网络管理员完全手册

admin管理员组

文章数量:1533918

2024年1月15日发(作者：)

在Windows Server 2003 操作系统中，每一个使用者都必须有一个账户，才能登录到计算机和服务器，并且访问网络上的资源。

Windows Server 2003所支持的用户账户分为两种类型：本地用户账户和域用户账户。而组账户在域和其他环境下有很大的不同。

4.1 本地用户账户的管理

当Windows Server 2003工作在“工作组”模式下或者作为域中的成员服务器时，在计算机操作系统中存在的是本地用户和本地组。本地用户账户的作用范围仅限于在创建该账户的计算机上，以控制用户对该计算机上的资源的访问。所以当需要访问在“工作组”模式下的计算机时，必须在每一个需要访问的计算机上都有其本地账户。其中本地账户都存储在%SystemRoot%system32configSam数据库中。

下面学习怎样管理Windows Server 2003的本地用户账户。

4.1.1 本地用户账户的创建案例：在成员服务器上创建本地用户

启动计算机，以“Administrator”身份登录Windows Server 2003，然后右击“我的电脑”选择“管理”命令，如图4-1所示。将出现计算机管理控制台，如图4-2所示。

通过打开“开始”菜单并执行“管理工具”→“计算机管理”命令，也能够打开如图4-2所示的计算机管理控制台。

图4-1

图4-2

在“计算机管理”控制台中，打开“本地用户和组”，并选择“用户”，将出现系统中现有的用户信息，如图4-2所示。

右击“用户”或在右侧的用户信息窗口中的空白位置右击，将弹出如图4-3所示的菜单。

在出现的菜单中选择“新用户”命令，将弹出创建新用户的对话框，如图4-4所示。

根据实际情况在该对话框中设置创建新用户的选项。

用户名：用户登录时使用的账户名，例如输入“xubinhui”。

全名：用户的全名，属于辅助性的描述信息，不影响系统的功能。

描述：对于所建用户账户的描述，方便管理员识别用户，不影响系统的功能。

密码和确认密码：用户账户登录时需要使用的密码。

用户下次登录时须更改密码：如果选中此复选框，用户在使用新账户首次登录时，将被提示更改密码，如果采用默认设置，则选中此复选框。

当去除“用户下次登录时须更改密码”前的勾选后，“用户不能更改密码”和“密码永不过期”这两个选项将由灰变实。

图4-3

图4-4

单击“创建”按钮，成功创建之后又将返回创建新用户的对话框。

单击“关闭”按钮，关闭该对话框，然后在计算机管理控制台中将能够看到新创建的用户账户，如图4-5所示。

注销Administrator，使用新创建的用户账户“xubinhui”登录，登录时将弹出更改密码的提示信息对话框，如图4-6所示。

图4-5

图4-6

图4-7

单击“确定”按钮，将弹出“更改密码”的对话框。

在相应的文本框内输入新密码，然后单击“确定”按钮，将弹出密码更改成功的信息提示框，如图4-7所示。

单击“确定”按钮后，首次登录成功。

如果在创建用户账户时，选中了“用户下次登录时须更改密码”复选框，只有首次登录时需要更改密码，以后则正常登录。

4.1.2 设置本地账户属性注销xubinhui，以Administrator账户登录Windows Server 2003，参照上面的步骤打开如图4-2所示的计算机管理控制台，在用户账户“xubinhui”上右击，在弹出的菜单中根据实际需要选择菜单中的命令对账户进行操作。

选择“设置密码”命令可以更改当前用户账户的密码。

选择“删除”命令或“重命名”命令可以删除当前用户账户或更改当前用户账户的名称。

选择“属性”命令，如图4-8所示。将会弹出该账户的属性对话框，如图4-9所示。

图4－8

图4－9

”标志，如图4-10所示。根据要求设置xubinhui账户的“常规”属性，例如停用xubinhui账户，则在“常规”选项卡中选中“账户已禁用”复选框，然后单击“确定”按钮返回计算机管理控制台，停用的账户以红色的“

图4－10

至于本地账户的其他属性选项卡，将在后面的章节中加以介绍。

4.2 本地组的管理

在Windows Server 2003中组的概念就相当于公司中部门的概念，其实在Windows Server

2003中的组常常就对应着公司的部门，也就是说组的名称常常就是公司部门的名称。组内的账户就是部门的成员账户。组的出现，极大地方便了Windows Server 2003的账户管理和后面将要学习的资源访问权限的设置。那么，在Windows Server 2003中如何管理本地组？以及都有哪些内置的本地组？将在下面详细介绍。首先来介绍组的创建和成员的添加。

案例：创建本地组并将成员添加本地组。

在如图4-2所示的计算机管理控制台中右击“组”，选择“新建组”命令，如图4-11所示。将弹出“新建组”的对话框，如图4-12所示。

根据实际需要在相应的文本框内输入内容，例如在“组名”文本框输入“技术部”，在描述文本框输入“技术部”，然后单击“添加”按钮，将弹出如图4-13所示的选择用户或组的对话框。

图4－11

图4－12

图4－13

根据实际需要输入要添加到技术部组中的用户或其他组，例如输入用户“xubinhui”然后单击“确定”按钮返回。这时，用户“xubinhui”将出现在下面的文本框中。单击“确定”按钮，组的创建和设置完成。

也可以在账户“属性”设置中将账户添加到组，通过账户属性的“隶属于”选项卡操作。

在选定的账户上右击，选择“属性”命令，在弹出的对话框上打开“隶属于”选项卡，如图4-14所示。

单击“添加”按钮出现如图4-15所示的对话框，在此可以直接输入需要添加的组的名称，如果记不清楚组的名称，可以单击“高级”按钮，在弹出的对话框中实行查找，如图4-16所示。单击“立即查找”按钮，将会出现本计算机所有的组的名称。

图4－14

图4－15

选择想要加入的组，如图4-17所示。单击“确定”按钮，返回“选择组”对话框。加入的组将出现在“选择组”对话框中，如图4-18所示。然后单击“确定”按钮，返回用户属性对话框，如图4-19所示。单击“确定”按钮，完成组的添加。

图4－16

图4－17

图4－18

图4－19

在Windows Server 2003中有如下几个内置组：Administrators组、Users组、Power Users组、Backup Operators组、Guests组。

属于Administrators组的用户，都具备系统管理员的权限，拥有对这台计算机最大的控制权，内置的系统管理员Administrator就是此本地组的成员，而且无法将其从此组中删除。

Users组权限受到很大的限制，其所能执行的任务和能够访问的资源，根据指派给他的权利而定。所有创建的本地账户都自动属于此组。

Power Users组内的用户可以添加、删除、更改本地用户账户；建立、管理、删除本地计算机内的共享文件夹与打印机。

Backup Operators组的成员可以利用“Windows Server 2003备份”程序来备份与还原计算机内的文件和数据。

Guests组包含Guest账户，一般被用于在域中或计算机中没有固定账户的用户临时访问域或计算机时使用的。该账户默认情况下不允许对域或计算机中的设置和资源做更改。出于安全考虑Guest账户在Windows Server 2003安装好之后是被禁用的，如果需要可以手动地启用。应该注意分配给该账户的权限，该账户也是黑客攻击的主要对象。

这些本地组中的本地用户只能访问本计算机的资源，一般不能访问网络上其他计算机上的资

源，除非在那台计算机上有相同的用户名和密码。也就是说，如果一个用户需要访问多台计算机上的资源，则用户需要在每一台需要访问的计算机上拥有相应的本地用户账户，并在登录某台计算机时由该计算机验证。这些本地用户账户存放于创建该账户的计算机上的本地SAM数据库中，这些账户在存放该账户的计算机上必须是唯一的。这样大大增加了管理员的工作量，以及网络的复杂程度，为了能够很方便地访问网络资源，Windows Server 2003引进了“域”和“活动目录”，在前面学习活动目录时，已经了解了活动目录的用处，并且通过安装活动目录创建了域。下面来学习域用户账户的管理。

本地账户都存储在%SystemRoot%system32configSam数据库中，当忘记administrator密码时，可以将这台计算机的SAM数据库删除，然后登录时，administrator的密码为空。

4.3 域用户账户的管理

域用户账户是用户访问域的唯一凭证，因此在域中必须是唯一的。域用户账户保存在AD（活动目录）数据库中，该数据库位于在DC（域控制器）上的%systemroot%NTDS文件夹下。为了保证账户在域中的唯一性，每一个账户都被Windows Server 2003签订一个唯一的SID（Security Identifier，安全识别符）。SID将成为一个账户的属性，不随账户的修改、更名而改动，并且一旦账户被删除，则SID也将不复存在，即便重新创建一个一模一样的账户，其SID也不会和原有的SID一样，对于Windows Server 2003而言，这就是两个不同的账户。在Windows Server 2003中系统实际上是利用SID来对应用户权限的，因此只要SID不同，新建的账户就不会继承原有的账户的权限与组的隶属关系。与域用户账户一样，本地用户账户也有一个唯一的SID来标志账户，并记录账户的权限和组的隶属关系。这一点需要特别注意。

当一台服务器一旦安装AD成为域控制器后，其本地组和本地账户是被禁用的

4.3.1 创建域用户

创建域用户账户是在活动目录数据库中添加记录，所以一般是在域控制器中进行的，当然也可以使用相应的管理工具或命令通过网络在其他计算机上操作，但都需要有创建账户的权限。

案例：创建域用户。

创建域用户账户，操作如下。

执行“开始”→“程序”→“管理工具”→“Active Directory用户和计算机”命令，弹出如图4-20所示窗口。也可以通过在“控制面板”中双击“管理工具”，然后在“管理工具”窗口中双击“Active

Directory用户和计算机”图标，打开“Active Directory用户和计算机”窗口。

在“Users”上右击，执行“新建” → “用户”命令，如图4-20所示。弹出一个创建用户的对话框，在该对话框中输入用户信息，如图4-21所示。

图4-20

图4-21

单击“下一步”按钮，输入用户密码，如图4-22所示。

为了域用户账户的安全，管理员在给每个用户设置初始化密码后，最好将“用户下次登录时须更改密码”复选框选中。以便用户在第一次登录时更改自己的密码。在服务器提升为域控制器后，Windows Server 2003对域用户的密码复杂性要求比较高，如果不符合要求，就会弹出如图4-23所示的警告提示框，用户无法创建。

图4-22

图4-23

在为用户设置好符合域控制器安全性密码设置条件的密码后，单击“下一步”按钮，然后单击“完成”按钮，至此，域用户账户已经建立好了。

4.3.2 设置域账户属性

对于域用户账户来说，它的属性设置比本地账户复杂得多。以刚才创建的用户账户为例，来学习设置域账户属性。

在账户“许斌辉”上右击，选择“属性”命令，弹出新对话框，如图4-24所示。也可以通过选择“许斌辉”这一用户后在工具栏上打开“操作”菜单，同样会出现“属性”命令。或者直接在“许斌辉”账户上双击，同样可以弹出如图4-24所示对话框。

在“常规”选项卡中输入用户信息，如图4-24所示。从图4-24可以看出，域用户账户的属性明显比本地用户复杂。

在“地址”选项卡中输入用户的地址和邮编，在“电话”选项卡中输入用户的各种电话号码。

图4－24

图4－25

在“账户”选项卡中可以更改用户登录名、密码策略和账户策略，如图4-25所示。在“账户”选项卡中，可以控制用户的登录时间和只能登录哪些服务器或计算机。单击“登录时间”按钮，可在如图4-26所示的对话框中设置登录时间。同时可以通过单击“登录到”按钮，控制用户只能登录哪些服务器或计算机，如图4-27所示。

图4－26

图4－27

对于时间控制，如果已登录用户在域中的工作时间超过设定的“允许登录”时间，并不会断开与域的连接。但用户注销后重新登录时，便不能登录了，“登录时间”只是限定可以登录到域中的时间。对于控制用户可以登录到哪些计算机时，在“计算机名”下的文本框中只能输入计算机NetBIOS名，不能输入DNS名或IP地址。

在“单位”选项卡中可以输入职务、部门、公司名称、直接下属等，如图4-28所示。

在“隶属于”选项卡中，单击“添加”按钮，可以将该用户添加到组，如图4-29所示。用户属性对话框中的其他选项卡，将在后面的章节中加以介绍。

图4－28

图4－29

4.4 域模式中的组管理4.4.1 域模式中的组类型

在域中有两种组的类型：安全组和分发组。

1. 安全组（Security Groups）

安全组顾名思义即实现与安全性有关的工作和功能，是属于Windows Server 2003的安全主体 。可以通过给安全组赋予访问资源的权限来限制安全组的成员对域中资源的访问。每个安全组都会有一个唯一的SID，在AD中不会重复。安全组也具有分发组的功能，可以组织属于该安全组的成员的E-MAIL地址以形成E-MAIL列表。

2. 分发组（Distribution Groups）

分发组不是Windows Server 2003的安全实体，它没有SID，因此也不能被赋予访问资源的权限。分发组就其本质而言是一个用户账户的列表，即分发组可以组织其成员的E-MAIL地址成为E-MAIL列表。利用这个特性使基于AD的应用程序就可以直接利用分发组来发E-MAIL给多个用户以及实现其他和E-MAIL列表相关的功能（例如在Microsoft Exchange

2003 Server中使用）。

如果应用程序想使用分发组，则其必须支持AD。不支持AD的应用程序将不能使用分发组的所有功能。

4.4.2 组的作用域组的作用域决定了组的作用范围、组中可以拥有的成员以及组之间的嵌套关系。在Windows Server 2003域模式下组有3种组作用域：全局组作用域、本地组作用域

和通用组作用域。

在详细了解全局组作用域、本地组作用域和通用组作用域之前，先来了解一下Windows

Server 2003下域功能级别。Windows Server 2003下域功能级别一共有4种，它们是Windows

2000混合（默认）、Windows 2000本机、Windows Server 2003临时和Windows Server 2003。默认情况下，域以Windows 2000混合功能级别操作。如表4-1所示，列出了域功能级别以及相应的所支持的域控制器。

表4-1

域功能级别

Windows 2000 混合（默认）

支持的域控制器

Windows NT 4.0

Windows 2000

Windows Server 2003 家族

Windows 2000 本机

Windows Server 2003 临时

Windows Server 2003

Windows 2000

Windows Server 2003 家族

Windows NT 4.0

Windows Server 2003 家族

Windows Server 2003 家族

一旦提升域功能级别之后，就不能再将运行旧版操作系统的域控制器引入该域中。例如，如果将域功能级别提升至Windows Server 2003，则不能再将运行Windows 2000 Server的域控制器添加到该域中。如果想提升域功能级别，则可以按以下步骤进行操作。

打开“Active Directory用户和计算机”窗口，在域名上右击，选择“提升域功能级别”命令，如图4-30所示。

在“提升域功能级别”对话框中选择一个可用的域功能级别，如图4-31所示。单击“提升”按钮，在弹出的警告信息提示框中单击“确定”按钮，如图4-32所示，即可提升域功能级别。

图4－30

作用域组（不论是安全组还是通讯组）都有一个作用域，用来确定在域树或林中该组的应用范围。有三类不同的组作用域：通用、全局和本地域。

图4－31

图4－32

通用组的成员可包括域树或林中任何域中的其他组和账户，而且可在该域树或林中的任何域中指派权限。

全局组的成员可包括只在其中定义该组的域中的其他组和账户，而且可在林中的任何域中指派权限。

本地域组的成员可包括Windows Server 2003、Windows 2000或Windows NT域中的其他组和账户，而且只能在域内指派权限。

表4-2总结了不同组作用域的行为。

表4-2

通用作用域

当域功能级别被设置为Windows 2000本机或Windows Server 2003时，通用组的成员可包括来自任何全局作用域

当域功能级别被设置为Windows 2000本机或Windows Server 2003时，全局组的成员可包括来自相同本地域作用域

当域功能级别被设置为Windows 2000本机或Windows

Server 2003时，本地域组的成员可包括来自任何域的账户、全局组或通用组，以及来自相同域的本地域组

当域功能级别被设置为Windows 2000混合时，不能创建具有通用组的安全组

当域功能级别被设置为Windows 2000混合时，全局组的成员可包括来自相同域的账户

当域功能级别被设置为Windows 2000本机或Windows Server 2003时，组可被添加到其他组并在任何域中指派权限

组可转换为本地域作用域。只要组中没有其他通用组作为其成员，就可以转换为全局作用域

只要组不是具有全局作用域的任何其他组的成员，就可以转换为通用作用域

只要组不把具有本地域作用域的其他组作为其成员，就可转换为通用作用域

组可被添加到其他组并且在任何域中指派权限

当域功能级别被设置为Windows 2000本机或Windows

Server 2003时，本地域组的成员可包括来自任何域的账户或全局组

组可被添加到其他本地域组并且仅在相同域中指派权限

域的账户、全局组和通用组 域的账户或全局组

为了方便地控制资源的访问，Windows Server 2003建议采用AGDLP策略，如图4-33所示。

A（Accounts）指的是在Windows Server 2003的域用户账户。

G（Global Group）指的是将上述的用户账户添加到某个全局组中。

DL（Domain Local Group）指的是将全局组添加到某个域本地组中，可以使用内置的域本地

组，也可以创建一个新的域本地组来接纳全局组的成员。

P（Permission）指的是最后将访问资源的权限赋予相应的域本地组，则域本地组中的成员就可以在权限的控制下访问资源了。

图4－33

AGDLP策略很好地控制了资源访问的权限，极大方便了网络管理员的工作。对于AGDLP策略的应用，将在后面的章节中详细介绍。

4.4.3 创建域组案例：创建域组。

首先创建一个全局组。

在“Users”上右击，执行“新建” →“组”命令，如图4-19所示。在弹出的创建用户的对话框中输入用户信息，设置组作用域为全局组，如图4-34所示。

将技术部的用户添加到创建的组中。

在创建的“技术部”组上右击，选择“属性”命令，弹出如图4-35所示的对话框。

打开“成员”选项卡，如图4-36所示。单击“添加”按钮。

在弹出的“选择用户、联系人或计算机”对话框中输入用户名称（如果需要添加多个用户，则用户之间用分号隔开），然后单击“确定”按钮，用户就添加到全局组中，如图4-37所示。

图4－34

图4－35

图4－36

图4－37

如果忘记需要添加的用户名称，可以单击“高级”按钮，在弹出的对话框中单击“立即查找”按钮，如图4-38所示。计算机将域中所有的用户、联系人或计算机都显示在对话框中，从中选择需要添加的用户，单击“确定”按钮，如图4-39所示。

图4－38

图4－39

在返回的对话框中，已经选择的用户出现在其中，单击“确定”按钮，如图4-40所示。返回“成员”选项卡，如图4-41所示。单击“确定”按钮，用户添加完毕。

图4－40

图4－41

4.4.4 采用复制创建新的域账号

采用复制的方式创建新的域用户，默认情况下，只有最常用的属性（比如登录时间、工作站限制、账户过期限制、隶属于哪个组等）才传递给复制的用户。

案例：采用复制创建新的域账号。

打开“Active Directory用户和计算机”窗口，右击要复制的用户账户，然后选择“复制”命令，如图4-42所示。

在弹出的“复制对象－用户”对话框中输入新建的用户信息，如图4-43所示。然后跟新建用户一样，设置用户密码，完成用户的复制。

图4－42

图4－43

然后，可以打开通过复制创建的用户的“属性”窗口，打开“隶属于”选项卡，可以清楚地看到原来被复制的这个用户所隶属于的组出现在这个新建的用户属性中，如图4-44所示。

图4－44

4.4 组织单位简介包含在域中的特别有用的目录对象类型就是组织单位。组织单位是可将用户、组、计算机和其他组织单位放入其中的Active Directory容器。它不能容纳来自其他域的对象。组织单位中可包含其他的组织单位。可使用组织单位创建可缩放到任意规模的管理模型。正因为如此，一般在企业中大量使用组织单元来和企业的职能部门关联，然后将部门中的员工、小组、计算机以及其他设备统一在组织单位中管理。

用户可拥有对域中所有组织单位或对单个组织单位的管理权限。组织单位的管理员不需要具有域中任何其他组织单位的管理权限。组织单位对于管理委派和组策略的设置非常重要，这一点将在后面的章节中详细介绍。

4.5.1 创建组织单位

打开“Active Directory用户和计算机”窗口，在需要创建组织单位的域中右击，执行“新建”→“组织单位”命令，如图4-45所示。

弹出“新建对象－组织单位”对话框，如图4-46所示。输入想要创建的组织单位的名称，单击“确定”按钮。完成组织单位的创建。

图4－45

图4－46

4.5.2 向组织单位中添加组织单位、用户和组

可以向刚创建的组织单位中添加组织单位、用户和组。其操作方法同新建组织单位、用户和组一样。

打开“Active Directory用户和计算机”窗口，单击新创建的组织单位，在右侧栏空白处右击，

执行“新建”→“组织单位”命令，如图4-47所示。

经过设置后，就在组织单位下添加了组织单位、用户和组，如图4-48所示。

图4－47

图4－48

还可以将其他组织单位中的用户和组通过移动添加到此组织单位中，在“Active Directory用户和计算机”窗口中选择以前创建的用户和组，右击，选择“移动”命令，如图4-49所示。

在弹出的对话框中选择想要移动到的组织单位名称，如图4-50所示。单击“确定”按钮，完成用户和组的移动。

图4－49

图4－50

在Windows Server 2003中随着多用户账户的引入，每个用户可以在同一台计算机上创建不同的用户界面，这些同一台计算机上不同的用户界面便是通过用户配置文件来实现的。用户配置文件定义了用户使用Windows Server 2003的工作环境，其中包括用户计算机的桌面设置、区域设定、鼠标、声音设置等参数，另外还有网络连接和打印机设置等。

但是用户配置文件并不是一个具体的文件，它是由一系列文件和文件夹组成的。在硬盘上的Windows NT所在的分区中会有一个“Documents and Settings”文件夹，在这个文件夹中每一个用户都会有一个以自己的登录名命名的文件夹，该文件夹中包含了用户的各种设置（如图4-51所示），这就是用户配置文件。

图4－51

从图中可以看到这些文件夹中分别包含了[开始]菜单、桌面、收藏夹、我的文档和网上邻居等的设置，还有一些隐藏文件夹：NetHood、PrintHood、本地设置、Recent和模板文件夹等。其中还有一个文件，该文件中存储了Windows Server 2003的注册表中的“HKEY_CURRENT_USER”下的数据。

另外在“Documents and Settings”文件夹下还可以看到一个All Users文件夹，该文件夹中包含了[开始]菜单、桌面的内容。每个用户的配置文件中也包含了[开始]菜单和桌面的内容，这与All Users中的有什么不同的呢？众所周知Windows Server 2003是一个多用户的操作系统，一台计算机可以有多个人来使用，每个人都会有自己的应用程序。在Windows Server

2003中有“公用程序”和“个人程序”之分。所谓“公用程序”即该程序可以供所有登录到这台计算机上的用户使用，这些程序将出现在每一个登录到计算机上的用户的[开始]菜单程序中，这些设置将保存在All Users文件夹下的[开始]菜单文件夹中。只有Administrators、Server

Operators、Power Users组内的用户安装的程序才可以是公共程序，所以如果想要程序可以被多个用户使用就需要由上述组中的成员来安装。而“个人程序”即为由普通用户自己安装的应用程序，只有安装该程序的用户在登录到这台计算机上时才会出现在[开始]菜单程序中供用户使用。“个人程序”的设置保存在用户配置文件的文件夹中。

4.5.3 用户配置文件的类型

用户第一次登录到某台计算机上时，Windows Server 2003即为该用户创建一个用户配置文件。该文件保存在C:Documents and SettingsUser name文件夹中，其中User name为该用户的用户名。用户在登录的计算机上对工作环境所作的修改将被保存到该文件夹下的配置文件中，并在下次进入到系统时应用修改后的配置。用户配置文件包括多种类型，分别用于不同的工作环境。

1. 默认的用户配置文件（Default User Profile）

默认的用户配置文件用于生成一个新用户的工作环境，所有对用户配置文件的修改都是在默认用户配置文件上进行的。默认的用户配置文件在所有基于Windows Server 2003的计算机上都存在，该文件保存在C:Documents and SettingsDefault User隐藏文件夹中。当用户第一次登录到计算机上的时候其用户配置文件的内容就是由Default User文件夹中的内容和All

Users文件夹中的内容组成的。

1 / 本地用户配置文件 （Local User Profile）

当一个用户第一次登录到一台计算机上时创建的用户配置文件就是本地用户配置文件。一台计算机上可以有多个本地用户配置文件，分别对应于每一个曾经登录过该计算机的用户。域用户的配置文件夹的名字的形式为“用户名.域名”，而本地用户的配置文件的名字直接就是以用户命名。用户配置文件不能直接被编辑。要想修改配置文件的内容需要以该用户登录，然后手动地修改用户的工作环境如桌面、[开始]菜单、鼠标等，系统会自动地将修改后的配置保存到用户配置文件中去。

查看目前的计算机上的本地用户配置文件的操作如下。

在“我的电脑”上右击，在弹出的快捷菜单中选择“属性”命令，打开“系统属性”对话框。

打开“高级”选项卡，单击用户配置文件项中的“设置”按钮，打开“用户配置文件”对话框（如图4-52所示）。

图4－52

2 / 漫游用户配置文件（Roaming User Profile）

当一个用户需要经常在其他计算机上登录，并且每次都希望使用相同的工作环境时就需要使

用漫游用户配置文件。该配置文件被保存在网络中的某台服务器上，并且当用户更改了其工作环境后，新的设置也将自动保存到服务器上的配置文件中，以保证其在任何地点登录都能使用相同的新的工作环境。所有的域用户账户默认使用的是该类型的用户配置文件。该文件是在用户第一次登录时由系统自动创建的。

2. 强制性用户配置文件 （Mandatory User Profile）

强制性用户配置文件不保存用户对工作环境的修改，当用户更改了工作环境参数之后退出登录再重新登录时，工作环境又恢复到强制用户配置文件中所设定的状态。当需要一个统一的工作环境时该文件就十分有用。该文件由管理员控制，可以是本地的也可以是漫游的用户配置文件，通常将强制性用户配置文件保存在某台服务器上，这样不管用户从哪台计算机上登录都将得到一个相同且不能更改的工作环境。因此强制性用户配置文件有时候也被称为强制性漫游用户配置文件。

4.5.4 设置漫游用户配置文件

要创建漫游用户配置文件，系统管理员首先要在网络上的一台服务器上共享一个文件夹，用于存放漫游用户配置文件。

案例：设置漫游用户配置文件。

假如要为用户创建一个漫游用户配置文件其操作如下。

首先以管理员的身份登录到网络中的一台服务器上（该服务器即为要保存漫游用户配置文件的服务器）。

在该服务器上创建一个文件夹（本例中为Roaming Profiles）。在该文件夹上右击，在弹出的快捷菜单中选择“共享”命令或者选择“属性”命令，然后在弹出的“文件夹属性”对话框中单击“共享”标签（如图4-53所示）。

选中“共享该文件夹”单选按钮，在“共享名”文本框中输入文件夹的共享名，可以采用默认的共享名即文件夹的名称（如图4-54所示）。

图4－53

图4－54

单击“确定”按钮，关闭文件夹属性对话框。这时在硬盘上就会生成一个共享文件夹（本例中为Roaming Profiles）（如图4-55所示）。

以管理员的身份登录到域控制器上。

打开“Active Directory用户和计算机”窗口，展开要配置的用户所属的域（本例中为），找到要配置的用户（本例中用户的登录名为xubinhui）。

在该用户的图标上右击，在弹出的快捷菜单中选择“属性”命令，打开用户属性对话框。

单击“配置文件”标签，打开“配置文件”选项卡（如图4-56所示）。

在“配置文件路径”文本框中输入配置文件放置的路径，路径的形式为Server_nameShared_

folder_name%User_name%，其中%user_name%为一个变量，系统会按照用户的登录名自动创建该文件夹（在本例中路径应该是niceRoaming Profiles%User_name%）。

单击“确定”按钮结束操作。

当“xubinhui”这个用户在网络中登录时，系统会自动在服务器（Lion）上的保存漫游用户配置文件的共享文件夹（Roaming Profiles）中创建一个与用户登录名同名的文件夹来保存用户配置文件，并且以后用户对工作环境所做的一切修改都将被保存到该文件夹中。

4.5.4 设置漫游用户配置文件

要创建漫游用户配置文件，系统管理员首先要在网络上的一台服务器上共享一个文件夹，用于存放漫游用户配置文件。

案例：设置漫游用户配置文件。

假如要为用户创建一个漫游用户配置文件其操作如下。

首先以管理员的身份登录到网络中的一台服务器上（该服务器即为要保存漫游用户配置文件的服务器）。

在该服务器上创建一个文件夹（本例中为Roaming Profiles）。在该文件夹上右击，在弹出的快捷菜单中选择“共享”命令或者选择“属性”命令，然后在弹出的“文件夹属性”对话框中单击“共享”标签（如图4-53所示）。

选中“共享该文件夹”单选按钮，在“共享名”文本框中输入文件夹的共享名，可以采用默认的共享名即文件夹的名称（如图4-54所示）。

图4－53

图4－54

单击“确定”按钮，关闭文件夹属性对话框。这时在硬盘上就会生成一个共享文件夹（本例中为Roaming Profiles）（如图4-55所示）。

以管理员的身份登录到域控制器上。

打开“Active Directory用户和计算机”窗口，展开要配置的用户所属的域（本例中为），找到要配置的用户（本例中用户的登录名为xubinhui）。

在该用户的图标上右击，在弹出的快捷菜单中选择“属性”命令，打开用户属性对话框。

单击“配置文件”标签，打开“配置文件”选项卡（如图4-56所示）。

在“配置文件路径”文本框中输入配置文件放置的路径，路径的形式为Server_nameShared_

folder_name%User_name%，其中%user_name%为一个变量，系统会按照用户的登录名自动创建该文件夹（在本例中路径应该是niceRoaming Profiles%User_name%）。

单击“确定”按钮结束操作。

当“xubinhui”这个用户在网络中登录时，系统会自动在服务器（Lion）上的保存漫游用户配置文件的共享文件夹（Roaming Profiles）中创建一个与用户登录名同名的文件夹来保存用户配置文件，并且以后用户对工作环境所做的一切修改都将被保存到该文件夹中。

面介绍过AGDLP策略，其中“P”为权限的意思；同时前面还介绍了Windows Server 2003采用NTFS文件系统来增强文件的安全性，那么，NTFS文件系统是怎样保证文件的安全的呢？下面就讲解这方面的内容。

使用NTFS权限管理资源。

使用NTFS文件系统压缩数据。

使用NTFS文件系统实现磁盘配额。

使用NTFS文件系统中的EFS加密磁盘上的数据

5.1 Windows Server 2003文件系统的特点

在安装Windows Server 2003系统时，默认安装的磁盘分区为NTFS分区。当然Windows

Server 2003也支持FAT和FAT32分区，但是为什么Windows Server 2003默认采用NTFS分区呢？因为利用NTFS分区可以有效地提高Windows Server 2003文件系统的数据安全性、存储有效性以及磁盘空间的利用率。Windows Server 2003文件系统在NTFS分区上可以利用NTFS权限和文件加密提高数据安全性和数据存储有效性，利用数据压缩和磁盘配额提高磁盘空间的利用率。所以强烈建议在Windows Server 2003中对磁盘格式化时采用NTFS分区。

5.2 NTFS文件系统的安全性5.2.1 通过设置NTFS文件系统的权限提高安全性

在Windows Server 2003中NTFS权限只适用于NTFS分区，不能用于FAT和FAT32分区。在NTFS分区上的每一个文件和文件夹都有一个列表，被称为ACL（Access Control List，访问控制列表），该列表记录了每一用户和组对该资源的访问权限。在Windows Server 2003的NTFS权限作用下，用户必须获得明确的授权才能访问相应的文件和文件夹。

1. NTFS权限类型

NTFS权限分为特殊NTFS权限和标准NTFS权限两大类。标准NTFS权限可以说是特殊NTFS权限的特定组合。Windows Server 2003为了简化管理将一些常用的特殊NTFS权限组合起来并内置到操作系统中形成标准NTFS权限，当需要分配权限时可以通过分配一个标准NTFS权限而达到一次分配多个特殊NTFS权限的目的。这样做大大简化了权限的分配和管理。当标准NTFS权限没有提供一些特殊需要的NTFS权限的组合时，仍然可以通过设定一个特殊NTFS权限来满足要求。

1 / 标准NTFS权限

对于文件，标准NTFS权限分别为：读取、写入、读取和运行、修改、完全控制。如图5-1所示。

图5-1

读取：此权限可以读取文件内的数据，查看文件的属性、所有者、文件的权限等。

写入：此权限可以将文件覆盖、改变文件属性、查看文件的所有者、查看文件的权限等，但是，不可以直接更改文件内的数据，例如：不能利用Word直接编辑修改Word文档。只能够将该文档整个覆盖掉。一般跟“读取”权限一起赋予。

读取和运行：除了“读取”的所有权限外，还可以运行应用程序。

修改：除了“读取”和“读取及运行”的所有权限外，还具有写入的权限，可以更改文件的数据、删除文件、改变文件名等。

完全控制：它拥有所有NTFS权限，它可以修改权限，取得所有权等。

如果在查看对象的权限时复选框为灰色，则对象的权限是继承了父对象的权限。有关权限继承性将在后面讲解。

对于文件夹，标准NTFS权限分别为：读取、写入、列出文件夹目录、读取和运行、修改、完全控制，如图5-2所示。

图5-2

读取：此权限可以查看该文件夹内的文件和子文件夹名称，查看文件夹的属性、所有者，文件夹的权限等。

写入：此权限可以在文件夹内添加文件和文件夹，改变文件夹属性、查看文件夹的所有者、查看文件夹的权限等。

列出文件夹目录：此权限除了拥有“读取”的所有权限外，还具有“遍历子文件夹”的权限，但不能在此文件夹下写入（不能创建新对象）。该权限只能被文件夹继承，而不能被文件继承。

读取和运行：拥有读取的所有权限，同时可以运行文件夹下的可执行文件，和“列出文件夹目录”的权限一样，只是在权限的继承方面有所不同，“列出文件夹目录”的权限只由文件夹来继承，而“读取及运行”是由文件夹和文件来同时继承。

修改：除了“读取及运行”和列出文件夹目录的所有权限外，还具有写入的权限。可以添加和删除子文件夹、文件，改变子文件夹名等。

完全控制：它拥有所有NTFS权限，它可以修改权限，取得所有权等。

对于文件和文件夹的标准NTFS权限都有一项“特别的权限”，这是为需要进行设置某些区别于标准权限的权限而设置的。在实际应用中很少使用。

2 / 特殊NTFS权限

特殊NTFS权限包含了在各种情况下对资源的访问权限，其规定约束了用户访问资源的所有

行为，如图5-3所示。对于特殊的NTFS权限，只需了解其中的两个使用比较频繁的权限：“更改权限”和“取得所有权”。其他的权限大多是组合成标准NTFS权限在使用。

图5-3

2．NTFS权限的继承性

NTFS权限具有继承性，默认情况下，授予父文件夹的权限将被包含在该父文件夹下的子文件夹或文件所继承。也可以说文件或文件夹默认继承分区或父文件夹的权限，并且继承来的权限不能直接设置和修改。

当一个分区被格式化为NTFS之后，在以前Windows 2000 Server操作系统中系统会自动赋予“everyone”组对该分区的根文件夹（即根目录）“完全控制”的权限。由于权限的继承性，使得在这个分区上的所有文件夹和文件对于“everyone”没有任何访问限制。为了安全，应该阻止这样的权限继承。微软公司也考虑到了这样做对用户非常不安全，所以在Windows

Server 2003中，NTFS分区的默认权限中，“everyone”组已经没有任何权限了。

子文件夹可以删除从父文件夹继承来的权限，然后重新设置自己文件夹的权限（当然，这个子文件夹自己又成了它的下级子文件夹的父文件夹，包含在这一新的权限的文件夹中的子文件夹和文件将继承这些新的权限。）其操作如下。

在NTFS分区中找到需要删除权限继承的文件夹，在文件夹上右击，选择弹出菜单中的“共享和安全”命令或者“属性”命令，在弹出的文件夹的属性窗口中打开“安全”选项卡，如图5-4所示。现在需要删除“Users”组从父文件夹继承来的权限。但如果此时单击“删除”按钮直接删除此对象，则会弹出如图5-5所示的警告信息提示框。

图5-4

图5-5

如果在查看对象的权限时复选框为灰色，则表明此权限是从父对象继承来的。

在图5-4中单击“高级”按钮，弹出如图5-6所示的高级安全设置对话框，在此对话框的“权限”选项卡中选择“允许Users读取和运行c:该文件夹，子文件夹……”选项，然后选中“允许父项的继承权限传播到该对象和所有子对象，包括那些在此明确定义的项目。”复选框。这样，就可以更改权限。弹出如图5-7所示的信息提示框。

图5-6

图5-7

在图5-7中有两个按钮“复制”和“删除”。“复制”按钮的意思是将现有的从父文件夹继承来的权限复制一份，保留给该文件或文件夹，然后断开继承关系，同时也可以修改继承来的权限或者再分配权限；“删除”按钮就会将从父文件夹继承来的所有权限彻底删除，然后断开继承关系。

单击“删除”按钮，在“权限”选项卡中所有通过继承获得的权限都被删除，如图5-8所示。只剩下“Administrators”组拥有不是继承的完全控制权限了。这时，可以看到已经将继承来的权限删除了。可以为这个文件夹添加新的权限。

图5-8

图5-9

单击“确定”按钮，返回“安全”选项卡，可以看到在此对话框中，只剩下“administrators”组，而且权限栏中所有权限都没有设置，如图5-9所示。设置“administrators”组“完全控制”权限，然后在此窗口单击“添加”按钮，如图5-10所示。弹出“选择用户和组”对话框，如图5-11所示。

在“输入对象名称来选择”文本框中输入需要添加的用户的名称，单击“确定”按钮。返回“安全”选项卡，如图5-12所示。

图5-10

图5-11

图5-11

根据实际情况设置访问权限，例如：给“技术部”组“读取和运行”的权限，然后单击“确定”按钮。

NTFS权限在移动和复制文件时的继承性。同一个NTFS分区内或不同NTFS分区之间移动或复制一个文件或文件夹时，该文件或文件夹的NTFS权限会发生不同的变化。在同一个NTFS分区内移动文件或文件夹：在同一分区内移动的实质就是在目的位置将原位置上的文件或文件夹“搬”过来，因此文件和文件夹仍然保留有在原位置的一切NTFS权限（准确的讲就是该文件或文件夹的ACL不变）；在不同NTFS分区之间移动文件或文件夹：在这种情况下文件和文件夹会继承目的分区中文件夹的权限（ACL），实质就是在原位置删除该文件或文件夹，并且在目的位置新建该文件或文件夹；在同一个NTFS分区内复制文件或文件夹：在这种情况下复制文件和文件夹将继承目的位置中的文件夹的权限；在不同NTFS分区之间复制文件或文件夹：在这种情况下复制文件和文件夹将继承目的位置中的文件夹的权限。

要从NTFS分区中移动文件或文件夹，操作者必须具有相应的权限。在原位置上必须有“修改”的权限，在目的位置上必须有“写”的权限。当从NTFS分区向FAT或FAT32分区中复制或移动文件和文件夹都将会导致文件和文件夹的权限丢失。因为FAT或FAT32分区不支持NTFS权限。

NTFS权限的使用法则。一个用户可能属于多个组，而这些组又有可能被某种资源赋予了不同的访问权限，另外用户或组可能会对某个文件夹和该文件夹下的文件有不同的访问权限。在这种情况下就必须通过NTFS权限法则来判断到底用户对资源有何种访问权限。

权限累加法则。当一个用户同时属于多个组，而这些组又有可能被某种资源赋予了不同的访问权限时，则用户对该资源最终有效权限是在这些组中最宽松的权限，即累加权限，将所有的权限加在一起即为该用户的权限。

文件权限超越文件夹权限法则。当用户或组对某个文件夹以及该文件夹下的文件有不同的访问权限时，用户对文件的最终权限是用户被赋予访问该文件的权限，即文件权限超越文件的上级文件夹的权限，用户访问该文件夹下的文件不受文件夹权限的限制，而只受被赋予的文件权限的限制。

拒绝权限超越所有其他权限法则。当用户对某个资源有拒绝权限时，该权限覆盖其他任何权限，即在访问该资源的时候只有拒绝权限是有效的。当有拒绝权限时权限最大法则无效。因此对于拒绝权限的授予应该慎重考虑。

在了解了NTFS权限的法则后，就可以给文件和文件夹设置NTFS权限从而对文件和文件夹进行保护。例如，可以设置某个文件夹只能让管理员进行修改，技术部员工只能阅读，而其他员工拒绝访问。

案例：设置文件夹NTFS权限。

通过学习本案例，应该掌握通过对NTFS文件夹给不同的用户分配不同的权限来保护自己或企业的资源。

在NTFS分区上找到需要设置NTFS权限的文件夹。

在文件夹上右击，选择“属性”或“共享和安全”命令。

在弹出的对话框中打开“安全”选项卡，在“安全”选项卡中首先删除文件夹从父文件夹继承来的权限，如图5-13所示。（删除继承权限的方法参考前面NTFS权限的继承性的步骤）。

单击“添加”按钮，弹出“选择用户或组”对话框，在对话框中输入需要添加的用户或组，如图5-14所示。单击“确定”按钮返回“安全”选项卡。此时，选择的用户或组出现在此对话框，如图5-15所示。分别对用户分配不同的权限，默认拥有“读取”权限。

设置好权限后单击“确定”按钮，完成权限设置。对文件的权限设置跟文件夹的设置一样，而且没有特殊需要一般不对文件单独设置权限，只需要在文件所在的文件夹设置权限就可以了。

本文标签： 用户权限文件夹账户配置文件