5.2域用户账户和组的创建与管理

NETWORKCOURSE域用户账户和组的创建与管理•掌握域用户账户的创建、属性配置与生命周期管理•学习安全组与通讯组的规划策略，掌握批量创建技巧•理解AD域中用户与组的权限委派逻辑及企业级应用场景ActiveDirectory域用户与组管理

核心配置与架构视图计算机网络组建授课教师：项目五：企业网络用户和组管理01场景引入场景：公司入职新同事“李四”，需访问内部文件服务器、打印服务器等核心办公资源。问题：如何为员工建立统一、安全的网络身份？如何对海量员工的访问权限进行高效管控？解决方案：部署WindowsServer活动目录(ActiveDirectory)——集中化创建与管理域用户账户与安全组，实现身份与权限的统一管控。”课程导入：企业网络管理的挑战核心目标：统一身份认证·权限集中管理·安全高效运维理解应用理解利用组进行权限管理的优势，为后续学习打下基础。掌握操作熟练掌握创建、配置和管理域用户账户与组的方法。理解概念明确域用户账户、本地用户账户以及域组的概念和区别。学习目标与重点CONTENTS课程目录01理论先行理解域账户与组02实战演练（用户）创建与管理域用户03实战演练（组）创建与管理域组04进阶与总结应用、总结与拓展理论先行：理解域账户与组系统学习域用户账户与域组的核心概念，夯实操作理论基础01DOMAINTHEORY域服务核心知识体系账户原理·组策略机制·权限分配逻辑PART01计算机网络组建授课教师：项目五：企业网络用户和组管理域用户账户vs本地用户账户域环境核心账户体系域域用户账户(DomainUser)•存储位置：域控制器的ActiveDirectory数据库。•访问范围：可访问整个域内的共享资源。•核心优势：实现“单点登录”（SSO），统一管控。单机独立账户体系本本地用户账户(LocalUser)•存储位置：每台独立计算机的SAM数据库中。•访问范围：仅能登录创建它的那台本地计算机。•管理方式：分散式管理，无法跨设备统一认证。核心洞察：域账户适合企业大规模网络环境，实现集中管理与资源共享；本地账户仅适用于单机或小型工作组，管理相对独立分散。为什么需要域组？——权限管理的利器管理难题在日常运维中，如果一个部门有20名员工都需要访问同一个共享文件夹，管理员若为每个人单独设置NTFS权限，不仅耗时费力，且后期人员变动时（入职/离职），权限回收与分配极易出现遗漏，造成安全隐患。解决方案：使用“域组”管理定义：组是用户账户、联系人、计算机或其他组的集合。核心优势：实现“一次授权，全组成员受益”。管理员只需为组设置一次权限，组内所有成员将自动继承该权限，大幅降低管理复杂度。推荐策略：AGDLP这是微软推荐的

域权限管理最佳实践

实现资源权限的高效隔离策略执行逻辑Accounts→GlobalGroups→DomainLocalGroups→Permissions按作用范围分类全局组：用于组织用户，成员仅能来自同一个域，常用于管理同域内的账户集合。域本地组：专门用于分配资源权限，成员可以来自域森林中的任何域，是权限管理的核心载体。通用组：适用于跨多个域的用户集合，方便在复杂的多域环境中统一管理不同域的用户。按功能分类·通讯组仅用于电子邮件的分发管理，与系统权限的指派和审核无关。主要应用于企业内部的邮件群组发送场景，方便向特定人群批量推送通知或信息。按功能分类·安全组核心作用是为用户或计算机指派访问权限，并对其操作行为进行审核记录。这是域环境中最常用的组类型，管理员通过它可以高效地集中管控域内资源的访问权限。域组的分类NETWORKSTUDY02实战演练：创建与管理域用户PracticalDrill:Create&ManageDomainUsersActiveDirectory操作核心ADUserCreation,Authorization&MaintenancePART02计算机网络组建实验环境准备实施拓扑配置域控制器：操作系统WindowsServer2022，已搭建域环境``，作为核心认证服务器。客户端主机：操作系统Windows10，已成功加入``域，具备域用户登录环境。网络互联：通过二层交换机进行物理连接，确保所有节点处于同一局域网网段内，网络通畅。必备权限与工具管理员权限：需拥有域控制器（DC）的本地管理员及域管理员权限（DomainAdmins）。核心管理工具：使用服务器自带的“ActiveDirectory用户和计算机”(ADUC)图形化管理工具进行操作。实验环境实施拓扑示意图()01步骤1：打开管理工具在“服务器管理器”中，点击“工具”菜单，选择“ActiveDirectory用户和计算机”。02步骤2：发起新建用户在控制台左侧，右键点击域名“”。在弹出的菜单中依次选择“新建”→“用户”。创建域用户账户（步骤1-2）03步骤3：配置用户基本信息在弹出的“新建对象-用户”对话框中，依次填写用户的“姓”、“名”，并设置唯一的“用户登录名”，确认无误后点击“下一步”。04步骤4：设置密码和账户选项输入初始密码并确认，根据安全策略勾选“用户下次登录须更改密码”等选项，最后点击“完成”创建账户。创建域用户账户（步骤3-4）01配置操作与核心选项操作步骤：右键点击目标用户，在弹出菜单中选择“属性”。常规：录入姓名、邮箱、电话等联系信息。地址：设置用户所在的详细邮政通信地址。账户：修改登录名、设定账户的有效期限策略。其他：配置主文件夹路径、管理用户所属的安全组。02配置用户账户属性高级账户管理01设置登录时间限制1.打开用户属性，切换到“账户”选项卡2.点击“登录时间”按钮，打开配置窗口3.可视化选择允许登录的日期与具体时间段4.点击确定，限制仅在指定时间可登录系统💡关键：可限制仅工作时间登录，防止非授权时段访问02设置登录工作站限制1.同样在用户属性的“账户”选项卡中操作2.点击“登录到”按钮，进入工作站限制设置3.选择“下列计算机”，添加允许登录的设备名4.完成配置后，用户仅能从指定电脑登录✅效果：严格控制访问终端，进一步保障账户安全核心目标：通过精细化的账户策略配置，提升企业内网的访问安全性与管理效率实战演练：创建与管理域组PracticalExercise:CreateandManageDomainGroups03NETWORKSTUDY域组管理核心操作流程CoreOperationProcessofDomainGroupManagementPART03计算机网络组建01步骤1：发起新建组操作在“ActiveDirectory用户和计算机”管理工具中，定位到域中的`Users`容器。右键点击该容器，在弹出的右键菜单中，依次选择“新建”→“组”选项，进入组创建向导。02配置组核心信息1.输入组名：填写符合规范的名称。2.组作用域：单域环境推荐选“全局”。3.组类型：默认选择“安全组”，最后点击确定完成创建。创建域组账户：操作步骤详解01方法一：从用户端操作在用户属性的“隶属于”选项卡中，点击“添加”按钮，在弹出的对话框中输入目标组名，完成添加。02方法二：从组端操作在组属性的“成员”选项卡中，点击“添加”，输入要加入的用户名，确认后即可完成成员添加。将用户添加到组进阶应用与总结04CourseSummaryPART04计算机网络组建域用户登录方式解析01用户主体名称(UPN)格式规范：用户名@域名示例演示：lishi@核心优势：结构类似邮箱，符合用户使用习惯，易于记忆与输入，是现代域环境的推荐登录方式。💡推荐策略：新部署的域环境，优先引导用户使用UPN格式进行登录。02SamAccountName(传统兼容)格式规范：域名\用户名示例演示：XYZ\lishi主要用途：Windows传统登录格式，主要用于兼容XP/Server2003等老旧系统及部分特定的传统应用场景。⚠️兼容说明：仅在维护老旧系统或特定兼容性需求时使用此格式。核心验证：在已成功加入域的客户端设备上，任选上述一种格式进行登录，验证域账户是否生效。课程总结：域用户与组管理核心知识点回顾👤域用户账户：集中管理的网络身份，实现“单点登录”，统一验证权限。👥域组(Group)：用户的集合，将权限赋予组而非个人，实现高效批量管理。📂组的核心分类：按用途分安全组/通讯组；按作用域分全局组/域本地组。⚙️核心运维操作：创建用户、配置属性、新建组、将用户添加至对应组中。💡核心管理思想升级从传统的“一对一管理用户”转向“按角色管理组”，这是提升中大型网络管理效率的关键一步。自查核心技能自查清单：•设置域用户账户：□是/□否•设置域用户账号属性：□是/□否•创建与管理域组账户：□是/□否•将用户添加到组中：□是/□否拓展课后任务：配置组织单元（OU）随着公司