第3章 域用户和组管理

第三章域用户与组账户的管理概述管理域用户帐户添加多个用户帐户域组账户组的使用准则介绍用户和组为每个用户帐号创建一个唯一的登录名用批处理为新用户在活动目录创建多个用户帐号将用户分组，用以管理网络上的共享资源当为一个分层结构创建一个模型时，将组嵌入别的组中以减少管理任务UsersSharedResourcesPermissionsGroup用户登录名用户主名用户主名前缀用户主名后缀用户登录名用户登录时必须选择域用户登录名唯一性原则全名在创建用户帐号的容器内必须唯一用户登录名在域中必须唯一用户主名在目录林中必须唯一例如：tom@是用户主名，在林中唯一，tom是登录名+usernamedomaincontosozhangsan@SuffixPrefixzhangsan@contoso.msft创建和删除一个UPN后缀ActiveDirectoryDomainsandTrustsActionViewTreeNameTypeActiveDirectoryDomainsandTrustscontoso.msftnwtraders.msftdomain.DNSdomain.DNScontoso.msftnwtraders.msftOpenspropertysheetforthecurrentselection.ConnecttoDomainController…OperationsMaster…ViewRefreshExportList…HelpPropertiesActiveDirectoryDomainsandTrustsPropertiesUPNSuffixesThenamesofthecurrentdomainandtherootdomainarethedefaultuserprincipalname(UPN)suffixes.Addingalternativedomainnamesprovidesadditionallogonsecurityandsimplifiesuserlogonnames.IfyouwantalternativeUPNsuffixestoappearduringusercreation,addthemtothefollowinglist.AlternativeUPNsuffixes:contoso.msftAddRemoveOKCancelApplyAddNewSuffixes新建组织单元升级成DC前后的变化升级成DC之前，用户账户位于本地安全数据库内（C:\Windows\System32\Config\SAM）升级成DC以后，用户账户位于AD数据库内。只有在创建域中第一台DC时，服务器上原有本地用户才会转移到AD数据库中其他DC原有账户会被删除。ActiveDirectory

UsersandComputersDirectoryServiceToolsDsaddDsmodDsrmCsvdeandLdifdeToolsWindowsScriptHost添加用户的工具9成批导入程序每一个用户，文件中：必须包括对象类型、存储路径、用户主名。应该包含用户登录名帐号是否禁用可以包含用户的属性（用户信息）不可以设置密码ActiveDirectoryTextFilesuzanfjudylUserinformation使用CSVDE创建多用户帐号NewObject-UserCreatein:asia.contoso.msft/HumanResourcesFirstname:Lastname:Fullname:Userlogonname:@contoso.msftUserlogonname(pre-Windows2000):ASIA\<BackNext>CancelSuzanFineSuzanFinesuzanfsuzanfInitials:displayNameuserPrincipalNamesamAccountNameDN=FullName+PathobjectClass使用LDIFDE创建多用户帐号NewObject-UserCreatein:asia.contoso.msft/HumanResourcesFirstname:Lastname:Fullname:Userlogonname:@contoso.msftUserlogonname(pre-Windows2000):ASIA\<BackNext>CancelSuzanFineSuzanFinesuzanfsuzanfInitials:userPrincipalNamesamAccountNameDN=FullName+PathobjectClassdisplayName使用dsadd.exe等程序dsadd.exe添加账户dsmod.exe修改账户信息dsrm.exe删除账户执行公共的管理任务ActiveDirectoryUsersandComputersActiveDirectoryUsersandComputersConsoleWindowHelpActionViewTreeAccounting4objectsNameTypecontoso.msftAccountingBuiltinComputersDomainControllersUsersAnnePaperUserCreatesanewuser,copyinginformationfromtheselecteduser.HelpCopy…Addmemberstoagroup…DisableAccountResetPassword…Move…OpenhomepageSendmailAllTasksDeleteRenameRefreshPropertiesAccountislockedout限制用户登录限制用户登录时间限制用户登录的计算机查询用户帐号FindUsers,Contacts,andGroupsFileEditViewHelpFind:EntireDirectoryUsers,

Contacts,

and

GroupsIn:FindNowStopClearAllBrowse...AddRemove<Addcriteriafromabovetothislist>NameDescriptionTypeJoePakDonHallAnnePaperUserUserUserEntireDirectorycontosoAccountingFieldUsers,

Contacts,

and

GroupsAdvanced31item(s)foundSelectattributesforsearchingSpecifyvalueof

theattributeSetconditionAdministeruseraccounts

intheresultsboxSearchentireActiveDirectory,

aspecificdomain,oranOUDC之间用户和组数据的复制自动复制15秒复制紧急复制（立即复制）手动复制在活动目录中使用组介绍活动目录的组使用全局组使用域本地组使用通用组介绍活动目录中的组GroupsCanBeNestedInsideOtherGroupsUsersCanBeMembersofMultipleGroupsGroupGroupGroupsSimplifyAssigningPermissiontoResourcesGroupGroupGroupGroupGroupGroup使用全局组(Global)GlobalGroupRules成员属于成员资格作用范围权限范围包含来自同一个域的用户帐号和全局组全局组可以是任何一个域中的通用和域本地组，以及同一个域中的全局组成员全局组在域和所有信任域可见目录林中所有域

AddAddGlobalGroup使用通用组(Universal)成员属于UniversalGroupRules成员资格可以包含来自目录林中的任何域的用户帐号、全局组和通用组

可以是任何域中的域本地和通用组成员作用范围通用组在目录林中的所有域都是可见权限范围目录林所有域

AddfromMultipleDomainsGlobalGroupUniversalGroup使用域本地组(DomainLocal)DomainLocalGroupRules成员属于成员资格作用范围权限范围可以包含目录林中的任何域的用户帐号、全局组和通用组，以及同一域的域本地组。域本地组可以是同一域中的域本地组域本地组只在它自己的域中可见域本地组位于其中的域

AddAddGlobalGroupDomainDLGDomainLocalGroup在域中使用组的策略使用全局和域本地组课堂讨论：在一个单域中使用组使用全局和域本地组UserAccountsGlobalGroupsGlobalGroupDomainLocalGroupPermissionsAGDLPGDLG添加域用户帐号到全局组(Optional)把一个全局组添加到另一个全局组把全局组添加到一个域本地组赋予相应权限给相应的域本地组使用通用组的嵌套策略把用户帐号添加到全局组GlobalGroupUsers把全局组嵌套到一个通用组中GlobalGroupUniversalGroup把一个全局组嵌套到另一个全局组中GlobalGroupGlobalGroup把通用组添加到为资源创建的域本地组UniversalGroupDomainLocalGroupDLG把组中用户的合适权限分派给域本地组PermissionsDomainLocalGroupDLG康博公司是一家大型软件公司，总部设在北京，在上海有一家分公司。公司在企业内部建立了域名为的域，在上海的分公司也创建了子域，从而形成了域树。后来公司创办了一个电子物流公司，名为博通，总部设在大连。博通在总公司的林中创建了自己的域环境。所有子公司和总公司之间都存在信任关系，方便资源相互访问。案例：组的使用大连公司的账目资料都保存在一台财务部专用服务器上。因为是公司机密信息，安全性比较高，所有资料仅允许财务部门的人员访问。怎样分配权限最方便？大连的管理员为了方便管理，为财务部门创建了一个域本地组dlf，在服务器上赋予dlf组访问财务数据的权限。这就是A-DL-P。现在大连的公司财务部门出了一点问题，需要从北京、上海各找10个人支援一下。这就要求北京和上海公司的用户也可以访问该服务器上财务部的资源，应该怎样设置组和权限？不再使用组，我们也可以实现这个功能，就是直接把用户帐户添加到财务部资源的访问控制列表中。如何使用组来实现更方便的管理？上海和北京的管理员分别为各自要帮助大连的10个人创建了一个全局组bjf和shf，然后大连的管理员仅仅添加bjf和shf到dlf即可完成权限的添加，而不需要关心到底是哪些人来支持财务部工作，然后一个一个添加了。对于最终资源来说，它感觉自己没有变化，因为自己始终都是允许被dlf访问，并没有发生变化。这就是著名的A-G-DL-P的使用。在上面的例子中，假设有很多域，有很多全局组，就推荐使用AGUDLP，在每个域中分别创建了全局组后，应用通用组来管理全局组，最后把通用组加入到域本地组，进行权限的设置。Q&A：

既然通用组来自全林用于全林，看起来似乎比全局组更方便，可以完全取代全局组的，为什么不这么做？由于通用组成员来自于全林，而且它信息是存储在全局编录中的，任何的变化都会导致全林复制，这个复制流量不可忽视。在全局编录中一般存储一些不太经常发生变化的信息。由于用户帐户是会经常发生变化的，所以，强烈建议不要直接添加用户帐户到通用组，而是先添加帐户到全局组，然后再把这些相对稳定的全局组添加到通用组.。练习1：在目录树和目录林中使用组所有财务人员都要能访问全林的财务数据，应该怎样设置组？?DomainADataDomainCDataDomainBData34在目录树和目录林中使用组（1-1）DomainA财务部付款收款DomainBDomainC把相似工作任务的用户放在一个全局组中在目录树和目录林中使用组（1-2）DomainBDomainCDomainA财务部付款收款每个域中将全局组嵌套成一个全局组在目录树和目录林中使用组（1-3)DomainA将每个域的全局组加入到通用组DomainBDomainC所有财务人员财务部财务部财务部在目录树和目录林中使用组（1-4）创建域本地组，并根据资源给域本地组授权。DomainB