用户和组账号管理

用户和组账号管理学习内容用户账号管理组账号管理组策略及应用用户账号在由windowsserver2008组建的网络中，拥有不同权限的用户账号对计算机及网络控制的能力和范围是不同的。用户账号是用户登录系统凭证。利用用户账号，用户能够登录到域中，访问网络资源，或者登录到本地，访问本地计算机上的资源。用户账号管理XP中用于管理本地账号的工具域控器的本地用户和组已升级为AD用户和计算机工具域、OU、组、账号关系图OU与组组织单元（OU，OrganizationalUnit）是组织、管理一个域内对象的容器，它能包容用户账户、用户组、计算机、打印机和其他的组织单元。组是用户和计算机账户、联系人以及其他可作为单个单元管理的集合，属于特定组的用户和计算机称为组成员。通过对ActiveDirectory中的组进行管理，可以实现如下功能：（1）简化管理（2）委派管理将shism域账号添加到本地administrators组后，shism账号拥有管理员权限域用户帐户和本地用户帐户不同，域用户帐户保存在活动目录中。由于所有的用户帐户都集中保存在活动目录中，所以使得集中管理变成可能同时，一个域用户帐户可以在域中的任何一台计算机上登录，用户可以不再使用固定的计算机。当计算机出现故障时，用户可以使用域用户帐户登录到另一台计算机上继续工作，这样也使帐号的管理变得简单。操作--OU划分OU（组织单位）

在域中有很多的对象，包括用户帐户、组、共享文件夹和共享打印机等。这些对象都是集中存储在活动目录中并使用“AD用户与计算机”管理工具来进行管理。但如果这些大量的对象都放在“users”管理单元内进行管理，会带来一定的不便，例如不便于查找、难于设置策略等。所以为了更好的组织和管理这些对象，引入“OU”的概念。OU又叫组织单位，它是一个容器，主要的作用就是用来组织和管理这些对象的。为了便于日后的管理，我们一定要设计好OU的结构。OU结构的划分有几种不同的方法按对象类型来划分。该划分方法是创建几个OU，不同的OU放不同的对象，比如一个OU放用户帐户，另一个OU放计算机帐户等；按企业的组织结构来划分。方法是为不同的部门创建不同的OU，把属于每个部门的对象都放在一个OU里，比如财务部的OU放财务部的用户帐户、财务部的计算机帐户和组等，而业务部的OU放业务部的用户帐户、业务部的计算机帐户和组等。这是一种常用的方法；按地区来划分。该方法主要用在有分支机构的企业，分别为不同的分支机构创建不同的OU，然后把属于该分支机构的所有对象都放在相应的OU里。比如一个企业有广州总公司、上海分公司和北京分公司，那么就分别为这三个分公司建立三个OU，一个OU放广州总公司的对象，一个放上海分公司的对象，还有一个放北京分公司的对象；混合划分方法。该方法是按组织结构划分和按地区划分两种方法的结合，先为不同分支机构创建OU，再在不同的分支机构的OU里按组织结构来创建子OU。这也是一种常用的方法。创建用户账号利用账号模板可以创建一个账号模板，预先设置相关的共同属禁用通过账号模板进行复制复制时，仍然要求你输入姓名，登录姓名和密码。但会发现这个新帐号有一些属性是从模板中复制得到的。创建用户账号利用命令行工具CSVDECSVDE是一个命令行工具，可以将AD中的对象导出成一个后缀名为.csv或.txt的文件；也可以将这样的文件导入成AD，作为对象。comma-separatedvaluetextfile，逗号分隔文件，可以在Excel或文件编辑器中被打开查看。导出ou中的记录导入账号利用dsquery以及dsmod批量修改密码Dsquery的例子：dsqueryuser“ou=students,ou=rjgc,ou=jsj,dc=czu,dc=internal”–disabled查询在指定ou内的被禁用的账号Dsmod的例子：dsqueryuser“ou=students,ou=rjgc,ou=jsj,dc=czu,dc=internal”–disabled|dsmoduser–disabledno–pwd!@345czu将查询结果导入给dsmod命令，启用账号，修改密码用户配置文件如果用户登录后，不能访问他的IE收藏夹，或不能见到熟悉的快捷方式或桌面的文档。这些内容都与用户文件的组件相关。一个用户文件包括文件夹和数据文件。数据文件中有用户特定的桌面环境。设置包括：开始菜单，桌面，以及快速启动栏中的快捷方式(Shortcuts)桌面上的文件。在MyDocuments中的文件IE收藏夹和Cookies程序的特殊文件，如office用户字典，用户模板等。网上邻居桌面的显示设置，如外观，墙纸和屏保这些重要的元素不同于各个用户。我们希望这些元素与登录联系起来，当用户登录到其它系统时可用。或当用户的系统损坏必须重装时，也可用。本地用户配置文件默认，用户文件被存储在系统本地。%Systemdrive%\DocumentsandSettings\%Username%文件夹中有以下特征：当用户第一次登录到一个系统。系统为该用户新建用户文件。新的用户文件夹名，会与登录的名字类似。所有对用户桌面或软件环境所做修改，都会被保存在本地用户文件夹中（LocalUserProfiles）用户的环境由Allusers文件夹扩展，其中可以包括桌面或开始菜单中的shortcuts，网上邻居，甚至应用程序数据。Allusers中的元素与用户文件夹中的内容结合产生用户环境。默认，只有Administratorsgroup的用户才可以更改Allusers文件夹。如果用户登录到其它系统，documentsandsettings中的内容不会跟随用户。系统会重新为用户生成一个用户文件夹漫游用户配置文件如果用户需要在多台计算机上工作，你可以配置漫游用户文件（roaminguserprofiles，RUPs）。以此保证无论在什么地方登录，他们的documentsandsettings保持一致。RUPs将文件存放在服务器上，也意味着，文件可以被备份，扫描viruses，被集中控制。即使用户不用移动，RUPs也可以在用户系统损坏时，保证用户文件与系统恢复前一致。配置RUP，先在服务器上建立一个共享文件夹（EveryoneFullControl）。理想情况下，服务器应该是一个fileserver，可以经常做备份。漫游用户配置文件在用户“属性”对话框的“配置文件”页中，在profilepath中，键入

\\<server>\<share>\%Username%%Username%会被自动地代替为用户登录名当用户注销时，系统会将用户文件上传至服务器。用户只要是登录到域，无论是哪个系统，或哪台计算机，用户文件都以RUP形式，从服务器上下载到本地。（thesystemcopiesonlyfilesthathavechanged)注意：rups文件夹权限的设置（1）共享（2）NTFS权限（3）共享权限

创建预定义的用户配置文件你可以建立一个自定义的用户文件，提供设计好的桌面和软件环境。建立自定义的用户文件，不需要特别的工具，只要新建一个帐户，以该账号，登录到系统，正确修改桌面和软件设置。当用户文件修改成功后，以管理员身份登录到系统，打开系统“属性”，在高级页中，点击用户配置文件中的“设置”按钮。选择文件，点击“复制”。键入路径，格式为：\\<server>\<share>\<username>可以点击“更改”，修改可访问文件夹的人。最后，打开用户账号的”属性“对话框，在配置文件页中，输入同样的文件路径。强制用户配置文件漫游文件可以为多个用户建立标准的桌面环境。但是不同的用户在今后会对自己的桌面环境做不同的修改。可以设置多个用户都使用同一个用户文件夹。方法如上。在复制文件到目的地时。访问权限设置为一个组都能访问。既然有多个用户都可以访问同一个用户文件夹，自然不希望该文件夹中的内容，被修改。这时可以配置强制文件(MandatoryProfile)一个MandatoryProfile不允许用户更改profile环境。即使用户在本机上做了修改，但下次用户登录时，这些修改将不会被保存。MandatoryProfile可以用于锁住桌面。尤其是多个用户共享一个用户配置文件时。将用户配置文件变成Mandatory的，只要重命名文件夹中Ntuser.dat文件为Ntuser.man。组账号管理组（group）是多个具有相同管理任务的用户和计算机账号的集合单元。属于特定组的用户和计算机被称为组成员。在AD域服务中的组都是存储在域和OU中的。使用且可以一次给一组用户指定权限，而不必单独地给每一个用户重复指定权限，从而简化管理。组的作用使用AD

DS中的组可以执行以下操作：通过将共享资源的权限分配给组而不是单个用户来简化管理。将权限分配给组会将对资源的相同访问权限分配给该组的所有成员。通过组策略将用户权限一次性分配给组来进行委派管理。然后可以向组添加那些希望和组具有相同权利的成员。创建电子邮件分发列表。组的划分在域中，组的类型有两种，分别是“安全组”和“通讯组”。安全组即可以设置权限，也可以收发电子邮件；而通讯组不能设置权限，只能收发电子邮件。

根据组的作用范围不同，组又分为“本地域组”、“全局组”和“通用组”三种。本地域组：作用范围是该组所在的域内可以包含的成员包括：所有域的用户帐户、全局组、通用组，以及本域的域本地组。全局组：作用范围是所有受信任的域可以包含的成员有：本域的用户帐户和全局组。通用组：作用范围是所有受信任的域可以包含的成员有：所有域的用户帐户、全局组和通用组。DomainFunctionalLevels

域功能级别在WS2008中有三种域功能级别：Windows2000纯模式，WindowsServer2003，WindowsServer2008。Windows2000:这个级别内的域控制器可以是ws2000或ws2003

WindowsServer2003:这个级别内的域控制器可以是ws2003或ws2008WindowsServer2008:只能是ws2008不同的域功能级别，在组属性上有不同的限制。一旦提升域功能级别之后，就不能再将运行旧版操作系统的域控制器引入该域中。GroupScope

组作用域Groupscope用来确定在域树或林中该组的应用范围，定义了权限如何被分配给组成员。WS2008中，无论是安全组还是通讯组，都被划分为三个组作用域：本地域(domainlocal)，全局(global)，通用(universal)作用域组类型DomainLocalGroups通常为本域的资源创建本地域组帮助用户定义和管理单一域内的资源访问权限本地域组的成员可以是同一个域的本地域组任何域内的账户具有全局作用域的域组具有通用域的组他们能访问的资源只是该本地域组所在域中的资源DomainLocalGroups例例如，若要授予五个用户访问特定打印机的权限，您可以在打印机权限列表中添加五个用户帐户。但是，如果您以后要授予这五个用户访问新打印机的权限，则必须重新在新打印机权限列表中指定这五个帐户。稍作计划之后，通过创建具有本地域作用域的组并为其分配访问打印机的权限，即可简化此日常管理任务。将这五个用户帐户放在具有全局作用域的组中，并将此组添加到具有本地域作用域的组。若要授予这五个用户访问新打印机的权限，可以为具有本地域作用域的组分配新打印机的访问权限。具有全局作用域的组的所有成员都会自动获得对新打印机的访问权限。GlobalGroups全局组属于某个域，但作用范围是整个森林，主要用来组织对网络访问具有相同要求的用户全局组的成员只包括组所在域的其他组和帐户使用具有全局作用域的组来管理需要进行日常维护的目录对象，如用户和计算机帐户。由于具有全局作用域的组在自已的域外不会被复制，因此您可以经常更改具有全局作用域的组中的帐户，且不会对全局编录产生重复流量。UniversalGroups通用组的成员可以包括域树或林中的任何域的其他组和帐户。可以在域树或林中的任何域为这些组成员分配权限。使用具有通用作用域的组来合并跨域的组向具有全局作用域的组添加帐户，并在具有通用作用域的组内嵌套这些组。使用此策略时，对具有全局作用域的组成员身份的任何更改都不会影响具有通用作用域的组。SpecialIdentities

特殊身份有一些特殊的组称为specialidentities,由操作系统管理。Specialidentities不能被创建或删除，其中的成员也不能被修改。Specialidentities不会在“AD用户和计算机”管理单元中显示，但是可以在ACL中被分配访问权限。这些特殊组能根据环境在不同时间代表不同用户SpecialIdentitiesIdentityRepresentationEveryone此组代表了所有当前网络用户，包括来自于其他域的来宾和用户。无论用户何时登录到网络上，都会自动将该用户添加到Everyone组。

Network此组所代表的用户当前正通过网络访问给定的资源，这些用户与通过本地登录到资源所在的计算机来访问该资源的用户相对。无论用户何时通过网络访问给定的资源，都会自动将该用户添加到“网络”组。Interactive此组代表当前已登录到特定计算机，并且正在访问位于该计算机上的给定资源的所有用户，他们与通过网络访问资源的用户相对。无论用户何时访问他们当前已登录的计算机上的给定资源，都会自动将该用户添加到“交互”组。

AnonymousLogon此组所代表的用户和服务在不使用帐户名、密码或域名的情况下通过网络访问计算机及其资源。在运行Windows

NT和早期版本的计算机上，“匿名登录”组是Everyone组的默认成员。但在运行WindowsServer2008R2、WindowsServer

2008或Windows

Server

2003的计算机上，“匿名登录”组在默认情况下不是Everyone组的成员。CreatorOwner表示创建或获取了资源所有权的用户。如一个用户创建了资源，但是管理员拿走了所有权，那么，creatorowner将是管理员。组策略理解组策略的作用理解组策略的应用顺序会配置组策略的继承会配置组策略的强制生效会配置组策略实现软件分发32组策略的作用-1方便管理AD中用户和计算机的工作环境用户桌面环境计算机启动/关机与用户登录/注销时所执行的脚本文件软件分发安全设置域组策略33组策略的作用-2通过组策略可以对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境降低布置用户和计算机环境的总费用只须设置一次，相应的用户或计算机即可全部使用规定的设置减少用户不正确配置环境的可能性推行公司使用计算机的规范桌面环境规范安全策略组策略适用的操作系统组策略不适用于早期的Windows操作系统，如Windows9x/NT，那时使用的是“系统策略”。组策略是系统策略的更高级扩展，它是由Windows9x/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，目前主要应用于Windows2000/XP/2003/Vista/2008中。组策略的具体设置数据保存在GPO中34组策略的结构-1默认GPO默认域策略默认域控制器策略GPO所链接的对象组策略不能应用到组，只能够应用到站点、域或组织单位（SDOU）GPO控制用户和计算机组策略GPOSDOU计算机用户35案例1：组策略的简单应用需求：公司的网络采用域结构进行管理，销售部员工的用户账户都位于Sales_OU中，现要求销售部的员工统一使用公司指定的桌面背景，而且不能随意更改成其它桌面背景实现思路：创建并链接组策略配置组策略用户配置→策略→管理模板→桌面→桌面→桌面墙纸36组策略的应用规则继承与阻止继承累加应用顺序强制生效筛选37继承与阻止继承在默认情况下，下层容器会继承来自上层容器的GPO子容器可以阻止继承上级的组策略右击容器→阻止继承继承Sales_OU的组策略继承域的组策略38累加容器的多个组策略设置如果不冲突，则最终有效策略是所有组策略设置的总和容器的多个组策略设置如果冲突，则后应用的组策略覆盖先应用的组策略组策略设置是否冲突OU的有效设置域：IE主页设置为OU：已启用“阻止更改墙纸”否IE主页设置为阻止更改墙纸域：已启用“阻止更改墙纸”OU：已禁用“阻止更改墙纸”是可以更改墙纸39应用顺序组策略按以下顺序被应用：LSDOU首先应用本地组策略对象如果有站点组策略对象，则应用之然后应用域组策略对象如果计算机或用户属于某个OU，则应用OU上的组策略对象如果计算机或用户属于某个OU的子OU，则应用子OU上的组策略对象如果同一个容器下链接了多个组策略对象，则按照策略优先级从大到小逐个应用(优先级小级别高）40强制生效强制生效是强制容器执行其GPO设置强制的41筛选筛选可以阻止一个GPO应用于容器内的特定计算机和用户Sales_OUManagerASales42案例2：多元用户密码策略需求：对不同的用户应用不同的用户密码安全级别。需要使用PasswordSettingsobjects(PSO)，对不同用户应用不同密码策略。步骤1.使用ADSIEdit(ADserviceinterface)创建PSO在ADSIEdit管理单元中，右键单击

ADSIEdit，然后单击“连接到”。在“名称”中，键入要在其中创建PSO的域的完全限定的域名(FQDN)，然后单击“确定”。双击该域

DC=<domain_name>

CN=SystemCN=PasswordSettingsContainer。右键单击

CN=PasswordSettingsContainer，单击“新建”，然后单击“对象”。在“创建对象”对话框的“选择类”下，单击

msDS-PasswordSettings，然后单击“下一步”。在“值”中，键入新PSO的名称，然后单击“下一步”。域功能级别：提升到2008多元密码策略只能被应用到用户对象或者全局安全组案例2：多元用户密码策略步骤2.

PSO对象属性值属性名称描述可接受的值范围示例值msDS-PasswordSettingsPrecedence密码设置优先级大于010msDS-PasswordReversibleEncryptionEnabled用户帐户的密码可还原的加密状态FALSE/TRUE（推荐：FALSE）FALSEmsDS-PasswordHistoryLength用户帐户的密码历史长度0到102424msDS-PasswordComplexityEnabled用户帐户的密码复杂性状态FALSE/TRUE（推荐：TRUE）TRUEmsDS-MinimumPasswordLength用户帐户的最短密码长度0到2558msDS-MinimumPasswordAge用户帐户的最短密码期限00:00:00:00到

msDS-MaximumPasswordAge

值1:00:00:00（1天）msDS-MaximumPasswordAge用户帐户的最长密码期限不能将

msDS-MaximumPasswordAge

设置为零42:00:00:00（42天）msDS-LockoutThreshold用户帐户锁定的锁定阈值0到6553510msDS-LockoutObservationWindow用户帐户锁定的观察窗口00:00:00:01到

msDS-LockoutDuration

值0:00:30:00（30分钟）msDS-LockoutDuration锁定用户帐户的锁定持续时间msDS-LockoutObservationWindow值到（永不过期）0:00:30:00（30分钟）msDS-PSOAppliesTo到此密码设置对象所应用到的对象的链接（正向链接）用户或全局安全组的0个或多个DN“CN=u1,CN=Users,DC=DC1,DC=contoso,DC=com”案例2：多元用户密码策略步骤3.