Windows Server 2003系统管理

1、Windows Server 2003系统系统管理管理第第1章章 Windows Server 2003环境环境介绍介绍第第2章章 管理服务器管理服务器第第3章章 管理用户和计算机账管理用户和计算机账 户户第第4章章 管理组管理组第第5章章 组织单位对象的访问组织单位对象的访问 管管理理第第6章章 实现组策略实现组策略第第7章章 使用组策略管理用户使用组策略管理用户 环环境境第第8章章 应用管理模板和审核应用管理模板和审核 策策略略第第9章章 使用软件更新服务使用软件更新服务 管理管理软件软件第第10章章 维护设备驱动程序维护设备驱动程序第第11章章 打印管理打印管理第第12章章 网络共享文件

2、夹的访网络共享文件夹的访问管理问管理第第13章章 数据存储管理数据存储管理第第14章章 磁盘管理磁盘管理第第15章章 数据备份与数据备份与故障故障恢复恢复管理管理第第16章章 监视服务器性能监视服务器性能第第4章章 管理组管理组课程导入课程导入组是用户帐户的集合组是用户帐户的集合.使用组的目的是可以简化对域资源访问的管理使用组的目的是可以简化对域资源访问的管理第第4章章 管理组管理组课程内容课程内容: : 创建创建组组管理组成员身份管理组成员身份使用组应用策略使用组应用策略更改组更改组使用默认组使用默认组组管理的最佳实践组管理的最佳实践创建组创建组组组域功能级别域功能级别全局组全局组通用组通用

3、组域本地组域本地组本地组本地组组的创建位置组的创建位置组命名规则组命名规则创建组创建组的方法的方法课堂练习课堂练习 创建组创建组组组组使管理员能够一次性对资源分配权限，从而简化管理组使管理员能够一次性对资源分配权限，从而简化管理组的特点是根据作用域和类型来定义组的特点是根据作用域和类型来定义描述描述组类型组类型仅仅能够与 电子邮件应用程序配合使用，不能用来分配权限分布分布常常用来分配用户权利和权限，具有通讯组功能安全安全组作用域的判断主要考虑是否需要扩展到多个域或限制在一个域中三种组作用域：全局、本地域、通用组组组组的作用域的作用域通用组的成员可包括域树或森林中任何域中的其通用组的成员可包括域

4、树或森林中任何域中的其他组和账户，他组和账户，可在该域树或可在该域树或森林中的任何域中指森林中的任何域中指派权限派权限全局组的成员可包括只在其中定义该组的域中的全局组的成员可包括只在其中定义该组的域中的其他组和账户，其他组和账户，可在可在森林中的任何域中指派权限森林中的任何域中指派权限域本地组的域本地组的成员可包括成员可包括 Windows Server 2003、Windows 2000 或或 Windows NT 域中的其他组和账域中的其他组和账户，户，而且只能在域内指派权限而且只能在域内指派权限域功能级别域功能级别全局、本地域Windows NT Server 4.0, Windows

5、Server 2000, Windows Server 2003全局、本地域、通用Windows Server 2000, Windows Server 2003全局、本地域、通用 Windows Server 2003支持的域控支持的域控制器制器支持的组作支持的组作用域用域Windows 2000 混合模式混合模式 （默（默认）认）Windows 2000 本机模式本机模式Windows Server 2003全局全局组规则组规则全局组全局组混合模式：混合模式：同一个域中的用户账户本机模式：本机模式：同一个域的用户账户和全局组成员成员在自己和所有信任的域里可见作用域作用域混合模式：混合模式：

6、 域本地组本机模式：本机模式： 任何域里的通用和域本地组，以及相同域的全局组可作为右边表格可作为右边表格中所示组的成员中所示组的成员林中所有域权限权限通用组通用组规则规则通用组通用组混合模式混合模式：不适用本机模式：本机模式：用户账户、全局组和森林中任何域的其他通用组成员成员森林中所有域都可见作用域作用域混合模式混合模式：不适用本机模式：本机模式：任何域中的域本地组和通用组可作为右边表格中可作为右边表格中所示组的成员所示组的成员森林中所有域权限权限域本地组规则域本地组规则域本地组域本地组混合模式混合模式：任何域中的用户账户和全局组本机模式：本机模式：森林中任何域的用户账户、全局组和通用组，以及

7、同一域中的域本地组成员成员仅在自己所在的域中可见作用域作用域混合混合模式：模式：无本机模式：本机模式：同一域中的域本地组可作为右边表格中可作为右边表格中所示组的成员所示组的成员域本地组所属的域 权限权限本地组规则本地组规则本地组本地组计算机的本地用户账户成员成员无可作为右边表格中所可作为右边表格中所示组的成员示组的成员组的创建位置组的创建位置在森林的根域、森林的任何其他域、组织单位创在森林的根域、森林的任何其他域、组织单位创建组建组根据管理需要选择域或组织单位来创建组根据管理需要选择域或组织单位来创建组例：目录有多个组织单位，每个拥有不同的管理员，可以为这些组织单位创建全局组组命名规则组命名规

8、则安全组：安全组：在组名的命名约定中合并作用域名称能够反映所属关系（部门或小组名称）在组名的开头添上域名或其缩写使用描述符来标识一个组所拥有的最大权限，例如：DL IT London OU Admins 通讯组：通讯组：使用短的别名显示名称里不应包含用户的别名一个通讯组最多由五个合作者管理创建组的方法创建组的方法演示：演示：在域中创建组在成员服务器上创建本地组使用命令行创建组删除组使用命令行删除组课堂练习课堂练习 创建组创建组目的：目的： 通过 Active Directory 用户和计算机创建组使用 dsadd 命令行工具创建组场景场景: 你作为一个系统管理员，需要为公司财务部创建多个组，这

9、些组将用于账户分组，并且为组指派资源访问权限。 课堂练习课堂练习 创建组创建组(续续)主要步骤主要步骤: 1.通过“Active Directory用户和计算机”创建全局组G Glasgow Accounting Managers 和 G Glasgow Accounting Personnel 。2.通过“Active Directory用户和计算机”创建域本地组 DL Glasgow Accounting Managers DL Glasgow Accounting Managers ReadDL Glasgow Accounting Personnel Full ControlDL Gl

10、asgow Accounting Personnel Read 3.使用命令行命令 dsadd 创建组G glasgow Test 和DL glasgow Test 第第4章章 管理组管理组创建组创建组管理组成员身份管理组成员身份使用组应用策略使用组应用策略更改组更改组使用默认组使用默认组组管理的最佳实践组管理的最佳实践管理组成员管理组成员 “成员成员”和和“隶属于隶属于”属性属性演示演示 “成员成员”和和“隶属于隶属于”确定用户账户的从属组确定用户账户的从属组在组中添加和删除成员在组中添加和删除成员课堂练习课堂练习 管理组成员身份管理组成员身份 “成员成员”和和“隶属于隶属于”属性属性组或小

11、组组或小组全局全局组组域本地组域本地组成员成员隶属于隶属于无Denver AdminsTom、Jo 和和 Kim成员成员隶属于隶属于无Vancouver AdminsSam、Scott 和和 AmyMembersMember OfTom, Jo, KimDenver OU AdminsDenver Admins成员成员隶属于隶属于Tom, Jo, KimDenver OU AdminsDenver Admins成员成员隶属于隶属于Sam, Scott, AmyVancouver OU AdminsVancouver AdminsDenver OU Admins成员成员隶属于隶属于Denver

12、Admins,Vancouver Admins无课堂演示：课堂演示：“成员成员”和和“隶属于隶属于” 演示演示确定用户账户的从属组确定用户账户的从属组查看用户所属的组通过命令行方式查看用户所属的组在组中添加和删除成员在组中添加和删除成员通过使用通过使用“Active Directory 用户和计算机用户和计算机”来添加来添加成员成员 通过使用通过使用“属性属性”对话框的对话框的“隶属于隶属于”选项卡来添选项卡来添加用户账户或组加用户账户或组 课堂演示：课堂演示：在组中添加和删除成员在组中添加和删除成员课堂练习课堂练习 管理组成员身份管理组成员身份 目的：目的： 对全局组添加用户场景：场景： 你

13、需要在寻找Glasgow城市中所有财务人员的账户，然后将它们加入到G Glasgow Accounting Personnel组中 第第4章章 管理组管理组创建组创建组管理组成员管理组成员身份身份使用组策略使用组策略更改组更改组使用默认组使用默认组组管理的最佳实践组管理的最佳实践使用组应用策略使用组应用策略 组嵌套组嵌套组策略组策略课堂讨论课堂讨论 在单个域中使用组在单个域中使用组课堂练习课堂练习 将全局组添加到域本地组将全局组添加到域本地组多媒体演示多媒体演示 单个域中使用组的策略单个域中使用组的策略介绍介绍 AGDLP 的组使用原则的组使用原则组组组组组组组组组组组嵌套组嵌套意味着将组作为

14、其他组的成员意味着将组作为其他组的成员嵌套嵌套组组用来加强组管理用来加强组管理嵌套组选项取决于嵌套组选项取决于 Windows Server 2003 域的功能级域的功能级别设置为别设置为 Windows 2000 本机模式还是本机模式还是 Windows 2000 混合模式混合模式组策略组策略A G PAPG全局全局组组权限权限用户账户用户账户A DL PAPDL域本地组域本地组权限权限用户账户用户账户A G DL PAP域本地组域本地组DLG权限权限全局组全局组用户账户用户账户A G U DL PAP域本地组域本地组DLG权限权限全局组全局组用户账用户账户户通用组通用组 UAG全局全局 组

15、组用户账用户账户户A G L PAP本地组LG权限全局组用户账户用户账户A全局组G通用组U域本地组 DL组应用策略：组应用策略：A G PA DL P A G DL PA G U DL PA G L P权限P本地组L罗斯文贸易公司位置是在法国巴黎，组境是一个单域，罗斯文贸易公司 管理人员需要访问存货数据库来进行他们的工作，作为一名管理员应该如何保证管理人员能够访问存货数据库？课堂讨论课堂讨论 在单个域中使用组在单个域中使用组把所有的管理人员放到一个全局组针对存货数据库创建域本地组确定该全局组作为域本地组成员同时给访问存货数据库的域本地组赋予权限罗斯文贸易公司希望能够满足市场的快速需要，决定财务

16、数据必须被所有财务人员访问，罗斯文贸易公司希望针对整个财务部门创建组结构，它包含财务支付部门、财务收帐部门，作为一名管理员应该如何确保管理人员能够访问数据库，同时确保该方法只耗费最小的管理？确认网络处于本机模式，否则必须首先将其转化为本机模式创建三个全局组分别为：Accounting Division、 Accounts Payable、Accounts Receivable，在每个域里将后两组加入到第一个组中把 Accounting Division 全局组放到域本地组以便用户能够访问财务数据创建域本地组叫 Accounting Data，针对财务数据文件赋予组合适的权限课堂练习课堂练习 将

17、全局组添加到域本地组将全局组添加到域本地组目的：目的：增加全局组到域本地组场景：场景： NWtraders公司正在应用A G DL P策略，需要将全局组G Glasgow Accounting managers 添加到域本地组DL Glasgow Accounting Managers Full Control 。 第第4章章 管理组管理组创建组创建组管理组成员管理组成员身份身份使用组应用策略使用组应用策略更改组更改组使用默认组使用默认组组管理的最佳实践组管理的最佳实践更改组更改组更改组作用域或类型更改组作用域或类型更改组作用域或类型的方法更改组作用域或类型的方法课堂练习课堂练习 更改组作用域

18、和类型更改组作用域和类型指派组管理员的原因指派组管理员的原因指派组管理员的方法指派组管理员的方法课堂练习课堂练习 指派组管理员指派组管理员更改组作用域或类型更改组作用域或类型组作用域改变组作用域改变 全局组到通用组 域本地组到通用组 通用组到全局组 通用组到域本地组组类型改变组类型改变l安全组到通讯组l通讯组到安全组课堂演示：课堂演示：如何更改组作用域或类型的方法如何更改组作用域或类型的方法 指派组管理员的原因指派组管理员的原因目的：目的：跟踪组的负责人授权组管理员添加和删除用户分发管理职责交付给了请求设置组的用户分发管理职责交付给了请求设置组的用户 组组管理员管理员课堂演示：课堂演示：如何指

19、派组管理员如何指派组管理员 课堂练习课堂练习 指派组管理员指派组管理员目的：目的： 创建全局组 指派组管理员 测试组管理员属性场景：场景： 你需要为销售部创建一个名为“G Glasgow Sales Strategy”组，该组的所有者是Glasgow城市组织单位的销售部经理，并测试组管理员属性。第第4章章 管理组管理组创建组创建组管理组成员管理组成员身份身份使用组应用策略使用组应用策略更改组更改组使用使用默认组默认组组管理的最佳实践组管理的最佳实践使用使用默认组默认组成员服务器上的默认组成员服务器上的默认组Active Directory 中的默认组中的默认组默认组的使用场合默认组的使用场合默

20、认组的安全注意事项默认组的安全注意事项系统组系统组课堂讨论课堂讨论 使用默认组与创建新组使用默认组与创建新组成员服务器上的默认组成员服务器上的默认组Active Directory 中的默认组中的默认组默认组的使用场合默认组的使用场合默认组：默认组：在安装操作系统或增加服务（例如：Active Directory 或 DHCP）时，创建默认组自动分配一系列的用户权利默认组使用：默认组使用：控制对共享资源的访问权限委派特定域范围的管理权限默认组的安全注意事项默认组的安全注意事项在在 Active Directory 中只有确定需要给用户所有的权中只有确定需要给用户所有的权限和权利时才把用户加入默认组，否则创建新组限和权利时才把用户加入默认组，否则创建新组 按照最安全的原则，对于默认组的成员建议使用按照最安全的原则，对于默认组的成员建议使用“运行方式运行方式”系统组系统组系统组不同时刻代表不同的用户系统组不同时刻代表不同的用户可以授权用户权限和权利给系统组，但是不能修改可以授权用户权限和权利给系统组，但是不能修改或查看成员关系或查看成员关系组作用域不适用于系统组组作用域不适用于系统组用户只要登录或访问特定资源就会自动分配到系统用户只要登录或访问特定资源就会自动分配到系统组组罗斯文贸易公司罗斯文贸易公司在全球有超过在