windows域配置及管理PPT課件

1、2021/3/92域DNS的作用域的概念將計(jì)算機(jī)加入域DC的條件創(chuàng)建域 域用戶帳戶安裝AD組安全組/通訊組本地域組/全局組/通用組用戶配置文件用戶主文件夾創(chuàng)建域帳戶域帳戶屬性O(shè)UOU的委派功能OU概念2021/3/93域的基本概念域的基本概念 域?qū)⒕W(wǎng)絡(luò)中多臺(tái)計(jì)算機(jī)邏輯上組織到一起，進(jìn)行集中管理，這種區(qū)別于工作組的邏輯環(huán)境叫做域域是組織與存儲(chǔ)資源的核心管理單元活動(dòng)目錄提供了存儲(chǔ)網(wǎng)絡(luò)上對(duì)象信息并使網(wǎng)絡(luò)用戶使用該數(shù)據(jù)的方法2021/3/94域的基本概念域的基本概念活動(dòng)目錄 活動(dòng)目錄（Active Directory）是Windows Server 2003平臺(tái)提供的目錄服務(wù)，在中央數(shù)據(jù)庫(kù)中存放信息，

2、使用戶在網(wǎng)絡(luò)上只擁有一個(gè)用戶賬號(hào)。 活動(dòng)目錄是一個(gè)全面的目錄服務(wù)管理方案，也是一個(gè)企業(yè)級(jí)的目錄服務(wù)，具有很好的可伸縮性?；顒?dòng)目錄采用了Internet的標(biāo)準(zhǔn)協(xié)議，它與操作系統(tǒng)緊密地集成在一起。 活動(dòng)目錄可以管理諸如計(jì)算機(jī)對(duì)象、用戶賬戶、打印機(jī)之類(lèi)的網(wǎng)絡(luò)資源。 2021/3/95域的基本概念域的基本概念 活動(dòng)目錄包括兩個(gè)方面：目錄和與目錄相關(guān)的服務(wù)。目錄是存儲(chǔ)各種對(duì)象的一個(gè)物理上的容器 目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù)，活動(dòng)目錄是一個(gè)分布式的目錄服務(wù)，信息可以分散在多臺(tái)不同的計(jì)算機(jī)上，保證用戶能夠快速訪問(wèn)2021/3/96（1） 信息的安全性大大增強(qiáng) 1 1、活動(dòng)目錄集中控制用戶授

3、權(quán)、活動(dòng)目錄集中控制用戶授權(quán) 2 2、 提供存儲(chǔ)和應(yīng)用程序作用域的安全策提供存儲(chǔ)和應(yīng)用程序作用域的安全策略，提供安全策略的存儲(chǔ)和應(yīng)用范圍。略，提供安全策略的存儲(chǔ)和應(yīng)用范圍。（2） 引入基于策略的管理，使系統(tǒng)的管理更加明朗 作為目錄，它存儲(chǔ)著分配給特定環(huán)境的作為目錄，它存儲(chǔ)著分配給特定環(huán)境的策略，稱為組策略對(duì)象策略，稱為組策略對(duì)象（3） 具有很強(qiáng)的可擴(kuò)展性 管理員可以在計(jì)劃中增加新的對(duì)象類(lèi)，或者管理員可以在計(jì)劃中增加新的對(duì)象類(lèi)，或者給現(xiàn)有的對(duì)象類(lèi)增加新的屬性。給現(xiàn)有的對(duì)象類(lèi)增加新的屬性。 計(jì)劃包括可以存儲(chǔ)在目錄中的每一個(gè)對(duì)象計(jì)劃包括可以存儲(chǔ)在目錄中的每一個(gè)對(duì)象類(lèi)的定義和對(duì)象類(lèi)的屬性。類(lèi)的定義和對(duì)

4、象類(lèi)的屬性。活動(dòng)目錄作用活動(dòng)目錄作用2021/3/97（4）具有很強(qiáng)的可伸縮性 活動(dòng)目錄可包含在一個(gè)或多個(gè)域，每個(gè)域具活動(dòng)目錄可包含在一個(gè)或多個(gè)域，每個(gè)域具有一個(gè)或多個(gè)域控制器，以便調(diào)整目錄的規(guī)模以有一個(gè)或多個(gè)域控制器，以便調(diào)整目錄的規(guī)模以滿足任何網(wǎng)絡(luò)的需要滿足任何網(wǎng)絡(luò)的需要（5） 智能的信息復(fù)制能力 信息復(fù)制為目錄提供了信息可用性、容錯(cuò)、信息復(fù)制為目錄提供了信息可用性、容錯(cuò)、負(fù)載平衡和性能優(yōu)勢(shì)，活動(dòng)目錄使用多主機(jī)復(fù)制負(fù)載平衡和性能優(yōu)勢(shì)，活動(dòng)目錄使用多主機(jī)復(fù)制，允許在任何域控制器上而不是單個(gè)主域控制器，允許在任何域控制器上而不是單個(gè)主域控制器上同步更新目錄上同步更新目錄2021/3/98（6）

5、與DNS集成緊密 活動(dòng)目錄使用域名系統(tǒng)（活動(dòng)目錄使用域名系統(tǒng)（DNSDNS）來(lái)為服務(wù)器目錄命名）來(lái)為服務(wù)器目錄命名（7）與其他目錄服務(wù)具有互操性 LDAPLDAP是用于在活動(dòng)目錄中查詢和檢索信息的目錄訪問(wèn)是用于在活動(dòng)目錄中查詢和檢索信息的目錄訪問(wèn)協(xié)議。因?yàn)樗且环N工業(yè)標(biāo)準(zhǔn)服務(wù)協(xié)議，所以可使用協(xié)議。因?yàn)樗且环N工業(yè)標(biāo)準(zhǔn)服務(wù)協(xié)議，所以可使用LDAPLDAP開(kāi)發(fā)程序，與同時(shí)支持開(kāi)發(fā)程序，與同時(shí)支持LDAPLDAP的其他目錄服務(wù)共享活動(dòng)目錄的其他目錄服務(wù)共享活動(dòng)目錄信息。信息。（8）具有靈活的查詢 任何用戶可使用任何用戶可使用【開(kāi)始開(kāi)始】菜單、菜單、【網(wǎng)上鄰居網(wǎng)上鄰居】或或【活活動(dòng)目錄用戶和計(jì)算機(jī)動(dòng)目

6、錄用戶和計(jì)算機(jī)】上的上的【搜索搜索】命令，通過(guò)對(duì)象屬性命令，通過(guò)對(duì)象屬性快速查找網(wǎng)絡(luò)上的對(duì)象?？焖俨檎揖W(wǎng)絡(luò)上的對(duì)象。2021/3/99AD活動(dòng)目錄作用: 通過(guò)將企業(yè)網(wǎng)絡(luò)中的各種資源，例如電腦，用戶，共享的打印機(jī)，服務(wù)器等等組織起來(lái)形成活動(dòng)目錄域，在這個(gè)域中把這些信息進(jìn)行分類(lèi)形成目錄樹(shù)。這樣，用戶通過(guò)一定的形式，就可以很方便的訪問(wèn)活動(dòng)目錄域中的信息. 這種便利的訪問(wèn)機(jī)制，也需要安全的保障機(jī)制！ad活動(dòng)目錄域正是基于這種信息共享基礎(chǔ)上的安全管理規(guī)范。 安裝了活動(dòng)目錄的計(jì)算機(jī)稱為“域控制器”，只要加入并接受域控制器的管理就可以在一次登錄之后全網(wǎng)使用，方便地訪問(wèn)活動(dòng)目錄提供的網(wǎng)絡(luò)資源。對(duì)于管理員，則可

7、以通過(guò)對(duì)活動(dòng)目錄的集中管理就能夠管理全網(wǎng)的資源。2021/3/910域域控制器 域是基本管理單位 域中可包含大量對(duì)象計(jì)算機(jī)用戶打印機(jī)共享文件夾 域是活動(dòng)目錄的組成部分OU1DomainComputersUsersOU2UsersPrintersComputer1User1Printer1User2Windows Server 2003 Windows Server 2003 域概述域概述OU2OU1User1Computer1Printer1User22021/3/911域域域DomainDomainDomainOUOUOU域樹(shù)域森林OU-組織單位對(duì)象 域及目錄服務(wù)概述域及目錄服務(wù)概述 活動(dòng)目

8、錄是一個(gè)數(shù)據(jù)庫(kù) 活動(dòng)目錄是一個(gè)目錄服務(wù) 可以定制活動(dòng)目錄 簡(jiǎn)化的管理 可擴(kuò)展性 便捷的網(wǎng)絡(luò)資源訪問(wèn) 2021/3/912域、域樹(shù)、域森林域、域樹(shù)、域森林n根域下面可以建立多層子域n域和子域構(gòu)建成域樹(shù)n多棵域樹(shù)構(gòu)建成森林n域之間自動(dòng)建立雙向信任關(guān)系A(chǔ)根TB樹(shù)XTB樹(shù)2021/3/913OU-OU-組織單位組織單位 OU是活動(dòng)目錄中的一種對(duì)象 OU中可以建立子對(duì)象 利用OU可以模擬管理模型OUOUOU對(duì)象2021/3/914域控制器域控制器 域控制器是存儲(chǔ)活動(dòng)目錄數(shù)據(jù)庫(kù)的計(jì)算機(jī) 一個(gè)域最少一臺(tái)域控制器 多臺(tái)域控制器需要同步數(shù)據(jù)庫(kù) 域控制器存儲(chǔ)著目錄數(shù)據(jù)并管理用戶域的交互，其中包括用戶登錄過(guò)程、身份

9、驗(yàn)證和目錄搜索。域控制器域控制器域User1User2User1User2User3User4User3User42021/3/915站點(diǎn)站點(diǎn) 每個(gè)地理位置中的若干臺(tái)域控制器可以劃分為一個(gè)站點(diǎn) 站點(diǎn)內(nèi)部?jī)?yōu)先同步活動(dòng)目錄數(shù)據(jù)庫(kù)，同步后再和其他站點(diǎn)中的域控制器同步站點(diǎn)1域控制器遠(yuǎn)程線路站點(diǎn)22021/3/916 活動(dòng)目錄安裝與卸載活動(dòng)目錄安裝與卸載 安裝者必須具有本地管理權(quán)限 操作系統(tǒng)必須滿足條件（Windows Server 2003 Web版除外都滿足） 本地磁盤(pán)至少有一個(gè)分區(qū)是NTFS文件系統(tǒng) 系統(tǒng)盤(pán)應(yīng)該有最少300MB的剩余空間。 安裝TCP/IP協(xié)議和相應(yīng)的DNS服務(wù)器支持。 有相應(yīng)的D

10、NS服務(wù)器支持2021/3/917活動(dòng)目錄安裝與卸載活動(dòng)目錄安裝與卸載 啟動(dòng)安裝向?qū)?使用管理您的服務(wù)器向?qū)?使用命令DCPROMO2021/3/918安裝活動(dòng)目錄安裝活動(dòng)目錄 主要步驟是否創(chuàng)建新域 新域的DNS全名 新域的NetBIOS名 數(shù)據(jù)庫(kù)和日志文件文件夾 共享的系統(tǒng)卷 DNS注冊(cè)診斷域兼容性 還原模式密碼 2021/3/919DNSDNS在域中的作用在域中的作用 DNS在域中有兩個(gè)作用域名的命名采用DNS標(biāo)準(zhǔn) 辦公網(wǎng)絡(luò)與Internet集成 定位DC 1）客戶機(jī)發(fā)送DNS查詢請(qǐng)求給DNS服務(wù)器 2）DNS服務(wù)器查詢匹配的SRV資源記錄 3）DNS服務(wù)器返回相關(guān)DC的IP地址列表給客戶

11、機(jī) 4）客戶機(jī)聯(lián)系到DC 5）DC響應(yīng)客戶機(jī)的請(qǐng)求 域的DNS區(qū)域維護(hù)SRV資源記錄可以定位DC2021/3/920活動(dòng)目錄安裝與卸載活動(dòng)目錄安裝與卸載2021/3/921安裝活動(dòng)目錄后操作系統(tǒng)的變化 （1）查看域控制器的計(jì)算機(jī)名 安裝活動(dòng)目錄后DC（Domain Controller，即域控制器）的計(jì)算機(jī)名會(huì)發(fā)后變化，在DC上右鍵單擊【我的電腦】，選擇【屬性】，在彈出的【系統(tǒng)屬性】對(duì)話框中選擇【計(jì)算機(jī)名】標(biāo)簽，可以查看當(dāng)前域控制器的計(jì)算機(jī)名2021/3/922查看管理工具 在DC上依次打開(kāi)【開(kāi)始】【程序】【管理工具】，可以看到新增加5個(gè)與活動(dòng)目錄相關(guān)的工具與活動(dòng)目錄相關(guān)的五個(gè)工具 2021/

12、3/923 Active Directory用戶和計(jì)算機(jī)：該工具用于管理域中的用戶、組、計(jì)算機(jī)賬號(hào)及OU等 Active Directory域和信任關(guān)系：該工具用于管理活動(dòng)目錄域之間的信任關(guān)系 Active Directory站點(diǎn)和服務(wù)：該工具用于管理與活動(dòng)目錄復(fù)制相關(guān)的站點(diǎn)信息 域安全策略：該工具用于創(chuàng)建和管理域的安全策略 域控制器安全策略：該工具用于創(chuàng)建和管理域控制器的安全策略2021/3/924 查看用戶和組賬號(hào)的位置 活動(dòng)目錄安裝成功后，計(jì)算機(jī)上的用戶和組賬號(hào)的位置會(huì)發(fā)生變化。在DC上打開(kāi)【計(jì)算機(jī)管理】控制臺(tái)，發(fā)現(xiàn)已經(jīng)看不到【本地用戶和組】工具。計(jì)算機(jī)管理控制臺(tái)工具 2021/3/92

13、5 在DC上使用【Active Directory用戶和計(jì)算機(jī)】工具來(lái)管理用戶和組賬號(hào)。在DC上依次打開(kāi)【開(kāi)始】【程序】【管理工具】【Active Directory用戶和計(jì)算機(jī)】，在控制臺(tái)下打開(kāi)Users容器qiufen【Active Directory用戶和計(jì)算機(jī)】工具管理用戶和組 2021/3/926查看SYSVOL（系統(tǒng)卷）文件夾對(duì)DC來(lái)說(shuō)SYSVOL文件夾非常重要，如果SYSVOL文件夾創(chuàng)建的不正確，那么存儲(chǔ)在此文件夾下的組策略、腳本等就不能正確的分發(fā)給域中的計(jì)算機(jī)，也無(wú)法在DC之間進(jìn)行復(fù)制。SYSVOL文件夾位于%systemroot%下，其中包含以下幾個(gè)文件夾，如后圖所示。nDo

14、main（域）nStaging（分級(jí)）nStaging areas（分級(jí)區(qū)域）nSysvol（系統(tǒng)卷）2021/3/927驗(yàn)證SYSVOL文件夾 2021/3/928（5）查看活動(dòng)目錄數(shù)據(jù)庫(kù)和日志文件 缺省情況下活動(dòng)目錄數(shù)據(jù)庫(kù)和日志文件存放在%systemroot%NTDS文件夾下，其中ntds.dit是活動(dòng)目錄數(shù)據(jù)庫(kù)文件，還有檢查點(diǎn)文件edb.chk、日志文件edb.log和保留日志文件res*.log等。驗(yàn)證活動(dòng)目錄數(shù)據(jù)庫(kù)和日志文件 2021/3/929 活動(dòng)目錄域與DNS服務(wù)是緊密結(jié)合的，如果要使一個(gè)活動(dòng)目錄域正常工作，必須要有相應(yīng)的DNS區(qū)域來(lái)支持它，而且還要有服務(wù)資源記錄（SRV記錄

15、）。如下圖所示為在DNS服務(wù)器上打開(kāi)DNS控制臺(tái)查看活動(dòng)目錄域的區(qū)域情況。在DNS服務(wù)器中查看活動(dòng)目錄域的SRV記錄 查看查看DNSDNS數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)2021/3/930查看事件日志 安裝活動(dòng)目錄后打開(kāi)事件查看器可以看到增加了一個(gè)日志“目錄服務(wù)”，在此會(huì)記錄有關(guān)活動(dòng)目錄的信息。查看事件查看器 2021/3/931五五 將計(jì)算機(jī)加入到域?qū)⒂?jì)算機(jī)加入到域 1、哪些計(jì)算機(jī)能成為Windows Server 2003域的成員 下面的操作系統(tǒng)主機(jī)可以成為域的成員：nWindows NTnWindows 2000nWindows XPnWindows Server 2003 2021/3/932系統(tǒng)屬性對(duì)

16、話框中“計(jì)算機(jī)名”標(biāo)簽 把計(jì)算機(jī)加入到域 為了更好地管理網(wǎng)絡(luò)中的資源，充分利用活動(dòng)目錄的特點(diǎn)，應(yīng)該把網(wǎng)絡(luò)中的客戶端計(jì)算機(jī)加入到域，這樣管理員就可以對(duì)域中的計(jì)算機(jī)進(jìn)行集中的配置和管理步驟1、配置客戶機(jī)的首選DNS服務(wù)器2、將計(jì)算機(jī)加入域2021/3/933指定該計(jì)算機(jī)要加入的域的名稱 xhce輸入有加入該域權(quán)限的用戶名和密碼 加入域成功對(duì)話框 2021/3/934 OUOU的創(chuàng)建的創(chuàng)建功能型SCMS SalesC ConsultantsM - Marketing混合型例子 功能 組織 位置 功能 組織 位置組織型MERM ManufacturingE EngineeringR - Researc

17、h位置型NFIN Norway F FranceI Indonesia 可以根據(jù)各種因素創(chuàng)建OU2021/3/935域模式域模式lWindows 2000混合模式域控制器 (Windows 2000/Server 2003)域控制器 (Windows NT 4.0)lWindows Server 2003 模式域控制器全部都是(Windows Server 2003 )lWindows 2000本機(jī)模式域控制器 (Windows 2000)域控制器 (Windows Server 2003 ) 域模式是用來(lái)為了兼容老版本操作系統(tǒng)的域控制器，而限制某些新的功能。2021/3/936Active

18、DirectoryActive Directory對(duì)象類(lèi)別如下對(duì)象類(lèi)別如下 1、 用戶（User）：作為安全主體，被授予安全權(quán)限，可登錄到域中作為安全主體，被授予安全權(quán)限，可登錄到域中。 2、計(jì)算機(jī)（Computer）：表示網(wǎng)絡(luò)中的計(jì)算機(jī)實(shí)體，加入到域的表示網(wǎng)絡(luò)中的計(jì)算機(jī)實(shí)體，加入到域的Windows NT/2000/XP/2003Windows NT/2000/XP/2003計(jì)算機(jī)都可創(chuàng)建相應(yīng)的計(jì)算機(jī)賬戶。計(jì)算機(jī)都可創(chuàng)建相應(yīng)的計(jì)算機(jī)賬戶。 3、聯(lián)系人（Contact）：一種個(gè)人信息記錄。聯(lián)系人沒(méi)有任何安全權(quán)一種個(gè)人信息記錄。聯(lián)系人沒(méi)有任何安全權(quán)限，不能登錄網(wǎng)絡(luò)，主要用于通過(guò)電子郵件聯(lián)系的外部

19、用戶。限，不能登錄網(wǎng)絡(luò)，主要用于通過(guò)電子郵件聯(lián)系的外部用戶。 4、組（Group）：某些用戶、聯(lián)系人、計(jì)算機(jī)的分組，用于簡(jiǎn)化大量某些用戶、聯(lián)系人、計(jì)算機(jī)的分組，用于簡(jiǎn)化大量對(duì)象的管理。對(duì)象的管理。 5、 組織單位（Organization Unit）：將域細(xì)分的將域細(xì)分的Active Active DirectoryDirectory容器。容器。 6、 打印機(jī)（Printer）：在在Active DirectoryActive Directory中發(fā)布的打印機(jī)。中發(fā)布的打印機(jī)。 7、 共享文件夾（Shared Folder）：在在Active DirectoryActive Directory

20、中發(fā)布中發(fā)布的共享文件夾。的共享文件夾。 8、 InterOrgPersion：標(biāo)準(zhǔn)的用戶對(duì)象類(lèi)，對(duì)于標(biāo)準(zhǔn)的用戶對(duì)象類(lèi)，對(duì)于Windows Server Windows Server 20032003域功能級(jí)別來(lái)說(shuō)，可以作為安全主體。域功能級(jí)別來(lái)說(shuō)，可以作為安全主體。2021/3/937管理容器管理容器 1、 Builtin：用來(lái)存放默認(rèn)內(nèi)置組（如用來(lái)存放默認(rèn)內(nèi)置組（如Account Account OperatorsOperators或或AdministratorsAdministrators）對(duì)象。）對(duì)象。 2、Computers：包含包含Windows 2000Windows 2000、

21、Windows Windows XPXP和和Windows Server 2003Windows Server 2003計(jì)算機(jī)對(duì)象計(jì)算機(jī)對(duì)象。 3、 Domain Controllers：運(yùn)行運(yùn)行Windows 2000Windows 2000或或Windows Server 2003Windows Server 2003的域控制器的計(jì)算機(jī)對(duì)象的域控制器的計(jì)算機(jī)對(duì)象。 4、 ForeignSecurityPrincipals：存儲(chǔ)有信任存儲(chǔ)有信任關(guān)系的域的對(duì)象。關(guān)系的域的對(duì)象。 5、 Users：包含域內(nèi)用戶賬戶和組。包含域內(nèi)用戶賬戶和組。2021/3/938域用戶和計(jì)算機(jī)帳戶域用戶和計(jì)算機(jī)帳

22、戶 活動(dòng)目錄用戶帳戶 用戶帳戶是用來(lái)記錄用戶的用戶名和密碼、隸屬的組、可以訪問(wèn)的網(wǎng)絡(luò)資源，以及用戶的個(gè)人文件和設(shè)置。 每個(gè)用戶都應(yīng)在域控制器中有一個(gè)用每個(gè)用戶都應(yīng)在域控制器中有一個(gè)用戶帳戶，才能訪問(wèn)服務(wù)器，使用網(wǎng)絡(luò)上的資源戶帳戶，才能訪問(wèn)服務(wù)器，使用網(wǎng)絡(luò)上的資源2021/3/939 域用戶賬戶域用戶賬戶本地用戶帳號(hào) (存儲(chǔ)在本地計(jì)算機(jī))域用戶帳號(hào) (存儲(chǔ)在活動(dòng)目錄中)Windows Server 2003 域2021/3/940 域用戶賬戶的創(chuàng)建域用戶賬戶的創(chuàng)建 輸入用戶的基本信息和登錄名稱 用戶密碼2021/3/941用戶屬性對(duì)話框 2021/3/942 用戶登錄名用戶登錄名（Windows

23、 2000以前版本）在域中必須惟一最長(zhǎng)20字符 登錄時(shí)間限制用戶登錄到域的時(shí)間 可以登錄的計(jì)算機(jī)定義了賬戶可以登錄的計(jì)算機(jī)列表 配置域用戶賬戶的屬性配置域用戶賬戶的屬性2021/3/943基于位置的設(shè)計(jì)UsersNorth AmericaUsersSouth America基于業(yè)務(wù)的設(shè)計(jì)UsersAccountingUsersSales域用戶賬戶的創(chuàng)建域用戶賬戶的創(chuàng)建 用戶的存放地點(diǎn)2021/3/944帳號(hào)選項(xiàng)說(shuō)明User must change password at next logon用戶在下次登錄時(shí)必須修改用戶在下次登錄時(shí)必須修改密碼密碼User cannot change passw

24、ord用戶無(wú)權(quán)修改自己的密碼用戶無(wú)權(quán)修改自己的密碼Password never expires用戶密碼永不過(guò)期用戶密碼永不過(guò)期Account is disabled用戶不能使用此帳號(hào)登錄用戶不能使用此帳號(hào)登錄域用戶賬戶的創(chuàng)建域用戶賬戶的創(chuàng)建2021/3/945 管理域用戶和計(jì)算機(jī)帳戶 就活動(dòng)目錄的管理而言，【Active Directory用戶和計(jì)算機(jī)】是使用最為頻繁的工具。該工具可以用來(lái)建立、編輯或刪除網(wǎng)絡(luò)中的用戶、計(jì)算機(jī)、組、組織單位、域、域控制器，以及發(fā)布網(wǎng)絡(luò)共享資源2021/3/946 域用戶賬戶的刪除和移動(dòng)域用戶賬戶的刪除和移動(dòng)組織單元 1組織單元 2域 刪除用戶 移動(dòng)用戶直接鼠標(biāo)拖

25、動(dòng)2021/3/947配置域用戶賬戶的屬性配置域用戶賬戶的屬性 登錄名 登錄時(shí)間 可以登錄的計(jì)算機(jī) 配置文件/主文件夾2021/3/948組的實(shí)現(xiàn)與管理組的實(shí)現(xiàn)與管理GroupGroupGroupGroupGroupGroupGroupGroup2021/3/949 組的分類(lèi)組的分類(lèi)組的類(lèi)型說(shuō)明安全組用于設(shè)置用戶權(quán)限和權(quán)利，用于設(shè)置用戶權(quán)限和權(quán)利，也可用于郵件分布列表也可用于郵件分布列表通訊組只用于郵件分布列表只用于郵件分布列表2021/3/950 組的作用域與成員資格組的作用域與成員資格支持的域控制器Windows NT Server 4.0, Windows 2000, Windows S

26、erver 2003Windows 2000, Windows Server 2003Windows Server 2003支持的組的范圍全局全局, 域本地域本地全局全局, 域本地域本地, 通用通用全局全局, 域本地域本地, 通用通用Windows 2000 mixed (default)Windows 2000 nativeWindows Server 20032021/3/951域本地組域本地組成員Mixed mode: 任何域中的用戶帳號(hào)和全任何域中的用戶帳號(hào)和全局組局組Native mode: 任何域中的用戶帳號(hào)、全任何域中的用戶帳號(hào)、全局組和通用組，以及同一個(gè)域中的域本局組和通用組，

27、以及同一個(gè)域中的域本地組地組 可成為成員Mixed mode: 無(wú)無(wú)Native mode: 同一個(gè)域的域本地組同一個(gè)域的域本地組范圍域本地組所屬的域域本地組所屬的域權(quán)限域本地組所屬的域域本地組所屬的域2021/3/952全局組全局組成員Mixed mode: 同一個(gè)域的用戶帳號(hào)同一個(gè)域的用戶帳號(hào)Native mode: 同一個(gè)域的用戶帳號(hào)和全局組同一個(gè)域的用戶帳號(hào)和全局組可成為成員Mixed mode: 任何域的域本地組任何域的域本地組Native mode: 任何域的域本地組和通用組，以任何域的域本地組和通用組，以及同一個(gè)域的全局組及同一個(gè)域的全局組范圍本域和所有被信任的域本域和所有被信任

28、的域權(quán)限森林中所有的域森林中所有的域2021/3/953通用組通用組成員Native mode: 森林中任何域中的用戶帳號(hào)、全森林中任何域中的用戶帳號(hào)、全局組、和其他通用組局組、和其他通用組Mixed mode: 不可用不可用可成為成員Mixed mode: 不可用不可用Native mode: 任何域中的域本地組和通用組任何域中的域本地組和通用組范圍森林中的所有域森林中的所有域權(quán)限森林中的所有域森林中的所有域2021/3/954管理域中的組管理域中的組 創(chuàng)建組創(chuàng)建組 設(shè)置組信息設(shè)置組信息 添加組成員添加組成員 設(shè)置組管理者設(shè)置組管理者2021/3/955 AGDLP域用戶A加入到域全局安全組

29、G，然后在“本地用戶和計(jì)算機(jī)”中創(chuàng)建一個(gè)本地組DL，把G加入到DL中，最后為DL分配權(quán)限。 2021/3/956 組的成員和隸屬于屬性組的成員和隸屬于屬性團(tuán)隊(duì)或組全局組域本地組成員隸屬于N/ADenver AdminsTom, Jo, and Kim成員Member OfN/AVancouver AdminsSam, Scott, and Amy成員隸屬于Tom, Jo, KimDenver OU AdminsDenver Admins成員隸屬于Tom, Jo, KimDenver OU AdminsDenver Admins成員隸屬于Sam, Scott, AmyVancouver OU AdminsVancouver AdminsDenver OU Admins成員隸屬于Denver Admins,Vancouver AdminsN/A2021/3/957 用戶配置文件概念 用戶的桌面工作環(huán)境，包括桌面、開(kāi)始菜單、我的文檔、以及其他指定的設(shè)置一般存儲(chǔ)在操作系統(tǒng)所在分區(qū)上的Documents and Settingsusername文件夾里 用戶配置文件類(lèi)型 本地用戶配置文件 漫游用戶配置文件 強(qiáng)制用戶配置文件 臨時(shí)用戶配置文件 2021/3/958 實(shí)現(xiàn)漫游用戶配置文件 1）為漫游用戶創(chuàng)建一個(gè)測(cè)試配置文件 2）準(zhǔn)備一個(gè)存放漫游用戶配置文件的網(wǎng)絡(luò)存儲(chǔ)路徑 3）