Windows Server 2022活動(dòng)目錄管理實(shí)踐( 第2版 微課版)-課件項(xiàng)目10 將域成員設(shè)置為客戶機(jī)的管理員

項(xiàng)目10將域成員設(shè)置為客戶機(jī)的管理員域中內(nèi)置組、預(yù)定義組和特殊組的管理域成員計(jì)算機(jī)中組賬戶的管理域成員計(jì)算機(jī)中用戶賬戶的管理用戶權(quán)限最小化原則的應(yīng)用目錄域中內(nèi)置組、預(yù)定義組和特殊組的管理域中組的概念在WindowsServer2022中，組是一個(gè)非常重要的概念。用戶賬戶主要用于標(biāo)識(shí)網(wǎng)絡(luò)中的用戶，組主要用于組織用戶賬戶。利用組可以將具有相同特點(diǎn)及屬性的用戶賬戶組織在一起，以便管理員進(jìn)行管理。當(dāng)網(wǎng)絡(luò)中的用戶數(shù)量非常多時(shí)，給每個(gè)用戶授予資源訪問權(quán)限的工作會(huì)非常繁雜，而具有相同身份的用戶的資源訪問權(quán)限通常也相同，因此可以將具有相同身份的用戶加入一個(gè)邏輯實(shí)體，并且為該邏輯實(shí)體賦予資源訪問權(quán)限，從而減少工作量，簡(jiǎn)化對(duì)資源的管理。這個(gè)邏輯實(shí)體就是組。組的特點(diǎn)組是用戶賬戶的邏輯集合，刪除組并不會(huì)將組內(nèi)的用戶賬戶刪除。在將一個(gè)用戶賬戶加入一個(gè)組后，該用戶賬戶就會(huì)獲得該組所擁有的全部權(quán)限。一個(gè)用戶賬戶可以是多個(gè)組的成員。在特定情況下，組是可以嵌套的，即組中可以包含其他組。域中內(nèi)置組、預(yù)定義組和特殊組的管理在活動(dòng)目錄的域中，可以將組分為3類：內(nèi)置組、預(yù)定義組和特殊組。1）內(nèi)置組內(nèi)置組位于“Builtin”容器中，如圖所示。這些內(nèi)置組都是域本地安全組，可以給用戶提供預(yù)定義的權(quán)利和權(quán)限。用戶不能修改內(nèi)置組的權(quán)限設(shè)置。當(dāng)需要某個(gè)用戶執(zhí)行管理任務(wù)時(shí)（授權(quán)），只需將該用戶賬戶加入相應(yīng)的內(nèi)置組。下面簡(jiǎn)要介紹幾個(gè)較為常用的內(nèi)置組?！癆ctiveDirectory用戶和計(jì)算機(jī)”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理AccountOperators（用戶賬戶操作員組）：該組中成員可以創(chuàng)建、刪除和修改用戶賬戶的隸屬組，但是不能修改“Administrators”組和“AccountOperators”組?！癆ctiveDirectory用戶和計(jì)算機(jī)”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理Administrators（管理員組）：該組中的成員對(duì)域控制器及域中的所有資源都具有完全控制權(quán)限，并且可以根據(jù)需要為其他用戶賦予相應(yīng)的權(quán)利和訪問權(quán)限。在默認(rèn)情況下，“Administrator”賬戶、“DomainAdmins”和“EnterpriseAdmins”預(yù)定義全局組是該組的成員。由于該組中的成員可以完全控制域控制器，所以在向該組中添加用戶賬戶時(shí)要謹(jǐn)慎?！癆ctiveDirectory用戶和計(jì)算機(jī)”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理BackupOperators（備份操作員組）：該組中的成員可以備份和還原域控制器中的文件，不管是否有該文件的的訪問權(quán)限。這是因?yàn)閳?zhí)行備份任務(wù)的權(quán)限要高于所有文件權(quán)限。但該組成員不能更改文件的安全設(shè)置?！癆ctiveDirectory用戶和計(jì)算機(jī)”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理Guests（來賓組）：該組中的成員只能執(zhí)行授權(quán)任務(wù)，以及訪問為其分配了訪問權(quán)限的資源。該組中的成員具有一個(gè)在登錄時(shí)創(chuàng)建的臨時(shí)配置文件，在注銷時(shí)，該配置文件會(huì)被刪除。來賓賬戶“Guest”是該組中的默認(rèn)成員。“ActiveDirectory用戶和計(jì)算機(jī)”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理NetworkConfigurationOperators（網(wǎng)絡(luò)配置操作員組）：該組中的成員可以更改TCP/IP配置。PerformanceLogUsers（性能日志用戶組）：該組中的成員可以從本地服務(wù)器和遠(yuǎn)程客戶端管理性能計(jì)數(shù)器、收集性能日志?！癆ctiveDirectory用戶和計(jì)算機(jī)”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理PrintOperators（打印機(jī)操作員組）：該組中的成員可以管理打印機(jī)和打印隊(duì)列。ServerOperators（服務(wù)器操作員組）：該組中的其成員只可以共享磁盤資源和在域控制器上備份和恢復(fù)文件。“ActiveDirectory用戶和計(jì)算機(jī)”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理Users（用戶組）：該組中的成員可以執(zhí)行一些常見任務(wù)，如運(yùn)行應(yīng)用程序、使用網(wǎng)絡(luò)打印機(jī)等。該組中的成員不能共享目錄和創(chuàng)建本地打印機(jī)等。在默認(rèn)情況下，“DomainUsers”賬戶是“AuthenticatedUsers”賬戶是該組中的成員。因此，在域中創(chuàng)建的所有用戶都將成為該組的成員?！癆ctiveDirectory用戶和計(jì)算機(jī)”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理2）預(yù)定義全局組在域創(chuàng)建完成后，打開“ActiveDirectory用戶和計(jì)算機(jī)”窗口，可以看到“Users”容器中創(chuàng)建了預(yù)定義全局組，如圖所示。下面簡(jiǎn)要介紹幾個(gè)較為常用的預(yù)定義全局組?！癆ctiveDirectory用戶和計(jì)算機(jī)”窗口的“Users”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理DomainAdmins（域管理員組）：WindowsServer2022會(huì)自動(dòng)將預(yù)定義組“DomainAdmins”添加到內(nèi)置組“Administrators”中，因此域管理員可以在域中的任意一臺(tái)計(jì)算機(jī)上執(zhí)行管理任務(wù)?！癆dministrator”賬戶是該組中的默認(rèn)成員。“ActiveDirectory用戶和計(jì)算機(jī)”窗口的“Users”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理DomainGuests（域來賓組）：WindowsServer2022會(huì)自動(dòng)將預(yù)定義組“DomainGuests”組添加到“Guests”內(nèi)置域組中，Guest賬戶默認(rèn)是該組的成員?！癆ctiveDirectory用戶和計(jì)算機(jī)”窗口的“Users”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理DomainUsers（域用戶組）：WindowsServer2022自動(dòng)將自定義組“DomainUsers”添加到內(nèi)置組“Users”中。新建的域用戶都是該組中的默認(rèn)成員?！癆ctiveDirectory用戶和計(jì)算機(jī)”窗口的“Users”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理3）特殊組在WindowsServer2022服務(wù)器上還有一些特殊組，這些組中沒有特定的成員關(guān)系，但是它們可以在不同時(shí)間代表不同的用戶，這取決于用戶采取哪種方式訪問計(jì)算機(jī)，訪問什么資源。在執(zhí)行組管理時(shí)，特殊組不可見，但是在給資源分配權(quán)限時(shí)會(huì)使用它們。域中內(nèi)置組、預(yù)定義組和特殊組的管理（1）AnonymousLogon（匿名登錄組）：該組中的成員都是沒有經(jīng)過身份驗(yàn)證的用戶賬戶。（2）AuthenticatedUsers（已認(rèn)證的用戶組）：該組中的成員都是合法用戶賬戶。使用“AuthenticatedUsers”組可以禁用匿名訪問某個(gè)資源。“AuthenticatedUsers”組不包括“Guest”賬戶。（3）Everyone（每人組）：該組中的成員都是訪問該計(jì)算機(jī)的所有用戶賬戶，如“AuthenticatedUsers”組和“Guests”組中的用戶賬戶，因此在給“Everyone”組分配權(quán)限時(shí)要特別注意。域中內(nèi)置組、預(yù)定義組和特殊組的管理（4）CreatorOwner（創(chuàng)建所有者組）：該組中的成員都是創(chuàng)建和取得所有權(quán)的用戶賬戶。（5）Interactive（交互組）：該組中的成員是當(dāng)前登錄計(jì)算機(jī)或通過遠(yuǎn)程桌面連接登錄到域的所有用戶賬戶。（6）Network（網(wǎng)絡(luò)組）：該組中的成員是通過網(wǎng)絡(luò)連接所有登錄到域的用戶賬戶。（7）TerminalServerUsers（終端服務(wù)器用戶組）：當(dāng)以應(yīng)用程序服務(wù)器模式安裝終端服務(wù)器時(shí)，該組中的成員是使用終端服務(wù)器登錄到域的任意用戶賬戶。（8）Dialup（撥號(hào)組）：該組中的成員是當(dāng)前進(jìn)行撥號(hào)連接的用戶賬戶。域成員計(jì)算機(jī)中組賬戶的管理域成員計(jì)算機(jī)中組賬戶的管理在域內(nèi)，即使將成員計(jì)算機(jī)加入域，它們的內(nèi)置本地組也會(huì)保留，并且依托這些內(nèi)置本地組為域用戶提供在本機(jī)上執(zhí)行管理任務(wù)的權(quán)限。同域中的內(nèi)置組一樣，成員計(jì)算機(jī)的用戶賬戶也不能修改內(nèi)置本地組的權(quán)限設(shè)置。當(dāng)需要用戶賬戶在本地計(jì)算機(jī)上執(zhí)行相應(yīng)的管理任務(wù)時(shí)，只需將用戶賬戶加入相應(yīng)的內(nèi)置本地組。域成員計(jì)算機(jī)中組賬戶的管理在任務(wù)欄中右擊“開始”圖標(biāo)，在彈出的快捷菜單中選擇“計(jì)算機(jī)管理”命令，打開“計(jì)算機(jī)管理”窗口，在左側(cè)的列表框中選擇“系統(tǒng)工具”→“本地用戶和組”選項(xiàng)，可以查看內(nèi)置本地組，如圖所示。下面就其中幾個(gè)較為常用的組做簡(jiǎn)要介紹。域成員計(jì)算機(jī)的內(nèi)置本地組域成員計(jì)算機(jī)中組賬戶的管理Administrators（管理員組）：該組中的成員具有對(duì)域客戶機(jī)的完全控制權(quán)限，并且可以為其他用戶分配權(quán)限?！癆dministrators”組中的成員如圖所示，“DomainAdmins”組是該組中的默認(rèn)成員，而域管理員是“DomainAdmins”組中的成員，因此域管理員默認(rèn)擁有所有域成員計(jì)算機(jī)的管理權(quán)限?！癆dministrators”組中的成員域成員計(jì)算機(jī)中組賬戶的管理Users（用戶組）：該組中的成員只可以執(zhí)行被授權(quán)的任務(wù)，只能訪問具有訪問權(quán)限的資源?！癠sers”組中的成員如圖所示，“DomainUsers”組是該組中的默認(rèn)成員，而域用戶是“DomainUsers”組中的默認(rèn)成員，所以域用戶默認(rèn)擁有使用域成員計(jì)算機(jī)的權(quán)限?！癠sers”組中的成員域成員計(jì)算機(jī)中用戶賬戶的管理域成員計(jì)算機(jī)中用戶賬戶的管理域控制器負(fù)責(zé)管理域用戶賬戶和域組賬戶，沒有本地用戶賬戶和本地組賬戶。域成員計(jì)算機(jī)有本地用戶賬戶和本地組賬戶，為了管理方便，域管理通常回收了成員計(jì)算機(jī)的本地用戶賬戶，僅允許員工以域用戶賬戶的身份在客戶機(jī)登錄。用戶權(quán)限最小化原則的應(yīng)用用戶權(quán)限最小化原則的應(yīng)用1）域控制器的用戶權(quán)限域控制中的內(nèi)置組預(yù)先為戶定義了與之匹配的操作域控制器的具體權(quán)限，新建的域用戶都是“DomainUsers”組中的默認(rèn)，該組的成員可以執(zhí)行一些常見任務(wù)，如運(yùn)行應(yīng)用程序、使用網(wǎng)絡(luò)打印機(jī)等，但不能共享目錄、修改計(jì)算機(jī)配置等。如果要讓域用戶擁有更多的權(quán)限，則可以將其添加到擁有對(duì)應(yīng)權(quán)限的組中。例如，網(wǎng)絡(luò)部員工用戶“tom”經(jīng)常需要備份域控制器中的文件，可以將域用戶“tom”添加入“BackupOperators”組中，從而滿足“tom”用戶的工作需求。用戶權(quán)限最小化原則的應(yīng)用注意：不能將“TOM”添加入“DomainAdmins”組中，因?yàn)樵摻M不僅具有域控制器的備份與還原權(quán)限，還具有域用戶的添加與刪除、域控制器的安全部署與配置等權(quán)限。如果將“TOM”用戶添加到該組中，則可能會(huì)給域的管理帶來混亂，影響公司域的正常運(yùn)作，甚至造成信息外泄等嚴(yán)重后果。因此，在為域用戶授權(quán)時(shí)，應(yīng)該遵從權(quán)限最小化原則，在權(quán)限上避免員工的非法操作。用戶權(quán)限最小化原則的應(yīng)用2）域成員計(jì)算機(jī)的用戶權(quán)限同域控制器的用戶權(quán)限類似，域成員計(jì)算機(jī)的用戶權(quán)限也是由內(nèi)置組預(yù)先定義的，如果域用戶需要域成員計(jì)算機(jī)擁有更多的操作權(quán)限，則需要將該域用戶添加到相應(yīng)