域用户账户和组
精选 转载域用户账户和组
域用户
Windows2003所支持用户类型
1. 本地用户
1) 存储在本地计算麻风打开地帐号数据库中
2) 本地用户只可访问本地计算机的资源
3) 本地用户登录本机由本地计算机的SAM来审核
2. 域用户
1) 域用户存储在域数据库中
2) 域用户可访问域中允许的资源
3) 域用户创建后会被复制到额外域控制器上。
域用户在域内一台计算机登录后,当他们连接域内的其他计算机时,并不需要再次登录到其他计算机上,这个只需要登录一次的功能,称为单一登录。本地用户不具备单一登录功能。
实践:1、创建域用户:
注意事项:
1) DC上不能创建本地用户;
2) 利用“AD用户和计算机”建立并管理域用户账户;
2、使创建的用户能够从DC本机登录
默认情况下,只有某些特殊组内账户有权限从DC上登录。所创建的普通用户不能够从DC本机登录,须通过以下设置才可:
1) 管理工具——域控制器安全策略——Windows 设置——安全设置——本地策略——用户权限指派——允许本地登录——添加用户和组;
2) 开始——运行—— gpupdate /target:computer /force
注:若为win2000 DC则运行:secedit /refreshpolicy machine_policy
3、域用户账户的管理
1) 域用户账户的属性设置;
2) 域用户账户的禁用、启用、重命名及删除等。
域组账户
l 域组的类型
1、 安全组:主要用来设置权限用的。也可用在与安全无关的任务上,如: 通过E-mail软件将E-mail发送给某个分布式组。
2、 分布式组:用在与安全无关的任务上。如:通过E-mail软件将E-mail发送给某个分布式组,(应用程序须支持AD才可使用分布式组)。无法设置分布式组的权限。
l 域组的使用领域
从组的使用领域来分,win2003域组可分为以下三类:
u 全局组
u 本地域组
u 通用组
1、 全局组:
1) 成员范围:只能包含所属域内的用户和全局组;
2) 可访问资源范围:可以访问所有域的资源。
2、 本地域组
1) 成员范围:所有域内的用户、全局组、通用组,所属域内的本地域组;
2) 可访问资源范围:只可访问所属域的资源。
3、 通用组
1) 成员范围:所有域内的用户、全局组、通用组;
2) 可访问资源范围:可以访问所有域的资源。
注:1)域功能级别为win2000混合模式时不支持通用组;
2)域功能级别为win2000混合模式时不支持全局组嵌套。
实践:1、域组的创建、添加组成员;
2、域组的管理、删除与更名。
提升域功能级别
必须域功能级别提升到win2000纯模式或win2003,才可拥有通用组和组嵌套功能。
步骤:开始——程序——AD用户和计算机——右击域名称——提升域功能级别。
注:域功能级别被提升后就无法再改回。
组的使用准则(AGDLP策略)
为了让网络管理更为容易,同时也为了减轻网络维护的负担,因此在利用组来管理网络资源尤其是大型网络时,建议采用AGDLP准则:
先将用户账户(A)加入到全局组(G),再将全局组加入到本地域组(DL),然后设置本地组的权限(P)。
本文出自 “阿娣” 博客,请务必保留此出处http://windows.blog.51cto.com/92193/14324
上一篇:系统集成工程师:一路走高的职业
下一篇:年度大战,360和腾讯
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
域用户免登录失败的解决方式
解决方式:Administrator安装+设置环境变量+重装客户端+重启电脑
环境变量 域用户 免登录 -
关于AD域账户和组的管理技巧
不是路不平,只是你不行!!!!!!!
Active Directory Dom -
域账户安装sql server sqlserver使用域用户账户
在安装SQLSERVER2000时,会有这样的一个选择画面,这是设置启动sqlserver服务的登录身份。SQLSERVER2000装好后,会产生一个MSSQLSERVER服务,在这里设置的就是启动它这个服务的登录身份。
域账户安装sql server System 远程服务器 Network