第4章(2) 創(chuàng)建和管理計(jì)算機(jī)、組賬戶

第六章Win2000中組的管理為什么使用組本地組域模式中的組第六章Win2000中組的管理在一個(gè)擁有眾多用戶的網(wǎng)絡(luò)中，系統(tǒng)管理員需要為每一個(gè)用戶設(shè)置訪問(wèn)資源的權(quán)限，導(dǎo)致了工作量的巨大增加；具有相同身份的用戶通常其擁有的權(quán)限也相同；這樣就可以將具有相同身份和屬性的用戶組合到一個(gè)邏輯的集合當(dāng)中，并且一次性地賦予該集合訪問(wèn)資源的權(quán)限而不再單獨(dú)給每一個(gè)用戶賦予權(quán)限，從而大大節(jié)省了工作量，簡(jiǎn)化了對(duì)訪問(wèn)網(wǎng)絡(luò)中資源的管理。這里的集合就是組。它將具有相同特點(diǎn)及屬性的用戶組合在一起，便于管理和使用，它可以看作是用戶賬戶的一種邏輯組合。§6.1本地組創(chuàng)建位置：Windows2000Server的獨(dú)立服務(wù)器或者成員服務(wù)器，Windows2000Professional普通工作站作用范圍：只限于創(chuàng)建該組的計(jì)算機(jī)上存儲(chǔ)：創(chuàng)建該組的計(jì)算機(jī)的本地安全賬號(hào)管理器一、本地組類型（本地組、內(nèi)置組）1、本地組：在任何一臺(tái)基于Windows2000的非DC計(jì)算機(jī)上創(chuàng)建§6.1本地組本地組中的成員根據(jù)創(chuàng)建本地組的計(jì)算機(jī)是否在域中而不同。對(duì)于不屬于域的計(jì)算機(jī)中的本地組而言，組中的成員只能包括本地計(jì)算機(jī)上的本地用戶賬戶；對(duì)于屬于域的計(jì)算機(jī)（非DC）中的本地組而言，組中的成員可以是本地計(jì)算機(jī)內(nèi)的本地用戶賬戶、域中的域用戶賬戶、域中的全局組和通用組賬戶、信任域中的域用戶賬戶以及域中的全局組和通用組。2、內(nèi)置組：不能被刪除，作用范圍限于其存在的計(jì)算機(jī)上?！?.1本地組二、本地組的組策略：將組、用戶、資源以及權(quán)限組合在一起從而實(shí)現(xiàn)對(duì)資源訪問(wèn)的管理稱為組策略。ALP（AccountsLocalgroupPermission）首先將具有相同屬性的用戶賬號(hào)加入到一個(gè)本地組中，再針對(duì)某些資源賦予這個(gè)本地組相應(yīng)的訪問(wèn)權(quán)限，這樣就可以達(dá)到一次操作而為多個(gè)用戶賦予訪問(wèn)資源的權(quán)限?！?.1本地組三、創(chuàng)建本地組：Administrator組或者由AccountOperators組成員進(jìn)行管理工具計(jì)算機(jī)管理組新建組§6.2域模式中的組域模式中的組稱為域組，在域的DC上創(chuàng)建，存儲(chǔ)在域的AD中。一、域模式中的組類型和作用域1、域模式中的組類型：安全組和分發(fā)組安全組：Windows2000的安全主體，通過(guò)給安全組賦予訪問(wèn)資源的權(quán)限來(lái)限制安全組成員對(duì)域中資源的訪問(wèn)，擁有唯一的SID。分發(fā)組：不是Windows2000的安全實(shí)體，沒有SID，不能賦予訪問(wèn)資源的權(quán)限。本質(zhì)用戶賬號(hào)列表。典型的應(yīng)用是發(fā)送e-mail?！?.2域模式中的組2、作用域：全局組作用域、本地域組作用域和通用組作用域全局組作用域：組織具有類似網(wǎng)絡(luò)訪問(wèn)要求的用戶。利用全局組可以授予訪問(wèn)任何域上資源的權(quán)限。

.具有有限的成員資格：成員只能是本域的用戶賬戶和全局組

.可以嵌套在其他組：本域的全局組，或者其他域的域本地組和通用組本地域組作用域：可以授予訪問(wèn)本域資源的權(quán)限。

.開放的成員資格：可以包含任何域的用戶、全局組和通用組

.不能嵌套在其他組中§6.2域模式中的組通用組作用域：可以為多個(gè)域中的資源授權(quán)，可以授權(quán)訪問(wèn)任何域的資源

.開放的成員資格：所有域的用戶和組

.可以嵌套：任何域的域本地組和通用組單域網(wǎng)絡(luò)使用組的最佳策略：AGDLP和AGGDLP問(wèn)題：如果同一個(gè)全局組需要對(duì)多個(gè)域中的資源訪問(wèn)，解決方法?！?.2域模式中的組內(nèi)置組：

.域本地組：只存在域控制器上，不能刪除。用于在域控制器和活動(dòng)目錄中執(zhí)行任務(wù)。在Bultin容器

.特殊組：根據(jù)系統(tǒng)狀態(tài)自動(dòng)組織用戶，即使管理員也不能為其分配成員。在活動(dòng)目錄窗口中不可見

.全局組：只存在域控制器上，在“users”容器§6.2域模式中的組二、創(chuàng)建域模式中的組：要求由Administrator組或者由AccountOperators組成員進(jìn)行。管理工具

ActiveDirectory用戶和計(jì)算機(jī)Users新建組§6.3轉(zhuǎn)換域模式三、默認(rèn)情況下，域和活動(dòng)目錄在混合模式下運(yùn)行，但是為了使用活動(dòng)目錄中的組嵌套和安全通用組，必須轉(zhuǎn)換為本地模式。轉(zhuǎn)換是單向的。操作方法：管理工具/AD用戶和計(jì)算機(jī)/打開域的屬性對(duì)話框/在“常規(guī)”標(biāo)簽/選擇“更改模式”§6.4組的管理刪除組：同時(shí)刪除了與該組有關(guān)的權(quán)限。刪除一個(gè)組不會(huì)刪除該組中的成員操作：在該組上單擊鼠標(biāo)右鍵/刪除向域組中添加成員：可以在組屬性對(duì)話框，可以在用戶屬性對(duì)話框。操作：在該組（用戶）上單擊鼠標(biāo)右鍵/屬性§6.5管理計(jì)算機(jī)賬戶添加設(shè)置屬性刪除§6.6用OU來(lái)組織一個(gè)域在域內(nèi)實(shí)現(xiàn)OU結(jié)構(gòu)可以加強(qiáng)管理控制和組策略控制。把管理控制委派給網(wǎng)絡(luò)資源，還可以給用戶或相同OU層次上的組指定管理權(quán)限。把網(wǎng)絡(luò)資源和相應(yīng)的安全要求一起集合到一個(gè)OU里面，從而簡(jiǎn)化資源的管理。組策略用來(lái)設(shè)置用戶環(huán)境，可以使用OU為一個(gè)用戶組創(chuàng)建獨(dú)立的組策略。創(chuàng)建OU的權(quán)限：域管理組和公司管理組的成員具有這種權(quán)限。方法：在AD用戶和計(jì)算機(jī)上，右擊域名，選擇“新建OU”在O