简介
前面课程中介绍了域的相关概念和部署域的方法,本章主要介绍域的基本管理,包括如何对账户,组及OU进行管理,如何用ADDS管理工具管理活动目录。
1. 域用户、组和 OU 的管理
在域控制器安装完成后,我们就可以在上面对用户账户,组等活动目录对象进行创建,修改、删除等操作,实现对整个域的管理和控制。
1.1 域用户账户的管理
域用户账户代表物理实体,如人员,还可以将域用户账户用于某些应用程序的专用服务账户。
域用户账户主要用于以下两个方面。
验证用户的身份。
使用域用户账户,用户可以使用能够通过域身份验证的身份登录到域。每个登录到网络的用户都应该有自己唯一的用户账户和密码,为了在最大程度上保证安全,请避免多个用户共享一个账户授权或拒绝对域资源的访问。
在验证用户身份之后,基于为该用户分配的权限,授予或拒绝用户对域资源的访问,
1.创建域用户账户
创建一个域用户账户需要考虑以下几方面,
1)域用户账户的命名规则
命名规则规定了如何在域中识别用户,统一的命名规则将有利于管理员和用户记忆用户登录名称和在列表中定位,例如,可以按员工姓名的拼音命名,命名域用户账户要注意以下几个方面。
唯一用户登录名:域用户账户的用户登录名在域中必须是唯一的,域用户账户的显示名在其所在的组织单位(OU)中必须是唯一的。
最长20字符:域用户登录名(Windows2000以前版本)最多可以包含20个字符(字母不区分大小写)。在WindowsServer2016中为非硬性规定。
非法字符:域用户账户名称不能出现以下字符:<>?/\;:=.+[]*@",在Windows Server2016中会将以上特殊符号强制转换为“_”。
2)域用户账户的密码规则
为保护域用户账户的安全,每个域用户账户应该具有一个安全的密码。设置安全密码需要考虑以下准则。
管理员账户必须设置复杂的密码,并且要尽量减少知道此密码的人数。
避免使用电话号码,人名、地址、英文单词等作为密码,可以使用这些信息的组合。
密码长度设置应长一些,至少7位,
密码应该有一定复杂性,应该包括大小写字母,数字和特殊符号组合,如a&3Dx!Kq.
创建域用户账户的步骤如下:
(1)打开“ActiveDirectory用户和计算机”控制台,然后右击“Users”,在弹出的快捷菜单中选择“新建”→“用户”命令,在打开的“新建对象一用户”对话框中输入用户姓名等相关信息,如图所示,然后单击“下一步”按钮,输入并确认用户密码,如图所示,
(2)当用户账户创建完成后,可以使用域账户从任意一台已经加入域的计算机进行登录,如
图所示,
案例某公司已经部署了WindowsServer2016域,拥有一台文件服务器fileserver,现在需要授
予用户zhangsan对共享文件夹share的读取权限,希望用户登录域后不必再次输入用户名和密码即可访问共享。
具体操作步骤如下所述。
(1)将文件服务器fileserver加入到benetcom域。
(2)使用管理员账户登录到文件服务器,打开文件夹share的属性对话框,在“共享”选项卡中设置共享权限,在如图所示的界面中输入域用户账户“zhangsan,然后单击“添加”按钮,
(3)在图3.5中可以看到用户“zhangsan”的权限为“读取”,单击“共享”按钮,完成共享设置,
(4)使用域用户账户zhangsan从客户机Client01登录到域,然后访问fileserver上的共享文件夹
share无须提示用户输入密码即可直接访问,如果登录到本机在访问fileserver上的共享文件夹share
时,需要输入域用户账户zhangsan和密码才可以访问。
2.配置域用户账户属性
在域用户账户属性中允许设置账户的各种属性,如图所示,下面介绍几种比较重要的账户
登录时间:用来限制用户登录到域的时间。Windows Server2016给出图形化界面让用户选定有效的登录时间,这样可以在某些时间段内,禁止用户使用域账户登录网络。例如,将用户账户设定为只有周一至周五可以登录公司网络,如图37所示。
登录到;定义了账户可以登录的计算机范围列表,可选择允许用户账户从所有的计算机上登录,或限定用户只能在列表中的计算机上登录。这样可以限制用户账户的登录位置,如图所示,
账户过期:规定了用户账户是否存在使用过期的限制,如果存在过期限制,就要设定过期时间,过期的账户是不能再登录本网络系统的,如图 3.6所示,例如,对公司中某些外借技术人员,管理员可以对他们的账户设定时间期限。临时借用期满之后,用户账户便会自动失效。
域用户在客户机登录以后,对于客户机而言该用户只是本地 Users
组的成员,很多操作都没有权限去执行,如设置共享。因此可以根据具
体需求把城用户加入本地其他的内置组中(如PowerUsers),以提升域
用户的权限。
1.2 组的管理
1.组的类型
在Windows Server 2016活动目录中有两种类型的组:安全组和通讯组,如图所示,
安全组:管理员在日常管理中很少专门为用户账户设置自己独特的访问权限,而是将用户账户加入到相应的安全组中,管理员通过赋予安全组访问资源的权限,而使得安全组所包含的用户也具有相应的权限。使用安全组而不是单独的用户可简化网络的维护和管理工作。通讯组,诵讯组没有安全方面的功能,只能用干电子邮件的通信其中可以包含联系人和用户账户,只有在电子邮件应用程序(如Exchange)中,才能使用通讯组将电子邮件发送给一组用户。
一般情况下,管理ActiveDirectory时使用的都是安全组,如无明确
说明,本课程后面所有和域中的组相关的内容都指的是安全组。
2.组的作用域
在创建组时,有3种组作用域:本地域、全局和通用。作用域用来确定组的使用范围,如图所示。
本地域组:具有本地域作用域的组(本地域组)的使用范围是本域。通常是针对本域的资源创建本地域组。
全局组:具有全局作用域的组(全局组)的使用范围是整个林及信任域,通常使用全局组来管理需要进行日常维护的目录对象,如用户账户和计算机账户。
通用组:具有通用作用域的组(通用组)的使用范围是整个林和信仟域,这一点和全局组相似。那么通用组和全局组有什么差别呢?在多域环境中,通用组成员的身份信息记录在全局编录中,而全局组成员身份存储在每个域中,在多域环境中,相比较而言,通用组成员登录或者查询速度较快。
不应频繁更改通用组成员身份。因为对这此组成员身份的任何更改
都将引起整个组的成员身份再复制到森林中的每个全局编录中,增加了
复制的流量。
1.3组织单位的管理
一个域中有很多种类的对象,如用户账户,组、计算机账户、共享文件夹和打印机等,它们的数量很大,要在一个平面内有条理地管理所有对象非常困难,域中的组织单位(OU)提供了一种解决方案,它采用逻辑的等级结构来组织域中所有的对象,方便管理。
1.OU 的概念
域中包含的一种特别有用的目录对象类型是OU(Organizational Unit,组织单位)OU是Active
Directory中的容器,可以在其中放置用户组,计算机和其他0U.OU不能包含来自其他域中的对象。
为了有效组织活动目录对象,可以根据公司业务模式的不同来创建不同的OU层次结构。以下是
几种常见的设计方式。
基于部门的OU,为了和公司的组织结构相同,OU可以基干公司内部的各种各样的功能部门创建,如行政部、人事部、工程部,销售部,财务部等。
基于地理位置的OU:可以基于每一个地理位置创建 OU,如北京,上海,广州等,
基于对象类型的OU:在活动目录中,将各种对象分类,为每一类的对象建立OU,如用户计算机、打印机,共享文件夹等。这种层次结构的OU使管理员可以快速地定位到需要管理的对象,OU的设计也可以是混合的。例如,可以先在域中创建部门OU为“销售部”,然后在“销售部”OU下创建两个子OU,“用户”OU和计算机00,在用户0U中存放本部门所有的用户账户在“计算机”OU中存放本部门所有的计算机账户。
在活动目录中,默认已经建立了一个名称是Domain Controllers的OU,用于存放域控制器,
2.OU 的管理
1)创建OU
下面介绍如何新建一个名为“销售部”的OU.
打开“Active Directory用户和计算机”控制台,右击域名“benetcom”,在弹出的快捷菜单中选择
“新建”一“组织单位”命令,输入组织单位名称“销售部”,如图所示,单击“确定”按钮。
OU的图标和其他容器的图标略有不同,如图3.11所示,图中有Domain Controllers和销售部两个OU。
创建好OU之后,就可以在OU下创建其他活动目录对象,或者将现有的活动目录对象移动到
OU中。例如,某员工调往了销售部,现在需要把他的账户移动到“销售部”OU 中,就可以右击该
账户,在弹出的快捷菜单中选择“移动”命令,在打开的“将对象移到容器”对话框中选择“销售\部”OU,如图3.11 所示,单击“确定”按钮。
2)删除OU
如果要删除图3.10中的“销售部”OU,可以右击该OU,在弹出的快捷菜单中选择“删除”命
令,然后选择确定删除该OU,出现如图3.12的提示框,提示无法删除该OU。
虽然已经使用了管理员权限来进行该操作,但是在创建OU的时候系统默认勾选了“防止容器
被意外删除”复选框,如图3.10所示,所以我们无法删除该OU。这样可以防止OU被误删除。
可以使用如下步骤将OU删除。
(1)打开“Active Directory 用户和计算机”控制台,选择“查看”→“高级功能”选项,如图所示。
(2)右击“销售部”OU,打开该OU的属性,单击“对象”选项卡,取消勾选“防止对象被意外删除”复选框,如图所示,然后单击“确定”按钮,关闭该对话框,
(3)右击“销售部”OU,在弹出的快捷菜单中选择“删除”命令,该OU即被成功删除,