Windows Server 2022活动目录管理实践( 第2版 微课版)-课件全套 郝昆 项目1-27 了解活动目录- 活动目录的备份与还原

项目1了解活动目录活动目录概念活动目录结构活动目录功能目录活动目录概念活动目录概念活动目录（ActiveDirectory，AD）是一种集中式目录管理服务，内置于WindowsServer产品中，可以通过多种方式进行安装和配置，用于集中管理企业内Windows操作系统中的各类资源，如用户、计算机、打印机、应用程序等，并且提供了用户身份认证和授权等功能，是Windows操作系统不可或缺的一部分。活动目录结构与功能活动目录结构与功能活动目录（ActiveDirectory，简称AD）的结构可以分为逻辑结构物理结构这两部分分别包含不同的对象，并服务于不同的管理需求。活动目录结构与功能1、逻辑结构（1）域（Domain）：域是Windows2000及更高版本目录服务的基本管理单位，是活动目录的核心单元，是账户和网络资源的集合。其最大好处在于其单一网络登录能力，即用户只需在域中有一个账户，就可以漫游整个网络，访问域内的资源。此外，域还是安全的边界，缺省情况下，一个域的管理员只能管理他自己的域，若需管理其他域，则需专门授权。域活动目录结构与功能1、逻辑结构（2）组织单元（OrganizationalUnits,OU）：OU是域下面的容器对象，用于组织对活动目录对象的管理，是Windows2000及更高版本中最小的管理单元。OU可用来匹配一个企业的实际组织结构，域的管理员可以指定某个用户去管理某个OU。OU也可以像域一样做成树状的结构，即OU下面还可以有OU。使用OU可取代WindowsNT4.0的多域网络。

组织单元财务部销售部……活动目录结构与功能1、逻辑结构（3）域树（Tree）：一个域可以是其他域的子域或父域，多个域就构成一棵“树”，称为域树。如果创建的新域是已存在域的子域，那么多个域就有连续的DNS域名。域树中的第一个域称为根域（root）。域树中的每个域共享相同的配置、对象和全局目录，具有相同的DNS域名后缀，从而实现了连续的域名空间。域树活动目录结构与功能1、逻辑结构（4）域林（Forest）：多个域树构成域林。域林中的域树不形成连续的域名空间，每个域树可以有独立的DNS名称。域林中的所有域树共享一个普通架构和全局目录，但每个域树可以有自己独立的DNS名称和配置。林活动目录结构与功能2、物理结构：（1）域控制器（DomainController,DC）：安装了活动目录的计算机被称为域控制器。域控制器负责存储和管理域内的所有目录信息，并处理来自客户端的认证和授权请求。域控制器是活动目录物理结构的核心，它确保了目录信息的可用性和一致性。当某个域控制器的活动目录数据库修改以后，会将此修改复制到其他所有域控制器，以保持数据的同步。活动目录结构与功能2、物理结构：（2）站点（Site）：站点是由一个或多个高速连接的IP子网构成的网络区域。站点是网络的物理结构，站点和域没有必然联系。一个站点可以包含多个域，一个域也可以跨多个站点。创建站点的主要目的是为了优化复制流量和使用户能够用可靠的高速线路连接到域控制器。活动目录功能活动目录功能活动目录可以将网络中的所有资源组织起来，形成一个层次化的目录结构，方便管理者对这些资源进行分类和控制。此外，普通用户也可以通过活动目录很容易地找到并使用网络中的各种资源。除了基本的用户管理和资源控制功能，活动目录还提供了其他重要的功能，具体如下：（1）集中管理：可以在一台服务器上集中管理整个域内的计算机、用户等资源。活动目录功能（2）安全性：提供用户身份认证和授权等安全功能，保护企业的信息安全。用户身份认证重要性：用户身份认证是活动目录的核心功能之一，通过验证用户的身份信息，确保只有合法用户可以访问网络资源。授权机制作用：授权机制允许管理员对用户进行权限分配，控制其对特定资源的访问和操作权限，保障企业信息安全。身份认证与授权的关联性：身份认证和授权紧密相关，身份认证确认用户身份后，授权机制决定用户可以访问的资源和操作权限。活动目录功能（3）活动目录的可追溯性和扩展性：活动目录可以追踪整个域内的使用情况，包括用户的登录、资源的使用等，同时还可以扩展到多个域，实现多个域之间的资源共享。项目2基于虚拟化技术构建活动目录

测试环境虚拟化技术SIDVMwareWorkstation虚拟机的克隆技术目录虚拟化技术虚拟化技术的基本概念利用虚拟化技术，可以将一台计算机虚拟为多台逻辑计算机。在一台计算机上同时运行多个逻辑计算机，每个逻辑计算机都可以运行不同的操作系统，并且应用程序可以在相互独立的空间内运行而互不影响，从而提高计算机的工作效率。在没有虚拟化技术的情况下，一台计算机只能运行一个操作系统，虽然我们可以在一台计算机上安装多个操作系统，但是运行的操作系统只有一个。利用虚拟化技术，我们可以在一台计算机上创建多台虚拟机，每台虚拟机都运行一个操作系统，每个操作系统上都可以有多个不同的应用程序，并且这些虚拟机及各自的应用程序之间互不干扰。虚拟化技术的基本概念虚拟机与物理机一样，是运行操作系统和应用程序的计算机，只是虚拟机采用的硬件全部来自宿主计算机的虚拟硬件。因为每台虚拟机都采用隔离的计算环境，所以虚拟机之间互不干扰。VMwareWorkstation是一款功能强大的桌面级虚拟化软件，它可以在一台计算机上模拟网络和计算机环境，并且支持快照、克隆等虚拟机管理功能，成为企业的IT开发人员和系统管理员的重要工具。虚拟化技术的核心特点资源抽象虚拟化技术将物理资源（如硬件资源）抽象为虚拟资源，使得用户可以像使用物理资源一样使用虚拟资源。隔离性虚拟化技术确保每个虚拟机之间是相互隔离的，这意味着一个虚拟机的崩溃或故障不会影响其他虚拟机的正常运行。灵活性虚拟化技术提供了灵活的资源配置和管理方式，使得用户可以根据实际需求动态调整虚拟机的配置和数量。高效性通过虚拟化技术，可以显著提高计算机资源的利用率，减少资源浪费，从而降低总体拥有成本（TCO）。虚拟化技术的分类虚拟化技术可以根据不同的应用场景和资源类型进行分类，常见的分类方式包括：1.服务器虚拟化：将服务器物理资源（如CPU、内存等）抽象成逻辑资源，创建多个独立的虚拟服务器。每个虚拟服务器都可以运行自己的操作系统和应用程序，实现资源的高效利用和灵活管理。虚拟化技术的分类虚拟化技术可以根据不同的应用场景和资源类型进行分类，常见的分类方式包括：2.存储虚拟化：将存储资源（如硬盘、磁带等）整合为一个统一的存储池，提供逻辑存储接口给用户。用户通过逻辑接口进行数据的读写操作，无需关心底层存储设备的物理位置和状态。虚拟化技术的分类虚拟化技术可以根据不同的应用场景和资源类型进行分类，常见的分类方式包括：3.网络虚拟化：将网络资源（如交换机、路由器等）进行整合和抽象，创建一个或多个虚拟网络。每个虚拟网络都可以独立配置和管理，实现网络资源的灵活分配和使用。4.桌面虚拟化：将计算机的终端系统（也称为桌面）进行虚拟化，使用户可以通过网络访问自己的虚拟桌面环境。这种方式提高了桌面的安全性和灵活性，方便用户随时随地访问自己的工作环境。虚拟化技术的应用场景数据中心通过虚拟化技术提高资源利用率、降低管理成本和提高系统的灵活性。云计算虚拟化技术是云计算平台的核心技术之一，通过虚拟化技术构建计算资源池和存储资源池，为用户提供按需分配的计算和存储服务。测试和开发环境虚拟化技术可以创建隔离的测试和开发环境，提高开发效率和测试质量。桌面应用桌面虚拟化技术可以为用户提供灵活的工作方式，提高工作效率和安全性。SIDSID的概念SID（SecurityIdentifiers，安全标识符），是标识用户、组和计算机账户的唯一标识符。在第一次创建账户时，操作系统会给每个账户发布一个唯一的SID。如果存在两台具有相同SID的计算机，那么这两台计算机会被鉴定为同一台计算机。如果两台计算机是通过克隆得到的，那么它们会具有相同的SID，导致在域测试网络中会无法区分这两台计算机。因此，克隆得到的计算机需要重新生成SID，以便区别于其他计算机。SID的概念用户可以通过在“命令提示符”窗口中输入命令“whoami/user”查看计算机的SID（用户的SID为计算机的SID加上用户编号，因此，用户SID去掉最后一段数字，即为计算机的SID），示例如图所示。

SID作用唯一性识别SID确保了用户、组和计算机账户在网络中的唯一性。即使两个账户具有相同的用户名，只要它们的SID不同，它们就被视为不同的账户。权限控制Windows等操作系统中的内部进程会引用账户的SID而不是账户的用户名或组名来控制权限。这意味着，即使账户的用户名被更改，只要SID保持不变，该账户的权限和属性就不会受到影响。安全验证用户验证后获得访问令牌，作为访问系统资源的凭证。用户访问资源时需提供此令牌，系统检查权限列表后，若允许则授予相应访问权限。SID号码组成SID是一串特殊的字符串，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和等参数决定，以保证其唯一性。在通常情况下，SID是唯一的，但如果账户无限制增加，理论上可能会产生重复的SID。然而，在实际情况中，由于SID的生成算法和参数的选择，这种情况非常罕见。VMwareWorkstation虚拟机的

克隆技术VMwareWorkstation虚拟机的克隆技术VMwareWorkstation可以根据预先安装好的虚拟机快速克隆出多台虚拟机。此时，源计算机和克隆的虚拟机的硬件ID不同（如网卡MAC），但是操作系统SID和配置完全一致（如计算机名称、IP地址等）。如果计算机的一些应用程序和操作系统SID相关，则会导致该应用程序出错，因此克隆的虚拟机通常需要手动修改操作系统SID。在活动目录环境中，计算机的操作系统SID不能相同，因此克隆的虚拟机必须修改操作系统SID。源虚拟机计算机名：VMIP：/24MAC：08：00：20：0A：8C：6D克隆虚拟机计算机名：VMIP：/24MAC：08：00：20：0A：8C：6CVMwareWorkstation虚拟机的克隆技术克隆的方式有两种，分别是完整克隆和链接克隆。1）完整克隆完整克隆是复制源虚拟机的硬盘文件（.vmdk）并创建硬件配置相同的虚拟机。克隆后，两者被视为独立运行的虚拟机，但通常需修改操作系统SID以避免冲突。源虚拟机克隆虚拟机VMwareWorkstation虚拟机的克隆技术源虚拟机出现故障时，完整克隆虚拟机不受影响源虚拟机克隆虚拟机VMwareWorkstation虚拟机的克隆技术2）链接克隆链接克隆基于源虚拟机的快照创建新虚拟机，支持选择历史快照进行克隆。其磁盘文件小，采用差异存储技术仅记录变更数据，显著节省空间。然而，大量克隆同时访问源虚拟机磁盘文件可能影响系统性能，需合理规划克隆数量。源虚拟机快照1快照2快照3当前位置链接虚拟机VMwareWorkstation虚拟机的克隆技术源虚拟机出现故障或快照丢失时，链接虚拟机无法正常使用。源虚拟机快照1快照2快照3当前位置链接虚拟机or项目3构建林中的第一台域控制器域控制器的重要性规划与准备配置域控制器目录域控制器的重要性域控制器的重要性在Windows活动目录中，域控制器（DomainController，简称DC）的重要性不言而喻，它作为网络中的核心组件，承担着多项关键任务，确保了网络资源的有效管理、用户身份的安全验证以及网络环境的整体安全。域控制器的重要性以下是域控制器重要性的详细阐述：1.集中管理用户与计算机管理域控制器通过活动目录集中管理用户和计算机，使管理员能高效创建、修改、删除账户，分配权限，并管理配置与安全策略，从而提升管理效率并降低成本。资源分配与共享域控制器还负责管理和分配网络中的资源，如文件共享、打印机等。通过域控制器，用户可以方便地访问和共享这些资源，提高了工作效率和协作能力。域控制器的重要性以下是域控制器重要性的详细阐述：2.用户身份验证身份验证中心域控制器作为身份验证中心，验证用户登录请求，确保凭据有效后授权访问网络资源，保护资源免受未授权访问。密码策略与账户管理域控制器实施密码策略，监控账户活动，确保账户安全，及时发现并应对异常登录。域控制器的重要性以下是域控制器重要性的详细阐述：3.安全性与可靠性安全策略实施域控制器执行安全策略，如ACLs和审计，保护网络资源免遭未授权访问和攻击。故障恢复与冗余域控制器采用冗余设计，多台协同工作确保高可用性和容错，一台故障时其他可接管，保障网络顺畅运行。信任关系建立多域间，域控制器建信任关系，基于Kerberos协议保障跨域访问安全，用户无缝访问资源。规划与准备规划与准备安装活动目录的必要条件主要包括以下几个方面：1.操作系统选择：WindowsServer版本：WindowsServer2003及以上版本均支持活动目录的安装，但Web版除外。Standard版、Enterprise版和Datacenter版等版本均可用于安装活动目录。推荐使用较新的版本，如WindowsServer2016或更高版本，以获取更好的性能和安全性。规划与准备安装活动目录的必要条件主要包括以下几个方面：2.DNS服务器：（1）DNS支持：活动目录与DNS是紧密集成的，活动目录中域的名称的解析需要DNS的支持。因此，必须准备一台DNS服务器，并确保其支持本地服务资源记录（SRV资源记录）和动态更新功能。（2）DNS服务器设置：在安装活动目录的计算机上，需要设置DNS服务器的IP地址，以便活动目录能够正确解析域名。规划与准备安装活动目录的必要条件主要包括以下几个方面：3.磁盘分区：安装活动目录时，需确保SYSVOL文件夹位于NTFS分区，以安全存储组策略等数据。该NTFS分区需要有足够的空闲磁盘空间，以存放SYSVOL文件夹及其内容。通常建议至少保留250MB的空闲空间。NTFS格式足够空间规划与准备安装活动目录的必要条件主要包括以下几个方面：4.网络设置：静态IP地址：安装活动目录的计算机必须配置一个静态的IP地址，以确保网络中的其他计算机能够稳定地访问它。DNS服务器IP地址：除了设置本机的静态IP地址外，还需要在TCP/IP设置中配置DNS服务器的IP地址，以便活动目录能够正确解析域名。规划与准备安装活动目录的必要条件主要包括以下几个方面：5.用户权限：管理员权限：安装活动目录时的登录用户必须具有管理员组（Administrators）的权限，以便能够执行必要的安装和配置操作。配置域控制器配置域控制器在公司部署活动目录的第一步是创建公司的第一台域控制器。如果公司已经向互联网申请了域名，那么其通常会在活动目录中使用该域名。在本项目中，公司的根域是。将一台WindowsServer2022服务器升级为公司的第一台域控制器，那么这台域控制器就是该公司域的域根，也是整个域目录林的林根。项目4将用户和计算机加入域计算机加入域域账户的创建域用户登录时间限制策略目录计算机加入域非域环境和域环境的区别非域环境的特点非域环境缺乏集中管理，每台计算机独立运作，各自管理安全数据库，导致用户账户和权限管理不统一，管理过程复杂且效率低下，需要逐一配置每台计算机。域环境的优势域环境实现了多台计算机的统一集中管理，由域控制器负责用户账户、权限和安全策略的集中配置，提升管理效率并增强安全性，有效抵御外部攻击和内部误操作。加入域后的便利性计算机加入域后，可以访问AD

DS数据库和域资源，方便用户使用域账户登录并访问其他域成员计算机内的共享资源。将计算机加入域的方法在非域环境中，用户通过客户机的内部账户登录和使用该客户机；在域环境中，域管理员会将公司的客户机都加入域。在将计算机加入域后，就可以访问ADDS数据库和域中的资源了。例如，用户可以使用域账户登录这些计算机，并且可以访问其他域成员计算机内的共享资源。将客户机加入域的过程检查网络配置客户端与域服务器的连接DNS配置域账户的创建域账户的位置和功能123域账户的分布范围：域账户可以位于域内任意一个组织单位中，这意味着它们可以在域中的任何创建和使用域账户的默认权限：默认情况下，域账户可以登录到任意一台域客户机中并能访问域中的共享资源，这位管理员提供了极大的便利性。域账户的身份验证过程：在域控制器中新建一个域账号后，此账号的副本会自动被复制到域中所有域控制器的数据库中，完成复制过程后，域中的所有域控制器都可以在登录过程中对该用户进行身份验证用户域账户的创建方法打开AD用户和计算机：重启计算机后，以管理员身份登录到服务器。创建组织单元（可选）：用于将用户分组管理。创建用户账户：在OU下（或直接在域名下），输入信息并设置属性进行创建。分配用户组：在创建用户向导中，可以选择将用户分配到某个用户组。域用户登录时间限制策略创建AD域用户后默认权限在为用户在域中创建域账户后，该用户会自动获得一些默认的配置，如用户登录域的时间、登录计算机、共享资源使用权限等。在默认情况下，用户可以在任意时间登录域。在用户的属性对话框中，可以通过配置“登录时间”来设置用户登录域的时间。如图所示。登录时间的灵活调整登录时间限制的设置方法：通过用户属性设置，可以灵活调整用户的登录时间，满足企业对员工工作时间的管理需求登录时间限制的应用案例：企业可以设置员工只能在工作日上班时间内登录域，有效防止非工作时间的资源滥用。登录时间限制的优势分析：通过设置登录时间限制，企业可以更好的管理资源，提高工作效率，同时也可以保护员工的个人隐私。项目5额外域控制器与全局编录的作用全局编录额外域控制器目录全局编录全局编录的概述全局编录（GlobalCatalog，简称GC）是WindowsActiveDirectory环境中的一个重要概念，一个域的活动目录中只能存储该域的相关信息，相当于该域的目录。当一个域目录林中有多个域时，由于每个域都有一个活动目录，因此如果一个域用户要在整个域目录林范围内查找一个对象，就需要搜索该域目录林中的所有域。这时，全局编录就起到作用了。全局编录相当于一个总目录，就像一套系列丛书中有一个总目录一样。全局编录中存储了已有活动目录对象的子集。在默认情况下，存储于全局编录中的对象属性是经常用到的属性，不同全部属性。整个域目录林会共享相同的全局编录信息。此时，一个域中的用户就可以根据全局编录快速找到所需的对象了。全局编录的功能提高搜索效率全局编录存储常用属性，快速搜索信息，无需遍历整个目录林支持跨域操作全局编录简化跨域资源查找，用户无需关注对象位置即可访问。身份验证全局编录支持UPN登录验证，对验证跨域对象引用起关键作用。负载平衡配置附加全局编录可平衡认证流量，提升系统稳定性和性能。全局编录的工作原理数据存储全局编录服务器中不仅保存了本域中所有对象的所有属性，还保存了其他域所有对象的部分属性。这些属性通常是查询过程中常用的属性，如对象的名称、类型、位置等。查询过程当用户或应用程序发起查询请求时，查询请求会被发送到全局编录服务器。全局编录服务器会根据请求中的条件在存储的对象信息中进行搜索，并返回匹配的结果。身份验证在执行身份验证时，如果执行身份验证的域控制器没有用户UPN账号信息，全局编录服务器将解析用户主机名称以完成身份验证过程。额外域控制器额外域控制器的概述额外域控制器（ExtraDomainController，简称EDC）在WindowsActiveDirectory环境中扮演着重要的角色，它是除了第一台安装的域控制器（主域控制器）之外的所有域控制器的统称。额外域控制器是主域控制器的备份或辅助，用于在主域控制器宕机时自动接替其工作，确保网络的连续性和服务的可用性。域控制器额外域控制器客户机额外域控制器的功能容错与冗余提供容错功能，当主域控制器出现故障时，额外域控制器能够接替其工作，继续提供各种网络服务，避免网络瘫痪。负载均衡在网络中的用户数量较多或多种网络服务都需要进行身份认证时，多台域控制器可以同时分担审核用户的工作，提高用户登录的效率。数据备份域控制器之间可以相互复制和备份活动目录数据库，无需单独备份每一台域控制器的数据，简化了数据管理流程。额外域控制器安装与管理在安装与部署额外域控制器时，重要的是将其DNS设置指向当前域网络中的DNS服务器，并确保其能够无缝连接到域网络中。安装流程涵盖运行活动目录安装向导，选择“现有域的额外域控制器”选项，并准确提供必要的用户账户信息和域名。完成部署后，为保持其高效运行，需定期进行维护与监控，包括检查运行状态、评估性能指标、审查日志信息等，以便迅速发现并解决潜在问题，确保域控制器网络的稳定性和可靠性。额外域控制器优点提高用户登录效率多台域控制器可以同时处理用户登录请求，加快登录速度。提供容错和冗余功能确保在主域控制器故障时，网络服务不会中断。简化数据管理域控制器之间可以相互复制和备份数据，无需单独备份每一台域控制器的数据。注意事项1、在安装额外域控制器之前，需要确保网络环境稳定可靠，以避免安装过程中出现问题。2、在配置额外域控制器时，需要确保其与主域控制器的配置一致，以便能够顺利接替其工作。3、需要定期维护和监控额外域控制器的运行状态和性能指标，以确保其能够正常运行并提供服务。项目6子域的加入、域的删除子域的概述子域的部署条件域控制器的降级目录子域的概述子域的概述子域是相对于父域而言的，它是域结构中的一个组成部分，用于实现更细粒度的网络管理和资源分配。对于存在分支机构或子公司的域管理中，如果分支机构或子公司的管理与总公司存在较大差别，并且资源是相对独立管理的，那么通常建议设立一个独立区域（子域）进行自主管理，也就是在现有域下创建一个子域，从而形成域树的逻辑结构。客户机用户DC1父域子域客户机用户DC2子域的功能与特点独立性与集成性：子域在活动目录中既独立又依存，拥有独特管理元素同时共享父域资源，确保域内资源访问和身份验证的顺畅性。管理效率：划分大型网络为多个子域，能实现部门或地区的独立管理，提升效率，同时允许管理员为各子域定制专属安全策略与管理规范。资源分配：子域拥有专属资源如文件、打印服务器，服务内部用户，同时也能访问其他域资源，但需遵循访问控制和权限规定。子域的功能与特点在父子域环境中，由于父子域之间会建立双向可传递的信任关系，因此在默认情况下，父域用户可以使用子域中的计算机，子域用户也可以使用父域中的计算机，如图所示。父域和子域之间的用户交互登录子域的部署条件子域的部署条件将一台WindowsServer2022服务器升级为子域控制器，首先需要为该服务器修改主机名，配置IP地址和DNS服务器，然后在“服务器管理器”窗口中添加所需的角色和功能，最后在“ActiveDirectory域服务配置向导”窗口中将该服务器升级为子域控制器。域控制器也是DNS服务器，因此可以将首选DNS服务器指向自己。由于子域控制器需要和父域控制器通信，因此需要将备选DNS服务器指向最近的父域控制器。

域控制器降级域控制器降级定义域控制器降级是一个重要的系统管理操作，它主要涉及到将现有的域控制器（DomainController，简称DC）从其当前的角色中移除，简而言之，就是删除ActiveDirectory（AD）服务的过程，即将一个域控制器降级为成员服务器（MemberServer）或独立服务器（Stand-aloneServer）。这一操作通常在新服务器接替旧服务器工作，或者网络架构重新规划时进行。域控制器降级结果1、其他域控制器存在的情况：如果该域内还有其他域控制器，那么被降级的域控制器将被转换为该域的成员服务器。这意味着它将不再承担域控制器的角色，但仍将保留在网络中，并可以作为其他服务的宿主。2、最后一个域控制器的情况：如果被降级的域控制器是该域内的最后一个域控制器，那么该计算机将被降级为独立服务器。这意味着它将完全脱离当前的域环境，成为一个独立的计算系统。注意事项全局编录角色：若被降级域控制器兼为全局编录，需先确认网络中存在其他全局编录域控制器；若无，则需先指定另一域控制器为全局编录，保障用户登录及全局编录依赖操作不受影响。元数据清除：降级后，需在剩余域控制器上清除已降级DC的元数据，确保网络内无残留指向其的对象和引用。权限配置：如果在删除了ActiveDirectory的计算机上，资源访问控制项（ACE）是基于域本地组的，那么可能需要重新配置这些权限。因为域本地组在成员服务器或独立服务器上是不可用的。项目7修改域用户的账户策略客户机用户的设置原则域用户的设置原则域用户账户策略目录客户机用户的设置原则客户机用户的设置原则要使用Windows操作系统，必须先输入有效的用户账户和密码，在系统验证无误后才可以使用，并且在默认情况下可以访问和使用大部分资源。由此可见，用户对操作系统来说是非常重要的，而域用户更加重要，因为通过它可以访问域中的大部分计算机和资源。因此，要保证网络中的数据安全，需要先确保网络中的账户安全。用户账户管理唯一性和准确性：确保每个用户账户都是唯一的，并且账户信息（如用户名、全名、电子邮件地址等）是准确无误的。这有助于避免混淆和错误，提高网络管理的效率。创建与删除：根据业务需求及时创建新用户账户，并在用户离职或不再需要访问网络时及时删除其账户。这有助于维护网络的安全性和整洁性。命名规范：制定用户账户命名的规范，例如使用“姓名首字母+部门缩写+数字”的格式，以便于管理和识别。安全策略强密码策略：实施强密码策略，要求用户定期更换密码，并使用复杂的密码组合（包括字母、数字和特殊字符）。这有助于防止未经授权的访问和账户被破解的风险。账户锁定策略：设置账户锁定策略，当用户连续输入错误密码达到一定次数时，自动锁定其账户。这可以防止暴力破解攻击，并保护账户安全。权限分配：根据用户的职责和需要分配适当的访问权限。避免给用户过多的权限，以减少潜在的安全风险。域用户的设置原则域用户的定义域用户（DomainUser）是在企业或组织的网络环境中，由网络管理员创建和管理的用户账号，这些账号用于访问网络中的资源和服务。具体来说，域用户是域环境中的逻辑组织单元之一，其所有信息都保存在活动目录（ActiveDirectory,AD）中，并由域控制器（DomainController,DC）进行身份验证和策略管理。域用户位于域全局组（如DomainUsers）中，与计算机本地用户账户（位于本地User组中）相区分。当计算机加入域时，全局组DomainUsers会被添加到计算机本地User组中，从而允许域用户在该计算机上登录和使用资源。域用户的设置原则针对域用户，域管理员通常会对其密码进行以下处理：1.禁止使用空密码。空密码在给用户带来方便的同时，也给恶意用户带来了便捷。2.禁止使用与用户登录名相同或相关密码，这类密码被破译的概率非常高。3.禁止使用用户的相关个人信息作为密码。有很多用户习惯用生日、电话号码等个人信息作为密码，但用户的个人信息很容易被其他人知道，因此这类密码非常容易被破译。4.禁止使用英文单词作为密码。各种密码破译软件中都有一个密码字典，如果你的系统允许别人任意次地猜测密码，那么这类密码是非常容易被破译的。5.建议使用复杂的密码。复杂的密码至少要包括大小写字母、数字、特殊字符，并且是无意义的组合和不少于8位长度，如1qez@WYX。此外，还需要定期修改密码域用户设置的重要性降低成本减少因错误配置或安全漏洞导致的损失提高安全通过策略控制访问权限简化管理集中化用户账户和权限管理提升效率快速部署和更新用户配置域用户账户策略域用户账户策略在默认情况下，活动目录中的一个域只能使用一套密码策略，这套密码策略由“DefaultDomainPolicy”进行统一管理。如果一些企业需要针对不同的群体设置不同的密码策略，则需要启用多元化密码策略（要求Windowsserver2008R2及以上域功能级别）。多元化密码策略的部署方法将在后续项目中进行介绍。项目8域用户的导出与导入用户主名域用户的属性域用户的创建目录用户主名命名规则名称唯一性在活动目录中，每个用户和组的名称都必须是唯一的。这是为了确保在管理和识别用户和组时不会出现混淆。长度限制用户名称一般限制在20个字符以内。组名称一般限制在64个字符以内。字符限制用户和组名称应该只包含字母和数字字符。特殊字符如！、@、#、$等不应在名称中出现。大小写敏感性活动目录对于用户和组名称是大小写敏感的。因此，在命名时要特别注意大小写，以避免不必要的混淆。用户主名1.用户的唯一性WindowsServer2022中的用户可以分为本地用户和域用户，本地用户位于工作组中的计算机或域中非域控制器的计算机上，域用户位于域控制器上，这些用户在系统中必须是唯一的。用户主名前面介绍过，在登录域客户机时，可以选择使用本机用户登录本机或使用域用户登录域，域客户机的登录界面如图所示。域客户机的登录界面用户主名可以在“用户名”文本框中输入“win11-1\tom”或“.\tom”，它们都表示使用该域客户机的本地账户“tom”，用于登录计算机；也可以在“用户名”文本框中输入“tom”或“tom@”，用于登录jan16域（默认为登录jan16域），“tom@”就是一个用户主名（用户主名=用户名@域名）。在操作系统界面中，用户主名又称为登录用户名。使用用户主名可以方便地定位用户的位置。可以将用户主名作为用户的Email地址同其他用户通信。域用户的属性域用户的属性用户属性对话框中包含18个选项卡，默认只显示13个选项卡，如果要查看所有的选项卡，则可以在“ActiveDirectory用户和计算机”窗口的“查看”菜单中勾选“高级功能”命令。下面介绍常用的几个选项卡的功能。1）“常规”选项卡、“地址”选项卡、“电话”选项卡、“组织”选项卡“常规”选项卡、“地址”选项卡、“电话”选项卡、“组织”选项卡主要用于设置用户的个人信息，以便域用户之间进行信息查询。域用户的属性2）“帐户”选项卡“帐户”选项卡主要用于设置用户账户的相关信息，如图所示。“帐户”选项卡域用户的属性“用户登录名”文本框：主要用于设置用户的账户登录名。“帐户”选项卡域用户的属性“登录时间”按钮：单击该按钮，可以在弹出的对话框中设置允许该用户登录域的时间段，蓝色区域表示可以登录的时间，白色区域表示不可以登录的时间。图8-3中的设置表示公司仅允许用户“jack”周一—周五的9点—17点登录域。“帐户”选项卡域用户的属性“登录到”按钮：单击该按钮，可以在弹出的“登录工作站”对话框中设置该用户账户允许使用的客户机，在默认情况下，用户账户可以从域中的所有客户机上登录域。这种情况给用户带来方便的同时，也给域带来了安全隐患。可以在“登录工作站”对话框中选择“下列计算机”单选按钮，然后将允许该用户登录域的客户机添加“计算机名”列表框中，单击“确定”按钮。这样，该用户就只能使用“计算机名”列表框中的客户机登录域了。“帐户”选项卡域用户的属性“账户选项”列表框：主要用于设置用户密码的相关属性和用户的锁定属性。“帐户”选项卡域用户的属性3）“配置文件”选项卡“配置文件”选项卡中包含“用户配置文件”选区和“主文件夹”选区，如图所示。“配置文件”选项卡域用户的属性①“用户配置文件”选区“用户配置文件”选区主要用于定义域用户登录计算机时系统配置文件的路径和登录时需要处理的脚本文件。如果域管理员希望某个用户在登录客户机时处理一些特定程序，则可以利用“登录脚本”功能。“配置文件”选项卡域用户的属性②“主文件夹”选区用户在首次登录到域客户机时，客户机会自动为该用户创建桌面、开始菜单等的相关文档，这些文档通常存储于“C:\Users\%SystemName%”（注意：在Windows操作系统中，会将“User”显示为“用户”，“%SystemName%”是指当前登录用户）中，如图所示。“本地路径”文本框：用于设置配置文件的存储路径。“连接”文本框：用于为用户设置网络磁盘，用户在登录客户机时，会自动将配置文件的存储路径映射到网络共享位置。在客户机查看用户tom的主文件夹域用户的属性4）“隶属于”选项卡“隶属于”选项卡主要用于设置用户属于哪些组的成员。在默认情况下，所有域用户都隶属于“DomainUsers”组，如图所示。“隶属于”选项卡域用户的属性4）“隶属于”选项卡单击“添加”按钮可将当前用户添加到特定组中；选中某个组中的账户，然后单击“删除”按钮，可以将该用户从该组中删除。域的默认组如图所示。AD的默认组域用户的属性5）“安全”选项卡在活动目录的大部分属性对话框中都有“安全”选项卡，如文件夹的属性对话框。“安全”选项卡主要用于定义对象（如用户、文件夹等）的安全项，设置活动目录中的组或用户对当前账户的权限。域用户的创建域用户的创建当有新的用户需要访问域中的资源时，需要创建一个新的用户，创建用户的方式主要有以下几种。1）“ActiveDirectory用户和计算机”窗口中按照向导创建用户（1）在域控制器中打开“ActiveDirectory用户和计算机”窗口，在左侧的列表框中展开域，右击“Users”选项，在弹出的快捷菜单中选择“新建”→“用户”命令，如图所示。“ActiveDirectory用户和计算机”窗口域用户的创建（2）弹出“新建对象-用户”对话框，在第一个界面中设置“姓名”“用户登录名”等，单击“下一步”按钮，在下一个界面中设置用户的“密码”“确认密码”等信息，单击“下一步”按钮，如图所示；在最后一个界面中单击“完成”按钮，完成新用户的创建。“新建对象-用户”对话框域用户的创建2）通过复制命令创建用户在域中，域管理员在创建用户时，需要为用户设置相应的属性信息，这些信息包括公共信息（如公司、部门、办公室、邮政编码等）和私有信息（如、职务、姓名、手机、邮箱、家庭住址等）。通过复制命令可以让域管理员以一个用户为模板来创建新用户，并且为创建的新用户设置与被复制用户完全一致的公共信息，域管理员只为新用户设置私有信息，从而节约新建用户的信息编辑时间。域用户的创建假设市场部来了一位新员工，我们要为其创建一个新用户“jack”，并且“jack”用户和“tom”用户的部门是一样的（“jack”的个人信息已经输入完整），那么在创建“jack”用户时，可以右击“tom”用户，在弹出的快捷菜单中选择“复制”命令，并按向导完成新用户“jack”的创建。在“jack”用户创建完成后，从“jack”用户和“tom”用户的属性对话框中的“组织”选项卡可以看出，“jack”用户复制了“tom”用户的“公司”属性和“部门”属性，“职务”属性因属于私有属性而没有被复制，如图所示。“jack”用户和“tom”用户的属性对话框中的“组织”选项卡对比域用户的创建3）使用“dsadduser”命令创建用户在域控制器的命令行中，可以使用“dsadd”命令创建用户，在“命令提示符”窗口中输入“dsadd/?”，可以查看该命令的帮助信息。例如，我们要在“”域的“users”容器中创建一个用户“tony”，可以在“命令提示符”窗口中输入以下命令。dsaddusercn=tony,ou=users,dc=jan16,dc=cn域用户的创建在上述命令执行成功后，可以在“ActiveDirectory用户和计算机”窗口中看到刚刚创建的用户“tony”，过程和结果如图所示。在创建“tony”用户时，因为没有为该用户提供密码，所以该用户目前处于禁用状态，域管理员可以通过为该用户设置密码来启用该账户。

通过dsadd命令创建新用户“tony”域用户的创建（4）使用“csvde”命令批量导入用户。在本项目的任务中将详细介绍如何使用csvde命令批量导入用户，此处不再赘述。项目9用户个性化登录、用户数据漫游活动目录用户主名的管理用户配置文件的管理漫游与强制漫游目录活动目录用户主名的管理用户主名（UPN）的基本概念用户主名（UPN）是用户在登录Windows网络时使用的唯一名称，其格式为“用户名@域名”。UPN提供了一种在整个森林范围内唯一标识用户的方式，无论用户位于哪个域中。活动目录用户在登录域时需要进行身份验证，需要输入自己的用户主名与密码。如果企业搭建了邮件服务器，那么员工还可以通过使用与用户主名同名的邮箱与外界进行联系。因此活动目录和Exchange的集成在企业中得到普遍应用。用户主名（UPN）的基本概念如果一些员工使用的是子域账户或域目录林中另一棵树上的账户，那么他们会面临域账户过长或用户账户和邮件账户不同的问题。例如，在合并公司时，被合并公司的员工通常习惯于采用原公司的邮件地址与其客户通信。因此，在活动目录中，可以通过设置UPN后缀增加用户常用的域名（如），然后在自己的用户名后应用该域名，形成新的用户主名（如jack@）。在活动目录数据库中，这个新的用户主名是原用户主名的一个别名（如jack@是jack@的别名）。综上所述，活动目录用户主名后缀默认为当前域和根域的名称，添加其他域名提供了额外的登录名称并简化了用户登录名，该功能还方便实现用户名和电子邮件地址的一致性。UPN的管理步骤1.查看和修改UPN在活动目录用户和计算机管理工具中，找到并右键点击要修改的用户账户。选择“属性”，然后在“账户”选项卡中查看和修改UPN。修改UPN时，需要确保新的UPN在整个森林中是唯一的。UPN的管理步骤2.启用和更改UPN后缀（1）在某些情况下，可能需要更改域的UPN后缀。这可以通过修改域的属性来实现。（2）在“ActiveDirectory域和信任”管理工具中，找到并右键点击要修改的域。（3）选择“属性”，然后在“UPN后缀”选项卡中添加、删除或修改UPN后缀。注意：更改UPN后缀可能会影响所有使用该后缀登录的用户，因此在进行此操作之前应谨慎考虑，并确保通知所有相关用户。用户配置文件的管理用户配置文件中的内容在用户第一次登录一台计算机后，该计算机会为该用户创建配置相关的文件和文件夹，即用户配置文件。用户配置文件中定义了用户登录计算机时获得的工作环境，包括桌面设置、快捷方式、网络连接等。所有用户的配置文件都默认存储于在系统分区下的“用户”文件夹中，每个用户都有一个以自己的用户名命名的文件夹，如图所示。用户配置文件保存目录用户配置文件中的内容双击“jack”文件夹，可以进入用户“jack”的配置文件目录，如图所示。

用户“jack”的配置文件目录用户配置文件中的内容在图中可以看到，用户配置目录下包括“桌面”“链接”“文档”等文件夹、还包括一些隐藏文件夹，如““开始”菜单”、“MyDocument”、“SendTo”等。这些文件夹中存储的是用户登录计算机时使用的工作环境，简要介绍如下。“开始菜单”：存储用户登录以后在“开始”菜单中看到的信息。“Cookies”：存储用户访问Internet时的Cookies信息。“LocalSettings”：存储用户使用的临时文件和历史信息，如IE浏览器中的临时文件。“MyDocuments”：与用户桌面上的“我的文档”文件夹相同。“SendTo”：存储右键菜单的“发送到”菜单中的快捷项。“桌面”：用户登录后存储在桌面上的文件和文件夹。“NTUSER.DAT”：存储不能以文件形式直接存储的信息，如注册表信息。用户配置文件的类型1.默认的用户配置文件。默认的用户配置文件（DefaultUserProfile）在用户第一次登录计算机时使用，所有对用户配置文件的修改都是在默认用户配置文件的基础上进行的。默认的用户配置文件存储于“%systemdrive%\DocumentsandSettings\DefaultUsers”文件夹和“AllUsers”文件夹中。将这两个文件夹中的内容合并，可以生成用户的配置文件，并且将该配置文件存储于以用户登录名命名的文件夹中。用户配置文件的类型2.本地用户配置文件。存储在本地的配置文件称为本地用户配置文件（LocalUserProfile）。用户在某台计算机上第一次登录时，系统就为该用户在这台计算机上创建了本地用户配置文件。之后，用户每次登录这台计算机，都会使用该配置文件配置用户的工作环境。如果用户登录另一台计算机，那么本地用户配置文件不会起作用。一台计算机中可以有多个本地用户配置文件，分别对应多个曾经登录过该计算机的用户。用户的配置文件不能直接编辑。要修改用户的配置文件中的内容，需要使用该用户登录这台计算机，然后手动修改用户的工作环境，如桌面设置、快捷方式等，系统会自动将修改后的配置保存到用户配置文件中。用户配置文件的类型要查看当前计算机中有哪些用户的配置文件，其操作步骤如下。（1）右击任务栏中的“开始”图标，在弹出的快捷菜单中选择“系统”命令，打开“设置”窗口，在右边的界面中选择“高级系统设置”选项，弹出“系统属性”对话框，如图所示。“系统属性”对话框用户配置文件的类型（2）在“用户配置文件”选区中单击“设置”按钮，弹出“用户配置文件”对话框，在该对话框中可以查看当前计算机上有哪些用户的配置文件，如图所示。“用户配置文件”对话框用户配置文件的类型（2）在“用户配置文件”选区中单击“设置”按钮，弹出“用户配置文件”对话框，在该对话框中可以查看当前计算机上有哪些用户的配置文件，如图所示。注意：域用户的配置文件名称为“域名\用户登录名”，本地用户的配置文件名称为“计算机名\用户登录名”。图中有两个Administrator用户，一个是域用户，一个是本地用户。“用户配置文件”对话框漫游与强制漫游漫游用户配置文件

漫游用户配置文件（RoamingUserProfiles）是WindowsNT家族操作系统中的一个概念，它允许一台计算机上的用户加入一个WindowsServer域，从而在同一网络的任何计算机上登录和访问自己的各项文档和获得一致的桌面体验（诸如工具栏位置、桌面设置等）。这意味着用户的个性化设置和文件可以随着用户在网络中的移动而自动同步，无论用户在哪台计算机上登录，都能获得相同的桌面环境和访问权限。漫游用户配置文件

注意：漫游通常应用于用户使用同种类型的操作系统情况下，如果用户经常切换不同操作系统，那么当用户当前操作系统的桌面配置和存储在网络服务器上的桌面配置不一致时，当前操作系统会让该用户使用临时桌面，期间用户产生的用户数据将不会保存到存储服务器中。漫游用户实现方式配置文件存储漫游用户配置文件信息被存储在可从任何域内联网计算机访问的集中式文件服务器上。当用户登录到域中的任何一台计算机时，系统会从文件服务器上下载该用户的配置文件到本地计算机，并在用户注销时将其上传回文件服务器。登录过程登录时：本地计算机上的登录界面会检查用户是否存在于域中而不是存于本地计算机。如果域登录成功，则会将漫游配置文件从中央文件服务器复制到本地计算机，并为该用户创建本地帐户（如果尚不存在）。注销过程注销时：用户的漫游配置文件会从本地计算机合并回中央文件服务器，但请注意，这并不意味着所有本地更改都会被删除；实际上，它们只是被合并或更新到文件服务器上的配置文件中。漫游用户优势一致性无论用户在哪台计算机上登录，都能获得相同的桌面环境和访问权限。便捷性用户无需手动同步或复制文件即可在不同计算机之间无缝切换。集中管理管理员可以集中管理用户配置文件，便于备份和恢复。漫游用户限制性能问题随着配置文件的增大和网络的拥塞，登录和注销过程可能会变得缓慢。网络依赖如果网络不可用或文件服务器出现故障，用户可能无法登录或访问其配置文件。安全性配置文件在传输过程中可能面临安全风险，需要确保网络安全和文件服务器的安全。强制漫游用户配置文件可以根据需要，将漫游用户配置文件配置为强制漫游用户配置文件。强制漫游用户配置文件是指用户在网络中的任何计算机上登录时，其个性化设置和文件都会被强制从网络服务器上的配置文件同步到本地计算机，并且在用户注销时，本地计算机上的任何更改都不会被保存回网络服务器，而是恢复到登录前的状态。在活动目录中，经常会将实习生用户、员工用户等设置为强制漫游用户，以便统一工作环境。强制漫游用户实现方式1.创建共享文件夹：（1）在网络服务器上创建一个共享文件夹，用于存储所有用户的强制漫游配置文件。（2）设置共享文件夹的权限，确保只有域用户和相应的管理员有权访问。强制漫游用户实现方式2.配置用户属性：（1）在ActiveDirectory用户和计算机管理工具中，找到需要配置强制漫游配置文件的用户。（2）修改用户属性，将用户配置文件的路径设置为网络服务器上共享文件夹的路径，并加上用户的用户名作为子文件夹名。例如：\\ServerName\Profiles\%Username%，其中“ServerName”是服务器名，“Profiles”是共享文件夹名，“%Username”是自动替换为用户名的变量。强制漫游用户实现方式3.修改NTUSER.DAT文件：（1）在用户首次登录并创建漫游配置文件后，管理员需要找到该用户的NTUSER.DAT文件（通常位于用户的配置文件文件夹中）。（2）将NTUSER.DAT文件重命名为NTUSER.MAN，以表示这是一个强制漫游配置文件。注意：这一步操作需要谨慎进行，因为一旦文件被重命名，用户将无法再对其进行更改。强制漫游用户的特点强制性用户无法更改或绕过强制漫游用户配置文件的设置。同步性用户在不同计算机上登录时，都能获得相同的桌面环境和访问权限。不可更改性用户注销后，本地计算机上的任何更改都不会被保存，保证了配置文件的一致性和稳定性。项目10将域成员设置为客户机的管理员域中内置组、预定义组和特殊组的管理域成员计算机中组账户的管理域成员计算机中用户账户的管理用户权限最小化原则的应用目录域中内置组、预定义组和特殊组的管理域中组的概念在WindowsServer2022中，组是一个非常重要的概念。用户账户主要用于标识网络中的用户，组主要用于组织用户账户。利用组可以将具有相同特点及属性的用户账户组织在一起，以便管理员进行管理。当网络中的用户数量非常多时，给每个用户授予资源访问权限的工作会非常繁杂，而具有相同身份的用户的资源访问权限通常也相同，因此可以将具有相同身份的用户加入一个逻辑实体，并且为该逻辑实体赋予资源访问权限，从而减少工作量，简化对资源的管理。这个逻辑实体就是组。组的特点组是用户账户的逻辑集合，删除组并不会将组内的用户账户删除。在将一个用户账户加入一个组后，该用户账户就会获得该组所拥有的全部权限。一个用户账户可以是多个组的成员。在特定情况下，组是可以嵌套的，即组中可以包含其他组。域中内置组、预定义组和特殊组的管理在活动目录的域中，可以将组分为3类：内置组、预定义组和特殊组。1）内置组内置组位于“Builtin”容器中，如图所示。这些内置组都是域本地安全组，可以给用户提供预定义的权利和权限。用户不能修改内置组的权限设置。当需要某个用户执行管理任务时（授权），只需将该用户账户加入相应的内置组。下面简要介绍几个较为常用的内置组。“ActiveDirectory用户和计算机”窗口的“Builtin”容器中的组域中内置组、预定义组和特殊组的管理AccountOperators（用户账户操作员组）：该组中成员可以创建、删除和修改用户账户的隶属组，但是不能修改“Administrators”组和“AccountOperators”组。“ActiveDirectory用户和计算机”窗口的“Builtin”容器中的组域中内置组、预定义组和特殊组的管理Administrators（管理员组）：该组中的成员对域控制器及域中的所有资源都具有完全控制权限，并且可以根据需要为其他用户赋予相应的权利和访问权限。在默认情况下，“Administrator”账户、“DomainAdmins”和“EnterpriseAdmins”预定义全局组是该组的成员。由于该组中的成员可以完全控制域控制器，所以在向该组中添加用户账户时要谨慎。“ActiveDirectory用户和计算机”窗口的“Builtin”容器中的组域中内置组、预定义组和特殊组的管理BackupOperators（备份操作员组）：该组中的成员可以备份和还原域控制器中的文件，不管是否有该文件的的访问权限。这是因为执行备份任务的权限要高于所有文件权限。但该组成员不能更改文件的安全设置。“ActiveDirectory用户和计算机”窗口的“Builtin”容器中的组域中内置组、预定义组和特殊组的管理Guests（来宾组）：该组中的成员只能执行授权任务，以及访问为其分配了访问权限的资源。该组中的成员具有一个在登录时创建的临时配置文件，在注销时，该配置文件会被删除。来宾账户“Guest”是该组中的默认成员。“ActiveDirectory用户和计算机”窗口的“Builtin”容器中的组域中内置组、预定义组和特殊组的管理NetworkConfigurationOperators（网络配置操作员组）：该组中的成员可以更改TCP/IP配置。PerformanceLogUsers（性能日志用户组）：该组中的成员可以从本地服务器和远程客户端管理性能计数器、收集性能日志。“ActiveDirectory用户和计算机”窗口的“Builtin”容器中的组域中内置组、预定义组和特殊组的管理PrintOperators（打印机操作员组）：该组中的成员可以管理打印机和打印队列。ServerOperators（服务器操作员组）：该组中的其成员只可以共享磁盘资源和在域控制器上备份和恢复文件。“ActiveDirectory用户和计算机”窗口的“Builtin”容器中的组域中内置组、预定义组和特殊组的管理Users（用户组）：该组中的成员可以执行一些常见任务，如运行应用程序、使用网络打印机等。该组中的成员不能共享目录和创建本地打印机等。在默认情况下，“DomainUsers”账户是“AuthenticatedUsers”账户是该组中的成员。因此，在域中创建的所有用户都将成为该组的成员。“ActiveDirectory用户和计算机”窗口的“Builtin”容器中的组域中内置组、预定义组和特殊组的管理2）预定义全局组在域创建完成后，打开“ActiveDirectory用户和计算机”窗口，可以看到“Users”容器中创建了预定义全局组，如图所示。下面简要介绍几个较为常用的预定义全局组。“ActiveDirectory用户和计算机”窗口的“Users”容器中的组域中内置组、预定义组和特殊组的管理DomainAdmins（域管理员组）：WindowsServer2022会自动将预定义组“DomainAdmins”添加到内置组“Administrators”中，因此域管理员可以在域中的任意一台计算机上执行管理任务。“Administrator”账户是该组中的默认成员。“ActiveDirectory用户和计算机”窗口的“Users”容器中的组域中内置组、预定义组和特殊组的管理DomainGuests（域来宾组）：WindowsServer2022会自动将预定义组“DomainGuests”组添加到“Guests”内置域组中，Guest账户默认是该组的成员。“ActiveDirectory用户和计算机”窗口的“Users”容器中的组域中内置组、预定义组和特殊组的管理DomainUsers（域用户组）：WindowsServer2022自动将自定义组“DomainUsers”添加到内置组“Users”中。新建的域用户都是该组中的默认成员。“ActiveDirectory用户和计算机”窗口的“Users”容器中的组域中内置组、预定义组和特殊组的管理3）特殊组在WindowsServer2022服务器上还有一些特殊组，这些组中没有特定的成员关系，但是它们可以在不同时间代表不同的用户，这取决于用户采取哪种方式访问计算机，访问什么资源。在执行组管理时，特殊组不可见，但是在给资源分配权限时会使用它们。域中内置组、预定义组和特殊组的管理（1）AnonymousLogon（匿名登录组）：该组中的成员都是没有经过身份验证的用户账户。（2）AuthenticatedUsers（已认证的用户组）：该组中的成员都是合法用户账户。使用“AuthenticatedUsers”组可以禁用匿名访问某个资源。“AuthenticatedUsers”组不包括“Guest”账户。（3）Everyone（每人组）：该组中的成员都是访问该计算机的所有用户账户，如“AuthenticatedUsers”组和“Guests”组中的用户账户，因此在给“Everyone”组分配权限时要特别注意。域中内置组、预定义组和特殊组的管理（4）CreatorOwner（创建所有者组）：该组中的成员都是创建和取得所有权的用户账户。（5）Interactive（交互组）：该组中的成员是当前登录计算机或通过远程桌面连接登录到域的所有用户账户。（6）Network（网络组）：该组中的成员是通过网络连接所有登录到域的用户账户。（7）TerminalServerUsers（终端服务器用户组）：当以应用程序服务器模式安装终端服务器时，该组中的成员是使用终端服务器登录到域的任意用户账户。（8）Dialup（拨号组）：该组中的成员是当前进行拨号连接的用户账户。域成员计算机中组账户的管理域成员计算机中组账户的管理在域内，即使将成员计算机加入域，它们的内置本地组也会保留，并且依托这些内置本地组为域用户提供在本机上执行管理任务的权限。同域中的内置组一样，成员计算机的用户账户也不能修改内置本地组的权限设置。当需要用户账户在本地计算机上执行相应的管理任务时，只需将用户账户加入相应的内置本地组。域成员计算机中组账户的管理在任务栏中右击“开始”图标，在弹出的快捷菜单中选择“计算机管理”命令，打开“计算机管理”窗口，在左侧的列表框中选择“系统工具”→“本地用户和组”选项，可以查看内置本地组，如图所示。下面就其中几个较为常用的组做简要介绍。域成员计算机的内置本地组域成员计算机中组账户的管理Administrators（管理员组）：该组中的成员具有对域客户机的完全控制权限，并且可以为其他用户分配权限。“Administrators”组中的成员如图所示，“DomainAdmins”组是该组中的默认成员，而域管理员是“DomainAdmins”组中的成员，因此域管理员默认拥有所有域成员计算机的管理权限。“Administrators”组中的成员域成员计算机中组账户的管理Users（用户组）：该组中的成员只可以执行被授权的任务，只能访问具有访问权限的资源。“Users”组中的成员如图所示，“DomainUsers”组是该组中的默认成员，而域用户是“DomainUsers”组中的默认成员，所以域用户默认拥有使用域成员计算机的权限。“Users”组中的成员域成员计算机中用户账户的管理域成员计算机中用户账户的管理域控制器负责管理域用户账户和域组账户，没有本地用户账户和本地组账户。域成员计算机有本地用户账户和本地组账户，为了管理方便，域管理通常回收了成员计算机的本地用户账户，仅允许员工以域用户账户的身份在客户机登录。用户权限最小化原则的应用用户权限最小化原则的应用1）域控制器的用户权限域控制中的内置组预先为户定义了与之匹配的操作域控制器的具体权限，新建的域用户都是“DomainUsers”组中的默认，该组的成员可以执行一些常见任务，如运行应用程序、使用网络打印机等，但不能共享目录、修改计算机配置等。如果要让域用户拥有更多的权限，则可以将其添加到拥有对应权限的组中。例如，网络部员工用户“tom”经常需要备份域控制器中的文件，可以将域用户“tom”添加入“BackupOperators”组中，从而满足“tom”用户的工作需求。用户权限最小化原则的应用注意：不能将“TOM”添加入“DomainAdmins”组中，因为该组不仅具有域控制器的备份与还原权限，还具有域用户的添加与删除、域控制器的安全部署与配置等权限。如果将“TOM”用户添加到该组中，则可能会给域的管理带来混乱，影响公司域的正常运作，甚至造成信息外泄等严重后果。因此，在为域用户授权时，应该遵从权限最小化原则，在权限上避免员工的非法操作。用户权限最小化原则的应用2）域成员计算机的用户权限同域控制器的用户权限类似，域成员计算机的用户权限也是由内置组预先定义的，如果域用户需要域成员计算机拥有更多的操作权限，则需要将该域用户添加到相应的域成员计算机内置组中。用户权限最小化原则的应用注意：域控制器中内置组的权限范围是所有的域控制器，因此，如果将域用户加入域控制器中的内置组，那么该域用户继承的权限可以作用于所有的域控制器，但这些权限不能作用于域成员计算机；如果将域用户加入“DomainAdmins”组，那么该域用户继承的权限不仅可以作用于所有的域控制器，还可以作用于域成员计算机。域成员计算机中内置组的权限范围是本机。因此，如果一个域用户需要具有多台域成员计算机的特定权限，则需要将该域用户添加到这些域成员计算机中的相应内置组来授权。项目11管理将计算机加入域的权限普通域用户将计算机加入域的权限普通域用户将指定计算机加入域的权限域控制器和域成员计算机之间的信任关系目录普通域用户将计算机加入域的权限普通域用户将计算机加入域的权限在默认情况下，一个普通域账户最多可以将10台计算机加入域，这有可能导致普通域用户将外部计算机加入域，存在不可预期的安全隐患。将普通域用户允许加入域的计算机数量由10改为0，如图所示，即可限制该域用户将计算机加入域的权限。普通域用户将指定计算机加入域的权限普通域用户将指定计算机加入域的权限在限制了普通域账户将计算机加入域的权限后，域管理员可以授权普通域用户将指定的计算机加入域。例如，要将一台名为“sqlserver2”的计算机加入活动目录的“网络部”组织单位，域管理员可以在“ActiveDirectory用户与计算机”管理控制台的“业务部”组织单位中的右键菜单中选择“新建”→“计算机”命令，弹出“新建对象-计算机”对话框，如图所示。新建-计算机账户普通域用户将指定计算机加入域的权限在“计算机名”文本框中输入“sqlserver2”，在“用户或组”中选择网络部用户“jack@”（授权普通用户“jack”），这样用户“jack”就可以将该客户机加入域了。计算机sqlserver2在加入域后，用户“jack”的委派工作就结束了。

添加对象-计算机域控制器和域成员计算机之间的信任关系信任关系的定义在Windows域环境中，信任关系是在域之间（包括域控制器和域成员计算机）建立的一种关系，它允许一个域中的用户和资源能够被另一个域中的域控制器进行身份验证和访问控制。这种信任关系是通过活动目录中的策略和设置来实现的。如果域成员计算机长时间未登录域，那么域控制器和客户机之间的信任关系会被破坏。例如，域成员计算机计算机超过30天没有登录域，会导致安全通道密码发生变化，需要重置安全通道密码。在这种情况下，通常需要将该计算机从域中退出，再将其重新加入域。域控制器和域成员计算机之间的信任关系身份验证用户访问网络资源时，需通过域控制器验证其身份。验证基于活动目录的权限，且依赖域控制器与成员计算机间的信任关系。信任关系一旦受损，用户将无法访问资源。策略应用域控制器运用组策略统一配置域内计算机，确保安全与管理的标准化。此应用同样依赖于域控制器与成员计算机间的信任关系。资源访问域内资源访问基于域控与成员间的信任。用户访问时，域控制器会验证用户的身份和权限，决定访问是否通过。维护信任关系的重要性安全性信任关系确保了域内用户和资源的安全访问。如果信任关系被破坏，未经授权的用户可能会访问敏感资源，导致数据泄露或损坏。稳定性稳定的信任关系有助于确保域环境的稳定运行。如果信任关系出现问题，可能会导致身份验证失败、资源访问受限等问题，影响用户的正常工作。管理性通过信任关系，管理员可以更方便地管理域内的用户和资源。例如，他们可以使用组策略来统一设置用户环境、应用程序和安全策略等。项目12组的管理与AGUDLP原则组的类型组的作用域AGUDLP原则目录组的类型组的类型在活动目录中，有两种不同类型的组：通讯组和安全组。通讯组存储着用户的联系方式，用于进行批量用户之间的通信，如群发邮件、开视频会议等，它没有安全特性，不可用于进行授权。安全组具备通讯组的全部功能，用于为用户和计算机分配权限，是WindowsServer2022标准的安全主体。通讯组的特点邮件通讯通讯组的核心功能是作为邮件的收件人群组，方便群发邮件。当需要向一组人发送相同内容的邮件时，只需将邮件发送给通讯组，即可实现批量发送。无安全特性通讯组没有安全标识（SID），因此不能用于授权访问网络资源或本地资源。它仅用于邮件通讯，不涉及权限管理。灵活性通讯组的成员可以灵活添加和删除，以适应不同的通讯需求。管理员可以根据实际情况调整组成员，确保邮件能够准确发送给需要的人。易于管理通讯组简化了邮件通讯的管理过程，减少了重复发送邮件的工作量。通过管理通讯组，可以更有效地控制邮件的发送对象和发送内容。安全组特点安全标识（SID）：安全组拥有唯一的SID，使其能作为授权资源访问的对象，SID是Windows系统中用来唯一识别用户