建立基本的服务平台..docVIP

第七章 建立Win2000服务平台 实验一 组管理 知识背景 组是同类对象的集合，它可以包含用户、计算机和其它组等对象。利用组可以管理用户和计算机对共享资源的访问，按组进行组策略的设置。 利用组来管理用户账户可以简化网络的管理。将性质相同的用户纳入同一个组中，当对该组设置了权限后，则该组中所有用户就同时享有此权限，避免了管理员对每个用户设置权限，简化了管理。 Windows 2000支持两种类型的组：安全组和分布式组。本实验只涉及安全组。安全组是用来设置权限的。 从组的使用范围来分，可以分为三种：全局组、本地域组和通用组。 全局组主要是用来组织用户的。全局组内可以包含同一个域的用户账户与全局组，可以访问任何一个域内的资源。本地域组具有所属域的访问权限，以便访问本域的资源。本地域组的成员可以是同一个域的本地域组，也可以是任何域内的账户、全局组和通用组，他们能访问的资源只是该本地域组所在域的资源。通用组可以访问任何一个域内的资源，通用组可以包含所有域内的用户账户、全局组和通用组。当然上面所说的访问权限是要经过设定的。 安装域控制器时，系统会自动生成一些组，称为内置组。这些组都定义了一些常用权限，通过将用户加入到这些内置组中，可使用户获得相应的权限。“Active Directory用户和计算机”控制台的“Builtin”和“Users”组织单元中就是内置组。内置的本地域组在“Builtin”组织单元中，内置的全局组在“Users”组织单元中。 内建组： 在“Active Directory用户及计算机”的管理工具中，点树状目录下的“Builtin”文件夹，Windows 2000建立了内建组。 Account Operators（账户操作员）：该组的成员能操作用户管理员所属域的账号和组，并可设置其权限。但是该组成员无法修改Administrators及Operators组及权限。 Administrators（管理员）：该组的成员可以完全不受限制地存取计算机/域的资源，是最具权力的一个组。通常，Administrator账户与Domain Admins组都是它的成员。 Backup Operators：该组的成员可使用Windows备份工具来进行备份/还原工作。 Guests：该组的成员只能享有管理员授予的权限以及存取指定权限的资源。通常，Guest账户与Domain Guest组都是该组的成员。 Printer Operators：该组的成员可以管理网络打印机，包括建立、管理以及删除网络打印机。 Replicator：该组的成员支持域中的文件复写，可启动目录复制程序进行目录复制。 Server Operators：该组的成员可以管理域服务器，包括：建立/管理/删除任何服务器的共享目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘、锁定服务器以及变更服务器的系统时间等权限。 Users：该组的成员只可以执行得到授权的应用程序，而且不可执行大部分的继承应用程序。 通用组： 在“Active Directory用户及计算机”的管理工具中，点树状目录下的“Users”文件夹，Windows 2000建立了内建的通用组来组织不同状态的用户账户 Domain Admins：该组代表具有操作域权力的用户，通常，Domain Admins属于Administrators组，因此该组的成员可以在域中执行管理工作。Windows 2000 Server不会将任何我们所建立的账户放到Domain Admins 组中，而内建的Administrator账户是其唯一的成员。因此，如果希望某一用户成为域系统管理器，建议将该用户加至Domain Admins组中，而不要直接加至Administrators组中。 Domain Guests：所有域来宾，Windows 2000会自动将Guest用户账户加至该组，并将该组加至内建组Guests组中。 Domain Users：通常，我们所建立的用户账户都是Domain Users组的成员，而所建立的计算机账户都是Domain Computers组的成员。因此如果想要让所有的账户都具有某种资源存取权限，则将该权限指定给Domain Users组或让Domain Users组属于具有该权限的组。Domain Users组是内建组Users的成员。 【实验条件】 建立一个Windows 2000的网络，其中有一台域控制器， 一台Windows 2000 Professional工作站（），一台Windows98工作站（）。 【实验说明】 对组作基本管理 【实验任务】 1 组的添加、删除与更名 2 添加组的成员、将组添加到其它组中 【实验目的】 熟悉 Windows2000 Server 中组的管理