任务6和任务7的完成过程中， win2008-2的角色是1ong.com的成员服务器。

1. 域用户帐户

域用户账户用来使用户能够登录到域或其他计算机中， 从而获得对网络资源的访问权。 经常访问网络的用户都应拥有网络唯一的用户账户 。 如果网络中有多个域控制器， 可以在任何域控制器上创建新的用户账户， 因为这些域控制器都是对等的 。 当在一个域控制器上创建新的用户账户时， 这个域控制器会把信息复制到其他域控制器， 从而确保该用户可以登录并访问任何一个域控制器。

安装完活动目录，就已经添加了一些内置域账户，它们位于 Users容器中，如 Administrator、Guest，这些内置账户是在创建域的时候白动创建的。每个内置账户都有各自的权限。

Administrator账户具有对域的完全控制权， 并可以为其他域用户指派权限。 默认情况下， Administrator账户是以下组的成员: Administrators、 Domain Admins、 Enterpiise Admins、 Group Policy Creator Owners 和 Schema Admins。

不能删除 Administrator账户， 也不能从 Administrators组中删除它。但是可以重命名或禁用此账户，这么做通常是为了增加恶意用户尝试非法登录的难度。

2.创建域用户帐户 下面在 win2008-1域控制器上建立域用户 yangyun。

1. 以域管理员身份登录 win2008-1。打开“开始”→“管理工具”→“Active Directory用户和计算机”工具。在“Active Directory用户和计算机”中，展开“long.com'''域。 Windows Server2008把创建用户的过程进行了分解。首先创建用户和相应的密码， 然后在另外一个步骤中配置用户的详细信息，包括组成员身份。

2. 右键单击Users容器，在弹出的快捷菜单中选择 “新建”→“用户” 选项，打开“新建对象一用户”对话框，如图2-54所不。在其中输姓、名，系统可以自动填充完整的姓名。

3. 输入用户登录名。域中的用户账户是唯一的。通常情况下，账户采用用户姓和名的第一个声母。如果只使用姓名的声母导致账户重复，则可以使用名的全拼，或者采用其他方式。这样既使用户间能够相互区别，又便于用户记忆。

4. 接下来设置用户密码，如图2-55所示。默认情况下， Windows Server 2008强制用户下次登录时必须更改密码。这意味着可以为每个新用户指定公司的标准密码， 然后当用户第一次登录时， 让他们创建自己的密码。 用户的初始密码应当采用英文大小与、数字和其他符号的组合。同时，密码与用户名既不要相同，也不要相关， 以保证账户的访问安全。

●用户下次登录时须更改密码。强制用户下次登录网络时更改密码。当希望该用户成为唯一知道其密码的人时， 应当使用该选项 。

●用户不能更改密码。阻止用户更改其密石_号。当希望保留对用户账户(如来宾或临时账户)的控制权时，或者该账户由多个用户使用时，应当使用该选项。此时，“用户下次登录时须更改密码” 复选框必须清空 。

●密码永不过期。防止用户密码过期。建议“服务”账户启用该选项，并且应使用强密码。

●账户已禁用。防止用户使用选定的账户登录。当用户暂时离开企业时，可以使用亥选

项，以便日后迅速启用。也可以禁用一个可能有威胁的账户，当排除问题之后，再重新启

用该账户。许多管理员将禁用的账户用作公用用户账户的模板。以后再使用该贝账户时，可

以在该账户上右键单击，并在弹出的快捷菜单中选择 “启用账户”选项。

图2-54 新建用户

图2-55 设置用户密码

弱密码会使得攻击者易于访问计算机和网络， 而强密码则难以破解， 即使使用密码破解软件也难以办到。密码破解软件使用下面3种方法之一:巧妙猜测、词典攻击和自动尝试字符的各种可能的组合。 只要有足够多的时间， 这种自动方法可以破解任何密码。 即便如此， 破解强密码也远比破解弱密码困难得多。 因为安全的计算机需要对所有用户账户都使用强密码。强密码具有以下特征。

●长度至少有7个字符。

●不包含用户名、真实姓名或公司名称。

●不包含完整的字典调汇。

●包含全部下列4组字符类型:大写字母(A，B，C …)数字(0， 1， 2， 3， 4， 5， 6， 7， 8， 9)、键盘上的符号( 键盘上所有未定义为字母和数字的字符，如`~ !@#$%^&( )*_ + - {}[]l \ /?:”；'<>，. )。

5. 选择想要实行的密码选项，单击“下一步”按钮査看总结，然后单击“完成”按钮，在Active Directory 中创建新用户 。 配置域用户的更多选项，需要在用户账户属性中进行设置 。要为域用户配置或修改属性，可选择左窗格中的Users容器，这样，右窗格将显示用户列表。然后， 双击想要配置的用户。如图2-56所示，可以进行多类属性的配置。

6. 当添加多个用户账号时，可以以一个设置好的用户账号作为模板。右键单击要作为模板的账号，并在弹出的快捷菜单中选择“复制”选项，即可复制该模

板账号的所有属性，而不必再一一设置，从而提高账号添加效率。

图2-56

观察 将win2008-2 加入域long.com，重新启动win2008-2。在域控制器win2008-1上，观察“Active Diretory 用户和计算机”工具的“computers”容器在win2008-2加入域前后的变化。理解计算机账号的意义

3.验证域用户帐户

现在验证 yangyun域用户能否在 win2008-2计算机(已加入域long.com)上登录域。

1. 在wm2008-2上注销，在登录窗口单击“切換用户”→“其他用户”。

2. 用户名: yangyun，密码:输入建立该域用户的密码。按回车键登录域long.com。