WindowsServer域及其帐户管理.ppt

第3章 Windows Server 2003域及其账户管理 张书源 局域网中两种常见的组织方式 域网络的结构 单域网络的构建 删除域控制器 多域网络 域信任关系 信任类型 多域网络的构建 域帐户管理 一、计算机账户 二、共享资源账户 三、域用户帐户 创建域用户帐户 域用户帐户的组织 域用户帐户的使用 域用户帐户属性的设置 常规选项卡 账户选项卡 登录时间限制 登录机器限制 隶属于选项卡 配置文件选项卡 本地用户配置文件和漫游用户配置文件 漫游用户配置文件的设置方法 漫游原理 几点说明 主文件夹和登录脚本 四、域组账户 系统内置组 新建组账户 组作用域 组类型 组规划策略 权限设置 小结 练习题 实验二 域结构网络的创建 预习 实验三 域账户管理 预习 默认情况下，用户配置文件位于用户登录时使用的计算机上。所以，当一个用户使用不同的计算机上登录过后，在每台计算机上都会产生各自的配置文件。 如果使用漫游配置文件，则配置文件可存放在一台指定的计算机中，不论用户在哪台计算机上登录，使用的都是同一个配置文件，这样就可做到让配置文件跟着用户走的效果。 注：只有在域环境才能设置和使用漫游用户配置文件。 1、对存放配置文件的计算机进行设置 选择域中的一台计算机（可以是域控制器，也可以是成员计算机），在其上创建一个文件夹，将该文件夹设置为共享，共享权限为“Everyone 完全控制”，NTFS权限也为“Everyone 完全控制”。 2、在域控制器上配置漫游用户配置文件路径 在用户的配置文件选项卡中，指定配置文件的路径名，其格式为：\\计算机名\文件夹名\%Username% 当用户第一次登录域时，域控制器会根据设置的路径在指定的计算机中为该用户创建配置文件。 以后不论用户在哪台计算机上登录域，域控制器都会将该配置文件下载到用户所在的计算机中。 如果用户修改了配置文件内容，当用户注销时，他的配置文件会被上传到指定的计算机中。 Everyone：这是一个特殊身份组，表示所有人。 特殊身份组的成员是根据条件生成的，不能人为设置。 共享权限和NTFS权限：用来限制用户对文件夹的访问权限。网络用户访问共享文件夹时的权限同时受共享权限和NTFS权限的限制。 主文件夹与用户配置文件类似，也可以用来存放用户的个人文档。但该文件夹不会在用户登录时自动下载到用户所在的计算机上，所以不会影响用户的登录速度。 登录脚本是用户在登录时希望自动运行的脚本文件，可用于对登录环境进行初始化。 组帐户用于组织用户账户。每个组帐户可以赋予一定的权力和权限。当需要给一个用户账户某种权利或权限时，只要把它加入相应的组即可。 一个用户账户可同时隶属于多个组，它的权利和权限是各个组权限的叠加。 在域中允许组的嵌套，即一个组的成员可以是用户账户，也可以是另一个组。（本地账户的组不能嵌套） 在创建域时系统会自动创建一些内置组。这些组位于活动目录中的Builtin容器和Users容器中。 常用的内置组有： Domain Admins：域管理员组。该组成员具有对本域的完全控制权。默认成员有 Administrator账户。 Enterprise Admins：企业管理员组。仅出现在林根域中。该组成员具有对林中所有域的完全控制权。默认成员有 Administrator账户。 Administrasors：管理员组。该组成员具有对域中所有域控制器的完全控制权。默认成员有 Domain Admins组、Enterprise Admins组、Administrator账户。 Domain Users：域用户组。默认情况下域中创建的所有用户账户都会自动成为该组的成员。 Domain Computers：域计算机组。默认情况下域中所有计算机账户都会自动成为该组的成员。 Domain Controllers：域控制器组。该组包含了此域中的所有域控制器。 Domain Guests：域来宾组。该组包含了所有域来宾。 Users：用户组。该组成员可执行大部分常见任务，如运行应用程序、使用打印机等。默认成员有 Domain Users等，因此域中所有用户账户都会自动成为该组的成员。 在活动目录上单击右键，选择“新建 | 组”； 在弹出的对话框中设置组名、组类型、组作用域等参数，就建立了一个组帐户； 双击组帐户，弹出该组帐户的“属性”对话框，可以变更组帐户的参数、向组中添加或删除成员等。 全局组：成员只来自本地域；成员可以访问任何域内资源。 本地域组：成员可来自任何域，成员可访问本地域内的资源。 通用组：成员可以来自任何域；成员可以访问任何域内资源。 对于单域网络，通常只定义全局组和本地域组。 对于有信任关系的多域网络，应根据情况授权某些用户的跨域访问权限。 通信组：用于创建电子邮件通信组列表。一般在部署了电