6域用户和组的建立和管理讲解

内置的本地组

建立在独立，成员服务器和工作站上，具 备管理本地计算机的权限。
• Administrator • Backup Operators • Users • Guests • Power Users
内置的系统组

位于每台Win2000计算机内，无法在“Active Directory 用户和计算机”或“计算机管理”内看到，管 理这些组，只有资源添加权限时才看得到。
域账户的属性




每一个域用户账户都有一些相关的属性可供设置。例如：用户的地址、电话、电子邮件、账户有效 期限等。将用户的这些信息输入完毕后，就可以让其他的用户通过这些信息来查找Active Directory内的用户。 单击该用户—单击鼠标右键—属性 用户个人信息的设置 ＂常规＂ 、＂地址＂ 、＂电话＂ 、＂单位＂ 账户信息的设置 ＂账户＂ 登录时间的设置 注：当用户在允许使用的时段内登录连接，并且一直连接超过允许使用的时段时，此时可能会发生 两种情况： 1.用户可以继续访问已连接的资源，但不允许再进行任何新的连接，而且用户注销后，就无法 再次登录。 2.强迫中断用户的连接。 至于会发生哪一种情况，根据在： 1、管理工具—域控制器安全策略—计算机配置—Windwos设置—安全设置—本地策略—安全选项 （当登陆时间用完时自动注销用户） 2、Active Directory 用户和计算机—域名（属性）—组策略—编辑—Windwos设置—安全设 置—本地策略—安全选项（当登陆时间用完时自动注销用户） 3、限制用户只能从某些工作站登录，＂登录到＂按钮
组的建立

组是一组帐号的标识，为了方便管理，可以将一组相同性质的帐号加 入到一个组里。如果利用组来管理用户账户，那么，就不用对相同属 性的帐号分别设定，从而减轻许多网络管理的负担。 组的类型： a：安全组 主要是且来设置权限用的。 b：分布式组 分布式组是用来与安全(权限的设置等)无关 的任务上。 组的使用范围：
• 当用户利用本地用户账号登录时，这台计算机是利用本地安全数据库来 检查、审核用户名和密码是否正确。 • 本地用户帐户只能在本机登陆访问本地资源，无法访问网络上其它计算 机内的资源
内置账号


.administrator（系统管理员）：拥有最 高权限，可以改名,不可删除。 2.guest（来宾）：供用户临时使用的帐户。 权限很小，可以改名，不可删除，默认停 用。

例如：如果添加具有系统管理员权限的帐户时，并且为了便于管理， 最好将其加入Domain Admins全局组，而不要直接加入 Administrator本地组内，因为Domain Admins全局组还可以加入 到其他的组内，而Administrator本地组只能被加入到同一个域的其 他的本地组内，后者局限性较大，缺乏弹性。
• Domain Users：系统会自动将此组嵌套到Users本地域组内，以后所 有添加的域用户帐户都自动属于此Domain Users全局组。 • Domain Guests：系统会自动将此组嵌套到Users本地域组内。

Enterpris Admins：如果希望某个用户具备管理整个网络的权利， 则可以将此用户加入此组中，然后将此组加入到每个域的 Administrator本地组内。
• Everyone：任何一个访问此计算机的用户都属于此组。如果 Guest帐户被启用时，指派权限给Everyone组时要小心，因为任 何一个没有帐户的用户访问资源时，他会利用Guest帐户访问， 从而具有Everyone组拥有的权限。 • Authenticated Users：任何一个利用有效的用户帐户来连接 的用户，都属于此组。 • Interactive：任何在本地登陆的用户，都属于此组。 • Network：任何通过网络来连接此计算机的用户，都属于此组。
六、域用户和组的建立和 管理
每个用户使用网络中的资源，都必须拥有一个 帐户，以便利用该账号登录到域网络，另外， 还可以设置可以使用哪些资源，不可以使用哪 些资源。帐户是用户登陆网络的一个标识，它 是存储在帐号数据库中。
账号类型


域用户账户：域用户账户在域控制器的Active Directory数据库存内。 用户可以利用域用户账户来登录域，并利用它访问网络上的资源。 1.当用户利用域用户账户登录时，由域控制器来审核用户 输入的账户密码是否正确。 2.将用户账户建立在某台域控制器内后，该账户会自动复 制到同一个域内的其他所有域控制器内，因此当该用户登录时，此域 内的所有域控制器都可以负责审核用户的身份，也就是检查用户输入 的账号与密码是否正确。 2、本地用户账户：本地用户账户建立在Windows2000独立服务器， 成员服务器或Windows 2000 Professional的本地安全数据库内， 而不是域控制器内。
• 全局组：包含本域内的用户帐户和全局组，经过资源权限的设置后，全 局组可以访问任何一个域内的资源。 • 本地组：包含任何域内的用户，全局组，通用组和本地域的本地组，但 是不包含其它域内的本地组。只能访问本域中的资源，不能访问其他域 的资源。

3、通用组：包含任何一个域内的用户帐户，全局组和通用组，但是 不包含任何一个域内的本地组。可以访问任何一个域内的资源。
更改域的模式

windows 2000 的域模式分为混合模式两种。当建立好域后，系统 默认的模式为混合模式。这种模式是兼容于windows NT的模式，可 以将其更改为本机模式，以便享有windows 2000 所提供的特色。 ◇.不支持通用组。 ◇.只有本地组可以包含全局组，而且是单一的嵌套，不支持其它的 嵌套，例：不支持将全局组包含到其他全局组内。 ◇.支持所有的组。 ◇.支持所有的嵌套，而且支持多层次的嵌套。 步骤：管理工具—Active Directory 用户和计算机—单击域名—右 键属性—更改模式。（过程不可逆）
域组的建立

在域控制器上，通过管理工具—Active Directory 用户和计算机—单击域名—新 建—组。
本地组的建立

在独立，成员服务器和工作站上，管理工 具—计算机管理—系统工具—本地用户和 组。
内置的本地域组

• • • • • •

管理工具—Active Directory 用户和计算机Baidu Nhomakorabea展开域名— Builtin。
Administrator：具备系统管理员的权限，拥有整个域最大的控制 权。默认包含内置Administrator，Domain Admin全局组， Enterprise Admin全局组。 Server Operators：此组员拥有管理域控制器的权利。 Account Operators：此组员拥有管理域内帐号和组的权利。 Printer Operators：此组员管理域控制器上的共享打印机，也可 以将域控制器关机（shutdown）。 Backup Operators：此组员用来备份和还原域控制器内的数据， 也可以将域控制器关机（shutdown）。 Users：给此组指派适当的权利，以便让此组中的用户访问域中资 源。
• 本机模式：此模式中，所有的域控制器必须都是Windows2000计算机， 其他成员可以包含WindowsNT系统。特点： • 混合模式：此模式中，域控制器可以包含WindowsNT系统。特点：



组的应用


1.在单域的网络环境下，配置用户访问资源最好的方法： ①.建立一个全局组， 然后将具备相同权限的用户帐户加入到此 组中。例如：将业务部所有的用户帐户加入到bbw全局组内。 ②.建立一个本地组，设置此组对资源具备适当的权限。例如：给 一台共享彩色打印机建立一个ColorPrinter的本地组。 ③.将所有访问此资源的全局组加入到本地组中。例如：将BBW 全局组加入到ColorPrinter本地组内。 ④.给本地组适当的权限。例如：给予ColorPrinter本地组对此 彩色打印机打印的权限。 ◆.如果将用户帐户加入到本地组内，然后直接设置此组对资源的访 问权限。缺点是：无法在其他域内设置此本地组的权限。 ◆.如果将用户帐户加入到全局组内，然后直接设置此组对资源的访 问权限。缺点是：如果网络包含多个域，而且每个域内都有一些全局 组需要对此资源具备相同的权限，则必须分别替每个全局组设置权限， 会增加网络管理负担。
Guests：跟Users组成员有同等的访问权利，但来宾帐号的限 制更多。
内置的全局组

管理工具—Active Directory 用户和计算机—展开域名—Users。内 置的全局组本身没有任何的权限，但是你可以把它加入到具备权限的 本地域组里，或者直接指派给全局组。
• Domain Admins：系统会自动将此组嵌套到Adminiatrator本地域组， 所以此组内的每个成员也都具备管理员的权限。
域账户的建立



必须使用＂Active Directory用户和计算机＂管理单元来 建立域用户账户。 方法：开始—程序—管理工具—Active Directory用户和 计算机。 必须选择一个组织单位（ou），¸ 以便将用户 账户建立到此组织单位内。可以将账户建立在内置的 User组织单位或其它自行建立的组织单位内。 注意：所建立的域用户账号，可以用来在成员服务 器或Windows 2000 Profession的计算机登录，但是它 却无法在域控制器登录，除非他被赋予＂本地登录＂的权 限，可利用组策略来进行设置，可运行以下命令使策略能 尽早生效。 Secedit /RefreshPolicy MACHINE_POLICY

Creator Owner：资源的所有者。