2023年11月29日发(作者:)
b
n
c
.
w
w
Windows Server 2003账户、组和组织单位的管理
w
t
e
n
.
t
k
e
o
n
o
.
b
k
n
o
c
.
w
w
w
t
e
n
.
t
k
e
o
n
o
.
b
k
n
o
c
o
.
b
w
n
w
c
w
.
t
e
n
.
t
k
e
o
n
o
.
b
k
n
o
c
o
.
b
w
n
w
c
w
.
w
w
w
t
k
e
o
n
o
.
b
k
n
o
c
o
.
b
w
n
w
c
w
.
w
w
w
t
e
n
.
k
o
c
o
.
b
w
n
w
c
w
.
w
w
w
t
e
n
.
k
o
o
内容提要:本文主要介绍了Windows Server 2003的Active Directory关于账户、组和组织单位
(OU)的管理问题。通过“Active Directory用户和计算机”管理工具可以轻松地实现对上述对象的
管理,从而在复杂的网络环境中简化网络的维护。
关键字:账户的类型、账户的管理、组对象的管理、组织单元
引言:管理账户、组和组织单位是Windows Server 2003的Active Directory十分重要的问题。
在复杂的网络环境中解决好账户、组和组织单位的管理,可以大大减轻网络维护的负担。
正文:
k
o
o
1 Windows Server 2003账户的类型
用户账户能使用户得到登录和访问计算机和域的资源的权限。登录到网络的每个用户都有自己
惟一的账户和密码,用户账户也可以作为某些应约程序的服务账户。在Windows Server 2003中有三
种类型的用户账户。
1. 内置账户
内置账户是在安装Windows Server 2003时由系统预先设置的,系统默认的两个内置账户是
Administrator和Guest。Administrator账户可以重新命名,但不可以删除。该账户是系统预设的系统
管理员,具有对整个域和计算机进行设置的超级权限。Guest账户可以更名和禁用,但不能删除。
该用户可作为匿名账户来临时访问计算机。
2. 本地用户账户
本地用户账户只具有登录到创建该本地用户账户的计算机上且只访问这台计算机资源的权限。
创建本地用户账户的同时也会在本地计算机安全数据库中创建本地用户。当本地用户账户创建后,
创建此用户的计算机就会通过本地安全数据库来验证本地用户。因为本地用户账户不能被域识别,
所以不能在作为域成员的计算机创建本地用户。
3. 域用户账户
域用户账户具有使用域内资源的权限。域用户账户的信息被存放在域控制器的活动目录数据库
中,活动目录服务器利用这些信息来鉴别用户身份。管理员可以设置域用户账户在限定的计算机上
登录,或在域网络中任一计算机上登录。登录时,活动目录服务为具有登录权限的用户创建具有用
户属性的安全设置信息的访问令牌。访问令牌用于确认用户是否可以登录到运行Windows Server
2003域控制器的计算机上。
2 域用户账户的管理
用户账户的管理就是建立、删除用户账户,并为之赋予相应的权限。在成功安装Active Directory
后,单击“开始”选择“控制面板”,进入“管理工具”后会看到Active Directory的“Active Directory
用户和计算机”管理工具,如图1所示。
图1
※ 1 ※
用户账户的管理就是通过“Active Directory用户和计算机”管理工具来完成的。
2.1 域用户账户的创建
o
t
e
n
k
.
用户可按下面的步骤来创建域用户账户:
(1)用右键单击要添加的组织单位或容器,用右键单击活动目录中的“User”,单击“新建”,
选择“用户”选项,如图2所示。
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
.
c
o
o
b
n
t
e
n
k
.
w
w
w
b
n
c
.
(2)系统弹出“新建对象-用户”对话框,输入用户的各种信息,如图3所示。
(3)按“下一步”按钮,出现如图4所示的对话框,输入密码和确认密码。
c
.
w
w
w
o
o
b
n
n
k
.
e
t
图2
b
n
c
.
w
w
w
k
o
o
t
e
.
n
(4)按“下一步”按钮,出现如图5所示的窗口,显示了创建用户的最终属性。
w
w
w
o
o
b
n
c
.
图3 图4
t
e
n
k
.
b
n
c
.
w
w
w
w
w
k
o
o
t
e
.
n
n
c
w
.
k
o
o
b
w
w
c
.
w
o
o
b
n
e
n
k
.
t
图5
※ 2 ※
o
o
e
n
k
.
t
w
w
c
w
.
(5)单击“完成”按钮,完成新建用户的设置。在“Active Directory用户和计算机”管理工
具中可看见刚才所建立的用户账户,如图6所示。
o
t
e
n
k
.
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
.
c
o
o
b
n
t
e
n
k
.
w
w
w
b
n
c
.
图6
2.2 域用户账户属性的设置
在使用刚才的向导新建用户时,只为用户设置了一些基本的信息,因此,在用户账户被建立后,
还应对其信息进行进一步的设置。用户可以按照以下步骤进行操作:
(1)在“Active Directory用户和计算机”管理工具中选中要修改的用户,用右键单击它,然
后选择“属性”,如图7所示。
c
.
w
w
w
o
o
b
n
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
t
e
.
n
w
w
w
o
o
b
n
c
.
t
e
n
k
.
b
n
c
.
w
w
w
w
w
k
o
o
t
e
.
n
n
c
w
.
k
o
o
b
(2)打开该用户的属性对话框便可对各种用户信息进行重新设置,如图8所示。
下面对图8中的用户账户对象属性选项卡进行一些说明:
① 常规。
这项记录用于描述用户的姓、名、显示名称、描述、电话号码等信息。用户可以通过这些信息
方便地查找,如图8所示。
② 地址。
w
w
c
.
w
o
o
b
n
图7
e
n
k
.
t
※ 3 ※
o
o
e
n
k
.
t
w
w
c
w
.
这项记录用于描述用户的国家(地区)、省/自治区、市/县等地址信息,如图9所示。
o
t
e
n
k
.
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
t
e
.
n
n
c
.
o
o
b
t
e
n
k
.
w
w
w
b
n
c
.
图8 图9
③ 账户。
设置用户账户的登录名、登录时间以及可登录到哪台计算机等信息,如图10所示。
c
.
w
w
w
o
o
b
n
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
用户可以通过这个选项卡对登录时间及用户只能在某台计算机登录该域进行限制:
a. 登录时间。
按“登录时间”按钮,弹出“用户(dingyudy)的登录时间”窗口,如图11所示。
w
w
w
o
o
b
n
c
.
t
e
n
k
.
图10
b
n
c
.
w
w
w
k
o
o
t
e
.
n
w
w
c
.
w
o
o
b
n
e
n
k
.
t
w
w
n
c
w
.
k
o
o
b
图11
※ 4 ※
o
o
e
n
k
.
t
w
w
c
w
.
o
t
e
n
k
.
通过这种方式就可以限制用户访问域资源的时间。例如,将用户的允许登录时间设定为星期一
到星期四的7:00~18:00,如图12所示。
b. 登录到。
按“登录到”按钮,弹出“登录工作站”窗口,如图13所示。默认的设定是允许此用户登录到
所有计算机。通过更改这个设置可以限定此用户登录到域的计算机,从而达到有效保护工作站计算
机资源的安全性的目的。
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
.
c
o
o
b
n
t
e
n
k
.
w
w
w
b
n
c
.
c
.
w
w
w
④ 配置文件。
这项记录用于用户配置文件的路径和用户登录脚本。用户配置文件定义了用户在登录系统时加
载的定义Windows Server 2003环境的配置文件,这样可确保用户在登录后使用相同的环境。用户的
主目录可以在本地计算机或服务器上,如图14所示。
⑤ 电话。
用于记录关于用户的各种电话号码,如图15所示。
o
o
b
n
n
k
.
图12 图13
e
t
b
n
c
.
w
w
w
k
o
o
t
e
.
n
t
e
.
n
w
w
w
o
o
b
n
c
.
t
e
n
k
.
b
n
c
.
w
w
w
w
w
k
o
o
n
c
w
.
k
o
o
b
⑥ 单位。
w
w
图14 图15
c
.
w
o
o
b
n
e
n
k
.
t
※ 5 ※
o
o
e
n
k
.
t
w
w
c
w
.
o
t
e
n
k
.
这项记录用于描述用户的单位信息,如职务、部门公司等,如图16所示。
⑦ 隶属于。
这项记录用于设置用户属于的域、组或组织单位,如图17所示。
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
.
c
o
o
b
n
t
e
n
k
.
w
w
w
b
n
c
.
图16 图17
可以通过以下步骤加入组:
a. 按“添加”按钮,选择添加的组或安全主体及所在位置,如图18所示。
c
.
w
w
w
o
o
b
n
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
t
e
.
n
t
e
.
n
可以单击图18中的“位置”按钮,在图19的窗口中选定想要的对象类型,然后按“确定”按
钮。
w
w
w
o
o
b
n
c
.
t
e
n
k
.
图18
b
n
c
.
w
w
w
k
o
o
w
w
c
.
w
o
o
b
n
e
n
k
.
t
w
w
n
c
w
.
k
o
o
b
图19
※ 6 ※
o
o
e
n
k
.
t
w
w
c
w
.
o
t
e
n
k
.
b. 在图18所示的窗口中按“高级”按钮,弹出“选择组”窗口。也可以直接按“立即查询”
按钮,这时窗口列出了所选位置的所有组或内置安全主体对象,选定组或内置安全主体对象,如图
20所示。或者在“一般查询”中直接输入组的名字,再按“立即查找”按钮进行选择。
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
.
c
o
o
b
n
t
e
n
k
.
w
w
w
b
n
c
.
c
.
w
w
w
c. 按“确定”按钮,便可看见对象被选定,如图21所示。
d. 再按“确定”按钮,可以看见“Debugger Users”被加了进来,如图22所示。
o
o
b
n
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
t
e
.
n
t
e
.
n
图20
w
w
w
o
o
b
n
c
.
t
e
n
k
.
b
n
c
.
w
w
w
k
o
o
图21 图22
⑧ 拨入。
用户可以通过这个属性的设置进行允许或拒绝远程服务的许可,或为用户设置拨入连接的选项,
如图23所示。能够设定的用户账户的拨入属性有“远程访问权限”和“回拨选项”。
⑨ 环境。
w
w
w
o
o
b
n
c
.
e
n
k
.
t
w
w
n
c
w
.
k
o
o
b
※ 7 ※
o
o
e
n
k
.
t
w
w
c
w
.
用户可以通过这个选项卡对终端服务启动环境进行配置,如图24所示。
o
t
e
n
k
.
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
t
e
.
n
n
c
.
o
o
b
t
e
n
k
.
w
w
w
b
n
c
.
图23 图24
c
.
w
w
w
a. 开始程序。
用户在连接到终端服务器时所自动运行的指定程序。
b. 客户端设备。
在登录时,自动连接客户端驱动器、打印机以及将默认值设为主客户端打印机。
⑩ 会话。
用户可以通过这个选项卡设置终端服务超时和重新连接设置,如图25所示。
⑪ 远程控制。
用户可以通过这个选项卡配置终端服务远程控制的设置,如图26所示。
o
o
b
n
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
w
w
w
o
o
b
n
c
.
t
e
n
k
.
b
n
c
.
w
w
w
w
w
k
o
o
t
e
.
n
n
c
w
.
k
o
o
b
图25 图26
a. 启用远程控制。
勾选此项来设置要进行远程控制或观察用户的会话。
b. 需要用户权限。
勾选此项来设置申请用户的权限以控制或观察会话。
w
w
w
o
o
b
n
c
.
e
n
k
.
t
※ 8 ※
o
o
e
n
k
.
t
w
w
c
w
.
o
t
e
n
k
.
⑫ 终端服务配置文件。
这个选项卡可以让用户在多会话环境中,运行来自远程服务器的交互式Windows应用程序,如
图27所示。
⑬ COM+。
这个选项卡显示用户是某一分区集的成员,如图28所示。
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
.
c
o
o
b
n
t
e
n
k
.
w
w
w
b
n
c
.
2.3 域用户账户参数的设置
c
.
w
w
w
在创建域用户账户后,还可以重新设置该用户的一些参数。常用的设置功能有:复制、添加到
组、禁用/启用账户、重设密码等,如图29所示。
o
o
b
n
n
k
.
图27 图28
e
t
b
n
c
.
w
w
w
k
o
o
t
e
.
n
t
e
.
n
w
w
w
o
o
b
n
c
.
t
e
n
k
.
b
n
c
.
w
w
w
w
w
k
o
o
n
c
w
.
k
o
o
b
w
w
c
.
w
o
o
b
n
e
n
k
.
t
图29
※ 9 ※
k
o
o
t
e
n
.
w
w
c
w
.
o
t
e
n
k
.
1. 复制
可以通过这项功能建立一批属性相同的用户。
(1)在图29中选择“复制”后,系统会弹出一个“复制对象-用户”窗口,如图30所示。
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
.
c
o
o
b
n
t
e
n
k
.
w
w
w
b
n
c
.
图30
(2)按“下一步”按钮,输入密码,并确认,如图31所示。
c
.
w
w
w
o
o
b
n
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
t
e
.
n
t
e
.
n
(3)按“下一步”,完成建立属性相同的用户,如图32所示。
w
w
w
o
o
b
n
c
.
t
e
n
k
.
图31
b
n
c
.
w
w
w
k
o
o
w
w
c
.
w
o
o
b
n
e
n
k
.
t
w
w
n
c
w
.
k
o
o
b
图32
※ 10 ※
o
o
e
n
k
.
t
w
w
c
w
.
2. 添加到组
(1)在图29中选择“添加到组”后,系统会弹出一个“选择组”窗口,如图33所示。
o
t
e
n
k
.
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
图33
(2)按“高级”按钮,系统弹出另一个“位置”窗口,进行查找,如图34所示。
.
c
o
o
b
n
t
e
n
k
.
w
w
w
b
n
c
.
c
.
w
w
w
o
o
b
n
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
t
e
.
n
t
e
.
n
(3)选择好位置后,按“确定”按钮。完成选择想查找的位置并添加到组。系统会弹出如图
35所示窗口提示操作成功。
3. 禁用/启用账户
1)禁用账户
通过此功能可以暂停某用户的使用。在图29中选择“禁用账户”后,系统会弹出一个提示窗口
显示该用户已被禁用,如图36所示。
w
w
w
o
o
b
n
c
.
t
e
n
k
.
图34
b
n
c
.
w
w
w
k
o
o
2)启用账户
通过此功能可以启用某个被暂停的用户。在图29中选择“启用账户”后,系统会弹出一个提示
窗口显示该用户已被启用,如图37所示。
※ 11 ※
w
w
c
.
w
图35 图36
o
o
b
n
e
n
k
.
t
w
w
n
c
w
.
k
o
o
b
o
o
e
n
k
.
t
w
w
c
w
.
o
t
e
n
k
.
4. 重设密码
在用户需修改密码时可选用此项功能。在图29中选择“重设密码”后,系统会弹出一个“选择
组”窗口,如图38所示。
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
.
c
o
o
b
n
5. 移动
在图29中选择“重设密码”后,系统会弹出一个“移动”窗口,如图39所示,则可以将对象
移动到所选容器中。
6. 删除
在图29中选择“重设密码”后,系统会弹出一个删除确认窗口,如图40所示。按“是”就可
以删除对象了,反之则放弃删除。
t
e
n
k
.
图37 图38
w
w
w
b
n
c
.
w
w
c
.
w
o
o
b
n
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
t
e
.
n
图39 图40
7. 重命名
此项功能可以修改用户账户显示名称及登录名称。在图29中选择“重命名”后就可以进行修改
了,如图41所示。
w
w
w
o
o
b
n
c
.
t
e
n
k
.
b
n
c
.
w
w
w
k
o
o
t
e
.
n
w
w
c
.
w
o
o
b
n
e
n
k
.
t
w
w
n
c
w
.
k
o
o
b
图41
※ 12 ※
o
o
e
n
k
.
t
w
w
c
w
.
3 计算机账户的管理
o
t
e
n
k
.
与域的用户账户相类似,通过计算机用户也可以对计算机访问网络及域资源进行验证和审核。
通过计算机账户验证用户身份来决定用户对网络资源的存取权限,这种检验的方法对日常网络管理
也是十分有效的。
3.1 在域中创建计算机账户
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
在域中每台计算机的账户都是惟一的,可以通过“Active Directory用户和计算机”管理工具来
创建计算机用户,如图42所示。
.
c
o
o
b
n
t
e
n
k
.
w
w
w
b
n
c
.
c
.
w
w
w
(1)打开“Active Directory用户和计算机”管理工具,如图42所示。用右键单击窗口右边的
“Computer”(也可以选择其他容器)进行添加计算机账户,单击“计算机”,弹出一个“新建对象
-计算机”窗口,如图43所示。
(2)在图43所示的窗口中填入该域的计算机名,所输入的计算机名必须在客户机中存在。按
“下一步”按钮,系统会弹出一个“管理”窗口,如图44所示。
o
o
b
n
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
t
e
.
n
t
e
.
n
图42
w
w
w
o
o
b
n
c
.
t
e
n
k
.
b
n
c
.
w
w
w
k
o
o
图43 图44
(3)按“下一步”按钮,出现如图45所示窗口,提示此计算机对象将被创建。
(4)按“完成”按钮,“Computer”容器便会显示刚刚新建的计算机对象,表示已经完成该计
※ 13 ※
w
w
c
.
w
o
o
b
n
e
n
k
.
t
w
w
n
c
w
.
k
o
o
b
o
o
e
n
k
.
t
w
w
c
w
.
算机账户的创建,如图46所示。
o
t
e
n
k
.
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
t
e
.
n
t
e
.
n
.
c
o
o
b
n
t
e
n
k
.
w
w
w
b
n
c
.
图45
c
.
w
w
w
o
o
b
n
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
3.2 计算机账户属性的设置
(1)用右键单击刚才所新建的计算机账户,选择“属性”,如图47所示。
w
w
w
o
o
b
n
c
.
t
e
n
k
.
图46
b
n
c
.
w
w
w
k
o
o
w
w
c
.
w
o
o
b
n
e
n
k
.
t
w
w
n
c
w
.
k
o
o
b
图47
※ 14 ※
o
o
e
n
k
.
t
w
w
c
w
.
(2)在图48所示的计算机账户属性窗口中可以分别对该计算机账户的常规、操作系统、隶属
于、位置等属性进行设置和修改。
o
t
e
n
k
.
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
.
c
o
o
b
n
t
e
n
k
.
w
w
w
b
n
c
.
图48
3.3 计算机账户参数的设置和计算机的管理
与域用户账户的管理一样,也可以对计算机账户进行禁用账户/启用账户、重设账户、移动、删
除等的管理,如图49所示。
c
.
w
w
w
o
o
b
n
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
t
e
.
n
t
e
.
n
用右键单击所选的计算机用户,选择“管理”,如图49所示。系统会弹出该账户计算机的“计
算机管理”控制台,即可对该账户进行管理,如图50所示。
w
w
w
o
o
b
n
c
.
t
e
n
k
.
图49
b
n
c
.
w
w
w
k
o
o
w
w
c
.
w
o
o
b
n
e
n
k
.
t
w
w
n
c
w
.
k
o
o
b
图50
※ 15 ※
o
o
e
n
k
.
t
w
w
c
w
.
3.4 通过验证计算机用户账户访问域资源
通过对域服务器上的test文件夹共享属性的设置来说明计算机账户的应用。
(1)用右键单击“test”文件夹,选择“属性”,弹出文件夹属性窗口,如图51所示。
(2)选择“共享该文件夹”,然后按“权限”按钮,系统弹出“test的权限”窗口,如图52所
示。
o
t
e
n
k
.
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
.
c
o
o
b
n
t
e
n
k
.
w
w
w
b
n
c
.
(3)按“添加”按钮,出现“选择用户、计算机或组”窗口,如图53所示。
c
.
w
w
w
o
o
b
n
n
k
.
图51 图52
e
t
b
n
c
.
w
w
w
k
o
o
t
e
.
n
t
e
.
n
(4)按“对象类型”按钮,弹出如图54所示窗口。
w
w
w
o
o
b
n
c
.
t
e
n
k
.
图53
b
n
c
.
w
w
w
k
o
o
(5)选择“计算机”复选框,再按“确定”按钮,返回到前一窗口。然后按如图53所示的窗
※ 16 ※
w
w
c
.
w
o
o
b
n
e
n
k
.
t
w
w
n
c
w
.
k
o
o
b
图54
o
o
e
n
k
.
t
w
w
c
w
.
口中的“高级”按钮,出现如图55所示的窗口。
o
t
e
n
k
.
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
t
e
.
n
t
e
.
n
.
c
o
o
b
n
t
e
n
k
.
w
w
w
b
n
c
.
(6)单击“立即查找”按钮,再选中owen计算机名,如图56所示,再按“确定”按钮。
c
.
w
w
w
o
o
b
n
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
图55
w
w
w
o
o
b
n
c
.
t
e
n
k
.
b
n
c
.
w
w
w
w
w
k
o
o
n
c
w
.
k
o
o
b
w
w
c
.
w
o
o
b
n
e
n
k
.
t
图56
※ 17 ※
o
o
e
n
k
.
t
w
w
c
w
.
(7)出现如图57所示窗口。
o
t
e
n
k
.
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
(8)按“确定”按钮,返回如图58所示窗口。
.
c
o
o
b
n
t
e
n
k
.
w
w
w
b
n
c
.
图57
c
.
w
w
w
(9)在复选框中选定计算机owen的权限为“更改”、“读取”。按“确定”按钮返回。
此时,计算机owen就拥有了对test文件夹里的文件进行更改和读取的权限,而其他任何用户
都不具备访问该资源的权限。
o
o
b
n
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
t
e
.
n
t
e
.
n
图58
4 组对象的管理
组包含用户、计算机、联系人和其他组的活动目录对象,它是Active Directory中特别重要的对
象。合理地创建组结构,就可以在用户众多和权限较复杂的网络环境中简化网络的维护和管理。
4.1 组的种类及作用域
1. 组的种类
组在Windows Server 2003中分为安全组和通信组。
1)安全组
安全组列在定义资源和对象权限的选择性访问控制表(DACL)中,它将用户、计算机和其他
组对象作为一个可管理的单位。管理员为资源指派权限时,可以只对组作为一个单位来定义权利和
权限,而不用对组中的每个用户进行操作。安全组可用作电子邮件实体,当给这种组发送电子邮件
时也会将该邮件发给组中的所有成员。
2)通信组
通信组不列在定义资源和对象权限的选择性访问控制表(DACL)中,它不采用安全机制。在
电子邮件应用程序中,才能使用通信组将电子邮件发送给一组用户。
当域处于本机模式时安全组和通信组可以相互转换,但当处于混合模式时不能转换组。
w
w
w
o
o
b
n
c
.
t
e
n
k
.
b
n
c
.
w
w
w
w
w
k
o
o
n
c
w
.
k
o
o
b
w
w
c
.
w
o
o
b
n
e
n
k
.
t
※ 18 ※
o
o
e
n
k
.
t
w
w
c
w
.
o
t
e
n
k
.
2. 组的作用域
组在域树或域林中的应用范围称为组的作用域,它有三种类型:
1)通用组
有通用作用域的组称为通用组。通用组的成员是域树或域林中任何域且都可获得权限的账户。
2)全局组
有全局作用域的组称为全局组。全局组的成员是组所在域的账户。
3)本地组
有本地作用域的组称为本地组。本地组的成员是本地域的账户。本地组主要用来指定其所属域
内的存取权限。
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
4.2 用户组的创建与管理
.
c
o
o
b
n
用户和组都可在活动目录中创建,通过对组的操作,从而简化操作的复杂性及降低管理的难度。
1. 创建组
(1)打开“Active Directory用户和计算机”管理工具,选择要新建的组所属的域、容器或组
织单位。以在“Users”中创建组为例,用右键单击“Users”,选择“新建”,再单击“组”,如图59
所示。
t
e
n
k
.
w
w
w
b
n
c
.
c
.
w
w
w
o
o
b
n
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
t
e
.
n
(2)这时系统弹出“新建对象-组”窗口,如图60所示。输入组名,并根据需要选择组作用
域和组类型。
w
w
w
o
o
b
n
c
.
t
e
n
k
.
图59
b
n
c
.
w
w
w
k
o
o
t
e
.
n
w
w
c
.
w
o
o
b
n
e
n
k
.
t
w
w
n
c
w
.
k
o
o
b
图60
※ 19 ※
o
o
e
n
k
.
t
w
w
c
w
.
(3)按“确定”按钮,完成组的创建,便可在“Active Directory用户和计算机”管理工具中
看见我们新创建的组,如图61所示。
o
t
e
n
k
.
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
.
c
o
o
b
n
t
e
n
k
.
w
w
w
b
n
c
.
2. 设置组
可以对刚才创建的组进行移动该组到其他容器、向全组发送邮件、删除、重命名等操作,如图
62所示。
c
.
w
w
w
o
o
b
n
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
t
e
.
n
t
e
.
n
图61
w
w
w
o
o
b
n
c
.
t
e
n
k
.
b
n
c
.
w
w
w
w
w
k
o
o
n
c
w
.
k
o
o
b
1)设置组成员
(1)在如图62所示的窗口中选择“属性”,系统弹出“Check属性”窗口,再选择“成员”选
项卡,如图63所示。
w
w
c
.
w
o
o
b
n
e
n
k
.
t
图62
※ 20 ※
o
o
e
n
k
.
t
w
w
c
w
.
(2)按“添加”按钮,弹出“选择用户、联系人或计算机”窗口,如图64所示。
o
t
e
n
k
.
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
t
e
.
n
.
c
o
o
b
n
(3)单击“高级”按钮,在弹出的窗口中按“立即查找”按钮,然后在搜索结果中选择用户、
计算机或其他对象,如图65所示。
t
e
n
k
.
w
w
w
b
n
c
.
图63 图64
c
.
w
w
w
o
o
b
n
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
(4)按“确定”按钮,出现如图66所示窗口,最后按“确定”返回。
w
w
w
o
o
b
n
c
.
t
e
n
k
.
图65
b
n
c
.
w
w
w
w
w
k
o
o
t
e
.
n
n
c
w
.
k
o
o
b
w
w
c
.
w
o
o
b
n
e
n
k
.
t
图66
※ 21 ※
o
o
e
n
k
.
t
w
w
c
w
.
(5)按“确定”按钮,可看见所选择的用户、计算机或其他对象被添加进来,如图67所示。
o
t
e
n
k
.
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
t
e
.
n
t
e
.
n
n
c
.
o
o
b
t
e
n
k
.
w
w
w
b
n
c
.
图67
2)设置组隶属于
(1)在如图62所示的窗口中选择“属性”,系统弹出“Check属性”窗口,再选择“隶属于”
选项卡,如图68所示。选择该组所属的其他安全组,该设置可确定该组的权限。
c
.
w
w
w
o
o
b
n
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
(2)按“添加”按钮,出现如图69所示窗口。
w
w
w
o
o
b
n
c
.
t
e
n
k
.
图68
b
n
c
.
w
w
w
w
w
k
o
o
n
c
w
.
k
o
o
b
w
w
c
.
w
o
o
b
n
e
n
k
.
t
图69
※ 22 ※
o
o
e
n
k
.
t
w
w
c
w
.
(3)按“高级”按钮,出现“选择组”窗口。按“立即查找”按钮,出现如图70所示的窗
口。
o
t
e
n
k
.
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
.
c
o
o
b
n
t
e
n
k
.
w
w
w
b
n
c
.
c
.
w
w
w
(4)为Check组分配账户管理员、DNS管理员、帮助和支持这些成员的权利。按“确定”按
钮返回,出现如图71所示窗口。
(5)按“确定”按钮返回,出现如图72所示窗口。再按“确定”按钮返回,完成“隶属于”
属性设置。
o
o
b
n
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
t
e
.
n
t
e
.
n
图70
w
w
w
o
o
b
n
c
.
t
e
n
k
.
b
n
c
.
w
w
w
k
o
o
3)移动组
在如图62所示的窗口中选择“移动”,系统会出现如图73所示窗口。再选择要移入的容器,最
※ 23 ※
w
w
图71 图72
c
.
w
o
o
b
n
e
n
k
.
t
w
w
n
c
w
.
k
o
o
b
o
o
e
n
k
.
t
w
w
c
w
.
后按“确定”按钮便可完成移动。
o
t
e
n
k
.
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
t
e
.
n
t
e
.
n
5 组织单元
.
c
o
o
b
n
c
.
w
w
w
包含在域中特别有用的目录对象类型就是组织单元(Organizational Units),简称OU。组织单
元是可以指派组策略设置或委派管理权限的最小作用单位。组织单元可将用户、组、计算机和其他
单元放入活动目录的容器中,组织单元不能包括来自其他域的对象。我们可以在组织单元中代表逻
辑层次结构的域中创建容器,这样我们就可以根据组织模型管理账户、资源的配置和使用,可使用
组织单元创建可缩放的任意规模的管理模型。可授予用户对域中所有组织单元或对单个组织单元的
管理权限,组织单元的管理员不需要具有域中任何其他组织单元的管理权,组织单元有点像我们在
NT时代的工作组,我们从管理权限上来讲可以这么理解。Microsoft 公司建议在以下三种情况下应
使用组织单元对企业的资源进行分组:
(1)如果想让AD结构反映公司结构或组织的细节。
(2)如果想把管理控制权委托到较小的用户组、组和资源上。
(3)如果公司组织结构会发生变化。
5.1 组织单元用于委派管理
t
e
n
k
.
w
w
w
b
n
c
.
图73
o
o
b
n
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
Windows Server 2003拥有强大的管理委派功能。此功能可通过对组织单元访问控制和访问控制
继承的组合,授予一组用户创建特定的对象类的能力,或者修改特定的对象类上的特定属性的能力,
这样就可根据实际情况灵活地授予权利。
下面通过以下例子说明委派组织单元的控制:
(1)打开“Active Directory用户和计算机”管理工具,选中其中要进行操作的组织单元,如
图74所示。
w
w
w
o
o
b
n
c
.
t
e
n
k
.
b
n
c
.
w
w
w
w
w
k
o
o
n
c
w
.
k
o
o
b
w
w
c
.
w
o
o
b
n
e
n
k
.
t
图74
※ 24 ※
o
o
e
n
k
.
t
w
w
c
w
.
o
t
e
n
k
.
(2)在如图74所示的窗口中选择“委派控制”选项,打开“控制委派向导”窗口,如图75
所示。
(3)按“下一步”按钮,出现如图76所示窗口。
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
n
c
.
o
o
b
(4)按“添加”按钮,出现如图77所示窗口。
t
e
n
k
.
w
w
w
b
n
c
.
图75 图76
c
.
w
w
w
(5)按“高级”按钮,出现如图78所示窗口,选定用户或组,按“确定”返回。
o
o
b
n
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
t
e
.
n
图77
w
w
w
o
o
b
n
c
.
t
e
n
k
.
b
n
c
.
w
w
w
k
o
o
t
e
.
n
w
w
c
.
w
o
o
b
n
e
n
k
.
t
w
w
n
c
w
.
k
o
o
b
图78
※ 25 ※
o
o
e
n
k
.
t
w
w
c
w
.
(6)出现如图79所示窗口,按“确定”按钮返回。
o
t
e
n
k
.
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
(7)成功添加用户或组,效果如图80所示。
(8)按“下一步”按钮继续,出现如图81所示窗口。
.
c
o
o
b
n
t
e
n
k
.
w
w
w
b
n
c
.
图79
w
w
n
c
.
w
(9)在复选框中勾选委派的任务,并按“下一步”继续。出现如图82所示的“完成控制委派
向导”窗口,按“完成”按钮完成控制委派。
o
o
b
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
t
e
.
n
t
e
.
n
图80 图81
w
w
w
o
o
b
n
c
.
t
e
n
k
.
b
n
c
.
w
w
w
w
w
k
o
o
n
c
w
.
k
o
o
b
5.2 组织单元用于隐藏对象
创建一个组织单元,并对该组织单元有列出内容权力的用户集作出限制,便可以有效地隐藏一
个对象或对象集,其操作步骤如下:
(1)在要隐藏对象的地方创建组织单元。
※ 26 ※
w
w
c
.
w
o
o
b
n
图82
e
n
k
.
t
o
o
e
n
k
.
t
w
w
c
w
.
o
t
e
n
k
.
(2)从组织单元中删除所有已有的权限。
(3)标识对组织单元需要有完全控制的组,并利用委派控制。
(4)标识对组织单元及其内容应当有一般读取访问的组,并利用委派控制。
(5)将需要隐藏的对象移入组织单元。
b
n
c
.
w
w
w
k
o
o
k
o
o
t
e
.
n
.
c
o
o
b
n
t
e
n
k
.
w
w
w
b
n
c
.
c
.
w
w
w
o
o
b
n
n
k
.
e
t
b
n
c
.
w
w
w
k
o
o
t
e
.
n
t
e
.
n
w
w
w
o
o
b
n
c
.
t
e
n
k
.
b
n
c
.
w
w
w
w
w
k
o
o
n
c
w
.
k
o
o
b
w
w
c
.
w
o
o
b
n
e
n
k
.
t
※ 27 ※
o
o
e
n
k
.
t
w
w
c
w
.
发布评论