《域用户帐户和组的管理.docx》由会员分享,可在线阅读,更多相关《域用户帐户和组的管理.docx(17页珍藏版)》请在三一办公上搜索。
1、域用户帐户和组的管理域用户帐户和组的管理(以下操作均在Windows Server 2003系统中实现,客户端也是使用2003来模 拟,和实际中客户端使用的XP操作系统可能会有所不同)很多企业都会用到域环境来实现管理,域的实际应用非常广泛。下面我们讲解在 域环境下如何管理用户帐户和组。在讲解过程中我们会涉及到用户帐户、计算机 帐户、组和OU等对象。一、域用户帐户的特点和本地用户帐户不同,域用户帐户保存在活动目录中。由于所有的用户帐户都集 中保存在活动目录中,所以使得集中管理变成可能。同时,一个域用户帐户可以 在域中的任何一台计算机上登录(域控制器除外),用户可以不再使用固定的计 算机。当计算机
2、出现故障时,用户可以使用域用户帐户登录到另一台计算机上继 续工作,这样也使帐号的管理变得简单。附注:在工作组环境中,所有计算机是独立的,要让用户能够登录到计算机并使用计 算机的资源,必须为每个用户建立本地用户帐户。同时,为了方便实现用户对网 络资源的访问权限,我们可以使用本地组来实现。本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机; 本地用户帐户保存在本地计算机;本地用户若需要访问其它计算机,需要在其它 计算机上有相应的用户帐户以便进行身份验证。二、管理工具要对域中的用户和计算机等对象进行管理,我们要使用Active Directory用 户和计算机”管理工具。该工具在我
3、们安装了活动目录后会被添加到管理工具中, 我们可以在管理工具里找到它。北riarctarr闭户由il 乩勒.KE*I 七1 in I1鲤|用二11打1ATtSU- ! 一。*必Js地占也 Tni。物志司由烂商笙曰普革肖曲c) SHl= t) *四 (;) #lt也 j T 回国而 叮 应_既隹- cj ft :.i Dirulu-. H:fl n; I inrUMUUO*ERB?J:I2)hrt村曾用尸粕;|林靛Au Li*戚住关霖hdi ri DtifiakttY 折点.称艮芷险Ui.dor AKAft HIT Pifhkfftfirf I 1 配苴V JU qg艮 H37 F= UaT3E
4、JL I . J ffl-5叶I HE希曰祖而庖荷旨5=,蝴做MSW荷希律辰叔攻若谭EMD巨苗M碧平由腴I邮点零垒gK在制丽武踏畸rSHASU书/女日网岬蜀眼靠如明牛担I?费&B挥WK弟邸瑚1.-lai xi也乂, ffl N;J&-I - I Ml_ 5 3打开后如图所示,在窗口的左边,可以看到我们创建的域。按左边的“ + ”号展 开该域户TLn|ra e2 1皂睨 v蜀Iffd ME饨Mir*coy且仁仕1苴814 55 T取棘14 _诉-扫心3牌:1M 1H十ib ccr :1 U UlZI LLLUfllllWLJLJ JPirnfrRirsDffdul tKk1.ifei.nriT
5、to.|J b H UTi Ep.如JfrrTTl f atJ. kEZCD-tk LD.-V-f-9.jKtcrii fxUt.帝!KlJtA4aL L亡lDlElcuOjto.司11口而 3Dp-fsml t厦网 “in*rfnB |_| 阮 口153 |_| WDUCEtTG国 M Dfojn Cwitr ftlltrsH |_| Feej f-Seesr iri-j:spi-B |_J VEt Sjj寸自户E 成 可*上.司-g itfr.ui展开后可以找到“ users ”管理单元,点击后在右边就可以看到一些内置的用户 帐号和组。当系统安装了活动目录后,原来的本地用户和组帐号都没有了
6、,这些 对象会变成域用户帐号和域本地组,并被放在该“users”管理单元内。-151 斜F iJi=.ti -冬飞陌育71 = 11.1 马m(jpE El| F MR:% 3 毛苔 E7?翎 Iff.-.- * -ii- -T? J.-ll- | * ”; L_i m门吧匚 a B LJ Cr-iI-l|-| IJ Tc|3!UtaE-X id DEflun rwulrolluiBCJr WJ gSuL *J L 旧L* LLUZf d.二iMirs IT 个:It鬻fl f.:BiTii Tlrvt ivrL ZuULxJiii: X箜 mmin$ ffllt.TVp: 夜Lg&Lfr?r
7、G-a7-ASlhSiCMpatiritl Iuj 。3皂侦EL U1IEhcvinsQjOtQRjp Fci Ler t rn iklr 0nHi 鑫如饵t fljti alpf arvL =*c.- dnry 西心 j! IA5 M fPSrhriw Artaini: 或mt 艰r盼沁 僵 T elnc-tCli -b.ts:nj:.HEd.-ITiLI皿闩:心%-r,:i -.口取 项王以-* T I: 1 - f 互主以-Atu T-t F 幕至-53M - IBS任方至弓-三崎Ar玉圭日-W吐亦 -T-! H 5.X 童主也-迥用 W%-己:| -.做:岸迷se-HJiL-riSEt
8、tzP就睡me也mT褂;工悖j小T53 tyffsui知惜Xli但P的如:ICF- (:&.Bl ASJCTGIfljl.务靠 侦4用;言域停财照 iSFfi&i+A主瞬鼻疝替由屋密祥3中的皿可叫停革栩爬羌勇 横牙15场河计15W谊元妣I回 炸册和*中心怛起呻的1E&留可网M.手尸.柴件1打建获雄甘虎月遮燃弓*段帛WJ5IM普翘焯- 孝知自疝田口由HLLS心j萄.三、OU (组织单位)在域中有很多的对象,包括用户帐户、组、共享文件夹和共享打印机等。这些对 象都是集中存储在活动目录中并使用“AD用户与计算机”管理工具来进行管理。 但如果这些大量的对象都放在“users”管理单元内进行管理,会带来
9、一定的不 便,例如不便于查找、难于设置策略等。所以为了更好的组织和管理这些对象,引入的“OU”的概念。OU又叫组织单位, 它是一个容器,主要的作用就是用来组织和管理这些对象的。为了便于日后的管 理,我们一定的设计好OU的结构。OU结构的划分有几种不同的方法,例如:按对象类型来划分。该划分方法是创建几个OU,不同的OU放不同的对象,比如 一个OU放用户帐户,另一个OU放计算机帐户等;按企业的组织结构来划分。方法是为不同的部门创建不同的OU,把属于每个部 门的对象都放在一个OU里,比如财务部的OU放财务部的用户帐户、财务部的计 算机帐户和组等,而业务部的OU放业务部的用户帐户、业务部的计算机帐户和
10、 组等。这是一种常用的方法;按地区来划分。该方法主要用在有分支机构的企业,分别为不同的分支机构创建 不同的OU,然后把属于该分支机构的所有对象都放在相应的OU里。比如一个企 业有广州总公司、上海分公司和北京分公司,那么就分别为这三个分公司建立三 个OU,一个OU放广州总公司的对象,一个放上海分公司的对象,还有一个放北 京分公司的对象;混合划分方法。该方法是按组织结构划分和按地区划分两种方法的结合,先为不 同分支机构创建OU,再在不同的分支机构的OU里按组织结构来创建子OU。这也 是一种常用的方法。要创建一个OU,在“AD用户和计算机”管理工具里右击域名,在弹出的快捷菜 单中选择新建,在子菜单中
11、选择“组织单位”在“新建对象-组织单位”对话框中输入组织单位的名称,例如:XXX公司按“确定”后完成了一个OU的创建要在该OU里创建子OU,右击该OU,同样在弹出的快捷菜单中选择新建组织 单位,分别为不同的部门创建不同的OU,完成后如下图所示四、为用户创建帐户要在OU里为域用户创建用户帐户,右击一个OU,在弹出的快捷菜单中选择“新 建”,并在子菜单中选择“用户”在出现的“新建对象-用户”对话框中,为用户分别输入“姓”和“名”,并 在“用户登录名”中输入用户用来登录系统的登录名,该登录名和电子邮件的地 址非常象,如:。前面的姓名是用户的显示名,显示名在同一个OU里必须是唯 一的,而用户的登录名在
12、同一个域里必须是唯一的。按下一步后进入另一个对话框,该对话框要求为域用户输入一个初始密码,并确 保勾选“用户下次登录时须更改密码”选项。下一步后按“完成”按钮完成用户帐户的创建。创建在:abc.匚她微软公司J财募部您单击“完成后,下列对貌将被创建:全称:张三.用 户专录: : zti:=LTLprE:TLNaE 1:. com 用户下次登录时须、史改密码-上一步1匚二完成二职消五、限制用户能登录的计算机在域环境下,一个域用户帐户默认是可以登录到域中任意一台计算机的(DC除 外),这样为用户提供了方便。因为假设用户正在使用的计算机出现故障了,需 要维修,那么该用户可以用他自己的域用户帐户在其它计
13、算机上登录域,继续完 成自己未完成的工作,继续使用域中的资源而不会受到影响,但工作组却没有提 供这样的方便。但是如果我们需要限制用户只能使用某些计算机来登录域,那么可以通过设置用 户帐户的属性来实现。打开要进行限制的用户帐户的属性,找到“帐户”选项卡,点击“登录到”按钮在打开的“登录工作站”对话框中,可以看到默认的设置是用户可以登录到“所 有计算机”,要进行限制,选择“下列计算机”单选按钮,并在“计算机名”文 本框内输入只允许用户在其上登录的计算机名并点击“添加”按钮。如果有必要, 可以添加多台计算机。完成后,该用户只能在指定的计算机上登录,而不能在未指定的计算机上登录到 域。六、限制用户登录
14、域的时间在默认设置下,域用户可以在任何时间登录到域,但如果想限制用户只能在某些 时间才允许登录到域,而其它时间不能登录到域,比如说公司规定只有在星期一 到五的8: 00到18: 00这段时间可以登录到域,而其它时间不能登录到域,则 可以通过设置用户帐户的属性来实现。打开用户帐户的属性对话框,找到“帐户”选项卡,点击“登录时间.”按钮在打开的“ XX的登录时间”对话框中,选定特定的时间段,并选择“允许登录” 或“拒绝登录”,确定。七、设置漫游配置文件1、什么是配置文件:配置文件是用于保存特定用户工作环境的特殊文件(一组文件)。用户工作环境 包括:用户的桌面设置、应用程序设置、用户的“我的文档”、
15、收藏夹、开始菜 单、临时文件等设置。每个用户都有属于自己的配置文件。当一个用户在一台计 算机上登录后,默认在计算机的C:盘下有一个“Documents and Settings”文 件夹,该文件夹用于保存用户的配置文件,每个用户都在该文件夹里有一个和自 己用户名同名的子文件夹,该子文件夹保存的就是该用户的配置文件。2、为什么要用漫游配置文件:如果用户需要经常在不同的计算机上登录,那么每在一台计算机登录,该计算机 就会为该用户建立一个配置文件,多台计算机意味着该用户有多个配置文件,这 样可能会出现这样一种情况:用户“U1”在计算机“C1”登录,然后在“我的文 档”里保存了一个文件“F1”,然后该
16、用户注销后在计算机“C2”登录,可是当 用户打开“我的文档”时却找不到他的文件“F1”。这是因为在不同的计算机上 用户的配置文件并不一致,该用户只能回到计算机“C1”的登录才可以找回自己 的文件“ F1”。另外,用户在“桌面”或“我的文档”里保存的所有文件实际上是保存在本地计 算机里,数据的备份是需要由用户自己来完成的。然而,并不是所有用户都知道“什么是备份”? “如何备份”?3、漫游配置文件的优点:漫游配置文件是指把用户的配置文件集中存放在网络中的某个专用服务器中(文 件服务器),当用户登录时,系统会自动去寻找该服务器,并找到属于该用户的 配置文件,然后加载。这时,无论用户在什么地方登录,该
17、用户都可以使用同一 个配置文件,不会出现上述的问题,在任何一台计算机登录所获得的工作环境都 是一样的。同时,由于所有用户的配置文件集中保存在同一台服务器中,所以也 方便了管理员进行集中的备份,保证数据的安全。4、为用户设置漫游配置文件首先要找一台专用的文件服务器,在该服务器中建立一个文件夹并共享,共享权 限设置everyone写入权限。然后选择一个用户,打开属性对话框,找到“配置文件”选项卡。在“配置文件 路径”中填入上面建立的共享文件夹的UNC路径,并在该路径后跟该用户的用户 名,以便于把该用户的配置文件存放在以用户名命名的子文件夹里。确定。这时该用户在域中任一台计算机上登录,该用户的工作环
18、境都是一样的。八、用户主文件夹用户主文件夹是用于给用户保存文件的主要的地方。用户可以在“桌面”、“我 的文档”和本地磁盘中保存数据,但当用户经常需要在不同的计算机上登录时, 用户的文件可能会分散保存在不同的地方,对用户使用造成不便,同时也不利于 对数据进行备份。当用户计算机出现故障时,也有可能会造成用户数据的丢失。 主文件夹是在一台专用的服务器中,类似于上面的“漫游配置文件”中的文件夹, 用户的所有数据都可以保存在主文件夹里,好处是用户在任何一台计算机上登录 都可以找到自己的文件,不用担心用户计算机的故障会造成数据的丢失,方便管 理员对数据进行集中备份等。为用户设置主文件夹的方法和设置漫游配置
19、文件的方法差不多,也要先在一台专 用的文件服务器上建立一个共享文件夹,并开放everyone写入权限,然后在用 户属性对话框中找到“配置文件”选项卡,选中“连接”,选择一个驱动器符号, 在“到:”处写入共享文件夹的路径,并在该路径后加上该用户的用户名。确定, 完成。当该用户登录后,在“我的电脑”里会多出一个“网络驱动器”,该网络驱动器 就是刚才我们建立的用户主文件夹。用户把自己的文件保存到该网络驱动器里 时,实际上是保存在那台专用的文件服务器中。九、组的管理在域中,组的类型有两种,分别是“安全组”和“通讯组”。安全组即可以设置 权限,也可以收发电子邮件;而通讯组不能设置权限,只能收发电子邮件。
20、根据组的作用范围不同,组又分为“本地域组”、“全局组”和“通用组”三种。本地域组:作用范围是该组所在的域内,可以包含的成员包括:所有域的用户帐 户、全局组、通用组,以及本域的域本地组。全局组:作用范围是所有受信任的域,可以包含的成员有:本域的用户帐户和全 局组。通用组:作用范围是所有受信任的域,可以包含的成员有:所有域的用户帐户、 全局组和通用组。要新建组,右击某个OU,选择“新建”-“组”在出现的对话框中输入组的名称,选择组的类型和作用范围,确定即可。(注: 只有域功能模式在2000或2003模式才能新建通用组)要提升域功能级别,右击域名,在出现的菜单中选择“提升域功能级别”在弹出的“提升域
21、功能级别”对话框中,可以看到当前的域功能级别,然后在下 面的下拉列表中选择一个合适的域功能级别,确定。(域功能级别提升后不能返 回,是单向的操作)2d域名::bc. corn当前域功能级别:Windows 2000 豌模式洗卷一个可印的域呼船姐即Ci :|tfind&WE Server 2003提升域功能奴别的操作是不用逆的-有关更洛域功能瓠别的详蛔信息诘单击q 拓帮助叫-虎升I 股消 I帮助(W创建了组以后,就可以把相应的用户帐号或某些组加入到组里以方便赋予权限。十、使用组的策略在域环境下使用组,一般遵循AGDLP规则,另外还有AGGDLP、AGUDLP、AGGUDLP 等规则。以最常用的A
22、GDLP规则为例介绍一下用法:A-用户G-全局组DL-本地域组P-权限AGDLP是指把用户帐号加入全局组,把全局组加入本地域组,然后对本地域组设 置权限。为什么不把用户帐户加入全局组,然后直接对全局组设置权限?或者把用户加入 本地域组,然后直接对本地域组设置权限?1、把用户加入全局组,然后直接对全局组设置权限该方法的缺点是:由于全局组只能包括本域的用户和全局组,如果需要设置其它 域的用户的权限,则必需要单独设置,如果有多个全局组,则设置权限也要设置 多次。2、把用户加入本地域组,然后直接对本地域组设置权限该方法的缺点是:由于本地域组的作用范围是本地域,如果用户需要访问其它域 的资源,则需要重新为该用户设置权限,如果有多个用户,则要分别设置多次。