活动目录管理-03.域帐户和组

允许允许用户单点登提供对资 验User验验证和审核计算机对网络域资源Group帮劣简化管帐号的管理，对资源 权限的管管理员帐户也是计算机的用户，用有管理权限的用户帐 算在域制的本安帐数库内可 源。LocalUser本地计算存在于本地帐户数据库中（SecurityAccountManager域用户帐号 在域控制器的ActiveDirectory数据库中。用户整个域中的资源User用 AD网络资存在于AD数据库UserPrincipal用户主要名称后缀默认为根域，但林管理员可后前利于域间移劢； 地址格后前用户登录名（2003以前版本登录时，用户需选择用户登录名唯一性原全名在容器内必须唯用户域用户主名在林中必须唯用户域用户登录名在域中必须唯 长，所以可以通过创建UPN后缀来减少长度，便 AD用户和计算 服务工Csvde和 规 部

移

和EnterpriseAdmins 管 的委

Directory中的组是驻留在域和组织单位容器对象中的 象。ActiveDirectory在安装时提供了一系列默认的组，它 Everyone组代表所有当前网络用户，包拪来自其他域的置为“2000纯模式”不“Server2003”时才能转换，在用来向用户和计算机委派权利和权嵌套是最有效的使用方域本地组 local全局组(global通用组(universal Local混合模式本机模式只 本全局组(Global成混合模式本机模式混合模式通用组(Universal混合模式 混合模式本机模式林中所有域EveryoneAuthenticatedUsersInteractiveCreatorOwnerCreatorOwner（创建者/所有者）丌过，如果创建者是属于Administrators组内的成员，则其CreatorOwnerAnonymousLogonwindowsserver帐户连接的用户，都属在windowsserverEveryone组内并丌包含“AnonymousLogondowsvr2003ows2000本机还是ows2000混合。在设置为Windows2000本机功能级别的域中的组或设置Windows2000混合功能级别的域中的通讯组可以有下列成员具有通用作用域的组可以有以下成员：帐户、计算机帐户、有通作用域的其他组以及来自任何域的具有全局作用域的组具有全局作用域的组可以有以下成员：来自相同域的帐户和来自同域的具有全局作用域在设置为Windows2000混合功能级别的域中的安全组仅限于如下型的成员：具有全局作用域的组只将帐户作为其成员具有本地域作用域的组把具有全局作用域的其他组和帐户作为其成在其域功能级别设置为Windows2000合的域中丌能创建具有通用作用域的安全组，因为只有在域功能级别设置为Windows2000机或WindowsServer2003的域中才支持通用作用域。在域控制器上执行操“开始”→“管理工具”→“ActiveDirectory用户和计算机”→右击名称→“提升域功能级别域功能级别的提升是 AAGDLPStrategyGroupsin