实训13：管理域用户帐户与组帐户


目的：理解域用户帐户与组帐户的特点、用途，掌 握管理域用户帐户与组帐户的方法与步骤。 内容：创建域用户帐户，使用域用户帐户登录到域， 设置域用户帐户的个人信息，设置域用户帐户的登 录时间，限制域用户帐户只能从特定的计算机上登 录域，禁用、启动域用户帐户，重设域用户帐户的 密码，删除域用户帐户，创建全局组，创建本地域 组，向组中添加成员，从组中删除成员，删除组帐 户，使用AG DL P原则为用户分配权限。 要求：掌握域用户帐户与组帐户的特点、用途，能 够管理域用户帐户与组帐户，掌握AG DL P 原则。

内置全局组：

10.4 管理域组账户

创建全局组



创建全局组账户的步骤为：以域管理员的身份登录域， 打开【管理工具】下的【Active Directory用户和计 算机】。 在【Users】的右键快捷菜单中选中【新建】【组】 选中【安全组】和【全局】，输入该组的名称。

创建本地域组



设置域用户账户的登录时间


限制域用户账户只能从特定的计算机上登录域


禁用、启用域用户账户

在【Active Directory用户和计算机】中右键单击一 个用户账户，在快捷菜单中选择【禁用账户】即可 在用户账户的右键菜单中选择【重设密码】 在用户账户的右键菜单中选择【重命名】 在用户账户的右键菜单中选择【删除】

10.1 理解域用户账户

什么是域用户账户



在域的活动目录数据库中，管理员可以为每个用户创 建一个用户账户，由于这种用户账户只存在于域中， 所以被称为“域用户账户”。 一个域中无论有多少台计算机，一个用户只要拥有一 个域用户账户，便可以访问域中所有计算机上允许访 问的资源。 域用户账户的资源访问范围可以是整个域，而并非局 限在一台计算机上。 在域中，管理员能够在活动目录数据库中创建并管户的个人信息

创建域用户账户后，双击该账户打开它的属性框，可 以对用户的个人信息，如姓名、地址等进行设置。 “常规”、“地址”、“电话”、“单位” 在用户账户的属性对话框中单击【账户】选项卡，然 后单击【登录时间】按钮。 在用户账户的属性对话框中单击【账户】选项卡，然 后单击【登录到】按钮。
用户（A）
全局组（G1 ）
权限（P）
资源
全局组（G1 ） 全局组（G2 ）
用户（A）
全局组（G2 ）
本地域组（DL）

使用这种组的嵌套原则分配的优点：

由于给组而不是给每个用户账户分配权限，减少了权 限的分配次数。 只要打开本地域组，根据里面全局组的名称可以判断 这些用户所在的公司部门。 不希望某个部门的某个用户访问这个共享文件夹，只 要从那个部门所对应的全局组删掉此用户账户即可。 不希望某个部门访问这个共享文件夹，只要从本地组 中删掉这个部门所对应的全局组即可。

内置的域用户账户

创建域后，系统自动创建的一些域用户账户 预先分配了一定的权限和权利 具有管理整个域的所有权利，可执行管理域的所有工作 为安全起见，应将其改名，但无法删除 供域外用户临时访问域中资源而使用的用户账户 只有很少的权利 安全起见，这个账户默认时被禁止使用

Administrator（管理员账户）

使用域用户账户登录到域



用户使用域用户账户可以在域中任何一台计算机上登录 域，身份验证由域控制器检查活动目录完成。登录成功 后，可以访问域中所有计算机上允许访问的资源。 为安全起见，默认时普通用户账户可以在域中非域控制 器的计算机上登录到域，不能在域控制器上登录到域。 设置普通的用户账户可以在域控制器上登录到域：以管 理员的身份单击【管理工具】【安全设置】【本地 策略】【用户权限分配】，双击“允许在本地登录”。 然后在“允许在本地登录属性”对话框中单击【添加用 户或组】，将选定的用户账户或组加入列表即可。

重设域用户账户的密码

重新命名域用户账户

删除域用户账户

10.3 理解域组账户

什么是域组账户

在域中，管理员能够在活动目录数据库中创建并管理 域组账户。 这种组账户只存在于域中。 域组账户有两种：安全组和通信组。 安全组：可以获得权限和权利。

域组账户的类型


域组账户的使用范围
右键单击【Users】，在右键快捷菜单中选中【新建】 【组】 选中【安全组】和【本地域】

向组中添加成员

右键单击一个本地域组账户，选择【属性】，单击 【成员】选项卡。 然后单击【添加】【高级】【立即查找】 右键单击一个本地域组账户，选择【属性】，单击 【成员】选项卡。 选中要删除的成员，单击【删除】按钮。 右键单击要删除的组，然后选择【删除】。
10 管理域用户帐户与组帐户
学习内容

在域中如何管理域用户帐户与组帐户。

理解域用户帐户 管理域用户帐户 理解域组帐户 管理域组帐户 域组帐户的使用原则
学习目标
理解：域用户帐户的概念、特点，域组帐户的概 念、特点，域组帐户的使用原则。 掌握：管理域用户帐户的工作，管理域组帐户的 工作。


Guest（来宾账户）

10.2 管理域用户账户

创建域用户账户



当前的内置用户账户中，只有Administrator才具有创 建、更改、删除域用户账户的权利，应先以 Administrator账户身份登录域。 打开【管理工具】下的【Active Directory用户和计 算机】。 单击域名，然后右击【Users】，选择【新建】【用 户】。 设置姓、名，姓名，用户登录名（用户登录到域所需 要使用的名称，在域中必须是唯一的）。 对用户账户的属性进行设置，如密码等。



从域组的使用范围来看，安全组又分为3种：全局组、 本地域组和通用组。 本地域组中可以包含域用户账户和全局组。 全局组中只能包含其所在域中的域用户账户。 一旦给某个组分配了权限或权利，那么这个组中的所 有成员都将具有该组所拥有的权限或权利。

内置的域组账户

内置的本地组：

Administrator，可执行所有的域管理任务。 Users，用户组，只有基本权限和权利。 Domain Admins，默认时包含Administrator账户。 Domain Users，新创建的域用户账户自动属于该组。

从组中删除成员



删除组帐户

10.5 域组账户的使用原则

在使用组为用户分配权限时，建议使用 AGDLP原则。

A代表用户账户（user Account） G代表全局组（Global group） DL代表本地域组（Domain Local group） P代表权限（Permission） 先将用户账户（A）加入到全局组（G）中，再将全局 组加入到本地域组（DL）中，最后给本地域组分配对 某个资源的权限（P）。