Windows Server 2003 Active Directory(AD) 四.新增網域使用者

由 Derek 發表於 五月 5, 2011 / 1 則評論

 

想使用網域內的任何資源,都必須先登入網域才能使用,但登入網域就須要帳號。因此這邊就來介紹一下如何建立帳號、設定、管理以及各項應用

 

新增網域使用者帳號

首先在創立帳號之前一定要先知道創立好的帳號會存放在那個位置。

 

網域控制站會將帳號資料存放在AD資料庫中。網域資料庫的路徑為網域控制站的\%systemroot%/NTDS/NTDS.DIT(其中的【%systemroot%】表示安裝Windows Server 2003的資料夾,預設為Windows)

 

非網域控制站的獨立伺服器,則將帳號資料存於Security Accounts Manager (SAM)資料庫。路徑為: \%systemroot%/system32/congfig/SAM

 

當新增一個使用者帳號,系統會自動給予一個Security Idenitfer (SID)給此帳號,SIDWindows Server 2003用來辯別使用者的依據,因此他是獨一無二的。就算是帳號重心命名或是重設密碼,就算是重新建立一個一模一樣的帳號,在新舊SID是不會一樣的。

 

接下來就介紹如何建立使用者帳號

首先開起Active Directory 使用者及電腦

【開始】【系統管理工具】Active Directory 使用者及電腦】

 

打開【Active Directory 使用者及電腦】後會看到下圖

在左邊的紅框內為AD安裝時的5種預設

Builtin : 用來存放內建的本機群組

Computers : 用來存放網域內電腦帳戶,當Windows 2000 / 2003 / xp / vista / 7的使用者加入到網域時,這些電腦的帳戶就會存放於此。

Domain Controllers : 用來存放網域控制站。也就是說,在網域內若有多個網域控制站的話都會顯示在這裡。

ForeignSecurityPrincipals : 儲存來自有信任關係網域的物件

Users : 用來存放網域內的使用者帳戶及群組

 

而在右邊的紅框內則是顯示Users 現有的使用者帳戶和群組

 

 再來我們要新增帳戶

User【新增(N)【使用者】

 

在新增物件-使用者

姓氏(L)和名字(F) : 請輸入姓名

全名(A) : 此部份預設會自動填入姓氏與名字的組合,成為帳戶顯示的名稱

使用者登入名稱(U) : 設定使用者要登入時的名稱

使用者登入名稱(Windows 2000 前版)(W) : 保留預設就可以了

 

設定帳戶密碼

密碼最多128個字元,請注意大小有別

在這邊請先勾選【使用者必須在下次登入時變更密碼】

 

下圖中上方的紅框表示的為,此帳戶所在的位置(Users)

而在下方的紅框表示的為,有關此帳戶的設定摘要

確定無誤就可按下完成

 

 如果出現下圖畫面的話,表示在設定密碼的部份沒有設定完全

在設定密碼時會有幾個需要注意的地方。

以下是一些密碼設定規則提供參考

  1. 最少需要 8 ()字元。
  2. 必須含至少各一個英文字母大、小寫及數字混用。

    • 須包含至少一個大寫英文字元 (A-Z)
    • 須包含至少一個小寫英文字元 (a-z)
    • 須包含至少一個數字 (0-9)
    • 英文大、小寫須區分清楚
  3. 最好再穿插 特殊符號 (鍵盤上的符號鍵)
      (
    如: ~ ! @ # $ % ^ & * ( ) _ + { } | : < > ? ` = [ ] ; , . / )
  4. 不能含有 – (減號) ' (單引號) " (雙引號) \ (反斜線) 空白鍵。
  5. 不能含有超過 兩個 連號或重複的字元碼。
      (
    ASCII表,如:abc456ZYX>?@bbb222 )
  6. 不能與帳號之拼字有相關性 (包含大小寫)
      (
    帳號:s0920123,密碼:aS0920123 )
  7. 不能與自己帳號以往已設定成功過的密碼相同。 (系統會記錄下來)
  8. 應避免使用英文字典內可查到的英文單字。
  9. 應避免使用鍵盤上的橫列或直排的排列。

 

 設定完成後就可以到【Active Directory 使用者及電腦】【Users

查詢的到剛剛所設定完成的帳戶

 

 如何登入網域或本機

啟動Windows Server 2003後,可依下面方式登入

按【Ctrl+Alt+Del】後會看到以下畫面

先點按【選項】後會看到跟下圖一樣的畫面

使用者名稱 : 輸入本機使用者帳戶名稱

密碼 : 就輸入密碼

登入到 : 選擇此項(後面有(此電腦)的項目就表示本機電腦)

        如果沒有(此電腦)的項目就是網域登入

 

除了按【選項】來改變登入外,也可直接在使用者名稱欄輸入UPN名稱

登入本機,就輸入【電腦名稱\帳戶名稱】

登入網域,就輸入【網域名稱\帳戶名稱】

 

介紹一下內建的Administrator Guest 帳戶

 

Administrator-系統管理員帳戶

此帳戶擁有最大的控制權,無法刪除他。建議可將Administrator 帳戶重新命名,可防止駭客入侵。

Administrator帳戶有幾個特點 :

1.      永久有效

2.      Administrator帳戶無法被停用

3.      Administrator帳戶永遠不會到期

4.      Administrator帳戶不受登入時數與只能使用指定電腦登入的限制

 

Guest-來賓帳戶

Guest用途是提供沒有帳戶的使用者,可使用Guest帳戶登入系統,存取一些公開的資源。

但基於安全考量,系統會將Guest停用,因為若啟用的話任何人都可登入,使用網域中的部份資料。

在啟用Guest時請仔細考慮清楚

 

 

 

參考書籍 (若想更加了解可自行購買)

Windows Server 2003 Active Dirctory 建置指南

Windows Server 2003安裝與管理指南

 

關於作者

一個半路殺出來的傻小子,憑著一股傻勁努力的學習、嘗試、分享。希望能用自己微薄之力,替IT界和資訊界盡一點心力。單憑一己之力始終還是有限,歡迎和我有相同理念的夥伴一同加入一同努力。

評論

  1. Latonya Sternisha 說: 2011/05/29

    Wow this is a great resource.. I’m enjoying it.. good article

發表評論至 Latonya Sternisha

*