活动目录的用户和组.ppt
- 文档编号:1309157
- 上传时间:2022-10-20
- 格式:PPT
- 页数:72
- 大小:781.50KB
活动目录的用户和组.ppt
《活动目录的用户和组.ppt》由会员分享,可在线阅读,更多相关《活动目录的用户和组.ppt(72页珍藏版)》请在冰豆网上搜索。
管理活动目录用户账号和组账号,教学教研部赵天宇,本章目标,理解域用户和计算机账户学会创建和管理域用户和计算机账户理解活动目录中组的不同类型及其作用学会运用AGDLP策略,用户账号的介绍,用户账号的一般性介绍用户主名用户主名后缀,用户账号的一般性介绍,用户账号的作用为用户提供“单一验证”提供对资源的访问本地用户账号和域用户账号的区别可以分为显示名和登录名,用户主名,是一种只能用来登录到WindowsServer2003网络的登录名优点在活动目录中唯一可以与用户的电子邮件地址相同,用户主名后缀,使用用户主名后缀将简化用户在复杂环境下的登录过程演示:
新建用户主名后缀,并为用户设置用户主名后缀,创建用户账号,使用“ActiveDirectory用户和计算机”创建用户账号使用dsadd命令创建用户账号在域中的成员服务器上安装管理工具包利用RunAS执行管理任务在域控制器上登录,使用“ActiveDirectory用户和计算机”创建用户账号,演示:
使用“ActiveDirectory用户和计算机”创建用户账号的过程,使用dsadd命令创建用户账号,演示:
使用dsadd命令创建用户账号,在域中的成员服务器上安装管理工具包,演示:
在域中的成员服务器上安装管理工具包,利用RunAS执行管理任务,使用RunAs演示:
利用RunAS执行管理任务,在域控制器上登录,默认情况下使用administrator账号可以在DC上登录默认情况下使用普通域用户账号不能在DC上登录,管理用户账号,执行用户账号公共管理任务设置用户账号属性域用户账号复制在AD中搜索用户账号删除域用户账号,执行用户账号公共管理任务,公共管理任务包括:
添加到组:
把用户加入到一个组账号中,可以使用户账号具有该组所拥有的权限,在对用户授权时使用禁用账户:
如果员工出差,在一段时间内该账号不使用时应该把账号禁用重设密码:
当用户本人忘记了自己的密码时,可以由管理员对密码进行重新设置移动:
当员工从一个部门调到另外的部门时,可以利用账号移动在网络管理中以体现这种行政管理的变化删除:
当员工离职时,出于安全性的考虑,应将不再使用的用户账号删除重命名:
从安全的角度来看,账号重命名对一些内置账号如Administrator来说非常重要,设置用户账号属性,对用户账号的管理实质上是对账号属性的管理演示:
设置用户账号的常用属性,实现用户配置文件,用户配置文件的功能:
对Display、regional、mouse、printer、network等属性进行设置,定义用户工作环境用户配置文件的类型默认的用户配置文件(DefaultUserProfile)本地用户配置文件(LocalUserProfile)漫游用户配置文件(RoamingUserProfile)强制漫游用户配置文件(MandatoryUserProfile),域用户账号复制,账号模板的作用把多个用户账号的公用属性写到模板账号中,然后利用账号复制的方法可以减轻管理员的工作负担演示:
账号复制,在AD中搜索用户账号,利用活动目录根据已知用户账号的属性进行搜索演示:
在AD中搜索用户账号,删除域用户账号,使用“ActiveDirectory用户和计算机”删除用户账号利用dsrm命令删除域用户账号,WindowsServer2003中的账号安全,账号管理的一般性原则密码策略管理Administrator账号管理Guest账号查看用户账号的SID,账号管理的一般性原则,确保网络中只有必需的账号被使用,及时删除不使用的账号,而且每个账号仅有能满足他们完成工作的最小权限重命名敏感用户账号,如Administrator、Guest以及其他一些在安装软件或服务时(如IIS和终端服务)自动建立的账号实施严格的密码策略,阻止对密码的暴力攻击设置账号锁定策略,密码策略,严格的密码策略是保证系统安全的第一道屏障危险密码空密码与用户名相同用户名的简单变化用户本人相关的个人信息英文单词键盘上相邻的字母组合强壮密码字母+数字+大小写+具有一定的长度+无意义的组合+定期更改,管理Administrator账号,Administrator账号的特点不能删除不能修改其默认权限的设置重命名administrator账号,管理Guest账号,Guest账号的作用Guest账号作为来宾账号,是供那些未经授权的用户访问系统时使用的,所以除非特别需要,否则不要启用Guest账号,而且也不要为Guest账号赋予额外的权限,查看用户账号的SID,SID(SecurityIdentifier,安全标识符)是一种不同长度的数据结构,用来识别用户、组和计算机账号在Windows系统中是基于SID,而不是基于名字来识别对象的。
SID在创建该对象时产生,从CPU中随机读取一个字符串,SID一旦被使用就永远都不会重复利用whoami命令查看用户的SID,组账号的介绍,组账号介绍WindowsServer2003中组的类别活动目录中组的类型活动目录域和目录林的功能组的范围通用组和全局编录的关系,组账号介绍,组账号组是用户账号的逻辑的集合(删除组后用户仍存在)当一个用户账号加入到一个组以后,该用户账号就拥有该组所拥有的全部权限一个用户账号同时可以是多个组的成员。
在特定情况下组是可以嵌套的(组中可以包括其他组),WindowsServer2003中组的类别,工作组中的组内置组:
在创建操作系统或安装相应的网络服务时创建的,对操作系统都具有一定的管理权限,无法被删除也不能修改其权限配置本地组:
可以组织用户账号并对组进行授权通过“计算机管理”控制台进行管理和维护,WindowsServer2003中组的类别,域中的组位于域中成员服务器(非DC)中的组组的成员可以是本地计算机上的本地用户账号、域中的用户账号、域中的全局组和通用组账号、信任域中的域用户账号以及信任域中的全局组和通用组账号通过“计算机管理”控制台下的“本地用户和组”来管理和维护为了安全,不建议使用位于域控制器(DC)中的组DC上没有本地组,只有域中的组账号,活动目录中组的类型,在活动目录中,根据组的类型进行分类,有通讯组和安全组两种类型通讯组:
用来组织用户账号,没有安全特性,一般来说不用于授权。
在通讯组中可以存储联系人和用户账号,可以在Microsoft其他的产品如MicrosoftExchange2007中使用安全组:
具备通讯组的全部功能,用来为用户和计算机分配权限,是WindowsServer2003标准的安全主体。
安全组出现在定义资源和对象权限的访问控制列表中,活动目录域的功能级别,域功能级别Windows2000混合模式支持WindowsNT4.0、Windows2000和Windows2003安装活动目录后目录的默认功能级别该模式的域不能使用通用组、不能进行组的嵌套、也不能启用SID的历史记录功能(迁移安全主体)Windows2000纯模式支持Windows2000和Windows2003该模式的域能使用通用组、进行组嵌套和SID的历史记录功能Windows2003Server模式只支持Windows2003可以使用域中的所有功能域功能级别可以提升,但提升是单向的,而且只有DomainAdmins和EnterpriseAdmin组的成员才能进行该操作,活动目录域和目录林的功能,林功能级别Windows2000模式支持WindowsNT4.0、Windows2000和Windows2003不能实现如全局编目复制改造、域重命名、林信任、活动目录中停用类型或属性等功能WindowsServer2003模式只支持Windows2003可以使用上述所有的新功能林功能级别可以提升,但提升是单向的,而且只有DomainAdmins和EnterpriseAdmin组的成员才能进行提升操作,同时一定要确保目录林中所有的DC上域的功能级别都处于Windows2000纯模式或Windows2003server模式,组的范围,全局组:
使用全局组来管理那些具有相同管理任务或访问许可的用户账号。
全局组中只能包括该全局组所在域的用户账号。
全局组可以成为任何域的本地组的成员。
在Windows2000混合模式下,全局组不能嵌套域本地组:
与全局组用来组织用户账号不同,使用本地组的目的是为了给本域中的资源分配权限,本地组只在本域中可见。
本地组中可以包括任何域的用户账号和任何域的全局组和通用组。
在Windows2000混合模式下,本地组不能嵌套通用组:
在Windows2000混合模式下不能使用通用组。
通用组的使用比较灵活,它既具有全局组可以组织用户账号的作用,又具有本地组可以分配权限的作用。
通用组中可以包括任何域的用户账号、任何域的全局组和通用组,而且通用组可以成为任何域的本地组的成员,并且可以在目录林的任何域中指派权限,*,秦皇岛盛邦计算机教育,34,通用组和全局编录的关系,全局编录(GC)的作用是保存活动目录中对象属性的信息,通用组的成员信息也保存在GC中。
GC不仅对在活动目录中查找对象提供支持,而且还与用户的登录进程有关由于通用组的成员信息保存在GC中,而用户登录后产生的访问令牌中必须包含用户所属的组的信息。
所以当域处于Windows2000纯模式或WindowsServer2003模式,用户登录到域时,系统必须到GC上去查看一下这个用户是否属于那个通用组在多域环境下,当用户以用户主名的方式登录域,而当前的DC又没有这个用户的直接信息时,也需要GC服务器才能登录,在域中创建组账号,使用“ActiveDirectory用户和计算机”创建组账号使用dsadd命令创建组账号,使用“ActiveDirectory用户和计算机”创建组账号,演示:
使用“ActiveDirectory用户和计算机”创建组账号的过程,使用dsadd命令创建组账号,演示:
使用dsadd命令创建组账号,管理组账号,组账号的常规管理任务在活动目录中删除组账号,组账号的常规管理任务,设置组账号信息设置组成员组账号重命名,在活动目录中删除组账号,使用“ActiveDirectory用户和计算机”删除组账号使用dsrm命令删除组账号演示:
删除组账号,为存在的域建立子域,使用“管理您的服务器”创建子域使用dcpromo命令创建子域,在域中实现AGDLP法则,在域中实施权限分配时采用AGDLP法则AUserAccounts用户账号GGlobalGroup全局组DLDomainLocal域本地组PPermissions权限,介绍发布资源,发布资源的概念在活动目录中发布资源的特点,发布资源的概念,有些活动目录对象,如打印机和共享文件夹,默认情况下是不在活动目录中的。
如果想让用户能够在活动目录中访问这些默认没有在活动目录中的资源,就必须把它们加入到活动目录中把默认没有在活动目录中的对象加入到活动目录中的过程称为“发布”一旦资源被发布到活动目录中,活动目录用户就可以利用活动目录搜索工具来查找并访问该资源,而无需知道该资源具体的物理位置,在活动目录中发布资源的特点,在活动目录中发布资源可以确定资源的位置,即使资源的物理位置发生了改变应该把静态的、很少改动的资源发布到活动目录中用户经常访问的资源如打印机、共享文件夹应该发布到活动目录中,设置和管理共享文件夹,发布共享文件夹介绍在活动目录中发布共享文件夹在活动目录中管理发布的共享文件夹在活动目录中搜索发布的共享文件夹,发布共享文件夹介绍,在网络中共享文件夹是用户经常需要访问的资源。
如果用户需要访问这些共享资源,就必须知道每一个共享文件夹的UNC路径。
当网络中的共享文件夹很多时,这是很麻烦的如果把这些共享文件夹发布到活动目录中,让活动目录的用户可以利用活动目录查找工具找到这些发布的对象,进而把用户引到共享资源本身,而用户并不需要知道共享文件夹真正的物理位置,这将大大方便用户对网络中共享资源的使用与WindowsServer2003中打印机的自动发布不同,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 活动 目录 用户
![提示](https://static.bdocx.com/images/bang_tan.gif)