第四章(2)创建与管理计算机、组账户
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
转换是单向的。
操作方法:管理工具/AD用户和计算机/ 打开域的属性对话框/在“常规”标签/ 选择“更改模式”
§6.4 组的管理
删除组:同时删除了与该组有关的权限。 删除一个组不会删除该组中的成员
操作:在该组上单击鼠标右键/删除
向域组中添加成员:可以在组属性对话 框,可以在用户属性对话框。
本地域组作用域:可以授予访问本域资源的权限。 .开放的成员资格:可以包含任何域的用户、全局组和通 用组 .不能嵌套在其他组中
§6.2 域模式中的组
通用组作用域:可以为多个域中的资源授权,可 以授权访问任何域的资源 .开放的成员资格:所有域的用户和组 .可以嵌套:任何域的域本地组和通用组
单域网络使用组的最佳策略:AGDLP和 AGGDLP
创建OU的权限:域管理组和公司管理组的成员具有这种权 限。
方法:在AD用户和计算机上,右击域名,选择“新建OU” 在OU内添加对象(用户;组;共享资源):右击OU/选择
“新建”/共享文件夹
委派管理控制
委派管理控制
委派管理控制
委派管理控制
委派管理控制
委派管理控制
委派管理控制
问题:如果同一个全局组需要对多个域 中的资源访问,解决方法。
§6.2 域模式中的组
内置组: .域本地组:只存在域控制器上,不能删 除。用于在域控制器和活动目录中执行 任务。在Bultin容器 .特殊组:根据系统状态自动组织用户, 即使管理员也不能为其分配成员。在活 动目录窗口中不可见 .全局组:只存在域控制器上,在 “users”容器
第六章 Win2000中组的管理
为什么使用组 本地组 域模式中的组
第六章 Win2000中组的管理
在一个拥有众多用户的网络中,系统管理员需要为 每一个用户设置访问资源的权限,导致了工作量的 巨大增加;具有相同身份的用户通常其拥有的权限 也相同;这样就可以将具有相同身份和属性的用户 组合到一个逻辑的集合当中,并且一次性地赋予该 集合访问资源的权限而不再单独给每一个用户赋予 权限,从而大大节省了工作量,简化了对访问网络 中资源的管理。这里的集合就是组。它将具有相同 特点及属性的用户组合在一起,便于管理和使用, 它可以看作是用户账户的一种逻辑组合。
分发组:不是Windows 2000的安全实体,没 有SID,不能赋予访问资源的权限。本质用户账 号列表。典型的应用是发送e-mail。
§6.2 域模式中的组
2、作用域:全局组作用域、本地域组作用域和通 用组作用域
全局组作用域:组织具有类似网络访问要求的用户。利用 全局组可以授予访问任何域上资源的权限。 .具有有限的成员资格:成员只能是本域的用户账户和全 局组 .可以嵌套在其他组:本域的全局组,或者其他域的域本 地组和通用组
§6.2 域模式中的组
二、创建域模式中的组: 要求由 Administrator组或者由Account Operators组成员进行。
管理工具Active Directory用户和计算机 Users新建组
§6.3 转换域模式
三、默认情况下,域和活动目录在混合 模式下运行,但是为了使用活动目录中 的组嵌套和安全通用组,必须转换为本 地模式。
§6.1 本地组
三、创建本地组:Administrator组或 者由Account Operators组成员进行
管理工具计算机管理模式中的组称为域组,在域的DC上创建, 存储在域的AD中。
一、域模式中的组类型和作用域
1、域模式中的组类型:安全组和分发组
安全组:Windows 2000的安全主体,通过给 安全组赋予访问资源的权限来限制安全组成员对 域中资源的访问,拥有唯一的SID。
操作:在该组(用户)上单击鼠标右键/属 性
§6.5 管理计算机账户
添加 设置属性 删除
§6.6 用OU来组织一个域
在域内实现OU结构可以加强管理控制和组策略控制。把管 理控制委派给网络资源,还可以给用户或相同OU层次上的 组指定管理权限。把网络资源和相应的安全要求一起集合 到一个OU里面,从而简化资源的管理。组策略用来设置用 户环境,可以使用OU为一个用户组创建独立的组策略。
§6.1 本地组
本地组中的成员根据创建本地组的计算机是否在 域中而不同。对于不属于域的计算机中的本地组 而言,组中的成员只能包括本地计算机上的本地 用户账户;对于属于域的计算机(非DC)中的 本地组而言,组中的成员可以是本地计算机内的 本地用户账户、域中的域用户账户、域中的全局 组和通用组账户、信任域中的域用户账户以及域 中的全局组和通用组。
§6.1 本地组
创建位置:Windows 2000 Server的独立服务 器或者成员服务器,Windows 2000 Professional普通工作站
作用范围:只限于创建该组的计算机上 存储:创建该组的计算机的本地安全账号管理器
一、本地组类型(本地组、内置组)
1、本地组:在任何一台基于Windows 2000的非DC计算机上创建
2、内置组:不能被删除,作用范围限于其 存在的计算机上。
§6.1 本地组
二、本地组的组策略:将组、用户、资 源以及权限组合在一起从而实现对资源 访问的管理称为组策略。ALP (Accounts Localgroup Permission)
首先将具有相同属性的用户账号加入到一个 本地组中,再针对某些资源赋予这个本地组 相应的访问权限,这样就可以达到一次操作 而为多个用户赋予访问资源的权限。
委派管理控制
设置组策略
设置组策略
设置组策略
设置组策略
操作方法:管理工具/AD用户和计算机/ 打开域的属性对话框/在“常规”标签/ 选择“更改模式”
§6.4 组的管理
删除组:同时删除了与该组有关的权限。 删除一个组不会删除该组中的成员
操作:在该组上单击鼠标右键/删除
向域组中添加成员:可以在组属性对话 框,可以在用户属性对话框。
本地域组作用域:可以授予访问本域资源的权限。 .开放的成员资格:可以包含任何域的用户、全局组和通 用组 .不能嵌套在其他组中
§6.2 域模式中的组
通用组作用域:可以为多个域中的资源授权,可 以授权访问任何域的资源 .开放的成员资格:所有域的用户和组 .可以嵌套:任何域的域本地组和通用组
单域网络使用组的最佳策略:AGDLP和 AGGDLP
创建OU的权限:域管理组和公司管理组的成员具有这种权 限。
方法:在AD用户和计算机上,右击域名,选择“新建OU” 在OU内添加对象(用户;组;共享资源):右击OU/选择
“新建”/共享文件夹
委派管理控制
委派管理控制
委派管理控制
委派管理控制
委派管理控制
委派管理控制
委派管理控制
问题:如果同一个全局组需要对多个域 中的资源访问,解决方法。
§6.2 域模式中的组
内置组: .域本地组:只存在域控制器上,不能删 除。用于在域控制器和活动目录中执行 任务。在Bultin容器 .特殊组:根据系统状态自动组织用户, 即使管理员也不能为其分配成员。在活 动目录窗口中不可见 .全局组:只存在域控制器上,在 “users”容器
第六章 Win2000中组的管理
为什么使用组 本地组 域模式中的组
第六章 Win2000中组的管理
在一个拥有众多用户的网络中,系统管理员需要为 每一个用户设置访问资源的权限,导致了工作量的 巨大增加;具有相同身份的用户通常其拥有的权限 也相同;这样就可以将具有相同身份和属性的用户 组合到一个逻辑的集合当中,并且一次性地赋予该 集合访问资源的权限而不再单独给每一个用户赋予 权限,从而大大节省了工作量,简化了对访问网络 中资源的管理。这里的集合就是组。它将具有相同 特点及属性的用户组合在一起,便于管理和使用, 它可以看作是用户账户的一种逻辑组合。
分发组:不是Windows 2000的安全实体,没 有SID,不能赋予访问资源的权限。本质用户账 号列表。典型的应用是发送e-mail。
§6.2 域模式中的组
2、作用域:全局组作用域、本地域组作用域和通 用组作用域
全局组作用域:组织具有类似网络访问要求的用户。利用 全局组可以授予访问任何域上资源的权限。 .具有有限的成员资格:成员只能是本域的用户账户和全 局组 .可以嵌套在其他组:本域的全局组,或者其他域的域本 地组和通用组
§6.2 域模式中的组
二、创建域模式中的组: 要求由 Administrator组或者由Account Operators组成员进行。
管理工具Active Directory用户和计算机 Users新建组
§6.3 转换域模式
三、默认情况下,域和活动目录在混合 模式下运行,但是为了使用活动目录中 的组嵌套和安全通用组,必须转换为本 地模式。
§6.1 本地组
三、创建本地组:Administrator组或 者由Account Operators组成员进行
管理工具计算机管理模式中的组称为域组,在域的DC上创建, 存储在域的AD中。
一、域模式中的组类型和作用域
1、域模式中的组类型:安全组和分发组
安全组:Windows 2000的安全主体,通过给 安全组赋予访问资源的权限来限制安全组成员对 域中资源的访问,拥有唯一的SID。
操作:在该组(用户)上单击鼠标右键/属 性
§6.5 管理计算机账户
添加 设置属性 删除
§6.6 用OU来组织一个域
在域内实现OU结构可以加强管理控制和组策略控制。把管 理控制委派给网络资源,还可以给用户或相同OU层次上的 组指定管理权限。把网络资源和相应的安全要求一起集合 到一个OU里面,从而简化资源的管理。组策略用来设置用 户环境,可以使用OU为一个用户组创建独立的组策略。
§6.1 本地组
本地组中的成员根据创建本地组的计算机是否在 域中而不同。对于不属于域的计算机中的本地组 而言,组中的成员只能包括本地计算机上的本地 用户账户;对于属于域的计算机(非DC)中的 本地组而言,组中的成员可以是本地计算机内的 本地用户账户、域中的域用户账户、域中的全局 组和通用组账户、信任域中的域用户账户以及域 中的全局组和通用组。
§6.1 本地组
创建位置:Windows 2000 Server的独立服务 器或者成员服务器,Windows 2000 Professional普通工作站
作用范围:只限于创建该组的计算机上 存储:创建该组的计算机的本地安全账号管理器
一、本地组类型(本地组、内置组)
1、本地组:在任何一台基于Windows 2000的非DC计算机上创建
2、内置组:不能被删除,作用范围限于其 存在的计算机上。
§6.1 本地组
二、本地组的组策略:将组、用户、资 源以及权限组合在一起从而实现对资源 访问的管理称为组策略。ALP (Accounts Localgroup Permission)
首先将具有相同属性的用户账号加入到一个 本地组中,再针对某些资源赋予这个本地组 相应的访问权限,这样就可以达到一次操作 而为多个用户赋予访问资源的权限。
委派管理控制
设置组策略
设置组策略
设置组策略
设置组策略