任务1新建本地用户和组

任务2新建域用户、组和组织单位

项目背景某公司在武汉和广州有两个分公司，部门经理考虑到不同部门使用公司资源的权限不同，为了简化网络管理，要求武汉分公司的网络管理员小王在该公司域服务器上设置组织单位来显示公司的架构，在不同的组织单位内部设置自己员工的域账户，以便网络管理员对用户账户和公司计算机进行管理。

任务1新建本地用户和组

某公司的员工需要在服务器上通过本地用户和组来添加用户和组。该操作禁止在服务器上安装域服务，如果安装了域服务，则不能进行本地用户和组的创建。WindowsServer2019要求所有用户都要登录才能访问本地和网络资源。Windows通过实施交互式登录过程(提供用户身份验证)来保护资源。一、默认本地用户和组WindowsServer2019操作系统安装完成以后，有四个默认的本地用户账户。管理员可以根据需要进行本地账户和组的创建。默认的本地账户和创建的本地用户账户在“计算机管理”窗口中显示，如图2-1所示的为默认的本地用户账户。表2-1描述了默认本地用户账户Administrator和Guest的特点。

默认的本地组是在安装操作系统时自动创建的，如图2-2所示。如果一个用户属于某个本地组，则该用户就具有在本地计算机上执行某种任务的权利和能力。管理员可以向本地组添加本地用户账户、域用户账户、计算机账户以及组账户。

表2-2提供了部分默认组的描述以及每个组的默认用户权限。这些用户权限是在本地安全策略中分配的。

二、创建本地用户和组本地用户和组位于“计算机管理”窗口中，用户可以使用该窗口中的管理工具来管理单个本地或远程计算机；可以使用本地用户和组保护并管理存储在本地计算机上的用户账户和组；可以在特定计算机上(只能是这台计算机)分配本地用户账户或组账户的权限和权利。本地用户和组可以为用户和组分配权限和权利，从而限制用户和组执行某些操作的能力。权利的作用是授权用户在计算机上执行某些操作，如备份文件和文件夹或关机。权限是与对象(通常文件、文件夹或打印机)相关联的一种规则，它规定哪些用户可以访问该对象以及以何种方式访问。其他注意事项(也适用于域用户的创建)如下：(1)若要创建本地用户和组，必须提供在本地计算机上Administrator的凭据，或创建本地用户和组的必须是本地计算机上管理员组的成员。(2)用户名不能与被管理的计算机上任何其他用户名或组名相同。用户名最多可以包含20个大写字符或小写字符(除?/\[]:;|=,+*?@外)，并且用户名不能只由句点(.)或空格组成。(3)在“密码”和“确认密码”文本框中，可以输入不超过127个字符的密码。(4)使用强密码和合适的密码策略有利于保护计算机免受攻击。

三、管理本地用户账户(一)重设用户密码当忘记用户密码时，可以使用Administrator账户重置密码，过程如图2-3和图2-4所示。

(二)重命名账户由于账户的所有权限、信息、属性等实际上是绑定在SID上而不是在用户名上的，因此对账户重命名并不会影响账户自身的任何用户权限。如果公司中有员工离职，同时该岗位还需要招聘新员工，则可以不删除实际离职员工的账户，只需要通过重命名的方式直接将账户传递给新员工使用，这样可以保证用户账户数据不受损失。另外，重命名系统管理员账户Administrator和来宾账户Guest，可以使未授权的人员在输入用户名和密码时增加难度，提高系统安全性，如图2-5所示。

(三)删除账户假如公司有员工离职了，为了防止其继续使用账户登录计算机系统，也为了避免出现太多的垃圾账户，系统管理员可以采取删除账户的方式来回收该账户，但在执行删除操作之前应确认其必要性，因为删除账户的操作是不可逆的，会导致与该账户有关的所有信息丢失。每个账户都有一个除名称之外的唯一的标识符SID，SID在新增账户时由系统自动产生，不同账户的SID也不相同。由于系统在设置用户的权限、访问控制列表中的资源访问能力等信息时，内部都使用SID，因此一旦用户账户被删除，这些信息也就跟着消失了。即使重新创建一个名称相同的用户账户，也不能获得原来用户账户的权限。系统内置账户是无法删除的。删除用户账户过程如图2-6和图2-7所示。

(四)禁用账户禁用lishi用户，想要取消禁用该用户，将“lishi属性”对话框中“账户已禁用”复选框取消勾选即可，如图2-8所示。

创建本地用户zhangsan、lishi和本地组sales，并将zhangsan和lishi用户加入sales组中。(1)选择“服务器管理器”→“工具”→“计算机管理”选项，打开“计算机管理”窗口，如图2-9所示。(2)右击“用户”选项，在弹出的快捷菜单中选择“新用户”命令，打开“新用户”对话框，输入用