建立并管理用户帐号
服务器是整个网络的核心,网络系统的安全与否和性能的优劣很大程度上取决于对服务器端的设定,本讲将利用整讲的篇幅详细介绍NTS4.0中用户帐号的建立和管理方法。在NTS4.0服务器上,“域用户管理器”和“管理向导”是用来建立和管理域中用户帐号信息的主要工具,本讲的重点也将集中到对“域用户管理器”功能的介绍上,而“管理向导”的使用方法将在文章最后作扼要概述。
一、 建立用户帐号前的准备工作
一个有经验的网络管理员一定很注重对用户帐号的统一规划。就象银行对储户存款的管理一样,每个储户帐号都被分为定期、活期、定活两便等不同的类别,这样做的目的是方便对储户信息的管理。在网络中,每一个用户可能具有不同的职能,为了保证网上用户的相互识别和独立性,每一个用户都应有一个唯一的用户帐号,在这个用户帐号中包含有用户名称、登录密码以及登录方法等各项信息。但是,这些具有不同职能的用户,其使用网络资源的权限有些可能相同,有些可能不同,所以,我们利用“组”(即:用户组)来分类管理这些用户帐号,将具有相同资源权限的用户纳入同一个组来管理。正象每个用户有唯一的“用户帐号”一样,每个组也有唯一的“组帐号”。以后,只要给某一个组进行了权限设置,这个组下的所有用户就具有与组相同的属性,即可通过“组帐号”间接地给“用户帐号”赋予权限,这比对用户帐号逐一赋予权限要方便的多,同时避免了管理上的零乱。因此,当组建规模较大(用户数较多)的网络时,很有必要对需要登录服务器的用户帐号进行分类管理和规划。建议先制个表格,将用户根据其在网络中享有权限的不同来分类归档,然后运用组的功能,分块管理这些用户帐号。为便于后面的应用,表1中列出了建立和管理用户帐号中将要用到的一些名称及其说明。
每个用户帐号中都包含着大量的用户信息,网络中所有用户帐号的信息都放在主域控制器中的SAM(安全访问管理器)文件中,此文件位于NTS4.0安装目录的\SYSTEM32\CONFIG子目录下,且无法用常用的编辑器修改或查看它的内容,建议在新建帐号或改变了用户帐号的有关属性后备份此文件。
二、新建用户帐号
当成功创建一个用户帐号后,NTS会自动分配一个SID(Security Identifier,安全识别码)给该帐号。用户帐号的SID同时具有唯一性和永久性。即在同一网络中,SID不可能重复,即使用户帐号已被删除,其SID仍然会被永久保留。一个NT域中可同时容纳40亿个SID,所以尽可放心使用。以下将分步介绍用户帐号的建立过程。
1.选择“开始/程序/管理工具(公用)/域用户管理器”,进入“域用户管理器”工作窗口,如图1。
2.在图1中选择“用户”菜单下的“新用户”项,将出现图2所示的对话框。在该对话框中,你可以按照提示输入新建帐号的有关信息,包括用户名、全称(用户全名)、描述(用户的说明信息)以及密码等内容。其中:①用户名不能超过20个字节(10个汉字),而且不能包含"/\[]:;|=,+<>()等字符;②密码不超过14个字节,原则上密码可以使用任意字符,不过建议(要求)不使用汉字。而且在使用英文字母做密码时,应注意NT对密码的验证处理是大小写敏感的。这一点一定要注意,否则从工作站登录时,会出现密码不正确的提示;③如果选择了“用户下次登录时须更改密码”项,系统将会强迫用户在第一次登录时更改密码,否则无法登录。针对很多安全意识不强而使用缺省密码的用户,这是保证用户帐号安全的必要措施;④如果是创建供多人使用的公用帐号,应选择“用户不得更改密码”项,否则任何一个用户更改了密码后,都将造成其他用户无法使用该帐号登录;⑤当“密码永久有效”一项被选定后,不论是否在“帐号规则”(后面马上讲到)中已设置了密码使用期限,密码都永久有效;⑥如用户帐号暂时不使用,可选择“帐号暂时禁用”一项,以防止其他用户利用此帐号登录。
3.在“新用户”对话框最下端,还有“组”、“配置文件”、“时数”、“登录到”、“帐号”、“拨入”六个功能按钮,可用来设置用户的其他特性,我们将在后面进行必要的描述。
4.单击“添加”按钮,一个用户建立就成功了。重复上述步骤,可以继续建立其他的用户,当完成所有新用户的建立后,单击“关闭”按钮。
三、管理用户帐号
1.限制用户登录的时间
凭借新建成的帐号的缺省设置,用户可以在任何时间访问NT服务器。但在实际的应用中,有时需对用户访问网络服务器的时间进行限制。例如,许多公司为了禁止用户在下班后访问服务器,对用户帐号设置了登录时间限制。这样,在下班后,用户(当然更主要针对盗用别人帐号的非法用户)将无法登录,这有利于网络系统的安全管理。
具体设置方法是,在图1所示的窗口中先选定一个或多个被设置的用户名,再选择“用户”菜单下的“属性”栏(当选定的是一个用户时也可双击此用户名),待出现 “用户属性”窗口后,点击窗口下方的“时数”按钮,将出现图3所示的“登录时数”对话框。对话框中填满的方格表示允许该用户使用的时间,该时间表示以小时为单位,一个方格代表一小时。蓝色表示允许登录,白色表示不允许登录。在缺省状况下,所有方块均为蓝色,即全天24小时都可登录到NT服务器。如要设置在某一时间段内不允许用户访问服务器时,只要用鼠标选中要限制的时段(按住鼠标左键,从起始时间格拖至结束时间格),再单击“禁止”按钮(此时所选时段应全部变为白色),即可限制该用户帐号在该时段内不能登录;若选择某时间段后,点击“允许”按钮,则该时间段允许用户登录。
需要特别指出的是,用户帐号登录时数的改变要在该用户下次登录时才生效,并不能实时地终止已登录到NT服务器用户的网络联接。因此网络系统管理员应该在用户当日第一次登录之前,完成对其帐号登录时数的修改。
2.限制用户的登录地点
一个新用户建成后,系统默许他可以在任何一台工作站上登录,必要时你可以设置让其从指定的工作站登录。例如银行的柜台终端,由于其操作员位置绝对不允许移动,因此将其锁定到只能从特定终端登录就显得非常重要;而象部门主管之类的对数据库拥有较高权限、工作地点范围又相对固定的用户,可以将其登录地点分别设置到该部门主管所辖的电脑终端上,为各部门主管协同工作提供便利;而系统管理员(Administrator)由于其工作的特殊性,要求他必须能在任何时候、从任何位置对整个网络进行访问、管理,因此,限制系统管理员登录地点的设置是不明智的。
用户登录地点的设置方法与设置用户登录时间的方法类似,只是在这里选择的是“用户属性”窗口中的“登录到”一项,此时出现图4所示的“登录工作站”对话框。请大家不要被对话框上方的两行选项信息所迷惑,从这两行提示信息的字面上看,是选择让用户登录到其他不同的工作站(LOGON TO),而不是从不同的工作站登录(LOGON FROM)。为什么会出现这样的信息呢?还是去问微软的程序员吧。为此笔者建议将这两行提示信息改写为“用户可从所有工作站登录”和“用户可从下列工作站登录”。当选择了用户从指定的工作站登录时,只要将代表该工作站的计算机名称输入即可(切记计算机名称前不能出现斜杠符“\”),最多可设置8个指定的工作站。
以上设置对运行Windows NT、Windows 98的工作站起作用,而DOS、Windows 3.X/95工作站不受以上设置的限制。
3.设置用户帐号信息
当点击“用户属性”窗口中的“帐号”后,将出现图5所示的“帐号信息”窗口,你可以在此窗口中对所选定的用户帐号进行有效期限和帐号类型等信息的设置。
选取窗口中“帐号过期时间”下方的“永不过期”一项,表示该用户帐号可被无期限使用;选取 “有效期限”并输入了限定时间后,该帐号只在期限所规定的时间内有效,过了时间,该帐号就自动失效。帐号类型分为全局帐号与本地帐号两种。具有全局帐号属性的用户,可以在多域网络环境中享受到只使用一个密码即可在任意位置远程登录的便利,一般情况下应选“全局帐号”;本地帐号只作用于本地域,具有此属性的用户只能通过网络而不是以登录方式访问一个远程域,如要限制用户的交互登录能力,应选择该属性。
4.复制用户帐号
在建立一组用户帐号时,可能这些帐号的属性都相同,这时为了提高工作效率,可以使用复制用户帐号的功能。复制时必须先选定一个样本帐号,然后利用它复制新的帐号。其步骤如下:
①在图1所示的“域用户管理器”窗口中选择一个样本帐号,如WQ;
②选择“用户”菜单下的“复制”功能项,将出现图6所示的样本副本窗口,此窗口继承了样本帐号中除用户名、全称和密码之外的其他所有信息(请大家比较图2与图6中的有关信息项);
③输入新的用户名、全称和密码,按“添加”后,新帐号复制完成。如果需要,还可用同样的方法继续复制其他的用户帐号。
5.修改用户帐号
在用户帐号的使用中,可根据不同时间或不同环境的需要,对帐号的属性进行必要的修改,NTS4.0允许你一次修改一个或多个用户帐号的属性。
①一次修改一个帐号的属性。在域用户管理器窗口中双击要修改帐号的用户名,执行类似新建用户帐号的操作,修改有关帐号的属性;
②同时修改多个帐号的属性。如多个帐号具有相同的属性,可一次性对其进行属性修改。具体方法是在“域用户管理器”窗口中,用鼠标拖选要修改的帐号(当被选帐号的位置不连续时,可按住Ctrl键不放,用鼠标单击多个帐号),再选择“用户”菜单下的“属性”选项,将出现图7所示的“用户属性”窗口,在此窗口中你可以象修改一个帐号一样对选定的多个帐号进行批量修改。
6.用户帐号的更名与删除
①用户帐号的更名。就象你给自己换名字一样,用户帐号有时也需要进行更名。同一用户帐号更名后其属性和权限等设置不会发生变化,因为NT安全帐号数据库(SAM)中该用户的SID没有改变。操作时可以用“用户”菜单下的“重命名”命令对所选定的帐号进行更名,如图8所示。
②删除用户帐号。当某些帐号不再使用时,出于对系统安全的考虑,应及时将其从域中删除。操作中可利用“用户”菜单下的“删除”命令,对所选定的一个或多个帐号进行删除。一个用户帐号被删除后,如果再建立一个同名的帐号,该帐号不会继承前一个被删除帐号的属性和权限,这是因为NT会给不同时期建立的每一个帐号分配一个固定的SID。
请注意,Administrator和Guest两个内置的用户帐号是不允许被更名和删除的。
7.用户帐号的安全设定
网络中对用户帐号安全的管理是十分重要的,也是非常有必要的。在NT网络中系统管理员可以通过“域用户管理器”来管理用户的帐号规则、权限规则和审核规则:
①帐号规则的管理。帐号规则是指在用户帐号安全的前提下,给用户制定一些应遵循的规则,大致可分为密码限制和锁定限制两类。利用“域用户管理器”窗口中“规则”菜单下的“帐号”项进入图9所示的“帐号规则”对话窗口,此时可以设置域中所有用户帐号的特性,有关设置说明见表2。
②用户权限规则的管理。此处的权限两个字从严格的意义上讲应该是权力(Right),它是针对用户而言的,比如某用户帐号有从某台计算机上登录网络的权力,它适用于整个网络系统。而真正意义上的权限(Permission)是针对系统资源而言的,例如某用户具有访问某网络设备或目录的权限,它只针对网络上的某个对象(关于NT网络中权力和权限的理解及应用将在第五讲中详细介绍)。通过选择“域用户管理器”窗口中“规则”菜单下的“用户权限”,将出现图10所示的“用户权限规则”对话框。在此对话框中,可将一些系统所提供的权力分配给用户帐号或组,有关NT服务器所提供的权力说明请看表3。设置时可先从 “权限”列表中选择必要的权力,再按“添加”按钮。这时将出现图11所示的“添加用户及组”窗口,“名称”列表中选择被授权的用户帐号名或组名,然后单击“添加”按钮,被选择的用户名或组名将显示到窗口下方的“添加名称”列表中。这里一次只能选择一个用户名或组名,每选择一个“添加”一次,按“确定” 完成设置。若要解除已设置的用户帐号或组的权力,则从用户权限规则中选择该项权力,再到“授权”列表框中选中要解除该项权力的用户名或组名,单击“删除”按钮即可。
③ 用户帐号审核规则的管理。用户帐号的审核功能,主要用于登录时对所选定的事件进行审核,并将审核结果记录在安全日记中,需要时可通过事件查看器进行浏览。系统默认值是不进行审核,可通过选择“域用户管理器”窗口中“规则”菜单下的“审核”项,改变用户帐号的审核设置。在图12所示的审核规则窗口勾选需要审核的事件,即可启动该事件的审核功能。因为在一般网络中较少使用帐号审核规则,故在此不再详细介绍,只是为了讲述内容的完整性才将其提了出来。
四、 建立新的用户组并加入组成员
NTS中的用户组是指具有相同网络权限的一组用户的集合。把网络中的用户帐号分成组来管理,一方面通过规范用户信息来减少系统管理员的管理难度,一方面也通过集中约束组用户的权限加强网络系统的安全性。
在NTS服务器上,组又分为两类:全局组(Global Group)和本地组(Local Group)。许多缺乏经验的系统管理员在管理用户帐号时对这两个组的概念和作用感到迷惑不解,在此先对两个概念作必要的介绍:全局组是可访问整个网络的组,而本地组只能访问所在域上的信息。细心的系统管理员可以从域用户管理器的组窗口中看到两种不同的用户组图标,一种图标为两个头像加地球,而另一种是两个头像加计算机。这里,前者代表本地组,后者代表全局组,根据这两种图标可从一个方面形象地看到全局组和本地组的区别。在大型网络中全局组可以跨域访问,即在本地域中创建的全局组可以授权去访问同一网络中其他域上的资源;当一个网络中有多个域服务器时,本地组只能用在创建它的域中,而不能实现跨域访问。全局组与本地组之间存在着隶属关系,即全局组中不能包含本地组,而本地组中可以包含全局组,但本地组中不能包含自己域内的其他本地组。作为NTS操作系统安全机制的一部分,本地组与全局组是相辅相成的。全局组的存在拓宽了本地组的权力和权限,使本地用户可以访问其他域上的资源,而本地组的产生使得系统管理员可方便地管理本地域中的各项系统资源。
在单服务器的NT网络中,全局组和本地组在实际的使用中没有太大的区别,我们既可以用全局组来管理用户帐号,也可以用本地组来管理用户帐号。不过,因为本地组中可以包含全局组中的用户,所以即使在单服务器的NT网络中,也可以同时建立两种不同类型的组,将一些重要的用户帐号分别纳入不同类型的组来管理,以达到对用户帐号的“双重化管理”。另外,读者应将这里所讲的全局组和本地组与前面讲过的全局帐号和本地帐号的作用区分开来。下面仅介绍本地组的建立方法(因全局组的建立过程与本地组基本相同,且还要简单,故本讲不再赘述):
① 在“域用户管理器”窗口中打开“用户”菜单,单击“新本地组”功能项,将进入图13所示的“新本地组”对话框。在对话框的“组名”后面,输入新本地组的名称,在“描述”文字框中输入有关该本地组的介绍性内容。注意,新本地组的名称不能与域中其他用户名、组名及计算机名相同,同时组名的命名应遵循与用户名相同的规则;
②单击“添加”按钮,将出现图14所示的“添加用户及组”对话框。对话框上方的“列表名称来自”用于选择域名。在单服务器的网络中,其后只有一个域名(无选择余地),而在较大型的多服务器网络中,可能会列出多个域名。如果你要将其他域中的用户或组添加到该新建的组中,便要在此列表中选择对应的域名,之后在下方的“名称”列表框中将列出该域中的用户名和全局组名;
③在“名称”下方的列表中选定要添加至该组的用户名或全局组名后,单击“添加”按钮,则“添加名称”列表中就会显示相应的用户名或全局组名;
④这一步介绍怎样将全局组中的用户帐号添加到本地组中来。方法是在“名称”下方的列表中选定你要加入的一个全局组名后,单击“成员”按钮,将出现图15所示的“全局组”窗口,在此窗口中你可以选定你要加入的用户名,单击“添加”按钮后就可以把此用户添加到该本地组中。
另外,当一个用户组不再有使用价值时,可将其从域中删掉。要删除一个失效的组,先选定要删除的组名,然后选择“用户”菜单下方的“删除”便可完成。不过请你放心,当一个组被删除以后,仅仅是把这个组从域中取消了,而组中的所有用户帐号和其他的组并不受影响。
五、使用“管理向导”建立用户帐号和组
前面我们介绍了使用“域用户管理器”建立并管理用户帐号和组的方法,该方法适合于那些对整个操作系统较熟悉的系统管理员。而对一些“初级系统管理员”,NTS4.0提供了向导功能。这个管理向导将系统管理员在系统管理时可能要用到的功能(部分)加入到了向导程序,使用时只要依据向导的提示,便能完成一般的简单设置。
具体的操作是选择“开始/程序/管理工具(公用)/管理向导”,以打开图16所示的“管理向导”窗口,在此窗口下你可以选择“添加用户帐号”项,将出现图17所示的“添加用户帐号向导”的对话框,你可根据向导的信息提示来添加新用户,并对其进行必要的属性设置;当选择了图16窗口中的“组管理”项后,将出现图18所示的“组管理向导”对话框,之后在向导的提示下,你可以创建一个新组或对现有的组进行修改。在使用“管理向导”时一般都有信息提示,它会简单地告诉你该做什么,而不该做什么,该怎样去做。相信在熟悉了“域用户管理器”的功能后,使用“管理向导”将不会存在问题,故在此对操作过程将不再详述。
返回