管理组PPT课件

第1章账户和资源管理介绍第2章管理服务器第3章管理用户和计算机账户第4章管理组第5章组织单位对象的访问管理第6章实现组策略第7章使用组策略管理用户环境第8章应用管理模板和审核策略第9章使用软件更新服务管理软件 第10章服务器性能监视的准备第11章监视服务器性能第12章维护设备驱动程序第13章资源访问管理第14章实现打印第15章打印管理第16章磁盘管理第17章数据存储管理第18章故障恢复的管理 网络操作系统管理 WindowsServer2003的管理 第4章管理组 创建组管理组成员身份使用组应用策略更改组使用默认组组管理的最佳实践 创建组 组域功能级别全局组通用组域本地组本地组组的创建位置组命名规则创建组的方法课堂练习创建组 4 1创建组 组 组使管理员能够一次性对资源分配权限 从而简化管理 组的特点是根据作用域和类型来定义 描述 组类型 仅仅能够与电子邮件应用程序配合使用 不能用来分配权限 分布 常常用来分配用户权利和权限 具有通讯组功能 安全 组作用域的判断主要考虑是否需要扩展到多个域或限制在一个域中三种组作用域 全局 本地域 通用 组 4 1 1组 组的作用域 通用组的成员可包括域树或森林中任何域中的其他组和账户 可在该域树或森林中的任何域中指派权限全局组的成员可包括只在其中定义该组的域中的其他组和账户 可在森林中的任何域中指派权限域本地组的成员可包括WindowsServer2003 Windows2000或WindowsNT域中的其他组和账户 而且只能在域内指派权限 4 1 1组 域功能级别 全局 本地域 WindowsNT Server4 0 WindowsServer2000 WindowsServer2003 全局 本地域 通用 WindowsServer2000 WindowsServer2003 全局 本地域 通用 WindowsServer2003 支持的域控制器 支持的组作用域 4 1 2域功能级别 全局组规则 全局组 混合模式 同一个域中的用户账户本机模式 同一个域的用户账户和全局组 成员 在自己和所有信任的域里可见 作用域 混合模式 域本地组本机模式 任何域里的通用和域本地组 以及相同域的全局组 可作为右边表格中所示组的成员 林中所有域 权限 4 1 3全局组 通用组规则 通用组 混合模式 不适用本机模式 用户账户 全局组和森林中任何域的其他通用组 成员 森林中所有域都可见 作用域 混合模式 不适用本机模式 任何域中的域本地组和通用组 可作为右边表格中所示组的成员 森林中所有域 权限 4 1 4通用组 域本地组规则 域本地组 混合模式 任何域中的用户账户和全局组本机模式 森林中任何域的用户账户 全局组和通用组 以及同一域中的域本地组 成员 仅在自己所在的域中可见 作用域 混合模式 无本机模式 同一域中的域本地组 可作为右边表格中所示组的成员 域本地组所属的域 权限 4 1 5域本地组 本地组规则 本地组 计算机的本地用户账户 成员 无 可作为右边表格中所示组的成员 4 1 6本地组 组的创建位置 在森林的根域 森林的任何其他域 组织单位创建组根据管理需要选择域或组织单位来创建组例 目录有多个组织单位 每个拥有不同的管理员 可以为这些组织单位创建全局组 4 1 7组的创建位置 组命名规则 安全组 在组名的命名约定中合并作用域名称能够反映所属关系 部门或小组名称 在组名的开头添上域名或其缩写使用描述符来标识一个组所拥有的最大权限 例如 DLITLondonOUAdmins 通讯组 使用短的别名显示名称里不应包含用户的别名一个通讯组最多由五个合作者管理 4 1 8组命名规则 创建组的方法 演示 在域中创建组在成员服务器上创建本地组使用命令行创建组删除组使用命令行删除组 4 1 9创建组的方法 课堂练习创建组 目的 通过ActiveDirectory用户和计算机创建组使用dsadd命令行工具创建组 4 1 10课堂练习创建组 第4章管理组 创建组管理组成员身份使用组应用策略更改组使用默认组组管理的最佳实践 管理组成员 成员 和 隶属于 属性演示 成员 和 隶属于 确定用户账户的从属组在组中添加和删除成员课堂练习管理组成员身份 4 2管理组成员 成员 和 隶属于 属性 组或小组 全局组 域本地组 Tom Jo和Kim Sam Scott和Amy DenverAdmins DenverAdmins VancouverAdmins DenverOUAdmins 4 2 1 成员 和 隶属于 属性 演示 确定用户账户的从属组 查看用户所属的组通过命令行方式查看用户所属的组 4 2 3确定用户账户的从属组 在组中添加和删除成员 通过使用 ActiveDirectory用户和计算机 来添加成员通过使用 属性 对话框的 隶属于 选项卡来添加用户账户或组 4 2 4在组中添加和删除成员 课堂练习管理组成员身份 目的 对全局组添加用户 4 2 5课堂练习管理组成员身份 第4章管理组 创建组管理组成员身份使用组策略更改组使用默认组组管理的最佳实践 使用组应用策略 组嵌套组策略课堂讨论在单个域中使用组课堂练习将全局组添加到域本地组 4 3使用组应用策略 多媒体演示单个域中使用组的策略 介绍AGDLP的组使用原则 组 组 组 组 组 组嵌套 意味着将组作为其他组的成员 嵌套组用来加强组管理嵌套组选项取决于WindowsServer2003域的功能级别设置为Windows2000本机模式还是Windows2000混合模式 4 3 1组嵌套 组策略 4 3 2组策略 罗斯文贸易公司位置是在法国巴黎 组境是一个单域 罗斯文贸易公司管理人员需要访问存货数据库来进行他们的工作 作为一名管理员应该如何保证管理人员能够访问存货数据库 课堂讨论在单个域中使用组 把所有的管理人员放到一个全局组针对存货数据库创建域本地组确定该全局组作为域本地组成员同时给访问存货数据库的域本地组赋予权限 罗斯文贸易公司希望能够满足市场的快速需要 决定财务数据必须被所有财务人员访问 罗斯文贸易公司希望针对整个财务部门创建组结构 它包含财务支付部门 财务收帐部门 作为一名管理员应该如何确保管理人员能够访问数据库 同时确保该方法只耗费最小的管理 确认网络处于本机模式 否则必须首先将其转化为本机模式创建三个全局组分别为 AccountingDivision AccountsPayable AccountsReceivable 在每个域里将后两组加入到第一个组中把AccountingDivision全局组放到域本地组以便用户能够访问财务数据创建域本地组叫AccountingData 针对财务数据文件赋予组合适的权限 4 3 3课堂讨论在单个域中使用组 课堂练习将全局组添加到域本地组 目的 增加全局组到域本地组 4 3 4课堂练习将全局组添加到域本地组 第4章管理组 创建组管理组成员身份使用组应用策略更改组使用默认组组管理的最佳实践 更改组 更改组作用域或类型更改组作用域或类型的方法课堂练习更改组作用域和类型指派组管理员的原因指派组管理员的方法课堂练习指派组管理员 4 4更改组 更改组作用域或类型 组作用域改变全局组到通用组域本地组到通用组通用组到全局组通用组到域本地组 4 4 1 4 1 2更改组作用域或类型 组类型改变安全组到通讯组通讯组到安全组 课堂练习更改组作用域和类型 目的 改变组作用域从全局组到域本地组转换安全组到通讯组 4 4 3课堂练习更改组作用域和类型 指派组管理员的原因 目的 跟踪组的负责人授权组管理员添加和删除用户分发管理职责交付给了请求设置组的用户 组 管理员 4 4 4指派组管理员的原因 课堂练习指派组管理员 目的 创建全局组指派组管理员测试组管理员属性 4 4 6课堂练习指派组管理员 第4章管理组 创建组管理组成员身份使用组应用策略更改组使用默认组组管理的最佳实践 使用默认组 成员服务器上的默认组ActiveDirectory中的默认组默认组的使用场合默认组的安全注意事项系统组课堂讨论使用默认组与创建新组 4 5使用默认组 成员服务器上的默认组 4 5 1成员服务器上的默认组 ActiveDirectory中的默认组 4 5 2ActiveDirectory中的默认组 默认组的使用场合 默认组 在安装操作系统或增加服务 例如 ActiveDirectory或DHCP 时 创建默认组自动分配一系列的用户权利默认组使用 控制对共享资源的访问权限委派特定域范围的管理权限 4 5 3默认组的使用场合 默认组的安全注意事项 在ActiveDirectory中只有确定需要给用户所有的权限和权利时才把用户加入默认组 否则创建新组按照最安全的原则 对于默认组的成员建议使用 运行方式 4 5 4默认组的安全注意事项 系统组 系统组不同时刻代表不同的用户可以授权用户权限和权利给系统组 但是不能修改或查看成员关系组作用域不适用于系统组用户只要登录或访问特定资源就会自动分配到系统组 4 5 5系统组 罗斯文贸易公司在全球有超过100台服务器 你现在参加会议讨论当前的任务以及用户完成特定任务时需要的最小访问级别 现在你必须决定是管理默认组还是创建新组 来分配特定用户的权利和权限以完成特定的工作 课堂讨论使用默认组与创建新组 4 5 6课堂讨论使用默认组与创建新组 组管理的最佳实践 基于管理需要创建组 计算机如果没有加入域就使用本地组 增加用户账户到组满足最严格的限制 分配大多数用户权限和权利时 请使用AuthenticatedUsers组来代替Every