域用户账户和组

域用户账户和组

 

 域用户

Windows2003所支持用户类型

1.         本地用户

1)        存储在本地计算麻风打开地帐号数据库中

2)        本地用户只可访问本地计算机的资源

3)        本地用户登录本机由本地计算机的SAM来审核

2.         域用户

1)        域用户存储在域数据库中

2)        域用户可访问域中允许的资源

3)        域用户创建后会被复制到额外域控制器上。

域用户在域内一台计算机登录后,当他们连接域内的其他计算机时,并不需要再次登录到其他计算机上,这个只需要登录一次的功能,称为单一登录。本地用户不具备单一登录功能。

 

实践：1、创建域用户：

      注意事项：

1)        DC上不能创建本地用户；

2)        利用“AD用户和计算机”建立并管理域用户账户；

2、使创建的用户能够从DC本机登录

默认情况下，只有某些特殊组内账户有权限从DC上登录。所创建的普通用户不能够从DC本机登录，须通过以下设置才可：

1）               管理工具——域控制器安全策略——Windows 设置——安全设置——本地策略——用户权限指派——允许本地登录——添加用户和组；

2）               开始——运行—— gpupdate /target:computer /force

注：若为win2000 DC则运行：secedit /refreshpolicy machine_policy

            3、域用户账户的管理

1）  域用户账户的属性设置；

2）  域用户账户的禁用、启用、重命名及删除等。

 

 域组账户

l        域组的类型

1、 安全组：主要用来设置权限用的。也可用在与安全无关的任务上，如：       通过E-mail软件将E-mail发送给某个分布式组。

2、 分布式组：用在与安全无关的任务上。如：通过E-mail软件将E-mail发送给某个分布式组，（应用程序须支持AD才可使用分布式组）。无法设置分布式组的权限。

 

l        域组的使用领域

从组的使用领域来分，win2003域组可分为以下三类：

u       全局组

u       本地域组

u       通用组

              

1、 全局组：

1）  成员范围：只能包含所属域内的用户和全局组；

2）  可访问资源范围：可以访问所有域的资源。

2、 本地域组

1）  成员范围：所有域内的用户、全局组、通用组，所属域内的本地域组；

2）  可访问资源范围：只可访问所属域的资源。

3、 通用组

1）  成员范围：所有域内的用户、全局组、通用组；

2）  可访问资源范围：可以访问所有域的资源。

                注：1）域功能级别为win2000混合模式时不支持通用组；

                    2）域功能级别为win2000混合模式时不支持全局组嵌套。

             

实践：1、域组的创建、添加组成员；

                      2、域组的管理、删除与更名。

              

 提升域功能级别

      必须域功能级别提升到win2000纯模式或win2003，才可拥有通用组和组嵌套功能。

         步骤：开始——程序——AD用户和计算机——右击域名称——提升域功能级别。

           注：域功能级别被提升后就无法再改回。

 

组的使用准则（AGDLP策略）

   为了让网络管理更为容易，同时也为了减轻网络维护的负担，因此在利用组来管理网络资源尤其是大型网络时，建议采用AGDLP准则：

 先将用户账户（A）加入到全局组（G），再将全局组加入到本地域组（DL），然后设置本地组的权限（P）。

 

 

 

本文出自 “阿娣” 博客，请务必保留此出处http://windows.blog.51cto.com/92193/14324