Windows Server 2003组网技术与实训 第2版 第二届山东省高等学校优秀教材一等奖 教学课件 作者 杨云 平寒 薛立强 第4章 活动目录与用户管理(人邮第2版教材).ppt

问题1 ：在目录树和目录林中使用组（5） Create Domain Local Group that Have Permissions for Appropriate Resources Domain B Domain C Domain A Data DLG DLG DLG Data Data Full Control Permission 问题1 ：在目录树和目录林中使用组（6） Add Universal Group into Domain Local Groups Domain B Domain C Domain A All Accountants DLG DLG DLG Data Data Data 问题2：在目录树和目录林中使用组（1） All Accountants Domain A Domain B Domain C New Domain DLG DLG DLG Create New Global Groups 问题2 ：在目录树和目录林中使用组（2） All Accountants Domain A Domain B Domain C New Domain DLG DLG DLG DLG 问题2 ：在目录树和目录林中使用组（3） Add the Global Group into the Universal Group  All Accountants Domain A Domain B Domain C New Domain DLG DLG DLG DLG Add the Universal Group into the Domain Local Group 设置密码策略的方针 设置“强制密码历史”至少为２４个 设置密码最长期限最多为４２天 设置最短密码期限最少为２天 设置密码长度对短为８个字符 启用密码必须符合复杂性要求策略设置 身份验证,授权和管理帐号的方针 不要随意使用帐号锁定策略 不应该以管理员身份运行计算机 使用多种身份验证方法 基于AGUDLP策略使用组 禁用管理员帐号并指派给用户和管理员能够执行任务的最具限制的权限 使用组的方针 将负责日常工作的用户添加到全局组 针对共享资源的访问创建域本地组 将需要访问这些资源的全局组添加到相应的域本地组 使用通用组可以访问多个域的资源 通用组的成员相对稳定时使用通用组 4.6 管理组织单元（OU） OU是组织单元，把域中的对象组织成逻辑管理组，而不是安全组或代表地理实体的组。OU是可以应用组策略和委派责任的最小单位。 对于OU，要注意以下几点： 谨慎添加OU 保持层次简单 OU与组的区别 委派管理控制权 Assign Permissions: 把具体的OU指定给不同的管 理员权限 指定在一个OU中修改对象的 具体属性的权限 指定执行同样任务的权限 Customize Administrative Tools to: 指定给用户的管理任务的权限相适应 使用有限的管理特权为用户简化界面设计 Domain Admin1 Admin2 Admin3 OU2 OU3 OU1 委派OU 委派OU 本章主要讲了活动目录与用户管理。 重点讲述了创建Windows Server 2003域、管理域用户和组、管理组织单元及信任关系。 Windows Server 2003服务器可以有3种角色：独立服务器、成员服务器和域控制器，服务器可以从一种角色转变到另一角色。 所谓域控制器就是安装了活动目录的服务器。 本章小结 实　训 配置活动目录 与用户管理实训 (实训内容详见人民邮电出版社《Windwos Server 2003组网技术与实训》（第2版）) 工 程 案 例1 工 程 案 例2 工 程 案 例3 * * * * * * 最佳方案 不应减少墓碑生存的时间间隔 分离数据库和日志文件 只有当可能释放大量磁盘空间时，才执行脱机碎片整理程序 经常备份域控制器的系统状态数据 4.5 管理域用户和组 用户账号可为用户提供登录到域以访问网络资源或登录到计算机以访问该机资源的能力。定期使用网络的每个人都应有一个惟一的用户账号。 Windows Server 2003提供两种主要类型的用户账号：本地用户账号和域用户账号。除此之外，Windows Server 2003系统中还有内置的用户账号。 介绍用户和组 为每个用户帐号创建一个唯一的登录名 用批处理为新用户在活动目录创建多个用户帐号 将用户分组，用以管理网络上的共享资源 当为一个分层结构创建一个模型时，将组嵌入别的组中以减少管理任务 Users Shared Resourc