管理活动目录域服务对象

1、管理活动目录域服务对象模块概述管理用户账户管理组账户管理计算机账户授权管理Lesson 1: 管理用户账户ADDS管理工具创建用户账户配置用户账户属性创建用户配置文件示例: 管理用户账户ADDS管理工具管理AD DS对象,您可以使用下面的图形工具:您也可以使用下面的命令行工具:活动目录嵌入式管理活动目录管理中心活动目录模块Windows PowerShell目录服务命令创建用户账户配置用户属性创建用户配置文件示例: 管理用户账户在这个示例中，你将看到:打开活动目录行政中心删除一个用户帐户创建一个新的用户帐户移动用户帐户Lesson 2: 管理组账户组类型集团范围实现组管理默认组特殊身份演示:管

2、理组组的类型分布组只做邮件通讯没有安全标识(SID),不能划分权限安全组安全主要与SID;可以被赋予权限也可以电子邮件启用组范围U 用户C计算机GG全局组DLG域本地组UG通用组组的范围成员来自同一域从域在同一片森林里成员从外部域成员信任可以对资源分配的权限本地组U, C,GG, DLG, UGand local usersU, C,GG, UGU, C,GGOn the local computer only域本地组U, C,GG, DLG, UGU, C,GG, UGU, C,GGAnywhere in the domain通用组U, C,GG, UGU, C,GG, UGN/AAnywh

3、ere in the forest全局组U, C,GGN/AN/AAnywhere in the domain or a trusted domain实施组管理ACL_Sales_Read(Domain Local Group)域本地组提供管理，比如资源访问DLwhich are Sales(Global Group)Auditors(Global Group)在一个多域森林，用IGUDLA指定资源访问A身份用户或计算机作为成员I全局组这收集基于成员的角色成员作为成员G默认组仔细管理,提供默认组的管理权限,因为这些群体:通常有更广泛的特权比是必要的对于大多数委托环境他们的成员通常都用保护组位置

4、Enterprise Admins用户容器的森林根域Schema Admins用户容器的森林根域Administrators 内置的容器的每个域Domain Admins 每个域用户的容器Server Operators 内置的容器的每个域Account Operators内置的容器的每个域Backup Operators内置的容器的每个域Print Operators内置的容器的每个域特殊身份特殊身份:是团体的成员是由操作系统可以使用Windows服务器操作系统来提供对资源的访问:基于类型的身份验证或连接不是基于用户帐户重要的特殊身份包括:Anonymous LogonAuthenticat

5、ed UsersEveryoneInteractiveNetwork示例: 管理组在这个示例中，你将看到:创建一个新的组在组中添加成员添加用户到组修改组的类型和范围修改组属性Lesson 3: 管理计算机账户计算机容器是什么?指定位置的计算机帐户控制权限创建计算机帐户计算机帐户和安全通道重置安全通道计算机容器是什么?指定位置的计算机帐户最佳实践是创建计算机对象的OU服务器通常的服务器角色计算机客户通常按地区划分典型OU:使用管理方便的配置和组策略控制权限创建计算机帐户计算机帐户和安全通道计算机帐户sAM账户名和密码用于创建一个安全通道之间的电脑和域控制器一条安全通道是可以打破的重新安装一台电脑

6、,即使有相同的名称,会生成一个新的SID和密码恢复一个计算机从一个旧备份,或回滚电脑一个古老的快照计算机和域同意密码重置安全通道不要删除计算机或者重新加入域这个过程会创建一个新的帐户,导致新的SID和失去的组成员选择重置安全通道:Active Directory 用户和计算机DSMod.exeNetDom.exeNLTest.exeWindows PowerShellLesson 4: 授权管理ADDS权限起作用 ADDS 权限示例: 委派管理权限ADDS 权限有效地ADDS权限权限分配给用户和组累加最佳实践是分配权限组,而不是个人用户在发生冲突:评估有效权限,您可以使用:拒绝权限覆盖允许权限

7、显式权限覆盖继承权限显式允许重写继承了否认有效的权限标签手动分析示例: 委派管理控制在这个示例中,你将看到:代表一个标准的任务代表一个自定义的任务视图AD DS权限Lab: 管理AD DS对象Exercise 1:授权管理一个分公司Exercise 2:创建和配置用户帐户在AD DSExercise 3:管理计算机对象在AD DS登录信息虚拟机20410B-LON-DC120410B-LON-CL1用户名AdatumAdministrator密码 Pa$w0rdEstimated Time: 60 minutes实验场景A. Datum公司是一个全球工程和制造业公司,总部设在英国伦敦。一个IT办公室和数据中心位于伦敦支持伦敦办公室和其他地方。一个。基准最近部署一个Windows Server 2012的基础设施与Windows 8的客户。你已经工作了A. Datum作为桌面支持专家,先后访问了桌面电脑来解决应用程序和网络问题。你最近接受晋升到服务器支持团队。你的第一个任务是配置基础设施服务,一个新的办事处。开始部署新分公司的办公室,你准备AD DS对象。这个准备的一部分,您需要创建一个OU的分支机构和委托权限来管理它。然后你需要创建用户和