Transcript 建立與管理帳戶
建立與管理帳戶 Windows 2000 系統實務 Ch08 建立與管理帳戶 建立 Windows 2000 之後, 接下來必須 面對如何規劃使用者帳戶 (User Account) 網管人員按照實際需要建立群組, 然後 將資源的權限開放給群組, 最後把使用 者帳戶加入群組中, 如此一來在相同群 組中的使用者便擁有相同的權限 簡介 Microsoft Management Console 除了 Active Directory 之外, MMC 可 說是 Windows 2000 另一項重要的革新, 小自管理本機電腦, 大到管理多個網域, MMC 都是不可或缺的工具 什麼是 MMC -1 所有的 Windows 2000 管理工具都是以 MMC 介面呈現 什麼是 MMC -2 MMC 是符合 Windows-based Multiple Document Interface (MDI) 規格的應用程式 (MMC.EXE) 與 MMC 配合的檔案稱為 MS Management Console 檔 (副檔名為 MSC) 雙按 MSC 檔案時, 系統也會自動使用 MMC.EXE 程式來開啟這個檔案 各種管理工具, 其實就是各種MSC 檔 MMC 的介面 左窗格的樹狀目錄頁次 頁次的內容會隨不同的管理工具而不同 在左窗格選取物件後, 右窗格 (又稱 Detail Pane) 會顯示該物件的詳細資料 執行鈕, 用來對選取的物件, 執行特定的 命令 檢視鈕, 用來控制右窗格資訊的顯示方 式 新增網域使用者帳戶 -1 任何人要使用網域內的資源, 必須事先 在網域控制站(Domain Controller)中儲 存有這個網域使用者的帳戶 利用帳戶登入網域後, 便可以在該帳戶 被賦予的權限範圍內, 使用網域的資源 Windows 2000 將網域使用者帳戶儲存 在 Security Accounts Manager (SAM) 資料庫 新增網域使用者帳戶 -2 SAM 資料庫位於網域控制站的 \%systemroot%\NTDS\NTDS.DIT 檔 (其中 「%systemroot%」 表示安裝 Windows 2000 的資料夾, 預設為 WINNT) 當系統管理員新增了一個使用者帳戶, Windows 2000 會自動賦予一個 Security Identifier (SID) 給該新帳戶 新增網域使用者帳戶 -3 SID 為獨一無二的數字, 也是 Windows 2000 實際上用來辨識使用者的依據, 它 並不因帳戶重新命名或重設密碼而更動, 即使重新建立一個與已經被刪除的帳戶 一模一樣的帳戶, 新舊帳戶的 SID 仍不 會一樣 新增網域使用者帳戶 -4 Builtin:用來存放內建本機群組(例如: Administrators, Account Operators, Guests, 及 Users) Computers:用來存放網域內電腦帳戶, 當 Windows 2000 Professional/Server 加入網域時, 系統 會自動在此產生對應的電腦帳戶 新增網域使用者帳戶 -5 Domain Controllers:用來存放網域控 制站, 在網域內若有多部網域控制站, 都 會顯示在這裡 ForeignSecurityPrincipals:儲存來自 有信任關係網域的物件 Users:用來存放網域內使用者帳戶及 群組 設定帳戶名稱 要在 某 容器中新增使用者帳戶, 請在該容器 上按右鈕 使用者登入名稱即是所謂的 User Principle Name (UPN) 名稱, UPN 與 e-mail 具有相似 的格式, 例如: 「[email protected]」, 「lmelvin」 是使用者帳戶名稱, 「machinegunz.com」 則 代表該帳戶所在的網域名稱 使用者帳戶的命名原則 使用者的全名在同一個容器不得重複 使用者的姓名與 UPN 名稱可以使用中 文, 但如果網域內有非 Windows 2000 電腦, 為避免在這些電腦上無法輸入中 文帳戶, 建議 UPN 名稱不要使用中文 為了與 Windows NT4.0 相容,使用者登 入名稱最好少於 20 個字元, 並且不要包 含 "/\:;|=,+*?< 和 > 等特殊符號 設定帳戶密碼 -1 密碼最多 128 個字元, 大小寫是有差別 的! 使用者必須在下次登入時變更密碼: 勾選此項後, 該帳戶的使用者第一次登入到 網域時, 系統會出現另一個交談窗, 強制 使用者自訂新的密碼。如此可確保連系 統管理員都不知道自己的密碼 設定帳戶密碼 -2 使用者無法變更密碼: 預設在登入網域之後, 使用者可以隨時按 [Alt]+[Ctrl]+[Del] 鍵, 來變更密碼。若 勾選此項, 就可以鎖定此帳戶的密碼, 讓 使用者無法變更。建議您鎖定像 Guest 這種共用帳戶的密碼, 讓任何人都可以 使用該帳戶, 但不能更改密碼 設定帳戶密碼 -3 密碼永久有效: 勾選此項後, 系統會忽略網域群組原則中有 關密碼存留期的設定, 帳戶密碼永遠不 會過期, 系統不會要求使用者變更密碼 帳戶已停用: 若勾選此項, 則任何人無法使用這個帳戶來 登入網域, 適用於當某位員工休長假時, 可以避免其他人使用他的帳戶 網域使用者帳戶 VS. 本機使用 者帳戶 在網域控制站上我們建立的是「網域使 用者帳戶」, 資料會儲存在 AD 中, 用來 登入網域, 存取網域內的資源 在「非」網域控制站 (獨立伺服器、成 員伺服器, 以及 Windows 2000 Professional) 上沒有網域使用者帳戶, 只有「本機使用者帳戶」, 只存在本機 中。因此該帳戶只能登入帳戶所在的電 腦, 存取該台電腦上的資源, 並無法登入 網域 建立本機使用者帳戶 本機使用者帳戶 本機使用者帳戶適用於工作群組 (Workgroup, 亦即不加入網域的模式) 中, 一般不會對於加入網域的電腦建立 本機使用者帳戶, 因為: 系統管理員無法集中管理本機使用者帳戶, 因此必須到各台電腦上, 進行本機使用 者帳戶的權限設定, 增加了管理的負擔。 本機使用者帳戶只能在本機電腦上使用, 無 法存取其他電腦的資源, 實用性不高 Administrator帳戶 對網域有最大的控制權, 我們無法刪除 它。建議您重新命名 Guest帳戶 系統預設停用此帳戶, 因為若啟用 Guest 帳戶, 任何人都可以使用網域中 部分的資源。 舉例來說, 某人使用網域外的 Windows 98 電腦, 透過網路上的芳鄰要存取網域 內的共享資料夾或印表機, 藉由Guest 帳戶, 他無須輸入帳戶名稱及密碼, 便可 以順利取得想要的資源。這樣可能會造 成管理上的漏洞, 使用者帳戶的內容 新增使用者帳戶後, 系統管理員需要對 該帳戶做進一步的設定, 例如:輸入電 子郵件位址、限制登入的時間、設定主 資料夾以及將帳戶加入群組... 等 輸入電子郵件帳號與首頁 限制登入的時間與能夠登入的 工作站 限制帳戶登入的時間 -1 限制帳戶登入的時間 -2 此處的設定只能限制使用者能夠登入網 域的時段, 但如果帳戶在允許的時段內 登入網域, 一直連線到超過指定的時間, 系統並不會自動將其登出 若要強迫使用者超過時間就登出網域, 必須在群組原則編輯器 限制帳戶只能由特定電腦登入 網域 -1 限制帳戶只能由特定電腦登入 網域 -2 要啟用此功能必須安裝 NetBIOS 通訊 協定 (Windows 2000 預設會啟用 NetBIOS over TCP/IP, 所以不必另行 安裝 NETBEUI 協定也無妨), 因為在電 腦名稱欄位中只接受 NetBIOS 名稱 (如:Steve) 不支援 DNS 名稱或 IP 位 址 取消帳戶鎖定與設定帳戶到期 日 -1 取消帳戶鎖定與設定帳戶到期 日 -2 “帳戶已鎖定”多選鈕目前呈現灰色無 法變更, 係因為這項設定必須在使用者 輸入錯誤密碼造成登入失敗, 導致帳戶 被鎖定後才有作用 事先設定帳戶到某日後自動失效, 如此 屆時就無須手動停用此帳戶。請注意! 若使用者一直不登出, 即使超過帳戶到 期日, 系統並不會自動將其登出, 亦即帳 戶到期日只在下次登入時生效 設定主資料夾 -1 設定主資料夾的目的, 主要是讓各帳戶 在網路上有一個專屬的位置, 用來儲存 它的資料;對系統管理員來說, 可以將 各帳戶的主資料夾設定在同一部電腦中, 方便集中管理與備份 主資料夾的權限預設只有「該帳戶」以 及 Administrators群組有完全控制權 設定主資料夾 -2 設定主資料夾的路徑之後, 系統就會立 刻在該路徑中為帳戶建立主資料夾, 無 須等到使用者下次登入才生效 無論使用者在哪一部電腦登入網域, 都 能夠存取到他的主資料夾(因為登入後系 統會自動將主資料夾連線為網路磁碟機) 可以指定主資料夾是在本機電腦或在網 路上的共用資料夾 將帳戶加入群組中 在網域控制站上新增的帳戶都會隸屬於 Domain Users群組 管理使用者帳戶 新增使用者帳戶之後, 系統管理員還可 以對帳戶進行刪除、重新命名、移動、 重設密碼... 等管理動作, 這些設定在使 用者下一次登入時才會生效 刪除帳戶 使用者帳戶屬於安全性主體之一, Windows 2000 會賦予每個帳戶一個獨 一無二的 SID, 我們可以指派資源的存 取權限 給使用者帳戶。一旦將帳戶刪除, 其 SID 以及之前指派的權限也會一併 移除;即使重新建立同名的帳戶, 系統 還是會賦予新的 SID, 亦即其權限不會 和之前的一樣, 必須重新指派 停用帳戶 複製帳戶 同一個部門的員工, 一般而言都隸屬於 相同的群組, 具有相同的權限 系統管理員利用複製帳戶功能, 可以把 除了使用者姓名、登入名稱及密碼之外, 其他的設定複製到新的帳戶中, 如此一 來複製的帳戶和原來的範本帳戶就會屬 於相同的群組, 具有相同的權限 重新命名 假使某個員工離職, 其他人接替他的職 位, 則系統管理員需要將原來的帳戶重 新命名, 以符合新員工的需求 重新命名帳戶, 並不會影響原有的群組 與權限設定 重設密碼 移動帳戶 傳送電子郵件 開啟帳戶首頁 使用者設定檔 Windows 2000 中除了Guest外, 每一個 帳戶都有一個使用者設定檔 (Profile), 使用者設定檔由 Ntuser.dat 以及許多 資料夾組成, 儲存有關使用者的環境設 定, 使用者登入電腦時, 系統會載入他的設 定檔, 而登出時則會將變動的設定, 更新 到設定檔中 Windows 2000 使用者設定檔 本機使用者設定檔 漫遊使用者設定檔 強制使用者設定檔 本機使用者設定檔 (Local Profile) 在預設的情況下, 使用者第一次使用某 一台電腦登入時, Windows 2000 便會 在該電腦系統磁碟的 Documents and Settings 資料夾中自動建立一個與帳戶 同名的子資料夾, 然後將預設的設定檔 資料複製到此資料夾中, 成為該帳戶的 本機使用者設定檔 漫遊使用者設定檔 (Roaming Profile) 漫遊使用者設定檔的用處是讓使用者登 入任何一台電腦, 都有相同的工作環境 運作的原理是將本機使用者設定檔的內 容複製到網路上的共用資料夾中, 無論 使用者登入哪一台電腦, 系統都會從共 用資料夾下載他的使用者設定檔 圖8-43 啟用漫遊使用者設定檔 要啟用漫遊使用者設定檔, 系統管理員 必須在網路上先建立一個共用資料夾 某個帳戶是第一次使用, 共用資料夾與 本機中都沒有其使用者設定檔, 則系統 會複製 Default User 中的資料, 先產生 本機使用者設定檔, 當使用者登出後, 再 將資料複製到網路上成為漫遊使用者設 定檔 自訂漫遊使用者設定檔範本 -1 1. 2. 3. 4. 建立一個新帳戶, 利用這個帳戶來設定 使用者設定檔範本 在任意一台電腦上 以帳戶登入, 系統自 動產生對應的本機使用者設定檔 設定需要的工作環境 登出, 之前所做的設定會更新到系統磁 碟的 \Documents and Settings\ 中 自訂漫遊使用者設定檔範本 -2 5. 使用漫遊使用者設定檔範本的帳戶,輸入 要存放漫遊使用者設定檔範本的共用資 料夾名稱 6. …..(參考圖例) 強制使用者設定檔 (Mandatory Profile) 不希望使用者變更該帳戶漫遊使用者設 定檔的設定, 此時就必須將該帳戶的漫 遊使用者設定檔改為強制使用者設定檔 使用者在登入期間仍可以變更工作環境, 但是登出時, 變動的部分並不會更新到 共用資料夾中的強制使用者設定檔中 不要讓 使用者變更工作環境, 系統管理 員只須將 NTUSER.DAT 重新命名為 NTUSER.MAN 即可 RUNAS 命令 RUNAS 命令, 它可以讓使用者以其他帳 戶的身分, 執行 .EXE 以及 .MSC 檔案 毋須登出現有的帳戶, 因此可以省略重 新載入使用者設定檔與群組原則...等動 作 可以直接在 Windows 2000 視窗環境或 在命令提示字元中執行 RUNAS 命令 在 Windows 2000 視窗環境中執 行 RUNAS 命令 -1 按住 [Shift] 鍵, 然後在 .EXE 檔上按右 鈕, 執行此命令 RUNAS的效用範圍只限於單一程式, 只 有在執行該 EXE 檔時才具有 某特定身 分, 若切換回作業系統, 仍然維持原來的 身分 在 Windows 2000 視窗環境中執 行 RUNAS 命令 -2 要切換身分執行 .MSC 檔, 只須在該檔 案上按右鈕即可 在命令提示字元中執行 RUNAS 命令 runas /user:accountname@domainname "filename" runas /user:domainname\accountname "filename"