AD域权限设置

1、用户账户管理用户账户管理用户账户用户账户域用户账户名称域用户账户名称用户账户命名约定的制定准则用户账户命名约定的制定准则用户账户在用户账户在 Active Directory Active Directory 层次结构中的位置层次结构中的位置用户账户的密码选项用户账户的密码选项要求或限制更改密码要求或限制更改密码用户账户用户账户域用户账户域用户账户 （存储在（存储在 Active DirectoryActive Directory）本地用户账户本地用户账户（存储在本地计算机（存储在本地计算机）Windows Server 2003 域域用户账户命名约定的制定准则用户账户命名约定的制定准则创建用

2、户账户时应该考虑：创建用户账户时应该考虑：雇员重名雇员重名不同类型的雇员，例如临时雇员或合同雇员不同类型的雇员，例如临时雇员或合同雇员用户账户在用户账户在 Active Directory 层次结构中的位置层次结构中的位置地理设计地理设计UsersNorth AmericaUsersSouth America商业设计商业设计UsersAccountingUsersSales用户账户的密码选项用户账户的密码选项防止用户使用选中的账户登录账户已禁用账户已禁用描述描述账户选项账户选项防止用户更改自己的密码用户不能更改密码用户不能更改密码用户必须在下次登录到网络时更改自己密码用户下次登录时须用户下次登

3、录时须更改密码更改密码防止用户密码过期密码永不过期密码永不过期要求或限制更改密码要求或限制更改密码创建本地和域服务账户创建新的本地账户（不在本地登录）限制更改限制更改密码密码 遇到以下情况，使用这个选项遇到以下情况，使用这个选项选项选项创建新的域账户重设密码要求更改要求更改密码密码DSADD DSADD DSADD 是是 Windows Server 2003 Server Windows Server 2003 Server 新提供的新提供的工具工具DSADD DSADD 用于将计算机、联系人、组、组织单位或用用于将计算机、联系人、组、组织单位或用户添加到目录中户添加到目录中可通过输入可通过

4、输入 DSADD /? DSADD /? 获取如何使用该命令的详细获取如何使用该命令的详细信息信息用户账户的属性用户账户的属性用户账户的属性对话框用户账户的属性对话框计算机账户的属性计算机账户的属性计算机账户的属性对话框计算机账户的属性对话框管理组帐户创建组创建组管理组成员身份管理组成员身份使用组应用策略使用组应用策略更改组更改组使用默认组使用默认组创建组组组域功能级别域功能级别全局组全局组通用组通用组域本地组域本地组本地组本地组组的创建位置组的创建位置组命名规则组命名规则组组使管理员能够一次性对资源分配权限，从而简化管理组使管理员能够一次性对资源分配权限，从而简化管理组的特点是根据作用域和类

5、型来定义组的特点是根据作用域和类型来定义描述描述组类型组类型仅仅能够与 电子邮件应用程序配合使用，不能用来分配权限分布分布常常用来分配用户权利和权限，具有通讯组功能安全安全组作用域的判断主要考虑是否需要扩展到多个域或限制在一个域中三种组作用域：全局、本地域、通用组组组的作用域通用组的成员可包括域树或森林中任何域中的其通用组的成员可包括域树或森林中任何域中的其他组和账户，可在该域树或森林中的任何域中指他组和账户，可在该域树或森林中的任何域中指派权限派权限全局组的成员可包括只在其中定义该组的域中的全局组的成员可包括只在其中定义该组的域中的其他组和账户，可在森林中的任何域中指派权限其他组和账户，可在

6、森林中的任何域中指派权限域本地组的成员可包括域本地组的成员可包括 Windows Server 2003Windows Server 2003、Windows 2000 Windows 2000 或或 Windows NT Windows NT 域中的其他组域中的其他组和账户，而且只能在域内指派权限和账户，而且只能在域内指派权限域功能级别全局、本地域Windows NT Server 4.0, Windows Server 2000, Windows Server 2003全局、本地域、通用Windows Server 2000, Windows Server 2003全局、本地域、通用 Wi

7、ndows Server 2003支持的域控支持的域控制器制器支持的组作支持的组作用域用域Windows 2000 Windows 2000 混合模式混合模式 （默（默认）认）Windows 2000 Windows 2000 本机模式本机模式Windows Windows Server 2003Server 2003全局组规则全局组规则全局组混合模式：混合模式：同一个域中的用户账户本机模式：本机模式：同一个域的用户账户和全局组成员成员在自己和所有信任的域里可见作用域作用域混合模式：混合模式： 域本地组本机模式：本机模式： 任何域里的通用和域本地组，以及相同域的全局组可作为右边表格可作为右边表

8、格中所示组的成员中所示组的成员林中所有域权限权限通用组规则通用组规则通用组混合模式：混合模式：不适用本机模式：本机模式：用户账户、全局组和森林中任何域的其他通用组成员成员森林中所有域都可见作用域作用域混合模式：混合模式：不适用本机模式：本机模式：任何域中的域本地组和通用组可作为右边表格中可作为右边表格中所示组的成员所示组的成员森林中所有域权限权限域本地组规则域本地组规则域本地组混合模式：混合模式：任何域中的用户账户和全局组本机模式：本机模式：森林中任何域的用户账户、全局组和通用组，以及同一域中的域本地组成员成员仅在自己所在的域中可见作用域作用域混合模式：混合模式：无本机模式：本机模式：同一域中

9、的域本地组可作为右边表格中可作为右边表格中所示组的成员所示组的成员域本地组所属的域 权限权限本地组规则本地组规则本地组计算机的本地用户账户成员成员无可作为右边表格中所可作为右边表格中所示组的成员示组的成员内置组列表及说明内置组列表及说明组名组名描述信息描述信息Administrators具有具有完全控制权限完全控制权限，并且可以向其他用户分配用户权利和访问控制权，并且可以向其他用户分配用户权利和访问控制权限限Backup Operators加入该组的成员可以加入该组的成员可以备份和还原备份和还原服务器上的所有文件服务器上的所有文件Guests拥有一个在登录时创建的拥有一个在登录时创建的临时临时

10、配置文件，在注销时该配置文件将被删配置文件，在注销时该配置文件将被删除除Network Configuration Operators可以可以更改更改 TCP/IP 设置设置并更新和发布并更新和发布 TCP/IP 地址地址Power Users该组具有该组具有创建用户账户和组账户创建用户账户和组账户的权利，可以在的权利，可以在 Power Users 组、组、Users 组和组和 Guests 组中添加或删除用户，但是不能管理组中添加或删除用户，但是不能管理Administrators组成员组成员可以创建和管理可以创建和管理共享资源共享资源Print Operators可以管理可以管理打印机打

11、印机Users可以执行一些可以执行一些常见任务常见任务，例如运行应用程序、使用本地和网络打印机，例如运行应用程序、使用本地和网络打印机以及锁定服务器以及锁定服务器用户不能共享目录或创建本地打印机用户不能共享目录或创建本地打印机组的创建位置在森林的根域、森林的任何其他域、组织单位创在森林的根域、森林的任何其他域、组织单位创建组建组根据管理需要选择域或组织单位来创建组根据管理需要选择域或组织单位来创建组例：目录有多个组织单位，每个拥有不同的管理员，可以为这些组织单位创建全局组组命名规则安全组：安全组：在组名的命名约定中合并作用域名称能够反映所属关系（部门或小组名称）在组名的开头添上域名或其缩写使用

12、描述符来标识一个组所拥有的最大权限，例如：DL IT London OU Admins 通讯组：通讯组：使用短的别名显示名称里不应包含用户的别名一个通讯组最多由五个合作者管理管理组成员 “成员成员”和和“隶属于隶属于”属性属性演示演示 “成员成员”和和“隶属于隶属于”确定用户账户的从属组确定用户账户的从属组在组中添加和删除成员在组中添加和删除成员“成员”和“隶属于”属性组或小组组或小组全局组全局组域本地组域本地组成员成员隶属于隶属于无Denver AdminsTomTom、Jo Jo 和和 KimKim成员成员隶属于隶属于无Vancouver AdminsSamSam、Scott Scott

13、和和 AmyAmyMembersMembersMember OfMember OfTom, Jo, KimDenver OU AdminsDenver AdminsDenver Admins成员成员隶属于隶属于Tom, Jo, KimDenver OU AdminsDenver AdminsDenver Admins成员成员隶属于隶属于Sam, Scott, AmyVancouver OU AdminsVancouver AdminsVancouver AdminsDenver OU AdminsDenver OU Admins成员成员隶属于隶属于Denver Admins,Vancouver

14、 Admins无在组中添加和删除成员通过使用通过使用“Active Directory 用户和计算机用户和计算机”来添加来添加成员成员 通过使用通过使用“属性属性”对话框的对话框的“隶属于隶属于”选项卡来添选项卡来添加用户账户或组加用户账户或组 使用组应用策略 组嵌套组嵌套组策略组策略组组组组组组组组组组组嵌套意味着将组作为其他组的成员意味着将组作为其他组的成员嵌套组用来加强组管理嵌套组用来加强组管理嵌套组选项取决于嵌套组选项取决于 Windows Server 2003 Windows Server 2003 域的功域的功能级别设置为能级别设置为 Windows 2000 Windows 2000 本机模式还是本机模式还是 Windows 2000 Windows 2000 混合模式混合模式组策略A G PAPG全局组全局组权限权限用户账户用户账户A DL PAPD