<b></b>
<b> </b><b>域使用者賬戶群組</b>
<b> </b><b>域使用者</b>
Windows2003所支援使用者類型
<b>1. </b><b>本地使用者</b>
1) 存儲在本地計算麻風打開地帳号資料庫中
2) 本地使用者隻可通路本地計算機的資源
3) 本地使用者登入本機由本地計算機的SAM來稽核
<b>2. </b><b>域使用者</b>
1) 域使用者存儲在域資料庫中
2) 域使用者可通路域中允許的資源
3) 域使用者建立後會被複制到額外域控制器上。
域使用者在域内一台計算機登入後,當他們連接配接域内的其他計算機時,并不需要再次登入到其他計算機上,這個隻需要登入一次的功能,稱為單一登入。本地使用者不具備單一登入功能。
<b>實踐:1</b><b>、建立域使用者:</b>
<b>注意事項:</b>
1) DC上不能建立本地使用者;
2) 利用“AD使用者和計算機”建立并管理域使用者賬戶;
<b>2</b><b>、使建立的使用者能夠從DC</b><b>本機登入</b>
預設情況下,隻有某些特殊組内賬戶有權限從DC上登入。所建立的普通使用者不能夠從DC本機登入,須通過以下設定才可:
1) 管理工具——域控制器安全政策——Windows 設定——安全設定——本地政策——使用者權限指派——允許本地登入——添加使用者群組;
2) 開始——運作—— gpupdate /target:computer /force
注:若為win2000 DC則運作:secedit /refreshpolicy machine_policy
<b>3</b><b>、域使用者賬戶的管理</b>
1) 域使用者賬戶的屬性設定;
2) 域使用者賬戶的禁用、啟用、重命名及删除等。
<b> </b><b>域組賬戶</b>
l <b>域組的類型</b>
<b>1、 </b><b>安全組:</b>主要用來設定權限用的。也可用在與安全無關的任務上,如: 通過E-mail軟體将E-mail發送給某個分布式組。
<b>2、 </b><b>分布式組:</b>用在與安全無關的任務上。如:通過E-mail軟體将E-mail發送給某個分布式組,(應用程式須支援AD才可使用分布式組)。無法設定分布式組的權限。
l <b>域組的使用領域</b>
從組的使用領域來分,win2003域組可分為以下三類:
u 全局組
u 本地域組
u 通用組
<b>1、 </b><b>全局組</b>:
1) 成員範圍:隻能包含所屬域内的使用者和全局組;
2) 可通路資源範圍:可以通路所有域的資源。
<b>2、 </b><b>本地域組</b>
1) 成員範圍:所有域内的使用者、全局組、通用組,所屬域内的本地域組;
2) 可通路資源範圍:隻可通路所屬域的資源。
<b>3、 </b><b>通用組</b>
1) 成員範圍:所有域内的使用者、全局組、通用組;
<b> </b><b>注:</b>1)域功能級别為win2000混合模式時不支援通用組;
2)域功能級别為win2000混合模式時不支援全局組嵌套。
<b>實踐:</b>1、域組的建立、添加組成員;
2、域組的管理、删除與更名。
<b> </b><b>提升域功能級别</b>
<b> </b>必須域功能級别提升到win2000純模式或win2003,才可擁有通用組群組嵌套功能。
<b>步驟:</b>開始——程式——AD使用者和計算機——右擊域名稱——提升域功能級别。
<b> </b><b>注:</b>域功能級别被提升後就無法再改回。
<b>組的使用準則(</b><b>AGDLP</b><b>政策)</b>
為了讓網絡管理更為容易,同時也為了減輕網絡維護的負擔,是以在利用組來管理網絡資源尤其是大型網絡時,建議采用AGDLP準則:
先将使用者賬戶<b>(</b><b>A</b><b>)</b>加入到全局組<b>(</b><b>G</b><b>)</b>,再将全局組加入到本地域組<b>(</b><b>DL</b><b>)</b>,然後設定本地組的權限<b>(</b><b>P</b><b>)</b>。
本文轉自xubenxin 51CTO部落格,原文連結:http://blog.51cto.com/windows/14324,如需轉載請自行聯系原作者