活动目录的用户和组.ppt
- 文档编号:16254936
- 上传时间:2023-07-12
- 格式:PPT
- 页数:72
- 大小:781.50KB
活动目录的用户和组.ppt
《活动目录的用户和组.ppt》由会员分享,可在线阅读,更多相关《活动目录的用户和组.ppt(72页珍藏版)》请在冰点文库上搜索。
管理活动目录用户账号和组账号,教学教研部赵天宇,本章目标,理解域用户和计算机账户学会创建和管理域用户和计算机账户理解活动目录中组的不同类型及其作用学会运用AGDLP策略,用户账号的介绍,用户账号的一般性介绍用户主名用户主名后缀,用户账号的一般性介绍,用户账号的作用为用户提供“单一验证”提供对资源的访问本地用户账号和域用户账号的区别可以分为显示名和登录名,用户主名,是一种只能用来登录到WindowsServer2003网络的登录名优点在活动目录中唯一可以与用户的电子邮件地址相同,用户主名后缀,使用用户主名后缀将简化用户在复杂环境下的登录过程演示:
新建用户主名后缀,并为用户设置用户主名后缀,创建用户账号,使用“ActiveDirectory用户和计算机”创建用户账号使用dsadd命令创建用户账号在域中的成员服务器上安装管理工具包利用RunAS执行管理任务在域控制器上登录,使用“ActiveDirectory用户和计算机”创建用户账号,演示:
使用“ActiveDirectory用户和计算机”创建用户账号的过程,使用dsadd命令创建用户账号,演示:
使用dsadd命令创建用户账号,在域中的成员服务器上安装管理工具包,演示:
在域中的成员服务器上安装管理工具包,利用RunAS执行管理任务,使用RunAs演示:
利用RunAS执行管理任务,在域控制器上登录,默认情况下使用administrator账号可以在DC上登录默认情况下使用普通域用户账号不能在DC上登录,管理用户账号,执行用户账号公共管理任务设置用户账号属性域用户账号复制在AD中搜索用户账号删除域用户账号,执行用户账号公共管理任务,公共管理任务包括:
添加到组:
把用户加入到一个组账号中,可以使用户账号具有该组所拥有的权限,在对用户授权时使用禁用账户:
如果员工出差,在一段时间内该账号不使用时应该把账号禁用重设密码:
当用户本人忘记了自己的密码时,可以由管理员对密码进行重新设置移动:
当员工从一个部门调到另外的部门时,可以利用账号移动在网络管理中以体现这种行政管理的变化删除:
当员工离职时,出于安全性的考虑,应将不再使用的用户账号删除重命名:
从安全的角度来看,账号重命名对一些内置账号如Administrator来说非常重要,设置用户账号属性,对用户账号的管理实质上是对账号属性的管理演示:
设置用户账号的常用属性,实现用户配置文件,用户配置文件的功能:
对Display、regional、mouse、printer、network等属性进行设置,定义用户工作环境用户配置文件的类型默认的用户配置文件(DefaultUserProfile)本地用户配置文件(LocalUserProfile)漫游用户配置文件(RoamingUserProfile)强制漫游用户配置文件(MandatoryUserProfile),域用户账号复制,账号模板的作用把多个用户账号的公用属性写到模板账号中,然后利用账号复制的方法可以减轻管理员的工作负担演示:
账号复制,在AD中搜索用户账号,利用活动目录根据已知用户账号的属性进行搜索演示:
在AD中搜索用户账号,删除域用户账号,使用“ActiveDirectory用户和计算机”删除用户账号利用dsrm命令删除域用户账号,WindowsServer2003中的账号安全,账号管理的一般性原则密码策略管理Administrator账号管理Guest账号查看用户账号的SID,账号管理的一般性原则,确保网络中只有必需的账号被使用,及时删除不使用的账号,而且每个账号仅有能满足他们完成工作的最小权限重命名敏感用户账号,如Administrator、Guest以及其他一些在安装软件或服务时(如IIS和终端服务)自动建立的账号实施严格的密码策略,阻止对密码的暴力攻击设置账号锁定策略,密码策略,严格的密码策略是保证系统安全的第一道屏障危险密码空密码与用户名相同用户名的简单变化用户本人相关的个人信息英文单词键盘上相邻的字母组合强壮密码字母+数字+大小写+具有一定的长度+无意义的组合+定期更改,管理Administrator账号,Administrator账号的特点不能删除不能修改其默认权限的设置重命名administrator账号,管理Guest账号,Guest账号的作用Guest账号作为来宾账号,是供那些未经授权的用户访问系统时使用的,所以除非特别需要,否则不要启用Guest账号,而且也不要为Guest账号赋予额外的权限,查看用户账号的SID,SID(SecurityIdentifier,安全标识符)是一种不同长度的数据结构,用来识别用户、组和计算机账号在Windows系统中是基于SID,而不是基于名字来识别对象的。
SID在创建该对象时产生,从CPU中随机读取一个字符串,SID一旦被使用就永远都不会重复利用whoami命令查看用户的SID,组账号的介绍,组账号介绍WindowsServer2003中组的类别活动目录中组的类型活动目录域和目录林的功能组的范围通用组和全局编录的关系,组账号介绍,组账号组是用户账号的逻辑的集合(删除组后用户仍存在)当一个用户账号加入到一个组以后,该用户账号就拥有该组所拥有的全部权限一个用户账号同时可以是多个组的成员。
在特定情况下组是可以嵌套的(组中可以包括其他组),WindowsServer2003中组的类别,工作组中的组内置组:
在创建操作系统或安装相应的网络服务时创建的,对操作系统都具有一定的管理权限,无法被删除也不能修改其权限配置本地组:
可以组织用户账号并对组进行授权通过“计算机管理”控制台进行管理和维护,WindowsServer2003中组的类别,域中的组位于域中成员服务器(非DC)中的组组的成员可以是本地计算机上的本地用户账号、域中的用户账号、域中的全局组和通用组账号、信任域中的域用户账号以及信任域中的全局组和通用组账号通过“计算机管理”控制台下的“本地用户和组”来管理和维护为了安全,不建议使用位于域控制器(DC)中的组DC上没有本地组,只有域中的组账号,活动目录中组的类型,在活动目录中,根据组的类型进行分类,有通讯组和安全组两种类型通讯组:
用来组织用户账号,没有安全特性,一般来说不用于授权。
在通讯组中可以存储联系人和用户账号,可以在Microsoft其他的产品如MicrosoftExchange2007中使用安全组:
具备通讯组的全部功能,用来为用户和计算机分配权限,是WindowsServer2003标准的安全主体。
安全组出现在定义资源和对象权限的访问控制列表中,活动目录域的功能级别,域功能级别Windows2000混合模式支持WindowsNT4.0、Windows2000和Windows2003安装活动目录后目录的默认功能级别该模式的域不能使用通用组、不能进行组的嵌套、也不能启用SID的历史记录功能(迁移安全主体)Windows2000纯模式支持Windows2000和Windows2003该模式的域能使用通用组、进行组嵌套和SID的历史记录功能Windows2003Server模式只支持Windows2003可以使用域中的所有功能域功能级别可以提升,但提升是单向的,而且只有DomainAdmins和EnterpriseAdmin组的成员才能进行该操作,活动目录域和目录林的功能,林功能级别Windows2000模式支持WindowsNT4.0、Windows2000和Windows2003不能实现如全局编目复制改造、域重命名、林信任、活动目录中停用类型或属性等功能WindowsServer2003模式只支持Windows2003可以使用上述所有的新功能林功能级别可以提升,但提升是单向的,而且只有DomainAdmins和EnterpriseAdmin组的成员才能进行提升操作,同时一定要确保目录林中所有的DC上域的功能级别都处于Windows2000纯模式或Windows2003server模式,组的范围,全局组:
使用全局组来管理那些具有相同管理任务或访问许可的用户账号。
全局组中只能包括该全局组所在域的用户账号。
全局组可以成为任何域的本地组的成员。
在Windows2000混合模式下,全局组不能嵌套域本地组:
与全局组用来组织用户账号不同,使用本地组的目的是为了给本域中的资源分配权限,本地组只在本域中可见。
本地组中可以包括任何域的用户账号和任何域的全局组和通用组。
在Windows2000混合模式下,本地组不能嵌套通用组:
在Windows2000混合模式下不能使用通用组。
通用组的使用比较灵活,它既具有全局组可以组织用户账号的作用,又具有本地组可以分配权限的作用。
通用组中可以包括任何域的用户账号、任何域的全局组和通用组,而且通用组可以成为任何域的本地组的成员,并且可以在目录林的任何域中指派权限,*,秦皇岛盛邦计算机教育,34,通用组和全局编录的关系,全局编录(GC)的作用是保存活动目录中对象属性的信息,通用组的成员信息也保存在GC中。
GC不仅对在活动目录中查找对象提供支持,而且还与用户的登录进程有关由于通用组的成员信息保存在GC中,而用户登录后产生的访问令牌中必须包含用户所属的组的信息。
所以当域处于Windows2000纯模式或WindowsServer2003模式,用户登录到域时,系统必须到GC上去查看一下这个用户是否属于那个通用组在多域环境下,当用户以用户主名的方式登录域,而当前的DC又没有这个用户的直接信息时,也需要GC服务器才能登录,在域中创建组账号,使用“ActiveDirectory用户和计算机”创建组账号使用dsadd命令创建组账号,使用“ActiveDirectory用户和计算机”创建组账号,演示:
使用“ActiveDirectory用户和计算机”创建组账号的过程,使用dsadd命令创建组账号,演示:
使用dsadd命令创建组账号,管理组账号,组账号的常规管理任务在活动目录中删除组账号,组账号的常规管理任务,设置组账号信息设置组成员组账号重命名,在活动目录中删除组账号,使用“ActiveDirectory用户和计算机”删除组账号使用dsrm命令删除组账号演示:
删除组账号,为存在的域建立子域,使用“管理您的服务器”创建子域使用dcpromo命令创建子域,在域中实现AGDLP法则,在域中实施权限分配时采用AGDLP法则AUserAccounts用户账号GGlobalGroup全局组DLDomainLocal域本地组PPermissions权限,介绍发布资源,发布资源的概念在活动目录中发布资源的特点,发布资源的概念,有些活动目录对象,如打印机和共享文件夹,默认情况下是不在活动目录中的。
如果想让用户能够在活动目录中访问这些默认没有在活动目录中的资源,就必须把它们加入到活动目录中把默认没有在活动目录中的对象加入到活动目录中的过程称为“发布”一旦资源被发布到活动目录中,活动目录用户就可以利用活动目录搜索工具来查找并访问该资源,而无需知道该资源具体的物理位置,在活动目录中发布资源的特点,在活动目录中发布资源可以确定资源的位置,即使资源的物理位置发生了改变应该把静态的、很少改动的资源发布到活动目录中用户经常访问的资源如打印机、共享文件夹应该发布到活动目录中,设置和管理共享文件夹,发布共享文件夹介绍在活动目录中发布共享文件夹在活动目录中管理发布的共享文件夹在活动目录中搜索发布的共享文件夹,发布共享文件夹介绍,在网络中共享文件夹是用户经常需要访问的资源。
如果用户需要访问这些共享资源,就必须知道每一个共享文件夹的UNC路径。
当网络中的共享文件夹很多时,这是很麻烦的如果把这些共享文件夹发布到活动目录中,让活动目录的用户可以利用活动目录查找工具找到这些发布的对象,进而把用户引到共享资源本身,而用户并不需要知道共享文件夹真正的物理位置,这将大大方便用户对网络中共享资源的使用与WindowsServer2003中打印机的自动发布不同,共享文件夹只能由管理员手工发布到活动目录中,在活动目录中发布共享文件夹,演示:
在活动目录中发布共享文件夹,在活动目录中管理发布的共享文件夹,为共享文件夹配置搜索选项对共享文件夹执行常规管理任务对共享文件夹进行移动、打开、浏览、查找、映射网络驱动器、删除和重命名演示:
配置搜索选项、执行常规管理任务,在活动目录中搜索发布的共享文件夹,演示:
利用活动目录查找工具搜索在活动目录中发布的共享文件夹对象,比较发布对象和共享资源,在活动目录中发布的对象和共享资源是有区别的在活动目录上发布的对象与它所代表的共享资源本身是完全独立的,它们分别有自己的DACL发布的对象包含关于共享资源的位置信息,便于在活动目录中利用查找工具进行定位,一旦需要查看其内容,活动目录又可以把用户引到资源本身一个用户要想在搜索活动目录时看到某个对象,必须对这个对象具有读权限删除文件夹共享时,发布仍在在活动目录中发布的共享资源可以在OU间移动,在活动目录中发布资源的原则,在活动目录中发布经常使用的共享文件夹和打印机打印机的位置名称应该便于用户理解,因此最好给打印机起一个见名知义的名称在发布共享文件夹时,为其设置通俗易懂的描述项和关键字,这将便于用户确定共享文件夹的位置在活动目录中为发布的打印机和共享文件夹建立独立的OU,以方便对发布资源的管理在活动目录中为发布的打印机和共享文件夹设置合适的DACL,组织单位简介,组织单位的功能组织单位和组账号的区别组织单位和域的关系组织单位和其他活动目录容器的区别,组织单位的功能,OU中可以包括用户账号、组账号、计算机、打印机、共享文件夹及子OU等对象OU是活动目录中最小的管理单元OU是活动目录中最重要的一个组件之一,它是活动目录和企业的实际环境联系的纽带,在资源组织和管理上起到非常重要的作用,组织单位和组账号的区别,相同点:
OU和组账号都是活动目录的对象,都是基于管理的目的而创建的不同点组账号中能包含的对象类型比较有限,而OU中不仅包括用户账号和组账号,还可以包括计算机、打印机、共享文件夹、联系人等其他活动目录对象创建组账号的目的主要是给某个NTFS分区上的资源赋予权限,而创建OU的目的主要是用于委派管理权限可以对OU设置组策略,而不能给组账号设置组策略当删除一个组账号时,只是打破了该组账号所包含的用户账号之间的逻辑关系,其所包含的用户账号不会因此而被删除。
而当删除一个OU时,其中所包括的一切活动目录对象都将随之被删除,组织单位和域的关系,相同点OU和域都是用户和计算机的管理单元,都可以容纳活动目录对象,都可以对其设置组策略不同点用户只能登录到域,而不能登录到OU先有域,然后才能有OU,也就是说OU只能在域中存在,域不能在OU中存在,域的级别比OU高,组织单位和其他活动目录容器的区别,OU和其他的活动目录容器不同,其他容器只能包含活动目录对象,不能对其进行组策略配置除了创建活动目录时自动创建的普通容器外,管理员不能新建普通容器对象,但可以根据管理需要新建OU对象,在活动目录中创建OU,使用“ActiveDirectory用户和计算机”控制台创建OU使用dsadd命令创建OU,使用“ActiveDirectory用户和计算机”控制台创建OU,演示:
使用“ActiveDirectory用户和计算机”创建OU的过程,使用dsadd命令创建OU,演示:
使用dsadd命令创建OU,在活动目录中管理OU,在活动目录中对OU执行常规管理任务在OU之间移动活动目录对象在活动目录中删除OU,在活动目录中对OU执行常规管理任务,对OU的管理包括设置OU的常规信息、管理者、对象、安全性及组策略演示:
对OU执行管理任务,在OU之间移动活动目录对象,一个员工从一个部门调到另外一个部门的情况,体现在活动目录中就需要把一个用户账号从一个OU移动到另一个OU。
在用户账号移动后,赋予该用户账号的权限设置不会改变,只是该用户账号以后会使用新OU的组策略设置OU中包括的其他活动目录对象如组账号、计算机账号、打印机等也可以根据管理的需要进行移动,而且移动到的目标位置可以是活动目录中的任何容器对象,包括活动目录中的普通容器演示:
在OU之间移动活动目录对象,在活动目录中删除OU,在“ActiveDirectory用户和计算机”工具中删除OU使用dsrm命令删除OU演示:
删除OU,在活动目录中实现委派管理控制,委派管理概述在AD中实现委派验证委派权限在AD中收回委派的权限委派管理控制的原则,委派管理概述,当活动目录中的资源非常多时,利用OU除了起到组织资源的作用以外,还可以对OU进行权限的委派,这样就可以减轻域管理员的工作负担在WindowsServer2003中结合OU、用户或组、权限就可以把管理权力指派给特殊的用户,通过委派把活动目录对象的管理责任分派给另一用户或组,以分散管理任务,在AD中实现委派,在WindowsServer2003的活动目录中可以使用委派控制向导来实现委派演示:
在AD中实现权限委派,验证委派权限,在“ActiveDirectory用户和计算机”控制台中验证委派权限演示:
验证委派权限,在AD中收回委派的权限,在对一个OU进行权限委派后,如果委派的用户发生部门调动或离职等情况,就要求把委派的权限收回利用“委派控制向导”不能收回委派出去的权限,要想收回委派的权限,需要修改OU属性对话框中的“安全”选项卡演示:
收回委派的权限,委派管理控制的原则,在OU层次上进行委派控制,便于跟踪权限的分配使用“控制委派向导”来进行委派,向导将简化委派对象权限的进程记录委派权限的分配。
当活动目录中需要委派的对象非常多、被委派的对象也非常多时,最好能把委派的任务形成文档,这样在需要浏览安全设置时可以保持记录按所在OU的安全原则控制委派,在用户完成管理任务的前提下委派最小的权限尽可能少用拒绝权限。
如果正确地分配权限,就不需要使用拒绝权限。
在多数情况下,拒绝权限意味着在指定组成员关系时发生错误,使用拒绝权限还会使跟踪权限变得更加复杂,委派管理控制的原则(续),确保委派的用户能担负起管理责任,并完成被委派的任务。
作为管理员,应该负责委派的任务是否完成为委派控制对象的用户提供培训。
通过培训,可以使用户明白他们的责任并知道如何执行管理任务建议最好把管理任务委派给组账号而不是具体的某个用户账号,需要时可以把用户账号添加到被委派的组账号中,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 活动 目录 用户