Windows Server活动目录企业应用（微课版）（第2版） 课件 项目3 管理域用户账户和组；项目4 使用组策略管理用户工作环境.pptx

WindowsServer

;项目背景;项目背景

;项目目标;4.1相关知识;;在服务器还没有升级成为域控制器之前，原本位于其本地安全数据库内的本地账户，会在升级为域控制器后被转移到ADDS数据库内，并且是被放置到Users容器内的，您可以通过ActiveDirectory管理中心来查看，如图3-1中所示（可先单击上方的树视图图标），同时这台服务器的计算机账户会被放置到图中的组织单位DomainControllers内。其他加入域的计算机账户默认会被放置到图中的容器Computers内。;管理域用户账户和组相关知识;4.1.1规划新的用户账户;2、密码原则

一定要给Administrator账户指定一个密码，以防止他人随便使用该账户。

确定是管理员还是用户拥有密码的控制权。用户可以给每个用户账户指定一个唯一的密码，并防止其他用户对其进行更改，也可以允许用户在第一次登录时输入自己的密码。一般情况下，用户应该可以控制自己的密码。;密码不能太简单，应该不容易让他人猜出。

密码最多可由128个字符组成，推荐最小长度为8个字符。

密码应由大小写字母、数字以及合法的非字母数字的字符混合组成，如“P@$$word”。;4.1.2创建组织单位与域用户账户;管理域用户账户和组相关知识;管理域用户账户和组相关知识;4.1.3用户登录账户;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管???域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;管理域用户账户和组相关知识;WindowsServer

活动目录企业应用（微课版）;;图6-1组策略;

通过编辑组策略设置，并针对目标用户或计算机设计组策略对象(GPO)，可以集中管理具体的配置参数。这样，只更改一个GPO，就能管理成千上万的计算机或用户。

组策略对象是应用于选定用户和计算机的设置的集合。组策略可控制目标对象的环境的很多方面，包括注册表、NTFS文件系统安全性、审核和安全性策略、软件安装和限制、桌面环境、登录/注销脚本等。

通过链接，一个GPO可与ADDS中的多个容器关联。反过来，多个GPO也可链接到一个容器。

1．域策略

域级策略只影响属于该域的用户和计算机。默认情况下存在两个域级策略，如表6-1所示。;策略;4.1.2组策略的功能

组策略提供的主要功能如下。

账户策略的设置：例如设置用户账户的密码长度、密码使用期限、账户锁定策略等。

本地策略的设置：例如审核策略的设置、用户权限的分配、安全性的设置等。

脚本的设置：例如登录与注销、启动与关机脚本的设置。

用户工作环境的设置：例如隐藏用户桌面上所有的图标、删除开始菜单中的运行，搜索/关机等选项、在开始菜单中添加注销选项、删除浏览器的部分选项、强制通过指定的代理服务器上网等。

软件的安装与删除：用户登录或计算机启动时，自动为用户安装应用软件、自动修复应用软件或自动删除应用软件。

限制软件的执行通过各种不同的软件限制策略来限制域用户只能运行指定的软件。;文件夹的重定向：例如改变文件、开始菜单等文件夹的存储位置。

限制访问可移动存储设备：例如限制将文件写AU盘，以免企业内机密文件轻易被带离公司。

其他的系统设置：例如让所有的计算机都自动信任指