项目4用户账户和域组的管理

域用户账户和域组的

管理项目4Page2/32用户账号可为用户提供登录到域以访问网络资源或登录到计算机以访问该机资源的能力。定期使用网络的每个人都应有一个惟一的用户账号。

WindowsServer2003提供两种主要类型的用户账号：本地用户账号和域用户账号。除此之外，WindowsServer2003系统中还有内置的用户账号。

Page3/32介绍用户和组为每个用户帐号创建一个唯一的登录名用批处理为新用户在活动目录创建多个用户帐号将用户分组，用以管理网络上的共享资源当为一个分层结构创建一个模型时，将组嵌入别的组中以减少管理任务UsersSharedResourcesPermissionsGroupPage4/32介绍用户登录名用户主名

1.用户主名前缀

2.用户主名后缀用户登录名

1.用户登录时必须选择域用户登录名唯一性原则

1.全名在创建用户帐号的容器内必须唯一

2.用户主名在目录林中必须唯一

3.用户登录名在域中必须唯一+usernamedomaincontososuzanf@SuffixPrefixsuzanf@contoso.msftPage5/32域用户账号域用户账户用来使用户能够登录到域或其他计算机中，从而获得对网络资源的访问权。经常访问网络的用户都应拥有网络惟一的用户账户。如果网络中有多个域控制器，可以在任何域控制器上创建新的用户账户，因为这些域控制器都是对等的。当在一个域控制器上创建新的用户账户时，这个域控制器会把信息复制到其他域控制器，从而确保该用户可以登录并访问任何一个域控制器。Page6/32内置用户账号WindowsServer2003自动创建若干个用户账号，并且赋予了相应的权限，称为内置账号。内置用户账号不允许被删除。最常用的两个内置账号是Administrator和Guest。使用内置Administrator（管理员）账号管理计算机和域配置。Guest（来客）账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。Page7/32创建域用户账号“管理工具”——“ActiveDirectory用户和计算机”

Page8/32新建对象——用户Page9/32输入密码

Page10/32强密码的特征长度至少有7个字符。不包含用户名、真实姓名或公司名称。不包含完整的字典词汇。包含全部下列4组字符类型：大写字母（A、B、C．．．）、小写字母（a、b、c．．．）、数字（0、l、2、3、4、5、6、7、8、9）、键盘上的符号（键盘上所有未定义为字母和数字的字符，如`～!@#$%^&（）*_+-{}[]|\/?:”;’<>,.）。账户已禁用。防止用户使用选定的账户登录，当用户暂时离开企业时，可以使用该选项，以便日后迅速启用。也可以禁用一个可能有威胁的账户，当排除问题之后，再重新启用该账户。许多管理员将禁用的账户用做公用用户账户的模板。以后拟再使用该账户时，可以在该账户上右击，并在弹出的快捷菜单中选择“启用账户”选项即可。Page11/32添加计算机用户

Page12/32修改用户属性Page13/32创建组Page14/32设置用户账号属性Page15/321.设置个人属性——常规、地址选项卡Page16/32设置个人属性——电话、单位选项卡Page17/322.设置账号属性Page18/323.设置登录时间Page19/324.设置用户可登录的计算机Page20/32维护用户账号1.禁用、启用、重命名和删除用户账号Page21/322.重设密码Page22/32介绍活动目录中的组GroupsCanBeNestedInsideOtherGroupsUsersCanBeMembersofMultipleGroupsGroupGroupGroupsSimplifyAssigningPermissiontoResourcesGroupGroupGroupGroupGroupGroupPage23/32使用全局组GlobalGroupRules成员属于成员资格作用范围权限范围Mixedmode:

包含来自同一个域的用户帐号Nativemode:

包含来自同一个域的用户帐号和全局组Mixedmode:全局组可以是域本地组的成员Nativemode:全局组可以是任何一个域中的通用和域局部组，以及同一个域中的全局组成员全局组在域和所有信任域可见目录林中所有域

AddAddGlobalGroupPage24/32使用域本地组DomainLocalGroupRules成员属于成员资格作用范围权限范围Mixedmode:

可以包含任何域的用户和全局组Nativemode:

可以包含目录林中的任何域的用户帐号全局组和通用组，以及同一域的域本地组。Mixedmode:本地组不能是任何组的成员Nativemode:域本地组可以是同一域中的域本地组域本地组只在它自己的域中可见域本地组位于其中的域

AddAddGlobalGroupDomainDLGDomainLocalGroupPage25/32使用通用组成员属于UniversalGroupRules成员资格Mixedmode:

不能创建Nativemode:可以包含来自目录林中的任何域的用户和帐号全局组和其它通用组Mixedmode:

不能创建Nativemode:可以是任何域中的域本地和通用组成员作用范围通用组在目录林中的所有域都是可见权限范围目录林所有域

AddfromMultipleDomainsGlobalGroupUniversalGroupPage26/32在域中使用组的策略使用全局和域本地组课堂讨论：在一个单域中使用组Page27/32使用全局和域本地组UserAccountsGlobalGroupsGlobalGroupDomainLocalGroupPermissionsAGDLPGDLG添加域用户帐号到全局组(Optional)把一个全局组添加到另一个全局组把全局组添加到一个域本地组赋予相应权限给相应的域本地组Page28/32使用通用组的嵌套策略把用户帐号添加到全局组GlobalGroupUsers把全局组嵌套到一个通用组中GlobalGroupUniversalGroup把一个全局组嵌套到另一个全局组中GlobalGroupGlobalGroup把通用组添加到为资源创建的域本地组UniversalGroupDomainLocalGroupDLG把组中用户的合适权限分派给域本地组PermissionsDomainLocalGroupDLGPage29/32问题1：在目录树和目录林中使用组AccountantsNeedtoGainAccesstotheAccountingDataAcrosstheForestHowDoYouSetUpGroups??DomainADataDomainCDataDomainBDataPage30/32问题1：在目录树和目录林中使用组（2）DomainAAccountingDivisionAccountsPayableAccountsReceivableDomainBDomainCCreateGlobalGroupstoConsolidateUserswithSimilarJobTasksPage31/32问题1：在目录树和目录林中使用组（3）DomainAAccountingDivisionAccountsPayableAccountsReceivableDomainBDomainCNestGlobalGroupsintotheGlobalGroupinEachDomainPage32/32问题1：在目录树和目录林中使用组（4）DomainAAddtheGlobalGroup

fromEachDomaininto

theUniversalGroupDomainBDomainCAllAccountantsAccountingDivisionAccountingDivisionAccountingDivisionPage33/32问题1：在目录树和目录林中使用组（5）CreateDomainLocalGroupthatHavePermissionsforAppropriateResourcesDomainBDomainCDomainADataDLGDLGDLGDataDataFullControlPermissionPage34/32问题1：在目录树和目录林中使用组（6）AddUniversalGroupintoDomainLocalGroupsDomainBDomainCDomainAAllAccountantsDLGDLGDLGDataDataDataPage35/32问题2：在目录树和目录林中使用组（1）

AllAccountantsDomainADomainBDomainCNewDomainDLGDLGDLGCreateNewGlobalGroupsPage36/32问题2：在目录树和目录林中使用组（2）

AllAccountantsDomainADomainBDomainCNewDomainDLGDLGDLGDLGPage37/32问题2：在目录树和目录林中使用组（3） AddtheGlobalGroupinto

theUniversalGroup

AllAccountantsDomainADomainBDomainCNewDomainDLGDLGDLGDLGAddtheUniversalGroupintothe

DomainLocal

GroupPage38/32设置密码策略的方针设置“强制密码历史”至少为２４个设置密码最长期限最多为４２天设置最短密码期限最少为２天设置密码长度对短为８个字符启用密码必须符合复杂性要求策略设置Page39/32身份验证,授权和管理帐号的方针不要随意使用帐号锁定策略不应该以管理员身份运行计算机

使用多种身份验证方法基于AGUDLP策略使用组禁用管理员帐号并指派给用户和管理员能够执行任务的最具限制的权限Page40/32使用组的方针将负责日常工作的用户添加到全局组针对共享资源的访问创建域本地组将需要访问这些资源的全局组添加到相应的域本地组使用通用组可以访问多个域的资源通用组的成员相对稳定时使用通用组Page41/324.6管理组织单元（OU）OU是组织单元，把域中的对象组织成逻辑管理组，而不是安全组或代表地理实体的组。OU是可以应用组策略和委派责任的最小单位。

对于OU，要注意以下几点：谨慎添加OU保持层次简单OU与组的区别