四、域用户和组的建立和管理 每个用户使用网络中的资源,都必须拥有一个 帐户,以便利用该账号登录到域网络,另外, 还可以设置可以使用哪些资源,不可以使用哪 些资源。帐户是用户登陆网络的一个标识,它 是存储在帐号数据库中
四、域用户和组的建立和管理 每个用户使用网络中的资源,都必须拥有一个 帐户,以便利用该账号登录到域网络,另外, 还可以设置可以使用哪些资源,不可以使用哪 些资源。帐户是用户登陆网络的一个标识,它 是存储在帐号数据库中
账号类型 域用户账户 域用户账户在域控制器的Active Directory数据库存内 用户可以利用域用户账户来登泉域,并利用它访问网上的资源。 ◆ 1.当用户利用域用户账户登录时,由域控制器来审核用户 输入的账户密码是否正确。 ◆ 2将用户账户建立在某台域控制器内后,该账户会自动复 制到同一个域内的其他所有域控制器内,因此当该用户登录时,此域 的银繁器美货货孩用护的身份,色觉是搭销户入 ,本地用户账户:本地用户账户建立在Windows2000独立服务器 成员服务器或Windows2000 Professionall的本地安全数据库内, 而不是域控制器内。 ⑩肖用户利用本地用户账号登录时,这台计算机是利用本地安全数据库来 检香、审核用户名和密码是香罡确。 ⑩本地用户帐户只能在本机登陆访问本地资源,无法访问网络上其它计算 机内的资源
账号类型 ◼ 域用户账户:域用户账户在域控制器的Active Directory数据库存内。 用户可以利用域用户账户来登录域,并利用它访问网络上的资源。 ◼ 1.当用户利用域用户账户登录时,由域控制器来审核用户 输入的账户密码是否正确。 ◼ 2.将用户账户建立在某台域控制器内后,该账户会自动复 制到同一个域内的其他所有域控制器内,因此当该用户登录时,此域 内的所有域控制器都可以负责审核用户的身份,也就是检查用户输入 的账号与密码是否正确。 ◼ 2、本地用户账户:本地用户账户建立在Windows2000独立服务器, 成员服务器或Windows 2000 Professional的本地安全数据库内, 而不是域控制器内。 当用户利用本地用户账号登录时,这台计算机是利用本地安全数据库来 检查、审核用户名和密码是否正确。 本地用户帐户只能在本机登陆访问本地资源,无法访问网络上其它计算 机内的资源
内置账号 ■.administrator(系统管理员):拥有最 高权限,可以改名,不可删除。 ■2.guest(来宾):供用户临时使用的帐户。 权限很小,可以改名,不可删除,默认停 用
内置账号 ◼ .administrator(系统管理员):拥有最 高权限,可以改名,不可删除。 ◼ 2.guest(来宾):供用户临时使用的帐户。 权限很小,可以改名,不可删除,默认停 用
域账户的建立 ■必须使用"Active Directory用户和计算机"管理单元来 建立域用户账户。 ■方法:开始一程序一管理工具一Active Directory用户和 计算机。 ◆ 必须选择一个组织单位(Ou),以便将用户 账户建立到此组织单位内。可以将账户建立在内置的 User组织单位或其它自行建立的组织单位内。 ◆ 注意:所建立的域用户账号,可以用来在成员服务 器或Windows2000 Profession的计算机登录,但是它 却无法在域控制器登录,除非他被赋子“本地登录”的权 ,司利用组策略来进行设置,司运行以下命令使策略能 尽早生效。 ◆ Secedit /RefreshPolicy MACHINE POLICY
域账户的建立 ◼ 必须使用"Active Directory用户和计算机"管理单元来 建立域用户账户。 ◼ 方法:开始—程序—管理工具—Active Directory用户和 计算机。 ◼ 必须选择一个组织单位(ou),¸以便将用户 账户建立到此组织单位内。可以将账户建立在内置的 User组织单位或其它自行建立的组织单位内。 ◼ 注意:所建立的域用户账号,可以用来在成员服务 器或Windows 2000 Profession的计算机登录,但是它 却无法在域控制器登录,除非他被赋予"本地登录"的权 限,可利用组策略来进行设置,可运行以下命令使策略能 尽早生效。 ◼ Secedit /RefreshPolicy MACHINE_POLICY
域账户的属性 疑限域W刷靓L合黄猖关魏晕哥煲貂的用鹏豔些道来疑熙乐账户有效 期限等。 Directory内的用户 单击该用户一单击鼠标右键一属性 ·用户个人信息的设置 ”常规 ”地址”、”电话”、”单位” 账户信息的设置 ■ "账户 。登录时间的设置 清料膏靓在允许使用的时段肉登录连接,并目一直连接超过允许使用的时段时,此时可能会发生 1.用户可以继续访问已连接的资源,但不允许再进行任何新的连接,而且用户注销后,就无法 再次登录。 2.强迫中断用户的连接。 至于会发生哪一种情况,根据在: 1当算局用智赢霸静计算机配置一indwos设置-安全设置-本地策略一安全选项 盒上re尖鼻同清亮时督销捐略一编辑-Windwos设置-交全设 3、限制用户只能从某些工作站登录,"登录到”按钮
域账户的属性 ◼ 每一个域用户账户都有一些相关的属性可供设置。例如:用户的地址、电话、电子邮件、账户有效 期限等。将用户的这些信息输入完毕后,就可以让其他的用户通过这些信息来查找Active Directory内的用户。 ◼ 单击该用户—单击鼠标右键—属性 ◼ 用户个人信息的设置 ◼ "常规" 、"地址" 、"电话" 、"单位" ◼ 账户信息的设置 ◼ "账户" ◼ 登录时间的设置 ◼ 注:当用户在允许使用的时段内登录连接,并且一直连接超过允许使用的时段时,此时可能会发生 两种情况: ◼ 1.用户可以继续访问已连接的资源,但不允许再进行任何新的连接,而且用户注销后,就无法 再次登录。 ◼ 2.强迫中断用户的连接。 ◼ 至于会发生哪一种情况,根据在: ◼ 1、管理工具—域控制器安全策略—计算机配置—Windwos设置—安全设置—本地策略—安全选项 (当登陆时间用完时自动注销用户) ◼ 2、Active Directory 用户和计算机—域名(属性)—组策略—编辑—Windwos设置—安全设 置—本地策略—安全选项(当登陆时间用完时自动注销用户) ◼ 3、限制用户只能从某些工作站登录,"登录到"按钮
组的建立 ·组是一组帐号的标识, 为了方便管理,可以将一组相同性质的帐号加 如果利用奥表理用方账:的那,就不用对相同肩 ■组的类型: a:安全组 主要是且来设置权限用的」 ◆ b:分布式组 分布式组是用来与安全(权限的设置等)无关 的任务上。 ■组的使用范围: D全局组:,包含本域内的用户帐户和全局组,经过资源权限的设置后,全 局组可以访问任何一个域内的资源。 ·密+ 、通用组:包含任何一个域内的用户帐户,全局组和通用组,但是 不包含在何一个域内的本地组。可以访尚任何一不域内的资源
组的建立 ◼ 组是一组帐号的标识,为了方便管理,可以将一组相同性质的帐号加 入到一个组里。如果利用组来管理用户账户,那么,就不用对相同属 性的帐号分别设定,从而减轻许多网络管理的负担。 ◼ 组的类型: ◼ a:安全组 主要是且来设置权限用的。 ◼ b:分布式组 分布式组是用来与安全(权限的设置等)无关 的任务上。 ◼ 组的使用范围: 全局组:包含本域内的用户帐户和全局组,经过资源权限的设置后,全 局组可以访问任何一个域内的资源。 本地组:包含任何域内的用户,全局组,通用组和本地域的本地组,但 是不包含其它域内的本地组。只能访问本域中的资源,不能访问其他域 的资源。 ◼ 3、通用组:包含任何一个域内的用户帐户,全局组和通用组,但是 不包含任何一个域内的本地组。可以访问任何一个域内的资源
更改域的模式 ◆ windows2000的域模式分为混合模式两种。当建立好域后,系统 将美为本员凝金:李肴wn6w52B8院提名。可 默认的模式为混合模式。这种模式是兼容于windows NT的模 ⑩混合模式:此模式中,域控制器可以包含WindowsNT系统。特点: ·◇,不支持通用组。 ◇,只有本地组可以包含全局组,而且是单一的嵌套,不支持其它的 嵌套,例:不支持将全局组包含到其他全局组内。 o本机模式:此模式中,所有的域控制器必须都是Windows2000计算机, 其他成员可以包含WindowsNT系统。特点: ▣◇支持所有的组。 ◇支持所有的嵌套,而且支持多层次的嵌套 ◆ 步骤:.管理工具一Active Directory用户和计算机一单击域名一右 键属性一更改模式。(过程不可逆)
更改域的模式 ◼ windows 2000 的域模式分为混合模式两种。当建立好域后,系统 默认的模式为混合模式。这种模式是兼容于windows NT的模式,可 以将其更改为本机模式,以便享有windows 2000 所提供的特色。 混合模式:此模式中,域控制器可以包含WindowsNT系统。特点: ◼ ◇.不支持通用组。 ◼ ◇.只有本地组可以包含全局组,而且是单一的嵌套,不支持其它的 嵌套,例:不支持将全局组包含到其他全局组内。 本机模式:此模式中,所有的域控制器必须都是Windows2000计算机, 其他成员可以包含WindowsNT系统。特点: ◼ ◇.支持所有的组。 ◼ ◇.支持所有的嵌套,而且支持多层次的嵌套。 ◼ 步骤:管理工具—Active Directory 用户和计算机—单击域名—右 键属性—更改模式。(过程不可逆)
组的应用 。1.在单域的网络环境下,配置用户访问资源最好的方法: ◆ ①.建立一个全局组,然后将具备相同权限的用户帐户加入到此 组中。例如:将业务部所有的用户帐户加入到66w全局组内。 ②建立一个本地组,设翼此组对资源具备语当的权限。例如:给 台其享彩色打印机建立一个ColorPrinter的本地组。 ③将所有访问此资源的全局组加入到本地组中。例如:将BBW 全局组加入到ColorPrinter本地组内。 ④给本地组适当的权限。例如:给予ColorPrinter本地组对此 彩色打印机打审的权限。 ◆.如果将用户帐户加入到本地组内,然后直接设置此组对资源的访 问权限。缺点是:无法在其他域内设置此本地组的权限。 ◆.如果将用户帐户加入到全局组内,然后直接设置此组对资源的访 罪 些全局
组的应用 ◼ 1.在单域的网络环境下,配置用户访问资源最好的方法: ◼ ①.建立一个全局组, 然后将具备相同权限的用户帐户加入到此 组中。例如:将业务部所有的用户帐户加入到bbw全局组内。 ◼ ②.建立一个本地组,设置此组对资源具备适当的权限。例如:给 一台共享彩色打印机建立一个ColorPrinter的本地组。 ◼ ③.将所有访问此资源的全局组加入到本地组中。例如:将BBW 全局组加入到ColorPrinter本地组内。 ◼ ④.给本地组适当的权限。例如:给予ColorPrinter本地组对此 彩色打印机打印的权限。 ◼ ◆.如果将用户帐户加入到本地组内,然后直接设置此组对资源的访 问权限。缺点是:无法在其他域内设置此本地组的权限。 ◼ ◆.如果将用户帐户加入到全局组内,然后直接设置此组对资源的访 问权限。缺点是:如果网络包含多个域,而且每个域内都有一些全局 组需要对此资源具备相同的权限,则必须分别替每个全局组设置权限, 会增加网络管理负担
域组的建立 ·在域控制器上,通过管理工具一Active Directory用户和计算机一单击域名一新 建一组
域组的建立 ◼ 在域控制器上,通过管理工具—Active Directory 用户和计算机—单击域名—新 建—组
本地组的建立 ■在独立,成员服务器和工作站上,管理工 具一计算机管理一系统工具一本地用户和 组
本地组的建立 ◼ 在独立,成员服务器和工作站上,管理工 具—计算机管理—系统工具—本地用户和 组