超级会员免费看
Windows Server 2008 用户与组管理全解析
在Windows Server 2008系统中,用户和组的管理是至关重要的一部分,它涉及到系统的安全性、资源分配以及用户权限的控制。下面将详细介绍相关的管理知识和操作。
1. SAM和LSA认证
Windows Server 2008的SAM(安全账户管理器)继承自Windows 2000,虽然它不再参与网络域管理,但在独立服务器和成员服务器中,它用于验证具有本地账户的用户,包括自主进程。SAM仍存在于注册表中,是本地安全机构(LSA)的重要组成部分。
LSA认证存在的原因主要有以下几点:
- 处理本地登录请求。
- 允许ISV和有特殊需求的客户使用LSA获取本地认证服务,如访问控制应用程序可使用LSA验证磁卡持有者。
- 为设备提供特殊的本地访问权限,例如磁带备份设备驱动程序可能需要通过LSA认证才能访问本地数据库管理系统或受保护的进程。
- 提供异构本地认证,满足那些无法或不想使用Active Directory认证和登录过程的用户需求。
当设置独立服务器时,Windows会创建默认或内置账户,这些账户实际上是在本地SAM中存储的Windows 4.0类型的本地域中创建的,创建的两个本地域是“Account”和“Builtin”。首次安装Windows Server 2008时,本地域系统以机器的NetBIOS名称命名。如果更改机器名称,下次重启服务器时,域名将更新为新的机器名称。
Active Directory包含一个SAM服务提供程序,使Windows Server 2008域控制器能够与NT 4.0域控制器互操作,其他目录服务(如Novell NDS)也有类似的服务提供程序。
2. 用户账户的作用
用户账户就像银行账户一样,没有它,用户就无法访问系统资源、存储数据、执行任务等。如果用户无法登录,就像银行账户意外关闭一样,会导致工作无法正常进行。
3. 熟悉RunAs
在进行账户创建和管理之前,了解RunAs应用程序和服务是很有必要的,它在管理和故障排除方面非常有用。
RunAs也称为二次或替代登录,它允许用户使用其他用户账户的凭据执行应用程序、访问资源或加载环境和配置文件,而无需从当前登录的账户注销。RunAs是一个非图形化的可执行文件,位于服务器或工作站的%System%\System32文件夹中。可以从操作系统的多个位置访问它,例如在桌面上创建快捷方式或编写脚本。
以下是创建命令控制台快捷方式并使用其测试用户ID和密码的步骤:
1. 在桌面上创建命令提示符的快捷方式。
2. 右键单击快捷方式,从弹出菜单中选择“属性”。在出现的“属性”对话框的“快捷方式”选项卡中,点击“高级”,选择“使用不同的凭据运行”复选框,然后点击“确定”。
3. 再次点击“确定”。
现在,右键单击快捷方式时,“以其他用户身份运行”会以粗体显示在上下文菜单中。也可以直接双击快捷方式图标,会弹出“以其他用户身份运行”对话框,然后输入用户账户、域和密码。
通过进一步研究RunAs,还可以测试替代登录、解决共享资源和打印机访问等问题,还能让用户在其他账户的上下文中运行应用程序。
4. 用户账户命名规则
遵循推荐的用户账户命名约定可以让用户管理员的工作更加轻松。在设置命名约定时,需要考虑以下几点:
- 用户账户名称在其创建的域中必须唯一。例如,不能有两个相同的名称,如“mcity\john samuels”或“johns@mcity.us”,其中一个可能需要改为“johns1@mcity.us”。但可以在其他域中创建具有相同UPN前缀的账户,如“johns@mcity.mcpd.us”或“mcpd\johns”。
- 用户账户前缀最多可包含20个字符,登录过程不区分大小写,但该字段会保留大小写,有助于形成命名约定。
- 账户名称中不允许使用以下字符:‘ < > * / \ | ; : = , + [ ]。
- 可以在名称中使用字母、破折号或下划线,但要注意账户名称可能会用作电子邮件地址,应遵循UPN命名约定。
5. 密码管理
许多管理员采用将首字母和数字组合的方法设置密码,并在整个企业中保持一致。设置密码约定时,需要考虑以下几点:
- 密码长度可达128个字符,但不建议让用户使用过长的密码,不过智能卡和非交互式登录设备可以使用这么长的密码。
- 密码长度不应少于5个字符,建议至少为8个字符。
- 密码中不允许使用以下字符:‘/ \ | ; : = , + [ ]。
密码管理对每个人来说都是一个难题,许多管理员会将密码列表保存在各种数据库文件和帮助台中。在解决用户登录问题时,管理员通常需要登录用户账户来体验可能出现的问题。RunAs服务是管理用户账户和解决密码问题的有用工具。
在用户密码的使用方面,有以下三种选择:
- 分配密码:管理员可以采用易于记忆的密码命名方案,但这种方案安全性较低;也可以将用户密码存储在安全的数据库中。
- 让用户选择密码:这种方式存在风险,用户可能会设置弱密码,而且在解决问题时,管理员可能需要通过电话或电子邮件询问密码,还可能需要重置密码。
- 为某些用户分配密码,允许其他用户自行设置:对于大多数企业用户,可以根据具体情况分配密码;对于需要高安全性的用户,如能够访问公司财务信息、银行账户号码等的用户,可以允许他们自行设置密码。
对于服务账户,应生成安全的密码,并将其记录在安全的地方,如加密的Microsoft Access数据库文件或SQL Server表中。在Windows Server 2008中,保护密码比在Windows NT或其他操作系统中更为重要,因为Single Sign-On(SSO)计划和Kerberos票据授予服务的存在,一旦密码泄露,攻击者将可以访问所有经过SSO认证的资源。
6. 理解登录
本地登录是一种权利,而非自动特权。用户要连接到本地或远程机器,需要在以下两个方面获得授权:
- 用户所属的域必须允许用户从机器请求登录权限,默认情况下,用户可以从任何机器请求登录,最终由目标机器的SAM决定是否允许登录。
- 目标机器必须授予账户本地登录的权利。
除非目标机器上有需要本地登录和认证的特殊软件,否则通过域组提供对远程机器资源的访问更为合理。
7. 授予远程访问权限
远程访问权限是任何组织中最受欢迎的权利之一。通过远程访问服务(RAS),用户可以远程办公、在家工作或在路上访问网络和服务器。但远程策略通常有更严格的安全要求,因此在设置组时,在特定组织单位(OU)中创建远程用户组可能更合适。将所有远程用户放入企业范围的远程用户组可能会导致问题,因为不同用户在不同环境下的权限需求可能不同。
8. 创建用户账户
以在Millennium City的Driver Compensation Program(DCP)中创建用户账户为例,这些账户存在于CITYHALL域的DCP OU中。假设已经创建了DCP OU,创建用户账户的步骤如下:
1. 选择域,右键单击DCP OU,从弹出菜单中选择“新建” -> “用户”。
2. 打开“新建对象 - 用户”对话框,需要输入用户的旧SAM账户名或新的NetBIOS名称,该名称是用户用于登录旧NT域的名称,且必须少于15个字符,要避免使用前面提到的非法字符。
3. 可以在域中的任何位置创建新用户账户,之后根据需要移动它。
9. 用户主体名称(UPN)
在旧版NT系统中,登录名的灵活性较低。现在,用户的登录名和电子邮件地址相同,这样做有两个好处:一是支持Single Sign-On(SSO)计划,只要用户需要访问的资源支持TCP/IP、RFC 822命名和Kerberos认证,用户ID或认证证书就可以传递给这些技术;二是允许用户使用电子邮件地址从Internet上的任何位置登录域。
UPN的前缀部分是用户ID,后缀标识域。为了使UPN更易于使用,建议使用用户的名字和姓氏,并使用简单的点号分隔,如“user.name@adomain.com”。在创建账户时,要确保输入的UPN符合网络标准,复制账户时需要更新UPN字段。
创建用户账户时,输入名称后,点击“下一步”,在接下来的对话框中填写密码,完成后点击“完成”。之后需要设置用户的属性。
10. 设置用户属性
账户创建完成后,需要设置定义用户权利、特权、资源访问、联系信息等的属性。可以通过在Active Directory中双击账户或右键单击并选择“属性”来访问用户账户对象的属性表。
用户属性对话框包含多个选项卡,以下是创建新用户账户时需要设置的主要选项卡:
-
常规选项卡属性
:
- 名字、姓氏和首字母:输入这些信息后,显示名称会自动生成,也可以根据公司标准或政策进行更改。
- 描述:描述账户的用途或提供更详细的标识信息,对于大型网络,填写该字段非常重要。
- 办公室:输入用户的实际办公地址。
- 电话号码:输入用户的电话号码和分机号(如果有)。
- 电子邮件:输入用户的电子邮件地址,该字段不区分电子邮件格式,可输入cc:Mail地址、X:400地址等。保持该字段的一致性很重要,因为它可通过ADSI访问,是许多人员跟踪工具、ERP应用程序和通信应用程序的重要信息来源。
- 网页:输入用户的主页地址(如果适用),该字段可用于其他应用程序,如ISP为用户账户提供“租用”主页服务。
-
账户选项卡属性
:
- 用户登录名:显示用户的UPN登录名。
- 用户登录名(Windows 2000之前):显示用户的旧版NetBIOS登录名。
- 账户过期:可设置账户永不过期或在特定日期过期,对于临时员工和分包商,设置账户过期时间很有用。
- 登录时间:可通过“登录时间”按钮设置允许用户登录的时间,默认情况下登录时间为“始终”,但可以根据需要进行限制。
- 登录到:指定用户可以登录的工作站或服务器路径,管理员可根据情况进行设置,不设置则用户可以访问网络上的所有机器。
- 解锁账户:如果账户因多次输入错误密码而被锁定,清除该复选框可启用用户登录。
- 账户选项:设置密码策略,如“用户不能更改密码”、“密码永不过期”等。还可以设置其他选项,如“用户下次登录时必须更改密码”、“使用可逆加密存储密码”等,这些属性最好通过组策略设置。
设置登录时间的步骤如下:
1. 在属性对话框中,选择“账户”选项卡,点击“登录时间”按钮,打开“登录时间”对话框。
2. 点击要允许或拒绝用户登录的日期和时间的矩形框,蓝色框表示允许登录时间,白色框表示拒绝登录时间,默认情况下整个框为蓝色,表示始终允许登录。
3. 点击“确定”关闭对话框,登录时间将保存。
-
配置文件选项卡属性
:
- 配置文件路径:输入用户的配置文件路径,如“\mcdc01\profiles\amartinez”。
- 登录脚本:如果为用户使用登录脚本,输入相应的文件名,如“\mcdc01\profiles\eredmond\eredmond.scr”。
- 本地路径:输入网络服务器或工作站上文件夹的路径,也可以留空以默认使用用户本地硬盘上的默认文件夹。
- 连接:将驱动器号映射到主文件夹路径。
-
组织选项卡属性
:
- 标题:输入用户的职位,如“副总裁”或“首席执行官”。
- 部门:输入用户所在的部门。
- 公司:输入公司名称。
- 经理:输入管理该用户或账户的人员的用户账户。
- 直接下属:列出直接向该用户账户汇报的用户列表。
-
成员属于选项卡属性
:
该选项卡允许将用户添加到本域或森林中其他域的组中,点击“添加”按钮,从“选择组”列表中选择组。 -
拨号选项卡属性
:
该选项卡允许为用户授予拨号(RAS)权限、认证选项和IP地址选项。
11. 重命名用户账户
Windows Server 2008允许重命名用户账户,因为安全标识符(SID)保持不变。可以通过在Active Directory用户和计算机中右键单击账户并选择“重命名”,或单击条目一次进行重命名,操作方式与重命名其他对象(如文件或文件夹)相同。重命名账户只会更改在AD列表中看到的名称,不会更改登录名(UPN)或旧版NetBIOS名称。
12. 删除和禁用用户账户
不要随意删除账户,因为删除后无法恢复,SID可以跟踪但无法复活。如果想使账户不可用,建议禁用它。在Active Directory中禁用账户很简单,只需在Active Directory用户和计算机中选择账户,右键单击并选择“禁用账户”。
可以考虑采用在一定时间内(如六个月)删除禁用账户的策略,但除非有充分理由,否则最好将账户无限期禁用。删除的账户可能会带来麻烦,例如临时工可能会在离开公司六个月后回来,重新创建相同的账户会浪费大量时间。
综上所述,Windows Server 2008的用户和组管理涉及多个方面,包括认证、账户创建、属性设置、权限管理等。通过合理的管理和设置,可以提高系统的安全性和管理效率,确保用户能够正常访问所需的资源。在实际操作中,应根据企业的具体需求和安全策略进行灵活配置。
下面是一个简单的mermaid流程图,展示创建用户账户的主要步骤:
graph LR
A[选择域] --> B[右键单击DCP OU]
B --> C[选择“新建”->“用户”]
C --> D[输入NetBIOS名称]
D --> E[点击“下一步”]
E --> F[填写密码]
F --> G[点击“完成”]
G --> H[设置用户属性]
同时,为了更清晰地展示用户属性设置的选项卡和相关内容,整理成以下表格:
|选项卡|属性|描述|
| ---- | ---- | ---- |
|常规|名字、姓氏、首字母|自动生成显示名称,可按需更改|
|常规|描述|描述账户用途或提供标识信息|
|常规|办公室|用户实际办公地址|
|常规|电话号码|用户电话号码及分机|
|常规|电子邮件|用户电子邮件地址,不区分格式|
|常规|网页|用户主页地址,可用于其他应用|
|账户|用户登录名|显示UPN登录名|
|账户|用户登录名(pre - Windows 2000)|显示旧版NetBIOS登录名|
|账户|账户过期|设置账户是否过期及过期时间|
|账户|登录时间|设置允许登录的时间|
|账户|登录到|指定可登录的工作站或服务器路径|
|账户|解锁账户|解锁被锁定的账户|
|账户|账户选项|设置密码策略及其他安全选项|
|配置文件|配置文件路径|用户配置文件路径|
|配置文件|登录脚本|登录脚本文件名|
|配置文件|本地路径|网络或本地文件夹路径|
|配置文件|连接|映射驱动器号到主文件夹路径|
|组织|标题|用户职位|
|组织|部门|用户所在部门|
|组织|公司|公司名称|
|组织|经理|管理该用户的人员账户|
|组织|直接下属|直接向该用户汇报的用户列表|
|成员属于| - |将用户添加到组中|
|拨号| - |授予拨号权限、认证选项和IP地址选项|
Windows Server 2008 用户与组管理全解析
13. 管理用户组
在Windows Server 2008中,用户组是管理用户权限和资源访问的重要工具。通过将用户添加到不同的组中,可以方便地为一组用户分配相同的权限和策略。以下是关于用户组管理的一些关键要点:
-
组的类型
:Windows Server 2008中有多种类型的组,包括全局组、域本地组和通用组。全局组通常用于组织用户,域本地组用于分配资源权限,通用组则适用于跨域的权限分配。
-
创建组
:可以在Active Directory用户和计算机中创建组。右键单击要创建组的组织单位(OU),选择“新建” -> “组”,然后输入组的名称和描述。
-
添加成员
:创建组后,可以将用户或其他组添加为成员。右键单击组,选择“属性”,在“成员”选项卡中点击“添加”,选择要添加的用户或组。
-
权限分配
:通过组来分配权限可以简化管理。例如,将所有需要访问某个共享文件夹的用户添加到一个域本地组中,然后为该组分配对该文件夹的访问权限。
14. 组策略管理
组策略是Windows Server 2008中用于集中管理和配置计算机和用户设置的强大工具。通过组策略,可以为用户和计算机应用统一的安全设置、软件安装、桌面配置等。
-
创建组策略对象(GPO)
:在组策略管理控制台(GPMC)中,可以创建新的GPO。右键单击“组策略对象”,选择“新建”,输入GPO的名称。
-
链接GPO
:将创建的GPO链接到相应的组织单位(OU)、域或站点。右键单击要链接的对象,选择“链接现有GPO”,然后选择要链接的GPO。
-
编辑GPO
:双击GPO可以打开组策略编辑器,在其中可以配置各种设置,如安全设置、软件安装、脚本执行等。
以下是一个简单的表格,总结了组策略管理的主要步骤:
|步骤|操作|
| ---- | ---- |
|创建GPO|在GPMC中右键单击“组策略对象”,选择“新建”|
|链接GPO|右键单击要链接的对象,选择“链接现有GPO”|
|编辑GPO|双击GPO打开组策略编辑器进行配置|
15. 安全审核与监控
为了确保系统的安全性,需要对用户和组的活动进行安全审核和监控。Windows Server 2008提供了内置的安全审核功能,可以记录各种安全事件。
-
启用审核策略
:在组策略编辑器中,可以启用各种审核策略,如登录事件、文件访问事件等。导航到“计算机配置” -> “Windows设置” -> “安全设置” -> “本地策略” -> “审核策略”,选择要审核的事件类型。
-
查看审核日志
:可以在事件查看器中查看审核日志。打开事件查看器,导航到“Windows日志” -> “安全”,可以查看记录的安全事件。
以下是查看审核日志的步骤列表:
1. 打开“事件查看器”。
2. 导航到“Windows日志” -> “安全”。
3. 查看记录的安全事件,根据事件ID和描述进行分析。
16. 备份与恢复
定期备份用户和组的相关数据是非常重要的,以防止数据丢失或损坏。在Windows Server 2008中,可以使用内置的备份工具进行备份和恢复操作。
-
备份Active Directory
:可以使用Windows Server Backup工具备份Active Directory。在备份时,选择“完整服务器”备份选项,确保包含Active Directory数据库。
-
恢复Active Directory
:如果需要恢复Active Directory,可以在服务器启动时进入目录服务恢复模式(DSRM),然后使用备份文件进行恢复。
以下是一个mermaid流程图,展示备份和恢复Active Directory的主要步骤:
graph LR
A[启动Windows Server Backup] --> B[选择“完整服务器”备份]
B --> C[包含Active Directory数据库]
C --> D[完成备份]
D --> E{需要恢复?}
E -- 是 --> F[进入DSRM模式]
F --> G[使用备份文件恢复]
E -- 否 --> H[正常运行]
17. 性能优化
为了提高Windows Server 2008用户和组管理的性能,可以采取以下措施:
-
合理规划组织单位(OU)
:根据企业的组织结构和管理需求,合理划分OU,避免OU层次过深或过于复杂。
-
定期清理无用账户和组
:删除不再使用的用户账户和组,减少Active Directory的负载。
-
优化组策略应用
:避免在多个GPO中设置重复的策略,确保GPO的应用范围合理。
18. 常见问题与解决方法
在用户和组管理过程中,可能会遇到一些常见问题,以下是一些解决方法:
-
用户无法登录
:检查用户账户是否被禁用、密码是否正确、登录时间是否符合设置等。
-
权限问题
:检查组策略和权限分配是否正确,确保用户所属的组具有相应的权限。
-
账户锁定
:如果账户被锁定,检查审核日志以确定锁定原因,然后解锁账户。
以下是一个表格,总结了常见问题和解决方法:
|问题|解决方法|
| ---- | ---- |
|用户无法登录|检查账户状态、密码、登录时间|
|权限问题|检查组策略和权限分配|
|账户锁定|查看审核日志,解锁账户|
通过以上对Windows Server 2008用户与组管理的全面介绍,涵盖了从基本的账户创建、密码管理到高级的组策略应用、安全审核等多个方面。合理运用这些管理方法和工具,可以提高系统的安全性、管理效率和用户体验。在实际操作中,要根据企业的具体情况进行灵活配置和调整,以满足不同的业务需求。同时,不断学习和掌握新的管理技巧和方法,以应对不断变化的安全挑战和技术发展。
扫一扫
8157
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
