windows_learn 002 用戶管理和組策略
windows_learn 002 用戶管理和組策略
內容總覽
域用戶與組的管理
用戶和組
用戶登錄名
添加用戶工具
在活動目錄中使用組
為何使用組�?
全局組 Global Group Rules
域本地組 Domain Local Group Rules
通用組 Universal Group Rules
在域中使用組的策略
使用組的方針
組策略規劃及部署
組策略規劃及創建
組策略對象的工具
域用戶與組的管理
概述
管理域用戶賬戶
添加多個用戶賬戶
域組賬戶
組的使用準則
用戶和組
每個用戶賬號創建一個唯一的登錄名
使用批處理創建多個用戶
將用戶分組���,用以管理網絡上的共享資源(簡化授權次數)
為分層結構創建一個模型時�,將組嵌入別的組中以減少管理任務
用戶登錄名
用戶主名
1.用戶主名前綴
2.用戶主名后綴
用戶登錄名
1.用戶登錄時必須選擇域
用戶登錄名唯一性原則
1.全名在創建用戶賬號的容器內必須唯一
2.用戶主名在目錄林中必須唯一
3.用戶登錄名在域中必須唯一
添加用戶工具
AD用戶和計算機
目錄服務工具
Dsadd
Dsmod
Dsrm
Csvde 和 Ldifde 工具 (適合批量添加用戶)
Windows 腳本宿主
在活動目錄中使用組
介紹活動目錄的組
使用全局組
使用域本地組
使用通用組
為何使用組��?
1. 使用組可以簡化權限的分配
2. 一個用戶可以屬于多個組
3. 組與組之間可以嵌套
4. 對組里的用戶添加和移除不會產生碎片
組類型
安全組: 分配權限NTFS
通訊組: 群發郵件
作用域
本地域組
全局組
通用組
全局組 Global Group Rules
成員資格 包含來自同一個域的用戶賬號和全局組
成員屬于 全局組可以是任何一個域中的通用和域本地組���,以及同一個域中的全局組成員
作用范圍 全局組在域和所有信任域可見
權限范圍 目錄林中所有域
全局組用來
主要用來組織對象的����, 不會用來做授權
域本地組 Domain Local Group Rules
成員資格 可以包含目錄林中的任何域的用戶賬號全局組和通用組��,以及同一域的域本地組�。
成員屬于 域本地組可以是同一域中的域本地組
作用范圍 域本地組只在它自己的域中可見
權限范圍 域本地組位于其中的域
通用組 Universal Group Rules
成員資格 可以包含來自目錄林中的任何域的用戶和賬號全局組和其它通用組
成員屬于 可以是任何域中的域本地和通用組成員
作用范圍 通用組在目錄林中的所有域都是可見
權限范圍 目錄林所有域
在域中使用組的策略
使用全局和域本地組
AGGDLP
1. 添加域用戶賬號到全局組 User Accounts --> Global Group
2. (optional) 把一個全局組添加到另一個全局組 Global Group --> Global Group
3. 把全局組添加到一個域本地組 Global Group --> Domain Local group
4. 賦予相應權限給相應的域本地組 Domain Local group
AGUDLP
1.把用戶賬號添加到全局組 User --> Global Group
2.把一個全局組嵌套到另一個全局組中 Global Group --> Global groups
3.把全局組嵌套到通用組中 Global Group --> Universal Group
4.把通用組添加為資源創建的域本地組 Universal Group --> Domain Local Group
5.把組中用戶的合適權限分派給域本地組 Permissions --> Domain Local Group
使用組的方針
將負責日常工作的用戶添加到全局組
針對共享資源的訪問創建創建全局組
將需要訪問這些資源的全局組添加到相應的域本地組
使用通用組可以訪問多個域的資源
通用組的成員相對穩定時使用通用
組策略規劃及部署
本章重點
何謂組織單位
規劃組織單位
管理組織單位
管理組織單位的成員
委派控制
組織單位與委派控制
組織單位(Organizational Unit)
2000之后才出現的對象�,在AD域的邏輯架構中擔任重要的角色
何謂組織單位
在Windows NT的時代����,域(Domain)是組織和管理網絡的最小單位�����。
倘若不同的部門有不同的安全需求與管理方式����,往往因此使得將整個公司劃分
成多個域�?�?墒沁@種多域的架構���,在管理與成本都會增加負擔����。
為了解決這類的問題�,微軟公司在AD域中增加了組織單位這種對象�,使得整個
域的規劃與管理更有彈性�����,能發揮分層負責�����、授權管理的優點���。
組織單位是一種容器
能包含其它對象的對象便稱為容器(Container),既然組織單位是一種容器���,自然也能包含其
它對象����。
它可以包含以下9種對象:
用戶��、計算機���、 組��、 打印機�、 共享文件夾
聯絡人�����、 組織單位��、 InetOrgPerson����、 MSMQ路由別名
但是要記得一點--單位僅能包含同域內的對象�����,不能包含其它域的對象
組織單位與組的差異
初次接觸組織單位時�,許多用戶會將它與“組”混淆�,雖然兩都都是應用在AD域的邏
輯架構中����,但是在使用上有以下的差異:
一個用戶可以屬于多個組�,但只能隸屬于一個組織單位�����。
組織單位可以包含組�,但是組不能包含組織單位���。
網絡資源(例如:文件夾或打印機)的權限可以賦予組����,但是不能賦予組織單位���。
規劃組織單位
如何規劃組織單位的架構�,是一個頗有挑戰性的課題�����。然而并無一定的準則��,主
要視企業實際需求而定���。
以下列舉幾種常見的規劃模式:
基于地理位置 (中國����、法國�、挪威)
基于功能 (銷售�����、市場�����、咨詢)
基于組織 (制造業�、工程師��、研究員)
基于混合型的示例
組織(位置)
功能(組織)
位置(功能)
委派控制
簡單地說����,所謂委派控制(Delegation) 便是授權����!系統管理員可利用它來將例行的管理工
作���,委派給特定的對象來執行�,以減輕自己的負擔����。
執行委派控制時應注意以下3個要點:
委派的范圍:將多大的范圍(站點���、域或組織單位)委派出去
委派的對象:委派給誰
委派的內容:委派多大的權限出去���。
給委派的用戶一個工具����,使其可自行操作
在域控運行mmc 文件添加管理單位--》添加相應的單元即可
添加后 點擊需要管理的相應OU���,右鍵從這里創建窗口
新建任務面板
組策略規劃及創建
組策略運行在Windows Server 2008��、 Windows Vista�����、 Windows Server 2003和
Windows XP的計算機上啟用基于Active Directory的用戶和計算機設置更改和配置管理��。
除了使用組策略為用戶和計算機組定義配置以外�����,還可以配置很多服務器特定的操作
和安全設置以便使組策略幫助管理服務器計算機����。
組策略組件
Group Policy Object GPO
Contains Group Policy settings
Stores content in two locations
Group Policy Container
Stored in Active Directory
Provides version information
Group Policy Template
Stored in shared SYSVOL folder
Provides Group Policy settings
組策略對象的工具
默認組策略工具
Active Directory 用戶和計算機
域和組織單位組策略對象
Active Directory 站點和服務
站點組策略對象
本地安全策略
本地計算機安全設置
附加工具
組策略管理
域�����、組織單位和站點組策略對象
組策略配置后需要Link到OU上才可以生效
組策略的應用順序由高到低
子OU策略
父OU策略
域策略
站點策略
本地策略
組策略什么時候應用��?
computer starts
Computer settings applied
Startup scripts on
User logs on
User settings applied
Logon scripts run
