AD活动目录账户管理.pptxVIP

会计学1AD活动目录账户管理 用户账户域用户账户 （存储在 Active Directory）本地用户账户（存储在本地计算机）Windows Server 2003 域第1页/共26页 用户账户命名约定的制定准则创建用户账户时应该考虑：雇员重名不同类型的雇员，例如临时雇员或合同雇员第2页/共26页 用户账户在 Active Directory 层次结构中的位置地理设计UsersNorth AmericaUsersSouth America商业设计UsersAccountingUsersSales第3页/共26页 用户账户的密码选项防止用户使用选中的账户登录账户已禁用描述账户选项防止用户更改自己的密码用户不能更改密码用户必须在下次登录到网络时更改自己密码用户下次登录时须更改密码防止用户密码过期密码永不过期第4页/共26页 要求或限制更改密码创建本地和域服务账户创建新的本地账户（不在本地登录）限制更改密码 遇到以下情况，使用这个选项选项创建新的域账户重设密码要求更改密码第5页/共26页 DSADD DSADD 是 Windows Server 2003 Server 新提供的工具DSADD 用于将计算机、联系人、组、组织单位或用户添加到目录中可通过输入 DSADD /? 获取如何使用该命令的详细信息第6页/共26页 用户账户的属性用户账户的属性对话框第7页/共26页 计算机账户的属性计算机账户的属性对话框第8页/共26页 管理组帐户创建组管理组成员身份使用组应用策略更改组使用默认组第9页/共26页 创建组组域功能级别全局组通用组域本地组本地组组的创建位置组命名规则第10页/共26页 组组使管理员能够一次性对资源分配权限，从而简化管理组的特点是根据作用域和类型来定义描述组类型仅仅能够与 电子邮件应用程序配合使用，不能用来分配权限分布常常用来分配用户权利和权限，具有通讯组功能安全组作用域的判断主要考虑是否需要扩展到多个域或限制在一个域中三种组作用域：全局、本地域、通用组第11页/共26页 组的作用域通用组的成员可包括域树或森林中任何域中的其他组和账户，可在该域树或森林中的任何域中指派权限全局组的成员可包括只在其中定义该组的域中的其他组和账户，可在森林中的任何域中指派权限域本地组的成员可包括 Windows Server?2003、Windows?2000 或 Windows?NT 域中的其他组和账户，而且只能在域内指派权限第12页/共26页 域功能级别全局、本地域Windows NT? Server 4.0, Windows Server 2000, Windows Server 2003全局、本地域、通用Windows Server 2000, Windows Server 2003全局、本地域、通用 Windows Server 2003支持的域控制器支持的组作用域Windows 2000 混合模式 （默认）Windows 2000 本机模式Windows Server 2003第13页/共26页 全局组规则全局组混合模式：同一个域中的用户账户本机模式：同一个域的用户账户和全局组成员在自己和所有信任的域里可见作用域混合模式： 域本地组本机模式： 任何域里的通用和域本地组，以及相同域的全局组可作为右边表格中所示组的成员林中所有域权限第14页/共26页 通用组规则通用组混合模式：不适用本机模式：用户账户、全局组和森林中任何域的其他通用组成员森林中所有域都可见作用域混合模式：不适用本机模式：任何域中的域本地组和通用组可作为右边表格中所示组的成员森林中所有域权限第15页/共26页 域本地组规则域本地组混合模式：任何域中的用户账户和全局组本机模式：森林中任何域的用户账户、全局组和通用组，以及同一域中的域本地组成员仅在自己所在的域中可见作用域混合模式：无本机模式：同一域中的域本地组可作为右边表格中所示组的成员域本地组所属的域 权限第16页/共26页 本地组规则本地组计算机的本地用户账户成员无可作为右边表格中所示组的成员第17页/共26页 组的创建位置在森林的根域、森林的任何其他域、组织单位创建组根据管理需要选择域或组织单位来创建组例：目录有多个组织单位，每个拥有不同的管理员，可以为这些组织单位创建全局组第18页/共26页 组命名规则安全组：在组名的命名约定中合并作用域名称能够反映所属关系（部门或小组名称）在组名的开头添上域名或其缩写使用描述符来标识一个组所拥有的最大权限，例如：DL IT London OU Admins 通讯组：使用短的别名显示名称里不应包含用户的别名一个通讯组最多由五个合作者管理第19页/共26页 管理组成员 “成员”和“隶属于”属性演示 “成员”和“隶属于”确定用户账户的从属组在组中添加和删除成员第20页/共