第3章 域用户和组管理
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Field
Find Now Stop
Add
Remove
Clear All
Select attributes <Add criteria from above this list> Settocondition for searching
Specify value of the attribute
Name Joe Pak Don Hall Anne Paper 31 item(s) found
Active Directory
Text File
每一个用户,文件中:
必须包括对象类型、存储路径、用户主名。
应该包含用户登录名 帐号是否禁用
可以包含用户的属性(用户信息)
不可以设置密码
9
使用CSVDE创建多用户帐号
New Object - User
objectClass
asia.contoso.msft/Human Resources Initials:
第三章 域用户与组账户的管理
概述
管理域用户帐户
添加多个用户帐户 域组账户 组的使用准则
介绍用户和组
Shared Resources
Permissions
Users
为每个用户帐号创建一个唯一的登录名 用批处理为新用户在活动目录创建多个用户帐号 将用户分组,用以管理网络上的共享资源 当为一个分层结构创建一个模型时,将组嵌入别的组中 以减少管理任务
User logon name (pre-Windows 2000): suzanf ASIA\
< Back
Next >
Cancel
使用LDIFDE创建多用户帐号
New Object - User
objectClass
asiห้องสมุดไป่ตู้.contoso.msft/Human Resources
Initials:
DLG
Domain Local Group
Domain
在域中使用组的策略
使用全局和域本地组
课堂讨论:在一个单域中使用组
使用全局和域本地组
A G G DL P
DLG
User Accounts
Global Groups Global Group
Domain Local Group
Permissions
Global Group
Add
使用通用组(Universal)
Universal Group Rules
Universal Group Add from Multiple Domains
成员资格
可以包含来自目录林中的任何 域的用户帐号、全局组和通用组
成员属于 作用范围
可以是任何域中的域本地和通 用组成员
不再使用组,我们也可以实现这个功能,就是 直接把用户帐户添加到财务部资源的访问控制列表 中。
如何使用组来实现更方便的管理? 上海和北京的管理员分别为各自要帮助大连 的10 个人创建了一个全局组 bjf 和 shf ,然后大连 的管理员仅仅添加 bjf 和shf 到dlf 即可完成权限的 添加,而不需要关心到底是哪些人来支持财务部 工作,然后一个一个添加了。对于最终资源来说, 它感觉自己没有变化,因为自己始终都是允许被 dlf 访问,并没有发生变化。这就是著名的 A-GDL-P 的使用。
使用通用组
介绍活动目录中的组
Groups Simplify Assigning Permission to Resources
Group
Users Can Be Members of Multiple Groups
Group Group
Groups Can Be Nested Inside Other Groups
Accounting 4 objects Name Anne Paper
Type User
Copy… Add members to a group…
Disable Account Reset Password… Move…
Open home page Send mail All Tasks
Delete Rename
Global Group
Global Group
Global Group
Universal Group
DLG
Universal Group Domain Local Group
DLG
Domain Local Group
Permissions
案例:组的使用
康博公司是一家大型软件公司,总部设在北京, 在上海有一家分公司。公司在企业内部建立了域 名为comboo.com的域,在上海的分公司也创建了 子域os.comboo.com,从而形成了域树。 后来公司创办了一个电子物流公司,名为博通, 总部设在大连。博通在总公司的林中创建了自己 的域环境 botong.com。所有子公司和总公司之间 都存在信任关系,方便资源相互访问。
Creates a new user, copying information from the selected user.
Refresh
Properties
Help
Account is locked out
限制用户登录
限制用户登录时间
限制用户登录的计算机
查询用户帐号
Search entire Active Directory, a specific domain, or an OU Find Users, Contacts, and Groups
Add Remove
Opens property sheet for the current selection.
Add New Suffixes
OK
Cancel
Apply
新建组织单元
升级成DC前后的变化
升级成 DC 之前,用户账户位于本地安全数据库 内(C:\Windows\System32\Config\SAM) 升级成DC以后,用户账户位于AD数据库内。 只有在创建域中第一台 DC 时,服务器上原有本 地用户才会转移到AD数据库中 其他DC原有账户会被删除。
添加域用户帐号到全局组 (Optional) 把一个全局组添加到另一个全局组
把全局组添加到一个域本地组 赋予相应权限给相应的域本地组
使用通用组的嵌套策略
把用户帐号添加到全局组
Users Global Group
把一个全局组嵌套到 另一个全局组中 把全局组嵌套到一个 通用组中 把通用组添加到为资 源创建的域本地组 把组中用户的合适权限 分派给域本地组
大连公司的账目资料都保存在一台财务部专用 服务器上。因为是公司机密信息,安全性比较高, 所有资料仅允许财务部门的人员访问。怎样分配权 限最方便? 大连的管理员为了方便管理,为财务部门创建 了一个域本地组 dlf,在服务器上赋予 dlf 组访问财 务数据的权限。这就是 A-DL-P。
现在大连的公司财务部门出了一点问题,需要 从北京、上海各找 10 个人支援一下。这就要求北京 和上海公司的用户也可以访问该服务器上财务部的 资源,应该怎样设置组和权限?
Type User User User
Administer user accounts in the results box Description
DC之间用户和组数据的复制
自动复制
15秒复制 紧急复制(立即复制)
手动复制
在活动目录中使用组
介绍活动目录的组 使用全局组
使用域本地组
创建和删除一个UPN后缀
Active Directory Domains and Trusts Action View Tree Active Directory Domains and Trusts Properties Name Type UPN Suffixes contoso.msft domain.DNS Active Directory Domains and Trusts nwtraders.msft domain.DNS The names of the current domain and the root domain contoso.msft Connect to Domain Controller… are the default user principal name (UPN) suffixes. nwtraders.msft Operations Master… Adding alternative domain names provides additional logon security and simplifies user logon names. View Refresh Export List… Properties Help If you want alternative UPN suffixes to appear during user creation, add them to the following list. Alternative UPN suffixes: contoso.msft
Create in: DN = Full Name + Path
First name:
Suzan Fine Suzan Fine
Last name:
Full name:
displayName
@contoso.msft
User logon name: suzanf
userPrincipalName samAccountName
执行公共的管理任务
Active Directory Users and Computers Console Window Help Action View
Tree
Active Directory Users and Computers contoso.msft Accounting Builtin Computers Domain Controllers Users
Group
用户登录名
zhangsan@contoso.msft
用户主名 用户主名前缀 用户主名后缀
Prefix contoso domain
@
Suffix zhangsan
用户登录名 用户登录时必须选择域
+
user name
用户登录名唯一性原则 全名在创建用户帐号的容器内必须唯一 用户登录名在域中必须唯一 用户主名在目录林中必须唯一 例如: tom@contoso.com 是用户主名,在林中唯一, tom是登录名
Create in:
DN = Full Name + Path
First name: Last name: Full name: Suzan Fine Suzan Fine
displayName
@contoso.msft
User logon name: suzanf
userPrincipalName samAccountName
File Edit View Help
Find: Users, Contacts, and Groups
In:
Entire Directory
Entire Directory contoso Accounting
Browse...
Users, Contacts, and Groups Advanced
Group Group Group Group Group
使用全局组(Global)
Global Group Rules
成员资格
包含来自同一个域的用户帐号和全局组 全局组可以是任何一个域中的通用和域本地组,以及 同一个域中的全局组成员 全局组在域和所有信任域可见 目录林中所有域 Add
成员属于 作用范围 权限范围
User logon name (pre-Windows 2000): suzanf ASIA\
< Back
Next >
Cancel
使用dsadd.exe 等程序
dsadd.exe----------------添加账户 dsmod.exe---------------修改账户信息
dsrm.exe------------------删除账户
添加用户的工具
Active Directory Users and Computers Csvde and Ldifde Tools
Directory Service Tools
Windows Script Host
Dsadd
Dsmod Dsrm
成批导入程序
User information
Global Group
通用组在目录林中的所有域都 是可见
目录林所有域
权限范围
使用域本地组(Domain Local)
Domain Local Group Rules
成员资格
可以包含目录林中的任何域的用户帐号、全局组和通 用组,以及同一域的域本地组。
成员属于 作用范围 权限范围
域本地组可以是同一域中的域本地组 域本地组只在它自己的域中可见 域本地组位于其中的域 Add Global Group Add
Find Now Stop
Add
Remove
Clear All
Select attributes <Add criteria from above this list> Settocondition for searching
Specify value of the attribute
Name Joe Pak Don Hall Anne Paper 31 item(s) found
Active Directory
Text File
每一个用户,文件中:
必须包括对象类型、存储路径、用户主名。
应该包含用户登录名 帐号是否禁用
可以包含用户的属性(用户信息)
不可以设置密码
9
使用CSVDE创建多用户帐号
New Object - User
objectClass
asia.contoso.msft/Human Resources Initials:
第三章 域用户与组账户的管理
概述
管理域用户帐户
添加多个用户帐户 域组账户 组的使用准则
介绍用户和组
Shared Resources
Permissions
Users
为每个用户帐号创建一个唯一的登录名 用批处理为新用户在活动目录创建多个用户帐号 将用户分组,用以管理网络上的共享资源 当为一个分层结构创建一个模型时,将组嵌入别的组中 以减少管理任务
User logon name (pre-Windows 2000): suzanf ASIA\
< Back
Next >
Cancel
使用LDIFDE创建多用户帐号
New Object - User
objectClass
asiห้องสมุดไป่ตู้.contoso.msft/Human Resources
Initials:
DLG
Domain Local Group
Domain
在域中使用组的策略
使用全局和域本地组
课堂讨论:在一个单域中使用组
使用全局和域本地组
A G G DL P
DLG
User Accounts
Global Groups Global Group
Domain Local Group
Permissions
Global Group
Add
使用通用组(Universal)
Universal Group Rules
Universal Group Add from Multiple Domains
成员资格
可以包含来自目录林中的任何 域的用户帐号、全局组和通用组
成员属于 作用范围
可以是任何域中的域本地和通 用组成员
不再使用组,我们也可以实现这个功能,就是 直接把用户帐户添加到财务部资源的访问控制列表 中。
如何使用组来实现更方便的管理? 上海和北京的管理员分别为各自要帮助大连 的10 个人创建了一个全局组 bjf 和 shf ,然后大连 的管理员仅仅添加 bjf 和shf 到dlf 即可完成权限的 添加,而不需要关心到底是哪些人来支持财务部 工作,然后一个一个添加了。对于最终资源来说, 它感觉自己没有变化,因为自己始终都是允许被 dlf 访问,并没有发生变化。这就是著名的 A-GDL-P 的使用。
使用通用组
介绍活动目录中的组
Groups Simplify Assigning Permission to Resources
Group
Users Can Be Members of Multiple Groups
Group Group
Groups Can Be Nested Inside Other Groups
Accounting 4 objects Name Anne Paper
Type User
Copy… Add members to a group…
Disable Account Reset Password… Move…
Open home page Send mail All Tasks
Delete Rename
Global Group
Global Group
Global Group
Universal Group
DLG
Universal Group Domain Local Group
DLG
Domain Local Group
Permissions
案例:组的使用
康博公司是一家大型软件公司,总部设在北京, 在上海有一家分公司。公司在企业内部建立了域 名为comboo.com的域,在上海的分公司也创建了 子域os.comboo.com,从而形成了域树。 后来公司创办了一个电子物流公司,名为博通, 总部设在大连。博通在总公司的林中创建了自己 的域环境 botong.com。所有子公司和总公司之间 都存在信任关系,方便资源相互访问。
Creates a new user, copying information from the selected user.
Refresh
Properties
Help
Account is locked out
限制用户登录
限制用户登录时间
限制用户登录的计算机
查询用户帐号
Search entire Active Directory, a specific domain, or an OU Find Users, Contacts, and Groups
Add Remove
Opens property sheet for the current selection.
Add New Suffixes
OK
Cancel
Apply
新建组织单元
升级成DC前后的变化
升级成 DC 之前,用户账户位于本地安全数据库 内(C:\Windows\System32\Config\SAM) 升级成DC以后,用户账户位于AD数据库内。 只有在创建域中第一台 DC 时,服务器上原有本 地用户才会转移到AD数据库中 其他DC原有账户会被删除。
添加域用户帐号到全局组 (Optional) 把一个全局组添加到另一个全局组
把全局组添加到一个域本地组 赋予相应权限给相应的域本地组
使用通用组的嵌套策略
把用户帐号添加到全局组
Users Global Group
把一个全局组嵌套到 另一个全局组中 把全局组嵌套到一个 通用组中 把通用组添加到为资 源创建的域本地组 把组中用户的合适权限 分派给域本地组
大连公司的账目资料都保存在一台财务部专用 服务器上。因为是公司机密信息,安全性比较高, 所有资料仅允许财务部门的人员访问。怎样分配权 限最方便? 大连的管理员为了方便管理,为财务部门创建 了一个域本地组 dlf,在服务器上赋予 dlf 组访问财 务数据的权限。这就是 A-DL-P。
现在大连的公司财务部门出了一点问题,需要 从北京、上海各找 10 个人支援一下。这就要求北京 和上海公司的用户也可以访问该服务器上财务部的 资源,应该怎样设置组和权限?
Type User User User
Administer user accounts in the results box Description
DC之间用户和组数据的复制
自动复制
15秒复制 紧急复制(立即复制)
手动复制
在活动目录中使用组
介绍活动目录的组 使用全局组
使用域本地组
创建和删除一个UPN后缀
Active Directory Domains and Trusts Action View Tree Active Directory Domains and Trusts Properties Name Type UPN Suffixes contoso.msft domain.DNS Active Directory Domains and Trusts nwtraders.msft domain.DNS The names of the current domain and the root domain contoso.msft Connect to Domain Controller… are the default user principal name (UPN) suffixes. nwtraders.msft Operations Master… Adding alternative domain names provides additional logon security and simplifies user logon names. View Refresh Export List… Properties Help If you want alternative UPN suffixes to appear during user creation, add them to the following list. Alternative UPN suffixes: contoso.msft
Create in: DN = Full Name + Path
First name:
Suzan Fine Suzan Fine
Last name:
Full name:
displayName
@contoso.msft
User logon name: suzanf
userPrincipalName samAccountName
执行公共的管理任务
Active Directory Users and Computers Console Window Help Action View
Tree
Active Directory Users and Computers contoso.msft Accounting Builtin Computers Domain Controllers Users
Group
用户登录名
zhangsan@contoso.msft
用户主名 用户主名前缀 用户主名后缀
Prefix contoso domain
@
Suffix zhangsan
用户登录名 用户登录时必须选择域
+
user name
用户登录名唯一性原则 全名在创建用户帐号的容器内必须唯一 用户登录名在域中必须唯一 用户主名在目录林中必须唯一 例如: tom@contoso.com 是用户主名,在林中唯一, tom是登录名
Create in:
DN = Full Name + Path
First name: Last name: Full name: Suzan Fine Suzan Fine
displayName
@contoso.msft
User logon name: suzanf
userPrincipalName samAccountName
File Edit View Help
Find: Users, Contacts, and Groups
In:
Entire Directory
Entire Directory contoso Accounting
Browse...
Users, Contacts, and Groups Advanced
Group Group Group Group Group
使用全局组(Global)
Global Group Rules
成员资格
包含来自同一个域的用户帐号和全局组 全局组可以是任何一个域中的通用和域本地组,以及 同一个域中的全局组成员 全局组在域和所有信任域可见 目录林中所有域 Add
成员属于 作用范围 权限范围
User logon name (pre-Windows 2000): suzanf ASIA\
< Back
Next >
Cancel
使用dsadd.exe 等程序
dsadd.exe----------------添加账户 dsmod.exe---------------修改账户信息
dsrm.exe------------------删除账户
添加用户的工具
Active Directory Users and Computers Csvde and Ldifde Tools
Directory Service Tools
Windows Script Host
Dsadd
Dsmod Dsrm
成批导入程序
User information
Global Group
通用组在目录林中的所有域都 是可见
目录林所有域
权限范围
使用域本地组(Domain Local)
Domain Local Group Rules
成员资格
可以包含目录林中的任何域的用户帐号、全局组和通 用组,以及同一域的域本地组。
成员属于 作用范围 权限范围
域本地组可以是同一域中的域本地组 域本地组只在它自己的域中可见 域本地组位于其中的域 Add Global Group Add