AD与策略方案介绍.docVIP

AD与策略方案 20XX-04-10 22:00:27 阅读250 评论0 ??字号：大中小?订阅 ? AD与策略方案 一、域的简介（DCPROMO） 1、域是最小的管理单位，树是一个或多个WIN20XX域的层次组合，树中的域共享连续的名称空间和层次的名称和结构。域林是一棵完全独立的域树的逻辑组合，域林中每个域树有不同的名称空间，域林中第一个域树的根域作为这个域林的根域，每个域树的根域与域林的根域之间存在传递信任关系。域林中的所有域共享一个通用的全局目录。全局目录在第一个域控制器上自动创建，用来保存常用的ACTIVE DIRECTORY对象属性 2、域有3种模式，混合、本机模式（纯模式）和WIN 20XX模式。 2、一个网络里，如果希望一个用户具有管理用户的权限，它就可以管理整个域中的用户。 3、域一般对应公司级别，而OU对应公司部门 4、OU是AD中的对象，也是AD中的容器 5、OU可以建立USER、GROUP，也可以建立子OU 6、OU可以对普通用户授权，具有管理新OU的权限 7、OU的创建 ?1、基于管理对象的OU，AD中和种对象分类，每一类对象建立一个或多个OU，如用户、计算机、打印机、共享文件。 2、基于地理位置的OU，为每一个地理位置创建OU，包含所有业务，如上海、北京。 3、基于业务功能部门的OU，为了和公司组织结构相同，OU可以基于公司内部的各种各样的业务功能部门创建，如销售、研发、市场、人力资源部。 4、基于项目的OU，为项目分配相应的资源，如人力、软件、硬件设备。可为项目建立单独的OU，OU中建立相应的对象或将其它OU中的对象移动过来。AD中默认建立一个OU，用来存放域控制器的OU，DOMAIN CONTROLLERS，OU图标与其它容器的图标不相同。 二、AD建立 1、域用户账号 2、域用户账号属性 3、配置文件：程序项目、屏幕颜色、网络连接、打印机连接、窗口大小和位置。配置文件保存在\DOCUMENTS AND SETTING\USERNAME 4、组的实现与管理，GROUP是用户账号的集合，通过一组用户分配权限而不是每个用户分配权限管理的特点。 （1）用户加入组继承该组权限 （2）用户可加入多组 （3）组也可以加入组 5、组的分类 （1）安全组 A组嵌套在B组中，那么A就有B的权限使用，安全组而不是单独的用户，可简化网络的维护和管理工作，安全组定义资源和对象权限的访问控制列表中。 （2）通迅组，只能用作电子邮件的通迅，没有安全方面的功能，可在其中存储联系人和用户账号，只有在电子邮件应用程序中，才能使用通迅组将电子邮件发送给一组用户。 6、组的作用域与成员关系 （1）通用组成员可包括域树或域林中任何域中的其它组织和账户，可在任何域中指派权限。 （2）全局组成员可包括只在其所在域中其它组织和账户，可在林中任何域指派权限。 （3）本地域组成员可包括WIN 20XX、WIN20XX、NT域中其它组和账户，只能在其所在域中指派权限。 7、三种域的介绍 （1）本地作用域：1、组可以加到其它本地域的组，并且仅在域中有权限。2、组不把具体本地域作用域的其它组作为其成员就可转为通用作用域。3、当域功能被设置为WIN20XX混合时，域组成员可包括来自任何域的账户4、当域功能级别被设置为WIN20XX或WIN20XX时，本地域组的成员可包括来自任何域的的账户、全局组或通用组，以相同域的本地域组。 （2）全局作用域：1、当域功能级别被设置为WIN200本机或WIN20XX时，全局组的成员可包括来自相同域的账户或全局组。2、当域功能级别被设置为WIN20XX混合时，全局组的成员可包括来自相同域的账户。3、组可被加到其它组并且在任何域中指派权限。4、只要组不是具有全局作用域的任何其他组的成员，就可以转换为通用作用域。 （3）通用作用域：当域的功能级别被设置为WIN20XX或WIN20XX时，通用组的成员可包括来自任何域的账户、全局组和通用组。当域功能级别被设置为WIN20XX混合时，不能创建具有通用组的安全组。当域的功能级别被设置为WIN200本或WIN20XX时，组可以被加到其它组并在任何域中指派权限。组可以转换为本地域作用域，只要组中没有其它通用组作为其成员，就可以转换为全局作用域。 ? 二、域的策略 1.“启动 Active Desktop”设置，位置在 用户配置\AdministrativeTemplates\桌面\Active Desktop 还有“用户配置\管理模板\网络\脱机文件”中的“禁用脱机文件的用户配置”设置。 2. 这个设置允许用户打开 MMC 用户模式控制台文件，如在 Windows 20XX Server 家族或 Windows Server 20XX 家族中的“管理工具”菜单上的文件。但是，用户无