002年windows_learn用户管理和组策略



域用户与组的管理

用户和组

用户登录名

添加用户工具

在活动目录中使用组

为何使用组吗?

全局组全球集团规则

域本地组域本地组规则

通用组通用组规则

在域中使用组的策略

使用组的方针

组策略规划及部署

组策略规划及创建

组策略对象的工具








概述

管理域用户账户

添加多个用户账户

域组账户

组的使用准则




每个用户账号创建一个唯一的登录名

使用批处理创建多个用户

将用户分组,用以管理网络上的共享资源(简化授权次数)

为分层结构创建一个模型时,将组嵌入别的组中以减少管理任务




用户主名

1。用户主名前缀

2。用户主名后缀

用户登录名

1。用户登录时必须选择域

用户登录名唯一性原则

1。全名在创建用户账号的容器内必须唯一

2。用户主名在目录林中必须唯一

3。用户登录名在域中必须唯一




广告用户和计算机

目录服务工具

Dsadd Dsmod

Dsrm

Csvde和Ldifde工具(适合批量添加用户)

Windows脚本宿主




介绍活动目录的组

使用全局组

使用域本地组

使用通用组



1。使用组可以简化权限的分配

2。一个用户可以属于多个组

3。组与组之间可以嵌套

4。对组里的用户添加和移除不会产生碎片



组类型

安全组:分配权限NTFS

通讯组:群发邮件


作用域

本地域组

全局组

通用组



成员资格包含来自同一个域的用户账号和全局组

成员属于全局组可以是任何一个域中的通用和域本地组,以及同一个域中的全局组成员

作用范围全局组在域和所有信任域可见

权限范围目录林中所有域

全局组用来


主要用来组织对象的,不会用来做授权




成员资格可以包含目录林中的任何域的用户账号全局组和通用组,以及同一域的域本地组。

成员属于域本地组可以是同一域中的域本地组

作用范围域本地组只在它自己的域中可见

权限范围域本地组位于其中的域




成员资格可以包含来自目录林中的任何域的用户和账号全局组和其它通用组

成员属于可以是任何域中的域本地和通用组成员

作用范围通用组在目录林中的所有域都是可见

权限范围目录林所有域




使用全局和域本地组


AGGDLP

1。添加域用户账号到全局组用户帐户——比;全局组

2。(可选)把一个全局组添加到另一个全局组全球集团——比;全局组

3。把全局组添加到一个域本地组全球集团——比;域本地组

4。赋予相应权限给相应的域本地组域本地组


AGUDLP

1。把用户账号添加到全局组用户——比;全局组

2。把一个全局组嵌套到另一个全局组中全球集团——比;全球组织

3。把全局组嵌套到通用组中全球集团——比;环球集团

4。把通用组添加为资源创建的域本地组通用集团——比;域本地组

5。把组中用户的合适权限分派给域本地组权限——比;null

002年windows_learn用户管理和组策略