AD-02-管理域用户和组帐户

管理域用户和组帐户MCSE2003活动目录管理第二章上节内容回顾ActiveDirevtory的基本概念域功能与林功能目录分区建立域前要准备DNS域名或服务器、准备足够的硬盘空间、和一个NTFS分区。安装/删除ActiveDirectory客户机加入域本章目标掌握域用户帐户的创建和基本管理。掌握域组帐户的创建和基本管理。能够提升域功能级别了解组的使用规则，理解组的嵌套创建域用户账户管理域用户账户创建计算机账户管理计算机账户创建域组账户本章内容用户帐户Account人在社会中有名字，在计算机网络中有用户帐号用户帐户是用户在网络上的标识，每个用户都有自己的用户帐户，并被赋予使用相应资源的权限及许可用户在登录Logon时输入用户名及密码用户帐号的管理由管理员完成的帐号的管理，对资源的访问权限的管理管理员帐户也是计算机的用户，用有管理权限的用户帐户访问计算机用户帐户的类型本地用户帐号:是创建在非域控制器的“本地安全帐户数据库”内。用户可访问本计算机的内的资源。LocalUserAccounts访问本地计算机存在于本地帐户数据库中SAM（SecurityAccountManager）域用户帐号：存储在域控制器的ActiveDirectory数据库中。用户可访问整个域中的资源。DomainUserAccounts用于访问AD网络资源存在于AD数据库中AD用户帐户和计算机帐户ActiveDirectory用户帐户和计算机帐户代表物理实体，例如计算机或人。用户帐户也可用作某些应用程序的专用服务帐户。用户登录名-在同一个域中是唯一的用户主体名(UPN)-在整个林中是唯一的用户帐户和计算机帐户（以及组）也称为安全主体。安全主体是被自动指派了安全标识符(SID)（可用于访问域资源）的目录对象。用户或计算机帐户用于：验证用户或计算机的身份。用户帐户使用户能够利用经域验证后的标识登录到计算机和域。登录到网络的每个用户应有自己的唯一帐户和密码。为了获得最高的安全性，应避免多个用户共享同一个帐户。授权或拒绝访问域资源。一旦用户已经过身份验证，那么就可以根据指派给该用户的关于资源的显式权限，授予或拒绝该用户访问域资源。管理其他安全主体。ActiveDirectory在本地域中创建外部安全主体对象，用以表示信任的外部域中的每个安全主体。审核使用用户或计算机帐户执行的操作。审核有助于监视帐户的安全性。创建域用户账户管理域用户账户更改域用户账户禁用、启用账户重命名账户删除账户重设密码解除被锁定的账户DEMO一次添加多个用户帐号csvde.exe可以添加用户帐户（或其它类型的对象）但不能用它来修改或删除用户ldifde.exe可以添加、删除、修改用户帐户（或其它用户对象）域用户帐号的迁移要将DC_A上的账号迁移至DC_B可以通过：1.通过“AD迁移工具”，在安装光盘的\i386\ADMT文件夹内名为admin-ration.msi的程序完成2.通过“movetree.exe”，在安装光盘的\support\tools\suptools.msi文件夹内创建计算机账户管理计算机账户组Group组是用户和计算机帐户、联系人以及其他可作为单个单元管理的组的集合。属于特定组的用户和计算机称为组成员。使用组可同时为许多帐户指派一组公共的权限和权利，而不用单独为每个帐户指派权限和权利，这样可简化管理。组既可以基于目录，也可以在特定计算机本地。ActiveDirectory中的组是驻留在域和组织单位容器对象中的目录对象。ActiveDirectory在安装时提供了一系列默认的组，它还允许创建组。ActiveDirectoryUsersandComputersConsoleWindowHelpActiveViewTreeActiveDirectoryUsersandComputernwtraders.msftBuiltinComputersDomainControllersForeignSecurityPrincipalsUsersBuiltin9objectsNameTypeDescriptionAccountOperatorsAdministratorsBackupOperatorsGuestsPrintOperatorsReplicatorServerOperatorsUsersSecurityGroup-BuiltinLocalSecurityGroup-BuiltinLocalSecurityGroup-BuiltinLocalSecurityGroup-BuiltinLocalSecurityGroup-BuiltinLocalSecurityGroup-BuiltinLocalSecurityGroup-BuiltinLocalSecurityGroup-BuiltinLocalSecurityGroup-BuiltinLocalPre-Windows2000MemberscanadmAdministratorshavBackupOperatorsGuestshavethesAbackwardcompMemberscanadmSupportsfilereplicMemberscanadmUsersareprevent活动目录中的用户组域控制器帐号存储在域控制器中域组AD中组的作用简化管理，即为组而不是个别用户指派对共享资源的权限。这样可将相同的资源访问权指派给该组的所有成员。委派管理，即使用组策略为某个组指派一次用户权限，然后向该组添加需要其拥有与该组相同权限的成员。创建电子邮件通讯组。组具有特定的作用域和类型。组的作用域决定了组在于域或林中的应用范围。组的类型决定了可用于从共享资源指派权限（对于安全组），还是只能用作电子邮件通讯组（对于通讯组）。还有一些组，您无法修改或查看其成员身份。这些组被称为特殊标识，用于根据环境在不同时间代表不同用户。例如，Everyone组代表所有当前网络用户，包括来自其他域的来宾和用户。域组的类型安全组安全组可以被用来设置权限，例如：可以设置安全组对文件具备“读取”的权限。也可以用在与安全无关的任务上。通讯组分布式组是用在安全（权限的设置等）无关的任务上，例如，可以通过电子邮件软件将电子邮件发送给通讯组。用户无法设置通讯组的权限。也称通讯组安全组与分布式组之间的转换两种类型的组可以相互转换，不过只有在域功能级别被设置为“2000纯模式”与“Server2003”时才能转换，在“混合模式”中无法转换。注：应用程序必须支持活动目录，才可以使用通讯组。域组的作用域通用组(universalgroup)全局组(globalgroup)域本地组(domainlocalgroup)从组的作用域来看，WindowsServer2003域内的组分为以下3种：域本地组：主要用来指派在其所属域内的访问权限.能够包含任何一个域内的用户、通用组、全局组；还能够包含同一个域内的本地域组；但是，它无法包含其他域内的本地域组。只能够访问同一个域内的资源，无法访问其他不同域内的资源。只能在所属内设置使用权限。可以被换成通用组（只要此组内成员不含域本地组）全局组：主要用来组织用户。其成员能够包含与该组相同域中的用户和全局组。可以访问任何一个域中的资源。可以在所有域里设置使用权限。可以被换成通用组（只要些组不属于任何一个全局组）通用组：可以指派所有域中的访问权限，其成员能够包含整个域目录林这任何一个域内的用户、通用组、全局组。但不能包含任何一个域内的本地域组。可以访问任何一个域中的资源。在所有域（域功能级别必须是2000纯模式或是server2003）可以设置使用权限。可以被换成域本地组或是全局组（只要该组内成员不包含通用组）内置的域组内置的本地域组：内置的全局组：内置的特殊组：内置的特殊组Everyone任何一用户都属于该组。AuthenticatedUsers任何一个利用有效的用户帐户连接的用户都属于这个组。Interactive任何在本地登录的用户都属于该组。Network任何通过网络连接此计算机的用户都属于该组。CreatorOwner文件夹、文件或打印文件等资源的创建者，就是该资源的CreatorOwner（创建者/所有者）。不过，如果创建者是属于Administrators组内的成员，则其CreatorOwner为Administrators组。AnonymousLogon任何未利用有效的windowsserver2003帐户连接的用户，都属于该组。Dialup任何利用拨号方式连接的用户都属于该组。在windowsserver2003内，Everyone组内并不包含“AnonymousLogon组”特殊标识除了“Users”和“Builtin”容器中的组之外，运行WindowsServer2003的服务器还包括几种特殊标识。为方便起见，这些标识通常称为组。这些特殊组没有您可修改的特别成员身份，但是它们能根据环境在不同时间代表不同用户。这些特殊组为：AnonymousLogon代表不使用帐户名、密码或域名而通过网络访问计算机及其资源的用户和服务。在运行WindowsNT及其以前版本的计算机上，AnonymousLogon组是Everyone组的默认成员。在运行WindowsServer2003家族的成员的计算机上，默认情况下AnonymousLogon组不是Everyone组的成员。Everyone代表所有当前网络的用户，包括来自其他域的来宾和用户。无论用户何时登录到网络上，它们都将被自动添加到Everyone组。Network代表当前通过网络访问给定资源的用户（不是通过从本地登录到资源所在的计算机来访问资源的用户）。无论用户何时通过网络访问给定的资源，它们都将自动添加到Network组。Interactive代表当前登录到特定计算机上并且访问该计算机上给定资源的所有用户（不是通过网络访问资源的用户）。无论用户何时访问当前登录的计算机上的给定资源，它们都被自动添加到Interactive组。虽然可以给特殊标识指派对资源的权利和权限，但不能修改或查看其成员身份。组作用域不适用于特殊标识。无论用户何时登录或访问特殊资源，都被自动指派这些特殊标识。特殊标识(cont.)可以创建组的地方选择根据组所需要的管理能力创建组的特定域或组织单位。例如，如果域中有多个组织单位，而每一个都有不同的管理员，则可在那些组织单位中创建具有全局作用域的组，这样管理员就能在各自的组织单位中管理用户的组成员身份。如果组织单位以外的访问控制需要组，组织单位中的组可以嵌套至可在树林中的其他地方使用的具有通用作用域的组（或具有全局作用域的其他组）中。如果域功能级别被设置为Windows2000本机或更高，该域包含组织单位的层次结构并且管理被委派给每个组织单位的管理员，那么用全局作用域来嵌套组将更为有效。例如，如果组织单位OU1包含组织单位OU2和OU3，那么OU1中具有全局作用域的组可把OU2和OU3中具有全局作用域的组作为它的成员。在OU1中，管理员可从OU1添加或删除组成员，OU2和OU3的管理员可根据他们自己单元的帐户添加或删除组成员，而不需要OU1中有全局作用域的组的管理权。域组的创建与管理组的新建、删除与重命名添加组成员嵌套组通过使用嵌套，可将组添加为另一个组的成员。嵌套组可合并成员帐户并减少复制通信量。嵌套选项取决于WindowsServer2003的域功能设置为Windows2000本机还是Windows2000混合。在设置为Windows2000本机功能级别的域中的组或设置为Windows2000混合功能级别的域中的通讯组可以有下列成员：具有通用作用域的组可以有以下成员：帐户、计算机帐户、有通用作用域的其他组以及来自任何域的具有全局作用域的组。具有全局作用域的组可以有以下成员：来自相同域的帐户和来自相同域的具有全局作用域