AD域權限設置-文檔資料

1、用戶賬戶管理用戶賬戶管理用戶賬戶用戶賬戶域用戶賬戶名稱域用戶賬戶名稱用戶賬戶命名約定的制定準則用戶賬戶命名約定的制定準則用戶賬戶在用戶賬戶在 Active Directory Active Directory 層次結構中的位置層次結構中的位置用戶賬戶的密碼選項用戶賬戶的密碼選項要求或限制更改密碼要求或限制更改密碼用戶賬戶用戶賬戶域用戶賬戶域用戶賬戶 （存儲在（存儲在 Active DirectoryActive Directory）本地用戶賬戶本地用戶賬戶（存儲在本地計算機（存儲在本地計算機）Windows Server 2003 域域用戶賬戶命名約定的制定準則用戶賬戶命名約定的制定準則創(chuàng)建用

2、戶賬戶時應該考慮：創(chuàng)建用戶賬戶時應該考慮：雇員重名雇員重名不同類型的雇員，例如臨時雇員或合同雇員不同類型的雇員，例如臨時雇員或合同雇員用戶賬戶在用戶賬戶在 Active Directory 層次結構中的位置層次結構中的位置地理設計地理設計UsersNorth AmericaUsersSouth America商業(yè)設計商業(yè)設計UsersAccountingUsersSales用戶賬戶的密碼選項用戶賬戶的密碼選項防止用戶使用選中的賬戶登錄賬戶已禁用賬戶已禁用描述描述賬戶選項賬戶選項防止用戶更改自己的密碼用戶不能更改密碼用戶不能更改密碼用戶必須在下次登錄到網絡時更改自己密碼用戶下次登錄時須用戶下次登

3、錄時須更改密碼更改密碼防止用戶密碼過期密碼永不過期密碼永不過期要求或限制更改密碼要求或限制更改密碼創(chuàng)建本地和域服務賬戶創(chuàng)建新的本地賬戶（不在本地登錄）限制更改限制更改密碼密碼 遇到以下情況，使用這個選項遇到以下情況，使用這個選項選項選項創(chuàng)建新的域賬戶重設密碼要求更改要求更改密碼密碼DSADD DSADD DSADD 是是 Windows Server 2003 Server Windows Server 2003 Server 新提供的新提供的工具工具DSADD DSADD 用于將計算機、聯(lián)系人、組、組織單位或用用于將計算機、聯(lián)系人、組、組織單位或用戶添加到目錄中戶添加到目錄中可通過輸入可通過

4、輸入 DSADD /? DSADD /? 獲取如何使用該命令的詳細獲取如何使用該命令的詳細信息信息用戶賬戶的屬性用戶賬戶的屬性用戶賬戶的屬性對話框用戶賬戶的屬性對話框計算機賬戶的屬性計算機賬戶的屬性計算機賬戶的屬性對話框計算機賬戶的屬性對話框管理組帳戶創(chuàng)建組創(chuàng)建組管理組成員身份管理組成員身份使用組應用策略使用組應用策略更改組更改組使用默認組使用默認組創(chuàng)建組組組域功能級別域功能級別全局組全局組通用組通用組域本地組域本地組本地組本地組組的創(chuàng)建位置組的創(chuàng)建位置組命名規(guī)則組命名規(guī)則組組使管理員能夠一次性對資源分配權限，從而簡化管理組使管理員能夠一次性對資源分配權限，從而簡化管理組的特點是根據(jù)作用域和類

5、型來定義組的特點是根據(jù)作用域和類型來定義描述描述組類型組類型僅僅能夠與 電子郵件應用程序配合使用，不能用來分配權限分布分布常常用來分配用戶權利和權限，具有通訊組功能安全安全組作用域的判斷主要考慮是否需要擴展到多個域或限制在一個域中三種組作用域：全局、本地域、通用組組組的作用域通用組的成員可包括域樹或森林中任何域中的其通用組的成員可包括域樹或森林中任何域中的其他組和賬戶，可在該域樹或森林中的任何域中指他組和賬戶，可在該域樹或森林中的任何域中指派權限派權限全局組的成員可包括只在其中定義該組的域中的全局組的成員可包括只在其中定義該組的域中的其他組和賬戶，可在森林中的任何域中指派權限其他組和賬戶，可在

6、森林中的任何域中指派權限域本地組的成員可包括域本地組的成員可包括 Windows Server 2003Windows Server 2003、Windows 2000 Windows 2000 或或 Windows NT Windows NT 域中的其他組域中的其他組和賬戶，而且只能在域內指派權限和賬戶，而且只能在域內指派權限域功能級別全局、本地域Windows NT Server 4.0, Windows Server 2000, Windows Server 2003全局、本地域、通用Windows Server 2000, Windows Server 2003全局、本地域、通用 Wi

7、ndows Server 2003支持的域控支持的域控制器制器支持的組作支持的組作用域用域Windows 2000 Windows 2000 混合模式混合模式 （默（默認）認）Windows 2000 Windows 2000 本機模式本機模式Windows Windows Server 2003Server 2003全局組規(guī)則全局組規(guī)則全局組混合模式：混合模式：同一個域中的用戶賬戶本機模式：本機模式：同一個域的用戶賬戶和全局組成員成員在自己和所有信任的域里可見作用域作用域混合模式：混合模式： 域本地組本機模式：本機模式： 任何域里的通用和域本地組，以及相同域的全局組可作為右邊表格可作為右邊表

8、格中所示組的成員中所示組的成員林中所有域權限權限通用組規(guī)則通用組規(guī)則通用組混合模式：混合模式：不適用本機模式：本機模式：用戶賬戶、全局組和森林中任何域的其他通用組成員成員森林中所有域都可見作用域作用域混合模式：混合模式：不適用本機模式：本機模式：任何域中的域本地組和通用組可作為右邊表格中可作為右邊表格中所示組的成員所示組的成員森林中所有域權限權限域本地組規(guī)則域本地組規(guī)則域本地組混合模式：混合模式：任何域中的用戶賬戶和全局組本機模式：本機模式：森林中任何域的用戶賬戶、全局組和通用組，以及同一域中的域本地組成員成員僅在自己所在的域中可見作用域作用域混合模式：混合模式：無本機模式：本機模式：同一域中

9、的域本地組可作為右邊表格中可作為右邊表格中所示組的成員所示組的成員域本地組所屬的域 權限權限本地組規(guī)則本地組規(guī)則本地組計算機的本地用戶賬戶成員成員無可作為右邊表格中所可作為右邊表格中所示組的成員示組的成員內置組列表及說明內置組列表及說明組名組名描述信息描述信息Administrators具有具有完全控制權限完全控制權限，并且可以向其他用戶分配用戶權利和訪問控制權，并且可以向其他用戶分配用戶權利和訪問控制權限限Backup Operators加入該組的成員可以加入該組的成員可以備份和還原備份和還原服務器上的所有文件服務器上的所有文件Guests擁有一個在登錄時創(chuàng)建的擁有一個在登錄時創(chuàng)建的臨時臨時

10、配置文件，在注銷時該配置文件將被刪配置文件，在注銷時該配置文件將被刪除除Network Configuration Operators可以可以更改更改 TCP/IP 設置設置并更新和發(fā)布并更新和發(fā)布 TCP/IP 地址地址Power Users該組具有該組具有創(chuàng)建用戶賬戶和組賬戶創(chuàng)建用戶賬戶和組賬戶的權利，可以在的權利，可以在 Power Users 組、組、Users 組和組和 Guests 組中添加或刪除用戶，但是不能管理組中添加或刪除用戶，但是不能管理Administrators組成員組成員可以創(chuàng)建和管理可以創(chuàng)建和管理共享資源共享資源Print Operators可以管理可以管理打印機打

11、印機Users可以執(zhí)行一些可以執(zhí)行一些常見任務常見任務，例如運行應用程序、使用本地和網絡打印機，例如運行應用程序、使用本地和網絡打印機以及鎖定服務器以及鎖定服務器用戶不能共享目錄或創(chuàng)建本地打印機用戶不能共享目錄或創(chuàng)建本地打印機組的創(chuàng)建位置在森林的根域、森林的任何其他域、組織單位創(chuàng)在森林的根域、森林的任何其他域、組織單位創(chuàng)建組建組根據(jù)管理需要選擇域或組織單位來創(chuàng)建組根據(jù)管理需要選擇域或組織單位來創(chuàng)建組例：目錄有多個組織單位，每個擁有不同的管理員，可以為這些組織單位創(chuàng)建全局組組命名規(guī)則安全組：安全組：在組名的命名約定中合并作用域名稱能夠反映所屬關系（部門或小組名稱）在組名的開頭添上域名或其縮寫使用

12、描述符來標識一個組所擁有的最大權限，例如：DL IT London OU Admins 通訊組：通訊組：使用短的別名顯示名稱里不應包含用戶的別名一個通訊組最多由五個合作者管理管理組成員 “成員成員”和和“隸屬于隸屬于”屬性屬性演示演示 “成員成員”和和“隸屬于隸屬于”確定用戶賬戶的從屬組確定用戶賬戶的從屬組在組中添加和刪除成員在組中添加和刪除成員“成員”和“隸屬于”屬性組或小組組或小組全局組全局組域本地組域本地組成員成員隸屬于隸屬于無Denver AdminsTomTom、Jo Jo 和和 KimKim成員成員隸屬于隸屬于無Vancouver AdminsSamSam、Scott Scott

13、和和 AmyAmyMembersMembersMember OfMember OfTom, Jo, KimDenver OU AdminsDenver AdminsDenver Admins成員成員隸屬于隸屬于Tom, Jo, KimDenver OU AdminsDenver AdminsDenver Admins成員成員隸屬于隸屬于Sam, Scott, AmyVancouver OU AdminsVancouver AdminsVancouver AdminsDenver OU AdminsDenver OU Admins成員成員隸屬于隸屬于Denver Admins,Vancouver

14、 Admins無在組中添加和刪除成員通過使用通過使用“Active Directory 用戶和計算機用戶和計算機”來添加來添加成員成員 通過使用通過使用“屬性屬性”對話框的對話框的“隸屬于隸屬于”選項卡來添選項卡來添加用戶賬戶或組加用戶賬戶或組 使用組應用策略 組嵌套組嵌套組策略組策略組組組組組組組組組組組嵌套意味著將組作為其他組的成員意味著將組作為其他組的成員嵌套組用來加強組管理嵌套組用來加強組管理嵌套組選項取決于嵌套組選項取決于 Windows Server 2003 Windows Server 2003 域的功域的功能級別設置為能級別設置為 Windows 2000 Windows 2000 本機模式還是本機模式還是 Windows 2000 Windows 2000 混合模式混合模式組策略A G PAPG全局組全局組權限權限用戶賬戶用戶賬戶A DL PAPD