管理Actve_Directory组对象和组策略.ppt

第4章 管理Active Directory组对象和组策略 组是用户或计算机账号的集合。 通过使用组可以将权限分配给一组用户而不是单个用户账号。当将权限分配给组时，组的所有成员都将继承那些权限，这样可以简化网络管理。 组中可以包含用户，计算机组，打印机，共享文件夹； 一个用户可以是多个组的成员； 新设的组的权限：用户新添加入组，所得权限须在重新登录后才有作用。 工作组中的组和域中的组 工作组中的组 创建在非DC的计算机上； 驻留在SAM数据库中； 只能访问本地资源 。 域中的工作组 只在DC上； 在AD中； 访问域中的计算机中的资源。 第一节 本地组 一、本地组类型 1. 本地组（Local Groups） 本地组可以在任何一台基于Windows Server 2003的非DC计算机上创建，通过将用户加入到相应的本地组赋予相应的权限，就可以控制用户对本地计算机上资源的访问。 本地账户信息是放置在创建该组的计算机内的数据库中，因此其作用范围只限于在创建该本地组的计算机上。 2. 内置组（Built-in Groups） 在安装运行 Windows Server 2003 的独立服务器或成员服务器时，会自动创建内置组。内置组具有一些特定的事先赋予的权力，用以完成某些特定的系统任务。 内置