AD域权限设置

用户账户管理,用户账户域用户账户名称用户账户命名约定的制定准则用户账户在ActiveDirectory层次结构中的位置用户账户的密码选项要求或限制更改密码,用户账户,域用户账户（存储在ActiveDirectory）,本地用户账户（存储在本地计算机）,WindowsServer2003域,用户账户命名约定的制定准则,创建用户账户时应该考虑：,雇员重名,不同类型的雇员，例如临时雇员或合同雇员,用户账户在ActiveDirectory层次结构中的位置,地理设计,商业设计,用户账户的密码选项,防止用户使用选中的账户登录,账户已禁用,描述,账户选项,防止用户更改自己的密码,用户不能更改密码,用户必须在下次登录到网络时更改自己密码,用户下次登录时须更改密码,防止用户密码过期,密码永不过期,要求或限制更改密码,创建本地和域服务账户创建新的本地账户（不在本地登录）,限制更改密码,遇到以下情况，使用这个选项,选项,创建新的域账户重设密码,要求更改密码,DSADD,DSADD是WindowsServer2003Server新提供的工具DSADD用于将计算机、联系人、组、组织单位或用户添加到目录中可通过输入DSADD/?获取如何使用该命令的详细信息,用户账户的属性,用户账户的属性对话框,计算机账户的属性,计算机账户的属性对话框,管理组帐户,创建组管理组成员身份使用组应用策略更改组使用默认组,创建组,组域功能级别全局组通用组域本地组本地组组的创建位置组命名规则,组,组使管理员能够一次性对资源分配权限，从而简化管理,组的特点是根据作用域和类型来定义,描述,组类型,仅仅能够与电子邮件应用程序配合使用，不能用来分配权限,分布,常常用来分配用户权利和权限，具有通讯组功能,安全,组作用域的判断主要考虑是否需要扩展到多个域或限制在一个域中三种组作用域：全局、本地域、通用,组,组的作用域,通用组的成员可包括域树或森林中任何域中的其他组和账户，可在该域树或森林中的任何域中指派权限全局组的成员可包括只在其中定义该组的域中的其他组和账户，可在森林中的任何域中指派权限域本地组的成员可包括WindowsServer2003、Windows2000或WindowsNT域中的其他组和账户，而且只能在域内指派权限,域功能级别,全局、本地域,WindowsNTServer4.0,WindowsServer2000,WindowsServer2003,全局、本地域、通用,WindowsServer2000,WindowsServer2003,全局、本地域、通用,WindowsServer2003,支持的域控制器,支持的组作用域,全局组规则,全局组,混合模式：同一个域中的用户账户本机模式：同一个域的用户账户和全局组,成员,在自己和所有信任的域里可见,作用域,混合模式：域本地组本机模式：任何域里的通用和域本地组，以及相同域的全局组,可作为右边表格中所示组的成员,林中所有域,权限,通用组规则,通用组,混合模式：不适用本机模式：用户账户、全局组和森林中任何域的其他通用组,成员,森林中所有域都可见,作用域,混合模式：不适用本机模式：任何域中的域本地组和通用组,可作为右边表格中所示组的成员,森林中所有域,权限,域本地组规则,域本地组,混合模式：任何域中的用户账户和全局组本机模式：森林中任何域的用户账户、全局组和通用组，以及同一域中的域本地组,成员,仅在自己所在的域中可见,作用域,混合模式：无本机模式：同一域中的域本地组,可作为右边表格中所示组的成员,域本地组所属的域,权限,本地组规则,本地组,计算机的本地用户账户,成员,无,可作为右边表格中所示组的成员,内置组列表及说明,组的创建位置,在森林的根域、森林的任何其他域、组织单位创建组根据管理需要选择域或组织单位来创建组例：目录有多个组织单位，每个拥有不同的管理员，可以为这些组织单位创建全局组,组命名规则,安全组：,在组名的命名约定中合并作用域名称能够反映所属关系（部门或小组名称）在组名的开头添上域名或其缩写使用描述符来标识一个组所拥有的最大权限，例如：DLITLondonOUAdmins,通讯组：,使用短的别名显示名称里不应包含用户的别名一个通讯组最多由五个合作者管理,管理组成员,“成员”和“隶属于”属性演示“成员”和“隶属于”确定用户账户的从属组在组中添加和删除成员,“成员”和“隶属于”属性,组或小组,全局组,域本地组,Tom、Jo和Kim,Sam、Scott和Amy,DenverAdmins,DenverAdmins,VancouverAdmins,DenverOUAdmins,在组中添加和删除成员,通过使用“ActiveDirectory用户和计算机”来添加成员通过使用“属性”对话框的“隶属于”选项卡来添加用户账户或组,使用组应用策略,组嵌套组策略,组,组,