用户帐号.ppt

第六章 管理活动目录 内容 建立、构成和管理活动目录目录服务的逻辑结构 创建和管理活动目录对象 管理组 控制活动目录对象的访问 控制活动目录对象的授权管理 6.1创建和管理活动目录对象 创建组织单元的层次结构 创建组织单元 创建用户帐号 创建计算机帐号 移动和定位对象 6.1.1管理组织单元（OU） OU是活动目录的容器（包含着其它对象，用户帐号、组和计算机帐号，也可包含其他OU） OU帮助用户为用户的域规定管理界限 模拟伙伴的组织结构或管理需要 允许用户授权对用户帐号、组或其他资源进行管理控制 6.1.2管理用户账户 用户账户是用来记录用户的用户名和口令、隶属的组、可以访问的网络资源，以及用户的个人文件和设置。每个用户都应在域控制器中有一个用户账户，才能访问服务器，使用网络上的资源。 活动目录的账户主要用于：验证用户或计算机的身份；授权对域资源的访问；审核用户或计算机账户所执行的操作等。 操作：创建、移动、删除、密码重设 图6-01 建立OU、用户帐号、计算机帐号 图6-8 创建用户 图6-10 用户属性的“账户”选项卡 用户帐号的类型 域用户帐号 建立在域控制器的活动目录数据库中 本地用户帐号 建立在独立服务器、成员服务器和Professional的本地安全数据库内 内置的用户帐号 Administrator（系统管理员） Guest（客户） 具备管理帐户权限的用户： Administrator Account Operators组内的用户 6.1.3管理计算机账户 每个加入域的Windows 2000和Windows NT计算机都具有计算机账户，否则无法进行域连接，实现域资源的访问。 计算机账户为计算机提供安全凭据，用来认证和审核计算机，并授予计算机某种权限以获得对网络资源的访问，审核计算机账户所执行的操作等 图6-18 添加计算机账户 6.1.4对象的移动 原因：组织或管理功能发生改变时，将对象在活动目录的OU间移动 移动原则：不改变对象的物理结构，而在域中移动对象 对象权限随对象移动，保持不变 继承的权限不移动 用户能够移动多个对象 对象移动2—权限变化 在OU间对象移动时，对象的权限遵循下述规则： （1）直接授予对象的权限保持不变； （2）任何从以前OU继承的权限.不移动，对象从新的OU继承权限。 在操作时可以同时移动多个对象。 移动对象的方法是：在“活动目录用户和计算机”中，右击想移动的对象，然后单击“移动”。在“移动”对话框中，展开域树，单击想把此对象移动到的载体，然后单击“确定”。 对象移动3—定位对象 便于管理员定位不同类型的对象和网络资源 “活动目录用户与计算机/操作/搜索”对话框操作 针对搜索结果进行管理操作 图6-21 “查找”对话框 6.2管理组 在Windows 2000中，组可以用来管理用户和计算机对网络资源的访问，还可以筛选组策略。使用组，方便了管理访问目的和权限相同的一系列用户和计算机账户。 管理员在赋予用户或计算机账户权限时，如果它们的权限各不相同，必须分别为它们设置；如果它们的权限相同，就可以将这些用户或计算机划归到一个组中，使这些用户成为该组的成员，然后通过赋予该组权限来使这些用户或计算机都具有了相同的权限。 6.2.1组与组织单位的区别 组主要用于权限设置，而组织单位则主要用于网络构建；另外，组织单位只表示单个域中的对象集合（可包括组对象），而组可以包含用户、计算机、本地服务器上的共享资源、单个域、域目录树或目录林。 图6-22 “新建对象-组”对话框 6.2.2组的类型 安全组 可授予或拒绝用户与计算机组的权限，发送e-mail信息 如果用户没有特殊的安全目的组计划，则不需建立安全组 分布组 能够发送e-mail信息，不作安全用途 使用分布组而非安全组可减小访问令牌的工作量 6.2.3域的模式 混合模式 本机模式 更改域模式 6.2.4组作用域 域本地组 成员来自森林中的任何域 访问权限限制在自己的域内 全局组 本机模式下可包含此组所在域中的用户帐号和全局组 混合模式下，包含此组所在域的用户帐号 拥有访问森林中所有域的权限 组作用域2 通用组 适用于本机模式 包含森林中任何用户帐号、全局组和其他通用组 拥有对森林中所有域的访问权限 全局目录保留通用组成员列表，通用组成员变化复制于所有全局目录服务器上 尽量减少通用组的使用 6.2.5组的使用准则 全局组与本地域组的配合使用 “A、G、DL、P”策略： 就是将用户帐户加入全局组内，将此全局组加入到本地域组内、指派适当的权限给此本地域组。经过这些步骤后，上述用户帐户就会具备该有的权限。 适用于单一域的网络环境 全局组与通用组的配合使用 适用于多域的网络环境 全局组与本地域组的配合使用 “A、G、DL、P”策略