网络操作系统与局域网管理 作者 黄健 第08章.pptVIP

第8章 利用组简化用户账户管理 8.1 组 的 基 本 概 念 8.2 Windows 2000域的模式 8.3 规 划 组 8.4 创建、管理域组 8.5 创建、管理本地组 8.6 内 置 组 Windows 2000引入用户账户的概念就是为了进行用户身份验证，并可通过用户账户为用户分配权利和权限，但是直接为每个用户账户分配权利和权限是非常不可取的。 这将带来以下几方面的问题。 1．重复操作，效率低 2．容易出现错误 3．日常维护难度大 为此，Windows 2000提供了组，用来简化用户账户的管理。 本章主要介绍利用组来简化用户账户管理。通过本章的学习，读者应该掌握以下内容： ? 组的基本概念 ? Windows 2000域的模式 ? 规划组 ? 创建、管理域组 ? 创建、管理本地组 ? 内置组 8.1 组 的 基 本 概 念 8.1.1 组的概念 组是用户账户的集合，通过使用组，一次可以为多个用户分配权利和权限，而不用再为每个用户单独分配权利和权限，从而达到简化用户账户管理的目的。用户可以是一个或多个组的成员。 8.1.2 组的类型 Windows 2000支持两种类型的组，组的类型决定了组的使用方法。 1．安全组 安全组主要用于设置权利和权限。安全组具有分布式组的功能。 2．分布式组 分布式组不采用安全机制。只有在电子邮件应用程序（例如Exchange）中，才能使用分布式组将电子邮件发送给一组用户。 8.1.3 组的作用域 每个安全组和分布式组都具有作用域，作用域用于标识组在Windows 2000域中的应用范围，决定在网络的什么位置可以使用组。有以下3类不同的作用域。 1．全局组 全局组主要用于组织具有相同访问权限的用户账户。全局组具有以下特点。 （1）有限制的成员关系。全局组只能包含该组所属域（即创建该全局组的域）内的用户账户和全局组。 （2）访问任何域的资源。全局组可以访问网络中任何一个域内的资源，而不仅仅是该全局组所属域的资源。 2．本地域组 本地域组主要用于在该组所属域内分配权限，也称为域本地组。本地域组具有以下特点。 （1）开放的成员关系。本地域组可以包含网络中任何一个域内的用户账户、全局组、通用组，以及所属域的本地域组，但不能包含其他域的本地域组。 （2）访问所属域的资源。本地域组只能访问其所属域内的资源，不能访问其他域内的资源。 3．通用组 通用组主要用于在网络的所有域内分配权限。通用组具有以下特点。 （1）开放的成员关系。通用组可以包含网络中任何一个域内的用户账户、全局组、通用组，但不能包含任何一个域的本地域组。 （2）访问任何域的资源。通用组可以访问网络中任何一个域内的资源，而不仅仅是该组所属域的资源。 （3）只在本机模式域下有效，因为只有在本机模式域下通用组才存在。 8.1.4 组的嵌套 通过使用嵌套，可将一个组添加为另一个组的成员。采用嵌套，可以加强组的管理，减少权限的分配次数。 当采用嵌套时，应尽量减少嵌套的层数。嵌套减少了权限分配的次数，但多级嵌套会使权限跟踪变得异常复杂。一层嵌套是最有效的，既可以减少权限分配的次数又能够方便地跟踪权限。 8.2 Windows 2000域的模式 Windows 2000域分为混合模式和本机模式两种。系统默认新建域的模式为混合模式，可以随时将其更改为本机模式，以便充分享有Windows 2000提供的全部功能。 8.2.1 混合模式 在混合模式的域中，域控制器上安装的操作系统可以是早期的Windows NT。 8.2.2 本机模式 在本机模式的域中，所有域控制器上安装的都必须是Windows 2000。除了域控制器以外，其他计算机可以安装任何操作系统。 8.2.3 更改域模式 只能将混合模式的域更改为本机模式，不能将本机模式的域更改为混合模式。 注意：如果域内有多台域控制器，域模式更改为本机模式以后，更改信息会被自动复制到域内所有域控制器上，此过程可能需要15分钟或更长的时间。 8.3 规 划 组 在新建组之前必须制定一套切实可行的实施方案，这对简化网络管理是至关重要的。根据网络中域的使用情况，有两套最常用的方案可供选择。 8.3.1 全局组和本地域组配合使用