欢迎来到天天文库
浏览记录
ID:38562687
大小:1.54 MB
页数:64页
时间:2019-06-15
《管理ActiveDirectory组对象和组策略》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第4章管理ActiveDirectory组对象和组策略组是用户或计算机账号的集合。通过使用组可以将权限分配给一组用户而不是单个用户账号。当将权限分配给组时,组的所有成员都将继承那些权限,这样可以简化网络管理。组中可以包含用户,计算机组,打印机,共享文件夹;一个用户可以是多个组的成员;新设的组的权限:用户新添加入组,所得权限须在重新登录后才有作用。工作组中的组和域中的组工作组中的组创建在非DC的计算机上;驻留在SAM数据库中;只能访问本地资源。域中的工作组只在DC上;在AD中;访问域中的计算机中的资源。第一节本地组一、本地组类型1.本地组(
2、LocalGroups)本地组可以在任何一台基于WindowsServer2003的非DC计算机上创建,通过将用户加入到相应的本地组赋予相应的权限,就可以控制用户对本地计算机上资源的访问。本地账户信息是放置在创建该组的计算机内的数据库中,因此其作用范围只限于在创建该本地组的计算机上。2.内置组(Built-inGroups)在安装运行WindowsServer2003的独立服务器或成员服务器时,会自动创建内置组。内置组具有一些特定的事先赋予的权力,用以完成某些特定的系统任务。内置组不能被删除,其作用范围也仅限于其存在的计算机上。二、实现本
3、地组策略将组、用户、资源及权限组合在一起而实现对资源访问的管理称之为组策略。本地组策略就是先将具有相同属性的用户账号加入到一个本地组当中去,再针对某些资源赋予这个本地组相应的访问权限,这样就可以达到一次操作而为多个用户赋予访问资源的权限。三、创建本地组用本地计算机的Administrator组或AccountOperators组的成员身份登录,打开“计算机管理”新建组对话框右击“组”,在弹出的快捷菜单中选择“新建组”计算机管理窗口中可以看到新创建的组组属性对话框双击新建的组的图标添加组对象选择用户组属性列表中会看到刚才添加的用户第二节域模
4、式中的组一、域模式组类型1.通讯组可以使用通讯组创建电子邮件通讯组列表,只有在电子邮件应用程序(如Exchange)中,才能使用通讯组将电子邮件发送给一组用户。2.安全组使用安全组给共享资源指派权限。可以:将用户权限分配到ActiveDirectory中的安全组给安全组指派对资源的权限用户权利与用户权限的区别:权限(permission)控制用户对资源(如文件、文件夹或打印机)所做的操作。当分配权限时,就给了用户访问资源的权利并定义了他们的访问类型。权利(right)是指可以让用户执行的系统任务,如更改计算机上的时间、备份、恢复文件或本地
5、登录等。3.安全组和通讯组之间的转换组都可以从安全组转换为通讯组,反之亦然。3.安全组和通讯组之间的转换当域功能级别设置为Windows2000本机或更高模式的情况下,安全组和通迅组之间可以相互转换。当域功能级别被设置为Windows2000混合模式时,不可以转换组。二、域模式中的组的作用域作用域用来确定在域树或林中该组的应用范围。有三类不同的组作用域:全局组作用域、本地域组作用域和通用组作用域。全局组(Globalgroup)全局组的成员是对网络具有相同访问权限的用户;全局组的作用范围是整个域树可以加到本域或其它域的本地域组、通用组中;
6、可以加到本域的全局组中(仅限在本机模式中有效)。域本地组(Domainlocalgroup)混合模式下,可包括域任何域的用户账号和全局组;本机模式下,还包括通用组。混合模式下,不能加到其它任何组中。本机模式下,可以加入到本域的域本地组中。本机模式是指域中的所有域控制器都是基于Windows2000或WindowsServer2003时,该模式支持所有的组类型。混合模式是指域中的域控制器包含非Windows2000和WindowsServer2003的计算机。在该模式下不可创建通用组。通用组(Universalgroup)在混合模式下不可用
7、,只在本机模式下可用;为多个域中的相关资源授权;开放的成员关系:可以包含所有的用户和组(不含本地组);可加入任何域中的域本地组或通用组。二、规划全局组和域本地组1.何时使用具有本地域作用域的组具有本地域作用域的组可帮助定义和管理对单个域内资源的访问。本地域组的成员可以是:具有全局作用域的组、具有通用作用域的组、具有本地域作用域的其他组的账号、上述任何组或帐号的混合体。2.何时使用具有全局作用域的组使用具有全局作用域的组管理那些需要每天维护的目录对象,如用户和计算机帐号。因为有全局作用域的组不在自身的域之外复制,所以具有全局作用域的组中的帐
8、号可以频繁更改,而不需要对全局编录进行复制以免增加额外通信量。3.何时使用具有通用作用域的组使用具有通用作用域的组来合并跨越不同域的组。为此,请将帐号添加到具有全局作用域的组并且将这些组嵌套在
此文档下载收益归作者所有