14.6.4 通用组和全局编录的关系
• 全局编录（GC）的作用是保存活动目录中对象属性的信息， 通用组的成员信息也保存在GC中。GC不仅对在活动目录 中查找对象提供支持，而且还与用户的登录进程有关。 • 由于通用组的成员信息保存在GC中，而用户登录后产生的 访问令牌中必须包含用户所属的组的信息。所以当域处于 Windows 2000纯模式或Windows Server 2003模式，用户登 录到域时，系统必须到GC上去查看一下这个用户是否属于 那个通用组。 • 在多域环境下，当用户以用户主名的方式登录域，而当前 的DC又没有这个用户的直接信息时，也需要GC服务器才 能登录。
14.6.2 活动目录域和目录林的功能
• 域功能级别
– Windows 2000混合模式 – Windows 2000纯模式 – Windows 2003 Server模式 – 演示：提升域功能级别
• 林功能级别
– Windows 2000模式 – Windows Server 2003模式 Windows Server 2003中组的类别
• 工作组中的组
– 内置组：在创建操作系统或安装相应的网络服 务时创建的，对操作系统都具有一定的管理权 限，无法被删除也不能修改其权限配置。 – 本地组：可以组织用户账号并对组进行授权。
• 域中的组
– 位于域中成员服务器（非DC）中的组 – 位于域控制器（DC）中的组
14.6.3 组的范围
• 全局组：使用全局组来管理那些具有相同管理任务或访问许可 的用户账号。全局组中只能包括该全局组所在域的用户账号。 全局组可以成为任何域的本地组的成员。在Windows 2000混合 模式下，全局组不能嵌套。 • 本地组：与全局组用来组织用户账号不同，使用本地组的目的 是为了给本域中的资源分配权限，本地组只在本域中可见。本 地组中可以包括任何域的用户账号和任何域的全局组和通用组。 在Windows 2000混合模式下，本地组不能嵌套。 • 通用组：在Windows 2000混合模式下不能使用通用组。通用组 的使用比较灵活，它既具有全局组可以组织用户账号的作用， 又具有本地组可以分配权限的作用。通用组中可以包括任何域 的用户账号、任何域的全局组和通用组，而且通用组可以成为 任何域的本地组的成员，并且可以在目录林的任何域中指派权 限。
– 在每一台运行Windows Server 2003的非DC计算机上都存在着内置 本地组，为用户提供在本机上执行管理任务的权力。
• 特殊组
– 这些组没有特定的成员关系，但是它们可以在不同时候代表不同 的用户，这取决于用户采取何种方式访问计算机和访问什么资源。
内容总结
• • • • • • • • • • • • 理解用户账号的作用 掌握创建用户账号的方法 管理用户账号的方法 实现账号安全 掌握组账号的作用 了解Windows Server 2003中组的分类 域中组的类型和组的范围 Windows Server 2003域功能模式 Windows Server 2003林功能模式 全局组、本地组及通用组的使用 掌握如何在域中实现AGDLP法则 认识Windows Server 2003中的默认组
• • •
• •
14.3.2 设置用户账号属性
• 对用户账号的管理实质上是对账号属性的 管理 • 演示：设置用户账号的常用属性
实现用户配置文件
• 用户配置文件的功能：对Display、regional、mouse、 printer、network等属性进行设置，定义用户工作环境。
• 用户配置文件的类型：
• 利用活动目录根据已知用户账号的属性进 行搜索。 • 演示：在AD中搜索用户账号
14.3.4 域用户账号复制
• 账号模板的作用？
– 把多个用户账号的公用属性写到模板账号中， 然后利用账号复制的方法可以减轻管理员的工 作负担。
• 演示：账号复制
14.3.5 删除域用户账号
• 使用“Active Directory用户和计算机”删除 用户账号 • 利用dsrm命令删除域用户账号
14.5 组账号的介绍
• 组账号介绍 • Windows Server 2003中组的类别
14.5.1 组账号介绍
组账号的特点：
• 组是用户账号的逻辑的集合（删除组后用户仍存 在）。 • 当一个用户账号加入到一个组以后，该用户账号 就拥有该组所拥有的全部权限。 • 一个用户账号同时可以是多个组的成员。 • 在特定情况下组是可以嵌套的（组中可以包括其 他组）。
第 14 章
在活动目录中管理用户和组账号
本章内容
• • • • • • • • • • 14.1 用户账号的介绍 14.2 创建用户账号 14.3 管理用户账号 14.4 Windows Server 2003中的账号安全 14.5 组账号的介绍 14.6 活动目录中组账号的分类 14.7 在域中创建组账号 14.8 管理组账号 14.9 在域中实现AGDLP法则 14.10 使用Windows Server 2003中的默认组
14.7.2 使用dsadd命令创建组账号
• 演示：使用dsadd命令创建组账号
14.8 管理组账号
• 组账号的常规管理任务 • 在活动目录中删除组账号
14.8.1 组账号的常规管理任务
• • • • 设置组账号信息 设置组成员 设置组管理者 组账号重命名
14.8.2 在活动目录中删除组账号
14.2.1使用“Active Directory用户和 计算机”创建用户账号
• 演示：使用“Active Directory用户和计算机” 创建用户账号的过程
Active Directory Users and Computers
14.2.2 使用dsadd命令创建用户账号
• 演示：使用dsadd命令创建用户账号
14.4.2 密码策略
• 严格的密码策略是保证系统安全的第一道屏障 • 危险密码
– – – – – – 空密码 与用户名相同 用户名的简单变化 用户本人相关的个人信息 英文单词 键盘上相邻的字母组合
• 强壮密码
– 字母+数字+大小写+具有一定的长度+无意义的组合 +定期更改
14.4.3 管理Administrator账号
– – – – 默认的用户配置文件（Default User Profile） 本地用户配置文件（Local User Profile Local Profile） 漫游用户配置文件（Roaming User Profile） 强制漫游用户配置文件（Mandatory User Profile）
14.3.3 在AD中搜索用户账号
14.2.3 在域中的成员服务器上安装 管理工具包
• 演示：在域中的成员服务器上安装管理工 具包
14.2.4 利用Run AS执行管理任务
• 为什么要使用Run As？ • 演示：利用Run AS执行管理任务
14.2.5 在域控制器上登录
• 缺省情况下使用administrator账号可以在DC 上登录； • 缺省情况下使用普通域用户账号不能在DC 上登录；
优点 在活动目录中唯一 可以与用户的电子邮件地址相同
14.1.3 用户主名后缀
• 使用用户主名后缀将简化用户在复杂环境 下的登录过程 • 演示：新建用户主名后缀，并为用户设置 用户主名后缀。
14.2 创建用户账号
• 使用“Active Directory用户和计算机”创建 用户账号 • 使用dsadd命令创建用户账号 • 在域中的成员服务器上安装管理工具包 • 利用Run AS执行管理任务 • 在域控制器上登录
14.4.5 查看用户账号的SID
• SID（Security Identifier，安全标识符）是一种不同 长度的数据结构，用来识别用户、组和计算机账 号。 • 在Windows系统中是基于SID，而不是基于名字来 Windows SID 识别对象的。SID在创建该对象时产生，从CPU中 随机读取一个字符串，SID一旦被使用就永远都不 会重复。 • 利用whoami命令查看用户的SID
14.6 活动目录中组账号的分类
• • • • 组的类型 活动目录域和目录林的功能 组的范围 通用组和全局编录的关系
14.6.1 组的类型
• 根据组的类型进行分类，有通讯组和安全组两 种类型。
– 通讯组：用来组织用户账号，没有安全特性，一般 来说不用于授权。在通讯组中可以存储联系人和用 户账号，可以在Microsoft其他的产品如Microsoft Exchange 2003 中使用。 – 安全组：具备通讯组的全部功能，用来为用户和计 算机分配权限，是Windows Server 2003标准的安全 主体。安全组出现在定义资源和对象权限的访问控 制列表中。
14.4 Windows Server 2003中的账号安全
• • • • • 账号管理的一般性原则 密码策略 管理Administrator账号 管理Guest账号 Guest 查看用户账号的SID
14.4.1 账号管理的一般性原则
• 确保网络中只有必需的账号被使用，及时删除不 使用的账号，而且每个账号仅有能满足他们完成 工作的最小权限。 • 重命名敏感用户账号，如Administrator、Guest以 Administrator Guest 及其他一些在安装软件或服务时（如IIS和终端服 务）自动建立的账号。 • 实施严格的密码策略，阻止对密码的暴力攻击。 • 设置账号锁定策略。
14.1 用户账号的介绍
• 用户账号的一般性介绍 • 用户主名 • 用户主名后缀
14.1.1 用户账号的一般性介绍
•
用户账号的作用：
– 为用户提供“单一验证” – 提供对资源的访问
14.1.2 用户主名
是一种只能用来登录到Windows Server 2003网络的 登录名。 steven@