第22章管理域用户和组_Z_V1.docVIP

管理域用户和组 教学目标： 创建域用户 设置用户属性 创建UPN后缀 成批导入和修改用户 域中组的类型 在域环境中使用组的策略 本章将会介绍在域环境中管理域用户和组，包括创建登录主名后缀，创建域用户，设置域用户属性。使用CSVDE批量创建域用户，批量重设域用户密码，批量修改域用户属性。介绍域中组的类型，全局组和域本地组的区别，在域环境中使用组的策略。活动目录中的帐号 可以在活动目录中创建三种类型的帐号：用户，组，计算机帐号。活动目录用户和计算机帐号代表了物理实体，比如一台计算机，或一个用户。你也可以使用用户帐号作为应用程序的服务帐号。域中的用户帐号和计算机帐号以及组都有安全标示符（SID），授权时用来唯一标识该对象。 存储在活动目录中的用户帐号，启用了单点登录功能，也就是说当用户登录到工作站时输入一次帐号和密码，就可以访问网络上所有授权他访问的资源。 每一台运行Windows NT，Windows 2000，Windows XP， Windows Server 2003和Windows Server 2008的计算机加入到域，都会在活动目录中创建一个计算机帐号。象用户帐号一样，计算机帐号提供访问网络和域资源的身份验证和审核的方法。每一个计算机帐号必须唯一，且SID必须唯一，你要是使用克隆出来的计算机加入域，由于计算机的SID一样，后加入的将会使前面加入的计算机和域控制器信任丢失。如果搭建域环境你最好将计算机的SID使用工具更改，比如newsid工具，可以从网上搜到。 命名帐号的方针 当为组织的目录林和目录域创建一个帐号策略，必须为帐号设置命名规范。 在Windows Server 2003网络中，命名用户，计算机，和组帐号的指导方针如下： 为组织定义一个用户命名规范将使你标识用户变得容易，并且使你能够很好的解决相同名称的用户帐号的冲突。名称规范包含： 使用用户的名，或名的起始三个字母，或名的起始部分创建用户帐号，比如用户的名是Sreada Diaz，则为该用户创建一个Sreada用户帐号。 使用名和用户姓的起始几个字母，或者完整的用户的姓创建用户帐号，比如，为用户Breada Diaz创建一个BresdaDiaz用户帐号。 为解决名称冲突，在姓，名中间添加附加的字母。 考虑使用： 使用前缀或后缀标明用户帐号的类型，比如财务部门用户，兼职用户。 使用短的域名称作为用户登录主名后缀来简化登录。比如，如果你的公司有多个级别的域树，子域的名称变的很长，在子域中创建用户默认使用子域的名称作为UPN后缀，如果使用根域的名称作为UPN后缀，会使用户的登录主名后缀变的简单。 定义可以标识计算机的所有者，位置，或计算机的类型的计算机帐号的命名规范。 定义能够标识组的类型，位置，和目的命名规范。下面是一些例子： 命名规范例子组的类型G 标识全局组，UN标识通用组，DL标识域本地组组的位置为Redmond位置创建Red组创建组的目的为管理创建的管理员组设置密码策略的方针 密码在保证企业网络安全中扮演的角色经常被低估甚至忽略。密码为抵御对企业的非法访问构筑了第一道防线。Microsoft? Windows? Server 2003 家族拥有一项新增功能，可以在操作系统启动时检查 Administrator 帐户密码的复杂程度。如果密码为空或者不满足复杂性要求，将显示 Windows Installer 对话框，警告您 Administrator 帐户不使用强密码可能存在危险。如果继续使用空密码，您将无法通过网络访问该帐户。 你为你的组织创建适当的密码策略，每一个用户必须遵守这个密码策略。定义下列密码策略要素： 定义“强制密码历史”策略设置可以使系统记忆几个以前用过的密码。使用该策略设置，当密码到期时，用户将无法重复使用以前用过的密码。 定义“密码最长期限”策略设置可以使密码的到期时间尽可能短，通常的间隔是 30 至 90 天。使用该策略设置，即使攻击者破解了密码，也只能在密码到期之前访问网络。 定义“最短密码期限”策略设置可以使密码在指定的天数内无法更改。该策略设置可以与“强制密码历史”策略设置结合使用。如果定义了最短密码期限，用户便无法通过频繁更改密码的方法绕过“强制密码历史”策略设置而使用其原来的密码。用户只有在等待指定的天数之后才可以更改密码。 定义“最短密码长度”策略设置可以使密码必须至少包含指定个数的字符。七位以上的长密码通常比短密码具有更强的安全性。使用该策略设置，用户便无法使用空密码，他们必须创建指定字符长度的密码。 启用“密码必须符合复杂性要求”策略设置。该策略设置将会检查所有新密码，确保其符合基本的强加密要求。 强密码标准： 长度至少有七个字符。 不包含用户名、真实姓名或公司名称。 不包含完整的字典