AD域权限设置专用课件.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * 用户账户管理 用户账户 域用户账户名称 用户账户命名约定的制定准则 用户账户在 Active Directory 层次结构中的位置 用户账户的密码选项 要求或限制更改密码 用户账户 域用户账户 （存储在 Active Directory） 本地用户账户（存储在本地计算机） Windows Server 2003 域 用户账户命名约定的制定准则 创建用户账户时应该考虑： 雇员重名 不同类型的雇员，例如临时雇员或合同雇员 用户账户在 Active Directory 层次结构中的位置 地理设计 Users North America Users South America 商业设计 Users Accounting Users Sales 用户账户的密码选项 防止用户使用选中的账户登录 账户已禁用 描述 账户选项 防止用户更改自己的密码 用户不能更改密码 用户必须在下次登录到网络时更改自己密码 用户下次登录时须更改密码 防止用户密码过期 密码永不过期 要求或限制更改密码 创建本地和域服务账户 创建新的本地账户（不在本地登录） 限制更改密码 遇到以下情况，使用这个选项 选项 创建新的域账户 重设密码 要求更改密码 DSADD DSADD 是 Windows Server 2003 Server 新提供的工具 DSADD 用于将计算机、联系人、组、组织单位或用户添加到目录中 可通过输入 DSADD /? 获取如何使用该命令的详细信息 用户账户的属性 用户账户的属性对话框 计算机账户的属性 计算机账户的属性对话框 管理组帐户 创建组 管理组成员身份 使用组应用策略 更改组 使用默认组 创建组 组 域功能级别 全局组 通用组 域本地组 本地组 组的创建位置 组命名规则 组 组使管理员能够一次性对资源分配权限，从而简化管理 组的特点是根据作用域和类型来定义 描述 组类型 仅仅能够与 电子邮件应用程序配合 使用，不能用来分配权限 分布 常常用来分配用户权利和权限， 具有通讯组功能 安全 组作用域的判断主要考虑是否需要扩展到多个域或限制在一个域中 三种组作用域：全局、本地域、通用 组 组的作用域 通用组的成员可包括域树或森林中任何域中的其他组和账户，可在该域树或森林中的任何域中指派权限 全局组的成员可包括只在其中定义该组的域中的其他组和账户，可在森林中的任何域中指派权限 域本地组的成员可包括 Windows Server?2003、Windows?2000 或 Windows?NT 域中的其他组和账户，而且只能在域内指派权限 域功能级别 全局、本地域 Windows NT? Server 4.0, Windows Server 2000, Windows Server 2003 全局、本地域、通用 Windows Server 2000, Windows Server 2003 全局、本地域、通用 Windows Server 2003 支持的域控制器 支持的组作用域 Windows 2000 混合模式 （默认） Windows 2000 本机模式 Windows Server 2003 全局组规则 全局组 混合模式：同一个域中的用户账户 本机模式：同一个域的用户账户和全局组 成员 在自己和所有信任的域里可见 作用域 混合模式： 域本地组 本机模式： 任何域里的通用和域本地组，以及相同域的全局组 可作为右边表格中所示组的成员 林中所有域 权限 通用组规则 通用组 混合模式：不适用 本机模式：用户账户、全局组和森林中任何域的其他通用组 成员 森林中所有域都可见 作用域 混合模式：不适用 本机模式：任何域中的域本地组和通用组 可作为右边表格中所示组的成员 森林中所有域 权限 域本地组规则 域本地组 混合模式：任何域中的用户账户和全局组 本机模式：森林中任何域的用户账户、全局组和通用组，以及同一域中的域本地组 成员 仅在自己所在的域中可见 作用域 混合模式：无 本机模式：同一域中的域本地组 可作为右边表格中所示组的成员 域本地组所属的域 权限 本地组规则 本地组 计算机的本地用户账户 成员 无 可作为右边表格中所示组的成员 内置组列表及说明 组名 描述信息 Administrators 具有完全控制权限，并且可以向其他用户分配用户权利和访问控制权限 Backup Operators 加入该组的成员可以备份和还原服务器上的所有文件 Guests 拥有一个在登录时创建的临时配置文件，在注销时该配置文件将被删除 Network Configuration Operators 可以更改 TCP/IP 设置并更新和发布 TCP/IP 地址 P