windows高级应用AD_03_信任关系.ppt

域信任关系 上节回顾 目录服务与DNS 子域和域树 林中的第二个域 本章目标 管理域用户和组帐户 域信任关系 将共享文件夹公布到 Active Directory 查找Active Directory 内的资源 管理域用户和组帐户 创建域用户账户 管理域用户账户 创建计算机账户 管理计算机账户 创建域组账户 用户帐户的类型 本地用户帐号:是创建在非域控制器的“本地安全帐户数据库”内。用户可访问本计算机的内的资源。 Local User Accounts 访问本地计算机 存在于本地帐户数据库中SAM（Security Account Manager ） 域用户帐号：存储在域控制器的Active Directory数据库中。用户可访问整个域中的资源。 Domain User Accounts 用于访问AD网络资源 存在于AD数据库中 更改域用户账户 禁用、启用账户 重命名账户 删除账户 重设密码 解除被锁定的账户 DEMO 一次添加多个用户帐号 csvde.exe 可以添加用户帐户（或其它类型的对象）但不能用它来修改或删除用户 ldifde.exe 可以添加、删除、修改用户帐户（或其它用户对象） 域用户帐号的迁移 要将DC_A上的账号迁移至DC_B可以通过： 1.通过“AD迁移工具”，在安装光盘的\i386\ADMT文件夹内名为admin-ration.msi的程序完成 2.通过“movetree.exe”，在安装光盘的\support\tools\suptools.msi文件夹内 组Group 组是用户和计算机帐户、联系人以及其他可作为单个单元管理的组的集合。属于特定组的用户和计算机称为组成员。 使用组可同时为许多帐户指派一组公共的权限和权利，而不用单独为每个帐户指派权限和权利，这样可简化管理。 组既可以基于目录，也可以在特定计算机本地。Active Directory 中的组是驻留在域和组织单位容器对象中的目录对象。Active Directory 在安装时提供了一系列默认的组，它还允许创建组。 域组 AD中组的作用 简化管理，即为组而不是个别用户指派对共享资源的权限。这样可将相同的资源访问权指派给该组的所有成员。 委派管理，即使用组策略为某个组指派一次用户权限，然后向该组添加需要其拥有与该组相同权限的成员。 创建电子邮件通讯组。 组具有特定的作用域和类型。组的作用域决定了组在于域或林中的应用范围。组的类型决定了可用于从共享资源指派权限（对于安全组），还是只能用作电子邮件通讯组（对于通讯组）。还有一些组，您无法修改或查看其成员身份。这些组被称为特殊标识，用于根据环境在不同时间代表不同用户。例如，Everyone 组代表所有当前网络用户，包括来自其他域的来宾和用户。 域组的类型 安全组 安全组可以被用来设置权限，例如：可以设置安全组对文件具备“读取”的权限。也可以用在与安全无关的任务上。 分布式组 分布式组是用在安全（权限的设置等）无关的任务上，例如，可以通过电子邮件软件将电子邮件发送给通讯组。用户无法设置通讯组的权限。也称通讯组 安全组与分布式组之间的转换 两种类型的组可以相互转换，不过只有在域功能级别被设置为“2000纯模式”与“Server 2003”时才能转换，在“混合模式”中无法转换。 域组的作用域 通用组(universal group) 全局组(global group) 域本地组(domain local group) 通用组：可以指派所有域 中的访问权限，其成员能够包含整个域目录林这任何一个域内的用户、通用组、全局组。但不能包含任何一个域内的本地域组。可以访问任何一个域中的资源。在所有域（域功能级别必须是2000纯模式或是server2003）可以设置使用权限。可以被换成域本地组或是全局组（只要该组内成员不包含通用组） 全局组：主要用来组织用户。其成员能够包含与该组相同域中的用户和全局组。可以访问任何一个域中的资源。可以在所有域里设置使用权限。可以被换成通用组（只要些组不属于任何一个全局组） 域本地组：主要用来指派在其所属域内的访问权限。能够包含任何一个域内的用户、通用组、全局组；还能够包含同一个域内的本地域组；但是，它无法包含其他域内的本地域组。只能够访问同一个域内的资源，无法访问其他不同域内的资源。只能在所属内设置使用权限。可以被换成通用组（只要此组内成员不含域本地组） 内置的域组 内置的本地域组： 内置的全局组： 内置的特殊组： 内置的特殊组 Everyone 任何一用户都属于该组。 Authenticated Users 任何一个利用有效的用户帐户连接的用户