域用户账户和组
域用户
Windows2003所支持用户类型
1.
本地用户
1)
存储在本地计算麻风打开地帐号数据库中
2)
本地用户只可访问本地计算机的资源
3)
本地用户登录本机由本地计算机的SAM来审核
2.
域用户
1)
域用户存储在域数据库中
2)
域用户可访问域中允许的资源
3)
域用户创建后会被复制到额外域控制器上。
域用户在域内一台计算机登录后,当他们连接域内的其他计算机时,并不需要再次登录到其他计算机上,这个只需要登录一次的功能,称为单一登录。本地用户不具备单一登录功能。
实践:1
、创建域用户:
注意事项:
1)
DC上不能创建本地用户;
2)
利用“AD用户和计算机”建立并管理域用户账户;
2、使创建的用户能够从DC本机登录
默认情况下,只有某些特殊组内账户有权限从DC上登录。所创建的普通用户不能够从DC本机登录,须通过以下设置才可:
1)
管理工具——域控制器安全策略——Windows 设置——安全设置——本地策略——用户权限指派——允许本地登录——添加用户和组;
2)
开始——运行—— gpupdate /target:computer /force
注:若为win2000 DC则运行:secedit /refreshpolicy machine_policy
3、域用户账户的管理
1)
域用户账户的属性设置;
2)
域用户账户的禁用、启用、重命名及删除等。
域组账户
l
域组的类型
1、
安全组:主要用来设置权限用的。也可用在与安全无关的任务上,如: 通过E-mail软件将E-mail发送给某个分布式组。
2、
分布式组:用在与安全无关的任务上。如:通过E-mail软件将E-mail发送给某个分布式组,(应用程序须支持AD才可使用分布式组)。无法设置分布式组的权限。
l
域组的使用领域
从组的使用领域来分,win2003域组可分为以下三类:
u
全局组
u
本地域组
u
通用组
1、
全局组:
1)
成员范围:只能包含所属域内的用户和全局组;
2)
可访问资源范围:可以访问所有域的资源。
2、
本地域组
1)
成员范围:所有域内的用户、全局组、通用组,所属域内的本地域组;
2)
可访问资源范围:只可访问所属域的资源。
3、
通用组
1)
成员范围:所有域内的用户、全局组、通用组;
2)
可访问资源范围:可以访问所有域的资源。
注:1)域功能级别为win2000混合模式时不支持通用组;
2)域功能级别为win2000混合模式时不支持全局组嵌套。
实践:
1、域组的创建、添加组成员;
2、域组的管理、删除与更名。
提升域功能级别
必须域功能级别提升到win2000纯模式或win2003,才可拥有通用组和组嵌套功能。
步骤:开始——程序——AD用户和计算机——右击域名称——提升域功能级别。
注:域功能级别被提升后就无法再改回。
组的使用准则(
AGDLP
策略)
为了让网络管理更为容易,同时也为了减轻网络维护的负担,因此在利用组来管理网络资源尤其是大型网络时,建议采用AGDLP准则:
先将用户账户(A)加入到全局组(G),再将全局组加入到本地域组(DL),然后设置本地组的权限(P)。
本文转自xubenxin 51CTO博客,原文链接:
http://blog.51cto.com/windows/14324
,如需转载请自行联系原作者
