域用户账户和组

简介:


 域用户账户和组

 
  域用户
Windows2003所支持用户类型
1.          本地用户
1)         存储在本地计算麻风打开地帐号数据库中
2)         本地用户只可访问本地计算机的资源
3)         本地用户登录本机由本地计算机的SAM来审核
2.          域用户
1)         域用户存储在域数据库中
2)         域用户可访问域中允许的资源
3)         域用户创建后会被复制到额外域控制器上。
域用户在域内一台计算机登录后,当他们连接域内的其他计算机时,并不需要再次登录到其他计算机上,这个只需要登录一次的功能,称为单一登录。本地用户不具备单一登录功能。
 
实践:1 、创建域用户:
      注意事项:
1)         DC上不能创建本地用户;
2)         利用“AD用户和计算机”建立并管理域用户账户;
2、使创建的用户能够从DC本机登录
默认情况下,只有某些特殊组内账户有权限从DC上登录。所创建的普通用户不能够从DC本机登录,须通过以下设置才可:
1)                管理工具——域控制器安全策略——Windows 设置——安全设置——本地策略——用户权限指派——允许本地登录——添加用户和组;
2)                开始——运行—— gpupdate /target:computer /force
注:若为win2000 DC则运行:secedit /refreshpolicy machine_policy
            3、域用户账户的管理
1)   域用户账户的属性设置;
2)   域用户账户的禁用、启用、重命名及删除等。
 
  域组账户
l         域组的类型
1、  安全组:主要用来设置权限用的。也可用在与安全无关的任务上,如:       通过E-mail软件将E-mail发送给某个分布式组。
2、  分布式组:用在与安全无关的任务上。如:通过E-mail软件将E-mail发送给某个分布式组,(应用程序须支持AD才可使用分布式组)。无法设置分布式组的权限。
 
l         域组的使用领域
从组的使用领域来分,win2003域组可分为以下三类:
u        全局组
u        本地域组
u        通用组
              
1、  全局组
1)   成员范围:只能包含所属域内的用户和全局组;
2)   可访问资源范围:可以访问所有域的资源。
2、  本地域组
1)   成员范围:所有域内的用户、全局组、通用组,所属域内的本地域组;
2)   可访问资源范围:只可访问所属域的资源。
3、  通用组
1)   成员范围:所有域内的用户、全局组、通用组;
2)   可访问资源范围:可以访问所有域的资源。
                注:1)域功能级别为win2000混合模式时不支持通用组;
                    2)域功能级别为win2000混合模式时不支持全局组嵌套。
             
实践: 1、域组的创建、添加组成员;
                      2、域组的管理、删除与更名。
              
  提升域功能级别
       必须域功能级别提升到win2000纯模式或win2003,才可拥有通用组和组嵌套功能。
         步骤:开始——程序——AD用户和计算机——右击域名称——提升域功能级别。
           注:域功能级别被提升后就无法再改回。
 
组的使用准则( AGDLP 策略)
   为了让网络管理更为容易,同时也为了减轻网络维护的负担,因此在利用组来管理网络资源尤其是大型网络时,建议采用AGDLP准则:
 先将用户账户A加入到全局组G,再将全局组加入到本地域组DL,然后设置本地组的权限P



      本文转自xubenxin  51CTO博客,原文链接: http://blog.51cto.com/windows/14324 ,如需转载请自行联系原作者




相关文章
|
安全 数据安全/隐私保护 Windows

热门文章

最新文章