新计算机网络实用技术（第二版） 雷建军 电子教案 第七章 74.pptVIP

第7章 使用和管理WINDOWS 2000活动目录 7.4 组的建立 7.4.1 组的类型 7.4.2 组的作用域 7.4.3 域组的管理 7.4.4 本地组的创建 7.4.5 内置的组 7.4.1 组的类型 Windows 2000所支持的组分为以下两种类型： 1．安全组 2．分布式组 1．安全组 安全组可以用来设置权限，简化网络的维护和管理。例如，可以设置某个安全组对一些文件具备“读取”的权限。安全组也可以用在与安全无关的任务上，例如，将电子邮件发送给某个安全组。 2．分布式组 分布式组只能用在与安全（权限的设置等）无关的任务上，例如，可以将电子邮件发送给某个分布式组。分布式组不能用于权限的设置与管理。 7.4.2 组的作用域 每个安全组和分布式组均具有作用域，在Windows 2000域内，有三类不同的作用域。 1．全局组 2．本地域组 3．通用组 1．全局组 全局组主要用来组织用户，可以将多个权限相似的用户账户加入到同一个全局组内。全局组的特点如下： l 全局组内的成员，只能够包含该组所属的域内的用户账户与全局组。也就是说，只能够将同一个域内的用户账户与其他全局组加入到全局组内。 l 全局组可以访问任何一个域内的资源。也就是说，可以在任何一个域内设置某个全局组的使用权限，以便让此全局组具备权限来访问该域内的资源。 2．本地域组 本地域组主要用来指派其所属域内的访问权限，以便可以访问该域内的资源。本地域组的特点如下： l 本地域组内的成员，能够包含任何一个域内的用户账户、通用组、全局组。它也能够包含同一个域内的本地域组，但是无法包含其他域内的本地域组。 l 本地域组只能够访问本域内的资源，无法访问其他不同域内的资源。换句话说，在设置本地域组的权限时，只可以设置本域内资源的权限，但是无法设置其他不同域内资源的权限。 3．通用组 通用组主要用来指派在所有域内的访问权限，以便可以访问每一个域内的资源。通用组的特点如下： l 通用组内的成员，能够包含任何一个域内的用户账户、通用组、全局组。但是它无法包含任何一个域内的本地域组。 l 通用组可以访问任何一个域内的资源。也就是说，可以在任何一个域内设置通用组的权限，以便让此通用组具备权限来访问该域内的资源。 7.4.3 域组的管理 打开“Active Directory用户和计算机”窗口，添加、删除与管理域组。 1．域组的添加、删除与更名 2．添加域组的成员 1．域组的添加、删除与更名 添加域组的步骤如下： （1）在“Active Directory用户和计算机”窗口中选择域名或某个组织单位，单击鼠标右键，从弹出的快捷菜单中依次选择“新建”→ “组”命令，打开如图7-30所示的对话框。 1．域组的添加、删除与更名 （2）在“组名”文本框中输入域组的名称，在“组名（Windows 2000以前版本）”文本框中输入供旧版操作系统访问的组名。 （3）在“组作用域”单选组框中选择组的作用域：“本地域”、“全局”或“通用”。 （4）在“组类型”单选组框中选择组的类型：“安全式”或“分布式”。 （5）单击“确定”按钮，完成域组的创建。 1．域组的添加、删除与更名 每个组账户添加完成后，系统都会为其建立一个惟一的安全识别码（SID），在Windows 2000系统内部是利用这个SID来表示该组，有关权限的设置等都是对SID来设置的。 可以先选择域组账户，单击鼠标右键，并从弹出的快捷菜单中选择“重命名”命令，更改域组账户名。由于更改名称后，在Windows 2000内部的安全识别码（SID）并没有改变，因此该域组账户的属性、权限等设置都不变。 1．域组的添加、删除与更名 也可以先选择要删除的域组账户，单击鼠标右键，从弹出的快捷菜单中选择“删除”命令，将域组账户删除。域组账户删除后，即使添加一个相同名称的域组账户，也不会继承前一个被删除账户的属性和权限等设置。因为，虽然新域账户的名称与被删除的账户名称相同，但是其SID不同。因此，它们是两个不同的组账户。 2．添加域组的成员 要将用户账户和组加入到域组内，可以在“Active Directory用户计算机”窗口中双击打开域名或某组织单位，在所选的域组上单击鼠标右键，并从弹出的快捷菜单中选择“属性”→“成员”→“添加”命令，打开如图7-31所示的对话框，选定要被加入的成员（例如用户账户或组等），然后单击“添加”按钮。最后单击“确定”按钮，完成设置。 2．添加域组的成员 7.4.4 本地组的创建 创建本地组账户，可以通过依次选择“开始”→“设置”→“控制面板”→“管理工具”→“计算机管理”→“系统工