域用户帐户和组的管理.docx

域用户帐户和组的管理.docx

《域用户帐户和组的管理.docx》由会员分享，可在线阅读，更多相关《域用户帐户和组的管理.docx（16页珍藏版）》请在冰豆网上搜索。

域用户帐户和组的管理

域用户和组的管理

〔以下操作均在WindowsServer2003系统中实现，客户端也是使用2003来模拟，和实际中客户端使用的XP操作系统可能会有所不同〕

很多企业都会用到域环境来实现管理，域的实际应用非常广泛。

下面我们讲解在域环境下如何管理用户和组。

在讲解过程中我们会涉及到用户、计算机、组和OU等对象。

一、域用户的特点和本地用户不同，域用户保存在活动目录中。

由于所有的用户都集中保存在活动目录中，所以使得集中管理变成可能。

同时，一个域用户可以在域中的任何一台计算机上登录〔域控制器除外〕，用户可以不再使用固定的计算机。

当计算机出现故障时，用户可以使用域用户登录到另一台计算机上继续工作，这样也使的管理变得简单。

附注：

 在工作组环境中，所有计算机是独立的，要让用户能够登录到计算机并使用计算机的资源，必须为每个用户建立本地用户。

同时，为了方便实现用户对网络资源的访问权限，我们可以使用本地组来实现。

本地用户和组主要用在本地计算机。

本地用户只能登录到本地计算机；本地用户保存在本地计算机；本地用户假设需要访问其它计算机，需要在其它计算机上有相应的用户以便进展身份验证。

二、管理工具

要对域中的用户和计算机等对象进展管理，我们要使用“ActiveDirectory用户和计算机〞管理工具。

该工具在我们安装了活动目录后会被添加到管理工具中，我们可以在管理工具里找到它。

翻开后如下图，在窗口的左边，可以看到我们创立的域。

按左边的“+〞号展开该域

展开后可以找到“users〞管理单元，点击后在右边就可以看到一些置的用户和组。

当系统安装了活动目录后，原来的本地用户和组都没有了，这些对象会变成域用户和域本地组，并被放在该“users〞管理单元。

三、OU〔组织单位〕

在域中有很多的对象，包括用户、组、共享文件夹和共享打印机等。

这些对象都是集中存储在活动目录中并使用“AD用户与计算机〞管理工具来进展管理。

但如果这些大量的对象都放在“users〞管理单元进展管理，会带来一定的不便，例如不便于查找、难于设置策略等。

所以为了更好的组织和管理这些对象，引入的“OU〞的概念。

OU又叫组织单位，它是一个容器，主要的作用就是用来组织和管理这些对象的。

为了便于日后的管理，我们一定的设计好OU的结构。

OU结构的划分有几种不同的方法，例如：

按对象类型来划分。

该划分方法是创立几个OU，不同的OU放不同的对象，比方一个OU放用户，另一个OU放计算机等；

按企业的组织结构来划分。

方法是为不同的部门创立不同的OU，把属于每个部门的对象都放在一个OU里，比方财务部的OU放财务部的用户、财务部的计算机和组等，而业务部的OU放业务部的用户、业务部的计算机和组等。

这是一种常用的方法；

按地区来划分。

该方法主要用在有分支机构的企业，分别为不同的分支机构创立不同的OU，然后把属于该分支机构的所有对象都放在相应的OU里。

比方一个企业有总公司、分公司和分公司，那么就分别为这三个分公司建立三个OU，一个OU放总公司的对象，一个放分公司的对象，还有一个放分公司的对象；

混合划分方法。

该方法是按组织结构划分和按地区划分两种方法的结合，先为不同分支机构创立OU，再在不同的分支机构的OU里按组织结构来创立子OU。

这也是一种常用的方法。

要创立一个OU，在“AD用户和计算机〞管理工具里右击域名，在弹出的快捷菜单中选择新建，在子菜单中选择“组织单位〞

在“新建对象-组织单位〞对话框中输入组织单位的名称，例如：

XXX公司

按“确定〞后完成了一个OU的创立

要在该OU里创立子OU，右击该OU，同样在弹出的快捷菜单中选择新建组织单位，分别为不同的部门创立不同的OU，完成后如以下图所示

四、为用户创立

要在OU里为域用户创立用户，右击一个OU，在弹出的快捷菜单中选择“新建〞，并在子菜单中选择“用户〞

在出现的“新建对象-用户〞对话框中，为用户分别输入“姓〞和“名〞，并在“用户登录名〞中输入用户用来登录系统的登录名，该登录名和电子的地址非常象，如：

。

前面的是用户的显示名，显示名在同一个OU里必须是唯一的，而用户的登录名在同一个域里必须是唯一的。

按下一步后进入另一个对话框，该对话框要求为域用户输入一个初始密码，并确保勾选“用户下次登录时须更改密码〞选项。

下一步后按“完成〞按钮完成用户的创立。

五、限制用户能登录的计算机

在域环境下，一个域用户默认是可以登录到域中任意一台计算机的〔DC除外〕，这样为用户提供了方便。

因为假设用户正在使用的计算机出现故障了，需要维修，那么该用户可以用他自己的域用户在其它计算机上登录域，继续完成自己未完成的工作，继续使用域中的资源而不会受到影响，但工作组却没有提供这样的方便。

但是如果我们需要限制用户只能使用某些计算机来登录域，那么可以通过设置用户的属性来实现。

翻开要进展限制的用户的属性，找到“〞选项卡，点击“登录到〞按钮

在翻开的“登录工作站〞对话框中，可以看到默认的设置是用户可以登录到“所有计算机〞，要进展限制，选择“以下计算机〞单项选择按钮，并在“计算机名〞文本框输入只允许用户在其上登录的计算机名并点击“添加〞按钮。

如果有必要，可以添加多台计算机。

完成后，该用户只能在指定的计算机上登录，而不能在未指定的计算机上登录到域。

六、限制用户登录域的时间

在默认设置下，域用户可以在任何时间登录到域，但如果想限制用户只能在某些时间才允许登录到域，而其它时间不能登录到域，比方说公司规定只有在星期一到五的8：

00到18：

00这段时间可以登录到域，而其它时间不能登录到域，那么可以通过设置用户的属性来实现。

翻开用户的属性对话框，找到“〞选项卡，点击“登录时间...〞按钮

在翻开的“XX的登录时间〞对话框中，选定特定的时间段，并选择“允许登录〞或“拒绝登录〞，确定。

七、设置漫游配置文件

1、什么是配置文件：

配置文件是用于保存特定用户工作环境的特殊文件〔一组文件〕。

用户工作环境包括：

用户的桌面设置、应用程序设置、用户的“我的文档〞、收藏夹、开场菜单、临时文件等设置。

每个用户都有属于自己的配置文件。

当一个用户在一台计算机上登录后，默认在计算机的C：

盘下有一个“DocumentsandSettings〞文件夹，该文件夹用于保存用户的配置文件，每个用户都在该文件夹里有一个和自己用户名同名的子文件夹，该子文件夹保存的就是该用户的配置文件。

2、为什么要用漫游配置文件：

如果用户需要经常在不同的计算机上登录，那么每在一台计算机登录，该计算机就会为该用户建立一个配置文件，多台计算机意味着该用户有多个配置文件，这样可能会出现这样一种情况：

用户“U1〞在计算机“C1〞登录，然后在“我的文档〞里保存了一个文件“F1〞，然后该用户注销后在计算机“C2〞登录，可是当用户翻开“我的文档〞时却找不到他的文件“F1〞。

这是因为在不同的计算机上用户的配置文件并不一致，该用户只能回到计算机“C1〞的登录才可以找回自己的文件“F1〞。

另外，用户在“桌面〞或“我的文档〞里保存的所有文件实际上是保存在本地计算机里，数据的备份是需要由用户自己来完成的。

然而，并不是所有用户都知道“什么是备份〞？

“如何备份〞？

3、漫游配置文件的优点：

漫游配置文件是指把用户的配置文件集中存放在网络中的某个专用效劳器中〔文件效劳器〕，当用户登录时，系统会自动去寻找该效劳器，并找到属于该用户的配置文件，然后加载。

这时，无论用户在什么地方登录，该用户都可以使用同一个配置文件，不会出现上述的问题，在任何一台计算机登录所获得的工作环境都是一样的。

同时，由于所有用户的配置文件集中保存在同一台效劳器中，所以也方便了管理员进展集中的备份，保证数据的平安。

4、为用户设置漫游配置文件

首先要找一台专用的文件效劳器，在该效劳器中建立一个文件夹并共享，共享权限设置everyone写入权限。

然后选择一个用户，翻开属性对话框，找到“配置文件〞选项卡。

在“配置文件路径〞中填入上面建立的共享文件夹的UNC路径，并在该路径后跟该用户的用户名，以便于把该用户的配置文件存放在以用户名命名的子文件夹里。

确定。

这时该用户在域中任一台计算机上登录，该用户的工作环境都是一样的。

八、用户主文件夹

用户主文件夹是用于给用户保存文件的主要的地方。

用户可以在“桌面〞、“我的文档〞和本地磁盘中保存数据，但当用户经常需要在不同的计算机上登录时，用户的文件可能会分散保存在不同的地方，对用户使用造成不便，同时也不利于对数据进展备份。

当用户计算机出现故障时，也有可能会造成用户数据的丧失。

主文件夹是在一台专用的效劳器中，类似于上面的“漫游配置文件〞中的文件夹，用户的所有数据都可以保存在主文件夹里，好处是用户在任何一台计算机上登录都可以找到自己的文件，不用担忧用户计算机的故障会造成数据的丧失，方便管理员对数据进展集中备份等。

为用户设置主文件夹的方法和设置漫游配置文件的方法差不多，也要先在一台专用的文件效劳器上建立一个共享文件夹，并开放everyone写入权限，然后在用户属性对话框中找到“配置文件〞选项卡，选中“连接〞，选择一个驱动器符号，在“到：

〞处写入共享文件夹的路径，并在该路径后加上该用户的用户名。

确定，完成。

当该用户登录后，在“我的电脑〞里会多出一个“网络驱动器〞，该网络驱动器就是刚刚我们建立的用户主文件夹。

用户把自己的文件保存到该网络驱动器里时，实际上是保存在那台专用的文件效劳器中。

九、组的管理

在域中，组的类型有两种，分别是“平安组〞和“通讯组〞。

平安组即可以设置权限，也可以收发电子；而通讯组不能设置权限，只能收发电子。

根据组的作用围不同，组又分为“本地域组〞、“全局组〞和“通用组〞三种。

本地域组：

作用围是该组所在的域，可以包含的成员包括：

所有域的用户、全局组、通用组，以及本域的域本地组。

全局组：

作用围是所有受信任的域，可以包含的成员有：

本域的用户和全局组。

通用组：

作用围是所有受信任的域，可以包含的成员有：

所有域的用户、全局组和通用组。

要新建组，右击某个OU，选择“新建〞->“组〞

在出现的对话框中输入组的名称，选择组的类型和作用围，确定即可。

〔注：

只有域功能模式在2000或2003模式才能新建通用组〕

要提升域功能级别，右击域名，在出现的菜单中选择“提升域功能级别〞

在弹出的“提升域功能级别〞对话框中，可以看到当前的域功能级别，然后在下面的下拉列表中选择一个适宜的域功能级别，确定。

〔域功能级别提升后不能返回，是单向的操作〕

创立了组以后，就可以把相应的用户或某些组参加到组里以方便赋予权限。

十、使用组的策略

在域环境下使用组，一般遵循AGDLP规那么，另外还有AGGDLP、AGUDLP、AGGUDLP等规那么。

以最常用的AGDLP规那么为例介绍一下用法：

A-用户

G-全局组

DL-本地域组

P-权限

AGDLP是指把用户参加全局组，把全局组参加本地域组，然后对本地域组设置权限。

为什么不把用户参加全局组，然后直接对全局组设置权限？

或者把用户参加本地域组，然后直接对本地域组设置权限？

1、把用户参加全局组，然后直接对全局组设置权限

该方法的缺点是：

由于全局组只能包括本域的用户和全局组，如果需要设置其它域的用户的权限，那么必需要单独设置，如果有多个全局组，那么设置权限也要设置屡次。

2、把用户参加本地域组，然后直接对本地域组设置权限

该方法的缺点是：

由于本地域组的作用围是本地域，如果用户需要访问其它域的资源，那么需要重新为该用户设置权限，如果有多个用户，那么要分别设置屡次。