4_实现用户,组和计算机帐号.ppt

1、第四章: 实现用户、组和计算机帐号,北大青鸟昌平校区,实现用户、组和计算机帐号,概述,帐号简介 建立和管理多个帐号 实现用户主名后缀 在活动目录中移动对象 规划用户、组和计算机帐号的策略 规划活动目录的审核策略,4.1 帐号简介,帐号的类型 组的类型 什么是域本地组？ 什么是全局组？ 什么是通用组？,4.1.1 帐号的类型,4.1.2 组的类型,4.1.3 什么是域本地组？,4.1.4 什么是全局组？,一个安全组或分布组可以包含本域的用户、组和计算机,4.1.5 什么是通用组？,一个安全组或分布组可以包含森林中任何域的用户、组 和计算机,4.2 建立和管理多个帐号,建立和管理多个帐号的工具 如

2、何使用Csvde工具建立帐号 如何使用Ldifde工具建立和管理帐号 如何使用Windows Script Host建立和管理帐号,4.2.1 建立和管理多个帐号的工具,4.2.2 如何使用Csvde工具建立帐号,教师将演示如何使用Csvde命令行工具建立帐号,Dn,objectClass,sAMAccountname, userPrincipalName,displayName, userAccountControl cn=suzan fine,ou=sales,dc=nw,dc=com,user,suzanf,suzan fine,514 cn=mark john,ou=sales,dc=

3、nw,dc=com,user,markj,mark john,514,4.2.3 如何使用Ldifde工具建立和管理帐号,#Create paul adare DN:cn=paul adare,ou=sales,dc=nw,dc=com Changetype:add objectClass:user sAMAccountName:paula displayName:paul adare userPrincipalName: userAccountControl:514 #Create greg weber DN:cn=greg weber,ou=sales,dc=nw,dc=com Chang

4、etype:add objectClass:user sAMAccountName:gregw displayName:greg weber userPrincipalName: userAccountControl:514,4.2.4 如何使用Windows Script Host建立和管理帐号,Set objDomain = GetObject(LDAP:/dc=fabrikam,dc=com) Set objOU = objDomain.Create(organizationalUnit, ou=Management) objOU.SetInfo Set objOU = GetObjec

5、t(LDAP:/OU=management,dc=fabrikam,dc=com) Set objUser = objOU.Create(User, cn= AckermanPila) objUser.Put sAMAccountName, AckermanPila objUser.SetInfo objUser.SetPassword i5A2sj*! objUser.AccountDisabled = FALSE objUser.SetInfo Set objOU = GetObject(LDAP:/OU=Management,dc=fabrikam,dc=com) Set objGrou

6、p = objOU.Create(Group, cn=atl-users) objGroup.Put sAMAccountName, atl-users objGroup.SetInfo objGroup.Add objUser.ADSPath objGroup.SetInfo Wscript.echo Script ended successfully,如何使用Windows Script Host建立和管理帐号,教师将演示如何使用 Windows Script Host 建立和管理帐号,Set objRootDSE = GetObject(LDAP:/rootDSE) Set objCon

7、tainer = GetObject(LDAP:/cn=Users, & _ objRootDSE.Get(defaultNamingContext) For i = 1 To 1000 Set objUser = objContainer.Create(User, cn=UserNo & i) objUser.Put sAMAccountName, UserNo & i objUser.SetInfo objUser.SetPassword i5A2sj*! objUser.AccountDisabled = FALSE objUser.SetInfo Next WScript.Echo 1

8、000 Users created.,4.3 实现用户主名后缀,什么是用户主名？ 如何检测和解决名称后缀冲突 如何建立和删除UPN后缀 如何启用和禁用森林信任的名称后缀路由,4.3.1 什么是用户主名？,是一种只能用来登录到Windows Server 2003网络的登录名。 优点 在活动目录中唯一 可以与用户的电子邮件地址相同,suzanfcontoso.msft,4.3.2 如何检测和解决名称后缀冲突,在以下某种情况时，会发生名称后缀冲突： 一个DNS名称已经被使用了 一个 NetBIOS名称已经被使用了 一个域的SID号与另一个名称后缀的SID号冲突 一个域的名称后缀冲突会导致从森林外部

9、对该域的访问被拒绝,4.3.3 如何建立和删除UPN后缀,教师将演示如何建立和删除UPN后缀,4.3.4 如何启用和禁用森林信任的名称后缀路由,教师将演示如何启用和禁用森林信任的名称后缀路由,4.4 在活动目录中移动对象,什么是SID历史？ 移动对象时的关联信息 如何在域内移动对象 如何在域间移动对象 如何使用LDP查看被移动对象的属性,4.4.1 什么是SID历史？,SID历史 是一个包含分配给某个用户帐号的所有SID的列表 为被迁移的用户帐号提供持续访问资源的能力,4.4.2 移动对象时的关联信息,在域内移动 SID或GUID不变化 在森林内移动 新的SID SID历史 相同的GUID 森

10、林间移动 新的SID SID历史 新的GUID,4.4.3 如何在域内移动对象,教师将演示如何在域内移动活动目录对象,4.4.4 如何在域间移动对象,教师将演示如何在域间移动活动目录对象,4.4.5 如何使用LDP查看被移动对象的属性,教师将演示如何使用LDP工具查看对象的属性,4.5 规划用户、组和计算机帐号的策略,命名帐号的指导原则 设置口令策略的指导原则 验证、授权和管理帐号的指导原则 规划组帐号策略的指导原则,4.5.1 命名帐号的指导原则,定义命名规范如下:,用户帐号名能够标识用户,计算机帐号名能够标识计算机的所有者、地点以及计算机的类型,组帐号名能够标识组的类型、位置以及用途,4.

11、5.2 设置口令策略的指导原则,设置Enforce password history策略，让系统记住至少24个曾经使用过的口令,设置Maximum password age策略，不超过42天,设置Minimum password age策略， 至少2天,设置Password length策略，至少8个字符,启用Password must meet complexity requirements策略,4.5.3 验证、授权和管理帐号的指导原则,4.5.4 规划组帐号策略的指导原则,把具有相同工作职责的用户添加到全局组中,为了共享资源而建立域本地组,把希望访问资源的全局组加入到域本地组中,使用通用组获得多个域上资源的访问权限,当成员关系很少发生变动时使用通用组,4.6 规划活动目录的审核策略,为什么审核