通高级技术培训中心 http: //www. easthome. com 14
第五章、 用组帐号管理对资源的访问 u 二、在 作组中实现组帐号 v 1、本地组(Local Groups) 只在不属于域的计算机上使用本地组; u 在域的客户机和成员服务器上也可存在,但不推 荐使用。 u 包含本地用户帐号(本地组所在计算机上) u 不能是其他组的成员 v 2、内置的本地组(Built-in Local Groups) u优先使用; u不能删除、特殊身份组、every one等 v 在 作组中使用本地组的策略—ALP。 A—Accounts L—Local group P—Permissions u 课程号; 2152 北大瑞通高级技术培训中心 http: //www. easthome. com 15
第五章、 用组帐号管理对资源的访问 Add L P A Add A L Windows 2000 Professiona l Assign P Windows 2000 Professiona l L 课程号; 2152 L Assign P A Assign Windows 2000 Server P A Windows 2000 Professiona l L = User Accounts Add Workgroup Add A = Assign P = Local Group 北大瑞通高级技术培训中心 http: //www. easthome. com Permissions 16
第五章、 用组帐号管理对资源的访问 u 三、在域中实现组帐号 v 1、组类型和范围 u组类型决定:组可以管理哪些类型的任务 u组范围决定:该组跨越的域多个还是单个 u各种类型的domain group都有一个范围属性 v 2、组的类型: u 安全组(Security Groups) v v u 分布组(Distribution Groups) v v 课程号; 2152 用于授权,用于与安全性有关的功能 具有分布组的全部功能 仅用于活动目录应用程序、某些程序只能读分布组 分发E-mail, 不能给予授权 北大瑞通高级技术培训中心 http: //www. easthome. com 17
第五章、 用组帐号管理对资源的访问 Group Types Security Groups Used to assign permissions Can be used as an e-mail distribution list Cannot be used to assign permissions Distribution Groups Can be used as an e-mail distribution list Group Scopes Global Group Used to organize users who share similar network access requirements Domain Local Group Used to assign permissions to domain resources Universal Group Used to assign permissions to related resources in multiple domains 课程号; 2152 北大瑞通高级技术培训中心 http: //www. easthome. com 18
第五章、 用组帐号管理对资源的访问 v 3、组的范围(Group Scopes) u 组的scope决定组用在域中某范围,影响组的成员 资格和组的嵌套能力(nesting) u Win 2000提供组的范围:全局组,本地组,通用组 u 1)全局组(Global group) v 包括其所在域中的用户帐号 v 可以加到本域或其它域的域本地组、通用组中。 v 可以加到本域的全局组中(仅限在本机模式中有效) u 2)域本地组(Domain local group) v v 课程号; 2152 混合模式下,可包括域任何域的用户帐号和全局组;本机模 式下,还包括通用组。 混合模式下,不能加到其它任何组中。本机模式下,可以加 入到本域的域本地组中。 北大瑞通高级技术培训中心 http: //www. easthome. com 19
第五章、 用组帐号管理对资源的访问 u 3)通用组(Universal group) 在混合模式下不可用,只在本机模式下可用。 v 为多个域中的相关资源授权 v 开放的成员关系:所有的用户和组(不含本地组) v 可加入任何域中的域本地组或通用组 4、内置的和预定义的域中组 1)位置: u 全局范围的预定义的组在“user” 文件夹中 u 域本地组范围的内值的组在“build in”文件夹中 2) win 2000域中缺省的组 v v u 内置域本地组: v 为用户提供域定义的权利和权限 只在DC的AD中 v 不能删除 v 课程号; 2152 北大瑞通高级技术培训中心 http: //www. easthome. com 20
第五章、 用组帐号管理对资源的访问 u 特殊组的成员 v 当你在一台计算机上登录的时候,你就是这台计算机上 Interactive(交互式)特殊组的成员; v 当您连接到一台远程计算机的共享目录时,你就是这台计 算机上Network System特殊组的成员。 v u Everyone组 域定义的全局组 v 只在DC上 v v u 课程号; 2152 在AD的用户文件夹中 方便Admin管理,控制域中所有用户 4、在单域中使用组的策略—A-G-DL-P 北大瑞通高级技术培训中心 http: //www. easthome. com 21
第五章、 用组帐号管理对资源的访问 AGDLP Strategy for Groups in a Domain A G User Accounts Add Global Group Add P DL Assign Domain Local Group 课程号; 2152 北大瑞通高级技术培训中心 http: //www. easthome. com 22
第五章、 用组帐号管理对资源的访问 u 四、注意事项 v 1、内值的域组Administrator和Account operators 组的成员可以赋予用户创建域组的权力 2、根据你使用组的情况确定所要求组的作用域 v 3、确定是否有足够权限 v 4、确定组的名称 v 5、删除组 u 所删除组,权限消失 u 组中成员不因组的删除而消失 u 不能删除内置组和预定义的组 v 课程号; 2152 北大瑞通高级技术培训中心 http: //www. easthome. com 23
第六章、 用NTFS管理数据 u 一、NTFS权限简介 v 利用NTFS权限可以控制用户帐号和组对文件夹、文件的访问 NTFS权限仅适用于NTFS分区 NTFS 对分区,文件夹,文件都起作用 v 1、访问控制列表(Access Control List) v v u u v 每个文件和文件夹都维护一个访问控制列表(ACL) ACL对用户来讲是不可见的。 2、NTFS文件夹的权限 List Folder Contents Read Write Read & Execute Modify Full Control v 3、NTFS文件的权限 Read Write Read & Execute Modify Full Control v 课程号; 2152 4. 、缺省的NTFS权限是Everyone组Full Control。 北大瑞通高级技术培训中心 http: //www. easthome. com 24
第六章、 用NTFS管理数据 u 二. Win 2000如何运用NTSF权限 v 1、多个NTFS权限的情况 u NTFS权限是累积的; 文件的权限覆盖文件夹的权限; u 否定(Deny)权限覆盖其它权限。 u v 2、NTFS权限的继承 u NTFS权限可以创建文件夹时得到 父文件夹的权限被子文件夹及文件所继承 u 可以阻止继承 u v 3、拷贝文件和文件夹时NTFS权限的变化 随目的文件夹的权限而变化 u 由NTFS分区拷贝到FAT分区,权限丢失 u 课程号; 2152 北大瑞通高级技术培训中心 http: //www. easthome. com 25
第六章、 用NTFS管理数据 v 4、移动文件和文件夹时NTFS权限的变化 同一分区内,移动,权限不变 u 在不同分区内,则继承目的文件夹的权限 u 由NTFS分区拷贝到FAT分区,权限丢失 u u 三、使用NTFS权限 1、授予NTFS权限 v 2、设置权限的继承性 v 3、最佳实践 v 尽量给组授权而不是给用户授权 u 将文件归类 u Apps data folder、user home folder 放在独立的分区中 u u 课程号; 2152 在用户完成任务的前提下,给他最严格权限 北大瑞通高级技术培训中心 http: //www. easthome. com 26
第六章、 用NTFS管理数据 u 四、运用特殊的NTFS权限 v 1、改变的权限(Change Permissions) u v 2、夺取所有权的权限(Take Ownership) u u v 不能对文件或文件夹进行删除或写的操作,但可以更改原有的 权限; 当前对象的所有者和有Full Control权限的用户,有权把Full Control和Take Ownership的权限授给其它的用户和组; Administrators组的成员对任何对象有Take Ownership的权限, 而不管他们对这些对象有无访问权限。 注: Right(权力):执行系统任务。 Permissions(权限):对资源访问的限制。 课程号; 2152 北大瑞通高级技术培训中心 http: //www. easthome. com 27
第六章、 用NTFS管理数据 u 五、在NTFS分区上压缩数据 v 1、介绍 u 压缩文件夹可包含非压缩文件 u 文件夹被压缩但其中的文件、子文件夹可以不压缩 u 要考虑下列因素 v v v NTFS分配磁盘空间时是基于非压缩的尺寸; 加密的文件和文件夹不能压缩; 颜色显示 应用程序访问压缩文件 2、拷贝/移动压缩的文件和文件夹 u u 课程号; 2152 在同一分区之内复制、不同分区之间移动 时,继承目标文件夹的压缩状态; 在同一分区内移动时,保留压缩状态 北大瑞通高级技术培训中心 http: //www. easthome. com 28
第六章、 用NTFS管理数据 v 3、注意事项: u u v 当你拷贝一个压缩的文件到另一个压缩的文件夹时,系统要先解压, 然后再压缩。这样会降低系统的性能。 NTFS FAT压缩属性丢失 4、最佳实践 u 根据文件类型选择是否压缩 不要对压缩文件再压缩 u 采用不同颜色表示压缩文件/文件夹 u u 压缩稳定的数据而不是变化频繁的数据 u 六、设置磁盘配额(Disk v v 课程号; 2152 Quotas) 利用磁盘限额可以每用户,每分区上跟踪和控制磁盘空间使用 磁盘空间的计算是基于文件和文件夹的所有者的; 对所有的用户和单个用户执行磁盘配额; 磁盘配额不使用磁盘压缩,并独立于磁盘计算。 北大瑞通高级技术培训中心 http: //www. easthome. com 29
第六章、 用NTFS管理数据 u 七、运用EFS保证数据安全 v 1、EFS 介绍 基于公共密钥的文件级或文件夹级的保护功能 u 为NTFS分区提供加密 u 由指定的EFS恢复代理启用文件恢复功能 u v 2、特性 在后台运行,仅允许授权用户访问,自动解密,保存时在加密 u 管理员可作为恢复代理,访问数据 u 提供内置的数据恢复支持功能 u 至少有一个恢复代理,可以指定多个代理,代理需要EFS恢复代 理证书 u v3、加密和解密文件夹或文件; u u 课程号; 2152 用公钥加密后的文件只有授权的用户才能访问,恢复代理( Recovery Agent)可以解密。 其他用户即便改变了所属关系也不能解密 北大瑞通高级技术培训中心 http: //www. easthome. com 30
第六章、 用NTFS管理数据 64 K 对称密钥 1 64 K 对称密钥 2 用文件拥有者的公钥加密 DDF 64 K 对称密钥 3 用文件加密代理密钥加密 DRF 64 K 对称密钥 4 密文 DRF:Data Decryption Field 数据解密区 DDF:Data Recovery Field 数据恢复区 课程号; 2152 北大瑞通高级技术培训中心 http: //www. easthome. com 31
1b42938d64097126c91ce632520cee3e.ppt