AD-02-管理域用户和组帐户.pptVIP

1、管理域用户和组帐户,MCSE2003活动目录管理,第二章,上节内容回顾,Active Direvtory 的基本概念 域功能与林功能 目录分区 建立域前要准备DNS域名或服务器、准备足够的硬盘空间、和一个NTFS分区。 安装/删除Active Directory 客户机加入域,本章目标,掌握域用户帐户的创建和基本管理。 掌握域组帐户的创建和基本管理。 能够提升域功能级别 了解组的使用规则，理解组的嵌套,创建域用户账户 管理域用户账户 创建计算机账户 管理计算机账户 创建域组账户,本章内容,用户帐户Account,人在社会中有名字，在计算机网络中有用户帐号 用户帐户是用户在网络上的标识，每个用户

2、都有自己的用户帐户，并被赋予使用相应资源的权限及许可 用户在登录Logon时输入用户名及密码 用户帐号的管理由管理员完成的 帐号的管理，对资源的访问权限的管理 管理员帐户也是计算机的用户，用有管理权限的用户帐户访问计算机,用户帐户的类型,本地用户帐号:是创建在非域控制器的“本地安全帐户数 据库”内。用户可访问本计算机的内的资源。 Local User Accounts 访问本地计算机 存在于本地帐户数据库中SAM （ Security Account Manager ） 域用户帐号：存储在域控制器的Active Directory数据 库中。用户可访问整个域中的资源。 Domain User

3、Accounts 用于访问AD网络资源 存在于AD数据库中,AD用户帐户和计算机帐户,Active Directory 用户帐户和计算机帐户代表物理实体，例如计算机或人。用户帐户也可用作某些应用程序的专用服务帐户。 用户登录名-在同一个域中是唯一的 用户主体名(UPN)-在整个林中是唯一的 用户帐户和计算机帐户（以及组）也称为安全主体。安全主体是被自动指派了安全标识符 (SID)（可用于访问域资源）的目录对象。,用户或计算机帐户用于：,验证用户或计算机的身份。 用户帐户使用户能够利用经域验证后的标识登录到计算机和域。登录到网络的每个用户应有自己的唯一帐户和密码。为了获得最高的安全性，应避免多个

4、用户共享同一个帐户。 授权或拒绝访问域资源。 一旦用户已经过身份验证，那么就可以根据指派给该用户的关于资源的显式权限，授予或拒绝该用户访问域资源。 管理其他安全主体。 Active Directory 在本地域中创建外部安全主体对象，用以表示信任的外部域中的每个安全主体。 审核使用用户或计算机帐户执行的操作。 审核有助于监视帐户的安全性。,1,用户信息,2,3,4,5,创建域用户账户,公共管理,属性,用户信息,登录名,帐户选项,配置文件,主文件夹,拨入选项,回拨选项,添加删除,管理域用户账户,其它信息,更改域用户账户,禁用、启用账户 重命名账户 删除账户 重设密码 解除被锁定的账户,DEMO,

5、一次添加多个用户帐号 csvde.exe 可以添加用户帐户（或其它类型的对象）但不能用它来修改或删除用户 ldifde.exe 可以添加、删除、修改用户帐户（或其它用户对象） 域用户帐号的迁移 要将DC_A上的账号迁移至DC_B可以通过： 1.通过“AD迁移工具”，在安装光盘的i386ADMT文件夹内名为admin-ration.msi的程序完成 2.通过“movetree.exe”，在安装光盘的supporttoolssuptools.msi文件夹内,1,2,更改用户或组,3,4,5,6,创建计算机账户,公共管理,属性,计算机帐户信息,委派,其它信息,管理计算机账户,组Group,组是用户和

6、计算机帐户、联系人以及其他可作为单个单元管理的组的集合。属于特定组的用户和计算机称为组成员。 使用组可同时为许多帐户指派一组公共的权限和权利，而不用单独为每个帐户指派权限和权利，这样可简化管理。 组既可以基于目录，也可以在特定计算机本地。Active Directory 中的组是驻留在域和组织单位容器对象中的目录对象。Active Directory 在安装时提供了一系列默认的组，它还允许创建组。,域组,AD中组的作用,简化管理，即为组而不是个别用户指派对共享资源的权限。这样可将相同的资源访问权指派给该组的所有成员。 委派管理，即使用组策略为某个组指派一次用户权限，然后向该组添加需要其拥有与该

7、组相同权限的成员。 创建电子邮件通讯组。 组具有特定的作用域和类型。组的作用域决定了组在于域或林中的应用范围。组的类型决定了可用于从共享资源指派权限（对于安全组），还是只能用作电子邮件通讯组（对于通讯组）。还有一些组，您无法修改或查看其成员身份。这些组被称为特殊标识，用于根据环境在不同时间代表不同用户。例如，Everyone 组代表所有当前网络用户，包括来自其他域的来宾和用户。,域组的类型,安全组 安全组可以被用来设置权限，例如：可以设置安全组对文件具备“读取”的权限。也可以用在与安全无关的任务上。 通讯组 分布式组是用在安全（权限的设置等）无关的任务上，例如，可以通过电子邮件软件将电子邮件发

8、送给通讯组。用户无法设置通讯组的权限。也称通讯组 安全组与分布式组之间的转换 两种类型的组可以相互转换，不过只有在域功能级别被设置为“2000纯模式”与“Server 2003”时才能转换，在“混合模式”中无法转换。,注：应用程序必须支持活动目录，才可以使用通讯组。,域组的作用域,通用组(universal group) 全局组(global group) 域本地组(domain local group),从组的作用域来看，Windows Server 2003域内 的组分为以下3种：,域本地组：主要用来指派在其所属域内的访问权限.能够包含任何一个域内的用户、通用组、全局组；还能够包含同一个域

9、内的本地域组；但是，它无法包含其他域内的本地域组。只能够访问同一个域内的资源，无法访问其他不同域内的资源。只能在所属内设置使用权限。可以被换成通用组（只要此组内成员不含域本地组） 全局组：主要用来组织用户。其成员能够包含与该组相同域中的用户和全局组。可以访问任何一个域中的资源。可以在所有域里设置使用权限。可以被换成通用组（只要些组不属于任何一个全局组） 通用组：可以指派所有域中的访问权限，其成员能够包含整个域目录林这任何一个域内的用户、通用组、全局组。但不能包含任何一个域内的本地域组。可以访问任何一个域中的资源。在所有域（域功能级别必须是2000纯模式或是server2003）可以设置使用权限

10、。可以被换成域本地组或是全局组（只要该组内成员不包含通用组）,内置的域组,内置的本地域组： 内置的全局组： 内置的特殊组：,内置的特殊组,Everyone 任何一用户都属于该组。 Authenticated Users 任何一个利用有效的用户帐户连接的用户都属于这个组。 Interactive 任何在本地登录的用户都属于该组。 Network 任何通过网络连接此计算机的用户都属于该组。 Creator Owner 文件夹、文件或打印文件等资源的创建者，就是该资源的Creator Owner （创建者/所有者）。 不过，如果创建者是属于Administrators组内的成员，则其Creator

11、Owner 为Administrators组。 Anonymous Logon 任何未利用有效的windows server 2003帐户连接的用户，都属于该组。 Dialup 任何利用拨号方式连接的用户都属于该组。 在windows server 2003内， Everyone组内并不包含“Anonymous Logon 组”,特殊标识,除了“Users”和“Builtin”容器中的组之外，运行 Windows Server2003 的服务器还包括几种特殊标识。为方便起见，这些标识通常称为组。这些特殊组没有您可修改的特别成员身份，但是它们能根据环境在不同时间代表不同用户。这些 特殊组为： A

12、nonymous Logon 代表不使用帐户名、密码或域名而通过网络访问计算机及其资源的用户和服务。在运行 WindowsNT 及其以前版本的计算机上，Anonymous Logon 组是 Everyone 组的默认成员。在运行 Windows Server2003 家族的成员的计算机上，默认情况下 Anonymous Logon 组不是 Everyone 组的成员。 Everyone 代表所有当前网络的用户，包括来自其他域的来宾和用户。无论用户何时登录到网络上，它们都将被自动添加到 Everyone 组。,Network 代表当前通过网络访问给定资源的用户（不是通过从本地登录到资源所在的计算

13、机来访问资源的用户）。无论用户何时通过网络访问给定的资源，它们都将自动添加到 Network 组。 Interactive 代表当前登录到特定计算机上并且访问该计算机上给定资源的所有用户（不是通过网络访问资源的用户）。无论用户何时访问当前登录的计算机上的给定资源，它们都被自动添加到 Interactive 组。 虽然可以给特殊标识指派对资源的权利和权限，但不能修改或查看其成员身份。组作用域不适用于特殊标识。无论用户何时登录或访问特殊资源，都被自动指派这些特殊标识。,特殊标识 (cont.),可以创建组的地方,选择根据组所需要的管理能力创建组的特定域或组织单位。例如，如果域中有多个组织单位，而每

14、一个都有不同的管理员，则可在那些组织单位中创建具有全局作用域的组，这样管理员就能在各自的组织单位中管理用户的组成员身份。如果组织单位以外的访问控制需要组，组织单位中的组可以嵌套至可在树林中的其他地方使用的具有通用作用域的组（或具有全局作用域的其他组）中。 如果域功能级别被设置为 Windows2000 本机或更高，该域包含组织单位的层次结构并且管理被委派给每个组织单位的管理员，那么用全局作用域来嵌套组将更为有效。例如，如果组织单位 OU1 包含组织单位 OU2 和 OU3，那么 OU1 中具有全局作用域的组可把 OU2 和 OU3 中具有全局作用域的组作为它的成员。在 OU1 中，管理员可从

15、OU1 添加或删除组成员，OU2 和 OU3 的管理员可根据他们自己单元的帐户添加或删除组成员，而不需要 OU1 中有全局作用域的组的管理权。,域组的创建与管理,组的新建、删除与重命名 添加组成员,嵌套组,通过使用嵌套，可将组添加为另一个组的成员。嵌套组可合并成员帐户并减少复制通信量。嵌套选项取决于 Windows Server2003 的域功能设置为 Windows2000 本机还是 Windows2000 混合。 在设置为 Windows2000 本机功能级别的域中的组或设置为 Windows2000 混合功能级别的域中的通讯组可以有下列成员： 具有通用作用域的组可以有以下成员：帐户、计算

16、机帐户、有通用作用域的其他组以及来自任何域的具有全局作用域的组。 具有全局作用域的组可以有以下成员：来自相同域的帐户和来自相同域的具有全局作用域的其他组。 具有本地域作用域的组可以有以下成员：所有来自任何域的帐户、具有通用作用域的组以及具有全局作用域的组。该组还可将来自相同域中的具有本地域作用域的其他组作为其成员。,嵌套组(cont.),在设置为 Windows2000 混合功能级别的域中的安全组仅限于如下类型的成员身份： 具有全局作用域的组只将帐户作为其成员。 具有本地域作用域的组把具有全局作用域的其他组和帐户作为其成员。 在其域功能级别设置为 Windows2000 混合的域中不能创建具有

17、通用作用域的安全组，因为只有在域功能级别设置为 Windows2000 本机或 Windows Server2003 的域中才支持通用作用域。,提升域功能级别,在域控制器上执行操作：“开始”“管理工具” “Active Directory用户和计算机” 右击域名称“提升域功能级别” 注意：1.域功能级别的提升是单方向操作，即只能往上提，不能往下降。 2.改变域功能级别后，这个更新信息会自动复制到所有DC，不过可能需要15秒或更长的时间。,在单域中使用组的策略A-G-DL-P,Add,A,G,Domain Local Group,DL,Add,P,Global Group,User Accoun

18、ts,Assign,AGDLP Strategy for Groups in a Domain,使用组的策略,本章总结,用户帐户是用户在网络上的标识，每个用户都有自己的用户帐户，并被赋予使用相应资源的权限及许可。 用户帐户的类型包括：本地用户帐户、域用户帐户。 Active Directory 用户帐户和计算机帐户代表物理实体，也可用作某些应用程序的专用服务帐户。 用户帐户和计算机帐户（以及组）也称为安全主体。安全主体是被自动指派了安全标识符 (SID)（可用于访问域资源）的目录对象。 用户或计算机帐户在AD中的作用有：验证用户或计算机的身份、授权或拒绝访问域资源、管理其他安全主体、审核使用用户或计算机帐户执行的操作。,组是