AD域權(quán)限設(shè)置-文檔資料

1、用戶賬戶管理用戶賬戶管理用戶賬戶用戶賬戶域用戶賬戶名稱域用戶賬戶名稱用戶賬戶命名約定的制定準(zhǔn)則用戶賬戶命名約定的制定準(zhǔn)則用戶賬戶在用戶賬戶在 Active Directory Active Directory 層次結(jié)構(gòu)中的位置層次結(jié)構(gòu)中的位置用戶賬戶的密碼選項(xiàng)用戶賬戶的密碼選項(xiàng)要求或限制更改密碼要求或限制更改密碼用戶賬戶用戶賬戶域用戶賬戶域用戶賬戶 （存儲(chǔ)在（存儲(chǔ)在 Active DirectoryActive Directory）本地用戶賬戶本地用戶賬戶（存儲(chǔ)在本地計(jì)算機(jī)（存儲(chǔ)在本地計(jì)算機(jī)）Windows Server 2003 域域用戶賬戶命名約定的制定準(zhǔn)則用戶賬戶命名約定的制定準(zhǔn)則創(chuàng)建用

2、戶賬戶時(shí)應(yīng)該考慮：創(chuàng)建用戶賬戶時(shí)應(yīng)該考慮：雇員重名雇員重名不同類型的雇員，例如臨時(shí)雇員或合同雇員不同類型的雇員，例如臨時(shí)雇員或合同雇員用戶賬戶在用戶賬戶在 Active Directory 層次結(jié)構(gòu)中的位置層次結(jié)構(gòu)中的位置地理設(shè)計(jì)地理設(shè)計(jì)UsersNorth AmericaUsersSouth America商業(yè)設(shè)計(jì)商業(yè)設(shè)計(jì)UsersAccountingUsersSales用戶賬戶的密碼選項(xiàng)用戶賬戶的密碼選項(xiàng)防止用戶使用選中的賬戶登錄賬戶已禁用賬戶已禁用描述描述賬戶選項(xiàng)賬戶選項(xiàng)防止用戶更改自己的密碼用戶不能更改密碼用戶不能更改密碼用戶必須在下次登錄到網(wǎng)絡(luò)時(shí)更改自己密碼用戶下次登錄時(shí)須用戶下次登

3、錄時(shí)須更改密碼更改密碼防止用戶密碼過期密碼永不過期密碼永不過期要求或限制更改密碼要求或限制更改密碼創(chuàng)建本地和域服務(wù)賬戶創(chuàng)建新的本地賬戶（不在本地登錄）限制更改限制更改密碼密碼 遇到以下情況，使用這個(gè)選項(xiàng)遇到以下情況，使用這個(gè)選項(xiàng)選項(xiàng)選項(xiàng)創(chuàng)建新的域賬戶重設(shè)密碼要求更改要求更改密碼密碼DSADD DSADD DSADD 是是 Windows Server 2003 Server Windows Server 2003 Server 新提供的新提供的工具工具DSADD DSADD 用于將計(jì)算機(jī)、聯(lián)系人、組、組織單位或用用于將計(jì)算機(jī)、聯(lián)系人、組、組織單位或用戶添加到目錄中戶添加到目錄中可通過輸入可通過

4、輸入 DSADD /? DSADD /? 獲取如何使用該命令的詳細(xì)獲取如何使用該命令的詳細(xì)信息信息用戶賬戶的屬性用戶賬戶的屬性用戶賬戶的屬性對(duì)話框用戶賬戶的屬性對(duì)話框計(jì)算機(jī)賬戶的屬性計(jì)算機(jī)賬戶的屬性計(jì)算機(jī)賬戶的屬性對(duì)話框計(jì)算機(jī)賬戶的屬性對(duì)話框管理組帳戶創(chuàng)建組創(chuàng)建組管理組成員身份管理組成員身份使用組應(yīng)用策略使用組應(yīng)用策略更改組更改組使用默認(rèn)組使用默認(rèn)組創(chuàng)建組組組域功能級(jí)別域功能級(jí)別全局組全局組通用組通用組域本地組域本地組本地組本地組組的創(chuàng)建位置組的創(chuàng)建位置組命名規(guī)則組命名規(guī)則組組使管理員能夠一次性對(duì)資源分配權(quán)限，從而簡(jiǎn)化管理組使管理員能夠一次性對(duì)資源分配權(quán)限，從而簡(jiǎn)化管理組的特點(diǎn)是根據(jù)作用域和類

5、型來定義組的特點(diǎn)是根據(jù)作用域和類型來定義描述描述組類型組類型僅僅能夠與 電子郵件應(yīng)用程序配合使用，不能用來分配權(quán)限分布分布常常用來分配用戶權(quán)利和權(quán)限，具有通訊組功能安全安全組作用域的判斷主要考慮是否需要擴(kuò)展到多個(gè)域或限制在一個(gè)域中三種組作用域：全局、本地域、通用組組組的作用域通用組的成員可包括域樹或森林中任何域中的其通用組的成員可包括域樹或森林中任何域中的其他組和賬戶，可在該域樹或森林中的任何域中指他組和賬戶，可在該域樹或森林中的任何域中指派權(quán)限派權(quán)限全局組的成員可包括只在其中定義該組的域中的全局組的成員可包括只在其中定義該組的域中的其他組和賬戶，可在森林中的任何域中指派權(quán)限其他組和賬戶，可在

6、森林中的任何域中指派權(quán)限域本地組的成員可包括域本地組的成員可包括 Windows Server 2003Windows Server 2003、Windows 2000 Windows 2000 或或 Windows NT Windows NT 域中的其他組域中的其他組和賬戶，而且只能在域內(nèi)指派權(quán)限和賬戶，而且只能在域內(nèi)指派權(quán)限域功能級(jí)別全局、本地域Windows NT Server 4.0, Windows Server 2000, Windows Server 2003全局、本地域、通用Windows Server 2000, Windows Server 2003全局、本地域、通用 Wi

7、ndows Server 2003支持的域控支持的域控制器制器支持的組作支持的組作用域用域Windows 2000 Windows 2000 混合模式混合模式 （默（默認(rèn)）認(rèn)）Windows 2000 Windows 2000 本機(jī)模式本機(jī)模式Windows Windows Server 2003Server 2003全局組規(guī)則全局組規(guī)則全局組混合模式：混合模式：同一個(gè)域中的用戶賬戶本機(jī)模式：本機(jī)模式：同一個(gè)域的用戶賬戶和全局組成員成員在自己和所有信任的域里可見作用域作用域混合模式：混合模式： 域本地組本機(jī)模式：本機(jī)模式： 任何域里的通用和域本地組，以及相同域的全局組可作為右邊表格可作為右邊表

8、格中所示組的成員中所示組的成員林中所有域權(quán)限權(quán)限通用組規(guī)則通用組規(guī)則通用組混合模式：混合模式：不適用本機(jī)模式：本機(jī)模式：用戶賬戶、全局組和森林中任何域的其他通用組成員成員森林中所有域都可見作用域作用域混合模式：混合模式：不適用本機(jī)模式：本機(jī)模式：任何域中的域本地組和通用組可作為右邊表格中可作為右邊表格中所示組的成員所示組的成員森林中所有域權(quán)限權(quán)限域本地組規(guī)則域本地組規(guī)則域本地組混合模式：混合模式：任何域中的用戶賬戶和全局組本機(jī)模式：本機(jī)模式：森林中任何域的用戶賬戶、全局組和通用組，以及同一域中的域本地組成員成員僅在自己所在的域中可見作用域作用域混合模式：混合模式：無本機(jī)模式：本機(jī)模式：同一域中

9、的域本地組可作為右邊表格中可作為右邊表格中所示組的成員所示組的成員域本地組所屬的域 權(quán)限權(quán)限本地組規(guī)則本地組規(guī)則本地組計(jì)算機(jī)的本地用戶賬戶成員成員無可作為右邊表格中所可作為右邊表格中所示組的成員示組的成員內(nèi)置組列表及說明內(nèi)置組列表及說明組名組名描述信息描述信息Administrators具有具有完全控制權(quán)限完全控制權(quán)限，并且可以向其他用戶分配用戶權(quán)利和訪問控制權(quán)，并且可以向其他用戶分配用戶權(quán)利和訪問控制權(quán)限限Backup Operators加入該組的成員可以加入該組的成員可以備份和還原備份和還原服務(wù)器上的所有文件服務(wù)器上的所有文件Guests擁有一個(gè)在登錄時(shí)創(chuàng)建的擁有一個(gè)在登錄時(shí)創(chuàng)建的臨時(shí)臨時(shí)

10、配置文件，在注銷時(shí)該配置文件將被刪配置文件，在注銷時(shí)該配置文件將被刪除除Network Configuration Operators可以可以更改更改 TCP/IP 設(shè)置設(shè)置并更新和發(fā)布并更新和發(fā)布 TCP/IP 地址地址Power Users該組具有該組具有創(chuàng)建用戶賬戶和組賬戶創(chuàng)建用戶賬戶和組賬戶的權(quán)利，可以在的權(quán)利，可以在 Power Users 組、組、Users 組和組和 Guests 組中添加或刪除用戶，但是不能管理組中添加或刪除用戶，但是不能管理Administrators組成員組成員可以創(chuàng)建和管理可以創(chuàng)建和管理共享資源共享資源Print Operators可以管理可以管理打印機(jī)打

11、印機(jī)Users可以執(zhí)行一些可以執(zhí)行一些常見任務(wù)常見任務(wù)，例如運(yùn)行應(yīng)用程序、使用本地和網(wǎng)絡(luò)打印機(jī)，例如運(yùn)行應(yīng)用程序、使用本地和網(wǎng)絡(luò)打印機(jī)以及鎖定服務(wù)器以及鎖定服務(wù)器用戶不能共享目錄或創(chuàng)建本地打印機(jī)用戶不能共享目錄或創(chuàng)建本地打印機(jī)組的創(chuàng)建位置在森林的根域、森林的任何其他域、組織單位創(chuàng)在森林的根域、森林的任何其他域、組織單位創(chuàng)建組建組根據(jù)管理需要選擇域或組織單位來創(chuàng)建組根據(jù)管理需要選擇域或組織單位來創(chuàng)建組例：目錄有多個(gè)組織單位，每個(gè)擁有不同的管理員，可以為這些組織單位創(chuàng)建全局組組命名規(guī)則安全組：安全組：在組名的命名約定中合并作用域名稱能夠反映所屬關(guān)系（部門或小組名稱）在組名的開頭添上域名或其縮寫使用

12、描述符來標(biāo)識(shí)一個(gè)組所擁有的最大權(quán)限，例如：DL IT London OU Admins 通訊組：通訊組：使用短的別名顯示名稱里不應(yīng)包含用戶的別名一個(gè)通訊組最多由五個(gè)合作者管理管理組成員 “成員成員”和和“隸屬于隸屬于”屬性屬性演示演示 “成員成員”和和“隸屬于隸屬于”確定用戶賬戶的從屬組確定用戶賬戶的從屬組在組中添加和刪除成員在組中添加和刪除成員“成員”和“隸屬于”屬性組或小組組或小組全局組全局組域本地組域本地組成員成員隸屬于隸屬于無Denver AdminsTomTom、Jo Jo 和和 KimKim成員成員隸屬于隸屬于無Vancouver AdminsSamSam、Scott Scott

13、和和 AmyAmyMembersMembersMember OfMember OfTom, Jo, KimDenver OU AdminsDenver AdminsDenver Admins成員成員隸屬于隸屬于Tom, Jo, KimDenver OU AdminsDenver AdminsDenver Admins成員成員隸屬于隸屬于Sam, Scott, AmyVancouver OU AdminsVancouver AdminsVancouver AdminsDenver OU AdminsDenver OU Admins成員成員隸屬于隸屬于Denver Admins,Vancouver

14、 Admins無在組中添加和刪除成員通過使用通過使用“Active Directory 用戶和計(jì)算機(jī)用戶和計(jì)算機(jī)”來添加來添加成員成員 通過使用通過使用“屬性屬性”對(duì)話框的對(duì)話框的“隸屬于隸屬于”選項(xiàng)卡來添選項(xiàng)卡來添加用戶賬戶或組加用戶賬戶或組 使用組應(yīng)用策略 組嵌套組嵌套組策略組策略組組組組組組組組組組組嵌套意味著將組作為其他組的成員意味著將組作為其他組的成員嵌套組用來加強(qiáng)組管理嵌套組用來加強(qiáng)組管理嵌套組選項(xiàng)取決于嵌套組選項(xiàng)取決于 Windows Server 2003 Windows Server 2003 域的功域的功能級(jí)別設(shè)置為能級(jí)別設(shè)置為 Windows 2000 Windows 2000 本機(jī)模式還是本機(jī)模式還是 Windows 2000 Windows 2000 混合模式混合模式組策略A G PAPG全局組全局組權(quán)限權(quán)限用戶賬戶用戶賬戶A DL PAPD