第6章组账户的管理

1、第6章组账户的管理 6.1 本地组与域组n我们知道,用户帐户分为本地用户帐户和域用户帐户,同样,组也分为本地组与域组。n用户在非域控制器的计算机上创建的组，称为“本地组”。这些组账户存储在“本地n安全账户数据库”内本地组只限于在本地计算机使用，即只能访问本地计算机的资源。n用户在Windows Server 2003域控制器上创建的组称为域组。这些组账户存储在Active Directory数据库内。这些组适用于所有属于这个域的计算机，即它们能够访问所有计算机的资源，条件是要有适当的权限。6.2域组的类型nindows Server 2003将域中的组分为两种类型：安全组和分布式组。n安全组：

2、安全组可以被设置权限。例如：可设置让安全组对文件有“读取”或“改写”的权限。安全组也可用在与安全无关的任务上，如，可以通过电子邮件软件将电子邮件发送给安全组。n分布式组：分布式组用在与安全无关的任务上。例如：可以通过电子邮件软件将电子邮件发送给分布式组。用户不能设置分布式组的权限。n注意：应用程序只有在支持活动目录的情况下，才可以使用分布式组。n安全组和分布式组之间可以互相转换。只是这种转换有条件限制，即只有在域功能级别设置为“Windows 2000纯模式”或者“Windows Server 2003”时才可以转换。在“Windows 2000 混合模式”级别中无法转换组类型。6.3 内置的

3、组nWindows Server 2003操作系统能够自动创建一些组。其中有些组是安装时被创建在本地计算机中，有些组是当升级成域控制器时被创建在Active Directory 数据库中。6.3.1内置的本地组以下是常用的本地组：nAdministrators 该组成员用户都具有系统管理员权限，即拥有使用该计算机的最大权限。nBackup Operators 属于该组的用户，不管是否具有访问权限，都可以通过“开始” “程序”“附件”“系统工具”“备份”，来备份与还原该计算机的文件与文件夹。nGuests 该组成员用户称为来宾用户，默认具有与用户组成员同样的访问权，但来宾账户限制更多，如不能更改

4、账户密码。nNetwork Configuration Operators 属于该组的用户可在用户计算机进行一些简单的网络设置，如更改IP地址，但不能将计算机设成网络服务器。nPerformance Log Users 属于该组的成员可以对该计算机远程访问，以计划此计算机上性能计数器的日志。nPerformance Monitor Users 该组的成员可以远程访问以监视该计算机。nPower Users成员拥有大部分管理权限，但比Administrators的权限要少一些。成员用户可以运行经过验证的应用程序，也可运行旧版应用程序。nPrint Operators 该组成员可以管理域打印机。n

5、Remote Desktop Users 该组成员具有远程登录的权限。nUsers 该组成员拥有一些基本的权限，但默认无法更改系统设置。该组用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。n这些本地组保存在“本地安全账户数据库内”。它们具有管理计算机的能力。加入到这些组中的用户账户，也会具有同等的权利及权限。n要建立本地组,可以打开“开始”“管理工具”“计算机管理”“本地用户和组”,或者右击“我的电脑”“管理”,打开如图6-2所示的画面。图6-2 选择“新建组” 单击图中的“新建组”，打开如图6-3所示的画面。就可以新建一个本地组。按“创建”之前，还可通过“添加”“高级”“立即

6、查找”，添加该组成员。6.3.2 内置的本地域组n建立域之后,在域控制器中就会自动建立本地域组。用户不能对这些本地域组随意删n除、移动及重命名。加入本地域组的账户拥有管理整个域及活动目录的权利。这些本地域组存在活动目录的Builtin容器内。nNetwork Configuration Operators等组与本地组重名，它们的功能与对应的本地组相似，一点区别就是本地组的权利和权限只局限于本地计算机，而本地域组则可扩充到整个域内的所有计算机。 以下是几个常用的本地域组：nAccount Operators:该组成员可以登录域控制器、新建/删除及管理域用户账户和组，但不能更改及删除下列组及其成员

7、：Administrators、Domain Admins、Print Operators、Server Operators、Account Operators、Backup Operators。nAdministrators:该组成员拥有最高的权利与权限，对整个域有最大的控制权。nBackup Operators:该组成员拥有如下权利：在本地登录、系统关机、备份文件与目录、回存文件与目录。nIncoming Forest Trust Builders:该组只存在林根域。nPrint Operators:该组成员可本地登录、系统关机，也可新建/删除、设置域内共享打印机。nServer Oper

8、ators:该组成员拥有如下权利：本地登录、系统关机、锁定与解开域控制器、备份文件与目录、回存文件与目录，该组成员的权限仅次于Administrators组。nUsers:该组成员可登录域中除域控制器之外的所有计算机，访问域内共享资源，但一般不能更该系统设置。6.3.3 内置的全局与通用组n系统在Users容器中还会产生全局组与通用组，这些组默认属于对应的本地域组，它们的权利与权限也来自它们所属的本地域组。以下是几个常用的全局组与通用组：nCert Publishers:全局组，用来更新代理程序。nDomain Admins:全局组，该组默认属于Administrators组，账户Admini

9、strator属于该组成员。nDomain Computers:全局组，加入域中的所有计算机都属于该组成员。nDomain Controllers: 全局组,域内所有域控制器都属于该组成员。nDomain Guests: 全局组,属于Guests本地域组。Guest域用户账户默认属于该组。nDomain Users:全局组，所有的域用户账户默认都属于该组成员。nEnterprise Admins:通用组，只出现在整个域目录林的根域，子域中不包含该组。该组成员可以管理整个林中所有域。6.3.4 内置的系统组n前面介绍的内置组可在“计算机管理”或“Active Directory用户和计算机”中看

10、到，而Windows Server 2003服务器或客户端还有一些特别的系统组，它们只会在指定权利或设置权限时才出现。6.4 组的使用领域n按组的使用领域（范围）来分，Windows Server 2003的域组可分为下列三种类型：n通用组n全局组n本地域组6.4.1 通用组n通用组可设置所有域中的访问权限，从而能够访问所有域中的资源。通用组的特性如下：n具有通用范围的特性，其成员能够包含域目录林中所有域中的用户、通用组、全局组。但通用组无法包含任何一个域中的本地域组。n可访问所有域内的资源，即可在任何一个域内设置通用组的权限（这个通用组可以在同一个域中，也可以在另一个域中），从而让通用组可以

11、访问该域的资源。6.4.2 全局组n可以将多个即将被赋予相同权限的用户帐户加入到同一个全局组中。全局组的特性如下：n全局组只能够包含与该组同一域中的用户和全局组。n全局组在域目录林中可以访问任何一个域中的资源。6.4.3 本地域组n本地域组主要指派了所属域内的访问权限。本地域组的特性如下所示：n任何一个域中的用户、通用组和全局组以及同一个域中的本地域组都可以是本地域组成员，本地域组不能包含其他域中的本地域组。n本地域组只能访问同一域中的资源，不能访问其他域中的资源。通用作用域通用作用域全局作用域全局作用域本地域作用域本地域作用域通用组的成员可包括来自任何域的账户、全局组和通用组Windows

12、Server 2003 中全局组的成员可包括来自相同域的账户或全局组当本地域组的成员可包括来自任何域的账户、全局组或通用组，以及来自相同域的本地域组组可被添加到其他组并在任何域中指派权限组可被添加到其他组并且可在任何域中指派权限组可被添加到其他本地域组并且仅在相同域中指派权限组可转换为本地域作用域。只要组中没有其他通用组作为其成员，就可以转换为全局作用域只要组不是具有全局作用域的任何其他组的成员，就可以转换为通用作用域只要组不把具有本地域作用域的其他组作为其成员，就可转换为通用作用域6.5 提升域功能级别n如何提升域功能级别呢？下面是具体操作步骤：1 .选择“开始”“管理工具”“Active

13、Directory 用户和计算机”，选择域名，按鼠标右键，单击“提升域功能等级”。2. 若当前的域功能级别为“Windows 2000混合模式”，则可选择将其提升为 “Windows Server 2003”或“Windows 2000纯模式”。若当前域功能级别为“Windows 2000纯模式”,则可选择提升为“Windows Server 2003”。如图6-4所示。图6-4 提升域功能级别3. 若在上图中选择提升为“Windows 2000纯模式”，按“提升”后会出现如图6-5所示画面。提示提升域功能级别的过程是不可逆的。4.按“确定”后，出现如图6-6所示的画面。按“确定”，由提示可知

14、，其他域控制器也同时会提升域功能级别。图6-6 提升域功能级别成功画面6.6 域组的创建与管理n6.6.1新建组n以下是在活动目录中新建域组的步骤：单击“开始”“管理工具”“Active Directory 用户和计算机”，选中域名下的任何一个容器或组织单位，单击鼠标右键，打开如图6-7所示的画面。单击“新建”“组”,在如图6-8所示的画面中，输入组名称，选择组的作用域及类型,然后单击“确定”即可。n每个组创建成功后，系统会相应产生一个唯一的安全识别码（SID），可以通过它设置组的权限。图6-7 准备新建组 图6-8 新建组 6.6.2更改域组名称与删除域组n选中组账户名称，单击鼠标右键，然后

15、在列表中单击“重命名”，即可更改组的名称。组名称改变后，SID并未改变，因此该组的权限、属性等都保持不变。n右击组账户名称，在列表中选择并单击“删除”，则可删除该组账户。删除掉某个组后，若再新建一个同名的组，则由于SID已经改变，所以新组的权限及属性也会不同。6.6.3添加组的成员n右击组名，选择“属性”“成员”“添加”“高级”“立即查找”，然后在如图6-9所示的画面中，选择要加入的成员，可以是用户或组。然后单击“确定”即可。6.7 本地组的创建与管理n非域控制器上的组称为本地组。本地组只能访问本机资源，不能共享网络资源。建议只在未加入域的计算机中创建本地组。本地域组、全局组、通用组不能在非域

16、控制器上创建，因为它们只存在域控制器的Active Directory中。n6.7.1创建本地组n打开“我的电脑”，右击“管理”，或“开始”“管理工具”“计算机管理”，具体步骤可参考6.3.1。6.7.2本地组成员n在Windows Server 2003、Windows 2000、Windows XP、Windows NT等计算机中，本地组的成员取决于这些计算机是否属于域成员。n若是域成员计算机，其本地组内的成员可包括：n本地计算机的本地用户账户。n所属域的域用户账户、全局组、通用组。n所信任域的域用户账户、全局组、通用组。n若是非域成员计算机，则其本地组内的成员只能包括本地计算机的用户账户

17、。在单个域中使用组，可以使用AGDLP策略。n在单个域中使用组，可以使用AGDLP策略。nAGDLP中的A代表用户账户，G代表全局组， DL代表本地域组，P代表权限。AGDLP策略是指是将用户账户加入全局组，然后将全局组加入本地域组，再为本地域组授予权限。第第6 6章章 组策略组策略6.1.1 组策略概述n组策略是配置用户桌面的一种方法，系统管理员可以把它应用于一个或多个活动目录对象。包含管理一个对象及其对象的行为。n应用程序配置策略组n文件配置组n脚本组策略n安全组策略 n组策略是配置的集合，这些设置包含在组策略对象（Group Policy Object, GPO）内。nGPO在两个位置存

18、储组策略信息：Group Policy Container和Group Policy Templaten有组策略管理系统，优势：n创建可以管理的桌面配置，使之适合用户工作职责和经验水平n对特定用户实现组策略设置，结合NTFS文件系统的权限和系统的其他特性，可以防止用户访问未经授权的程序和数据，还可以防止用户删除影响应用程序或操作系统正常发挥作用的重要文件n可以增强用户的配置和安全性n当用户登录、退出及计算机启动时自动执行任务和程序6.1.2 组策略结构n组策略配置类型n计算机配置-设置用于管理控制计算机特点项目的策略，如桌面外观，安全设置，操作系统运行等。操作系统启动时，就会应用。n用户配置-

19、设置用于管理控制更多用户特定项目的管理策略，如应用程序配置，桌面特性，分配和发行的应用程序等。每当用户登录到计算机时，就会应用用。n配置子文件夹-“计算机配置”和“用户配置”节点下有3个不同的子文件夹。n软件设置-用于管理软件分发组件。nWindows设置-管理用户环境设置。n“计算机配置”中有“安全设置”和“脚本”n“用户配置”中有“安全设置”“脚本”“文件夹重定向”“远程安装服务”“IE维护”n管理模版-包含了基于注册表的策略信息n“用户配置” HKEY_CURRENT_USERn“计算机配置” HKEY_CURRENT_MACHINE 组策略结构组策略结构 n组策略配置类型 n组策略功能

20、类型 n组策略对象 n组策略容器 n组策略模板 6.2 组策略对象n创建组策略对象 n筛选GPO作用域 n组策略继承 创建组策略对象n“Active Directory用户和计算机”控制台窗口 n“添加组策略对象链接”对话框 n“创建新的组策略对象”按钮n“组策略”选项卡 筛选GPO作用域 n组策略对象中的策略仅适用于对组策略对象有“读取”权限的用户，可以筛选组策略对象的范围，通过创建“安全”组，然后给所选组分配“读”权限。组策略继承 n继承顺序 n继承选项 n覆盖继承n阻止继承6.3 配置组策略对象n组策略编辑器 n使用管理模板 n使用脚本 n文件夹重定向 组策略编辑器n使用组策略编辑器，可

21、以为计算机和用户帐号、应用程序和文件配置安全性、软件及脚本等。使用管理模板 n管理模板是具有扩展名为.adm的文件，并且用于标识注册表的设置。通过使用“组策略”管理单元，可以修改注册表的设置。在Windows Server 2003中的“管理模板”有两个位置可以写入。使用脚本 脚本是用于管理用户环境。Windows Server 2003为下列脚本提供了支持。n计算机启动n计算机关机n用户登录n用户注销文件夹重定向 n用“文件重定向”可以把位于用户配置文件的多个文件夹重定向到其他位置。例如，网络共享的位置。这些文件夹是Application Data、“开始”菜单、My Documents和桌面。这样如果我们把用户的“我的文档”文件夹重定向到server%username，那么当用户从一台计算机漫游到另一台计算机时其“我的文档”文件及仍然可以使用；而且这