<b>1. 共享域使用者賬号</b>
在前面提到過,域的優點之一就是可以在所有已加入到域的伺服器中共享域使用者賬号,現在我們已經搭建好了一個基本的域環境,下面就來體驗一下如何共享域使用者賬号。
首先我們在域控制器DC上為公司員工王五建立一個域使用者賬号。
打開“Active Directory使用者和計算機”,在“Users”容器上單擊右鍵,執行“建立\使用者”,為王五建立域使用者賬号[email protected],如下圖所示。
<a target="_blank" href="http://blog.51cto.com/attachment/201303/092122410.jpg"></a>
然後在檔案伺服器FS上登入到域,建立一個共享檔案夾,使使用者王五具有讀取和寫入權限。
此時在FS伺服器上就可以直接調用DC域控制器上建立好的域使用者賬号。
<a target="_blank" href="http://blog.51cto.com/attachment/201303/092311240.jpg"></a>
<b>2 域使用者賬号和本地使用者賬号的比較</b>
域模型下的域使用者賬戶與工作組模型下的本地使用者帳戶有着本質的差別。
本地使用者帳戶是在本地計算機上建立,帳戶的所有資訊都存儲在本地計算機的SAM檔案中。利用本地使用者賬戶隻能登入到本機,在登入時要到SAM檔案中進行身份驗證,其作用範圍也僅限于本地計算機。
域使用者賬戶隻能在域控制器上建立,所有的域使用者賬戶資訊都存放在域控制器的活動目錄中。使用域使用者賬戶可以在任何一台已經加入到域中的計算機上登入,在登入時要到域控制器上進行身份驗證,然後可以根據相應的權限使用域中的資源。普通的域使用者賬戶對本地計算機隻擁有本地users組成員的權限。域使用者的安全性要求比較高,所有的域使用者必須要設定密碼,而且密碼要符合複雜性要求。
需要注意的是,當一台伺服器在被配置為域控制器之後,将自動禁用所有的本地使用者賬戶,目的是為了禁止從本地登入,以提高系統安全性。(打開“伺服器管理器\配置”界面,可以發現其中已經沒有了“本地使用者群組”的設定選項。)
<b>3 建立組織機關與域使用者賬号</b>
将用戶端計算機加入到域中之後,我們還需要為企業内的每名員工都在Active Directory中建立一個相關聯的使用者賬戶。預設的使用者賬戶和使用者組都存放在“Users”OU中,為了更清晰地展現出企業的組織架構,友善對使用者的管理,一般應先根據公司的部門設定建立出相應的組織機關(OU),然後在組織機關裡建立相應的使用者賬戶。
打開Active Directory使用者和計算機,選擇建立組織機關。
<a target="_blank" href="http://blog.51cto.com/attachment/201303/092609678.jpg"></a>
輸入組織機關的名稱,點選确定後一個組織機關就建立完成了。(如果選中“防止容器被意外删除”複選框,可防止該容器被意外删除,不過也将無法删除該OU,是以通常可取消勾選該複選框。)
<a target="_blank" href="http://blog.51cto.com/attachment/201303/092646810.jpg"></a>
建立了組織機關後,就可以在組織機關中建立使用者賬戶了。如圖所示,在人事部OU中選擇建立一個使用者。
<a target="_blank" href="http://blog.51cto.com/attachment/201303/092721619.jpg"></a>
為員工李四建立一個名為lisi的賬号,然後便可以在任何一台已加入到域中的計算機上用該賬号登入。
<a target="_blank" href="http://blog.51cto.com/attachment/201303/093218898.jpg"></a>
<b>4 設定使用者屬性</b>
在域模式下,對域使用者賬戶可以實作很多本地使用者賬戶所不具備的管理功能。下面是幾種比較常用的域使用者賬戶屬性設定。
<b>4.1 設定登入時間</b>
打開域使用者賬戶的屬性設定界面,在“賬戶”标簽中點選“登入時間”,可以用來設定允許使用者登入到域的時段,比如隻允許該賬戶在工作時間即從周一到周五的9:00~17:00的時間段内登入。
<a target="_blank" href="http://blog.51cto.com/attachment/201303/093330573.jpg"></a>
打開“登入時間”設定界面後,其中藍色的格子代表允許登入的時間段,預設情況下使用者可以在任意的時間内登入到域中。先将所有的格子選中,然後點選“拒絕登入”,将所有的格子設成白色。再選中允許登入的時間段内的格子,點選“允許登入”,将格子設成藍色。這樣這個域使用者就隻能在周一到周五的9:00~17:00的時間段内登入到域中了。
<a target="_blank" href="http://blog.51cto.com/attachment/201303/093413833.jpg"></a>
<b>4.2 設定域使用者可以登入的計算機</b>
在“賬戶”标簽中的“登入到”,可以用來設定允許使用者登入到域的計算機,系統預設使用者可以從任何一台用戶端計算機登入域,也可以限制使用者隻能從某些計算機登入域。
點選“登入到”按鈕,打開“登入工作站”對話框,如隻允許該賬戶在名為“client1”的用戶端計算機上登入,選擇“下列計算機”,輸入用戶端計算機的名字“client1”,點選“添加”按鈕即可。
<a target="_blank" href="http://blog.51cto.com/attachment/201303/093457798.jpg"></a>
本文轉自 yttitan 51CTO部落格,原文連結:http://blog.51cto.com/yttitan/1153863
![阿裡雲ECS(ubutun)下安裝docker[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)