erver-域用户和组的管理课件

1、第三章 域用户与组账户的管理概述管理域用户帐户添加多个用户帐户域组账户组的使用准则介绍用户和组为每个用户帐号创建一个唯一的登录名用批处理为新用户在活动目录创建多个用户帐号将用户分组，用以管理网络上的共享资源当为一个分层结构创建一个模型时，将组嵌入别的组中以减少管理任务用户Shared Resources权限组用户登录名介绍用户登录名创建一个用户主名后缀介绍用户登录名用户主名 1.用户主名前缀 2.用户主名后缀用户登录名 1.用户登录时必须 选择域用户登录名唯一性原则 1.全名在创建用户帐号的容器内必须唯一 2.用户主名在目录林中必须唯一 3.用户登录名在域中必须唯一+用户名域名contosos

2、uzanfSuffixPrefixAD用户和计算机目录服务工具DsaddDsmodDsrmCsvde 和 Ldifde 工具Windows 脚本宿主添加用户的工具创建多个用户帐号使用CSVDE（逗号分离值目录交换）创建多个用户帐号使用LDIFDE（轻型目录访问协议互换格式目录交换）创建多个用户帐号7成批导入程序每一个用户对象，文件： 1.必须包括指向活动目录中的用户帐号、本身的类型以及用户的登录名 2.应包含用户主名，帐号是否禁用 3.包含用户的属性（用户信息） 4.不可以包含密码活动目录记事本文件 suzanf judyl用户信息使用CSVDE创建多用户帐号displayNameuserPr

3、incipalNamesamAccountNameDN = Full Name + PathobjectClasscsvdeDn ,objectclass,samaccountname,userprincipalname,displayname,Useraccountcontrol“cn=peter,ou=tech,dc=contoso,dc=com”,user,peter,peter,514使用CSVDE创建多用户帐号displayNameuserPrincipalNamesamAccountNameDN = Full Name + PathobjectClassldifdeDn:cn=pe

4、ter,ou=tech,dc=contoso,dc=comChangetype:addObjectclass:userSamaccountname:peterUserprincipalname:Displayname:peterUseraccountcontrol:514Dn:cn=peter,ou=tech,dc=contoso,dc=comChangetype:deleteDn:cn=peter,ou=tech,dc=contoso,dc=comChangetype:modifyReplace:samaccountnameSamaccountname:richard练习: 创建用户帐户使用

5、命令创建用户帐户，然后到AD用户和计算机中检查用户是否被创建管理用户帐号执行公共管理任务查询用户帐号执行公共的管理任务UserHelp查询用户帐号Find Users, Contacts, and GroupsFile Edit View HelpFind:Entire DirectoryUsers, Contacts, and GroupsIn:Find NowStopClear AllBrowse.AddRemoveNameDescriptionTypeJoe PakDon HallAnne PaperUserUserUserEntire DirectorycontosoAccountin

6、gFieldUsers, Contacts, and GroupsAdvanced31 item(s) foundSelect attributesfor searchingSpecify value of the attributeSet conditionAdminister user accounts in the results boxSearch entire Active Directory, a specific domain, or an OU实现用户登录主名后缀创建和删除一个后缀用户主名登录身份验证过程用户主名如何在网络上路由名称后缀冲突如何检测以及如何解决启用和禁用名称后缀

7、在林信任环境中路由创建和删除一个后缀在活动目录中使用组介绍活动目录的组使用全局组使用域本地组使用通用组介绍活动目录中的组组与组之间可以嵌套一个用户可以属于多个组GroupGroup使用组可以简化权限的分配GroupGroupGroupGroupGroupGroup使用全局组Global Group Rules成员属于成员资格作用范围权限范围包含来自同一个域的用户帐号和全局组全局组可以是任何一个域中的通用和域本地组，以及同一个域中的全局组成员全局组在域和所有信任域可 见目录林中所有域 AddAddGlobal Group使用域本地组Domain Local Group Rules成员属于成员资格

8、作用范围权限范围可以包含目录林中的任何域的用户帐号全局组和通用组，以及同一域的域本地组。域本地组可以是同一域中的域本地组域本地组只在它自己的域中可见域本地组位于其中的域 AddAddGlobal GroupDomainDLGDomain Local Group使用通用组成员属于Universal Group Rules成员资格可以包含来自目录林中的任何域的用户和帐号全局组和其它通用组 可以是任何域中的域本地和通用组成员作用范围通用组在目录林中的所有域都是可见权限范围目录林所有域 Addfrom MultipleDomainsGlobal GroupUniversal Group在域中使用组的策

9、略使用全局和域本地组课堂讨论：在一个单域中使用组使用全局和域本地组User AccountsGlobal GroupsGlobal GroupDomain Local GroupPermissionsAGDLPGDLG添加域用户帐号到全局组(Optional) 把一个全局组添加到另一个全局组把全局组添加到一个域本地组赋予相应权限给相应的域本地组使用通用组的嵌套策略把用户帐号添加到全局组Global GroupUsers把全局组嵌套到一个通用组中Global GroupUniversal Group把一个全局组嵌套到另一个全局组中Global GroupGlobal Group把通用组添加到为资

10、源创建的域本地组Universal GroupDomain Local GroupDLG把组中用户的合适权限分派给域本地组PermissionsDomain Local GroupDLG问题1：在目录树和目录林中使用组Accountants Need to Gain Access to the Accounting Data Across the Forest How Do You Set Up Groups?Domain ADataDomain CDataDomain BData问题1 ：在目录树和目录林中使用组（2）Domain AAccounting DivisionAccounts P

11、ayableAccounts ReceivableDomain BDomain CCreate Global Groups to Consolidate Users with Similar Job Tasks问题1 ：在目录树和目录林中使用组（3）Domain AAccounting DivisionAccounts PayableAccounts ReceivableDomain BDomain CNest Global Groups into the Global Group in Each Domain 问题1 ：在目录树和目录林中使用组（4)Add the Global Group

12、from Each Domain into the Universal GroupDomain BDomain CAll AccountantsAccounting DivisionAccounting DivisionAccounting DivisionDomain ACreate Domain Local Group that Have Permissions for Appropriate ResourcesDomain BDomain CDomain ADataDLGDLGDLGDataDataFull Control Permission问题1 ：在目录树和目录林中使用组（5）问题

13、1 ：在目录树和目录林中使用组（6)Add Universal Group into Domain Local GroupsDomain BDomain CDomain AAll AccountantsDLGDLGDLGDataDataData问题2：在目录树和目录林中使用组（1）All AccountantsDomain ADomain BDomain CNew DomainDLGDLGDLGCreate New Global Groups问题2 ：在目录树和目录林中使用组（2)All AccountantsDomain ADomain BDomain CNew DomainDLGDLGDLGDLG问题2 ：在目录树和目录林中使用组（3） Add the Global Group into the Universal GroupAll AccountantsDomain ADomain BDomain CNew DomainDLGDLGDLGDLGAdd the Un