用户和组账号管理课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《用户和组账号管理课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 用户 账号 管理 课件
- 资源描述:
-
1、用户账号管理组账号管理组策略及应用在由windows server2008组建的网络中,拥有不同权限的用户账号对计算机及网络控制的能力和范围是不同的。用户账号是用户登录系统凭证。利用用户账号,用户能够登录到域中,访问网络资源,或者登录到本地,访问本地计算机上的资源。XP中用于管理本地账号的工具域控器的本地用户和组已升级为AD用户和计算机工具组织单元组织单元(OU,Organizational Unit)是组)是组织、管理一个域内对象的容器,它能包容用户织、管理一个域内对象的容器,它能包容用户账户、用户组、计算机、打印机和其他的组织账户、用户组、计算机、打印机和其他的组织单元。单元。组组是用户和
2、计算机账户、联系人以及其他可作是用户和计算机账户、联系人以及其他可作为单个为单个单元管理单元管理的集合,属于特定组的用户和的集合,属于特定组的用户和计算机称为组成员。计算机称为组成员。通过对通过对Active Directory 中的组进行管理,可以实中的组进行管理,可以实现如下功能:现如下功能:(1)简化管理)简化管理(2)委派管理)委派管理将shism域账号添加到本地administrators组后,shism账号拥有管理员权限和本地用户帐户不同,域用户帐户保存在活动和本地用户帐户不同,域用户帐户保存在活动目录中。由于所有的用户帐户都集中保存在活目录中。由于所有的用户帐户都集中保存在活动目
3、录中,所以使得集中管理变成可能动目录中,所以使得集中管理变成可能同时,一个域用户帐户可以在域中的任何一台同时,一个域用户帐户可以在域中的任何一台计算机上登录,用户可以不再使用固定的计算计算机上登录,用户可以不再使用固定的计算机。当计算机出现故障时,用户可以使用域用机。当计算机出现故障时,用户可以使用域用户帐户登录到另一台计算机上继续工作,这样户帐户登录到另一台计算机上继续工作,这样也使帐号的管理变得简单。也使帐号的管理变得简单。OU(组织单位)在域中有很多的对象,包括用户帐户、组、共享文件夹和共享打印机等。这些对象都是集中存储在活动目录中并使用“AD用户与计算机”管理工具来进行管理。但如果这些
4、大量的对象都放在“users”管理单元内进行管理,会带来一定的不便,例如不便于查找、难于设置策略等。所以为了更好的组织和管理这些对象,引入“OU”的概念。OU又叫组织单位,它是一个容器,主要的作用就是用来组织和管理这些对象的。为了便于日后的管理,我们一定要设计好OU的结构。OU结构的划分有几种不同的方法结构的划分有几种不同的方法按对象类型来划分。该划分方法是创建几个OU,不同的OU放不同的对象,比如一个OU放用户帐户,另一个OU放计算机帐户等;按企业的组织结构来划分。方法是为不同的部门创建不同的OU,把属于每个部门的对象都放在一个OU里,比如财务部的OU放财务部的用户帐户、财务部的计算机帐户和
5、组等,而业务部的OU放业务部的用户帐户、业务部的计算机帐户和组等。这是一种常用的方法;按地区来划分。该方法主要用在有分支机构的企业,分别为不同的分支机构创建不同的OU,然后把属于该分支机构的所有对象都放在相应的OU里。比如一个企业有广州总公司、上海分公司和北京分公司,那么就分别为这三个分公司建立三个OU,一个OU放广州总公司的对象,一个放上海分公司的对象,还有一个放北京分公司的对象;混合划分方法。该方法是按组织结构划分和按地区划分两种方法的结合,先为不同分支机构创建OU,再在不同的分支机构的OU里按组织结构来创建子OU。这也是一种常用的方法。利用账号模板可以创建一个账号模板,预先设置相关的共同
6、属禁用通过账号模板进行复制复制时,仍然要求你输入姓名,登录姓名和密码。但会发现这个新帐号有一些属性是从模板中复制得到的。利用命令行工具CSVDECSVDE是一个命令行工具,可以将AD中的对象导出成一个后缀名为.csv或.txt的文件;也可以将这样的文件导入成AD,作为对象。comma-separated value text file,逗号分隔文件,可以在Excel或文件编辑器中被打开查看。导出ou中的记录导入账号Dsquery的例子:dsquery user “ou=students,ou=rjgc,ou=jsj,dc=czu,dc=internal” disabled查询在指定ou内的被禁
7、用的账号Dsmod的例子:dsquery user “ou=students,ou=rjgc,ou=jsj,dc=czu,dc=internal” disabled| dsmod user disabled no pwd !345czu将查询结果导入给dsmod命令,启用账号,修改密码如果用户登录后,不能访问他的IE收藏夹,或不能见到熟悉的快捷方式或桌面的文档。这些内容都与用户文件的组件相关。一个用户文件包括文件夹和数据文件。数据文件中有用户特定的桌面环境。设置包括:开始菜单,桌面,以及快速启动栏中的快捷方式(Shortcuts)桌面上的文件。在My Documents 中的文件IE收藏夹和C
8、ookies程序的特殊文件,如office用户字典,用户模板等。网上邻居桌面的显示设置,如外观,墙纸和屏保这些重要的元素不同于各个用户。我们希望这些元素与登录联系起来,当用户登录到其它系统时可用。或当用户的系统损坏必须重装时,也可用。默认,用户文件被存储在系统本地。 %Systemdrive% Documents and Settings%Username% 文件夹中有以下特征:当用户第一次登录到一个系统。系统为该用户新建用户文件。新的用户文件夹名,会与登录的名字类似。所有对用户桌面或软件环境所做修改,都会被保存在本地用户文件夹中( Local User Profiles )用户的环境由All
9、 users文件夹扩展,其中可以包括桌面或开始菜单中的shortcuts,网上邻居,甚至应用程序数据。All users中的元素与用户文件夹中的内容结合产生用户环境。默认,只有Administrators group 的用户才可以更改All users文件夹。如果用户登录到其它系统, documents and settings 中的内容不会跟随用户。系统会重新为用户生成一个用户文件夹如果用户需要在多台计算机上工作,你可以配置漫游用户文件( roaming user profiles ,RUPs)。以此保证无论在什么地方登录,他们的documents and settings 保持一致。RUP
10、s将文件存放在服务器上,也意味着,文件可以被备份,扫描viruses,被集中控制。即使用户不用移动, RUPs也可以在用户系统损坏时,保证用户文件与系统恢复前一致。配置RUP,先在服务器上建立一个共享文件夹(Everyone Full Control)。理想情况下,服务器应该是一个file server,可以经常做备份。在用户“属性”对话框的“配置文件”页中,在profile path中,键入 %Username% %Username%会被自动地代替为用户登录名当用户注销时,系统会将用户文件上传至服务器。用户只要是登录到域,无论是哪个系统,或哪台计算机,用户文件都以RUP形式,从服务器上下载到
11、本地。(the system copies only files that have changed)注意:rups文件夹权限的设置(1)共享(2)NTFS权限(3)共享权限 你可以建立一个自定义的用户文件,提供设计好的桌面和软件环境。建立自定义的用户文件,不需要特别的工具,只要新建一个帐户,以该账号,登录到系统,正确修改桌面和软件设置。当用户文件修改成功后,以管理员身份登录到系统,打开系统“属性”,在高级页中,点击用户配置文件中的“设置”按钮。o选择文件,点击“复制”。键入路径,格式为:o可以点击“更改”,修改可访问文件夹的人。最后,打开用户账号的”属性“对话框,在配置文件页中,输入同样的文
12、件路径。漫游文件可以为多个用户建立标准的桌面环境。但是不同的用户在今后会对自己的桌面环境做不同的修改。可以设置多个用户都使用同一个用户文件夹。方法如上。在复制文件到目的地时。访问权限设置为一个组都能访问。既然有多个用户都可以访问同一个用户文件夹,自然不希望该文件夹中的内容,被修改。这时可以配置强制文件(Mandatory Profile )一个Mandatory Profile 不允许用户更改profile环境。即使用户在本机上做了修改,但下次用户登录时,这些修改将不会被保存。Mandatory Profile可以用于锁住桌面。尤其是多个用户共享一个用户配置文件时。将用户配置文件变成Manda
13、tory 的,只要重命名文件夹中Ntuser.dat文件为Ntuser.man。组(group)是多个具有相同管理任务的用户和计算机账号的集合单元。属于特定组的用户和计算机被称为组成员。在AD域服务中的组都是存储在域和OU中的。使用且可以一次给一组用户指定权限,而不必单独地给每一个用户重复指定权限,从而简化管理。使用 ADDS 中的组可以执行以下操作:通过将共享资源的权限分配给组而不是单个用户来简化管理。将权限分配给组会将对资源的相同访问权限分配给该组的所有成员。通过组策略将用户权限一次性分配给组来进行委派管理。然后可以向组添加那些希望和组具有相同权利的成员。创建电子邮件分发列表。在域中,组的
14、类型有两种,分别是“安全组”和“通讯组”。安全组即可以设置权限,也可以收发电子邮件;而通讯组不能设置权限,只能收发电子邮件。根据组的作用范围不同,组又分为“本地域组”、“全局组”和“通用组”三种。本地域组:作用范围是该组所在的域内可以包含的成员包括:所有域的用户帐户、全局组、通用组,以及本域的域本地组。全局组:作用范围是所有受信任的域可以包含的成员有:本域的用户帐户和全局组。通用组:作用范围是所有受信任的域可以包含的成员有:所有域的用户帐户、全局组和通用组。在WS2008中有三种域功能级别:Windows 2000纯模式, Windows Server 2003,Windows Server
15、2008。Windows 2000:这个级别内的域控制器可以是ws 2000或ws2003 Windows Server 2003:这个级别内的域控制器可以是ws2003或ws2008Windows Server 2008:只能是ws2008不同的域功能级别,在组属性上有不同的限制。一旦提升域功能级别之后,就不能再将运行旧版操作系统的域控制器引入该域中。 Group scope用来确定在域树或林中该组的应用范围 ,定义了权限如何被分配给组成员。WS2008中,无论是安全组还是通讯组,都被划分为三个组作用域:本地域(domain local ),全局(global),通用(universal)作
展开阅读全文