AD用户管理与创建.doc

AD用户的管理和创建实验 实验步骤: 创建域用户账户 创建域组账户 用户跨域访问的组间嵌套 用户漫游与强制配置文件 实验拓扑图: IP：0C1IP：00NDS:0(S3)双向信任(S2)(S1)赋 权嵌 套加 入 IP：0 C1 IP：00 NDS:0 (S3) 双向信任 (S2) (S1) 赋 权 嵌 套 加 入 任务一: 创建域用户账户 1.我们在S1上打开mmc控制台添加AD的相关组件,展开AD用户和计算机右键域选新建组织单位 输入名称“test”确定. 2.选中”test”OU在其右侧点右键新建用户,输入用户登陆名,接着输入用户密码 这样我们域当中的域用户已经建立好了,他隶属于域用户组. 任务二: 创建域组账户 1.在testOU的右侧新建组cht全局组 2.同样我们可以建立其它的类型的组如域本地与安全的组,至于通信组只在AD与exchange邮件系统集成时才能发挥其相应的作用在此我们不做选择.通用组作用域只在当域被提升为2003功能级别时,才会出现,如下图我已经将域提升为2003功能级别. 3.我具体说明一下这三种组作用域区别,如下表 组 特性 通用组 全局组 域本地组 成 员 所有域 同一个域内的用户和全局组 所有域内的用户,全局组,通用组，同一个域内的域本地组 可以在哪一个域内被设置使用权限 所有域 所有域 同一个域 任务三: 用户跨域访问的组间嵌套 1.当一个本地域用户需要访问其它受信任域资源时做AGDLP的赋权过程,A指的是本地域用户,G指的是本地域的全局组,DL指的是受信任域的域本地组,P指的是给被访问的资源授予相应的权限. 具体做法是将A加入到G,接着将G加入DL,最后在被访问的资源上给DL赋权. 2.再介绍一下AGGDLP的赋权方式,当有多个用户在不同的全局组中时将多个全局组加入到一个固定的全局组,然后将该全局组加入到需要访问域的域本地组即可！ 任务四: 用户漫游与强制配置文件 1.在做用户漫游配置文件之前,首先在S1的E盘上建立一个名为“share”的共享文件夹,并设置文件夹的共享权限和NTFS权限,如图 在安全选项卡中,使(cht/users)域用户有修改的权限, 2.打开mmc控制台在AD的用户和计算机组件处选上述建立的“test”OU,在右侧右键以前的user1用户,选属性 3.在配置文件选项卡的配置文件路径,输入\\共享文件夹所在计算机的IP地址\共享文件夹名\用户名,例如在这里我将输入\\0\share\user1 ,确定以后即可！ 4.我们用user1用户登陆S1并在桌面上添加一个文档名为“漫游配置test” 5.接着我们在S1上注销user1用户,并在加入到域的客户机C1上登陆,我们会发现文档“漫游配置test” 6.这样我们的漫游配置文件就成功了,接着介绍强制漫游配置文件,我们用user1在S1上登陆打开E盘进入share文件夹下的user1文件夹下,最后将NTUSER.DAT该名为NTUSER.MAN 7．完成后,我们注销user1,再用user1登陆S1服务器,在桌面上我们删除文档“漫游配置.txt” 8.我们注销user1在到客户机上C1或服务器S1登陆,我们会发现“漫游配置.txt”又会神奇的出现在桌面上. 这样我们的强制漫游配置文件就成功！！！