规划与建立群组.ppt

規劃與建立群組 Windows 2000 系統實務 Ch09 規劃與建立群組 -1 網域內資源 的存取權限 雖然可以直接指派給使用者帳戶, 但如果系統管理員每新增一個帳戶都要一一把權限指派出去, 由管理面來看, 這是極無效率的做法 可以將群組看成一個邏輯單位, 它包含一群使用者帳戶或是其他的群組。將權限指派給群組後, 任何加入這個群組的物件 (帳戶或其他群組), 都會擁有這個群組具有的權限 規劃與建立群組 -2 能夠被指派權限的群組稱為安全性群組 網域內的群組, 和使用者帳戶一樣, 也具有一個獨一無二的 SID 能夠被賦予權限的物件 (帳戶或群組) 我們稱之為安全性主體 (Security Principal) 認識群組領域 Windows 2000 中一共有 3 種群組領域(Group Scope) － 網域區域 (Domain Local)、通用 (Global)以及萬用 (Universal) 群組 網域區域群組 在管理網域資源時, 一般會把存取權限指派給網域區域群組, 而不會直接指派給使用者帳戶 圖9-3 實際應用上, 會把隸屬同一部門的使用者組織成通用群組, 然後再將通用群組加入網域區域群組中 網域區域群組的成員 同一個網域中其他的網域區域群組(只有在原始模式中才行) 整個樹系 (Forest) 中任何網域的使用者帳戶。 整個樹系 (Forest) 中任何網域的通用群組。 整個樹系 (Forest) 中任何網域的萬用群組(只有在原始模式中才行) 網域區域群組 若群組中包含其他的群組 (例如在網域區域群組中包含其他網域區域、通用或萬用群組), 稱為群組的巢狀架構 (Nesting) 網域區域群組幾乎可以包含樹系中所有類型的成員, 然而它的權限範圍只限於同網域 (建立該群組的網域) 的資源；換言之, 我們只能將同網域的資源指派給網域區域群組 通用群組 -1 使用通用群組來組織需要相同權限的使用者帳戶 通用群組可以包含以下 2 種成員 同一個網域的其他通用群組 (只有在原始模式才行)。 同一個網域的使用者帳戶 通用群組 -2 通用群組的權限範圍是整個樹系, 也就是說, 我們可以將 A 網域資源的存取權限, 指派給 B、C、D... 等網域的通用群組 實際應用上, 最好將通用群組加入網域區域群組中, 而不要直接將權限指派給通用群組 利用網域區域與通用網域來管理單一網域 需要相同權限的使用者 (通常是相同部門的員工) 加入同一個通用群組中 將網域內資源的存取權限指派給網域區域群組 把通用群組加入網域區域群組中, 即可讓通用群組中所有的人都擁有存取某項資源的權限 圖9-6 萬用群組 -1 萬用群組只存在原始模式中 包含以下 3 種成員： 整個樹系的使用者帳戶。 整個樹系的通用群組。 整個樹系的萬用群組。 萬用群組和通用群組一樣, 我們可以指派樹系中任何資源的權限給它 萬用群組 -2 跨網域存取資源時, 會利用通用類別目錄 (Global Catalog)來查詢, 不同網域的通用類別目錄間需要相互複寫資料, 以確保資料的同步 萬用群組的特性會把群組名稱以及包含的成員都發佈到通用類別目錄上, 一旦其成員變動, 則網域間通用類別目錄資料的複寫就會造成網路可觀的負載 萬用群組 -3 通用群組只會將其群組名稱發佈到通用類別目錄, 無論成員如何變動, 都不會影響到通用類別目錄而觸發複寫機制 在多網域的環境, 為了控制網路頻寬, 利用通用群組來組織帳戶還是有其必要性 利用萬用群組來管理多個網域 萬用群組存在的目的就是為了簡化多網域 (樹系) 的管理工作 實例 “不”使用萬用群組:圖9-8 實例使用萬用群組:圖9-9 利用群組來管理網域 舉例說明如何建立一個稱為 Printers 的網域區域群組, 以及 Products 的通用群組, 然後把 Products 加入 Printers 中, 最後將印表機的使用權限指派給 Printers 新增群組 Active Directory 使用者及電腦 將使用者加入通用群組 通用群組是用來組織需要相同權限的使用者帳戶 將通用群組加入網域區域群組 -1 將 Products 通用群組加到 Printers 網域區域群組 將通用群組加入網域區域群組 -2 將資源存取權限指派給網域區域群組 重新命名群組 變更群組名稱後, 其 SID 以及已經指派給這個群組的權限, 都不會改變。 刪除群組 群組刪除後, 即使重新建立相同名稱的群組, W2K會重派不同的 SID 給新群組 認識群組類型 Windows 2000 支援安全性群組以及發佈群組這 2 種群組類型 安全性