AD域权限设置PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机账户的属性
计算机账户的属性对话框
管理组帐户
创建组 管理组成员身份 使用组应用策略 更改组 使用默认组
创建组
组 域功能级别 全局组 通用组 域本地组 本地组 组的创建位置 组命名规则
组
组使管理员能够一次性对资源分配权限,从而简化管理
组
组的特点是根据作用域和类型来定义 组作用域的判断主要考虑是否需要扩展到多个域或限 制在一个域中
Guests
拥有一个在登录时创建的临时配置文件,在注销时该配置文件将被删除
Network Configuration Operators
Power Users
Print Operators
Users
可以更改 TCP/IP 设置并更新和发布 TCP/IP 地址
该组具有创建用户账户和组账户的权利,可以在 Power Users 组、 Users 组和 Guests 组中添加或删除用户,但是不能管理 Administrators组成员 可以创建和管理共享资源
创建本地和域服务账户 创建新的本地账户(不在本地登录)
DSADD
DSADD 是 Windows Server 2003 Server 新提供的 工具 DSADD 用于将计算机、联系人、组、组织单位或用 户添加到目录中 可通过输入 DSADD /? 获取如何使用该命令的详细 信息
用户账户的属性
用户账户的属性对话框
三种组作用域:全局、本地域、通用
组类型
描述
安全
常常用来分配用户权利和权限, 具有通讯组功能
分布ຫໍສະໝຸດ Baidu
仅仅能够与 电子邮件应用程序配合 使用,不能用来分配权限
组的作用域
通用组的成员可包括域树或森林中任何域中的其 他组和账户,可在该域树或森林中的任何域中指 派权限 全局组的成员可包括只在其中定义该组的域中的 其他组和账户,可在森林中的任何域中指派权限 域本地组的成员可包括 Windows Server 2003、 Windows 2000 或 Windows NT 域中的其他组和 账户,而且只能在域内指派权限
域功能级别
支持的域控 制器
支持的组作 用域
Windows 2000 混合模式 (默
认) Windows NT® Server 4.0, Windows Server 2000, Windows Server 2003
全局、本地域
Windows 2000 Windows 本机模式 Server 2003
Denver OU Admins
Denver OU Admins
成员
Denver Admins,
用户账户的密码选项
账户选项
描述
用户下次登录时须 用户必须在下次登录到网络时更改
更改密码
自己密码
用户不能更改密码 防止用户更改自己的密码
密码永不过期
防止用户密码过期
账户已禁用
防止用户使用选中的账户登录
要求或限制更改密码
选项
要求更改 密码
遇到以下情况,使用这个选项
创建新的域账户 重设密码
限制更改 密码
用户账户管理
用户账户 域用户账户名称 用户账户命名约定的制定准则 用户账户在 Active Directory 层次结构中的位置 用户账户的密码选项 要求或限制更改密码
用户账户
本地用户账户
(存储在本地计算机)
域用户账户
(存储在 Active Directory)
Windows Server 2003 域
混合模式:无 本机模式:同一域中的域本地组
仅在自己所在的域中可见
域本地组所属的域
本地组
成员
本地组规则 计算机的本地用户账户
可作为右边表格中所 示组的成员
无
内置组列表及说明
组名
描述信息
Administrators
具有完全控制权限,并且可以向其他用户分配用户权利和访问控制权限
Backup Operators 加入该组的成员可以备份和还原服务器上的所有文件
组命名规则
安全组:
在组名的命名约定中合并作用域 名称能够反映所属关系(部门或小组名称) 在组名的开头添上域名或其缩写 使用描述符来标识一个组所拥有的最大权限,例如:DL IT London OU Admins
通讯组:
使用短的别名 显示名称里不应包含用户的别名 一个通讯组最多由五个合作者管理
管理组成员
Windows
Server
Windows
2000,
Server
Windows
2003
Server 2003
全局、本地 全局、本地 域、通用 域、通用
全局组
成员
可作为右边表格 中所示组的成员
作用域 权限
全局组规则 混合模式:同一个域中的用户账户 本机模式:同一个域的用户账户和全局组
混合模式: 域本地组 本机模式: 任何域里的通用和域本地组, 以及相同域的全局组 在自己和所有信任的域里可见 林中所有域
“成员”和“隶属于”属性 演示 “成员”和“隶属于” 确定用户账户的从属组 在组中添加和删除成员
“成员”和“隶属于”属性
组或小组
全局组
域本地组
Tom、Jo 和 Kim
成员 无
隶属于 Denver Admins
Denver Admins
M成e员mbers
Tom, Jo, Kim
M隶e属mb于er Of
通用组
成员
可作为右边表格中 所示组的成员 作用域 权限
通用组规则 混合模式:不适用 本机模式:用户账户、全局组和森林中任何域 的其他通用组
混合模式:不适用 本机模式:任何域中的域本地组和通用组
森林中所有域都可见 森林中所有域
域本地组
成员
可作为右边表格中 所示组的成员 作用域 权限
域本地组规则
混合模式:任何域中的用户账户和全局组 本机模式:森林中任何域的用户账户、全局组 和通用组,以及同一域中的域本地组
可以管理打印机
可以执行一些常见任务,例如运行应用程序、使用本地和网络打印机以 及锁定服务器 用户不能共享目录或创建本地打印机
组的创建位置
在森林的根域、森林的任何其他域、组织单位创 建组 根据管理需要选择域或组织单位来创建组
例: 目录有多个组织单位,每个拥有不同的管理 员,可以为这些组织单位创建全局组
用户账户命名约定的制定准则
创建用户账户时应该考虑: 雇员重名 不同类型的雇员,例如临时雇员或合同雇员
用户账户在 Active Directory 层次结构中的位置
地理设计
North America Users
商业设计
Accounting Users
South America Users
Sales Users