管理对象和信任.pptxVIP

第3章配置ActiveDirectory对象和信任

章节概述第1节：配置ActiveDirectory对象第2节：使用组的策略第3节：ADDS对象管理自动化第4节：委派对ADDS对象的管理访问权第5节：配置ADDS信任

第1节：配置ActiveDirectory对象ADDS对象的类型演示：配置ADDS用户帐户ADDS组类型ADDS组作用域默认ADDS组ADDS特殊标识讨论：使用默认组和特殊标识演示：配置ADDS组帐户演示：配置其他ADDS对象

ADDS对象的类型用户帐户实现用户的单一登录允许访问资源计算机帐户实现计算机对资源访问的身份验证和审核组帐户帮助简化管理InetOrgPerson类似于用户帐户用于兼容其他目录效劳组织单位用于将相似的对象分组以便于管理打印机用于简化查找和连接打印机的过程共享文件夹用于简化查找和连接共享文件夹的过程

演示：配置ADDS用户帐户在本演示中，你将看到如何配置ADDS用户帐户。

ADDS组类型通讯组只能用于电子邮件应用程序不支持平安性平安组用于将权利和权限分配给用户组和计算机组嵌套时使用最有效功能级别决定了你可以创立的组类型

本地组ADDS组作用域组成员可包括同域域本地组任何受信任域全局组通用组可用于在以下范围内分配权限组作用域通用组、全局组，以及该组自己的域中的其他域本地组任何受信任域中的帐户作为任何受信任域中的成员

的用户、组和计算机该组自己的域中的用户、组和计算机任何受信任域作为任何受信任域中的成员

的用户、组和计算机本地计算机上

默认ADDS组默认组用于管理共享资源，以及委派特定的全域性管理角色。AccountOperatorsAdministratorsBackupoperatorsIncomingforest

trustbuildersNetworkconfiguration

operatorsPerformancelogusersPerformancemonitor

usersPre-Windows2000

compatibleaccessPrintoperatorsRemoteDesktop

usersReplicatorServeroperatorsUsers

ADDS特殊标识旨在允许无需管理性交互或用户交互，即可直接访问资源。AnonymouslogonAuthenticatedusersBatchCreatorgroupCreatorownerDialupEveryoneInteractiveLocalsystemNetworkSelfServiceTerminalServerusersOtherorganizationThisorganization

讨论：使用默认组和特殊标识使用场景，答复教材中的问题。

演示：配置ADDS组帐户在本演示中，你将看到如何配置ADDS组帐户。

演示：配置其他ADDS对象在本演示中，你将看到如何配置其他ADDS对象。

第2节：使用组的策略分配资源访问权的选项使用帐户组分配资源访问权使用帐户组和资源组讨论：在单域或多域环境中使用组

分配资源访问权的选项在分配对资源的访问权时：应方案最低限度的权限使方案尽可能简单最好方案文档选项包括：将用户帐户添加到资源的ACL将用户帐户添加到组，再将组添加到资源的ACL将用户帐户添加到帐户组，将帐户组添加到资源组，然后将资源组添加到资源的ACL

使用帐户组分配资源访问权权限帐户组用户帐户

使用帐户组和资源组资源组权限帐户组用户帐户

讨论：在单域或多域环境中使用组使用场景，答复教材中的问题。

第3节：ADDS对象管理自动化自动化ADDS对象管理的工具使用命令行工具配置ADDS对象使用LDIFDE管理用户对象使用CSVDE管理用户对象WindowsPowerShellWindowsPowerShellCmdlet演示：使用WindowsPowerShell配置ActiveDirectory对象

自动化ADDS对象管理的工具ActiveDirectory

用户和计算机目录效劳工具DsaddDsmodDsrmCsvde和Ldifde工具WindowsPowerShell

使用命令行工具配置ADDS对象命令行工具：DsaddDsmodDsrmDsgetnetuserNetgroupNetcomputer

filen