域用户账户和组 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

  域用户

Windows2003所支持用户类型
1.         本地用户

1)        存储在本地计算麻风打开地帐号数据库中
2)        本地用户只可访问本地计算机的资源
3)        本地用户登录本机由本地计算机的SAM来审核
2.         域用户

1)        域用户存储在域数据库中
2)        域用户可访问域中允许的资源
3)        域用户创建后会被复制到额外域控制器上。
域用户在域内一台计算机登录后,当他们连接域内的其他计算机时,并不需要再次登录到其他计算机上,这个只需要登录一次的功能,称为单一登录。本地用户不具备单一登录功能。
 
实践:1 、创建域用户:
      注意事项:

1)        DC上不能创建本地用户;
2)        利用“AD用户和计算机”建立并管理域用户账户;
2、使创建的用户能够从DC本机登录

默认情况下,只有某些特殊组内账户有权限从DC上登录。所创建的普通用户不能够从DC本机登录,须通过以下设置才可:
1)               管理工具——域控制器安全策略——Windows 设置——安全设置——本地策略——用户权限指派——允许本地登录——添加用户和组;
2)               开始——运行—— gpupdate /target:computer /force
注:若为win2000 DC则运行:secedit /refreshpolicy machine_policy

            3、域用户账户的管理

1)  域用户账户的属性设置;
2)  域用户账户的禁用、启用、重命名及删除等。

 

  域组账户

l        域组的类型

1、 安全组:主要用来设置权限用的。也可用在与安全无关的任务上,如:       通过E-mail软件将E-mail发送给某个分布式组。
2、 分布式组:用在与安全无关的任务上。如:通过E-mail软件将E-mail发送给某个分布式组,(应用程序须支持AD才可使用分布式组)。无法设置分布式组的权限。

 

l        域组的使用领域

从组的使用领域来分,win2003域组可分为以下三类:
u       全局组
u       本地域组
u       通用组
              
1、 全局组
1)  成员范围:只能包含所属域内的用户和全局组;
2)  可访问资源范围:可以访问所有域的资源。
2、 本地域组

1)  成员范围:所有域内的用户、全局组、通用组,所属域内的本地域组;
2)  可访问资源范围:只可访问所属域的资源。
3、 通用组

1)  成员范围:所有域内的用户、全局组、通用组;
2)  可访问资源范围:可以访问所有域的资源。
                注:1)域功能级别为win2000混合模式时不支持通用组;
                    2)域功能级别为win2000混合模式时不支持全局组嵌套。

             
实践: 1、域组的创建、添加组成员;

                      2、域组的管理、删除与更名。
              
  提升域功能级别

      必须域功能级别提升到win2000纯模式或win2003,才可拥有通用组和组嵌套功能。

         步骤:开始——程序——AD用户和计算机——右击域名称——提升域功能级别。

           注:域功能级别被提升后就无法再改回。

 

组的使用准则( AGDLP 策略)

   为了让网络管理更为容易,同时也为了减轻网络维护的负担,因此在利用组来管理网络资源尤其是大型网络时,建议采用AGDLP准则:

 先将用户账户A加入到全局组G,再将全局组加入到本地域组DL,然后设置本地组的权限P