windows_learn 002 用戶管理和組策略

windows_learn 002 用戶管理和組策略

內(nèi)容總覽

域用戶與組的管理

用戶和組

用戶登錄名

添加用戶工具

在活動目錄中使用組

為何使用組？

全局組 Global Group Rules

域本地組 Domain Local Group Rules

通用組 Universal Group Rules

在域中使用組的策略

使用組的方針

組策略規(guī)劃及部署

組策略規(guī)劃及創(chuàng)建

組策略對象的工具

域用戶與組的管理

概述

管理域用戶賬戶

添加多個(gè)用戶賬戶

域組賬戶

組的使用準(zhǔn)則

用戶和組

每個(gè)用戶賬號創(chuàng)建一個(gè)唯一的登錄名

使用批處理創(chuàng)建多個(gè)用戶

將用戶分組，用以管理網(wǎng)絡(luò)上的共享資源（簡化授權(quán)次數(shù)）

為分層結(jié)構(gòu)創(chuàng)建一個(gè)模型時(shí)，將組嵌入別的組中以減少管理任務(wù)

用戶登錄名

用戶主名

1.用戶主名前綴

2.用戶主名后綴

用戶登錄名

1.用戶登錄時(shí)必須選擇域

用戶登錄名唯一性原則

1.全名在創(chuàng)建用戶賬號的容器內(nèi)必須唯一

2.用戶主名在目錄林中必須唯一

3.用戶登錄名在域中必須唯一

添加用戶工具

AD用戶和計(jì)算機(jī)

目錄服務(wù)工具

Dsadd

Dsmod

Dsrm

Csvde 和 Ldifde 工具 （適合批量添加用戶）

Windows 腳本宿主

在活動目錄中使用組

介紹活動目錄的組

使用全局組

使用域本地組

使用通用組

為何使用組？

1. 使用組可以簡化權(quán)限的分配

2. 一個(gè)用戶可以屬于多個(gè)組

3. 組與組之間可以嵌套

4. 對組里的用戶添加和移除不會產(chǎn)生碎片

組類型

安全組： 分配權(quán)限NTFS

通訊組： 群發(fā)郵件

作用域

本地域組

全局組

通用組

全局組 Global Group Rules

成員資格 包含來自同一個(gè)域的用戶賬號和全局組

成員屬于 全局組可以是任何一個(gè)域中的通用和域本地組，以及同一個(gè)域中的全局組成員

作用范圍 全局組在域和所有信任域可見

權(quán)限范圍 目錄林中所有域

全局組用來

主要用來組織對象的， 不會用來做授權(quán)

域本地組 Domain Local Group Rules

成員資格 可以包含目錄林中的任何域的用戶賬號全局組和通用組，以及同一域的域本地組。

成員屬于 域本地組可以是同一域中的域本地組

作用范圍 域本地組只在它自己的域中可見

權(quán)限范圍 域本地組位于其中的域

通用組 Universal Group Rules

成員資格 可以包含來自目錄林中的任何域的用戶和賬號全局組和其它通用組

成員屬于 可以是任何域中的域本地和通用組成員

作用范圍 通用組在目錄林中的所有域都是可見

權(quán)限范圍 目錄林所有域

在域中使用組的策略

使用全局和域本地組

AGGDLP

1. 添加域用戶賬號到全局組 User Accounts --> Global Group

2. (optional) 把一個(gè)全局組添加到另一個(gè)全局組 Global Group --> Global Group

3. 把全局組添加到一個(gè)域本地組 Global Group --> Domain Local group

4. 賦予相應(yīng)權(quán)限給相應(yīng)的域本地組 Domain Local group

AGUDLP

1.把用戶賬號添加到全局組 User --> Global Group

2.把一個(gè)全局組嵌套到另一個(gè)全局組中 Global Group --> Global groups

3.把全局組嵌套到通用組中 Global Group --> Universal Group

4.把通用組添加為資源創(chuàng)建的域本地組 Universal Group --> Domain Local Group

5.把組中用戶的合適權(quán)限分派給域本地組 Permissions --> Domain Local Group

使用組的方針

將負(fù)責(zé)日常工作的用戶添加到全局組

針對共享資源的訪問創(chuàng)建創(chuàng)建全局組

將需要訪問這些資源的全局組添加到相應(yīng)的域本地組

使用通用組可以訪問多個(gè)域的資源

通用組的成員相對穩(wěn)定時(shí)使用通用

組策略規(guī)劃及部署

本章重點(diǎn)

何謂組織單位

規(guī)劃組織單位

管理組織單位

管理組織單位的成員

委派控制

組織單位與委派控制

組織單位(Organizational Unit)

2000之后才出現(xiàn)的對象，在AD域的邏輯架構(gòu)中擔(dān)任重要的角色

何謂組織單位

在Windows NT的時(shí)代，域(Domain)是組織和管理網(wǎng)絡(luò)的最小單位。

倘若不同的部門有不同的安全需求與管理方式，往往因此使得將整個(gè)公司劃分

成多個(gè)域?？墒沁@種多域的架構(gòu)，在管理與成本都會增加負(fù)擔(dān)。

為了解決這類的問題，微軟公司在AD域中增加了組織單位這種對象，使得整個(gè)

域的規(guī)劃與管理更有彈性，能發(fā)揮分層負(fù)責(zé)、授權(quán)管理的優(yōu)點(diǎn)。

組織單位是一種容器

能包含其它對象的對象便稱為容器(Container),既然組織單位是一種容器，自然也能包含其

它對象。

它可以包含以下9種對象：

用戶、計(jì)算機(jī)、 組、 打印機(jī)、 共享文件夾

聯(lián)絡(luò)人、 組織單位、 InetOrgPerson、 MSMQ路由別名

但是要記得一點(diǎn)－－單位僅能包含同域內(nèi)的對象，不能包含其它域的對象

組織單位與組的差異

初次接觸組織單位時(shí)，許多用戶會將它與“組”混淆，雖然兩都都是應(yīng)用在AD域的邏

輯架構(gòu)中，但是在使用上有以下的差異：

一個(gè)用戶可以屬于多個(gè)組，但只能隸屬于一個(gè)組織單位。

組織單位可以包含組，但是組不能包含組織單位。

網(wǎng)絡(luò)資源（例如：文件夾或打印機(jī)）的權(quán)限可以賦予組，但是不能賦予組織單位。

規(guī)劃組織單位

如何規(guī)劃組織單位的架構(gòu)，是一個(gè)頗有挑戰(zhàn)性的課題。然而并無一定的準(zhǔn)則，主

要視企業(yè)實(shí)際需求而定。

以下列舉幾種常見的規(guī)劃模式：

基于地理位置 （中國、法國、挪威）

基于功能 （銷售、市場、咨詢）

基于組織 （制造業(yè)、工程師、研究員）

基于混合型的示例

組織（位置）

功能（組織）

位置（功能）

委派控制

簡單地說，所謂委派控制（Delegation) 便是授權(quán)！系統(tǒng)管理員可利用它來將例行的管理工

作，委派給特定的對象來執(zhí)行，以減輕自己的負(fù)擔(dān)。

執(zhí)行委派控制時(shí)應(yīng)注意以下3個(gè)要點(diǎn)：

委派的范圍：將多大的范圍（站點(diǎn)、域或組織單位）委派出去

委派的對象：委派給誰

委派的內(nèi)容：委派多大的權(quán)限出去。

給委派的用戶一個(gè)工具，使其可自行操作

在域控運(yùn)行mmc 文件添加管理單位－－》添加相應(yīng)的單元即可 

添加后 點(diǎn)擊需要管理的相應(yīng)OU，右鍵從這里創(chuàng)建窗口

新建任務(wù)面板

組策略規(guī)劃及創(chuàng)建

組策略運(yùn)行在Windows Server 2008、 Windows Vista、 Windows Server 2003和

Windows XP的計(jì)算機(jī)上啟用基于Active Directory的用戶和計(jì)算機(jī)設(shè)置更改和配置管理。

除了使用組策略為用戶和計(jì)算機(jī)組定義配置以外，還可以配置很多服務(wù)器特定的操作

和安全設(shè)置以便使組策略幫助管理服務(wù)器計(jì)算機(jī)。

組策略組件

Group Policy Object GPO

Contains Group Policy settings

Stores content in two locations

Group Policy Container

Stored in Active Directory

Provides version information

Group Policy Template

Stored in shared SYSVOL folder

Provides Group Policy settings

組策略對象的工具

默認(rèn)組策略工具

Active Directory 用戶和計(jì)算機(jī)

域和組織單位組策略對象

Active Directory 站點(diǎn)和服務(wù)

站點(diǎn)組策略對象

本地安全策略

本地計(jì)算機(jī)安全設(shè)置

附加工具

組策略管理

域、組織單位和站點(diǎn)組策略對象

組策略配置后需要Link到OU上才可以生效

組策略的應(yīng)用順序由高到低

子OU策略

父OU策略

域策略

站點(diǎn)策略

本地策略

組策略什么時(shí)候應(yīng)用？

computer starts 

Computer settings applied

Startup scripts on

User logs on

User settings applied

Logon scripts run