ActiveDiretory全攻略(四)--建立与管理用户帐户(2)接上一节,现在来使用保存查询。如果有些搜索经常会用到,那么就可以使用保存功能,先建立保存。新建查询。输入一些信息。点击定义查询。输入一些信息。。确定后便出现如上画面。这便建好了一个查询。下面如果想在另一台电脑上利用保存的查询来查就必需执行下面步骤。点击导出查询定义保存是以XML格式的。然后在另一台计算机上导入点导入查询定义。至此结束。下面来看管理用户帐户。注意:删除帐户,系统给每个帐户一个独一无二的SID,但我们可以指派资源的访问权限给用户帐户,如果帐户被删除即使重新建立同名的帐户,系统还是会给新的SID,即是其权限会和以前不一样了,必须重新指派。,在删除帐户之前,要先确定计算机或网络中是否有该帐户加密的重要文件和域中是否已设置加密数据修复代理,若没有设置加密数据代理,而且有该帐户加密的重要文件,就要先将文件解密,不然帐户删除后就不能将文件解密了。复制帐户,同一个部门的员工,一般都隶属于相同的组,具有相同的权限,管理员不需要为同一个部门的员工建立全新的帐户,然后一一做设置,这样太辛苦了。,所以就可以先建好一位员工的帐户然后以此帐户为模板,利用复制帐户功能,复制出多个帐户。复制的时候只需要重新设置新用户的姓名,登录名称和密码,其它的设置则会延用原帐户的属性。使用权新的帐户和原来的模板帐户,都会属于相同的组,具有相同的权限。下面来重新命名帐户。点陈慧琳这个帐户。选重命名。命名为卓依婷。然后按ENTER,便出现下面的画面。重新命名帐户名是不会影响其原有的组和权限的设置的。下面新建一个组织单元,然后把帐户移动在那里。建一个组织单元名为“人事处”把陈慧琳这个帐户移进去。下面再看一下用户配置文件。除了GUEST帐户外,其它每个帐户都有自己的用户配置文件,用户配置文件由NTUSER。DAT和许多文件夹组成,保存有关用户的环境设置。,比如屏幕颜色,桌面背景等等。用户登录是加载,注销时自动更新。03有三种配置论据如下:1、本地用户配置文件:默认情况下,用户在第一次在某一台计算机登录时,系统便会在该计算机系统磁盘的DOCUMENTSANDSETTINGS文件夹中自动建立一个与帐户同名的子文件夹。然后将默认的设置文件数据复制到该文件夹中,成为该帐户本地用户的配置文件。这个文件夹是保存系统默认设置文件数据,双击它查看默认用户配置文件。用户设置文件中有关注册表数据库的部分,保存在NTUSER。DAT文件中。有一点注意一下:如果下次使用另一台计算机登录(假设从来没有用过的这台计算机),则该计算机又会自动产生该帐户的本地用户配置文件,也就是说同一个帐户的本机使用配置文件可能会存在多部计算机中。而且属性不全相同。除非做相同设置。最后,如果本地用户与域用户同名时,则本地帐户其设置文件夹为“帐户名称”。而域帐户设置为“帐户名。域名称”互不影响。2、漫游用户配置文件。要启用漫游用户设置文件,先要在网络上建立一个共享文件夹。并设置共享权限。允许所有人。建立好后,打开上面帐户的属性。填好资料,设置好文件路径后就等于启用了漫游用户配置文件,如果某个帐户是第一次使用,共享文件夹与本机中都没有其用户设置文件,则系统会复制DEFAULTUSER中的数据,先产生本地用户配置文件,当用户注销后,再将数据复制到网络上成为漫游用户配置文件。3、强制用户配置文件如果系统管理员不希望用户更改该帐户的漫游用户配置文件,就设置为强制用户配置文件。设置后虽然用户登录后仍可以更改工作环境,但注销时,变动的部分不会更新到共享文件夹的强制用户配制文件中。更改如例:打开“WIN2003guangzhoulixiaolong文件夹,将其中的NTUSER。DAT重新命名为NTUSER。MAN便可。终于搞定。。。ActiveDiretory全攻略(五)--规划和建立组简单来说,将组看成一个逻辑单位,它可以包含一组用户帐户或是其它的组,我们将权限指派给组后,任何加入这个组的对象都会拥有这个组具有的权限。域内的组,和用户帐户一样,也具有一个独一无二的SID,这些能够被赋予权限的对象(帐户或组),我们称之为安全策略。注意一下:能够指派权限的组又称为安全组,另外还有一种不能指派权限的通讯组。下面来认识下组作用域:不管是哪一个组都有其作用域,即是指派这个组的“使用范围”。1、它能够用于指派位于域或林资源的权限。2、能够放在域或林的其它组之中。3、能够包含来自域或林的用户和组。03一共有三种组作用域:1、本地域:使用范围是本域的组,叫做本地域组。本地域组可以包含三种成员:1任何域的用户帐户。2任何域的全局组。3、如果功能等级设为WINDOWS2003纯粹模式或WINDOWSSERVER2003模式,则还可以包含任何域的通用组和同域的本地域组。这可能与上定义的本地域组有些混淆。上面指的是使用范围,指的是权限范围只限于同域内的资源。也即是他们只能够享受本地哉的资源。注意一下:若组中包含其它的组(其它域区域、通用域通用组),称为组的嵌套。本地域组只限于访问同域的资源,无法访问其它域的资源。实际应用中我们会把隶属同一部门的用户组织成全局组,然后再将全局组加入本地域组中。下面再来区分一下本地组与本地域组:WIN2000/XP和域控制器外的独立服务器或者成员服务器都不会有组作用域,它们只有本地组(LOCALGROUP)。其权限范围只限于本地计算机。只有本机的资源能够指派给本地组。若客户端与独立服务器加入域中,则本地组除了可包含本地用户帐户外,还可以包含:1同域的域用户帐户,2、同域的本地域组和整个林的全局组与通用组,但是一般我们都不会使用本地组,加入域后都使用权本地域组来进行管理域内的资源。2、全局:指派权限时使用范围可涉及林,但只能够含同域的其它帐户或组。叫做全局组。全局组可包含两种成员:1、同域的用户帐户,2、若域功能等级设为WINSOWS2000纯粹模式或WINDOWSSERVER2003模式,则可包含同域的其它全局组。全局组的权限范围是整个林,也就是说,我们可以将A域资源的访问权限指派给B、C、D等域的全局组,但是在实际应用上,最好将全局组加入本地域组中而不要直接将权限指派给全局组。应用:利用本地域组与全局组来管理单一域。其规划方式称为“AGDLP”。下面举个例子:把需要相同权限的用户帐户加入同一个通用组,如将产品部门的员工加入PRODUCTS,会计部门的员工加入ACCOUNTINGS全局组中。把全局组加入本地域中,将PRODUCTS和ACCOUNTSINGS加入PRINTERS这个本地域组中。将域内资源的访问权限指派给本地域组。比如将打印机的访问权限指派给PRINTERS本地域组,则PROUDUCTS与ACCOUNTINGS就可以使用打印机了。使用删除和加入都是权限分配与否,非常方便。3、通用:使用范围涉及到整个林。叫做通用组。通用组包括三种成员:1、任何域的用户帐户,2、任何域的全局组。3、任何域的通用组。由于跨域访问资源时,会利用全局编录来查询资源所在的位置,所以不同域的全局编录彼此间需要相互复制数据,以确保数据的同步。通用组的特性会把组名称和包含的成员都发布到全局编录上,如果其成员变动,就会触发全局编录之间的复制动作,造成网络可观的负载。然而,全局组和本地域组则只有组名称会记录于全局编录,组包含的成员信息不会放在那里,所以无论其成员如何变动,都不会影响到全局编录的属性而触发复制机制。下面来看个利用通用组管理多个域。通用组存在的目的就是为了简化多域(林)的管理工作。假如:旗标公司在广州总部和梅州与湛江两个分公司,总部和各个分公司的财务人员都要能够访问彼此的财务报表,在不使用通用组时如下图。然后看下使用通用组的图:对比两图:通用组中并没有直接包含用户帐户,而是包含各域的全局组,这样就可以有效降低因全局编录间彼此复制所造成的负载。不使用通用组则必须将各个全局组加到本地域组中,才能够让所有财务人员都能够访问到各分公司财务报表,显然比较麻烦。下面给也几个利用组规划的策略:1、将资源的访问权限指派给本地域组,然后将林中的全局组或通用组加到本地域组中,以获得该项资源的访问权。2、将域内相同权限的用户帐户组织在全局中,再将全局组加入各个本地域组中。3、在多域的环境中,将相同权限的全局组组织到通用组中,然后把通用组加入各个本地域组中,尽量不要在通用组中包含用户帐户。4、组中包含其它组的嵌套不要太复杂,建议采用单层结构即可。下面来进行实战:利用组管理域新建组:这里在USERS容器中来建。填好资料。先建立一个本地域组。建好后看上面。现在来将用户加入全局组,点击PRODUCTS,属性。将李小龙这个用户加入,可以检查下名称,看输入的对不对。这里便加入了全局组。也可以在隶属于选项卡中加入组中。点击李小龙的属性可以看到加入了全局组。下面来将全局组加入本地域组点击PROUDUCTS属性。点击添加。这里是输入加入到PRINTERS本地域组中。点PRODUCTS属性可看到加入到了PRINTERS中。点击PRINTERS属性也可看到其成员是PRODUCTS。下面来看将资源访问权限指派给本地域组执行开始-打印机和传真。点击属性。点添加。输入要加入的PRINTERS组。可看见加入了组。PRINTERS组便会有了打印的权限。下面来看重新命名组。注意:更改组名后,其SID并不会变,所以此组属性对话框中的设置,和已经指派给这个组的权限都不会变。输入后按回车便出现对话框。下面来认识下组类型:03支持安全组和通讯组这两种类型。安全组和用户帐户一样,每个安全组都会有个独一无二的SID,所以我们可以直接将资源的使用权限指派给安全组。但在客户端和非域控制器的新建联系人。下面来认识下03内置组:有五种:内置本地组,内置的本地域组,内置的全局组,内置的通用组,内置的系统组。这些内置组都是事先设置好的用户权利。非域控制器的内置本地组,安装WIN2003后,系统会自动建立内置本地组,但安装AD服务成为域控制器的计算机其中所有的本地组,包含内置的本地组都会被删除。所以我们只能够在独立服务器,成员服务器等非域控制器计算机上看到内置本地组。而且是无法将它们删除的。下面看下客户端的内置本地组:工作组模式才需要本地组。下面看下内置的本地域组。在域控制器上:BUILTIN容器中的都是内置本地域组。当独立服务器和客户端加入域后,系统自动把域控制器的DOMAINADMINS全局组加入这些计算机的ADMINISTRATORS本地组,并将DOMAINUSERS全局组加入这些计算机的USERS本地组,所以域的ADMINISTRATOR可以管理这些计算机,而域中一般用户也可以登录使用这些计算机。除了内置的本地域组外,系统还会在USERS容器中产生内置的全局组与通用组,这些组本身并没有任何用户权利与权限,它们的用户权利与权限完全来自隶属的内置本地域组。所以可以直接把用户加入到这些组中,便具有内置的相应权限。内置的系统组:每台03服务器和客户端都还有一组特别的系统组,称为内置安全性主体。这些组只会在指派用户权利或设置权限时才会出现,平常看不见它。比如:点“我的文档”点添加。点高级点立即查找便可看见了。下面来看指派用户权利。在域中利用组策略编辑器来指派用户权利给组,域控制器默认会放在DOMAINCONTROLLERS组织单位中。按编辑。双霹允许在本地登录。按添加用户域组。添加成功。下面来看下指派本地的用户权利。即是在工作组中的独立服务器,必须使用“本地安全设置”双击在本地登录。按“添加用户域组”输入要添加的组。按确实即可。完成。。。