02.管理域用户与组帐户.pptVIP

学习目标 掌握域用户帐户的创建和基本管理 掌握域组帐户的创建和基本管理 能够提升域功能级别 了解组的使用规则，理解组的嵌套 用户帐户Account 人在社会中有名字，在计算机网络中有用户帐号 用户帐户是用户在网络上的标识，每个用户都有自己的用户帐户，并被赋予使用相应资源的权限及许可 用户在登录Logon时输入用户名及密码 用户帐号的管理由管理员完成的 帐号的管理，对资源的访问权限的管理 管理员帐户也是计算机的用户，用有管理权限的用户帐户访问计算机 本地用户帐号:是创建在非域控制器的“本地安全帐户数据库”内。用户可访问本计算机的内的资源。 Local User Accounts 访问本地计算机 存在于本地帐户数据库中SAM（ Security Account Manager ） 域用户帐号：存储在域控制器的Active Directory数据库中。用户可访问整个域中的资源。 Domain User Accounts 用于访问AD网络资源 存在于AD数据库中 账户类型 组类型 域本地组 全局组 通用组 AD用户帐户和计算机帐户 Active Directory 用户帐户和计算机帐户代表物理实体，例如计算机或人。用户帐户也可用作某些应用程序的专用服务帐户。 用户登录名-在同一个域中是唯一的 用户主体名(UPN)-在整个林中是唯一的 用户帐户和计算机帐户（以及组）也称为安全主体。安全主体是被自动指派了安全标识符 (SID)（可用于访问域资源）的目录对象。 用户主体名称 用户或计算机帐户用于： 验证用户或计算机的身份。 用户帐户使用户能够利用经域验证后的标识登录到计算机和域。登录到网络的每个用户应有自己的唯一帐户和密码。为了获得最高的安全性，应避免多个用户共享同一个帐户。 授权或拒绝访问域资源。 一旦用户已经过身份验证，那么就可以根据指派给该用户的关于资源的显式权限，授予或拒绝该用户访问域资源。 管理其他安全主体。 Active Directory 在本地域中创建外部安全主体对象，用以表示信任的外部域中的每个安全主体。 审核使用用户或计算机帐户执行的操作。 审核有助于监视帐户的安全性。 更改域用户账户 禁用、启用账户 重命名账户 删除账户 重设密码 解除被锁定的账户 创建和管理多个账户的工具 DEMO 一次添加多个用户帐号 csvde.exe 可以添加用户帐户（或其它类型的对象）但不能用它来修改或删除用户 ldifde.exe 可以添加、删除、修改用户帐户（或其它用户对象） 域用户帐号的迁移 要将DC_A上的账号迁移至DC_B可以通过： 1.通过“AD迁移工具”，在安装光盘的\i386\ADMT文件夹内名为admin-ration.msi的程序完成 2.通过“movetree.exe”，在安装光盘的\support\tools\suptools.msi文件夹内 创建计算机账户 管理计算机账户 组Group 组是用户和计算机帐户、联系人以及其他可作为单个单元管理的组的集合。属于特定组的用户和计算机称为组成员。 使用组可同时为许多帐户指派一组公共的权限和权利，而不用单独为每个帐户指派权限和权利，这样可简化管理。 组既可以基于目录，也可以在特定计算机本地。Active Directory 中的组是驻留在域和组织单位容器对象中的目录对象。Active Directory 在安装时提供了一系列默认的组，它还允许创建组。 域组 简化管理，即为组而不是个别用户指派对共享资源的权限。这样可将相同的资源访问权指派给该组的所有成员。 委派管理，即使用组策略为某个组指派一次用户权限，然后向该组添加需要其拥有与该组相同权限的成员。 创建电子邮件通讯组。 组具有特定的作用域和类型。组的作用域决定了组在于域或林中的应用范围。组的类型决定了可用于从共享资源指派权限（对于安全组），还是只能用作电子邮件通讯组（对于通讯组）。还有一些组，您无法修改或查看其成员身份。这些组被称为特殊标识，用于根据环境在不同时间代表不同用户。例如，Everyone 组代表所有当前网络用户，包括来自其他域的来宾和用户。 域组的类型 安全组 安全组可以被用来设置权限，例如：可以设置安全组对文件具备“读取”的权限。也可以用在与安全无关的任务上。 分布式组 分布式组是用在安全（权限的设置等）无关的任务上，例如，可以通过电子邮件软件将电子邮件发送给通讯组。用户无法设置通讯组的权限。也称通讯组 安全组与分布式组之间的转换 两种类型的组可以相互转换，不过只有在域功能级别被设置为“2000纯模式”与“Server 2003”时才能转换，在“混合模式”中无法转换。 域组的作用域 通用组(universal