在一个网络中用户和计算机都是网络的主体，两者缺一不可。拥有计算机账户是计算机接入Windows 2000和Windows NT网络的前提，拥有用户账户是用户登录到网络并使用网络资源的前提。因此，用户和计算机账户管理是Windows 2000和Windows NT网络管理中最必要且最经常的工作。下面就分别从用户和计算机账户简介、创建用户和计算机账户、删除用户和计算机账户、停用用户和计算机账户、为用户和计算机账户添加组、重设用户密码等方面进行介绍。5.1.1 用户和计算机账户简介

活动目录用户和计算机账户表示诸如计算机或个人等物理实体。账户为用户或计算机提供安全凭证，以便用户和计算机能够登录到网络并访问域资源。活动目录的账户主要用于验证用户或计算机的身份、授权对域资源的访问、审核使用用户或计算机账户所执行的操作等。

● 活动目录用户账户

用户账户是用来记录用户的用户名和密码、隶属的组、可以访问的网络资源，以及用户的个人文件和设置的。每个用户都应在域控制器中有一个用户账户才能访问服务器，使用网络上的资源。用户账户由一个“用户名”和一个“密码”来标识，两者都需要用户在登录时输入。活动目录用户账户使用用户已经验证和授权访问域资源的身份登录到计算机和域。而且，用户账户也可作为某些应用程序的服务账户。

Windows 2000 提供可用于登录到 Windows 2000 计算机的预定义用户账户。这些预定义账户包括管理员账户和客户账户。预定义账户是默认的用户账户，它用于使用户登录到本地计算机并访问其上的资源，这些主要是为初始登录和本地计算机配置而设计的。每个预定义账户都有不同的权利和权限组合，管理员账户具有最广泛的权利和权限，而客户账户则只有有限的权利和权限。

如果网络管理员未修改或禁用预定义账户的权利和权限，则任何使用管理员或客户身份登录到网络的用户或服务均可以使用它们。如果管理员希望获得用户验证和授权的安全性，则应为每个用户创建独立的用户账户。为用户创建了独立的用户账户后，用户需要使用活动目录的用户和计算机加入到网络中。之后，网络管理员可将每个用户账户(包括管理员和客户账户)添加到 Window 2000 组中以控制指定给账户的权利和权限。

● 计算机账户

每个加入域的 Windows 2000 和 Windows NT 计算机都具有计算机账户，否则无法进行域连接、实现域资源的访问。与用户账户类似，计算机账户也提供验证和审核计算机登录到网络以及访问域资源的方法。不过，一个计算机系统要加入到域中，只能使用一个计算机账户，而一个用户可拥有多个用户账户，且可在不同的计算机(指已经连接到域中的计算机)上使用自己的用户账户进行网络登录。

注释：

Windows 98 和Windows 95 计算机不具备Windows 2000 和Windows NT计算机所具有的高级安全特性，无法在Windows 2000 域中为其指定计算机账户。不过，用户仍可以登录到网络并在活动目录域中使用Windows 98 和Windows 95 计算机。5.1.2 创建用户和计算机账户

当有新的用户需使用网络上的资源时，作为管理员的用户必须在域控制器中为其添加一个相应的用户账户，否则该用户无法访问域中的资源。另一方面，当有新的客户计算机要加入到域中时，作为管理员的用户必须在域控制器中为其创建一个计算机账户，以便它有资格成为域成员。计算机账户的创建非常简单，这里不再细述，下面只着重介绍用户账户的创建过程：

创建用户账户的步骤如下：

(1) 单击“开始”菜单，选择“程序”→“管理工具”→“Active Directory用户和计算机”命令，打开“Active Directory用户和计算机”窗口。在控制台目录树中单击之后再双击域节点，展开该节点。

(2) 如果要创建用户账户，可右击要添加用户的组织单元或容器，从弹出的快捷菜单中选择“新建”→“用户”命令；如果要创建计算机账户，可右击要添加计算机的组织单元或容器，从弹出的快捷菜单中选择“新建”→“计算机”命令。这里选择“新建”→“用户”命令，打开“新建对象-用户”对话框(1)，如图5-1所示。

在“姓”和“名”文本框中分别输入姓和名，并在“用户登录名”文本框中输入用户登录时使用的名字。如果用户需要在Windows NT，Windows 98或者Windows 95计算机上以不同的登录名登录时，可在“用户登录名”文本框中输入不同的登录名。

图5-1 新建用户

(3) 单击“下一步”按钮，打开“新建对象-用户”对话框(2)，如图5-2所示。

图5-2 密码设置

在“密码”和“确认密码”文本框中输入要为用户设置的密码。如果希望用户下次登录时更改密码，可启用“用户下次登录时须更改密码”复选框，否则启用“用户不能更改密码”复选框；如果希望密码永远不过期，可启用“密码永不过期”复选框；如果暂不启用该用户账户，可启用“账户已停用”复选框。

(4) 单击“完成”按钮即可完成创建。

当系统中的某一个用户账户不再被使用或者作为管理员的用户不再希望某个用户账户存在于安全域中，可将该用户账户删除，以便更新系统的用户信息。另外，在网络的使用中，当域中的某个计算机断开了与网络的连接，或者管理员不再希望某个计算机存在于自己的安全域中，可将该计算机的计算机账户从域控制器中删除，以防有其他计算机假借原来的计算机使用域中的网络资源。

要删除一个用户和计算机账户，可选择“开始”→“程序”→“管理工具”→“Active Directory用户和计算机”命令，打开“Active Directive用户和计算机”窗口。在控制台目录树中双击，展开该节点。单击要删除的用户或者计算机所在的组织单元或容器，例如Users，使详细资料窗格中列出组织单元或容器的内容。然后在详细资料窗格中右击要删除的用户或者计算机，并从弹出的快捷菜单中选择“删除”命令，出现信息确认对话框后，单击“是”按钮即可删除该用户或者计算机删除