windows_learn002用戶管理和組策略-創(chuàng)新互聯(lián)

windows_learn 002 用戶管理和組策略

成都創(chuàng)新互聯(lián)公司堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都網(wǎng)站設(shè)計(jì)、網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時(shí)代的興賓網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

內(nèi)容總覽

域用戶與組的管理

用戶和組

用戶登錄名

添加用戶工具

在活動(dòng)目錄中使用組

為何使用組？

全局組 Global Group Rules

域本地組 Domain Local Group Rules

通用組 Universal Group Rules

在域中使用組的策略

使用組的方針

組策略規(guī)劃及部署

組策略規(guī)劃及創(chuàng)建

組策略對(duì)象的工具

域用戶與組的管理

概述

管理域用戶賬戶

添加多個(gè)用戶賬戶

域組賬戶

組的使用準(zhǔn)則

用戶和組

每個(gè)用戶賬號(hào)創(chuàng)建一個(gè)唯一的登錄名

使用批處理創(chuàng)建多個(gè)用戶

將用戶分組，用以管理網(wǎng)絡(luò)上的共享資源（簡(jiǎn)化授權(quán)次數(shù)）

為分層結(jié)構(gòu)創(chuàng)建一個(gè)模型時(shí)，將組嵌入別的組中以減少管理任務(wù)

用戶登錄名

用戶主名

1.用戶主名前綴

2.用戶主名后綴

用戶登錄名

1.用戶登錄時(shí)必須選擇域

用戶登錄名唯一性原則

1.全名在創(chuàng)建用戶賬號(hào)的容器內(nèi)必須唯一

2.用戶主名在目錄林中必須唯一

3.用戶登錄名在域中必須唯一

添加用戶工具

AD用戶和計(jì)算機(jī)

目錄服務(wù)工具

Dsadd

Dsmod

Dsrm

Csvde 和 Ldifde 工具 （適合批量添加用戶）

Windows 腳本宿主

在活動(dòng)目錄中使用組

介紹活動(dòng)目錄的組

使用全局組

使用域本地組

使用通用組

為何使用組？

1. 使用組可以簡(jiǎn)化權(quán)限的分配

2. 一個(gè)用戶可以屬于多個(gè)組

3. 組與組之間可以嵌套

4. 對(duì)組里的用戶添加和移除不會(huì)產(chǎn)生碎片

組類型

安全組： 分配權(quán)限NTFS

通訊組： 群發(fā)郵件

作用域

本地域組

全局組

通用組

全局組 Global Group Rules

成員資格 包含來自同一個(gè)域的用戶賬號(hào)和全局組

成員屬于 全局組可以是任何一個(gè)域中的通用和域本地組，以及同一個(gè)域中的全局組成員

作用范圍 全局組在域和所有信任域可見

權(quán)限范圍 目錄林中所有域

全局組用來

主要用來組織對(duì)象的， 不會(huì)用來做授權(quán)

域本地組 Domain Local Group Rules

成員資格 可以包含目錄林中的任何域的用戶賬號(hào)全局組和通用組，以及同一域的域本地組。

成員屬于 域本地組可以是同一域中的域本地組

作用范圍 域本地組只在它自己的域中可見

權(quán)限范圍 域本地組位于其中的域

通用組 Universal Group Rules

成員資格 可以包含來自目錄林中的任何域的用戶和賬號(hào)全局組和其它通用組

成員屬于 可以是任何域中的域本地和通用組成員

作用范圍 通用組在目錄林中的所有域都是可見

權(quán)限范圍 目錄林所有域

在域中使用組的策略

使用全局和域本地組

AGGDLP

1. 添加域用戶賬號(hào)到全局組 User Accounts --> Global Group

2. (optional) 把一個(gè)全局組添加到另一個(gè)全局組 Global Group --> Global Group

3. 把全局組添加到一個(gè)域本地組 Global Group --> Domain Local group

4. 賦予相應(yīng)權(quán)限給相應(yīng)的域本地組 Domain Local group

AGUDLP

1.把用戶賬號(hào)添加到全局組 User --> Global Group

2.把一個(gè)全局組嵌套到另一個(gè)全局組中 Global Group --> Global groups

3.把全局組嵌套到通用組中 Global Group --> Universal Group

4.把通用組添加為資源創(chuàng)建的域本地組 Universal Group --> Domain Local Group

5.把組中用戶的合適權(quán)限分派給域本地組 Permissions --> Domain Local Group

使用組的方針

將負(fù)責(zé)日常工作的用戶添加到全局組

針對(duì)共享資源的訪問創(chuàng)建創(chuàng)建全局組

將需要訪問這些資源的全局組添加到相應(yīng)的域本地組

使用通用組可以訪問多個(gè)域的資源

通用組的成員相對(duì)穩(wěn)定時(shí)使用通用

組策略規(guī)劃及部署

本章重點(diǎn)

何謂組織單位

規(guī)劃組織單位

管理組織單位

管理組織單位的成員

委派控制

組織單位與委派控制

組織單位(Organizational Unit)

2000之后才出現(xiàn)的對(duì)象，在AD域的邏輯架構(gòu)中擔(dān)任重要的角色

何謂組織單位

在Windows NT的時(shí)代，域(Domain)是組織和管理網(wǎng)絡(luò)的最小單位。

倘若不同的部門有不同的安全需求與管理方式，往往因此使得將整個(gè)公司劃分

成多個(gè)域?？墒沁@種多域的架構(gòu)，在管理與成本都會(huì)增加負(fù)擔(dān)。

為了解決這類的問題，微軟公司在AD域中增加了組織單位這種對(duì)象，使得整個(gè)

域的規(guī)劃與管理更有彈性，能發(fā)揮分層負(fù)責(zé)、授權(quán)管理的優(yōu)點(diǎn)。

組織單位是一種容器

能包含其它對(duì)象的對(duì)象便稱為容器(Container),既然組織單位是一種容器，自然也能包含其

它對(duì)象。

它可以包含以下9種對(duì)象：

用戶、計(jì)算機(jī)、 組、 打印機(jī)、 共享文件夾

聯(lián)絡(luò)人、 組織單位、 InetOrgPerson、 MSMQ路由別名

但是要記得一點(diǎn)－－單位僅能包含同域內(nèi)的對(duì)象，不能包含其它域的對(duì)象

組織單位與組的差異

初次接觸組織單位時(shí)，許多用戶會(huì)將它與“組”混淆，雖然兩都都是應(yīng)用在AD域的邏

輯架構(gòu)中，但是在使用上有以下的差異：

一個(gè)用戶可以屬于多個(gè)組，但只能隸屬于一個(gè)組織單位。

組織單位可以包含組，但是組不能包含組織單位。

網(wǎng)絡(luò)資源（例如：文件夾或打印機(jī)）的權(quán)限可以賦予組，但是不能賦予組織單位。

規(guī)劃組織單位

如何規(guī)劃組織單位的架構(gòu)，是一個(gè)頗有挑戰(zhàn)性的課題。然而并無一定的準(zhǔn)則，主

要視企業(yè)實(shí)際需求而定。

以下列舉幾種常見的規(guī)劃模式：

基于地理位置 （中國(guó)、法國(guó)、挪威）

基于功能 （銷售、市場(chǎng)、咨詢）

基于組織 （制造業(yè)、工程師、研究員）

基于混合型的示例

組織（位置）

功能（組織）

位置（功能）

委派控制

簡(jiǎn)單地說，所謂委派控制（Delegation) 便是授權(quán)！系統(tǒng)管理員可利用它來將例行的管理工

作，委派給特定的對(duì)象來執(zhí)行，以減輕自己的負(fù)擔(dān)。

執(zhí)行委派控制時(shí)應(yīng)注意以下3個(gè)要點(diǎn)：

委派的范圍：將多大的范圍（站點(diǎn)、域或組織單位）委派出去

委派的對(duì)象：委派給誰

委派的內(nèi)容：委派多大的權(quán)限出去。

給委派的用戶一個(gè)工具，使其可自行操作

在域控運(yùn)行mmc 文件添加管理單位－－》添加相應(yīng)的單元即可

添加后 點(diǎn)擊需要管理的相應(yīng)OU，右鍵從這里創(chuàng)建窗口

新建任務(wù)面板

組策略規(guī)劃及創(chuàng)建

組策略運(yùn)行在Windows Server 2008、 Windows Vista、 Windows Server 2003和

Windows XP的計(jì)算機(jī)上啟用基于Active Directory的用戶和計(jì)算機(jī)設(shè)置更改和配置管理。

除了使用組策略為用戶和計(jì)算機(jī)組定義配置以外，還可以配置很多服務(wù)器特定的操作

和安全設(shè)置以便使組策略幫助管理服務(wù)器計(jì)算機(jī)。

組策略組件

Group Policy Object GPO

Contains Group Policy settings

Stores content in two locations

Group Policy Container

Stored in Active Directory

Provides version information

Group Policy Template

Stored in shared SYSVOL folder

Provides Group Policy settings

組策略對(duì)象的工具

默認(rèn)組策略工具

Active Directory 用戶和計(jì)算機(jī)

域和組織單位組策略對(duì)象

Active Directory 站點(diǎn)和服務(wù)

站點(diǎn)組策略對(duì)象

本地安全策略

本地計(jì)算機(jī)安全設(shè)置

附加工具

組策略管理

域、組織單位和站點(diǎn)組策略對(duì)象

組策略配置后需要Link到OU上才可以生效

組策略的應(yīng)用順序由高到低

子OU策略

父OU策略

域策略

站點(diǎn)策略

本地策略

組策略什么時(shí)候應(yīng)用？

computer starts

Computer settings applied

Startup scripts on

User logs on

User settings applied

Logon scripts run

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)站題目：windows_learn002用戶管理和組策略-創(chuàng)新互聯(lián)
本文網(wǎng)址：http://muchs.cn/article38/csjisp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供手機(jī)網(wǎng)站建設(shè)、網(wǎng)站營(yíng)銷、App設(shè)計(jì)、移動(dòng)網(wǎng)站建設(shè)、Google、網(wǎng)站收錄

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)