第15章组织单位和域用户详解.ppt

使用登录名和登录主名登录 15.6 活动目录中的组 组是用户和计算机帐户、联系人的集合，属于特定组的用户和计算机称为组成员。我们针对某个组进行授权时，该授权对组中的所有成员都有效。比如对某个组授予访问共享文件夹和打印机的权限，那么组中的成员都将拥有此权限。因此可以使用组简化管理，高效地管理域用户对域资源的访问。用户可以同时属于多个组，当属于多个组时，也就有了这多个组的权限。 组的类型 组的作用域 在单域环境中使用组的策略 内置的本地域组 内置的全局组和通用组 管理组 * * * * * * * * * * * * Windows Server 2008教程课件电子工业出版社 课件制作人声明 本课件共 18个 Powerpoint 文件（每章一个）。教师可根据教学要求自由修改此课件（增加或删减内容），但不能自行出版销售。 对于课件中出现的缺点和错误，欢迎读者提出宝贵意见，以便及时修订。 第15章 组织单位和域用户 15.1 设计组织单位 15.2 委派管理 15.3 创建组织单位 15.4 管理计算机加入域的权限 15.5 活动目录中的帐号 15.6 活动目录中的组 15.1 设计组织单位 组织单位是每一个活动目录域中的容器，代表了各个部门组织的层次结构。域是活动目录逻辑结构的核心，我们可以在活动目录中根据公司或企业的组织结构创建组织单位，以方便管理。 组织单位设计过程 为你的组织设计组织单位的策略时，应执行下列步骤： 首先整理现在的各部门的组织结构：在整理现在的组织结构时，将管理任务分类，然后决定每类管理任务由哪些管理员负责。 然后标明需要改进的地方：和设计团队一起标明哪些地方需要改进。比如，将几个不同的IT部门合并可能对管理来说更高效。你也可以标明能够作辅助管理工作的非IT部门的员工来降低IT部门员工的工作量。这样，管理员能够将工作重点放到需要专业技术的方面。 15.2 委派管理 创建组织单位的主要原因是分散管理任务，即通过将管理控制权委派给其他用户来减少系统管理员的工作量，使之能够集中于整个网络系统的规划和维护。委派管理对于实现集中模式非常重要。 组织单位的管理任务 在活动目录中执行的常见的管理任务有： 改变容器的部分属性：比如，当新的软件的补丁包出现时，管理员可以在某个组织单位上创建组策略来给这个部门的用户部署这个软件。 创建和删除指定类型对象：在一个组织单位中，指定的类型可以包括用户、组、计算机、打印机。比如，当一个新员工到某个部门工作，你要给这个员工在适当的组织单位创建一个用户帐号。 更改指定类型对象上的某种属性：也许你执行的最常见的管理任务是更新某类对象的属性，包括重设密码和改变用户的信息，比如更改家庭住址和电话号码。 委派管理控制指导方针 指派Active Directory对象权限的最佳操作如下： 如果可能，应避免更改Active Directory对象的默认权限。更改默认权限可能导致意外访问问题或降低安全性。 避免在对象或组织单位上授予“完全控制”权限。为某人授予“完全控制”权限将使其可取得对象所有权，并可修改该对象权限。如果某人拥有对于容器的“完全控制”权限，那么就可取得对于该容器中的所有对象的“取得所有权”和“完全控制”权限。应尽可能地只赋予用户所需的权限，而不是“完全控制”权限。 委派管理控制指导方针（续） 最小化应用于子对象的访问控制项的数目。使用“应用于”选项控制继承时，切记不仅指定的对象会继承访问控制项 (ACE)，所有子对象也将接收该ACE的副本。如果有足够的对象将获取该ACE的副本，则增加的数据量会导致网络性能问题。 尽可能为多个对象指派相同的权限集。尽可能指派宽泛的访问权利而不是个别用户权限。 最小化访问控制项的数目能够改进性能。 允许对于属性集而不是个别属性的“读取”或“写入”访问。 15.3 创建组织单位 下面我们演示根据企业管理要求创建两个组织单位，分别叫做销售部和研发部，然后委派销售部的用户王瑞胜能够在销售部管理用户，包括创建、删除、修改用户属性、更改用户密码等操作，委派研发部的用户韩旭能够对研发部完全控制。最后验证所授予的权限。 创建组织单位 组织对象 安装管理工具 委派管理 验证委派控制权 撤销委派授权 删除组织单位 15.4 管理计算机加入域的权限 默认情况下，普通域用户能够将10台计算机加入到域。如果考虑安全因素，您可能需要更改默认设置。 取消普通域用户将计算机加入到域的权限 授权特定普通域用户将计算机加入到域 15.5 活动目录中的帐号 在活动目录中可以创建三种类型的帐号：用户、组、计算机帐号。活动目录用户和计算机帐号代表了物理实体，比如一台计算机或一个用户。你也可以使用用户帐号作为应用程序的服务帐号。域中的用户帐号和计算机帐