当前位置：文档之家› 活动目录的用户和组

活动目录的用户和组

密码策略 • 严格的密码策略是保证系统安全的第一道屏障 • 危险密码
– – – – – – 空密码与用户名相同用户名的简单变化用户本人相关的个人信息英文单词键盘上相邻的字母组合
• 强壮密码
– 字母数字+大小写具有一定的长度无意义的组合字母+数字大小写具有一定的长度+无意义的组合数字大小写+具有一定的长度无意义的组合+ 定期更改
– 位于域控制器（DC）中的组位于域控制器（）
• DC上没有本地组，只有域中的组账号上没有本地组，上没有本地组
活动目录中组的类型 • 在活动目录中，根据组的类型进行分类，有通讯在活动目录中，根据组的类型进行分类，组和安全组两种类型
– 通讯组：用来组织用户账号，没有安全特性，一般来通讯组：用来组织用户账号，没有安全特性，说不用于授权。说不用于授权。在通讯组中可以存储联系人和用户账可以在Microsoft其他的产品如其他的产品如Microsoft 号，可以在其他的产品如 Exchange 2007中使用中使用 – 安全组：具备通讯组的全部功能，用来为用户和计算安全组：具备通讯组的全部功能，机分配权限，机分配权限，是Windows Server 2003标准的安全主标准的安全主体。安全组出现在定义资源和对象权限的访问控制列表中
Windows Server 2003中组的类别中组的类别 • 域中的组
– 位于域中成员服务器（非DC）中的组位于域中成员服务器（）
• 组的成员可以是本地计算机上的本地用户账号、域中的用户组的成员可以是本地计算机上的本地用户账号、账号、域中的全局组和通用组账号、账号、域中的全局组和通用组账号、信任域中的域用户账号以及信任域中的全局组和通用组账号 • 通过“计算机管理”控制台下的“本地用户和组”来管理和通过“计算机管理”控制台下的“本地用户和组” 维护 • 为了安全，不建议使用为了安全，
Windows Server 2003中组的类别中组的类别 • 工作组中的组
– 内置组：在创建操作系统或安装相应的网络服务时创内置组：建的，对操作系统都具有一定的管理权限，建的，对操作系统都具有一定的管理权限，无法被删除也不能修改其权限配置 – 本地组：可以组织用户账号并对组进行授权本地组： – 通过“计算机管理”控制台进行管理和维护通过“计算机管理”
查看用户账号的SID 查看用户账号的 • SID（Security Identifier，安全标识符）是一种（，安全标识符）不同长度的数据结构，用来识别用户、不同长度的数据结构，用来识别用户、组和计算机账号 • 在Windows系统中是基于系统中是基于SID，而不是基于名字系统中是基于，来识别对象的。在创建该对象时产生，来识别对象的。SID在创建该对象时产生，从在创建该对象时产生 CPU中随机读取一个字符串 SID一旦被使用就 CPU中随机读取一个字符串，SID一旦被使用就中随机读取一个字符串，永远都不会重复 • 利用whoami命令查看用户的利用命令查看用户的SID 命令查看用户的
账号管理的一般性原则 • 确保网络中只有必需的账号被使用，及时删除不确保网络中只有必需的账号被使用，使用的账号，使用的账号，而且每个账号仅有能满足他们完成工作的最小权限 • 重命名敏感用户账号，如Administrator、Guest 重命名敏感用户账号，、以及其他一些在安装软件或服务时（以及其他一些在安装软件或服务时（如IIS和终端和终端服务）服务）自动建立的账号 • 实施严格的密码策略，阻止对密码的暴力攻击实施严格的密码策略， • 设置账号锁定策略
管理活动目录用户账号和组账号
教学教研部赵天宇
本章目标 • • • • 理解域用户和计算机账户学会创建和管理域用户和计算机账户理解活动目录中组的不同类型及其作用学会运用AGDLP策略学会运用策略
用户账号的介绍 • • • 用户账号的一般性介绍用户主名用户主名后缀
用户账号的一般性介绍
•
用户账号的作用
为用户提供“单一验证” 为用户提供“单一验证” – 提供对资源的访问 – 本地用户账号和域用户账号的区别 – 可以分为显示名和登录名
–
用户主名
是一种只能用来登录到Windows 是一种只能用来登录到Windows Server 2003网络的登录名 2003网络的登录名
user@
域用户账号复制 • 账号模板的作用
– 把多个用户账号的公用属性写到模板账号中，然后利把多个用户账号的公用属性写到模板账号中，用账号复制的方法可以减轻管理员的工作负担
• 演示：账号复制演示：
在AD中搜索用户账号中搜索用户账号 • 利用活动目录根据已知用户账号的属性进行搜索 • 演示：在AD中搜索用户账号中搜索用户账号演示：
管理Administrator账号账号管理 • Administrator账号的特点账号的特点
– 不能删除 – 不能修改其默认权限的设置
• 重命名重命名administrator账号账号

管理Guest账号账号管理 • Guest账号的作用账号的作用
– Guest账号作为来宾账号，是供那些未经授权的用户访账号作为来宾账号，账号作为来宾账号问系统时使用的，所以除非特别需要，问系统时使用的，所以除非特别需要，否则不要启用 Guest账号，而且也不要为账号，账号而且也不要为Guest账号赋予额外的权限账号赋予额外的权限
– 域功能级别可以提升，但提升是单向的，而且只有Domain 域功能级别可以提升，但提升是单向的，而且只有 Admins和Enterprise Admin组的成员才能进行该操作和组的成员才能进行该操作
活动目录域和目录林的功能 • 林功能级别
– Windows 2000模式模式
• 支持支持Windows NT4.0、Windows 2000和Windows 2003 、和 • 不能实现如全局编目复制改造、域重命名、林信任、活动目录不能实现如全局编目复制改造、域重命名、林信任、中停用类型或属性等功能
组账号的介绍 • • • • • • 组账号介绍 Windows Server 2003中组的类别中组的类别活动目录中组的类型活动目录域和目录林的功能组的范围通用组和全局编录的关系
组账号介绍 • 组账号
– 组是用户账号的逻辑的集合（删除组后用户仍存在）组是用户账号的逻辑的集合（删除组后用户仍存在） – 当一个用户账号加入到一个组以后，该用户账号就拥有当一个用户账号加入到一个组以后，该组所拥有的全部权限 – 一个用户账号同时可以是多个组的成员。一个用户账号同时可以是多个组的成员。 – 在特定情况下组是可以嵌套的（组中可以包括其他组）在特定情况下组是可以嵌套的（组中可以包括其他组）
执行用户账号公共管理任务
• 公共管理任务包括：公共管理任务包括：
– 添加到组：把用户加入到一个组账号中，可添加到组：把用户加入到一个组账号中，以使用户账号具有该组所拥有的权限，以使用户账号具有该组所拥有的权限，在对用户授权时使用 – 禁用账户：如果员工出差，在一段时间内该禁用账户：如果员工出差，账号不使用时应该把账号禁用 – 重设密码：当用户本人忘记了自己的密码时，重设密码：当用户本人忘记了自己的密码时，可以由管理员对密码进行重新设置 – 移动：当员工从一个部门调到另外的部门时，移动：当员工从一个部门调到另外的部门时，可以利用账号移动在网络管理中以体现这种行政管理的变化 – 删除：当员工离职时，出于安全性的考虑，删除：当员工离职时，出于安全性的考虑，应将不再使用的用户账号删除 – 重命名：从安全的角度来看，账号重命名对重命名：从安全的角度来看，一些内置账号如Administrator来说非常重要一些内置账号如来说非常重要
使用“ 用户和计算机” 使用“Active Directory用户和计算机”创建用户账号用户和计算机 • 演示：使用“Active Directory用户和计算机” 演示：使用“ 用户和计算机” 用户和计算机创建用户账号的过程
Active Directory Users and Computers
设置用户账号属性 • 对用户账号的管理实质上是对账号属性的管理 • 演示：设置用户账号的常用属性演示：
实现用户配置文件
用户配置文件的功能：用户配置文件的功能：对Display、、 regional、mouse、printer、network等、、、等属性进行设置，定义用户工作环境属性进行设置，
活动目录域的功能级别 • 域功能级别
– Windows 2000混合模式混合模式
• 支持支持Windows NT4.0、Windows 2000和Windows 2003 、和 • 安装活动目录后目录的默认功能级别 • 该模式的域不能使用通用组、不能进行组的嵌套、也不能启用SID的该模式的域不能使用通用组、不能进行组的嵌套、也不能启用的历史记录功能（迁移安全主体）历史记录功能（迁移安全主体）
删除域用户账号 • 使用“Active Directory用户和计算机”删除用使用“ 用户和计算机” 用户和计算机户账号 • 利用利用dsrm命令删除域用户账号命令删除域用户账号
Windows Server 2003中的账号安全中的账号安全 • • • • • 账号管理的一般性原则密码策略管理Administrator账号管理账号管理Guest账号管理账号查看用户账号的SID 查看用户账号的
– Windows 2000纯模式纯模式
• 支持支持Windows2000和Windows 2003 和 • 该模式的域能使用通用组、进行组嵌套和SID的历史记录功能该模式的域能使用通用组、进行组嵌套和的历史记录功能

e商务文档

活动目录的用户和组

相关文档推荐：