管理activedirectory组对象和组策略课件.ppt

组是用户或计算机账号的集合。

通过使用组可以将权限分配给一组用户而不是单个用户账号。当将权限分配给组时，组的所有成员都将继承那些权限，这样可以简化网络管理。

组中可以包含用户，计算机组，打印机，共享文件夹；

一个用户可以是多个组的成员；

新设的组的权限：用户新添加入组，所得权限须在重新登录后才有作用。;工作组中的组和域中的组;第一节本地组;2.内置组（Built-inGroups）;二、实现本地组策略;三、创建本地组;新建组对话框;计算机管理窗口中可以看到新创建的组;组属性对话框;添加组对象;选择用户;组属性列表中会看到刚才添加的用户;第二节域模式中的组;用户权利与用户权限的区别：;3.安全组和通讯组之间的转换;二、域模式中的组的作用域;域本地组（Domainlocalgroup）;通用组（Universalgroup）;二、规划全局组和域本地组;2.何时使??具有全局作用域的组;3.何时使用具有通用作用域的组;四、更改组作用域;五、创建域模式中的组;新建对象——组;ActiveDirectory用户和计算机

——看到创建的组;六、管理组;七、删除组;八、使用“运行方式”启动程序;选择程序的运行身份;第三节默认组;Administrators成员具有对域中所有域控制器的完全控制。

BackupOperators成员可备份和还原该域中域控制器上的所有文件，不论其各自对这些文件的权限如何。

DomainGuests该组没有默认的用户权利。

NetworkConfigurationOperators成员可更改TCP/IP设置并续订和发布该域中域控制器上的TCP/IP地址。

PerformanceMonitorUsers成员可在本地或从远程客户端监视该域中域控制器上的性能计数器;PerformanceLogUsers成员可在本地或从远程客户端管理该域中域控制器上的性能计数器、日志和警报

Pre-Windows2000CompatibleAccess成员具有对该域中所有用户和组的读取访问权。

PrintOperators成员可管理、创建、共享和删除连接到该域中域控制器上的打印机。

RemoteDesktopUsers成员可远程登录到该域的域控制器。该组中没有默认的成员。没有默认的用户权利。

Replicator该组支持目录复制功能，并由该域的域控制器上的“文件复制”服务使用。;ServerOperators在域控制器上，该组的成员可进行交互式登录、创建和删除共享资源、启动和停止某些服务、备份和还原文件、格式化硬盘，以及关闭计算机。

Users成员可执行大部分常见任务，如运行应用程序、使用本地和网络打印机，以及锁定服务器。;二、“Users”容器中的组;DomainGuests包含所有域来宾。

DomainUsers包含所有域用户。

EnterpriseAdmins（仅出现在林根域中）成员具有对林中所有域的完全控制作用。

GroupPolicyCreatorOwners成员可修改此域中的组策略。

IIS_WPG（随IIS安装）IIS_WPG组是Internet信息服务(IIS)6.0辅助进程组。

RAS和IASServers该组中的服务器获准访问用户的远程访问属性。

SchemaAdmins（仅出现在林根域中）成员可修改ActiveDirectory架构。;第四节组策略;1.组策略优点;2.组策略类型;安全设置：组策略管理员可以限制用户访问文件和文件夹。;二、组策略结构;2.组策略容器;3.组策略模板;三、应用组策略;站点属性——组策略——新建组策略;2.使用组策略管理器;计算机配置：;3.GPO权限;修改GPO权限;组策略的继承性;四、管理组策略;指派应用程序;发布应用程序;指派或发布应用程序的步骤：;选择要指派的软件包;部署软件;组策略编辑器里可以看到指派的程序;2.管理脚本;指派脚本;添加脚本;3.管理安全设置;安全策略的配置类型;4.管理管理模板