第08章域中的用户和组全解.doc

域中的用户和组 概述 用户和组是Windows 2000网络环境的最基本的对象。因为网络的使用者是人，所以在网络的使用和管理中，都需要针对人来建立和管理。而用户恰好就是域中的人。 当域中的用户数量增加到一定程度以后，对人和资源的安全性的管理难度就变得越来越大。组是人们生活中的组织在域环境中的一个体现，也是实现有效的安全管理的主要手段。 本章将对域中的用户和组的概念进行了详细的讲解，介绍了使用组在安全管理上的基本的理念。 域中的用户 在建立域以后，首先要建立的域中的对象就是用户User。用户对象可以说是域中最重要的对象。很多人都能够熟练地建立和修改用户，但是不一定正确地理解用户对象的含义。那么到底用户是什么呢？ 什么是用户 计算机的职责是为人提供服务。它可以为任何人都提供相同的服务，如Windows 95/98操作系统那样，但更多的需要是为不同的人提供不同的服务。那么如何区分前来访问资源的是谁呢？这就是用户对象的职责了。 用户是什么的答案是：用户就是人，是计算机和网络环境中的人。 当计算机中有了人，一切就好办了。所有计算机中的资源，包括文件、数据库、打印机、邮件等等，都可以设定访问的权限，也就是那个人可以对这个资源有什么样的访问许可，是能够读还是能够写，是否能够建立新的和删除旧的等。 那么计算机如何知道你就是那个人呢？当我们坐在计算机前，按下ctrl-alt-del键，输入用户名和口令，如果验证通过，那么计算机就认为你就是那个用户了。 在这里，需要明确的一点是要区分清楚实际生活中的人和计算机中的人。举例说，你的实际名字叫令狐冲，但是当你在计算机上登录时输入的用户名是岳不群和岳不群的口令，这时计算机就认为在操作的人就是岳不群，绝对不会知道你是令狐冲。 所以有人常说“我用张三登录如何如何，用李四登录又如何如何”，实际上这句话细究起来是不恰当的，因为对计算机来说，它并不知道你是一个人。他认为第一次登录进来的人是张三，而第二次登录进来的人是李四。 有句有名的话说得很正确：“网上没人知道你是一条狗”。 域中的人 在没有域的时候，每一台Windows 2000 Server/Professional的计算机都是独立的，相互之间没有必然的联系。每一台独立的服务器就象一个独立的小城邦，有自己的管理机构和居民，这些居民属于这个城邦，他们的身份也仅限于在这个城邦中有效。 当我在一台机器上工作时，我操纵的是这台机器上的一个用户。如果我需要通过网络连接到另一台机器获取资源，如共享的文件夹时，就需要重新通过那台服务器的身份验证。这个新的身份是建立在那台服务器上的用户名和口令，并对要访问的资源有相应的权限。所以此时实际上我在两台机器上操纵的是两个不同的人。 最极端的情况，如果两台服务器上各有一个用户，他们的名字和口令都相同，那也是两个不同的人。如果你在一台服务器上用这个用户的名字登录，你在访问另一台服务器是，系统不会要你提供用户名和口令。这并不意味着你现在的这个身份能够访问另一台服务器，实际上是你的系统自动将当前你这个用户的姓名和口令传递给了另一台服务器，由于恰巧哪个服务器上有一个同名同口令的用户，所以身份验证自动通过了。实际上你在两台服务器上操纵的还是两个用户，只不过同名罢了。 当我们建立一个域时，就有了一个新的类型的人，就是域中的用户，域中的人。本质上讲，域中的用户就是域服务器上建立的用户，虽然这个用户有更多的属性和特征。现在这个人的身份的被认可的范围是域而不是一台域服务器本身，他的身份被所有加入到域中的计算机认可。 当我在一台加入的域中的机器上输入用户名和口令，并选择域名后，实际上此时我操纵的人就是域中的人，而不是这台计算机上的人。当然首先在域中要建立好这个用户帐户。 域中的人（登录到域） 本地的人（登录到计算机） 这时我再去访问域中其它计算机上的资源时，我用的就是现在的这个域用户的身份，不需要重新验证身份了。因为所有加入到域的计算机都认同域中的用户，所以这个人可以访问所有允许他访问的资源。这就是域带来的最大的好处——单次登录。 建立域用户对象 现在我们就可以建立新的用户对象了，只需要在我们希望建立的容器中点击鼠标右键，选择New - User就可以了。在建立新用户的过程中，有几个参数是要注意的。 在一个用户对象中，有很多的属性，其中的一些必须是唯一的，不能和其他对象或用户相同。首先我们遇到的第一个参数是Full name，缺省为Fast name + Lirst name。AD会将Full name作为这个对象的相对辨识名（RDN, Relative Distinguished Name），也就是这个用户在OU中的名字。Full name加上OU和域的名字就构成了对用户的辨识名DN，即这个用户对象在域中的名字。如果需要修改这个名字，就在用户