AD活动目录账户管理课件.ppt

用户账户管理 用户账户 域用户账户名称 用户账户命名约定的制定准则 用户账户在 Active Directory 层次结构中的位置 用户账户的密码选项 要求或限制更改密码 用户账户 用户账户命名约定的制定准则 用户账户在 Active Directory 层次结构中的位置 用户账户的密码选项 要求或限制更改密码 DSADD DSADD 是 Windows Server 2003 Server 新提供的工具 DSADD 用于将计算机、联系人、组、组织单位或用户添加到目录中 可通过输入 DSADD /? 获取如何使用该命令的详细信息 用户账户的属性 计算机账户的属性 管理组帐户 创建组 管理组成员身份 使用组应用策略 更改组 使用默认组 创建组 组 域功能级别 全局组 通用组 域本地组 本地组 组的创建位置 组命名规则 组 组使管理员能够一次性对资源分配权限，从而简化管理 组的作用域 通用组的成员可包括域树或森林中任何域中的其他组和账户，可在该域树或森林中的任何域中指派权限 全局组的成员可包括只在其中定义该组的域中的其他组和账户，可在森林中的任何域中指派权限 域本地组的成员可包括 Windows Server?2003、Windows?2000 或 Windows?NT 域中的其他组和账户，而且只能在域内指派权限 域功能级别 全局组 通用组 域本地组 本地组 组的创建位置 在森林的根域、森林的任何其他域、组织单位创建组 根据管理需要选择域或组织单位来创建组 例： 目录有多个组织单位，每个拥有不同的管理员，可以为这些组织单位创建全局组 组命名规则 管理组成员 “成员”和“隶属于”属性 演示 “成员”和“隶属于” 确定用户账户的从属组 在组中添加和删除成员 “成员”和“隶属于”属性 在组中添加和删除成员 通过使用“Active?Directory 用户和计算机”来添加成员 通过使用“属性”对话框的“隶属于”选项卡来添加用户账户或组 使用组应用策略 组嵌套 组策略 组嵌套 意味着将组作为其他组的成员 组策略 域用户账户 （存储在 Active Directory） 本地用户账户（存储在本地计算机） Windows Server 2003 域 创建用户账户时应该考虑： 雇员重名 不同类型的雇员，例如临时雇员或合同雇员 地理设计 Users North America Users South America 商业设计 Users Accounting Users Sales 防止用户使用选中的账户登录 账户已禁用 描述 账户选项 防止用户更改自己的密码 用户不能更改密码 用户必须在下次登录到网络时更改自己密码 用户下次登录时须更改密码 防止用户密码过期 密码永不过期 创建本地和域服务账户 创建新的本地账户（不在本地登录） 限制更改密码 遇到以下情况，使用这个选项 选项 创建新的域账户 重设密码 要求更改密码 用户账户的属性对话框 计算机账户的属性对话框 组的特点是根据作用域和类型来定义 描述 组类型 仅仅能够与 电子邮件应用程序配合 使用，不能用来分配权限 分布 常常用来分配用户权利和权限， 具有通讯组功能 安全 组作用域的判断主要考虑是否需要扩展到多个域或限制在一个域中 三种组作用域：全局、本地域、通用 组 全局、本地域 Windows NT? Server 4.0, Windows Server 2000, Windows Server 2003 全局、本地域、通用 Windows Server 2000, Windows Server 2003 全局、本地域、通用 Windows Server 2003 支持的域控制器 支持的组作用域 Windows 2000 混合模式 （默认） Windows 2000 本机模式 Windows Server 2003 全局组规则 混合模式：同一个域中的用户账户 本机模式：同一个域的用户账户和全局组 成员 在自己和所有信任的域里可见 作用域 混合模式： 域本地组 本机模式： 任何域里的通用和域本地组，以及相同域的全局组 可作为右边表格中所示组的成员 林中所有域 权限 通用组规则 混合模式：不适用 本机模式：用户账户、全局组和森林中任何域的其他通用组 成员 森林中所有域都可见 作用域 混合模式：不适用 本机模式：任何域中的域本地组和通用组 可作为右边表格中所示组的成员 森林中所有域 权限 域本地组规则 混合模式：任何域中的用户账户和全局组 本机模式：森林中任何域的用户账户、全局组和通用组，以及同一域中的域本地组 成员 仅在自己所在的域中可见 作用域 混合模式：无 本机模式：同一域中的域本地组 可作为右边表格中所示组的成员 域本地组所属的域 权限 本地组规则 计