用户和组账号管理课件.ppt

1、用户账号管理组账号管理组策略及应用在由windows server2008组建的网络中，拥有不同权限的用户账号对计算机及网络控制的能力和范围是不同的。用户账号是用户登录系统凭证。利用用户账号，用户能够登录到域中，访问网络资源，或者登录到本地，访问本地计算机上的资源。XP中用于管理本地账号的工具域控器的本地用户和组已升级为AD用户和计算机工具组织单元组织单元（OU，Organizational Unit）是组）是组织、管理一个域内对象的容器，它能包容用户织、管理一个域内对象的容器，它能包容用户账户、用户组、计算机、打印机和其他的组织账户、用户组、计算机、打印机和其他的组织单元。单元。组组是用户和

2、计算机账户、联系人以及其他可作是用户和计算机账户、联系人以及其他可作为单个为单个单元管理单元管理的集合，属于特定组的用户和的集合，属于特定组的用户和计算机称为组成员。计算机称为组成员。通过对通过对Active Directory 中的组进行管理，可以实中的组进行管理，可以实现如下功能：现如下功能：（1）简化管理）简化管理（2）委派管理）委派管理将shism域账号添加到本地administrators组后，shism账号拥有管理员权限和本地用户帐户不同，域用户帐户保存在活动和本地用户帐户不同，域用户帐户保存在活动目录中。由于所有的用户帐户都集中保存在活目录中。由于所有的用户帐户都集中保存在活动目

3、录中，所以使得集中管理变成可能动目录中，所以使得集中管理变成可能同时，一个域用户帐户可以在域中的任何一台同时，一个域用户帐户可以在域中的任何一台计算机上登录，用户可以不再使用固定的计算计算机上登录，用户可以不再使用固定的计算机。当计算机出现故障时，用户可以使用域用机。当计算机出现故障时，用户可以使用域用户帐户登录到另一台计算机上继续工作，这样户帐户登录到另一台计算机上继续工作，这样也使帐号的管理变得简单。也使帐号的管理变得简单。OU（组织单位）在域中有很多的对象，包括用户帐户、组、共享文件夹和共享打印机等。这些对象都是集中存储在活动目录中并使用“AD用户与计算机”管理工具来进行管理。但如果这些

4、大量的对象都放在“users”管理单元内进行管理，会带来一定的不便，例如不便于查找、难于设置策略等。所以为了更好的组织和管理这些对象，引入“OU”的概念。OU又叫组织单位，它是一个容器，主要的作用就是用来组织和管理这些对象的。为了便于日后的管理，我们一定要设计好OU的结构。OU结构的划分有几种不同的方法结构的划分有几种不同的方法按对象类型来划分。该划分方法是创建几个OU，不同的OU放不同的对象，比如一个OU放用户帐户，另一个OU放计算机帐户等；按企业的组织结构来划分。方法是为不同的部门创建不同的OU，把属于每个部门的对象都放在一个OU里，比如财务部的OU放财务部的用户帐户、财务部的计算机帐户和

5、组等，而业务部的OU放业务部的用户帐户、业务部的计算机帐户和组等。这是一种常用的方法；按地区来划分。该方法主要用在有分支机构的企业，分别为不同的分支机构创建不同的OU，然后把属于该分支机构的所有对象都放在相应的OU里。比如一个企业有广州总公司、上海分公司和北京分公司，那么就分别为这三个分公司建立三个OU，一个OU放广州总公司的对象，一个放上海分公司的对象，还有一个放北京分公司的对象；混合划分方法。该方法是按组织结构划分和按地区划分两种方法的结合，先为不同分支机构创建OU，再在不同的分支机构的OU里按组织结构来创建子OU。这也是一种常用的方法。利用账号模板可以创建一个账号模板，预先设置相关的共同

6、属禁用通过账号模板进行复制复制时，仍然要求你输入姓名，登录姓名和密码。但会发现这个新帐号有一些属性是从模板中复制得到的。利用命令行工具CSVDECSVDE是一个命令行工具，可以将AD中的对象导出成一个后缀名为.csv或.txt的文件；也可以将这样的文件导入成AD，作为对象。comma-separated value text file，逗号分隔文件，可以在Excel或文件编辑器中被打开查看。导出ou中的记录导入账号Dsquery的例子：dsquery user “ou=students,ou=rjgc,ou=jsj,dc=czu,dc=internal” disabled查询在指定ou内的被禁

7、用的账号Dsmod的例子：dsquery user “ou=students,ou=rjgc,ou=jsj,dc=czu,dc=internal” disabled| dsmod user disabled no pwd !345czu将查询结果导入给dsmod命令，启用账号，修改密码如果用户登录后，不能访问他的IE收藏夹，或不能见到熟悉的快捷方式或桌面的文档。这些内容都与用户文件的组件相关。一个用户文件包括文件夹和数据文件。数据文件中有用户特定的桌面环境。设置包括：开始菜单，桌面，以及快速启动栏中的快捷方式(Shortcuts)桌面上的文件。在My Documents 中的文件IE收藏夹和C

8、ookies程序的特殊文件，如office用户字典，用户模板等。网上邻居桌面的显示设置，如外观，墙纸和屏保这些重要的元素不同于各个用户。我们希望这些元素与登录联系起来，当用户登录到其它系统时可用。或当用户的系统损坏必须重装时，也可用。默认，用户文件被存储在系统本地。 %Systemdrive% Documents and Settings%Username% 文件夹中有以下特征：当用户第一次登录到一个系统。系统为该用户新建用户文件。新的用户文件夹名，会与登录的名字类似。所有对用户桌面或软件环境所做修改，都会被保存在本地用户文件夹中（ Local User Profiles ）用户的环境由All

9、 users文件夹扩展，其中可以包括桌面或开始菜单中的shortcuts，网上邻居，甚至应用程序数据。All users中的元素与用户文件夹中的内容结合产生用户环境。默认，只有Administrators group 的用户才可以更改All users文件夹。如果用户登录到其它系统， documents and settings 中的内容不会跟随用户。系统会重新为用户生成一个用户文件夹如果用户需要在多台计算机上工作，你可以配置漫游用户文件（ roaming user profiles ，RUPs）。以此保证无论在什么地方登录，他们的documents and settings 保持一致。RUP

10、s将文件存放在服务器上，也意味着，文件可以被备份，扫描viruses，被集中控制。即使用户不用移动， RUPs也可以在用户系统损坏时，保证用户文件与系统恢复前一致。配置RUP，先在服务器上建立一个共享文件夹（Everyone Full Control）。理想情况下，服务器应该是一个file server，可以经常做备份。在用户“属性”对话框的“配置文件”页中，在profile path中，键入 %Username% %Username%会被自动地代替为用户登录名当用户注销时，系统会将用户文件上传至服务器。用户只要是登录到域，无论是哪个系统，或哪台计算机，用户文件都以RUP形式，从服务器上下载到

11、本地。（the system copies only files that have changed)注意：rups文件夹权限的设置（1）共享（2）NTFS权限（3）共享权限 你可以建立一个自定义的用户文件，提供设计好的桌面和软件环境。建立自定义的用户文件，不需要特别的工具，只要新建一个帐户，以该账号，登录到系统，正确修改桌面和软件设置。当用户文件修改成功后，以管理员身份登录到系统，打开系统“属性”，在高级页中，点击用户配置文件中的“设置”按钮。o选择文件，点击“复制”。键入路径，格式为：o可以点击“更改”，修改可访问文件夹的人。最后，打开用户账号的”属性“对话框，在配置文件页中，输入同样的文

12、件路径。漫游文件可以为多个用户建立标准的桌面环境。但是不同的用户在今后会对自己的桌面环境做不同的修改。可以设置多个用户都使用同一个用户文件夹。方法如上。在复制文件到目的地时。访问权限设置为一个组都能访问。既然有多个用户都可以访问同一个用户文件夹，自然不希望该文件夹中的内容，被修改。这时可以配置强制文件(Mandatory Profile )一个Mandatory Profile 不允许用户更改profile环境。即使用户在本机上做了修改，但下次用户登录时，这些修改将不会被保存。Mandatory Profile可以用于锁住桌面。尤其是多个用户共享一个用户配置文件时。将用户配置文件变成Manda

13、tory 的，只要重命名文件夹中Ntuser.dat文件为Ntuser.man。组（group）是多个具有相同管理任务的用户和计算机账号的集合单元。属于特定组的用户和计算机被称为组成员。在AD域服务中的组都是存储在域和OU中的。使用且可以一次给一组用户指定权限，而不必单独地给每一个用户重复指定权限，从而简化管理。使用 ADDS 中的组可以执行以下操作：通过将共享资源的权限分配给组而不是单个用户来简化管理。将权限分配给组会将对资源的相同访问权限分配给该组的所有成员。通过组策略将用户权限一次性分配给组来进行委派管理。然后可以向组添加那些希望和组具有相同权利的成员。创建电子邮件分发列表。在域中，组的

14、类型有两种，分别是“安全组”和“通讯组”。安全组即可以设置权限，也可以收发电子邮件；而通讯组不能设置权限，只能收发电子邮件。根据组的作用范围不同，组又分为“本地域组”、“全局组”和“通用组”三种。本地域组：作用范围是该组所在的域内可以包含的成员包括：所有域的用户帐户、全局组、通用组，以及本域的域本地组。全局组：作用范围是所有受信任的域可以包含的成员有：本域的用户帐户和全局组。通用组：作用范围是所有受信任的域可以包含的成员有：所有域的用户帐户、全局组和通用组。在WS2008中有三种域功能级别：Windows 2000纯模式， Windows Server 2003，Windows Server

15、2008。Windows 2000:这个级别内的域控制器可以是ws 2000或ws2003 Windows Server 2003:这个级别内的域控制器可以是ws2003或ws2008Windows Server 2008:只能是ws2008不同的域功能级别，在组属性上有不同的限制。一旦提升域功能级别之后，就不能再将运行旧版操作系统的域控制器引入该域中。 Group scope用来确定在域树或林中该组的应用范围 ，定义了权限如何被分配给组成员。WS2008中，无论是安全组还是通讯组，都被划分为三个组作用域：本地域(domain local )，全局(global)，通用(universal)作

16、用域组类型通常为本域的资源创建本地域组帮助用户定义和管理单一域内的资源访问权限本地域组的成员可以是同一个域的本地域组任何域内的账户具有全局作用域的域组具有通用域的组他们能访问的资源只是该本地域组所在域中的资源例如，若要授予五个用户访问特定打印机的权限，您可以在打印机权限列表中添加五个用户帐户。但是，如果您以后要授予这五个用户访问新打印机的权限，则必须重新在新打印机权限列表中指定这五个帐户。稍作计划之后，通过创建具有本地域作用域的组并为其分配访问打印机的权限，即可简化此日常管理任务。将这五个用户帐户放在具有全局作用域的组中，并将此组添加到具有本地域作用域的组。若要授予这五个用户访问新打印机的权限

17、，可以为具有本地域作用域的组分配新打印机的访问权限。具有全局作用域的组的所有成员都会自动获得对新打印机的访问权限。全局组属于某个域，但作用范围是整个森林，主要用来组织对网络访问具有相同要求的用户全局组的成员只包括组所在域的其他组和帐户使用具有全局作用域的组来管理需要进行日常维护的目录对象，如用户和计算机帐户。由于具有全局作用域的组在自已的域外不会被复制，因此您可以经常更改具有全局作用域的组中的帐户，且不会对全局编录产生重复流量。通用组的成员可以包括域树或林中的任何域的其他组和帐户。可以在域树或林中的任何域为这些组成员分配权限。使用具有通用作用域的组来合并跨域的组向具有全局作用域的组添加帐户，并

18、在具有通用作用域的组内嵌套这些组。使用此策略时，对具有全局作用域的组成员身份的任何更改都不会影响具有通用作用域的组。有一些特殊的组称为special identities, 由操作系统管理。Special identities 不能被创建或删除，其中的成员也不能被修改。Special identities不会在“AD用户和计算机”管理单元中显示，但是可以在ACL中被分配访问权限。这些特殊组能根据环境在不同时间代表不同用户 IdentityRepresentationEveryone此组代表了所有当前网络用户，包括来自于其他域的来宾和用户。无论用户何时登录到网络上，都会自动将该用户添加到 Eve

19、ryone 组。Network 此组所代表的用户当前正通过网络访问给定的资源，这些用户与通过本地登录到资源所在的计算机来访问该资源的用户相对。无论用户何时通过网络访问给定的资源，都会自动将该用户添加到“网络”组。Interactive 此组代表当前已登录到特定计算机，并且正在访问位于该计算机上的给定资源的所有用户，他们与通过网络访问资源的用户相对。无论用户何时访问他们当前已登录的计算机上的给定资源，都会自动将该用户添加到“交互”组。Anonymous Logon此组所代表的用户和服务在不使用帐户名、密码或域名的情况下通过网络访问计算机及其资源。在运行 Windows NT 和早期版本的计算机上

20、，“匿名登录”组是 Everyone 组的默认成员。但在运行 Windows Server 2008 R2、Windows Server 2008 或 Windows Server 2003 的计算机上，“匿名登录”组在默认情况下不是 Everyone 组的成员。Creator Owner表示创建或获取了资源所有权的用户。如一个用户创建了资源，但是管理员拿走了所有权，那么，creator owner将是管理员。理解组策略的作用理解组策略的应用顺序会配置组策略的继承会配置组策略的强制生效会配置组策略实现软件分发 32方便管理AD中用户和计算机的工作环境用户桌面环境计算机启动/关机与用户登录/注销

21、时所执行的脚本文件软件分发安全设置33通过组策略可以对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境降低布置用户和计算机环境的总费用只须设置一次，相应的用户或计算机即可全部使用规定的设置减少用户不正确配置环境的可能性推行公司使用计算机的规范桌面环境规范安全策略组策略适用的操作系统组策略不适用于早期的Windows操作系统，如Windows 9x/NT，那时使用的是“系统策略”。 组策略是系统策略的更高级扩展，它是由Windows 9x/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003

22、/Vista/2008中。组策略的具体设置数据保存在GPO中 34默认默认GPO默认域策略默认域策略 默认域控制器策略默认域控制器策略 GPO所链接的所链接的对象对象 组策略不能应用到组，只能够应用到站点、域或组织单位（SDOU）GPO控制控制用户和计算机用户和计算机组策略组策略GPOSDOU计算机计算机用户用户35需求：公司的网络采用域结构进行管理，销售部员工的用户账户都位于Sales_OU中，现要求销售部的员工统一使用公司指定的桌面背景，而且不能随意更改成其它桌面背景实现思路：创建并链接组策略配置组策略用户配置策略管理模板桌面桌面桌面墙纸 36继承与阻止继承 累加 应用顺序 强制生效 筛选

23、37在默认情况下，下层容器会继承来自上层容器的GPO子容器可以阻止继承上级的组策略右击容器阻止继承继承继承Sales_OU的组策略的组策略继承域的组策略继承域的组策略38容器的多个组策略设置如果不冲突，则最终有效策略是所有组策略设置的总和容器的多个组策略设置如果冲突，则后应用的组策略覆盖先应用的组策略组策略设置组策略设置是否冲突是否冲突OU的有效设置的有效设置域：域：IE主页设置为主页设置为http:/OU：已启用：已启用“阻止更改墙纸阻止更改墙纸”否否IE主页设置为主页设置为http:/阻止更改墙纸阻止更改墙纸域：已启用域：已启用“阻止更改墙纸阻止更改墙纸”OU：已禁用：已禁用“阻止更改墙纸

24、阻止更改墙纸”是是可以更改墙纸可以更改墙纸39组策略按以下顺序被应用： LSDOU首先应用本地组策略对象如果有站点组策略对象，则应用之然后应用域组策略对象如果计算机或用户属于某个OU，则应用OU上的组策略对象如果计算机或用户属于某个OU的子OU，则应用子OU上的组策略对象如果同一个容器下链接了多个组策略对象，则按照策略优先级从大到小逐个应用(优先级小级别高）40强制生效是强制容器执行其GPO设置强制的强制的41筛选可以阻止一个GPO应用于容器内的特定计算机和用户Sales_OUManagerASales42需求：对不同的用户应用不同的用户密码安全级别。需要使用Password Settings

25、 objects (PSO)，对不同用户应用不同密码策略。步骤1.使用 ADSI Edit(AD service interface) 创建 PSO在 ADSI Edit 管理单元中，右键单击ADSI Edit，然后单击“连接到连接到”。在“名称名称”中，键入要在其中创建 PSO 的域的完全限定的域名 (FQDN)，然后单击“确定确定”。双击该域DC= CN=SystemCN=Password Settings Container。右键单击CN=Password Settings Container，单击“新建新建”，然后单击“对象对象”。在“创建对象创建对象”对话框的“选择类选择类”下，单击

26、msDS-PasswordSettings，然后单击“下一步下一步”。在“值值”中，键入新 PSO 的名称，然后单击“下一步下一步”。域功能级别：提升到2008多元密码策略只能被应用到用户对象或者全局安全组步骤2. PSO 对象属性值属性名称属性名称描述描述可接受的值范围可接受的值范围示例值示例值msDS-PasswordSettingsPrecedence密码设置优先级大于 010msDS-PasswordReversibleEncryptionEnabled用户帐户的密码可还原的加密状态FALSE/TRUE（推荐：FALSE） FALSEmsDS-PasswordHistoryLength

27、用户帐户的密码历史长度0 到 102424msDS-PasswordComplexityEnabled用户帐户的密码复杂性状态FALSE/TRUE（推荐：TRUE）TRUEmsDS-MinimumPasswordLength用户帐户的最短密码长度0 到 2558msDS-MinimumPasswordAge用户帐户的最短密码期限00:00:00:00 到msDS-MaximumPasswordAge值1:00:00:00（1 天）msDS-MaximumPasswordAge用户帐户的最长密码期限不能将msDS-MaximumPasswordAge设置为零42:00:00:00（42 天）ms

28、DS-LockoutThreshold用户帐户锁定的锁定阈值0 到 6553510msDS-LockoutObservationWindow用户帐户锁定的观察窗口00:00:00:01 到msDS-LockoutDuration值0:00:30:00（30 分钟）msDS-LockoutDuration锁定用户帐户的锁定持续时间msDS-LockoutObservationWindow值到（永不过期）0:00:30:00（30 分钟）msDS-PSOAppliesTo到此密码设置对象所应用到的对象的链接（正向链接）用户或全局安全组的 0 个或多个 DN“CN=u1,CN=Users,DC=DC

29、1,DC=contoso,DC=com”步骤3.将 PSO 应用到用户和全局安全组打开“Active Directory 用户和计算机”。若要打开“Active Directory 用户和计算机”，请单击“开始开始”，指向“管理工具管理工具”，然后单击“Active Directory 用户和计算机用户和计算机”。在“查看查看”菜单上，确保选中“高级功能高级功能”。在控制台树中，单击“密码设置容器密码设置容器”。在细节窗格中，右键单击 PSO，然后单击“属性属性”。单击“属性编辑器属性编辑器”选项卡。选择msDS-PsoAppliesTo属性，然后单击“编辑编辑”。在“多值字符串编辑器多值字符

30、串编辑器”对话框中，输入要将此 PSO 应用到的用户或全局安全组的可分辨名称（又称为 DN），单击“添加添加”，然后单击“确定确定”。4.查看用户或全局安全组的结果 PSO单击用户“属性编辑器属性编辑器”选项卡，然后单击“筛选器筛选器”。确保选中“显示属性显示属性”/“可选可选”复选框。确保选中“显示只读属性显示只读属性”/“已构造已构造”复选框。找到“属性属性”列表中的msDS-ResultantPSO属性的值。47分发软件 修复软件删除软件 升级软件 48分发软件的步骤 获取Windows安装程序包文件；该软件包包含一个.msi文件以及必要的相关安装文件将软件安装文件放到一个软件分发点创建

31、或修改GPO指派与发布的区别指派：指派到用户或计算机(Assign)指派给计算机：计算机启动时软件自动安装在计算机中，并且所有用用户可用指派给用户：不会自动安装，只安装软件相关的部分信息。可利用“文件启动”功能，激活安装发布：发布给用户(publish)发布给用户：会安装一些快捷方式。指派比发布更具强制性向用户指派软件50用户的软件发生文件丢失或损坏时，自动重新复制正确的文件来修复如果原来软件分发点上的安装文件发生丢失或损坏在服务器上修复该软件的源文件重新部署一次51不再需要分发的软件，可以在GPO中删除软件设置 下一次用户和计算机登录或启动时，软件会被强制删除用户和计算机仍可继续执行使用软件，但不允许重新安装 52强制升级强制用户将当前软件升级到新的版本可选升级允许用户同时使用一个应用程序的两个版本 人有了知识，就会具备各种分析能力，明辨是非的能力。所以我们要勤恳读书，广泛阅读，古人说“书中自有黄金屋。”通过阅读科技书籍，我们能丰富知识，培养逻辑思维能力；通过阅读文学作品，我们能提高文学鉴赏水平，培养文学情趣；通过阅读报刊，我们能增长见识，扩大自己的知识面。有许多书籍还能培养我们的道德情操，给我们巨大的精神力量，鼓舞我们前进。