第4章管理组.doc

第4章 管理组第4章管理组本章概述本章节主要是和大家介绍了如何进行管理组的相关知识点。通过本章节的学习，我们会学习到如何创建组的操作以及认识各种不同类型的组的形式。同样可以学会如何进行组成员的管理的技能，并能自如的进行组策略的部署。学习完本章节后，我们还能学会更改组及使用默认组的操作。教学目标l 掌握创建组的相关操作。l 掌握管理组成员的相关操作。l 掌握使用组策略及部署组策略的相关操作。l 了解更改组设置的方法。l 了解管理默认组的方法。教学重点l 使用组进行Windows Server 2003的对象管理是非常常用的手段，掌握好使用组的技能是非常重要的，所以首先需要掌握创建组的技能。l 创建了组并使用组对对象进行统一管理后，最重要的就是要为这些统一管理的对象赋予权限和策略。所以掌握好使用组策略的技能也非常重要。教学难点l 创建组里讲述到各个组类型的时候，有可能概念容易混淆，需要仔细和学生讲解。教学资源课本知识点4.1创建组4.2管理组成员身份4.3使用组策略4.4更改组4.5使用默认组4.6组管理的最佳实践实验创建和管理组练习 1 创建和管理组习题习题1对应知识点使用组策略习题2对应知识点管理组成员身份习题3对应知识点管理组成员身份习题4对应知识点创建组教学指导手册包新版幻灯片光盘：Powerpnt 2274_2275_04.ppt习题解答光盘：Tprepanswer多媒体视频光盘：Powerpnt2270a_06_2_3_0_a.html先修知识在正式开始学习本章内容以前，学生须具备下列知识基础。先修知识推荐补充了解2000内核类的Windows操作系统的基础知识Windows 2000初级管理建议学时课堂教学（2课时）+实验教学（1课时）教学过程4.1创建组教学提示 ：本节主要达到目以下的：l 了解组的用途、类型和作用域，并能识别域的功能级别。（略讲）l 掌握全局组，通用组，域本地组，本地组。（略讲）l 掌握创建组的技巧。（精讲演示）教学内容教学方法教学提示讲授：组是可以作为对单个单元加以管理的用户和计算机账户的集合。组有如下特点：l 允许一次性对组授予资源访问权限，而不用针对每一个用户账户进行单独授权，从而简化了管理工作。l 组可以位于 Active Directory 中，也可以位于本地的单台计算机中。l 组属性由作用域和类型决定。l 可以嵌套，即可以将一个组添加到另一个组中。我想平时大家使用的文件夹大家都很熟悉了吧。我们会把许多的相关文件放在一个文件夹里进行保存或者传播等。我们可以再举一个例子，比如学校有英语教研组，数学教研组等等，我们可以把一个个教研组看成是我们计算机里的组，而老师可以看成计算机里的一个个对象。学校可以通过划分好的教研组很好的管理各个科目老师的教学。而我们也可以根据划分好的计算机内的组，对一些对象进行统一的管理。首先我们要掌握组的作用域，因为组的作用域决定了组跨越多个域，还是只限制在单一域中。组作用域允许管理员使用组进行授权。其次，我们要掌握组的类型，组可用来将用户账户、计算机账户和其他组账户集中到可管理的单元中。使用组而不是单独的用户可以简化网络的维护和管理。Active Directory 中有以下两种组类型，一种是安全组，一种是通讯组。具体我们看一下书上是这么解释的：讲解课本4.1.1阅书：4.1.1 幻灯：第45页l 多举一些生活中的例子，和同学讲解。l OU(Organizational Units)OU 对象是用于组织目录*的容器对象，它可以包含下列类型的对象：用户、计算机、工作组、打印机、应用程序、安全策略、文件共享、其它 OU，但只有一种对象不能包含在 OU 中，即其它域中的任何对象。组织机构给域带来了层次化的结构，就象是将多个域连接在一起形成了一个完整的目录，每个 OU 都象是一个子目录一样用于组织目录中的指定的不同资源。微软为了适应企业对目录结构的不同需求，提出了七种不同的基本 OU 结构模型：地理模型、对象模型、以成本为中心的模型、项目模型、业务单位模型、管理模型、及混合模型；用户可以根据企业自身业务的需要选择相应的模型。讲授：可用的域功能级别有三个：Microsoft Windows 2000 混合、Microsoft Windows 2000 本机和 Microsoft Windows Server 2003。讲解课本：4.1.2阅书：4.1.2幻灯：第6页关于域功能级别参照：http：//tips/352/1897852.shtml讲授：全局组是包含来自相同域的用户、组和计算机的安全组或通讯组。可以通过全局安全组对所在林中的任意域中的资源指派用户权利和权限。当域功能级别被设置为 Windows 2000 本机或 Windows Server2003 时，全局组的成员可包括来自相同域的帐户或全局组。当域功能级别被设置为 Windows 2000 混合时，全局组的成员可包括来自相同域的帐户。组可被添加到其他组并且在任何域中指派权限。只要组不是具有全局作用域的任何其他组的成员，就可以转换为通用作用域。用具有全局作用域的组管理那些需要每天维护的目录对象，如用户和计算机帐户。因为有全局作用域的组不在自身的域之外复制，所以具有全局作用域的组中的帐户可以频繁更改，而不需要对全局编录进行复制以 免增加额外通讯量。虽然权利和权限指派只在指派它们的域内有效，但是通过在相应的域中统一应用具有全局作用域的组，可以合并对具有类似用途的帐户的引用。这将简化不同域之间的管理，并使之更加合理化。例如，在具有两个域（如 Europe 和 UnitedStates）的网络中，如果 UnitedStates 域中有一个称作 GLAccounting 的具有全局作用域的组，则 Europe 域中也应有一个称作 GLAccounting 的组（除非 Europe 域中不存在帐户管理功能）。强力推荐在指定复制到全局编录的域目录对象的权限时，使用全局组或通用组，而不是本地域组。讲解课本4.1.3阅书：4.1.3幻灯：第7页其他信息可以参照：http：//technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/8ac658b0-199c-47df-ac2b-ef9cb56fa7f0.mspx讲授：通用组是包含所在林中任意域的用户、组及计算机的安全组或通讯组。利用通用安全组，可以对所在林中的任意域内的资源指派用户权利和权限。当域功能级别被设置为 Windows 2000 本机或 Windows Server2003 时，通用组的成员可包括来自任何域的帐户、全局组和通用组。当域功能级别被设置为 Windows 2000 混合时，不能创建具有通用组的安全组。当域功能级别被设置为 Windows 2000 本机或 Windows Server2003 时，组可被添加到其他组并在任何域中指派权限。组可转换为本地域作用域。只要组中没有其他通用组作为其成员，就可以转换为全局作用域。使用具有通用作用域的组来合并跨越不同域的组。为此，请将帐户添加到具有全局作用域的组并且将这些组嵌套在具有通用作用域的组内。使用该策略，对具有全局作用域的组中的任何成员身份的更改都不影响具有通用作用域的组。例如，在具有 Europe 和 UnitedStates 这两个域的网络中，在每个域中都有一个名为 GLAccounting 全局作用域的组，创建名为 GLAccounting 且具有通用作用域的组，可以将两个 GLAccounting 组 UnitedStatesGLAccounting 和 EuropeGLAccounting 作为它的成员。这样就可在企业的任何地方使用 UAccounting 组。对个别 GLAccounting 组的成员身份所做的任何更改都不会引起 UAccounting 组的复制。具有通用作用域的组成员身份不应频繁更改，因为对这些组成员身份的任何更改都将引起整个组的成员身份复制到树林中的每个全局编录中。讲解课本4.1.4阅书：4.1.4幻灯：第8页讲授：当域功能级别被设置为 Windows 2000 本机或 Windows Server2003 时，本地域组的成员可包括来自任何域的帐户、全局组或通用组，以及来自相同域的本地域组。当域功能级别被设置为 Windows2000 混合时，本地域组的成员可包括来自任何域的帐户或全局组。组可被添加到其他本地域组并且仅在相同域中指派权限。只要组不把具有本地域作用域的其他组作为其成员，就可转换为通用作用域。具有本地域作用域的组将帮助您定义和管理对单个域内资源的访问。这些组可将以下组或帐户作为它的成员： l 具有全局作用域的组l 具有通用作用域的组l 帐户l 具有本地域作用域的其他组l 上述任何组或帐户的混合体例如，要使五个用户访问特定的打印机，您可在打印机权限列表中添加全部五个用户。如果您以后希望这五个用户都能访问新的打印机，则需要再次在新打印机的权限列表中指定全部五个帐户。如果采用简单的规划，您可通过创建具有本地域作用域的组并指派给其访问打印机的权限来简化常规的管理任务。将五个用户帐户放在具有全局作用域的组中，并且将该组添加到有本地域作用域的组。当您希望使五个用户访问新打印机时，可将访问新打印机的权限指派给有本地域作用域的组。具有全局作用域的组的成员自动接受对新打印机的访问。讲解课本：4.1.5阅书：4.1.5幻灯：第9页讲授：本地组是在成员服务器或独立服务器上创建的用户账户或域组的集合。可以通过本地组对本地计算机资源的进行访问授权。Windows 2000 或 Windows Server 2003 会在本地安全数据库中创建本地组。本地组可以包含用户、计算机、全局组、通用组以及其他域本地组。讲解课本：4.1.6阅书：4.1.6幻灯：第10页讲授：Active Directory 在域中创建组。可以通过“Active Directory 用户和计算机”在域中创建组。如果拥有合适的权限，可以通过正确关联用户/计算机和组，在林中其他域或组织单位中创建组：讲解课本：4.1.7阅书：4.1.7幻灯：第11页讲解的同时，可以做一定的演示，给学生看见真实场景是如何进行操作的。讲授：创建的组的名称一样有一定的规则，我们看一下书上怎么说的：讲解课本：4.1.8阅书：4.1.8幻灯：第12页演示：说了这么多，大家现在来看一下我是如何进行创建组的。演示课本：4.1.9同样大家请注意我们在上一章节已经和大家说到的dsadd命令。课堂演示幻灯：第13页Dsadd命令官方说明：http：//technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/8d37ecb0-ac28-4e05-aa05-da82dc36b54b.mspxDsadd命令参考：http：//u1/989/archives/2005/7192.shtml演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：演示课本：4.1.10课堂演示幻灯：第14页按照书本内容进行演示。4.2管理组成员身份教学提示 ：本节主要达到以下目的：l 了解管理组成员身份的相关知识点。（略讲）教学内容教学方法教学提示讲授：由于众多用户需要经常访问整个组织内的各种资源，所以管理员必须对本地计算机组或 Active Directory 组授予成员身份。我们先看一下“成员”和“隶属于”属性的介绍：讲解课本：4.2.1阅书：4.2.1幻灯：第17页根据书本图片和书本上图片的介绍进行讲解。演示：课堂演示“成员”和“隶属于”。演示课本： 4.2.2课堂演示幻灯：第18页根据书本内容进行演示。演示：确定用户账户的从属组是怎么一会事情呢？现在大家先看我演示：演示课本：4.2.3课堂演示幻灯：第19页根据书本内容进行演示。演示：现在大家再来看看我是怎么进行在组中添加和删除成员：演示课本：4.2.4课堂演示幻灯：第2021页根据书本内容进行演示。演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：演示课本：4.2.5课堂演示幻灯：第22页按照书本内容进行演示。4.3使用组策略教学提示 ：本节主要达到以下目的：l 了解什么是组策略。（略讲）l 掌握如何部署组策略。（精讲）教学内容教学方法教学提示讲授：通过嵌套，可以将组作为成员添加到另一个组中。嵌套组可以加强组的管理。嵌套增加了一次操作所能影响的成员账户，并且减少了由于组成员身份变化而引起的复制流量。这其实就好象一些同学玩的恶作剧，送人家一个很大的礼物盒，然后拆开第一个盒子，里面还有一个小盒子，拆开小盒子后，里面还有一个更加小的盒子，依此类推下去，最后其实里面放了一个钥匙圈。当然我们计算机里的组嵌套不是恶作剧，他是为了方便管理而出现的。嵌套选项根据 Windows Server 2003 域的域功能级别是 Windows 2000 本机还是 Windows 2000 混合而有所不同。如果域功能级别设置为 Windows 2000 本机，组成员身份需要遵循以下规定： l 通用组可以包括：用户账户、计算机账户、通用组以及来自任何域的全局组l 全局组可以包括：来自相同域的用户账户和来自相同域的其他全局组l 域本地组可以包括：来自任何域的用户账户、通用组和全局组，以及来自相同域中的其他域本地组当域功能级别设置为 Windows 2000 混合时，不能创建具有通用作用域的安全组。只有当域功能级别设置为 Windows 2000 本机或 Windows Server 2003 时才支持通用作用域。阅书：4.3.1幻灯：第26页应尽量减少嵌套层数。使用单层嵌套是最有效的方法，因为在多层嵌套中，跟踪权限会变得比较复杂。另外，如果必须在多级别嵌套中跟踪权限，那么故障排除也会变得十分困难。因此，需要将组成员身份记录在案以保持对用户权限的跟踪。讲授：为了有效使用组，需要具备针对不同组作用域的应用策略。可以根据组织的 Windows 网络环境采用不同的策略。在单一域中，最常见的做法是利用全局和域本地组为网络资源授予访问权限。在拥有多个域的网络中，可以将全局组和通用组并入所采用的策略之中。我们现在来看一下有哪些组策略，本书说了种：讲解课本： 4.3.2组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如，可以定义用户桌面环境的各种组件、用户可以使用的程序、出现在用户桌面上的图标、“开始”菜单选项、哪些用户可以修改桌面及哪些用户不能修改桌面等等。组策略的设置是将组策略管理单元加载到控制台中来进行的。对本地计算机可以进行两个方面的设置：本地计算机配置和本地用户配置。阅书：4.3.2幻灯：第27页课堂讨论：根据书本内容提示进行讨论：讲解课本： 4.3.3阅书：4.3.3幻灯：第28页演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：演示课本： 4.3.4课堂演示幻灯：第29页l 按照书本内容进行演示。4.4更改组教学提示 ：本节主要达到以下目的：l 掌握更改组类型和作用域的方法。（略讲）l 掌握指派组管理员的方法。（略讲）教学内容教学方法教学提示讲授：在域功能级别为 Windows 2000 混合时不允许更改组作用域，但在域功能级别设置为 Windows 2000 域本地或 Windows Server 2003 时可以进行下列转换：l 全局到通用只有当被更改的组不是另一个全局作用域组的成员时，才允许进行该转换。l 域本地到通用只有当被更改组的成员中不包含其他域本地组时，才允许进行该转换l 通用到全局只有当被更改组的成员中不包含其他通用组时，允许进行该转换l 通用到域本地没有限制还有一种就是更改组类型，其实也就无非两种：安全组到通讯组或通讯组到安全组。尽管可以向安全组和通讯组中添加联系人，但不能对联系人进行授权，只能向联系人发送电子邮件。讲解课本：4.4.1阅书：4.4.1幻灯：第32页演示：大家看一下我们如何更改组作用域或类型的方法：演示课本：4.4.2课堂演示幻灯：第3233页按照书本内容进行演示。演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：演示课本： 4.4.3课堂演示幻灯：第34页按照书本内容进行演示。讲解：在Windows Server 2003 的 Active Directory 中，可以为组指派一位管理员并作为组的一个属性加以保存。有了这个属性，就可以：l 跟踪组的负责人l 将在组中添加和删除用户的权限委派给组管理员 因为大型组织中需要经常在组中添加和删除用户，所以一些组织将为组添加用户的管理职责直接委派给请求设置组的用户。讲解课本4.4.4阅书：4.4.4幻灯：第35页演示：大家看一下我们如何指派组管理员的方法：演示课本： 4.4.5课堂演示幻灯：第36页按照书本内容进行演示。演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：演示课本： 4.4.6课堂演示幻灯：第37页按照书本内容进行演示。4.5使用默认组教学提示 ：本节主要达到以下目的：l 了解默认组的相关知识点。（略讲）l 了解默认组的使用场合和安全注意事项。（略讲）l 了解一定的系统组的知识点。（略讲）教学内容教学方法教学提示讲授：默认组（如 Domain Admins 组）是您创建 Active Directory 域时自动创建的安全组。使用这些预定义的组可以帮助您控制对共享资源的访问，并委派特定域范围的管理角色。我们先看一下成员服务器上的默认本地组有哪些。讲解课本：4.5.1下列组是成员服务器上不常使用的默认组： l Network Configuration Operatorsl Remote Desktop Usersl Replicatorl HelpServicesGroupl Terminal Server Users然后我们需要了解一下网络服务使用的默认组。讲解课本：4.5.1阅书：4.5.1幻灯：第40页根据书本内容进行讲解，将相应的组的内容介绍清楚即可。讲授：可以通过使用 Active Directory 用户和计算机来管理组。默认组位于“Builtin”容器和“Users”容器中。“Builtin”容器包含用本地域作用域定义的组。“Users”容器包含通过全局作用域定义的组和通过本地域作用域定义的组。可将这些容器中的组移到域中的其他组或组织单位，但不能将它们移到其他域。作为安全性的最佳操作，建议具有广泛的管理访问权限的默认组成员使用“运行方式”执行管理任务。现在我们要对“Builtin”容器中的组和“Users”容器中的组进行一定的讲解：讲解课本：4.5.2阅书：4.5.2幻灯：第41页“Builtin”容器中的组和“Users”容器中的组请参照：http：//technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/79d93e46-ecab-4165-8001-7adc3c9f804e.mspx讲授：现在我们来了解一下默认组的使用场合：讲解课本： 4.5.3阅书：4.5.3幻灯：第42页讲授：现在大家再来了解一下默认组的安全注意事项。只有在确定要为用户授予相应权限时，才将用户添加到默认组中：l 所有指派到 Active Directory 中的组用户权利l 所有指派到与默认组相关的、关于任何共享资源的访问权限另外，只有在用户确实需要相应的用户权利和权限时，才创建新的安全组。为了获得最高的系统安全性，拥有较高管理权限的默认组的成员不应使用管理员身份进行交互式登录。作为替代，拥有这种级别访问权限的用户应该使用“运行方式”命令。课堂演示4.5.4阅书：4.5.4幻灯：第43页讲授：系统组中的成员身份不能改变。它们由操作系统创建，用户不能改变或进行管理。由于系统组可以用于安全目的，所以了解系统组非常重要的，除了“Users”和“Builtin”容器中的组之外，运行 Windows Server 2003 的服务器还包括一些特殊身份。为了简便起见，这些特殊身份通称为系统组。不同环境中的系统组在不同时间内代表不同的用户。尽管可以给系统组授予用户权利和权限，但不能更改或浏览其中的成员身份。组的作用域不能应用于系统组。不论何时登录或访问特定资源的用户都被自动分配到系统组中。现在我们来具体看一下：讲解课本：4.5.5阅书：4.5.5幻灯：第44页课堂讨论：根据书本内容提示进行讨论：讲解课本： 4.5.6阅书：4.5.6幻灯：第45页4.6组管理的最佳实践教学提示 ：本节主要达到以下目的：l 了解一些推荐的操作方法（略讲）教学内容教学方法教学提示讲授：我们现在来看一下书上给了我们一些怎么样的最佳实践方法：讲解课本：4.6阅书：4.6幻灯：第47页总结经过本章的学习，我们了解了下列的知识和内容：l 掌握创建组的相关操作。l 掌握管理组成员的相关操作。l 掌握使用组策略及部署组策略的相关操作。l 了解更改组设置。l 了解管理默认组的方法。在第章中，我们将学习组织单位对象的访问管理的知识，了解如何使用Windows Server 2003进行组织单位对象的访问管理。随堂练习1 你是公司网络的管理员。网络包含两个属于同一个活动目录林的域和。两个域的功能级别是Windows 2000混合模式。包含两台运行Windows 2003 Server和三台运行Windows 2000 Server的域控制器。你是的管理员。你的域中的域控制器包含需要访问的应用程序和共享文件夹。你需要创建一个组包含需要从访问的用户。你应当如何做？A. 将组作用域和组类型设置为域本地和安全B. 将组作用域和组类型设置为域本地和通讯C. 将组作用域和组类型设置为全局和安全D. 将组作用域和组类型设置为通用和安全答案：A分析：域本地组是一个安全组或通讯组，该组可以包含通用组、全局组、来自本域内的其他域本地组以及来自林中任意域的账户。只能将域本地组所在域中的资源的用户权利和权限授予域本地安全组。安全组可以用于为用户组和计算机组指派用户权利及权限。权利决定了安全组的成员在域或林中允许进行的操作，而权限决定了组成员在网络中可以访问的资源。也可以通过安全组向多个用户发送电子邮件。将电子邮件发送给组就是将邮件发送给组中的每个成员。2 你是公司网络的管理员。网络包含两个属于同一个活动目录林的域和。两个域的功能级别是Windows 2000混合模式。包含两台运行Windows 2003 Server和三台运行Windows 2000 Server的域控制器。你是的管理员。你的域的用户需要访问中的应用程序和共享文件夹。你应当如何做？A. 将组作用域和组类型设置为域本地和安全B. 将组作用域和组类型设置为域本地和通讯C. 将组作用域和组类型设置为全局和安全D. 将组作用域和组类型设置为通用和安全答案：C分析：全局组是包含来自相同域的用户、组和计算机的安全组或通讯组。可以通过全局安全组对所在林中的任意域中的资源指派用户权利和权限。安全组可以用于为用户组和计算机组指派用户权利及权限。权利决定了安全组的成员在域或林中允许进行的操作，而权限决定了组成员在网络中可以访问的资源。也可以通过安全组向多个用户发送电子邮件。将电子邮件发送给组就是将邮件发送给组中的每个成员。3 你是公司网