域控中管理计算机和用户帐号.doc

域控中 管理计算机和用户帐号管理计算机和用户帐号在Windows2000中用户可以在活动目录用户和计算机管理工具中实现建立用户帐号、计算机帐号、组、安全策略等项。它可以用于建立或编辑网络中的用户、计算机、组、组织单位、域、域控制器、以及发布网络共享资源。活动目录用户和计算机管理器是安装在域控制器上的目录管理工具，且用户可以在Windows2000 Professional 中安装它的管理工具，以便利用客户机对活动目录进行远程管理。本章介绍了Active Directory用户和计算机的常用管理工具的使用：1. 账户、组、组织机构相关的基本概念2. 用户和计算机账户的配置与管理3. 组的创建和管理4. 组织机构的添加与管理5. 资源的发布和搜索6. 域和域间信任的管理7.1 基本概念活动目录用户和计算机管理器中的帐号标识的是一个物理实体如计算机或用户，计算机和用户的帐号在它们登录到网络或访问域中的资源时提供安全信任。帐号可以用于：验证计算机或用户的身份允许访问域中资源审核用户或计算机帐号的活动7.1.1 用户帐号用户帐号能够让用户以授权的身份登录到计算机和域中并访问其中资源。用户帐号也可以作为某些软件的服务帐号。7.1.2 计算机帐号每一个运行 Windows 2000 和 Windows NT 的计算机在加入到域时都需要一个计算机帐号，就象用户帐号一样，被用来验证和审核计算机的登录过程和访问域资源。7.1.3 组组是可包含用户、联系人、计算机和其他组的 Active Directory 或本机对象。使用组可以：管理用户和计算机对 Active Directory 对象及其属性、网络共享位置、文件、目录、打印机列队等共享资源的访问。筛选器组策略设置创建电子邮件通讯组有两种类型的组：安全组通讯组安全组用于将用户、计算机和其他组收集到可管理的单位中。为资源（文件共享、打印机等等）指派权限时，管理员应将那些权限指派给安全组而非个别用户。权限可一次分配给这个组，而不是多次分配给单独的用户。使用组而不是单独的用户可简化网络的维护和管理。通讯组只能用作电子邮件的通讯组。不能用于筛选组策略设置。通讯组无安全功能。任何时候，组都可以从安全组转换为通讯组，反之亦然，但仅限于域处于本机模式的情况下。域处于混合模式时不能转换组。下表总结了域模式对组的作用。7.1.4 组作用域每个安全组和通讯组均具有作用域，该作用域标识组在域树或树林中所应用的范围。有三类不同的作用域通用、全局和域本地。通用作用域全局作用域域本地作用域在本机模式域中，可将其成员作为来自任何域的帐户、来自任何域的全局组和来自任何域的通用组。在本机模式域中，可将其成员作为来自相同域的帐户和来自相同域的全局组。在本机模式域中，可将其成员作为来自任何域的帐户、全局组和通用组，以及来自相同域的域本地组。在本机模式域中，不能创建有通用作用域的安全组。在本机模式域中，可将其成员作为来自相同域的帐户。在本机模式域中，可将其成员作为来自任何域的帐户和全局组。组可被放入其他组（当域处于本机模式时）并且在任何域中指派权限。组可被放入其他组并且在任何域中指派权限。组可被放入其他域本地组并且仅在相同域中指派权限。不能转换为任何其他组作用域。只要它不是有全局作用域的任何其他组的成员，则可以转换为通用作用域。只要它不把具有域本地作用域的其他组作为其成员，则可转换为通用作用域。7.1.5 内置和预定义组安装域控制器时，部分默认的组安装于 Active Directory 用户和计算机控制台的内置和用户文件夹中。这些组是安全组并且代表一些公用的权利和权限集合，可用于将某些角色、权利和权限授予用户放入默认组的帐户和组。有域本地作用域的默认组放在内置文件夹中。有全局作用域的预定义组放在用户文件夹中。可将内置和预定义组移动到域中的其他组或组织单位文件夹，但不能将它们移动至其他域。内置组：放入Active Directory 用户和计算机的内置文件夹中的默认组为：帐户操作员 、管理员 、备份操作员 、来宾 、打印操作员 、复制器 、服务器操作员、用户 。下表显示了这些组拥有的默认权利：用户权利允许在默认情况下分配有此权利的组从网络访问该计算机连接到网上的计算机。管理员、每个人、超级用户备份文件和文件夹备份文件和文件夹该权利将取代文件和文件夹权限管理员、备份操作员旁路遍历检查即使用户没有访问父文件夹的权限，也可在文件夹之间移动以访问文件。每个人更改系统时间设置计算机内部时钟的时间。管理员、超级用户创建页面文件该权利无效。管理员调试程序调试各种底层对象，例如线程。管理员从远程系统强制关机关闭远程计算机。管理员增加调度优先级提高进程的执行优先级。管理员、超级用户加载和卸载设备驱动程序安装和删除设备驱动程序。管理员内置组：(续表)本地登录通过计算机键盘在计算机上登录。管理员、备份操作员、每个人、来宾、超级用户和用户管理审计和安全日志指定需要审计的资源访问（诸如文件访问）类型，并且查看和清除安全日志。该权利不允许用户设置系统审计策略。管理员组的成员始终可以查看和清除安全日志。管理员修改固件环境变量修改存储于支持此类配置的计算机非易失内存中的系统环境变量。管理员图示单独的进程用图表的形式显示某个进程的情况（性能数据采集）管理员、超级用户图示文件系统性能用图表的形式显示计算机的情况（性能数据采集）管理员内置组：(续表)还原文件和文件文件夹恢复备份文件和文件文件夹该权利将取代文件和目录权限管理员、备份操作员关闭系统关闭 Windows 2000管理员、备份操作员、每个人、超级用户和用户取得文件或其他对象的所有权取得文件、文件夹、打印机和计算机上（或连接在计算机上）的其他对象的所有权。该权利将取代保护对象的权限。有关文件和文件夹权限的信息。管理员预定义组：放在Active Directory 用户和计算机的用户文件夹中的预定义组有：组名称 、证书发行者 、域管理器 、域计算机 、域控制器 、域来宾 、域用户 、企业管理员 、组策略管理员、架构管理员。可使用这些有全局作用域的组将该域中各种类型的用户帐户（普通用户、管理员和来宾）收集到组中。然后这些组可以放入该域和其他域中有域本地作用域的组。7.1.6 特殊身份除内置和用户文件夹中的组以外，Windows 2000 Server 还包括几种特殊身份：为方便起见，这些身份通称为组。这些特殊组没有用户可修改的特别成员身份，但是它们能根据环境在不同时间代表不同用户。这三个特殊组为：每个人代表所有当前网络的用户，包括来自其他域的来宾和用户。无论用户何时登录到网络上，它们都将被自动添加到 Everyone 组。网络代表当前通过网络访问给定资源的用户（不是通过从本地登录到资源所在的计算机来访问资源的用户）。无论用户何时通过网络访问给定的资源，它们都将自动添加到网络组。交互代表当前登录到特定计算机上并且访问该计算机上给定资源的所有用户（不是通过网络访问资源的用户）。无论用户何时访问当前登录的计算机上所给的资源，它们都被自动添加到交互组。7.1.7 组对网络性能影响用户登录到 Windows 2000 网络时，Windows 2000 域控制器决定用户属于哪个组。Windows 2000 创建安全令牌并将其指派给用户。安全令牌列出了用户帐户 ID 和用户所属的所有安全组的安全 ID。组成员身份可能影响网络性能，由于：登录的影响建立安全令牌需要时间，所以用户所属的安全组越多，生成这个用户安全令牌的时间越长，并且该用户登录到网络的时间也越长。造成这一影响的程度将随着网络带宽以及处理登录过程的域控制器的配置而变化。有时，用户可能想创建只用于电子邮件的组，并不准备使用该组将权利和权限指派给它的成员。为提高登录性能，可创建类似通讯组的组而非安全组。有通用作用域的组的复制对存储在全局编录中的数据的更改将复制到树林的每个全局编录中。有通用作用域的组及其成员列在全局编录中。有通用作用域的组的一个成员更改时，整个组成员身份都必须复制到域树或树林中的所有全局编录中。具有全局或域本地作用域的组也列在全局编录中，但未列出其成员。这将会减小全局编录的大小，并且明显减少需要随时更新全局编录的复制通信量。可通过为经常更改的目录对象使用具有全局或域本地作用域的组来提高网络性能。网络带宽每个用户的安全令牌都被发送到用户访问的每台计算机，以使目标计算机能够对照该计算机上所有资源的权限列表比较包含在令牌内的所有安全 ID，从而决定用户在该计算机上是否有相应的权利或权限。目标计算机还检查令牌中的任何安全 ID 是否属于目标计算机上的任何本地组。用户所属的组越多，其安全令牌就越大。如果用户的网络有大量用户，这些大型安全令牌对网络带宽和域控制器处理能力的影响非常明显。7.2 用户账户的管理7.2.1 添加用户帐号在 Windows2000 Server 中，一个用户帐号包含了用户的名称、密码、所属组、个人信息、通讯方式等信息，在添加一个用户帐号后，它被自动分配一个安全标识 SID ,这个标识是唯一的，即使帐号被删除，它的 SID 仍然保留，如果在域中再添加一个相同名称的帐号，它将被分配一个新的 SID，在域中利用帐号的SID来决定用户的权限。添加用户帐号的步骤如下：步骤1 首选启动 Active Directry 用户和计算机管理器单击 User 容器会看到在安装 Active Directry 时自动建立的用户帐号步骤2 单击操作新建用户在创建新对象对话框中输入用户的姓名、登录名，其中的下层登录名是指当用户从运行 WindowsNT/98 等以前版本的操作系统的计算机登录网络所使用的用户名 如图 7.1下一步步骤3 在密码对话框中输入密码或不填写密码并选择用户下次登录时须更改密码选项，以便让用户在第一次登录时修改密码步骤4 在完成对话框中会显示以上设置的信息，单击完成这时用户会在管理器中看到新添加的用户 如图 7.2。7.2.2. 管理用户账户输入用户的信息在用户属性对话框中的常规标签中可以输入有关用户的描述、办公室、电话、电子邮件地址及个人主页地址；在地址标签中输入用户的所在地区及通信地址；在电话/备注标签中输入有关用户的家庭电话、寻呼机、移动电话、传真、IP 电话及相关备注信息。这样便于用户以后在活动目录中查找用户并获得相关信息。用户环境的设置用户可以设置每一个用户的环境，如用户配置文件、登录脚本、宿主目录等，这些设置根据实际情况而定，用户将在以后章节加以详细说明。设置用户登录时间在帐户标签中单击登录时间按钮，出现如图 7.3对话框所示，图中横轴每个方块代表一小时，纵轴每个方块代表一天，蓝色方块表示允许用户使用的时间，空白方块表示该时间不允许用户使用，默认为在所有时间均允许用户使用。在这个例子中用户设置允许用户在每星期的周一到周五的 7：0019：00 之间使用。步骤：在用户（Mark Lee）的登录时段对话框中，选择不允许登录的时间段单击拒绝登录当用户在允许登录的时间段内登录到网络中，并且一直持续到超过允许登录的时间时，用户可以继续连接使用，但不允许作新的连接，如果用户注销后，则无法再次登录。限制用户由某台客户机登录在帐户并且中单击登录到按钮出现如图 7.4对话框所示，在默认情况下用户可以从所有的客户机登录，也可以设置让用户从某些工作站登录，设置时输入计算机的计算机名称（NetBIOS名），然后单击添加按钮，这些设置对于非 WindowsNT/2000 工作站是无效的，如用户可以不受限制的从任何一台 DOS、Windows 客户机登录。设置帐户的有效期限在帐户并且的下方，用户可以选择帐户的使用期限，在默认情况下帐户是永久有效的，但对于临时员工来说，设置帐户的有效期限就非常有用，在有效期限到期后，该帐户被标记为失效，默认为一个月。管理用户帐户在创建用户帐号后，可以根据需要对帐户进行密码重新设置、修改、重命名等操作。重设密码：选择用户帐户操作重设密码，在密码设置对话框中输入新的密码，如果要求用户在下次登录时修改密码则选中用户下次登录时须更改密码选项帐户的移动：选择用户帐号操作移动，在移动对话框中选择相应的容器或组织单位重命名： 选择帐户操作重命名，更改用户的名称，对内置的帐户也可以更改，（如更改系统管理员的帐户名称，这样有利于提高系统的安全性），在更改名称后，由于该帐户的安全标识 SID 并未被修改，所以，其帐户的属性、权限等设置均未发生改变。删除帐户：选择帐户操作删除，用户可以一次删除一个或多个帐户，在删除帐户后如再添加一个相同名称的帐户，由于 SID 的不同，它无法继承已被删除帐户的属性和权限。计算机帐户的创建步骤1 首选启动 Active Directry 用户和计算机管理器单击 Computer 容器操作计算机，则出现如图7.5所示步骤2 输入计算机名称，单击确定完成创建工作7.3 组的管理用户可以利用将用户加入到组中的方式，简化网络的管理工作。当用户对组设置了权限后，则组中所有的用户就具有了该权限，这样避免用户对每一个用户设置权限，从而减轻了工作量。1.添加组步骤1 打开 Active Directory 用户和计算机步骤2 在控制台树中，双击域节点步骤3 右键单击要添加组的文件夹，指向新建，然后单击组步骤4 键入新组的名称在默认情况下，用户输入的名称还将作为新组的 Windows 2000 以前版本的名称如图7.6。步骤5 单击所需的组作用域。步骤6 单击所需的组类型。注意：如果用户目前创建的组所属的域处于混合模式，则只能选择具有域本地或全局作用域的安全组。2.指定用户隶属的组步骤： 在组属性对话框中单击成员属于标签如图 7.7,可以查看到当前用户隶属于那些组，如要将用户添加到其它的组中则单击添加按钮，出现如图 7.8所示的对话框，在上方的窗体中选择需要添加的组（可以按住 Shift 或 Ctrl 键，利用鼠标选择多个组），然后单击添加按钮则所选的组会出现在下方的窗体中，单击确定。如果需要将用户从他所属的指定组中删除，则在成员属于窗体中选择该组，单击删除按钮。注意，用户帐号至少隶属于一个组，该组被称为主要组，这个主要组必须是一个全局组且它不可删除。3.管理组