4_实现用户,组与计算机帐号.ppt

4.5.4 规划组帐号策略的指导原则 把具有相同工作职责的用户添加到全局组中 为了共享资源而建立域本地组 把希望访问资源的全局组加入到域本地组中 使用通用组获得多个域上资源的访问权限 当成员关系很少发生变动时使用通用组 4.6 规划活动目录的审核策略 为什么审核对活动目录的访问？ 监视对活动目录所作更改的指导原则 4.6.1 为什么审核对活动目录的访问？ 记录所有对活动目录的成功更改 对某个特定帐号访问资源进行跟踪 检测和记录失败的访问企图 4.6.2 监视对活动目录所作更改的指导原则 启用: 审核帐号管理事件 审核策略更改的成功事件 审核失败的系统事件 只有在需要时才启用审核策略更改事件以及帐号管理事件 * * 第四章: 实现用户、组和计算机帐号 北大青鸟昌平校区 实现用户、组和计算机帐号 概述 帐号简介 建立和管理多个帐号 实现用户主名后缀 在活动目录中移动对象 规划用户、组和计算机帐号的策略 规划活动目录的审核策略 4.1 帐号简介 帐号的类型 组的类型 什么是域本地组？ 什么是全局组？ 什么是通用组？ 4.1.1 帐号的类型 用户帐号 为用户提供“单一验证” 提供对资源的访问 计算机帐号 为计算机访问资源提供验证和审核 组帐号 有助于简化管理 4.1.2 组的类型 分布组 仅被电子邮件应用程序使用 不具有安全属性 安全组 为用户和计算机分配权利和权限 当嵌套使用时，更为有效 域的功能级别决定了可以建立的组的类型 4.1.3 什么是域本地组？ 一个安全组或分布组可以包含: 通用组、全局组以及本域的其它域本地组 森林中任何域的帐号 4.1.4 什么是全局组？ 一个安全组或分布组可以包含本域的用户、组和计算机 4.1.5 什么是通用组？ 一个安全组或分布组可以包含森林中任何域的用户、组 和计算机 4.2 建立和管理多个帐号 建立和管理多个帐号的工具 如何使用Csvde工具建立帐号 如何使用Ldifde工具建立和管理帐号 如何使用Windows Script Host建立和管理帐号 4.2.1 建立和管理多个帐号的工具 Active Directory Users and Computers 目录服务工具 Dsadd Dsmod Dsrm Csvde 和 Ldifde 工具 Windows Script Host 4.2.2 如何使用Csvde工具建立帐号 教师将演示如何使用Csvde命令行工具建立帐号 Dn,objectClass,sAMAccountname, userPrincipalName,displayName, userAccountControl cn=suzan fine,ou=sales,dc=nw,dc=com,user,suzanf,suzan fine,suzanf@,514 cn=mark john,ou=sales,dc=nw,dc=com,user,markj,mark john,markj@,514 4.2.3 如何使用Ldifde工具建立和管理帐号 #Create paul adare DN:cn=paul adare,ou=sales,dc=nw,dc=com Changetype:add objectClass:user sAMAccountName:paula displayName:paul adare userPrincipalName:paula@ userAccountControl:514 #Create greg weber DN:cn=greg weber,ou=sales,dc=nw,dc=com Changetype:add objectClass:user sAMAccountName:gregw displayName:greg weber userPrincipalName:gregw@ userAccountControl:514 4.2.4 如何使用Windows Script Host建立和管理帐号 Set objDomain = GetObject(LDAP://dc=fabrikam,dc=com) Set objOU = objDomain.Create(organizationalUnit, ou=Management) objOU.SetInfo Set objOU = GetObject(LDAP://OU=management,dc=fabrikam,dc=com) Set objUser = objOU.Create(User, cn= AckermanPila) objUser.Put sAMAccountName, Ac