AD域用户常用组策略设置

AD域服务器配置使用手册

目录

•简介

•安装AD域服务器

•配置AD域服务器

•使用AD域服务器

•常见问题与解决方案

简介

Active Directory（简称AD）是由微软公司开发的一种目录服务，用于管理和组织网络中的用户、计算机、应用程序等资源。AD域服务器是一个核心组件，用于集中管理和分发资源，提供统一的身份验证和访问控制。

本文档将指导您进行AD域服务器的安装、配置和使用，

以便在企业网络中实现集中管理和统一认证。

在安装AD域服务器之前，您需要确保以下条件已满足：•一台运行Windows Server操作系统的服务器

•具有管理员权限的帐户

•确保网络连接正常

按照以下步骤进行AD域服务器的安装：

1.在服务器上运行Windows Server安装程序。

2.选择“自定义安装”选项，并选择“域控制器”角色。

3.指定域的名称，并设置管理员密码。

4.安装必要的依赖项和组件。

5.完成安装过程。

安装完成后，您需要进行AD域服务器的配置，以满足特

定的网络需求。以下是一些常见的AD域服务器配置任务：

•添加组织单位（OU）和用户组：用于组织和管理用户和计算机资源。

•配置组策略：通过组策略设置实施安全和配置要求。

•创建用户账户和共享文件夹：用于授权和权限管理。

•配置安全认证和访问控制：用于保护网络资源免受

未经授权的访问。

•配置域名服务器（DNS）和动态主机配置协议

（DHCP）：用于自动分配IP地址和解析域名。

您可以通过Windows Server管理工具如Active Directory

用户和计算机、组策略管理等进行以上配置任务。

A D域用户常用组策略设置通过AD共享创建域用户个人共享数据盘

第一步：创建共享文件夹-userdisk

第二步：创建用户登陆时，在共享userdisk目录下个人文件夹组策略

在域组策略下，viewuser组下创建GPO

域组策略-用户配置-首选项-Windows设置-文件夹

第二步：创建用户登陆时，挂载共享userdisk目录下个人文件夹组策略

域组策略-用户配置-首选项-Windows设置-驱动器映射

设置域用户统一桌面背景图

第一步：将桌面背景图放到共享目录下

第二步：创建用户登录后修改桌面背景组策略

域组策略-用户配置-策略-管理模板-桌面-桌面-启用ActiveDesktop 域组策略-用户配置-策略-管理模板-桌面-桌面-桌面壁纸启用

设置用户登陆后自动修改时间格式为yyyy-mm-dd

第一步：做修改时间格式为yyyy-mm-dd批处理

新建记事本文件data-扩展名改成bat

输入：

@echooff&title

regadd"HKCU\ControlPanel\International"/vsShortDate/tREG_SZ/d yyyy-MM-dd/f exit

第二步：创建用户登陆时自动运行批处理组策略

域组策略-用户配置-策略-Windows设置

双击显示文件夹-将做好的data.bat文件放到该文件夹下

已经要放在这个组策略对应User\Scripts\Logon

再点击添加

点击浏览

安装与配置Active Directory

/china/technet/prodtechnol/windowsserver2003/technologi es/directory/default.mspx

1、实验目的

让学生掌握目录服务知识。

2、实验环境

多台装有Windows 2000 Server的计算机。

3、相关理论

活动目录是一种目录服务，它存储有关网络对象的信息，例如，用户、组和计算机

账户、共享资源和打印机等，并使管理员和用户可以方便地查找和使用网络信息。

活动目录的应用起源于Windows NT 4.0，在Windows 2000 Server中得到进一步的应

用和发展，具有可扩展性和可调整性，并将结构化数据存储作为目录信息逻辑和分层

组织的基础。活动目录的优点：

(1)基于策略的管理

(2)扩展性

(3)可调整性

(4)信息复制

(5)与DNS的集成

(6)灵活的查询

(7)信息安全性

4、实验内容

（1）在安装Active Directory前首先确定DNS服务正常工作，下面来安装在根域为的第一台域控制器。

（2）运行Active Directory安装向导将Windows 2000 Server计算机为域控制器创建一个新域或者向现有的域添加其他域控制器。

5、实验步骤

安装活动目录的具体操作步骤如下：

(1) 执行“开始”→“程序”→“管理工具”→“配置服务器”命令，打开“Windows 2000配置服务器”对话框，如下图所示。

注释：

安装完Windows 2000 Server后，每次启动计算机，系统都会自动打开“Windows 2000配置服务器”对话框。

AD域的组策略实施

组策略的实施

1.理解组策略作用

组策略又称Group Policy

组策略可以管理计算机和用户

组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等

2.组策略的结构

组策略的具体设置数据保存在GPO中

创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略

GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地"

GPO控制的对象:S、D、OU中的计算机和用户GPO的组件存储在2个位置: GPC（组策略容器）与GPT（组策略模板）

GPC：GPC是包含GPO属性和版本信息的活动目录对象

GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构。

3. 组策略更改后不是立即生效，可以通过运行：gpupdate / force命令来立即刷新。

4.默认下层容器会继承上层容器的策略，如下图：

5. 下层可以通过阻止策略继承按钮，不继承上层的策略。如图：

机,那么计算机策略和用户策略同时都要生

效,这时计算机策略覆盖用户策略!

2.不同层次的策略产生冲突时，子容器（上层）

上的GPO优先级高!

3.同一个容器上多个GPO产生冲突时，处于

GPO列表最高位置的GPO优先级最高。

8. 筛选组策略设置，将用户或者组添加到安全

组，在应用组策略选项后选择拒绝即可

软件策略：指派与发布

1.建立一个共享文件夹，将要实施的MSI格式软

件放入共享文件夹。

2.利用组策略的软件安装找路径（网络路径）

3. 选择发布/指派软件

a)指派，程序在【开始】菜单中

b)发布，程序显示在【控制面板】|【添加/删除程序】中

管理员操作手册-AD域控及组策略管理_51CTO下载

1.前言

AD域控及组策略管理是IT管理员日常工作的重要组成部分，通过对AD域控和组策略的合理配置和管理，可以实现企业网络环境的安全性、

可靠性和高效性。本手册旨在提供AD域控和组策略管理的相关操作指南，帮助管理员更好地完成日常工作。

2.AD域控管理

2.1AD域控的创建与配置

- 在服务器管理工具中打开“Active Directory 域服务配置向导”。

-选择“新建林”并按照向导进行域控的创建与配置。

2.2AD域控的管理与维护

- 在服务器管理工具中打开“Active Directory 用户和计算机”。

-可以进行用户账户、计算机账户、组织单位等的管理与维护。

2.3AD域控的备份与恢复

- 使用Windows Server Backup工具进行备份和恢复。

-定期备份AD域控以防止数据丢失和系统崩溃。

3.组策略管理

3.1组策略的创建与配置

-在服务器管理工具中打开“组策略管理”。

-可以创建和配置适用于不同组织单位的组策略。

3.2组策略的应用与更新

-使用“更新策略”命令可以立即使变更的组策略生效。

-配置组策略的过程中可以指定应用的对象，如用户组、计算机组等。

3.3组策略的审计与报告

-使用组策略管理工具中的“结果集”功能可以查看策略的审计结果。-可以生成策略的报告并进行分析以优化策略配置。

4.网络安全与用户权限管理

4.1基于域的安全

-配置域用户账户和组的访问权限和密码策略。

-设置账户锁定策略和审计策略以防止未授权访问。

4.2网络访问控制

-配置网络访问控制列表（ACL）以限制网络资源的访问。

ad域常用策略

AD域（Active Directory）是一种由微软公司开发的用于管理网络资源的目录服务。在企业和组织中，AD域常用策略被广泛应用于用户权限管理、安全策略、网络访问控制等方面，以确保网络的稳定运行和信息安全。本文将介绍AD域常用策略的相关内容。

一、用户权限管理策略

1. 密码策略：通过设置密码复杂度、密码过期时间等参数，确保用户的密码安全可靠。密码复杂度要求用户使用包含大写字母、小写字母、数字和特殊字符的复杂密码，并设置密码最短使用期限和密码历史，禁止用户频繁更改密码。

2. 用户账户锁定策略：设置账户锁定阈值和锁定时间，当用户连续多次输入错误密码时，账户将被锁定一段时间，以防止密码暴力破解。

3. 用户授权策略：通过授权用户的组成员身份和所属组织单位，限制用户对资源的访问权限，确保数据的安全性和完整性。

二、安全策略

1. 安全审核策略：启用安全审核策略，记录系统日志和安全事件，及时发现和处理安全漏洞和威胁。

2. 账户登录策略：限制用户登录计算机的方式和时间，设置登录失败提示信息，以防止非法用户的登录访问。

3. 文件和文件夹权限策略：通过设置文件和文件夹的权限，保护重

要数据不被未授权的用户访问和修改。

三、网络访问控制策略

1. 防火墙策略：设置防火墙规则，限制不同网络段之间的通信，阻止潜在的网络攻击和入侵。

2. 网络访问策略：通过设置网络访问规则和权限，限制特定用户或用户组对特定网络资源的访问，确保网络资源的安全和合规性。

四、软件安装与更新策略

1. 软件安装策略：通过AD域控制器的软件分发功能，实现远程软件安装和更新，确保企业中所有计算机的软件版本一致性和安全性。

企业ad域控组策略

企业AD域控组策略是一种用于管理企业内部计算机网络的技术方案。它通过集中管理、统一控制的方式，为企业提供安全、高效的网络环境。在这个方面，我有一些亲身经历和见解，下面我将与大家分享一些我对企业AD域控组策略的理解和建议。

企业AD域控组策略的一个重要作用是实现对用户权限的精细控制。通过合理设置组策略，可以限制用户的操作权限，确保各部门和岗位之间的权限分离，从而提高企业的信息安全性。例如，可以通过组策略禁用USB接口，防止用户将企业重要数据外泄；也可以设置密码复杂度要求，强制用户使用强密码，提高账号的安全性。

企业AD域控组策略还可以用于管理计算机硬件和软件配置。通过组策略，可以集中管理企业内部所有计算机的配置信息，包括操作系统设置、网络配置、软件安装等。这样，当需要对某一类计算机进行配置修改时，只需通过组策略进行一次修改，即可快速应用到所有相关计算机上，大大提高了管理效率。

企业AD域控组策略还可以实现对计算机的安全防护。通过设置组策略，可以强制用户安装杀毒软件、启用防火墙等安全措施，保护企业计算机免受病毒和黑客的攻击。同时，还可以通过组策略限制用户对系统文件和注册表的访问权限，防止误操作或恶意篡改导致系统崩溃或数据丢失。

企业AD域控组策略还可以用于实现网络资源的统一管理和分配。通过设置组策略，可以定义用户的网络访问权限，确保用户只能访问到其所需的资源，避免资源滥用和浪费。同时，还可以设置网络带宽限制，合理分配网络资源，保证网络的稳定和高效运行。

总的来说，企业AD域控组策略在企业内部网络管理中扮演着重要的角色。它可以帮助企业实现对用户权限的精细控制、管理计算机硬件和软件配置、实现计算机的安全防护，以及统一管理和分配网络资源。通过合理设置组策略，企业可以提高网络安全性、提高管理效率、保证网络稳定性，为企业的发展提供有力支撑。

企业ad域控组策略

企业AD域控组策略是企业网络安全的重要组成部分，它能够确保企业内部的计算机和用户能够按照规定的安全策略进行操作和访问，从而保证企业网络的安全性和稳定性。

AD（Active Directory）域控制器是Windows服务器操作系统中的一个角色，它能够集中管理和控制企业内部的计算机、用户、组织单元等资源，并为其提供统一的身份认证和访问控制服务。通过AD 域控制器，企业可以实现对用户账号、计算机策略、安全策略等进行集中管理，从而提高企业的整体管理效率和信息安全性。

在企业AD域控组策略中，有一些关键的考虑因素需要被纳入考虑。首先，企业需要确定适用于不同用户和计算机的安全策略。这些策略可以包括密码策略、访问权限策略、软件安装策略等。其次，企业需要制定合理的用户账号管理策略，包括账号的创建、修改和删除等。此外，企业还需要考虑网络资源的保护和访问控制策略，以确保只有授权的用户能够访问企业的敏感信息和资源。

AD域控组策略的实施需要遵循一定的步骤和原则。首先，企业需要对组织结构进行规划和设计，确定适当的组织单元和组织架构。其次，企业需要制定合理的安全策略和访问控制策略，并将其应用到适当的组织单元和用户上。同时，企业还需要定期审计和监控AD 域控制器的运行状态，及时发现和解决潜在的安全问题。

AD域控组策略的实施不仅能够提高企业的信息安全性，还能够提高企业的管理效率和响应能力。通过适当的安全策略和访问控制策略，企业能够有效地防止未经授权的访问和操作，减少信息泄露和数据丢失的风险。同时，AD域控组策略还能够帮助企业降低管理成本，简化管理流程。

AD域解决方案

1. 概述

AD（Active Directory）域是微软公司开发的一种目录服务，用于在Windows

网络中管理用户身份、资源访问和权限控制。AD域解决方案是一种将AD域部署

在企业网络中的方法，可以实现集中管理和控制用户、计算机和其他网络资源的目的。本文将介绍AD域解决方案的基本原理、部署步骤和一些常见问题的解决方法。

2. AD域解决方案的基本原理

AD域解决方案基于一种底层的目录服务架构，其中包括以下关键组件：

2.1. 域控制器（Domain Controller）

域控制器是AD域中最关键的组件之一，它负责存储和管理用户账户、组策略、安全策略等信息。每个AD域至少需要一个域控制器来进行运行，并且可以有多个

域控制器来提供冗余与负载均衡。

2.2. 域（Domain）

域是AD域的逻辑单元，它包含一组用户账户、计算机账户和安全策略。在域中，用户可以通过他们的账户认证和访问网络资源。

2.3. 组（Group）

组是域中的一种容器，可以用来管理和授权一组用户账户的访问权限。组可以

根据不同的标准进行分类，例如按部门、按角色等。

2.4. 组策略（Group Policy）

组策略是一种集中管理和应用于域中用户和计算机的安全设置、应用程序设置

和其他配置的机制。通过组策略，管理员可以轻松地定义和实施网络安全策略、应用程序设置和用户配置。

3. AD域解决方案的部署步骤

3.1. 规划

在部署AD域解决方案之前，需要进行一些规划工作。例如，确定域的名称、

域控制器的数量和位置、组织单位（OU）的结构等。此外，还需要考虑到网络拓扑、安全需求和对现有系统的影响。

ad域常用命令

AD域（Active Directory Domain）是指在Windows操作系统中使用的一种目录服务。它是一种分布式数据库，用于存储和管理网络中的资源和用户信息。在AD域中，我们可以通过一些常用命令来管理和操作域控制器、用户、组等。

一、域控制器管理命令

1. dcpromo：用于将服务器升级为域控制器，或者将域控制器降级为成员服务器。

2. nslookup：用于查询域控制器的IP地址和域名的解析情况。

3. netdom：用于管理域控制器的信任关系，包括建立、删除和修改信任关系。

二、用户管理命令

1. dsadd user：用于创建新用户账户。

2. dsmod user：用于修改用户账户的属性，如密码、显示名称等。

3. dsquery user：用于查询用户账户的信息。

4. dsget user：用于获取用户账户的详细信息。

三、组管理命令

1. dsadd group：用于创建新的安全组或分发组。

2. dsmod group：用于修改组的属性，如组的作用域、描述等。

3. dsquery group：用于查询组的信息。

4. dsget group：用于获取组的详细信息。

四、策略管理命令

1. gpupdate：用于强制更新组策略。

2. gpresult：用于查看当前用户或计算机应用的组策略信息。

五、其他常用命令

1. net user：用于管理本地用户账户，如创建、删除和修改本地用户。

2. net group：用于管理本地组，如创建、删除和修改本地组。

3. net share：用于管理共享文件夹，如创建、删除和修改共享。需要注意的是，使用这些AD域常用命令时，需要具有足够的权限和管理员身份。此外，为了确保命令的执行效果，应该在操作之前先做好相应的备份工作，并且仔细阅读命令的用法和参数说明。

AD域控如何做细粒度帐户密码策略

（1）细粒度帐户密码策略简介和特点 (1)

（2）适合使用的场景 (1)

（3）实战配置步骤 (2)

1.实验环境 (2)

第一步：打开AD用户和计算机工具-创建一个组 (2)

第二步：打开AD管理中心工具（按图中箭头操作） (3)

第三步：配置密码策略属性值 (4)

第四步：添加用户到组 (4)

第五步：客户端测试 (5)

（1）细粒度帐户密码策略简介和特点

1.简介

在AD域控中，通过在Password Settings Container设置账号和密码策略的方法通常被称为"Fine-Grained Password Policies"（细粒度密码策略）。

这个功能允许管理员定义和应用针对特定用户组或个别用户的自定义密码策略，而不仅仅局限于整个域的统一策略。

2.特点

①个性化密码策略：允许管理员根据具体需求为不同用户或用户组设置个性化的密码策略，以满足其安全性和合规性要求。

②灵活性：相比于统一的全局密码策略，细粒度密码策略提供了更大的灵活性。管理员可以针对特定用户或用户群体定制密码策略，从而更好地适应组织内部的多样化需求。

③安全性：通过为不同用户设置适当的密码策略，可以提高整体系统的安全性。确保强密码要求和定期更改密码等措施有助于防止未经授权的访问和数据泄露。

④合规性：能够满足特定行业标准或法规对密码安全性的要求，帮助组织保持合规性并规避潜在的法律风险。

⑤简化管理：通过细粒度密码策略，管理员可以更轻松地管理不同用户的密码策略需求，而无需依赖复杂的工作流程或手动操作。

（2）适合使用的场景

ad域组策略模板

AD域组策略模板是指一组预定义的系统管理策略，用于控制计算机

和用户的行为和安全设置。这些策略通常应用于一个或多个OU(组织单位)或者整个AD域中的计算机和用户账户。

下面是一些常见的AD域组策略模板：

1.安全策略模板。

安全策略模板用于控制计算机和用户的访问控制和安全设置，包括密码策略、账户锁定策略、安全日志记录等。

2.桌面设置模板。

桌面设置模板用于控制计算机屏幕保护、桌面背景、程序菜单等桌面设置。

3.软件设置模板。

软件设置模板用于限制用户或计算机对特定软件的使用，如禁止运行某些程序。

4.显示设置模板。

显示设置模板用于控制计算机的屏幕分辨率、色彩深度和其他显示设置。

5.注册表设置模板。

注册表设置模板用于修改计算机的注册表设置，例如添加、删除、修改注册表项等。

6.IE设置模板。

IE设置模板用于控制IE浏览器的常规选项、安全选项、内容选项等。

7.远程安装模板。

远程安装模板用于控制计算机的程序安装和升级，以实现远程管理。

总体来说，AD域组策略模板可以帮助管理员实现对域中各个计算机

和用户的安全、配置、管理等方面的集中控制和更好的管理。

ad域控制策略

AD（Active Directory）域控制是一种用于管理网络中用户、计

算机和资源的服务。它提供了一种集中式的管理方式，使得管理者能

够轻松地管理整个网络，在域环境中为用户提供单点登录、统一授权、集中控制等功能。接下来，我们将介绍AD域控制的相关策略。

首先，为了保障网络安全，我们需要制定一套严格的账户安全策略。这包括使用强密码、定期更改密码、禁止重复使用密码等措施，

以确保用户账户的安全性。另外，还要控制账户登录失败的次数，在

一定次数尝试失败后自动锁定账户，防止恶意暴力破解。同时，要实

施账户审计策略，记录账户的登录、注销和权限变更等操作，以便及

时发现异常情况。

其次，域控制还需要管理计算机的策略。我们可以通过策略设置

来限制用户对计算机的访问权限，防止非授权用户未经许可访问计算机。此外，还可以配置安全设置，如禁用自动运行程序、限制USB设

备的使用等，以增强计算机的安全性。此外，还可以实施补丁管理策略，定期检查和更新计算机的安全补丁，以最大程度地减少安全漏洞。

此外，在AD域控制中，我们还可以制定一系列的组策略，来管理

用户和计算机的行为。通过组策略，我们可以设置用户的桌面背景、

屏幕保护、禁用控制面板等，以统一管理用户的工作环境。在计算机

方面，我们可以设置其加入域的要求、网络资源的映射、软件的安装等，使得计算机和用户在遵循统一的规范和标准下进行工作。

除了账户和计算机管理外，我们还可以通过AD域控制来管理网络资源。例如，可以设置共享文件夹的访问权限，使得只有经过授权的用户能够访问共享资源。此外，还可以设置打印机的共享与权限，实现集中管理和控制打印设备。这样，可以避免用户在安装和使用网络资源上出现混乱和冲突。

ad域常用命令

AD域常用命令

AD域（Active Directory Domain）是Windows操作系统中常用的一种目录服务，用于管理网络中的用户、组、计算机等资源。在AD 域中，管理员可以使用一系列的命令来管理和配置域中的对象。本文将介绍AD域常用的一些命令，并对其功能和用法进行详细说明。

一、查询命令

1. dsquery：用于查询AD域中的对象。可以通过指定不同的参数来查询用户、组、计算机等对象。例如，使用dsquery user命令可以查询AD域中的用户账户。

2. dsget：用于获取AD域中对象的详细信息。与dsquery命令类似，可以指定不同的参数来获取用户、组、计算机等对象的详细属性。例如，使用dsget user命令可以获取用户账户的详细信息。

3. net user：用于管理AD域中的用户账户。可以通过指定不同的参数来创建、删除、修改用户账户的属性。例如，使用net user命令可以创建新的用户账户。

4. net group：用于管理AD域中的组对象。可以通过指定不同的参数来创建、删除、修改组对象的属性。例如，使用net group命令可以创建新的组对象。

5. net computer：用于管理AD域中的计算机对象。可以通过指定不同的参数来创建、删除、修改计算机对象的属性。例如，使用net computer命令可以加入计算机到AD域中。

二、配置命令

1. dsa.msc：用于打开AD域的管理工具。可以通过运行dsa.msc命令来打开AD域用户和计算机的管理界面，从而可以进行各种配置和管理操作。

为何不能交互式登陆

前一段时间做了一个win2000的终端网，采用win2000 application server终端服务模式+citrix(sp3)，客户机上出现登陆窗口，以域用户账号登陆便会出现提示:"计算机不允许交互式登陆",而用administrator登陆却没有问题，开始有点呐闷，这个问题怎么同NT或win2000的非本地账号登陆域服务器出现的问题一样，后来查了一查资料，顿时明白过来。在这里我必须讲一讲NT和win2000的身份验证机制。NT和win2000针对域用户账号登陆的验证分别是通过NTLM和Kerberos协议,而对本地账号登陆的验证是MSV1_0协议，用户通过提供登陆信息（如用户名和密码）,服务器将这些信息发送到服务器上的验证机构，验证机构通过比较储存在本地的数据库文件(SAM)来判断此用户的身份真实性，如果通过，就会向用户发送一个令牌，此访问令牌即token,又称为SID.在原来的NT模式下,由于域之间的信任关系是单向的，不可传递的，所以一个域用户要获得另一个域的资源访问权限，必须手工建立信任关系，授权该用户的访问权限。而在现在的win2000模式下,每个用户的token是SID+域ID,即GUID,在一个森林中是永远不变的，他是由每域的RID主机（相对关系主机）来分配的。SID在每个域中是独一无二的，但在其他域中也可能出现同样的SID，但是由于域ID的不同，所以二者的GUID就不可能相同。但这必须建立在Kerberos协议的基础上，kerberos提供了域之间可传递的，双向的信任关系，即A信任B，B信任A；A信任B，B信任C，A信任C。当然也可手工调整，一个用户仅仅具有一个token是不够的,token只能保证用户是否能在该域或本地计算机上的登陆权限，而用户是否能对资源的访问及系统权限是由ACL及ACE来控制的。ACL(Access control list)是每个文件及文件夹的用户组及用户访问控制列表，而ACE（Access control entry)是具体的访问类型（如read,write 等等).

为何不能交互式登陆

前一段时间做了一个win2000的终端网，采用win2000 application server终端服务模式+citrix(sp3)，客户机上出现登陆窗口，以域用户账号登陆便会出现提示:"计算机不允许交互式登陆",而用administrator登陆却没有问题，开始有点呐闷，这个问题怎么同NT或win2000的非本地账号登陆域服务器出现的问题一样，后来查了一查资料，顿时明白过来。在这里我必须讲一讲NT和win2000的身份验证机制。NT和win2000针对域用户账号登陆的验证分别是通过NTLM和Kerberos协议,而对本地账号登陆的验证是MSV1_0协议，用户通过提供登陆信息（如用户名和密码）,服务器将这些信息发送到服务器上的验证机构，验证机构通过比较储存在本地的数据库文件(SAM)来判断此用户的身份真实性，如果通过，就会向用户发送一个令牌，此访问令牌即token,又称为SID.在原来的NT模式下,由于域之间的信任关系是单向的，不可传递的，所以一个域用户要获得另一个域的资源访问权限，必须手工建立信任关系，授权该用户的访问权限。而在现在的win2000模式下,每个用户的token是SID+域ID,即GUID,在一个森林中是永远不变的，他是由每域的RID主机（相对关系主机）来分配的。SID在每个域中是独一无二的，但在其他域中也可能出现同样的SID，但是由于域ID的不同，所以二者的GUID就不可能相同。但这必须建立在Kerberos协议的基础上，kerberos提供了域之间可传递的，双向的信任关系，即A信任B，B信任A；A信任B，B信任C，A信任C。当然也可手工调整，一个用户仅仅具有一个token是不够的,token只能保证用户是否能在该域或本地计算机上的登陆权限，而用户是否能对资源的访问及系统权限是由ACL及ACE来控制的。ACL(Access control list)是每个文件及文件夹的用户组及用户访问控制列表，而ACE（Access control entry)是具体的访问类型（如read,write 等等).