AD域权限设置PPT课件

1、用户账户用户账户域用户账户域用户账户 （存储在（存储在 Active DirectoryActive Directory）本地用户账户本地用户账户（存储在本地计算机（存储在本地计算机）Windows Server 2003 域域第1页/共27页用户账户命名约定的制定准则用户账户命名约定的制定准则创建用户账户时应该考虑：创建用户账户时应该考虑：雇员重名雇员重名不同类型的雇员，例如临时雇员或合同雇员不同类型的雇员，例如临时雇员或合同雇员第2页/共27页用户账户在用户账户在 Active Directory 层次结构中的位置层次结构中的位置地理设计地理设计UsersNorth AmericaUser

2、sSouth America商业设计商业设计UsersAccountingUsersSales第3页/共27页用户账户的密码选项用户账户的密码选项防止用户使用选中的账户登录账户已禁用账户已禁用描述描述账户选项账户选项防止用户更改自己的密码用户不能更改密码用户不能更改密码用户必须在下次登录到网络时更改自己密码用户下次登录时须用户下次登录时须更改密码更改密码防止用户密码过期密码永不过期密码永不过期第4页/共27页要求或限制更改密码要求或限制更改密码创建本地和域服务账户创建新的本地账户（不在本地登录）限制更改限制更改密码密码 遇到以下情况，使用这个选项遇到以下情况，使用这个选项选项选项创建新的域账户

3、重设密码要求更改要求更改密码密码第5页/共27页DSADD DSADD 是 Windows Server 2003 Server 新提供的工具 DSADD 用于将计算机、联系人、组、组织单位或用户添加到目录中 可通过输入 DSADD /? 获取如何使用该命令的详细信息第6页/共27页用户账户的属性用户账户的属性用户账户的属性对话框用户账户的属性对话框第7页/共27页计算机账户的属性计算机账户的属性计算机账户的属性对话框计算机账户的属性对话框第8页/共27页管理组帐户 创建组 管理组成员身份 使用组应用策略 更改组 使用默认组第9页/共27页创建组 组 域功能级别 全局组 通用组 域本地组 本地

4、组 组的创建位置 组命名规则第10页/共27页组组使管理员能够一次性对资源分配权限，从而简化管理组的特点是根据作用域和类型来定义组的特点是根据作用域和类型来定义描述描述组类型组类型仅仅能够与 电子邮件应用程序配合使用，不能用来分配权限分布分布常常用来分配用户权利和权限，具有通讯组功能安全安全组作用域的判断主要考虑是否需要扩展到多个域或限制在一个域中三种组作用域：全局、本地域、通用组组第11页/共27页组的作用域 通用组的成员可包括域树或森林中任何域中的其他组和账户，可在该域树或森林中的任何域中指派权限 全局组的成员可包括只在其中定义该组的域中的其他组和账户，可在森林中的任何域中指派权限 域本地

5、组的成员可包括 Windows Server 2003、Windows 2000 或 Windows NT 域中的其他组和账户，而且只能在域内指派权限第12页/共27页域功能级别全局、本地域Windows NT Server 4.0, Windows Server 2000, Windows Server 2003全局、本地域、通用Windows Server 2000, Windows Server 2003全局、本地域、通用 Windows Server 2003支持的域控支持的域控制器制器支持的组作支持的组作用域用域Windows 2000 Windows 2000 混合模式混合模式 （

6、默（默认）认）Windows 2000 Windows 2000 本机模式本机模式Windows Windows Server 2003Server 2003第13页/共27页全局组规则全局组规则全局组混合模式：混合模式：同一个域中的用户账户本机模式：本机模式：同一个域的用户账户和全局组成员成员在自己和所有信任的域里可见作用域作用域混合模式：混合模式： 域本地组本机模式：本机模式： 任何域里的通用和域本地组，以及相同域的全局组可作为右边表格可作为右边表格中所示组的成员中所示组的成员林中所有域权限权限第14页/共27页通用组规则通用组规则通用组混合模式：混合模式：不适用本机模式：本机模式：用户账

7、户、全局组和森林中任何域的其他通用组成员成员森林中所有域都可见作用域作用域混合模式：混合模式：不适用本机模式：本机模式：任何域中的域本地组和通用组可作为右边表格中可作为右边表格中所示组的成员所示组的成员森林中所有域权限权限第15页/共27页域本地组规则域本地组规则域本地组混合模式：混合模式：任何域中的用户账户和全局组本机模式：本机模式：森林中任何域的用户账户、全局组和通用组，以及同一域中的域本地组成员成员仅在自己所在的域中可见作用域作用域混合模式：混合模式：无本机模式：本机模式：同一域中的域本地组可作为右边表格中可作为右边表格中所示组的成员所示组的成员域本地组所属的域 权限权限第16页/共27

8、页本地组规则本地组规则本地组计算机的本地用户账户成员成员无可作为右边表格中所可作为右边表格中所示组的成员示组的成员第17页/共27页内置组列表及说明内置组列表及说明组名组名描述信息描述信息Administrators具有具有完全控制权限完全控制权限，并且可以向其他用户分配用户权利和访问控制权，并且可以向其他用户分配用户权利和访问控制权限限Backup Operators加入该组的成员可以加入该组的成员可以备份和还原备份和还原服务器上的所有文件服务器上的所有文件Guests拥有一个在登录时创建的拥有一个在登录时创建的临时临时配置文件，在注销时该配置文件将被删配置文件，在注销时该配置文件将被删除除

9、Network Configuration Operators可以可以更改更改 TCP/IP 设置设置并更新和发布并更新和发布 TCP/IP 地址地址Power Users该组具有该组具有创建用户账户和组账户创建用户账户和组账户的权利，可以在的权利，可以在 Power Users 组、组、Users 组和组和 Guests 组中添加或删除用户，但是不能管理组中添加或删除用户，但是不能管理Administrators组成员组成员可以创建和管理可以创建和管理共享资源共享资源Print Operators可以管理可以管理打印机打印机Users可以执行一些可以执行一些常见任务常见任务，例如运行应用程序

10、、使用本地和网络打印机，例如运行应用程序、使用本地和网络打印机以及锁定服务器以及锁定服务器用户不能共享目录或创建本地打印机用户不能共享目录或创建本地打印机第18页/共27页组的创建位置 在森林的根域、森林的任何其他域、组织单位创建组 根据管理需要选择域或组织单位来创建组 例： 目录有多个组织单位，每个拥有不同的管理员，可以为这些组织单位创建全局组第19页/共27页组命名规则安全组：安全组：在组名的命名约定中合并作用域名称能够反映所属关系（部门或小组名称）在组名的开头添上域名或其缩写使用描述符来标识一个组所拥有的最大权限，例如：DL IT London OU Admins 通讯组：通讯组：使用短

11、的别名显示名称里不应包含用户的别名一个通讯组最多由五个合作者管理第20页/共27页管理组成员 “成员”和“隶属于”属性 演示 “成员”和“隶属于” 确定用户账户的从属组 在组中添加和删除成员第21页/共27页“成员”和“隶属于”属性组或小组组或小组全局组全局组域本地组域本地组成员成员隶属于隶属于无Denver AdminsTomTom、Jo Jo 和和 KimKim成员成员隶属于隶属于无Vancouver AdminsSamSam、Scott Scott 和和 AmyAmyMembersMembersMember OfMember OfTom, Jo, KimDenver OU AdminsD

12、enver AdminsDenver Admins成员成员隶属于隶属于Tom, Jo, KimDenver OU AdminsDenver AdminsDenver Admins成员成员隶属于隶属于Sam, Scott, AmyVancouver OU AdminsVancouver AdminsVancouver AdminsDenver OU AdminsDenver OU Admins成员成员隶属于隶属于Denver Admins,Vancouver Admins无第22页/共27页在组中添加和删除成员 通过使用“Active Directory 用户和计算机”来添加成员 通过使用“属性

13、”对话框的“隶属于”选项卡来添加用户账户或组 第23页/共27页使用组应用策略 组嵌套 组策略第24页/共27页组组组组组组组组组组组嵌套 意味着将组作为其他组的成员嵌套组用来加强组管理嵌套组用来加强组管理嵌套组选项取决于嵌套组选项取决于 Windows Server 2003 Windows Server 2003 域的功域的功能级别设置为能级别设置为 Windows 2000 Windows 2000 本机模式还是本机模式还是 Windows 2000 Windows 2000 混合模式混合模式第25页/共27页组策略A G PAPG全局组全局组权限权限用户账户用户账户A DL PAPDL域本地组域本地组权限权限用户账户用户账户A G DL PAP域本地组域本地组DLG权