第3章域用户和组管理教程.pptx

第三章 域用户与组账户的管理;概述;介绍用户和组;用户登录名;创建和删除一个UPN后缀;新建组织单元;升级成DC前后的变化;Active Directory Users and Computers;9;使用CSVDE创建多用户帐号;使用LDIFDE创建多用户帐号;使用dsadd.exe 等程序;执行公共的管理任务;限制用户登录;查询用户帐号;DC之间用户和组数据的复制;在活动目录中使用组;介绍活动目录中的组;使用全局组(Global);使用通用组(Universal);使用域本地组(Domain Local);在域中使用组的策略;使用全局和域本地组;使用通用组的嵌套策略;康博公司是一家大型软件公司，总部设在北京，在上海有一家分公司。公司在企业内部建立了域名为的域，在上海的分公司也创建了子域，从而形成了域树。 后来公司创办了一个电子物流公司，名为博通，总部设在大连。博通在总公司的林中创建了自己的域环境 。所有子公司和总公司之间都存在信任关系，方便资源相互访问。 ;大连公司的账目资料都保存在一台财务部专用服务器上。因为是公司机密信息，安全性比较高，所有资料仅允许财务部门的人员访问。怎样分配权限最方便？ 大连的管理员为了方便管理，为财务部门创建了一个域本地组 dlf，在服务器上赋予 dlf 组访问财务数据的权限。这就是 A-DL-P。 现在大连的公司财务部门出了一点问题，需要从北京、上海各找 10 个人支援一下。这就要求北京和上海公司的用户也可以访问该服务器上财务部的资源，应该怎样设置组和权限？ ;不再使用组，我们也可以实现这个功能，就是直接把用户帐户添加到财务部资源的访问控制列表中。;如何使用组来实现更方便的管理？ 上海和北京的管理员分别为各自要帮助大连的10 个人创建了一个全局组 bjf 和 shf ，然后大连的管理员仅仅添加 bjf 和shf 到dlf 即可完成权限的添加，而不需要关心到底是哪些人来支持财务部工作，然后一个一个添加了。对于最终资源来说，它感觉自己没有变化，因为自己始终都是允许被 dlf 访问，并没有发生变化。这就是著名的 A-G-DL-P 的使用。;在上面的例子中，假设有很多域，有很多全局组，就推荐使用 AGUDLP，在每个域中分别创建了全局组后，应用通用组来管理全局组，最后把通用组加入到域本地组，进行权限的设置。;QA： 既然通用组来自全林用于全林，看起来似乎比全局组更方便，可以完全取代全局组的，为什么不这么做？ 由于通用组成员来自于全林，而且它信息是存储在全局编录中的，任何的变化都会导致全林复制，这个复制流量不可忽视。在全局编录中一般存储一些不太经常发生变化的信息。由于用户帐户是会经常发生变化的，所以，强烈建议不要直接添加用户帐户到通用组，而是先添加帐户到全局组，然后再把这些相对稳定的全局组添加到通用组.。;练习1：在目录树和目录林中使用组;34;在目录树和目录林中使用组（1-2）;在目录树和目录林中使用组（1-3);在目录树和目录林中使用组（1-4）;在目录树和目录林中使用组（1-5 );在目录树和目录林中使用组（2-1）;在目录树和目录林中使用组（2-2）;在目录树和目录林中使用组（2-3）;使用组的方针;总结：