項目3 管理域用戶賬戶和組

1、Windows Windows ServerServer 項目項目3 3 管理域用戶賬戶和組管理域用戶賬戶和組楊云 主編活動目錄企業(yè)應(yīng)用活動目錄企業(yè)應(yīng)用（微課版）（微課版） 項目背景項目背景當(dāng)安裝完操作系統(tǒng)并完成操作系統(tǒng)的環(huán)境配置后，管理員應(yīng)規(guī)劃一個安全的網(wǎng)絡(luò)環(huán)境，為用戶提供有效的資源訪問服務(wù)。Windows Server 2012 R2通過建立賬戶（包括用戶賬戶和組賬戶）并賦予賬戶合適的權(quán)限，保證使用網(wǎng)絡(luò)和計算機(jī)資源的合法性，以確保數(shù)據(jù)訪問、存儲和交換服從安全需要。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識項目背景項目背景如果是單純工作組模式的網(wǎng)絡(luò)，需要使用“計算機(jī)管理”工具來管理

2、本地用戶和組；如果是域模式的網(wǎng)絡(luò)，則需要通過“Active Directory管理中心”和“Active Directory用戶和計算機(jī)”工具管理整個域環(huán)境中的用戶和組。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識項目目標(biāo)項目目標(biāo)1理解管理域用戶賬戶2掌握一次同時添加多個用戶賬戶3 掌握管理域組賬戶管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識4.1 相關(guān)知識相關(guān)知識域系統(tǒng)管理員需要為每一個域用戶分別建立一個用戶賬戶，讓他們可以利用這個賬戶來登錄域、訪問網(wǎng)絡(luò)上的資源。域系統(tǒng)管理員同時也需要了解如何有效利用組，以便高效地管理資源的訪問。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相

3、關(guān)知識域系統(tǒng)管理員可以利用Active Directory管理中心或Active Directory用戶和計算機(jī)管理控制臺來建立與管理域用戶賬戶。當(dāng)用戶利用域用戶賬戶登錄域后，便可以直接連接域內(nèi)的所有成員計算機(jī)，訪問有權(quán)訪問的資源。換句話說，域用戶在一臺域成員計算機(jī)上成功登錄后，當(dāng)他要連接域內(nèi)的其他成員計算機(jī)時，并不需要再登錄到被訪問的計算機(jī)，這個功能被稱為單點(diǎn)登錄。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識在服務(wù)器還沒有升級成為域控制器之前，原本位于其本地安全數(shù)據(jù)庫內(nèi)的本地賬戶，會在升級為域控制器后被轉(zhuǎn)移到AD DS數(shù)據(jù)庫內(nèi)，并且是被放置到Users容器內(nèi)的，您可以通過Active

4、 Directory管理中心來查看，如圖3-1中所示（可先單擊上方的樹視圖圖標(biāo)），同時這臺服務(wù)器的計算機(jī)賬戶會被放置到圖中的組織單位Domain Controllers內(nèi)。其他加入域的計算機(jī)賬戶默認(rèn)會被放置到圖中的容器Computers內(nèi)。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識圖3-1 Active Directory管理中-樹視圖您也可以通過Active Directory用戶和計算機(jī)來查看，如圖3-2所示。圖3-2 Active Directory用戶和計算機(jī) 只有在建立域內(nèi)的第1臺域控制器時，該服務(wù)器原來的本地賬戶才會被轉(zhuǎn)

5、移到AD DS數(shù)據(jù)庫，其他域控制器原有的本機(jī)賬戶并不會被轉(zhuǎn)移到AD DS數(shù)據(jù)庫，而是被刪除。4.1.1 規(guī)劃新的用戶賬戶規(guī)劃新的用戶賬戶 遵循以下規(guī)則和約定可以簡化賬戶創(chuàng)建后的管理工作。 1、命名約定 賬戶名必須唯一：本地賬戶必須在本地計算機(jī)上唯一。 賬戶名不能包含以下字符：* ; ? / : | = , + 賬戶名最長不能超過20個字符管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識 2 、密碼原則 一定要給Administrator賬戶指定一個密碼，以防止他人隨便使用該賬戶。 確定是管理員還是用戶擁有密碼的控制權(quán)。用戶可以給每個用戶賬戶指定一個唯一的密碼，并防止其他用戶對其進(jìn)行更改，也

6、可以允許用戶在第一次登錄時輸入自己的密碼。一般情況下，用戶應(yīng)該可以控制自己的密碼。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識 密碼不能太簡單，應(yīng)該不容易讓他人猜出。 密碼最多可由128個字符組成，推薦最小長度為8個字符。 密碼應(yīng)由大小寫字母、數(shù)字以及合法的非字母數(shù)字的字符混合組成，如“P$word”。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識4.1.2 創(chuàng)建組織單位與域用戶賬戶創(chuàng)建組織單位與域用戶賬戶 可以將用戶賬戶創(chuàng)建到任何一個容器或組織單位內(nèi)。下面先建立名稱為“網(wǎng)絡(luò)部”的組織單位，然后在其內(nèi)建立域用戶賬戶Rose、Jhon、Mike、Bob、Alice。 創(chuàng)建組織單位網(wǎng)

7、絡(luò)部的方法為：【開始管理工具選擇Active Directory管理中心（或Active Directory用戶和計算機(jī)）選中域名并單擊右鍵新建組織單位如圖3-3所示輸入組織單位名稱“網(wǎng)絡(luò)部”】，然后單擊【確定】按鈕。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識圖3-3 在“Active Directory管理中心”創(chuàng)建組織單位注意：圖中默認(rèn)已經(jīng)勾選“防止意外刪除”，因此您無法將此組織單位刪除，除非取消勾選此選項。若是使用Active Directory用戶和計算機(jī)：【選擇“查看”菜單高級功能選中此組織單位并單擊右鍵屬性如圖3-4所示

8、取消勾選“對象”選項卡下的“防止對象被意外刪除”。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識 在組織單位“網(wǎng)絡(luò)部”內(nèi)建立用戶賬戶Rose的方法為：【選中組織單位“網(wǎng)絡(luò)部”并單擊右鍵新建用戶】。注意域用戶的密碼默認(rèn)需要至少7個字符，且不可包含用戶賬戶名稱（指用戶SamAccountName）或全名，至少要包含AZ、a-z、09、非字母數(shù)字（例如！、$、%）4組字符中的3組。圖3-4 “組織單位網(wǎng)絡(luò)部”屬性4.1.3 用戶登錄賬戶用戶登錄賬戶 域用戶可以到域成員計算機(jī)上（域控制器除外）利用兩種賬戶來登錄域它們分別是圖3-5中的用戶UPN登錄與用戶SamAccountName登錄。一般的域

9、用戶默認(rèn)是無法在域控制器上登錄的（AliceAlice用戶用戶是在是在“Active DirectoryActive Directory管理中心管理中心”控制臺打開控制臺打開的的）。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識圖3-5 Alice域賬戶屬性管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識 用戶UPN登錄：UPN（User Principal Name）的格式與電子郵件賬戶相同，如圖3-5中的A，這個名稱只能在隸屬于域的計算機(jī)上登錄域時使用（如圖3-6所示）。在整個林內(nèi)，這個名稱必須是唯一的。請在MS1成員服務(wù)器上登

10、錄。圖3-5用戶UPN登錄管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識圖3-7 用戶SamAccountName登錄 UPN并不會隨著賬戶被移動到其他域而改變，舉例來說，用戶Alice的用戶賬戶位于 域內(nèi)，其默認(rèn)的UPN為A，之后即使此賬戶被移動到林中的另一個域內(nèi)，例如域，其UPN仍然是A，并沒有被改變，因此Alice仍然可以繼續(xù)使用原來的UPN登錄。 用戶SamAccountName登錄：如圖3-5中的longAlice，這是舊格式的登錄賬戶。Windows 2000之前版本的舊客戶端需要使用這種格式的名稱來登錄域。在隸屬于域的Windows 2000（含）之后的計算機(jī)上也可以采用這

11、種名稱來登錄，如圖3-7所示。在同一個域內(nèi)，這個名稱必須是唯一的。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識 4.1.4 創(chuàng)建創(chuàng)建UPN的后綴的后綴 用戶賬戶的UPN后綴默認(rèn)是賬戶所在域的域名，例如用戶賬戶被建立在域內(nèi)，則其UPN后綴為。在下面這些情況下，用戶可能希望能夠改用其他替代后綴。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識 因UPN的格式與電子郵件賬戶相同，故用戶可能希望其UPN可以與電子郵件賬戶相同，以便讓其無論是登錄域或收發(fā)電子郵件，都可使用一致的名稱。 若域樹狀目錄內(nèi)有多層子域，則域名會太長，例，故UPN后綴也會太長，這將造成用戶在登錄時的不便。 我們可以通過

12、新建UPN后綴的方式來讓用戶擁有替代后綴，步驟如下。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識 單擊左下角的開始圖標(biāo)管理工具Active Directory域和信任關(guān)系如圖3-8所示單擊Active Directory域和信任關(guān)系后,單擊上方的屬性圖標(biāo)。圖3-8 Active Directory域和信任關(guān)系管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識 在圖3-9中輸入替代的UPN后綴后單擊【添加】按鈕并單擊【確定】按鈕。后綴不一定是DNS格式，例如可以是，也可以是smile。圖3-9 添加UPN后綴管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識 完成后，您就可以通過Ac

13、tive Directory管理中心（或Actwe Directory用戶和計算機(jī)）管理控制臺來修改用戶的UPN后綴，此例修改為“smile”，如圖3-10所示。請在成員服務(wù)器“MS1”上以alicesmile登錄域，看是否登錄成功。圖3-10 修改用戶UPN登錄管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識4.1.5 域用戶賬戶的一般管理域用戶賬戶的一般管理 一般管理工作是指重設(shè)密碼、禁用（啟用）賬戶、移動賬戶、刪除賬戶、更改登錄名稱與解除鎖定等。您可以如圖3-11所示單擊想要管理的用戶賬戶（例如圖中的Alice），然后通過右側(cè)的選項來設(shè)置。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組

14、相關(guān)知識 圖3-11 Active Directory管理中心管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識 重置密碼：當(dāng)用戶忘記密碼或密碼使用期限到期時，系統(tǒng)管理員可以利用此處為用戶設(shè)置一個新的密碼。 禁用賬戶（或啟用賬戶）：若某位員工因故在一段時間內(nèi)無法來上班的話，此時您可以先將該員工的賬戶禁用，待該員工回來上班后，再將其重新啟用即可。若用戶賬戶已被禁用，則該用戶賬戶圖形上會有一個向下的箭頭符號（例如圖3-11中的用戶mike）。 移動賬戶：您可以將賬戶移動到同一個域內(nèi)的其他組織單位或容器。 重命名：重命名以后（可通過【選中用戶賬戶并單擊右鍵屬性】的方法），該用戶原來所擁有的權(quán)限與組

15、關(guān)系都不會受到影響。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識 刪除賬戶：若這個賬戶以后再也用不到的話，就可以將此賬戶刪除當(dāng)您將賬戶刪除后，即使再新建一個相同名稱的用戶賬戶，此新賬戶也不會繼承原賬戶的權(quán)限與組關(guān)系，因?yàn)橄到y(tǒng)會給予這個新賬戶一個新的SID，而系統(tǒng)是利用SID來記錄用戶的權(quán)限與組關(guān)系的，不是利用賬戶名稱，因此對系統(tǒng)來說，這是兩個不同的賬戶，當(dāng)然就不會繼承原賬戶的權(quán)限與組關(guān)系。 解除被鎖定的賬戶：可以通過組策略管理器的賬戶策略來設(shè)置用戶輸入密碼失敗多少次后，就將此賬戶鎖定，而系統(tǒng)管理員可以利用下面方法來解除鎖定：【雙擊該用戶賬戶單擊圖3-12中的解鎖賬戶（賬戶被鎖定后才會有

16、此選項）】。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識 圖3-12 Active Directory管理中心-bob賬戶管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識4.1.6 設(shè)置域用戶賬戶的屬性設(shè)置域用戶賬戶的屬性 每一個域用戶賬戶內(nèi)都有一些相關(guān)的屬性信息，例如地址、電話與電子郵件地址等，域用戶可以通過這些屬性來查找AD DS數(shù)據(jù)庫內(nèi)的用戶，例如通過電話號碼來查找用戶，因此為了更容易地找到所需的用戶賬戶，這些屬性信息應(yīng)該越完整越好。我們將通過Active Directory管理中心來介紹用戶賬戶的部分屬性，請先雙擊要設(shè)置的用戶賬戶Alice。管理域用戶賬戶和組相關(guān)知識管理域

17、用戶賬戶和組相關(guān)知識1組織信息的設(shè)置 組織信息就是指顯示名稱、職務(wù)、部門、地址、電話、電子郵件、網(wǎng)頁等，如圖3-13中的組織節(jié)點(diǎn)所示，這部分的內(nèi)容都很簡單，請自行瀏覽這些字段。圖3-13 Active Directory管理中心-Alice賬戶-組織信息管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識2賬戶過期的設(shè)置 如圖3-14所示，通過賬戶節(jié)點(diǎn)內(nèi)的賬戶過期來設(shè)置賬戶的有效期限，默認(rèn)為“永不過期”，若要設(shè)置過期時間，請單擊結(jié)束日期，然后輸入格式為yyyy/m/d的過期日期即可。圖3-14 Active Directory管理中心-Alice賬戶-賬戶過期管理域用戶賬戶和組相關(guān)知識管理域用

18、戶賬戶和組相關(guān)知識3登錄時段的設(shè)置 登錄時段用來指定用戶可以登錄到域的時間段，默認(rèn)是任何時間段都可以登錄域，若要改變設(shè)置，請單擊圖3-15中的登錄小時，然后通過登錄小時數(shù)對話框來設(shè)置。圖中橫軸每一方塊代表一個小時，縱軸每一方塊代表一天，填滿方塊與空白方塊分別代表允許與不允許登錄的時間段，默認(rèn)開放所有的時間段。選好時段后單擊允許登錄或拒絕登錄來允許或拒絕用戶在上述時間段登錄。下例我們允許Alice在工作時間：周一到周五8:00到18：00登錄。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識圖3-14 Active Directory管理中心允許Alice在工作時間登錄管理域用戶賬戶和組相關(guān)

19、知識管理域用戶賬戶和組相關(guān)知識4.1.6 設(shè)置域用戶賬戶的屬性設(shè)置域用戶賬戶的屬性 一般域用戶默認(rèn)可以利用任何一臺域成員計算機(jī)（域控制器除外）來登錄域，不過我們也可以通過下面方法來限制用戶只可以利用某些特定計算機(jī)來登錄域：【單擊圖3-16中的登錄到在圖中選中下列計算機(jī)輸入計算機(jī)名稱后單擊“添添加加”按鈕】，計算機(jī)名稱可為NetBIOS名稱（例如ms1）或DNS名稱（例如）。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識圖3-14 Active Directory管理中心允許Alice只能在ms1上登錄管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識4.1.7 在域控制器間進(jìn)行數(shù)據(jù)復(fù)制

20、在域控制器間進(jìn)行數(shù)據(jù)復(fù)制 若域內(nèi)有多臺域控制器（比如，DC1、DC2、DC3），則當(dāng)您修改AD DS數(shù)據(jù)庫內(nèi)的數(shù)據(jù)時，例如利用Active Directory管理中心（或Acti,ve Directory用戶和計算機(jī)）來新建、刪除、修改用戶賬戶或其他對象，則這些變更數(shù)據(jù)會先被存儲到您所連接的域控制器，之后再自動被復(fù)制到其他域控制器。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識 如圖3-15所示，選中域名，并單擊右鍵更改域控制器當(dāng)前域控制器，出現(xiàn)當(dāng)前連接的域控制器DC，而此域控制器何時會將其最新變更數(shù)據(jù)復(fù)制給其他域控制器呢？可分為下面兩種情況。圖3-15 Active Directory

21、管理中心當(dāng)前域控制器管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識 自動復(fù)制：若是同一個站點(diǎn)內(nèi)的域控制器，則默認(rèn)15秒鐘后會自動復(fù)制，因此其他域控制器可能會等15秒或更久時間就會收到這些最新的數(shù)掘。若是位于不同站點(diǎn)的域控制器，則需視所設(shè)置的復(fù)制條件來決定（詳見后面：AD DS數(shù)據(jù)庫的復(fù)制）。 手動復(fù)制：有時候可能需要手動復(fù)制，例如網(wǎng)絡(luò)故障造成復(fù)制失敗，而您不希望等到下一次的自動復(fù)制，而是能夠立刻再復(fù)制。下面要從域控制器DC1復(fù)制到DC2。請到任意一臺域控制器上【單擊左下角的開始圖標(biāo)管理工具Active Directory站點(diǎn)和服務(wù)SitesDefault-First-Site-NameS

22、ervers展開目標(biāo)域控制器（DC2）。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識單擊NTDS Settings選中右側(cè)的來源域控制器（DC1）并單擊右鍵立即復(fù) 制】。如圖3-16所示。圖3-16 Active Directory站點(diǎn)和服務(wù)立即復(fù)制 與組策略有關(guān)的設(shè)置會先被存儲到扮演PDC模擬器操作主機(jī)角色的域控制器內(nèi)，然后再由PDC模擬器操作主機(jī)復(fù)制給其他的域控制器（詳見后面的“管理操作主機(jī)”）。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識4.1.8 4.1.8 域組賬戶域組賬戶 如果能夠使用組（group）來管理用戶賬戶，則必定能夠減輕許多網(wǎng)絡(luò)管理負(fù)擔(dān)。例如當(dāng)您針對網(wǎng)絡(luò)部

23、組設(shè)置權(quán)限后，此組內(nèi)的所有用戶都會自動擁有此權(quán)限，因此就不需要個別針對每一個用戶來設(shè)置。1. 域內(nèi)的組類型AD DS的域組分為下面兩種類型，且它們之間可以相互轉(zhuǎn)換。 安全組（security group）:它可以被用來分配權(quán)限與權(quán)利，例如您可以指定安全組對文件具備讀取的權(quán)限。它也可以用在與安全無關(guān)的工作上，例如可以給安全組發(fā)送電子郵件。 通信組（distribution group）：它被用在與安全（權(quán)限與權(quán)利設(shè)置等）無關(guān)的工作上，例如您可以給通信組發(fā)送電子郵件，但是無法為通信組分配權(quán)限與權(quán)利。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識2. 組的使用范圍 從組的使用范圍來看，域內(nèi)的組

24、分為下面3種（如表3-1所示）：本地域組（domain local group）、全局組（global group）、通用組（universal group）。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識（1）本地域組 它主要被用來分配其所屬域內(nèi)的訪問權(quán)限，以便可以訪問該域內(nèi)的資源。 其成員可以包含任何一個域內(nèi)的用戶、全局組、通用組；也可以包含相同域內(nèi)的本地域組；但無法包含其他域內(nèi)的本地域組。 本地域組只能夠訪問該域內(nèi)的資源，無法訪問其他不同域內(nèi)的資源；換句話說當(dāng)您在設(shè)置權(quán)限時，只可以設(shè)置相同域內(nèi)的本地域組的權(quán)限，無法設(shè)置其他不同域內(nèi)的域本地組的權(quán)限。管理域用戶賬戶和組相關(guān)知識管理域用

25、戶賬戶和組相關(guān)知識（2）全局組 它主要用來組織用戶，也就是您可以將多個即將被賦予相同權(quán)限（權(quán)利）的用戶賬戶，加入到同一個全局組內(nèi)。全局群組內(nèi)的成員，只可以包含相同域內(nèi)的用戶與全局組。 全局組可以訪問任何一個域內(nèi)的資源，也就是說您可以在任何一個域內(nèi)設(shè)置全局組的權(quán)限（這個全局組可以位于任何一個城內(nèi)）以便讓此全局組具備權(quán)限來訪問該域內(nèi)的資源。（3）通用組 它可以在所有域內(nèi)被分配訪問權(quán)限，以便訪問所有域內(nèi)的資源。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識 通用組具備萬用領(lǐng)域的特性，其成員可以包含林中任何一個城內(nèi)的用戶、全局組，通用組。但是它無法包含任何一個域內(nèi)的本地域組。 通用組可以訪問任何

26、一個域內(nèi)的資源，也就是說您可以在任何一個域內(nèi)來設(shè)置通用組的權(quán)限（這個通用組可以位于任何一個域內(nèi)），以便讓此通用組具備權(quán)限來訪問該域內(nèi)的資源。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識4.1.9 建立與管理域組賬戶建立與管理域組賬戶 它主要被用來分配其所屬域內(nèi)的訪問權(quán)限，以便可以訪問該域內(nèi)的資源。 其成員可以包含任何一個域內(nèi)的用戶、全局組、通用組；也可以包含相同域內(nèi)的本地域組；但無法包含其他域內(nèi)的本地域組。 本地域組只能夠訪問該域內(nèi)的資源，無法訪問其他不同域內(nèi)的資源；換句話說當(dāng)您在設(shè)置權(quán)限時，只可以設(shè)置相同域內(nèi)的本地域組的權(quán)限，無法設(shè)置其他不同域內(nèi)的域本地組的權(quán)限。管理域用戶賬戶和組相

27、關(guān)知識管理域用戶賬戶和組相關(guān)知識4.1.9 建立與管理域組賬戶建立與管理域組賬戶 1組的新建、刪除與重命名組的新建、刪除與重命名 要創(chuàng)建域組時，可使用【開始管理工具Active Directory管理中心展開域名單擊容器或組織單位單擊右側(cè)任務(wù)窗格的新建組】的方法，然后在圖3-17中輸入組名、輸入供舊版操作系統(tǒng)來訪問的組名、選擇組類型與組范圍等。若要刪除組：【選中組賬戶并單擊右鍵刪除】即可管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識圖3-17 Active Directory管理中心創(chuàng)建組管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識2添加組的成員 若要將用戶、組等加入到組內(nèi)：【如

28、圖3-18所示單擊成員節(jié)點(diǎn)右側(cè)的“添加”按鈕單擊“高級”按鈕單擊“立即查找”按鈕選取要被加入的成員（按shift鍵或Ctrl鍵可同時選擇多個賬戶）單擊“確定”按鈕】。本例將Alice、Bob、Jhon加入到東北組。圖3-18 Active Directory管理中心添加組成員管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識3. AD DS內(nèi)置的組AD DS有許多內(nèi)置組，它們分別隸屬于本地域組、全局組、通用組與特殊組。（1）內(nèi)置的本地域組 這些本地域組本身已被賦予了一些權(quán)利與權(quán)限，以便讓其具備管理AD DS域的能力。只要將用戶或組賬戶加入到這些組內(nèi)，這些賬戶也會自動具備相同的權(quán)利與權(quán)限。下面

29、是Builtin容器內(nèi)常用的本地域組。 Account Operators：其成員默認(rèn)可在容器與組織單位內(nèi)添加/刪除/修改用戶、組與計算機(jī)賬戶，不過部分內(nèi)置的容器例外，同時也不允許在部分內(nèi)置的容器內(nèi)添加計算機(jī)賬戶管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識 Backup Operators：其成員可以通過Windows Server Backup工具來備份與還原域控制器內(nèi)的文件，不管他們是否有權(quán)限訪問這些文件。其成員也可以對域控制器執(zhí)行關(guān)機(jī)操作。 Guests：其成員無法永久改變其桌面環(huán)境，當(dāng)他們登錄時，系統(tǒng)會為他們建立一個臨時的用戶配置文件，而注銷時此配置文件就會被刪除。此組默認(rèn)的成

30、員為用戶賬戶Guest與全局組Domain Guests。 Network Configuration Operators：其成員可在域控制器上執(zhí)行常規(guī)網(wǎng)絡(luò)配置工作，例如變更IP地址，但不可以安裝、刪除驅(qū)動程序與服務(wù)，也不可執(zhí)行與網(wǎng)絡(luò)服務(wù)器配置有關(guān)的工作，例如DNS與DHCP服務(wù)器的設(shè)置。 Performance Monitor Users：其成員可監(jiān)視域控制器的運(yùn)行情況。Remote Desktop Users：其成員可從遠(yuǎn)程計算機(jī)通過遠(yuǎn)程桌面來登錄。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識 Pre-Windows 2000 Compatible Access：此組主要是為了與W

31、indows NT 4.0（或更舊的系統(tǒng)）兼容。其成員可以讀取AD DS域內(nèi)的所有用戶與組賬戶。其默認(rèn)的成員為特殊組Authenticated Users。只有在用戶的計算機(jī)是Windows NT 4.0或更早版本的系統(tǒng)時，才將用戶加入到此組內(nèi)。 Print Operators：其成員可以管理域控制器上的打印機(jī)，也可以將域控制器關(guān)閉。Server Operators：其成員可以備份與還原域控制器內(nèi)的文件；鎖定與解鎖域控制器；將域控制器上的硬盤格式化；更改域控制器的系統(tǒng)時間；將域控制器關(guān)閉等。 Users：其成員僅擁有一些基本權(quán)限，例如執(zhí)行應(yīng)用程序，但是他們不能修改操作系統(tǒng)的設(shè)置、不能修改其他用

32、戶的數(shù)據(jù)、不能將服務(wù)器關(guān)閉。此組默認(rèn)的成員為全局組Domain Users。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識（2）內(nèi)置的全局組 AD DS內(nèi)置的全局組本身并沒有任何的權(quán)利與權(quán)限，但是可以將其加入到具備權(quán)利或權(quán)限的域本地組，或另外直接分配權(quán)利或權(quán)限給此全局組。這些內(nèi)置全局群組位于Users容器內(nèi)。下面列出了較常用的全局組。 Domain Admins：域成員計算機(jī)會自動將此組加入到其本地組Administrators內(nèi)，因此Domain Admins組內(nèi)的每一個成員，在域內(nèi)的每一臺計算機(jī)上都具備系統(tǒng)管理員權(quán)限。此組 默認(rèn)的成員為域用戶Administrator。Domain

33、Computers：所有的域成員計算機(jī)（域控制器除外）都會被自動加入到此組內(nèi)。我們會發(fā)現(xiàn)MS1就是在該組的一個成員。Domain Controllers：域內(nèi)的所有域控制器都會被自動加入到此群內(nèi)。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識 Domain Users：域成員計算機(jī)會自動將此組加入到其本地組Users內(nèi)，因此Domain Users內(nèi)的用戶將享有本地組Users所擁有的權(quán)利與權(quán)限，例如擁有允許本機(jī)登錄的權(quán)利。此組默認(rèn)的成員為域用戶Administrator，而以后新建的域用戶賬戶都自動隸屬于此組。 Domain Guests：域成員計算機(jī)會自動將此組加入到本地組Guest

34、s內(nèi)。此組默認(rèn)的成員為域用戶賬戶Guest。（3）內(nèi)置的通用組 Enterprise Admins：此組只存在于林根域，其成員有權(quán)管理林內(nèi)的所有域。此組默認(rèn)的成員為林根域內(nèi)的用戶Administrator。 Schema Admins：此組只存在于林根域，其成員具備管理架構(gòu)（schema）的權(quán)利。此組默認(rèn)的成員為林根域內(nèi)的用戶Administrator。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識4. 特殊組賬戶 除了前面所介紹的組之外，還有一些特殊組，而您無法更改這些特殊組的成員。下面列出了幾個經(jīng)常使用的特殊組。 Everyone：任何一位用戶都屬于這個組。若Guest賬戶被啟用，則

35、您在分配權(quán)限給Everyone時需小心，因?yàn)槿粢晃辉谀嬎銠C(jī)內(nèi)沒有賬戶的用戶，通過網(wǎng)絡(luò)來登錄您的計算機(jī)時，他會被自動允許利用Guest賬戶來連接，此時因?yàn)镚uest也隸屬于Everyone組，所以他將具備Everyone所擁有的權(quán)限。Authenticated Users：任何利用有效用戶賬戶來登錄此計算機(jī)的用戶，都隸屬于此組。 Interactive：任何在本機(jī)登錄（按Ctrl+Alt+Del登錄）的用戶，都隸屬于此組。 Network：任何通過網(wǎng)絡(luò)來登錄此計算機(jī)的用戶，都隸屬于此組。Anonymous Logon：任何未利用有效的普通用戶賬戶來登錄的用戶，都隸屬于此組。Anonymous Logon默認(rèn)并不隸屬于Everyone組。Dialup：任何利用撥號方式連接的用戶，都隸屬于此組。管理域用戶賬戶和組相關(guān)知識管理域用戶賬戶和組相關(guān)知識4.1.10 掌握組的