第6章组账户的管理重点.ppt

第6章 组账户的管理 6.1 本地组与域组 我们知道,用户帐户分为本地用户帐户和域用户帐户,同样,组也分为本地组与域组。 用户在非域控制器的计算机上创建的组，称为“本地组”。这些组账户存储在“本地 安全账户数据库”内．本地组只限于在本地计算机使用，即只能访问本地计算机的资源。 用户在Windows Server 2003域控制器上创建的组称为域组。这些组账户存储在Active Directory数据库内。这些组适用于所有属于这个域的计算机，即它们能够访问所有计算机的资源，条件是要有适当的权限。 6.2域组的类型 Ｗindows Server 2003将域中的组分为两种类型：安全组和分布式组。 安全组：安全组可以被设置权限。例如：可设置让安全组对文件有“读取”或“改写”的权限。安全组也可用在与安全无关的任务上，如，可以通过电子邮件软件将电子邮件发送给安全组。 分布式组：分布式组用在与安全无关的任务上。例如：可以通过电子邮件软件将电子邮件发送给分布式组。用户不能设置分布式组的权限。 注意：应用程序只有在支持活动目录的情况下，才可以使用分布式组。 安全组和分布式组之间可以互相转换。只是这种转换有条件限制，即只有在域功能级别设置为“Windows 2000纯模式”或者“Windows Server 2003”时才可以转换。在“Windows 2000 混合模式”级别中无法转换组类型。 6.3 内置的组 Windows Server 2003操作系统能够自动创建一些组。其中有些组是安装时被创建在本地计算机中，有些组是当升级成域控制器时被创建在Active Directory 数据库中。 6.3.1内置的本地组 以下是常用的本地组： Administrators 该组成员用户都具有系统管理员权限，即拥有使用该计算机的最大权限。 Backup Operators 属于该组的用户，不管是否具有访问权限，都可以通过“开始”? “程序”?“附件”?“系统工具”?“备份”，来备份与还原该计算机的文件与文件夹。 Guests 该组成员用户称为来宾用户，默认具有与用户组成员同样的访问权，但来宾账户限制更多，如不能更改账户密码。 Network Configuration Operators 属于该组的用户可在用户计算机进行一些简单的网络设置，如更改IP地址，但不能将计算机设成网络服务器。 Performance Log Users 属于该组的成员可以对该计算机远程访问，以计划此计算机上性能计数器的日志。 Performance Monitor Users 该组的成员可以远程访问以监视该计算机。 Power Users成员拥有大部分管理权限，但比Administrators的权限要少一些。成员用户可以运行经过验证的应用程序，也可运行旧版应用程序。 Print Operators 该组成员可以管理域打印机。 Remote Desktop Users 该组成员具有远程登录的权限。 Users 该组成员拥有一些基本的权限，但默认无法更改系统设置。该组用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。 这些本地组保存在“本地安全账户数据库内”。它们具有管理计算机的能力。加入到这些组中的用户账户，也会具有同等的权利及权限。 要建立本地组,可以打开“开始”?“管理工具”?“计算机管理”?“本地用户和组”,或者右击“我的电脑”?“管理”,打开如图6-2所示的画面。 图6-2 选择“新建组” 单击图中的“新建组”，打开如图6-3所示的画面。就可以新建一个本地组。按“创建”之前，还可通过“添加”?“高级”?“立即查找”，添加该组成员。 6.3.2 内置的本地域组 建立域之后,在域控制器中就会自动建立本地域组。用户不能对这些本地域组随意删 除、移动及重命名。加入本地域组的账户拥有管理整个域及活动目录的权利。这些本地域组存在活动目录的Builtin容器内。 Network Configuration Operators等组与本地组重名，它们的功能与对应的本地组相似，一点区别就是本地组的权利和权限只局限于本地计算机，而本地域组则可扩充到整个域内的所有计算机。 以下是几个常用的本地域组： Account Operators:该组成员可以登录域控制器、新建/删除及管理域用户账户和组，但不能更改及删除下列组及其成员：Administrators、Domain Admins、Print Operators、Server Operators、Account Operators、Backup Operators。 Administrators:该组成员拥有最高的权利与权限，对整个域有最大的控制权。 Backup Operators:该组成员拥有如下权利：在本地登录、系统