windows_learn 002 用户管理和组策略
内容总览
域用户与组的管理
用户和组
用户登录名
添加用户工具
在活动目录中使用组
为何使用组?
全局组 Global Group Rules
域本地组 Domain Local Group Rules
通用组 Universal Group Rules
在域中使用组的策略
使用组的方针
组策略规划及部署
组策略规划及创建
组策略对象的工具
域用户与组的管理
概述
管理域用户账户
添加多个用户账户
域组账户
组的使用准则
用户和组
每个用户账号创建一个唯一的登录名
使用批处理创建多个用户
将用户分组,用以管理网络上的共享资源(简化授权次数)
为分层结构创建一个模型时,将组嵌入别的组中以减少管理任务
用户登录名
用户主名
1.用户主名前缀
2.用户主名后缀
用户登录名
1.用户登录时必须选择域
用户登录名唯一性原则
1.全名在创建用户账号的容器内必须唯一
2.用户主名在目录林中必须唯一
3.用户登录名在域中必须唯一
添加用户工具
AD用户和计算机
目录服务工具
Dsadd
Dsmod
Dsrm
Csvde 和 Ldifde 工具 (适合批量添加用户)
Windows 脚本宿主
在活动目录中使用组
介绍活动目录的组
使用全局组
使用域本地组
使用通用组
为何使用组?
1. 使用组可以简化权限的分配
2. 一个用户可以属于多个组
3. 组与组之间可以嵌套
4. 对组里的用户添加和移除不会产生碎片
组类型
安全组: 分配权限NTFS
通讯组: 群发邮件
作用域
本地域组
全局组
通用组
全局组 Global Group Rules
成员资格 包含来自同一个域的用户账号和全局组
成员属于 全局组可以是任何一个域中的通用和域本地组,以及同一个域中的全局组成员
作用范围 全局组在域和所有信任域可见
权限范围 目录林中所有域
全局组用来
主要用来组织对象的, 不会用来做授权
域本地组 Domain Local Group Rules
成员资格 可以包含目录林中的任何域的用户账号全局组和通用组,以及同一域的域本地组。
成员属于 域本地组可以是同一域中的域本地组
作用范围 域本地组只在它自己的域中可见
权限范围 域本地组位于其中的域
通用组 Universal Group Rules
成员资格 可以包含来自目录林中的任何域的用户和账号全局组和其它通用组
成员属于 可以是任何域中的域本地和通用组成员
作用范围 通用组在目录林中的所有域都是可见
权限范围 目录林所有域
在域中使用组的策略
使用全局和域本地组
AGGDLP
1. 添加域用户账号到全局组 User Accounts --> Global Group
2. (optional) 把一个全局组添加到另一个全局组 Global Group --> Global Group
3. 把全局组添加到一个域本地组 Global Group --> Domain Local group
4. 赋予相应权限给相应的域本地组 Domain Local group
AGUDLP
1.把用户账号添加到全局组 User --> Global Group
2.把一个全局组嵌套到另一个全局组中 Global Group --> Global groups
3.把全局组嵌套到通用组中 Global Group --> Universal Group
4.把通用组添加为资源创建的域本地组 Universal Group --> Domain Local Group
5.把组中用户的合适权限分派给域本地组 Permissions --> Domain Local Group
使用组的方针
将负责日常工作的用户添加到全局组
针对共享资源的访问创建创建全局组
将需要访问这些资源的全局组添加到相应的域本地组
使用通用组可以访问多个域的资源
通用组的成员相对稳定时使用通用
组策略规划及部署
本章重点
何谓组织单位
规划组织单位
管理组织单位
管理组织单位的成员
委派控制
组织单位与委派控制
组织单位(Organizational Unit)
2000之后才出现的对象,在AD域的逻辑架构中担任重要的角色
何谓组织单位
在Windows NT的时代,域(Domain)是组织和管理网络的最小单位。
倘若不同的部门有不同的安全需求与管理方式,往往因此使得将整个公司划分
成多个域。可是这种多域的架构,在管理与成本都会增加负担。
为了解决这类的问题,微软公司在AD域中增加了组织单位这种对象,使得整个
域的规划与管理更有弹性,能发挥分层负责、授权管理的优点。
组织单位是一种容器
能包含其它对象的对象便称为容器(Container),既然组织单位是一种容器,自然也能包含其
它对象。
它可以包含以下9种对象:
用户、计算机、 组、 打印机、 共享文件夹
联络人、 组织单位、 InetOrgPerson、 MSMQ路由别名
但是要记得一点--单位仅能包含同域内的对象,不能包含其它域的对象
组织单位与组的差异
初次接触组织单位时,许多用户会将它与“组”混淆,虽然两都都是应用在AD域的逻
辑架构中,但是在使用上有以下的差异:
一个用户可以属于多个组,但只能隶属于一个组织单位。
组织单位可以包含组,但是组不能包含组织单位。
网络资源(例如:文件夹或打印机)的权限可以赋予组,但是不能赋予组织单位。
规划组织单位
如何规划组织单位的架构,是一个颇有挑战性的课题。然而并无一定的准则,主
要视企业实际需求而定。
以下列举几种常见的规划模式:
基于地理位置 (中国、法国、挪威)
基于功能 (销售、市场、咨询)
基于组织 (制造业、工程师、研究员)
基于混合型的示例
组织(位置)
功能(组织)
位置(功能)
委派控制
简单地说,所谓委派控制(Delegation) 便是授权!系统管理员可利用它来将例行的管理工
作,委派给特定的对象来执行,以减轻自己的负担。
执行委派控制时应注意以下3个要点:
委派的范围:将多大的范围(站点、域或组织单位)委派出去
委派的对象:委派给谁
委派的内容:委派多大的权限出去。
给委派的用户一个工具,使其可自行操作
在域控运行mmc 文件添加管理单位--》添加相应的单元即可
添加后 点击需要管理的相应OU,右键从这里创建窗口
新建任务面板
组策略规划及创建
组策略运行在Windows Server 2008、 Windows Vista、 Windows Server 2003和
Windows XP的计算机上启用基于Active Directory的用户和计算机设置更改和配置管理。
除了使用组策略为用户和计算机组定义配置以外,还可以配置很多服务器特定的操作
和安全设置以便使组策略帮助管理服务器计算机。
组策略组件
Group Policy Object GPO
Contains Group Policy settings
Stores content in two locations
Group Policy Container
Stored in Active Directory
Provides version information
Group Policy Template
Stored in shared SYSVOL folder
Provides Group Policy settings
组策略对象的工具
默认组策略工具
Active Directory 用户和计算机
域和组织单位组策略对象
Active Directory 站点和服务
站点组策略对象
本地安全策略
本地计算机安全设置
附加工具
组策略管理
域、组织单位和站点组策略对象
组策略配置后需要Link到OU上才可以生效
组策略的应用顺序由高到低
子OU策略
父OU策略
域策略
站点策略
本地策略
组策略什么时候应用?
computer starts
Computer settings applied
Startup scripts on
User logs on
User settings applied
Logon scripts run
本文转自Winthcloud博客51CTO博客,原文链接http://blog.51cto.com/winthcloud/1912419如需转载请自行联系原作者
Winthcloud
