第3章 域用戶和組管理

第三章域用戶與組賬戶的管理概述管理域用戶帳戶添加多個用戶帳戶域組賬戶組的使用準(zhǔn)則介紹用戶和組為每個用戶帳號創(chuàng)建一個唯一的登錄名用批處理為新用戶在活動目錄創(chuàng)建多個用戶帳號將用戶分組，用以管理網(wǎng)絡(luò)上的共享資源當(dāng)為一個分層結(jié)構(gòu)創(chuàng)建一個模型時，將組嵌入別的組中以減少管理任務(wù)UsersSharedResourcesPermissionsGroup用戶登錄名用戶主名用戶主名前綴用戶主名后綴用戶登錄名用戶登錄時必須選擇域用戶登錄名唯一性原則全名在創(chuàng)建用戶帳號的容器內(nèi)必須唯一用戶登錄名在域中必須唯一用戶主名在目錄林中必須唯一例如：tom@是用戶主名，在林中唯一，tom是登錄名+usernamedomaincontosozhangsan@SuffixPrefixzhangsan@contoso.msft創(chuàng)建和刪除一個UPN后綴ActiveDirectoryDomainsandTrustsActionViewTreeNameTypeActiveDirectoryDomainsandTrustscontoso.msftnwtraders.msftdomain.DNSdomain.DNScontoso.msftnwtraders.msftOpenspropertysheetforthecurrentselection.ConnecttoDomainController…OperationsMaster…ViewRefreshExportList…HelpPropertiesActiveDirectoryDomainsandTrustsPropertiesUPNSuffixesThenamesofthecurrentdomainandtherootdomainarethedefaultuserprincipalname(UPN)suffixes.Addingalternativedomainnamesprovidesadditionallogonsecurityandsimplifiesuserlogonnames.IfyouwantalternativeUPNsuffixestoappearduringusercreation,addthemtothefollowinglist.AlternativeUPNsuffixes:contoso.msftAddRemoveOKCancelApplyAddNewSuffixes新建組織單元升級成DC前后的變化升級成DC之前，用戶賬戶位于本地安全數(shù)據(jù)庫內(nèi)（C:\Windows\System32\Config\SAM）升級成DC以后，用戶賬戶位于AD數(shù)據(jù)庫內(nèi)。只有在創(chuàng)建域中第一臺DC時，服務(wù)器上原有本地用戶才會轉(zhuǎn)移到AD數(shù)據(jù)庫中其他DC原有賬戶會被刪除。ActiveDirectory

UsersandComputersDirectoryServiceToolsDsaddDsmodDsrmCsvdeandLdifdeToolsWindowsScriptHost添加用戶的工具9成批導(dǎo)入程序每一個用戶，文件中：必須包括對象類型、存儲路徑、用戶主名。應(yīng)該包含用戶登錄名帳號是否禁用可以包含用戶的屬性（用戶信息）不可以設(shè)置密碼ActiveDirectoryTextFilesuzanfjudylUserinformation使用CSVDE創(chuàng)建多用戶帳號NewObject-UserCreatein:asia.contoso.msft/HumanResourcesFirstname:Lastname:Fullname:Userlogonname:@contoso.msftUserlogonname(pre-Windows2000):ASIA\<BackNext>CancelSuzanFineSuzanFinesuzanfsuzanfInitials:displayNameuserPrincipalNamesamAccountNameDN=FullName+PathobjectClass使用LDIFDE創(chuàng)建多用戶帳號NewObject-UserCreatein:asia.contoso.msft/HumanResourcesFirstname:Lastname:Fullname:Userlogonname:@contoso.msftUserlogonname(pre-Windows2000):ASIA\<BackNext>CancelSuzanFineSuzanFinesuzanfsuzanfInitials:userPrincipalNamesamAccountNameDN=FullName+PathobjectClassdisplayName使用dsadd.exe等程序dsadd.exe添加賬戶dsmod.exe修改賬戶信息dsrm.exe刪除賬戶執(zhí)行公共的管理任務(wù)ActiveDirectoryUsersandComputersActiveDirectoryUsersandComputersConsoleWindowHelpActionViewTreeAccounting4objectsNameTypecontoso.msftAccountingBuiltinComputersDomainControllersUsersAnnePaperUserCreatesanewuser,copyinginformationfromtheselecteduser.HelpCopy…Addmemberstoagroup…DisableAccountResetPassword…Move…OpenhomepageSendmailAllTasksDeleteRenameRefreshPropertiesAccountislockedout限制用戶登錄限制用戶登錄時間限制用戶登錄的計算機查詢用戶帳號FindUsers,Contacts,andGroupsFileEditViewHelpFind:EntireDirectoryUsers,

Contacts,

and

GroupsIn:FindNowStopClearAllBrowse...AddRemove<Addcriteriafromabovetothislist>NameDescriptionTypeJoePakDonHallAnnePaperUserUserUserEntireDirectorycontosoAccountingFieldUsers,

Contacts,

and

GroupsAdvanced31item(s)foundSelectattributesforsearchingSpecifyvalueof

theattributeSetconditionAdministeruseraccounts

intheresultsboxSearchentireActiveDirectory,

aspecificdomain,oranOUDC之間用戶和組數(shù)據(jù)的復(fù)制自動復(fù)制15秒復(fù)制緊急復(fù)制（立即復(fù)制）手動復(fù)制在活動目錄中使用組介紹活動目錄的組使用全局組使用域本地組使用通用組介紹活動目錄中的組GroupsCanBeNestedInsideOtherGroupsUsersCanBeMembersofMultipleGroupsGroupGroupGroupsSimplifyAssigningPermissiontoResourcesGroupGroupGroupGroupGroupGroup使用全局組(Global)GlobalGroupRules成員屬于成員資格作用范圍權(quán)限范圍包含來自同一個域的用戶帳號和全局組全局組可以是任何一個域中的通用和域本地組，以及同一個域中的全局組成員全局組在域和所有信任域可見目錄林中所有域

AddAddGlobalGroup使用通用組(Universal)成員屬于UniversalGroupRules成員資格可以包含來自目錄林中的任何域的用戶帳號、全局組和通用組

可以是任何域中的域本地和通用組成員作用范圍通用組在目錄林中的所有域都是可見權(quán)限范圍目錄林所有域

AddfromMultipleDomainsGlobalGroupUniversalGroup使用域本地組(DomainLocal)DomainLocalGroupRules成員屬于成員資格作用范圍權(quán)限范圍可以包含目錄林中的任何域的用戶帳號、全局組和通用組，以及同一域的域本地組。域本地組可以是同一域中的域本地組域本地組只在它自己的域中可見域本地組位于其中的域

AddAddGlobalGroupDomainDLGDomainLocalGroup在域中使用組的策略使用全局和域本地組課堂討論：在一個單域中使用組使用全局和域本地組UserAccountsGlobalGroupsGlobalGroupDomainLocalGroupPermissionsAGDLPGDLG添加域用戶帳號到全局組(Optional)把一個全局組添加到另一個全局組把全局組添加到一個域本地組賦予相應(yīng)權(quán)限給相應(yīng)的域本地組使用通用組的嵌套策略把用戶帳號添加到全局組GlobalGroupUsers把全局組嵌套到一個通用組中GlobalGroupUniversalGroup把一個全局組嵌套到另一個全局組中GlobalGroupGlobalGroup把通用組添加到為資源創(chuàng)建的域本地組UniversalGroupDomainLocalGroupDLG把組中用戶的合適權(quán)限分派給域本地組PermissionsDomainLocalGroupDLG康博公司是一家大型軟件公司，總部設(shè)在北京，在上海有一家分公司。公司在企業(yè)內(nèi)部建立了域名為的域，在上海的分公司也創(chuàng)建了子域，從而形成了域樹。后來公司創(chuàng)辦了一個電子物流公司，名為博通，總部設(shè)在大連。博通在總公司的林中創(chuàng)建了自己的域環(huán)境。所有子公司和總公司之間都存在信任關(guān)系，方便資源相互訪問。案例：組的使用大連公司的賬目資料都保存在一臺財務(wù)部專用服務(wù)器上。因為是公司機密信息，安全性比較高，所有資料僅允許財務(wù)部門的人員訪問。怎樣分配權(quán)限最方便？大連的管理員為了方便管理，為財務(wù)部門創(chuàng)建了一個域本地組dlf，在服務(wù)器上賦予dlf組訪問財務(wù)數(shù)據(jù)的權(quán)限。這就是A-DL-P。現(xiàn)在大連的公司財務(wù)部門出了一點問題，需要從北京、上海各找10個人支援一下。這就要求北京和上海公司的用戶也可以訪問該服務(wù)器上財務(wù)部的資源，應(yīng)該怎樣設(shè)置組和權(quán)限？不再使用組，我們也可以實現(xiàn)這個功能，就是直接把用戶帳戶添加到財務(wù)部資源的訪問控制列表中。如何使用組來實現(xiàn)更方便的管理？上海和北京的管理員分別為各自要幫助大連的10個人創(chuàng)建了一個全局組bjf和shf，然后大連的管理員僅僅添加bjf和shf到dlf即可完成權(quán)限的添加，而不需要關(guān)心到底是哪些人來支持財務(wù)部工作，然后一個一個添加了。對于最終資源來說，它感覺自己沒有變化，因為自己始終都是允許被dlf訪問，并沒有發(fā)生變化。這就是著名的A-G-DL-P的使用。在上面的例子中，假設(shè)有很多域，有很多全局組，就推薦使用AGUDLP，在每個域中分別創(chuàng)建了全局組后，應(yīng)用通用組來管理全局組，最后把通用組加入到域本地組，進行權(quán)限的設(shè)置。Q&A：

既然通用組來自全林用于全林，看起來似乎比全局組更方便，可以完全取代全局組的，為什么不這么做？由于通用組成員來自于全林，而且它信息是存儲在全局編錄中的，任何的變化都會導(dǎo)致全林復(fù)制，這個復(fù)制流量不可忽視。在全局編錄中一般存儲一些不太經(jīng)常發(fā)生變化的信息。由于用戶帳戶是會經(jīng)常發(fā)生變化的，所以，強烈建議不要直接添加用戶帳戶到通用組，而是先添加帳戶到全局組，然后再把這些相對穩(wěn)定的全局組添加到通用組.。練習(xí)1：在目錄樹和目錄林中使用組所有財務(wù)人員都要能訪問全林的財務(wù)數(shù)據(jù)，應(yīng)該怎樣設(shè)置組？?DomainADataDomainCDataDomainBData34在目錄樹和目錄林中使用組（1-1）DomainA財務(wù)部付款收款DomainBDomainC把相似工作任務(wù)的用戶放在一個全局組中在目錄樹和目錄林中使用組（1-2）DomainBDomainCDomainA財務(wù)部付款收款每個域中將全局組嵌套成一個全局組在目錄樹和目錄林中使用組（1-3)DomainA將每個域的全局組加入到通用組DomainBDomainC所有財務(wù)人員財務(wù)部財務(wù)部財務(wù)部在目錄樹和目錄林中使用組（1-4）創(chuàng)建域本地組，并根據(jù)資源給域本地組授權(quán)。DomainB