[IT认证]活动目录的用户和组.ppt

　在OU之间移动活动目录对象 一个员工从一个部门调到另外一个部门的情况，体现在活动目录中就需要把一个用户账号从一个OU移动到另一个OU。在用户账号移动后，赋予该用户账号的权限设置不会改变，只是该用户账号以后会使用新OU的组策略设置 OU中包括的其他活动目录对象如组账号、计算机账号、打印机等也可以根据管理的需要进行移动，而且移动到的目标位置可以是活动目录中的任何容器对象，包括活动目录中的普通容器 演示：在OU之间移动活动目录对象 在活动目录中删除OU 在“Active Directory用户和计算机”工具中删除OU 使用dsrm命令删除OU 演示：删除OU 在活动目录中实现委派管理控制 委派管理概述 在AD中实现委派 验证委派权限 在AD中收回委派的权限 委派管理控制的原则 委派管理概述 当活动目录中的资源非常多时，利用OU除了起到组织资源的作用以外，还可以对OU进行权限的委派，这样就可以减轻域管理员的工作负担 在Windows Server 2003中结合OU、用户或组、权限就可以把管理权力指派给特殊的用户，通过委派把活动目录对象的管理责任分派给另一用户或组，以分散管理任务 　在AD中实现委派 在Windows Server 2003的活动目录中可以使用委派控制向导来实现委派 演示：在AD中实现权限委派 　验证委派权限 在“Active Directory用户和计算机”控制台中验证委派权限 演示：验证委派权限 在AD中收回委派的权限 在对一个OU进行权限委派后，如果委派的用户发生部门调动或离职等情况，就要求把委派的权限收回 利用“委派控制向导”不能收回委派出去的权限，要想收回委派的权限，需要修改OU属性对话框中的“安全”选项卡 演示：收回委派的权限 委派管理控制的原则 在OU层次上进行委派控制，便于跟踪权限的分配 使用“控制委派向导”来进行委派，向导将简化委派对象权限的进程 记录委派权限的分配。当活动目录中需要委派的对象非常多、被委派的对象也非常多时，最好能把委派的任务形成文档，这样在需要浏览安全设置时可以保持记录 按所在OU的安全原则控制委派，在用户完成管理任务的前提下委派最小的权限 尽可能少用拒绝权限。如果正确地分配权限，就不需要使用拒绝权限。在多数情况下，拒绝权限意味着在指定组成员关系时发生错误，使用拒绝权限还会使跟踪权限变得更加复杂 　委派管理控制的原则(续) 确保委派的用户能担负起管理责任，并完成被委派的任务。作为管理员，应该负责委派的任务是否完成 为委派控制对象的用户提供培训。通过培训，可以使用户明白他们的责任并知道如何执行管理任务 建议最好把管理任务委派给组账号而不是具体的某个用户账号，需要时可以把用户账号添加到被委派的组账号中 * * 活动目录域和目录林的功能 ?林功能级别 Windows 2000模式 支持Windows NT4.0、Windows 2000和Windows 2003 不能实现如全局编目复制改造、域重命名、林信任、活动目录中停用类型或属性等功能 Windows Server 2003模式 只支持Windows2003 可以使用上述所有的新功能 林功能级别可以提升，但提升是单向的，而且只有Domain Admins和Enterprise Admin组的成员才能进行提升操作，同时一定要确保目录林中所有的DC上域的功能级别都处于Windows 2000纯模式或Windows 2003 server模式 组的范围 全局组：使用全局组来管理那些具有相同管理任务或访问许可的用户账号。全局组中只能包括该全局组所在域的用户账号。全局组可以成为任何域的本地组的成员。在Windows 2000混合模式下，全局组不能嵌套 域本地组：与全局组用来组织用户账号不同，使用本地组的目的是为了给本域中的资源分配权限，本地组只在本域中可见。本地组中可以包括任何域的用户账号和任何域的全局组和通用组。在Windows 2000混合模式下，本地组不能嵌套 通用组：在Windows 2000混合模式下不能使用通用组。通用组的使用比较灵活，它既具有全局组可以组织用户账号的作用，又具有本地组可以分配权限的作用。通用组中可以包括任何域的用户账号、任何域的全局组和通用组，而且通用组可以成为任何域的本地组的成员，并且可以在目录林的任何域中指派权限 * 秦皇岛盛邦计算机教育 * 通用组和全局编录的关系 全局编录（GC）的作用是保存活动目录中对象属性的信息，通用组的成员信息也保存在GC中。GC不仅对在活动目录中查找对象提供支持，而且还与用户的登录进程有关 由于通用组的成员信息保存在GC中，而用户登录后产生的访问令牌中必须包含用户所属的组的信息。所以当域处于Windows 2000纯模式或Windows Server 2003模式，用户登录到域时，