[域控中管理计算机和用户帐号.doc

域控中 管理计算机和用户帐号??管理计算机和用户帐号 在Windows2000中用户可以在活动目录用户和计算机管理工具中实现建立用户帐号、计算机帐号、组、安全策略等项。它可以用于建立或编辑网络中的用户、计算机、组、组织单位、域、域控制器、以及发布网络共享资源。活动目录用户和计算机管理器是安装在域控制器上的目录管理工具，且用户可以在Windows2000 Professional 中安装它的管理工具，以便利用客户机对活动目录进行远程管理。本章介绍了Active Directory用户和计算机的常用管理工具的使用：1. 账户、组、组织机构相关的基本概念2. 用户和计算机账户的配置与管理3. 组的创建和管理4. 组织机构的添加与管理5. 资源的发布和搜索6. 域和域间信任的管理 　　7.1 基本概念　　活动目录用户和计算机管理器中的帐号标识的是一个物理实体如计算机或用户，计算机和用户的帐号在它们登录到网络或访问域中的资源时提供安全信任。帐号可以用于：　验证计算机或用户的身份　允许访问域中资源　审核用户或计算机帐号的活动7.1.1 用户帐号　　用户帐号能够让用户以授权的身份登录到计算机和域中并访问其中资源。用户帐号也可以作为某些软件的服务帐号。 　　7.1.2 计算机帐号　　每一个运行 Windows 2000 和 Windows NT 的计算机在加入到域时都需要一个计算机帐号，就象用户帐号一样，被用来验证和审核计算机的登录过程和访问域资源。7.1.3 组　　组是可包含用户、联系人、计算机和其他组的 Active Directory 或本机对象。使用组可以：　管理用户和计算机对 Active Directory 对象及其属性、网络共享位置、文件、目录、打印机列队等共享资源的访问。　筛选器组策略设置　创建电子邮件通讯组　　有两种类型的组：　安全组　通讯组　　安全组用于将用户、计算机和其他组收集到可管理的单位中。为资源（文件共享、打印机等等）指派权限时，管理员应将那些权限指派给安全组而非个别用户。权限可一次分配给这个组，而不是多次分配给单独的用户。使用组而不是单独的用户可简化网络的维护和管理。　　通讯组只能用作电子邮件的通讯组。不能用于筛选组策略设置。通讯组无安全功能。　　任何时候，组都可以从安全组转换为通讯组，反之亦然，但仅限于域处于本机模式的情况下。域处于混合模式时不能转换组。下表总结了域模式对组的作用。7.1.4 组作用域　　每个安全组和通讯组均具有作用域，该作用域标识组在域树或树林中所应用的范围。有三类不同的作用域通用、全局和域本地。通用作用域?全局作用域?域本地作用域 在本机模式域中，可将其成员作为来自任何域的帐户、来自任何域的全局组和来自任何域的通用组。? 在本机模式域中，可将其成员作为来自相同域的帐户和来自相同域的全局组。? 在本机模式域中，可将其成员作为来自任何域的帐户、全局组和通用组，以及来自相同域的域本地组。 在本机模式域中，不能创建有通用作用域的安全组。? 在本机模式域中，可将其成员作为来自相同域的帐户。? 在本机模式域中，可将其成员作为来自任何域的帐户和全局组。 组可被放入其他组（当域处于本机模式时）并且在任何域中指派权限。? 组可被放入其他组并且在任何域中指派权限。? 组可被放入其他域本地组并且仅在相同域中指派权限。 不能转换为任何其他组作用域。? 只要它不是有全局作用域的任何其他组的成员，则可以转换为通用作用域。? 只要它不把具有域本地作用域的其他组作为其成员，则可转换为通用作用域。7.1.5 内置和预定义组　　安装域控制器时，部分默认的组安装于 Active Directory 用户和计算机控制台的内置和用户文件夹中。这些组是安全组并且代表一些公用的权利和权限集合，可用于将某些角色、权利和权限授予用户放入默认组的帐户和组。　　有域本地作用域的默认组放在内置文件夹中。有全局作用域的预定义组放在用户文件夹中。可将内置和预定义组移动到域中的其他组或组织单位文件夹，但不能将它们移动至其他域。内置组：　　放入Active Directory 用户和计算机的内置文件夹中的默认组为：帐户操作员 、管理员 、备份操作员 、来宾 、打印操作员 、复制器 、服务器操作员、用户 。下表显示了这些组拥有的默认权利：用户权利?允许?在默认情况下分配有此权利的组从网络访问该计算机?连接到网上的计算机。?管理员、每个人、超级用户备份文件和文件夹?备份文件和文件夹该权利将取代文件和文件夹权限?管理员、备份操作员旁路遍历检查?即使用户没有访问父文件夹的权限，也可在文件夹之间移动以访问文件。?每个人更改系统时间