10 管理域用户帐户与组帐户

合集下载

Windows10开箱即用功能简介

Windows 10开箱即用功能简介
我们见证了远程工作的快速变化
…让 IT 冗重的工作更加复杂当前工作模式
办公日常
任务工作
远程工作
差旅达人
专业设计
远程工作
远程工作
远程工作
远程工作
远程工作
新常态
2
个人计算机分发的挑战
个人计算机付运
自带设备适配
部署的痛苦
个人计算机及外设的出货量，在第一季度
后期激增
下载 Workspace ONE 制备工具
• 应用 (Workspace ONE Intelligent Hub, etc.) • 通过 PPKG 安装应用 • 应用配置文件并完成 Sysprep 操作
确认系统处于离线状态!
Drop-Ship
13
使用AutoPilot工厂制备
15
加入传统域的工厂制备
23
谢谢聆听！
20
windows10开箱即用功能简介任务工作专业设计差旅达人办公日常远程工作我们见证了远程工作的快速变化冗重的工作更加复杂当前工作模式新常态远程工作远程工作远程工作远程工作远程工作个人计算机分发的挑战个人计算机付运个人计算机及外设的出货量在第一季度后期激增自带设备适配byod的兴趣比以往任何时候都高尽管许多时候并没有正式的byo计划部署的痛苦客户发现新电脑分发的痛苦第一天就工作就绪即使是远程工作oem工厂最终用户现代部署传统部署交钥匙制备工作就绪体验零接触it恢复分销商集成商由伙伴厂商直接交付
W orkspace ONE AirLift
NEW
Enterprise App
Repository
从 CMT 部署中导出应用至 Workspace ONE.

域用户及组账户的管理

域用户及组账户的管理域系统管理员需要为每一个用户分别建立一个用户账户，让用户可以利用这个账户来登录域、访问网络上的资源。

系统管理员同时也需要了解如何巧用组，以便有效的管理资源的访问。

本章的主要内容包括：》域用户账户》一次同时添加多个用户账户》域组账户》提升域功能级别》组的使用准则３.１域用户账户作为域系统管理员，可以利用“Active Directory用户和计算机”控制台来建立并管理域用户账户。

当用户利用域用户账户登录域后，便可以直接连接域内的所有计算机、访问资源。

换句话说，域用户在域内的一台计算机上登录成功后，当他们要连接域内的其他计算机时，并不需要再次登录到其他计算机上。

这个只需要登录一次的功能，被制为“单一登录”（single sign-on ）”。

本机用户账户并不具备“单一登录和”的功能，也就是说利用本机用户账户登录后，当要连接其他计算机时，必须再次登录。

非域控制器的Wdindows Server2003、Ｗindows XP Professional等计算机默认没有"Active Directory 用户和计算机”控制台等管理Active Directory的工具，不过，可以通过安装“Windows Server 2003 Administration Tool Pack”来拥有这些工具，也就是运行位于Windows Server 2003安装光盘中的Ｉ386文件夹内的ADMINPAD.MSI程序。

３.１.１组织单位组织单位内可以容纳其他的对象，如用户账户、组账户、计算机账户等，以便更容易的管理资源，并可以通过组策略来集中管理域的用户工作环境与计算机环境。

你可以利用“开始”-》“管理工具”-》“Active Directory用户和计算机”->"右击域名称“-》”新建“-》”组织单位“的途径来建立组织单位。

应设置有意义的组织单位名称，如”业务部“、”研发部“等，而且不要经常改变名称。

Windows实训题目

一、安装、配置Windows网络操作系统假如你是一家学校的网络管理员，负责管理和维护学校的网络。

你的学校新购置了一台计算机，希望承担服务器的角色，为网络中的用户提供多种功能。

现在，需要你对这台计算机执行以下工作：（1）在这台计算机上安装Windows Server 2003企业版操作系统，计算机的名称为“Server01”，并且将其加入到名称为“MSHOME”的工作组中。

（2）设置TCP/IP参数，其中，IP地址：192.168.10.1；子网掩码：255.255.255.0；默认网关：192.168.10.200；首选DNS服务器：192.168.1.1；备用DNS服务器：192.168.1.2。

（3）在计算机上安装一块网卡。

（4）设置显示，分辨率为：1024×768，颜色质量：最高（32位）。

二、创建工作组，管理本地用户帐户和组帐户假如你是一家学校的网络管理员，负责管理和维护学校的网络。

你的学校创建了一个工作组，学校教师需要在这个工作组中工作。

为此，需要你执行以下工作：（1）为学校教师创建本地用户帐户（user01～user15），并且允许用户在第一次登录时更改密码。

（2）在学校中有15名代课教师，你需要为他们创建一个用户帐户（tempuser）并且禁止用户更改帐户密码。

（3）如果一个用户（user07）由于生病而在一段时间内无法上班，需要禁用他的域用户帐户。

（4）如果一个用户（user09）忘记了自己的帐户密码，需要为其重设帐户密码。

（6）一个用户（user12）辞职后离开了学校，需要删除该用户的用户帐户。

（7）创建组帐户（xmxx），并把一系列的用户帐户加入到这个组帐户中。

三、配置文件服务器假如你是一家学校的网络管理员，负责管理和维护学校的网络。

你的学校希望设置文件服务器来管理用户对文件资源的访问。

为此，需要你执行以下工作：（1）在一台计算机上创建共享文件夹（share），并把文件资源放在这个共享文件夹中。

Windows Server活动目录企业应用Windows Server管理域用户账户和组

活动目录企业应用Windows Server 项目三管理域用户账户与组项目背景•当安装完操作系统并完成操作系统地环境配置后,管理员应规划一个安全地网络环境,为用户提供有效地资源访问服务。

Windows Server 二零一二 R二通过建立账户（包括用户账户与组账户）并赋予账户合适地权限,保证使用网络与计算机资源地合法,以确保数据访问,存储与换服从安全需要。

项目背景•如果是单纯工作组模式地网络,需要使用"计算机管理"工具来管理本地用户与组;如果是域模式地网络,则需要通过"Active Directory管理心"与"Active Directory用户与计算机"工具管理整个域环境地用户与组。

项目目地•一．理解管理域用户账户•二．掌握一次同时添加多个用户账户•三．掌握管理域组账户四.一有关知识•域系统管理员需要为每一个域用户分别建立一个用户账户,让它们可以利用这个账户来登录域,访问网络上地资源。

域系统管理员同时也需要了解如何有效利用组,以便高效地管理资源地访问。

•域系统管理员可以利用Active Directory管理心或Active Directory用户与计算机管理控制台来建立与管理域用户账户。

当用户利用域用户账户登录域后,便可以直接连接域内地所有成员计算机,访问有权访问地资源。

换句话说,域用户在一台域成员计算机上成功登录后,当它要连接域内地其它成员计算机时,并不需要再登录到被访问地计算机,这个功能被称为单点登录。

管理域用户账户与组有关知识•在服务器还没有升级成为域控制器之前,原本位于其本地安全数据库内地本地账户,会在升级为域控制器后被转移到AD DS数据库内,并且是被放置到Users容器内地,您可以通过Active Directory管理心来查看,如图三-一所示（可先单击上方地树视图图标）,同时这台服务器地计算机账户会被放置到图地组织单位Domain Controllers内。

用户和组

计算机网络技术
用户和组
知识点： ·创建和管理用户帐户：创建和管理本地用户帐户，创建和管理域用户帐户。 ·利用组管理对资源的访问：在工作组中实现组，在域中实现组。 ·共享磁盘资源：共享和权限，共享文件夹，磁盘配额。 ·配置网络打印机：Windows 2000下的打印功能，配置基于Web打印机。
1.1 创建和管理用户帐户 1.1.1 概述用户帐户是含有特定用户信息的记录，用户帐户使得用户能登录到指定计算机，以访问该计算机上的资源；或是登录到特定的域，以访问网络资源。域是在同一个域名和安全范围内的一组帐户和网络资源的集合。
注意：这里介绍的组，仅仅是本机模式下的组，而不是处在混合模式下的网络中的组。
1.2.2 在工作组中实现组一个工作组下可能会由几台计算机组成，它没有域网络中的纷繁功能，但通过在工作组这样的简单计算机分组中使用组概念，可以使工作组中引入相当的网络功能。 1. 本地组和内置本地组： ⑴ 本地组
在工作组中实现一个组，该组就是本地组。作为本地组还应注意： ·本地组只能包含来自创建该本地组的计算机的本地用户帐户； ·本地组不能是任何其他组的成员； ·本地组不出现在域的活动目录中，所以只能在工作组下的各个计算机的安全性帐户管理器中进行管理。 ⑵ 内置本地组除了自定义的本地组以外，Windows 2000 Professional和Windows 2000 Server还提供了默认的组，就是内置本地组，这些组都有一组事先确定的权限和内置功能。
⑴ 设置用户帐户密码 ⑵ 设置本地用户帐户的属性
1.1.3 创建和管理域用户帐户
域用户帐户与本地用户帐户的区别在于：本地用户帐户只能在创建了该用户帐户的单个独立的计算机系统上登录，使用该一台计算机上的资源；而域用户帐户可以在创建了该用户帐户的域下的任何一台成员工作站或服务器上登录系统，并且可以使用域中所有的共享网络资源。

AD管理域用户和组帐户PPT课件

第23页/共33页
可以创建组的地方
选择根据组所需要的管理能力创建组的特定域或组织单位。例如，如果域中有多个组织单位，而每一个都有不同的管理员，则可在那些组织单位中创建具有全局作用域的组，这样管理员就能在各自的组织单位中管理用户的组成员身份。如果组织单位以外的访问控制需要组，组织单位中的组可以嵌套至可在树林中的其他地方使用的具有通用作用域的组（或具有全局作用域的其他组）中。
Everyone 代表所有当前网络的用户，包括来自其他域的来宾和用户。无论用户何时登录到网络上，它们都将被自动添加到 Everyone 组。
第22页/共33页
特殊标识 (cont.)
Network 代表当前通过网络访问给定资源的用户（不是通过从本地登录到资源所在的计算机来访问资源的用户）。无论用户何时通过网络访问给定的资源，它们都将自动添加到 Network 组。
第14页/共33页
域组
Active Directory Users and Computers Console Window Help
Active View
Tree
Builtin 9 objects
Active Directory Users and Computer Name
Type
Description
Interactive 代表当前登录到特定计算机上并且访问该计算机上给定资源的所有用户（不是通过网络访问资源的用户）。无论用户何时访问当前登录的计算机上的给定资源，它们都被自动添加到 Interactive 组。
虽然可以给特殊标识指派对资源的权利和权限，但不能修改或查看其成员身份。组作用域不适用于特殊标识。无论用户何时登录或访问特殊资源，都被自动指派这些特殊标识。

实训项目报告管理域用户账户与组账户

实训项目报告管理域用户账户与组账户管理域用户账户与组账户是一项重要的工作，对于企业的信息系统安全和管理非常关键。

本文将介绍如何有效地管理域用户账户和组账户。

首先，管理域用户账户包括创建、修改和删除用户账户。

在创建用户账户时，需要明确用户的身份和权限，并为其分配合适的访问权限。

对于权限的分配，应根据用户的工作职责和需要进行合理的划分。

同时，在创建用户账户时，应设定强密码策略，并要求用户定期更换密码，以增强账户安全性。

在修改用户账户时，要根据实际情况对用户的权限进行调整。

例如，员工调岗或离职时，需要及时变更其账户权限或禁用账户，避免权限过大或滥用。

此外，还要定期审查和更新用户账户信息，确保账户的准确性和安全性。

对于删除用户账户，同样需要审慎操作。

在员工离职或合同到期后，应及时删除对应账户，以防止账户被恶意使用。

同时，必须注意备份员工账户的重要数据，以便在需要时进行数据恢复或追溯。

另外，管理域组账户也是管理的重点之一、组账户可以将相同权限和访问需求的用户进行分类集中管理，提高管理效率和一致性。

在创建组账户时，需要明确组的名称、目的和所包含的用户。

同时，也要为组账户分配合适的访问权限，确保用户能够顺利完成工作。

在修改组账户时，应根据需要对组的权限进行调整。

例如，有新的用户需要加入组账户，或者一些用户需要从组中移除，都需要及时调整组的成员。

此外，也需要定期审查和更新组账户的信息，保证其准确性和安全性。

最后，对于删除组账户，同样需要谨慎操作。

需要先将组中的用户移除，再进行删除操作。

同时，也要注意备份组账户的重要数据，以便在需要时进行数据恢复或追溯。

综上所述，管理域用户账户与组账户是一项重要的工作，需要合理分配权限，定期审查和更新账户信息，并注意账户的安全性。

只有做好对账户的管理，才能保障企业信息系统的安全和有序运行。

用户帐户与组帐户管理

2024年2月17日星期六3时33分47秒
第4页/共31页
13.2 本地用户和组
13.2.1 用户帐户的创建
用户本地账户是建立在Windows Server 2003成员服务器的本地安全数据库内，而不是域控制器内的账户。用户可以利用本地账户登录此账户所在的计算机，但是无法登录域。同时只能访问这台计算机内的资源，无法访问网络上的资源。建议只在未加入域的计算机内建立本地用户账户。
2024年2月17日星期六3时33分47秒
第8页/共31页
13.2 本地用户和组
（2）右击，从弹出的菜单中选择“新用户”命令，弹出“新用户”对话框。输入用户名、全名、描述和密码。输入时密码。为了避免在输入时被他人看到密码，因此在对话框中的密码只会以星号（*）显示。需要再次输入密码来确认所输入的密码是否正确。密码最多128个字符，密码的大小写是有区别的。
（2）单击“下一步”按钮，弹出新建域用户帐户的对话框，“密码”与“确认密码”：输入用户账户的密码。
（3）单击“下一步”按钮后，提示用户账户的信息，最后单击“完成”按钮，完成用户账户的创建。
2024年2月17日星期六3时33分47秒
第19页/共31页
13.3 域帐户管理
2. 域用户账户的属性设置每个域用户都有一些相关的属性可供设置，例如，某
2024年2月17日星期六3时33分47秒
第7页/共31页
13.2 本地用户和组
2. 创建本地用户帐户建立本地账户可以用“计算机管理”中的“本地用户和
组”管理单元来创建本地用户帐户，而且必须拥有管理员权限。创建本地用户帐户的步骤如下：
（1）选择“开始管理工具计算机管理”选项，弹出“计算机管理”窗口，依次展开“系统管理本地用户和组用户”，在“计算机管理”窗口右侧列出已经存在的帐户。

域知识深入学习三：域用户与组账户的管理

域知识深⼊学习三：域⽤户与组账户的管理3.1 管理域⽤户账户域⽤户单点登录的概念第⼀台域控的本地账户会被存到AD DS数据库的Users容器内，同时这台计算机会被放到组织单位Domain Controller 其他加⼊域的计算机末⽇呢会放到Computer容器3.1.1 创建组织单位与域⽤户账户组织单位，防⽌意外删除选项域⽤户的密码默认需要⾄少七个字符，还⾄少包含⼤写字母，⼩写字母，数字，⾮数字字母等4组字符中的三组。

3.1.2 ⽤户登录账户域⽤户有两种账户名登录1 ⽤户UPN登录 mary@sayms.local2 ⽤户SamAccountName登录 sayms\mary普通域⽤户默认是⽆法登录域控的UPN不会随着账户被移动到其他域⽽改变3.1.3 创建UPN后缀可以在 Windows 管理⼯具 - Active Directory域和信任关系中添加其他UPN后缀3.1.4 账户的常规管理⼯作新建⽤户账户后，系统会建⽴⼀个唯⼀的安全标识符SID，权限设置都是通过SID记录3.1.5 域⽤户账户的属性设置1 组织信息的设置2 账户过期的设置默认是从不过期3 登录时间的设置默认是任何时段都可以登录4 限制⽤户只能通过某些计算机登录默认是普通域⽤户可以登录任何⼀台域成员计算机3.1.6 搜索⽤户账户除了在域内搜索外，还可以指定在全局编录搜索整个林的对象在没有安装Active Directory管理中⼼的成员服务器上也可以搜索，⽐如win10⽂件资源管理器 - ⽹络 - 搜索Active Directory3.1.7 域控制器之间数据的复制查看当前所连接的其他域控制器Active Directory管理中⼼ - 更改域控制器3.2 ⼀次同时新建多个⽤户账户需要指明⽤户的存储路径DN需要指定类型需要包含⽤户SamAccountName登录账户应该包含⽤户UPN登录账户可以包含其他⽤户信息⽆法设置密码由于建⽴的⽤户都没有密码，最好禁⽤账户3.2.1 利⽤csvde.exe来新建⽤户账户可以⽤来新建账户或其他类型的对象，事先将数据输⼊到纯⽂本⽂件，然后⼀次导⼊到AD DS数据库csvde -i -f c:\test\users1.txt514 表⽰禁⽤，512表⽰启⽤3.2.2 利⽤ldifde.exe来新建，修改与删除⽤户账户可以新建，删除，修改可以指定导⼊到指定域ldifde -s dc1.sayms.local -i -f c:\test\users2.txt3.2.3 利⽤dsadd.exe等程序添加，修改与删除⽤户账户dsadd.exe 新建dsmod.exe 修改dsrm.exe 删除这⾥需要建⽴批处理⽂件⾥⾯会有明⽂密码3.3 域组账户组账户也有唯⼀的安全标识符（security identifier SID）3.3.1 域内的组类型安全组 security group 可以被⽤来分配权限，例如指定安全组对⽂件具备读取的权限，也可以⽤在和安全⽆关的⼯作上发布组 distribution group 被⽤在与安全（权限设置）⽆关的⼯作上3.3.2 组的作⽤域组的范围1 本地域组 domain local group主要是被⽤来分配对其所属域内资源的访问权限2 全局组 global group主要是⽤来组织多个即将被赋予相同权限的⽤户3 通⽤组 universal group可以在所有域内被设置访问权限，以便访问所有域内的资源3.3.3 域组的创建与管理1 组的新建，删除，重命名2 添加组的成员3.3.4 AD DS内置的组1 内置的本地域组Account Operators默认可以在普通容器和组织单位内新建/删除/修改⽤户，组，计算机Administrators对所有域控有最⼤控制权，包含Administrator，全局组Domain Admins 通⽤组 Enterprise AdminsBackup Operators可以通过Windows Server Backup⼯具备份和还原域控内的⽂件，也可以将域控关机Guests默认为Guest和全局组Domain GuestsNetwork Configuration Operators可在域控执⾏常规⽹络配置⼯作，例如改ipPerformance Monitor Users可监控域控的⼯作性能Pre-Windows 2000 Compatible Access可读取AD DS域内所有⽤户和组账户，默认成员为特殊组Authenticated UsersPrint Operators可以管理域控上的打印机，也可以将域控关机Remote Desktop UsersServer Operators可以备份或还原域控内的⽂件，锁定与解锁域控，格式化域控硬盘，更改域控时间，将域控关机Users只有基本权限，例如执⾏应⽤程序，默认成员为全局组Domain Users2 内置的全局组内置的全局组本⾝没有权限，可以将其加⼊到具备权限的本地域组或另外分配权限，这些内置全局组位于Users容器内Domain Admins域成员计算机会⾃动将此组加⼊其本地组Administrators内Domain ComputersDomain ControllerDomain Users域成员计算机会⾃动将此组加⼊其本地组Users内Domain Guests3 内置的通⽤组Enterprise Admins只存在于林根域，有权管理林内所有域Schema Admins只存在于林根域，具备管理架构的权限3.3.5 特殊组账户Everyone任何⽤户都属于这个组Authenticated Users任何利⽤有效⽤户账户登录此计算机的⽤户Interactive任何在本地登录的⽤户⾼Network任何通过⽹络登录的⽤户Anonymous Logon任何未利⽤有效普通⽤户账户登录的⽤户Dialup任何eying拨接⽅式连接的⽤户3.4 组的使⽤原则A user AccountG Global groupDL Domain Local groupU Universal groupP Permission3.4.1 A G DL P原则3.4.2 A G G DL P原则3.4.3 A G U DL P原则3.4.4 A G G U DL P原则。

网络资源共享

用户帐户和组的建立
1
一．用户帐户 1. 用户帐户的建立
2
单击“开始”、“程序”、“管理工具”、 “Active Directory用户和计算机”。打开“Active Directory 用户和计算机”窗口，展开域，展开要建立用户帐户的组织单位。
3
单击“操作”、“新建”、“用户帐户”。打开“新建对象 - 用户”对话框，如图4.1
1.确认是否继续。说明把服务器升级为域控制器，系统会自动将该服务器配置成为域控制器并将 Active Directory、DHCP和DNS安装到服务器上，单击下一步按钮继续。
2.输入域名。在Windows 2000 Server中的域名与Internet上的域名称框中输入域名。填写结束，点击下一步按钮。
(3)组
为便于作为管理员的用户对众多的用户和计算机帐户进行管理，Windows 2000 Server继续沿用了NT系统中组的策略。通过将不同的用户和计算机添加到具有
1
不同权限的组中的方式，使该用户和计算机继承所在组的所有权限。同时作为管理员的用户也可以直接通过组来对多个用户和计算机帐户进行管理，这便大大减轻了用户对计算机帐户的管理工作。
b. 单击 “ 操作 ” 、 “ 新建 ” 、 “ 组 ” 。打开 “新建对象 - 组”对话框，如图4.2所示：
图4.2
输入新组的名称，这个名称在组所在的域中必须是唯一的；新组的下面组名是新组的Windows 2000以前版本的组名，默认值与新组名称一致；组领域可选全局组、本地域组、通用组之一；组类型可选安全式、分布式之一。
第4章网络系统中的资源共享
4
.
1
用

第7章域用户账户[1]

7.1.1 域用户帐户的创建
7.1 域用户帐户的管理
域用户帐户的创建
域用户帐户属性的设置
7.1.2 域用户帐户属性的设置
域用户帐户的基本信息的设置
7.1.2 域用户帐户属性的设置
域用户帐户的登录设置
第7章域用户帐户、组和组织单位的管理
域用户帐户的管理计算机帐户的管理组对象的管理组织单位的管理组策略
第7章域用户帐户、组和组织单位的管理
域用户帐户的管理计算机帐户的管理组对象的管理组织单位的管理组策略
7.3 组对象的管理
●组的类型及作用域
●用户组的创建与管理
●域用户组的AGDLP使用策略
7.3.1 组的类型及作用域
1 组的类型在 Active Directory 中有两种类型的组：通讯组和安全组。可以使用通讯组创建电子邮件通讯组列表，使用安全组给共享资源指派权限。（1）通讯组通讯组只有在电子邮件应用程序（如 Exchange）中，才能使用通讯组将电子邮件发送给一组用户。通讯组不启用安全，这意味着它们不能列在随机访问控制列表 (DACL) 中。如果需要组来控制对共享资源的访问，则创建安全组。（2）安全组安全组要小心使用，安全组提供了一种有效的方式来指派对网络上资源的访问权。
7.5.3组策略软件安装
1 应用程序指派给用户
7.5.3组策略软件安装
2 将应用程序指派给计算机
7.5.3组策略软件安装
3 将应用程序发布给用户
7.6 实训：域用户帐户、组和组织单位的管理
7.4 组织单位的管理
创建组织单位组织单位用于委派管理
7.4.1 创建组织单位
创建组织单位的步骤为： 1）打开“Active Directory 用户和计算机”。 2）在控制台树中，右键单击要在其中添加组织单位的文件夹。 3）指向“新建”，然后单击“组织单位”。 4）在打开的“新建对象-组织单位”的“名称”中键入组织单位的名称（如Department of Computer），单击“确定”，如图所示。

管理域用户帐号与组帐号讲解

权限(P)
资源
本地域组(DL)
管理域用户帐号与组帐号
主要内容
1.理解域用户帐号
2.管理域用户帐号
3.管理域组户帐号？
* 一个用户只要拥有一个域用户帐号即可访问域中所有计算机上允许访问的资源。
内置的域用户帐号
* Administrator * Guest
2.管理域用户帐号
设置域用户帐号的个人信息
设置域用户帐号的登录时间限制域用户帐号只能从特定的计算机上登录到域
禁用、启用域用户帐号
重设域用户帐号的密码重新命名域用户帐号
删除域用户帐号
3. 管理域组帐号
创建全局组
创建本地域组
向组中添加成员从组中删除成员
删除组帐号
4.域组帐号的使用原则
A-G-DL-P
用户(A) 全局组(G1) 全局组(G1) 用户(A) 全局组(G2) 全局组(G2)
创建域用户帐号
管理域用户账号
2.1 创建域用户帐号
姓＋名：标识使用者的真实姓名
姓名：在该帐号所在的容器中必须唯一
用户登录名：在森林中必须唯一，在登录时不需要指定域的名称。用户登录名（Windows 2000以前版本）：在域中唯一，在登录时必须指定域的名称。
2.2 管理域用户帐号
允许普通的域用户帐号在域控制器上登录到域

域控中管理计算机和用户帐号

域控中管理计算机和用户帐号管理计算机和用户帐号在Windows2000中用户可以在活动目录用户和计算机管理工具中实现建立用户帐号、计算机帐号、组、安全策略等项。

它可以用于建立或编辑网络中的用户、计算机、组、组织单位、域、域控制器、以及发布网络共享资源。

活动目录用户和计算机管理器是安装在域控制器上的目录管理工具，且用户可以在Windows2000 Professional 中安装它的管理工具，以便利用客户机对活动目录进行远程管理。

本章介绍了Active Directory用户和计算机的常用管理工具的使用：1. 账户、组、组织机构相关的基本概念2. 用户和计算机账户的配置与管理3. 组的创建和管理4. 组织机构的添加与管理5. 资源的发布和搜索6. 域和域间信任的管理7.1 基本概念活动目录用户和计算机管理器中的帐号标识的是一个物理实体如计算机或用户，计算机和用户的帐号在它们登录到网络或访问域中的资源时提供安全信任。

帐号可以用于：验证计算机或用户的身份允许访问域中资源审核用户或计算机帐号的活动7.1.1 用户帐号用户帐号能够让用户以授权的身份登录到计算机和域中并访问其中资源。

用户帐号也可以作为某些软件的服务帐号。

7.1.2 计算机帐号每一个运行Windows 2000 和Windows NT 的计算机在加入到域时都需要一个计算机帐号，就象用户帐号一样，被用来验证和审核计算机的登录过程和访问域资源。

7.1.3 组组是可包含用户、联系人、计算机和其他组的Active Directory 或本机对象。

使用组可以：管理用户和计算机对Active Directory 对象及其属性、网络共享位置、文件、目录、打印机列队等共享资源的访问。

筛选器组策略设置创建电子邮件通讯组有两种类型的组：安全组通讯组安全组用于将用户、计算机和其他组收集到可管理的单位中。

为资源（文件共享、打印机等等）指派权限时，管理员应将那些权限指派给安全组而非个别用户。

WINDOWS的用户和用户组说明

一、WINDOWS的用户和用户组说明 1、基本用户组 Administrators 属于该administators本地组内的用户，都具备系统管理员的权限，它们拥有对这台计算机最大的控制权限，可以执行整台计算机的管理任务。

内置的系统管理员账号Administrator就是本地组的成员，而且无法将它从该组删除。

如果这台计算机已加入域，则域的Domain Admins会自动地加入到该计算机的Administrators组内。

也就是说，域上的系统管理员在这台计算机上也具备着系统管理员的权限。

Backup OPerators 在该组内的成员，不论它们是否有权访问这台计算机中的文件夹或文件，都可以通过“开始”－“所有程序”－“附件”－“系统工具”－“备份”的途径，备份与还原这些文件夹与文件。

Guests 该组是提供没有用户帐户，但是需要访问本地计算机内资源的用户使用，该组的成员无法永久地改变其桌面的工作环境。

该组最常见的默认成员为用户帐号Guest。

Network Configuration Operators 该组内的用户可以在客户端执行一般的网络设置任务，例如更改IP地址，但是不可以安装/删除驱动程序与服务，也不可以执行与网络服务器设置有关的任务，例如DNS服务器、DHCP服务器的设置。

Power Users 该组内的用户具备比Users组更多的权利，但是比Administrators组拥有的权利更少一些，例如，可以：创建、删除、更改本地用户帐户创建、删除、管理本地计算机内的共享文件夹与共享打印机自定义系统设置，例如更改计算机时间、关闭计算机等但是不可以更改Administrators与Backup Operators、无法夺取文件的所有权、无法备份与还原文件、无法安装删除与删除设备驱动程序、无法管理安全与审核日志。

Remote Desktop Users 该组的成员可以通过远程计算机登录，例如，利用终端服务器从远程计算机登录。

管理本地用户与组账户

管理本地用户与组账户
(1) 每台 Windows计算机都有一个“本地安全帐户管理器”，称为 Security Accounts Manager database （SAM）数据库。

(2) “用户”与“用户帐户”具有不同的含义。

简单地说，“用户”是指在网络中工作的人；而“用户帐户”是指用户在网络中工作时所使用的身份标志。

(3) 一个用户可以拥有多个用户帐户。

(4) 一个用户帐户也可以同时被多个用户使用。

(5) 在工作组中，每台Windows计算机的管理员都能够在本地计算机的SAM数据库中创建并管理本地用户帐户。

(6) 在工作组中，用户只能使用本地用户帐户登录到该帐户所在的计算机上，身份验证由这台计算机通过查询本机的SAM数据库完成。

登录成功后，用户只能使用这个用户帐户访问本台计算机上的资源，而不能访问其他计算机上的资源。

(7) 内置的本地用户帐户主要有：Administrator和Guest。

(8) 使用组帐户的主要目的是简化为用户分配权限和权利的管理工作。

(9) 在一个工作组中，每台计算机的管理员可以在本地计算机的SAM数据库中创建组帐户。

这种组帐户只能对本地计算机上的本地用户帐户进行组织，只能拥有对本地计算机的权限和权利，因此称为“本地组帐户”。

(10) 一旦给某个组分配了权限或权利，那么这个组中的所有成员都将具有该组所拥有的权限或权利。

(11) 管理员经常会遇到为多个用户帐户分配相同权限或权利的情形，因此，如果把这些用户帐户加入一个组中，然后给该组而不是给该组中的用户帐户分配权限或权利，这样可以大大减少权限或权利的分配次数，从而减轻管理员的工作负担。

server-2019域用户和组的管理

displayName userPrincipalName samAccountName
csvde
Dn ,objectclass,samaccountname,userprincipalna me,displayname,Useraccountcontrol
“cn=peter,ou=tech,dc=contoso,dc=com”, user,peter,petercontoso,peter,514
DLG
Domain Local Group
Global Group
Global Group
Universal Group
DLG
Domain Local Group
Permissions
问题1：在目录树和目录林中使用组
? Accountants Need to Gain Access to the Accounting Data Across the Forest How Do You Set Up Groups?
7
成批导入程序
用户信息
记事本文件
活动目录
每一个用户对象，文件： 1.必须包括指向活动目录中的用户帐号、本身的类型以及
用户的登录名 2.应包含用户主名，帐号是否禁用 3.包含用户的属性（用户信息） 4.不可以包含密码
DN = Full Name + Path
使用CSVDE创建多用户帐号
objectClass
Add from Multiple
Domains
成员资格成员属于
Global Group 作用范围
Universal Group Rules
可以包含来自目录林中的任何域的用户和帐号全局组和其它通用组