4.2 本地组的管理

作者: 许斌辉 出处:清华大学出版社 　2007-07-05 14:45　   砖    好    评论  条 　进入论坛

阅读提示：《Windows Server 2003网络管理员完全手册》一书第四章“Windows Server 2003账号和组的管理”。本节主要介绍本地组的管理。

4.2  本地组的管理
在Windows Server 2003中组的概念就相当于公司中部门的概念，其实在Windows Server 2003中的组常常就对应着公司的部门，也就是说组的名称常常就是公司部门的名称。组内的账户就是部门的成员账户。组的出现，极大地方便了Windows Server 2003的账户管理和后面将要学习的资源访问权限的设置。那么，在Windows Server 2003中如何管理本地组？以及都有哪些内置的本地组？将在下面详细介绍。首先来介绍组的创建和成员的添加。
案例：创建本地组并将成员添加本地组。
在如图4-2所示的计算机管理控制台中右击“组”，选择“新建组”命令，如图4-11所示。将弹出“新建组”的对话框，如图4-12所示。
根据实际需要在相应的文本框内输入内容，例如在“组名”文本框输入“技术部”，在描述文本框输入“技术部”，然后单击“添加”按钮，将弹出如图4-13所示的选择用户或组的对话框。

图4－11

图4－12

图4－13

根据实际需要输入要添加到技术部组中的用户或其他组，例如输入用户“xubinhui”然后单击“确定”按钮返回。这时，用户“xubinhui”将出现在下面的文本框中。单击“确定”按钮，组的创建和设置完成。
也可以在账户“属性”设置中将账户添加到组，通过账户属性的“隶属于”选项卡操作。
在选定的账户上右击，选择“属性”命令，在弹出的对话框上打开“隶属于”选项卡，如图4-14所示。
单击“添加”按钮出现如图4-15所示的对话框，在此可以直接输入需要添加的组的名称，如果记不清楚组的名称，可以单击“高级”按钮，在弹出的对话框中实行查找，如图4-16所示。单击“立即查找”按钮，将会出现本计算机所有的组的名称。

图4－14

图4－15

选择想要加入的组，如图4-17所示。单击“确定”按钮，返回“选择组”对话框。加入的组将出现在“选择组”对话框中，如图4-18所示。然后单击“确定”按钮，返回用户属性对话框，如图4-19所示。单击“确定”按钮，完成组的添加。

图4－16

图4－17

图4－18

图4－19

在Windows Server 2003中有如下几个内置组：Administrators组、Users组、Power Users组、Backup Operators组、Guests组。
属于Administrators组的用户，都具备系统管理员的权限，拥有对这台计算机最大的控制权，内置的系统管理员Administrator就是此本地组的成员，而且无法将其从此组中删除。
Users组权限受到很大的限制，其所能执行的任务和能够访问的资源，根据指派给他的权利而定。所有创建的本地账户都自动属于此组。
Power Users组内的用户可以添加、删除、更改本地用户账户；建立、管理、删除本地计算机内的共享文件夹与打印机。
Backup Operators组的成员可以利用“Windows Server 2003备份”程序来备份与还原计算机内的文件和数据。
Guests组包含Guest账户，一般被用于在域中或计算机中没有固定账户的用户临时访问域或计算机时使用的。该账户默认情况下不允许对域或计算机中的设置和资源做更改。出于安全考虑Guest账户在Windows Server 2003安装好之后是被禁用的，如果需要可以手动地启用。应该注意分配给该账户的权限，该账户也是黑客攻击的主要对象。
这些本地组中的本地用户只能访问本计算机的资源，一般不能访问网络上其他计算机上的资源，除非在那台计算机上有相同的用户名和密码。也就是说，如果一个用户需要访问多台计算机上的资源，则用户需要在每一台需要访问的计算机上拥有相应的本地用户账户，并在登录某台计算机时由该计算机验证。这些本地用户账户存放于创建该账户的计算机上的本地SAM数据库中，这些账户在存放该账户的计算机上必须是唯一的。这样大大增加了管理员的工作量，以及网络的复杂程度，为了能够很方便地访问网络资源，Windows Server 2003引进了“域”和“活动目录”，在前面学习活动目录时，已经了解了活动目录的用处，并且通过安装活动目录创建了域。下面来学习域用户账户的管理。

本地账户都存储在%SystemRoot%\system32\config\Sam数据库中，当忘记administrator密码时，可以将这台计算机的SAM数据库删除，然后登录时，administrator的密码为空。

回书目   上一节   下一节