Windows2000网络基础教程与上机指导第六章.pdfVIP

第6章 Windows 2000组管理及组策略 第6章 Windows 2000组管理及组策略 教学提示：组是指访问目的和权限相同的一系列活动目录或本地 计算机对象的集合，可以包含用户、计算机和其他组等。在Windows 2000 中，通过组可以管理用户和计算机对网络资源的访问，例如活动 目录对象及其属性、网络共享、文件、目录和打印机队列，还可以建 立组策略。使用组，主要是为了方便管理，提高效率。 教学目标：本章的主要目标是学习Windows 2000账户的基本管理 操作，并掌握用户配置文件的设置方法。 6.1 组 类 型 6.1 组 类 型 组是Windows 2000 从Windows NT 系统继承下来的安全管理形式， 它是指活动目录或本地计算机对象的集合，可以包含用户、计算机和其 他组等。在Windows 2000 中，组可以用来管理用户和计算机对网络资源 的访问，例如活动目录对象及其属性、网络共享、文件、目录和打印机 队列，还可以筛选组策略。使用组，主要是为了方便管理访问目的和权 限相同的一系列用户和计算机账户。 系统管理员在赋予用户或计算机账户权限时，如果它们的权限各不 相同，必须分别为它们设置；但是，如果它们的权限相同，还要分别进 行设置，就多做许多重复性工作。有了组的概念之后，就可以将这些具 有相同权限的用户或计算机划归到一个组中，使这些用户成为该组的成 员，然后通过赋予该组权限来使这些用户或计算机都具有相同的权限， 这就大大减轻了系统管理员对账户和权限管理的工作。 6.2 组 的 管 理 6.2 组 的 管 理 使用组账户可以对同类用户授予权限并简化管理。如果用户是可访问某 个资源的一个组中的成员，则该特定用户也可访问这一资源。因此，若要使 某个用户能访问各种与工作相关的资源，只需将该用户加入正确的组。 跟管理用户账户一样，Windows 2000使用惟一安全标识符来跟踪组账 户，即在删除组账户之后又重新创建该账户时，所有权限和特权都必须重新 设置。 6.2.1 创建新组 6.2.2 设置组属性 6.2.3 删除组 6.2.4 将组转换为另一种组类型 6.2.5 更改组作用域 6.2.6 委派控制组 注意：虽然可通过用户账户登录计算机，但不能通过组账户登录计算机。 注意：虽然可通过用户账户登录计算机，但不能通过组账户登录计算机。 6.2.1 创建新组 6.2.1 创建新组 虽然系统提供了一些内置组用于权限和安全设置，但是它们不能满足 特殊安全和灵活性的需要。所以，要想很好的管理用户和计算机账户，必 须根据网络情况创建一些新组。新组创建之后，就可以像使用内置组一样 使用它们，如赋予权限和进行组成员的 添加。 (1) 打开Active Directory 用户和计算机管理控制台。 (2) 在控制台树中，双击域节点。 (3) 右击要添加组的文件夹，单击【新建】，然后单击【组】。 (4) 输入新组的名称。在默认情况下，用户输入的名称还将作为新组的 Windows 2000 以前版本的名称。如图6.1所示。 (5) 单击所需的【组作用域】。 (6) 单击所需的【组类型】。选择【全局】，单击【确定】完成。 注意：如果用户目前创建的组所属的域处于混合模式，则只能选择具有“域本地”或“全局”作用域的安全组。 注意：如果用户目前创建的组所属的域处于混合模式，则只能选择具有“域本地”或“全局”作用域的安全组。 返回 图6.1 创建新组 返回 6.2.2 设置组属性 6.2.2 设置组属性 一个新组被创建好之后，系统并没有设置该组常规属性和权限， 也没有为其指定组成员和管理人，该组几乎不发挥任何作用。如果要 充分发挥组对用户和计算机账户的管理作用，用户必须设置该组的属 性，来解决上面提出的问题。 返回 6.2.3 删除组 6.2.3 删除组 当活动目录中的组因太多而影响了对用户和计算机账户的管理时，作 为管理员可对自己创建的组进行清