资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,Slide Title,Body Text,Second level,Third level,Fourth level,Fifth level,Windows,Server,项目,3,管理域用户账户和组,杨云 主编,活动目录企业应用,(微课版),项目背景,当安装完操作系统并完成操作系统的环境配置后,管理员应规划一个安全的网络环境,为用户提供有效的资源访问服务。,Windows Server 2012 R2,通过建立账户(包括用户账户和组账户)并赋予账户合适的权限,保证使用网络和计算机资源的合法性,以确保数据访问、存储和交换服从安全需要。,管理域用户账户和组相关知识,项目背景,如果是单纯工作组模式的网络,需要使用“计算机管理”工具来管理本地用户和组;如果是域模式的网络,则需要通过“,Active Directory,管理中心”和“,Active Directory,用户和计算机”工具管理整个域环境中的用户和组。,管理域用户账户和组相关知识,项目目标,1,理解管理域用户账户,2,掌握一次同时添加多个用户账户,3,掌握管理域组账户,管理域用户账户和组相关知识,4.1,相关知识,域系统管理员需要为每一个域用户分别建立一个用户账户,让他们可以利用这个账户来登录域、访问网络上的资源。域系统管理员同时也需要了解如何有效利用组,以便高效地管理资源的访问。,管理域用户账户和组相关知识,域系统管理员可以利用,Active Directory,管理中心或,Active Directory,用户和计算机管理控制台来建立与管理域用户账户。当用户利用域用户账户登录域后,便可以直接连接域内的所有成员计算机,访问有权访问的资源。换句话说,域用户在一台域成员计算机上成功登录后,当他要连接域内的其他成员计算机时,并不需要再登录到被访问的计算机,这个功能被称为单点登录。,管理域用户账户和组相关知识,在服务器还没有升级成为域控制器之前,原本位于其本地安全数据库内的本地账户,会在升级为域控制器后被转移到,AD DS,数据库内,并且是被放置到,Users,容器内的,您可以通过,Active Directory,管理中心来查看,如图,3-1,中所示(可先单击上方的树视图图标),同时这台服务器的计算机账户会被放置到图中的组织单位,Domain Controllers,内。其他加入域的计算机账户默认会被放置到图中的容器,Computers,内。,管理域用户账户和组相关知识,管理域用户账户和组相关知识,图,3-1 Active Directory,管理中,-,树视图,您也可以通过,Active Directory,用户和计算机来查看,如图,3-2,所示。,图,3-2 Active Directory,用户和计算机,只有在建立域内的第,1,台域控制器时,该服务器原来的本地账户才会被转移到,AD DS,数据库,其他域控制器原有的本机账户并不会被转移到,AD DS,数据库,而是被删除。,4.1.1,规划新的用户账户,遵循以下规则和约定可以简化账户创建后的管理工作。,1,、命名约定,账户名必须唯一:本地账户必须在本地计算机上唯一。,账户名不能包含以下字符:*,;?/:|=,+,账户名最长不能超过,20,个字符,管理域用户账户和组相关知识,2,、密码原则,一定要给,Administrator,账户指定一个密码,以防止他人随便使用该账户。,确定是管理员还是用户拥有密码的控制权。用户可以给每个用户账户指定一个唯一的密码,并防止其他用户对其进行更改,也可以允许用户在第一次登录时输入自己的密码。一般情况下,用户应该可以控制自己的密码。,管理域用户账户和组相关知识,密码不能太简单,应该不容易让他人猜出。,密码最多可由,128,个字符组成,推荐最小长度为,8,个字符。,密码应由大小写字母、数字以及合法的非字母数字的字符混合组成,如“,P$word”,。,管理域用户账户和组相关知识,4.1.2,创建组织单位与域用户账户,可以将用户账户创建到任何一个容器或组织单位内。下面先建立名称为“网络部”的组织单位,然后在其内建立域用户账户,Rose,、,Jhon,、,Mike,、,Bob,、,Alice,。,创建组织单位网络部的方法为:,【,开始管理工具选择,Active Directory,管理中心(或,Active Directory,用户和计算机)选中域名并单击右键新建组织单位如图,3-3,所示输入组织单位名称“网络部”,】,,然后单击,【,确定,】,按钮。,管理域用户账户和组相关知识,管理域用户账户和组相关知识,图,3-3,在,“,Active Directory,管理中心,”,创建组织单位,注意:图中默认已经勾选“防止意外删除”,因此您无法将此组织单位删除,除非取消勾选此选项。若是使用,Active Directory,用户和计算机:,【,选择“查看”菜单高级功能选中此组织单位并单击右键属性如图,3-4,所示取消勾选“对象”选项卡下的“防止对象被意外删除”。,管理域用户账户和组相关知识,在组织单位“网络部”内建立用户账户,Rose,的方法为:,【,选中组织单位“网络部”并单击右键新建用户,】,。注意域用户的密码默认需要至少,7,个字符,且不可包含用户账户名称(指用户,SamAccountName,)或全名,至少要包含,A,Z,、,a-z,、,0,9,、非字母数字(例如!、,$,、,、,%,),4,组字符中的,3,组。,图,3-4“,组织单位,网络部”属性,4.1.3,用户登录账户,域用户可以到域成员计算机上(域控制器除外)利用两种账户来登录域它们分别是,图,3-5,中的用户,UPN,登录与用户,SamAccountName,登录。一般的域用户默认是无法在域控制器上登录的(,Alice,用户是在,“,Active Directory,管理中心,”,控制台打开的,)。,管理域用户账户和组相关知识,管理域用户账户和组相关知识,图,3-5 Alice,域账户属性,管理域用户账户和组相关知识,用户,UPN,登录:,UPN,(,User Principal Name,)的格式与电子邮件账户相同,如图,3-5,中的,Alice,,这个名称只能在隶属于域的计算机上登录域时使用(如图,3-6,所示)。在整个林内,这个名称必须是唯一的。请在,MS1,成员服务器上登录。,图,3-5,用户,UPN,登录,管理域用户账户和组相关知识,图,3-7,用户,SamAccountName,登录,UPN,并不会随着账户被移动到其他域而改变,举例来说,用户,Alice,的用户账户位于,域内,其默认的,UPN,为,Alice,,之后即使此账户被移动到林中的另一个域内,例如,域,其,UPN,仍然是,Alice,,并没有被改变,因此,Alice,仍然可以继续使用原来的,UPN,登录。,用户,SamAccountName,登录:如图,3-5,中的,longAlice,,这是旧格式的登录账户。,Windows 2000,之前版本的旧客户端需要使用这种格式的名称来登录域。在隶属于域的,Windows 2000,(含)之后的计算机上也可以采用这种名称来登录,如图,3-7,所示。在同一个域内,这个名称必须是唯一的。,管理域用户账户和组相关知识,4.1.4,创建,UPN,的后缀,用户账户的,UPN,后缀默认是账户所在域的域名,例如用户账户被建立在,域内,则其,UPN,后缀为,。在下面这些情况下,用户可能希望能够改用其他替代后缀。,管理域用户账户和组相关知识,因,UPN,的格式与电子邮件账户相同,故用户可能希望其,UPN,可以与电子邮件账户相同,以便让其无论是登录域或收发电子邮件,都可使用一致的名称。,若域树状目录内有多层子域,则域名会太长,例,,故,UPN,后缀也会太长,这将造成用户在登录时的不便。,我们可以通过新建,UPN,后缀的方式来让用户拥有替代后缀,步骤如下。,管理域用户账户和组相关知识,单击左下角的开始图标管理工具,Active Directory,域和信任关系如图,3-8,所示单击,Active Directory,域和信任关系后,单击上方的属性图标。,图,3-8,Active Directory,域和信任关系,管理域用户账户和组相关知识,在图,3-9,中输入替代的,UPN,后缀后单击,【,添加,】,按钮并单击,【,确定,】,按钮。后缀不一定是,DNS,格式,例如可以是,,也可以是,smile,。,图,3-9,添加,UPN,后缀,管理域用户账户和组相关知识,完成后,您就可以通过,Active Directory,管理中心(或,Actwe Directory,用户和计算机)管理控制台来修改用户的,UPN,后缀,此例修改为“,smile”,,如图,3-10,所示。请在成员服务器“,MS1”,上以,alicesmile,登录域,看是否登录成功。,图,3-10,修改用户,UPN,登录,管理域用户账户和组相关知识,4.1.5,域用户账户的一般管理,一般管理工作是指重设密码、禁用(启用)账户、移动账户、删除账户、更改登录名称与解除锁定等。您可以如,图,3-11,所示单击想要管理的用户账户(例如图中的,Alice,),然后通过右侧的选项来设置。,管理域用户账户和组相关知识,图,3-11,Active Directory,管理中心,管理域用户账户和组相关知识,重置密码:当用户忘记密码或密码使用期限到期时,系统管理员可以利用此处为用户设置一个新的密码。,禁用账户(或启用账户):若某位员工因故在一段时间内无法来上班的话,此时您可以先将该员工的账户禁用,待该员工回来上班后,再将其重新启用即可。若用户账户已被禁用,则该用户账户图形上会有一个向下的箭头符号(例如图,3-11,中的用户,mike,)。,移动账户:您可以将账户移动到同一个域内的其他组织单位或容器。,重命名:重命名以后(可通过,【,选中用户账户并单击右键属性,】,的方法),该用户原来所拥有的权限与组关系都不会受到影响。,管理域用户账户和组相关知识,删除账户:若这个账户以后再也用不到的话,就可以将此账户删除当您将账户删除后,即使再新建一个相同名称的用户账户,此新账户也不会继承原账户的权限与组关系,因为系统会给予这个新账户一个新的,SID,,而系统是利用,SID,来记录用户的权限与组关系的,不是利用账户名称,因此对系统来说,这是两个不同的账户,当然就不会继承原账户的权限与组关系。,解除被锁定的账户:可以通过组策略管理器的账户策略来设置用户输入密码失败多少次后,就将此账户锁定,而系统管理员可以利用下面方法来解除锁定:,【,双击该用户账户单击图,3-12,中的解锁账户(账户被锁定后才会有此选项),】,。,管理域用户账户和组相关知识,图,3-12,Active Directory,管理中心,-bob,账户,管理域用户账户和组相关知识,4.1.6,设置域用户账户的属性,每一个域用户账户内都有一些相关的属性信息,例如地址、电话与电子邮件地址等,域用户可以通过这些属性来查找,AD DS,数据库内的用户,例如通过电话号码来查找用户,因此为了更容易地找到所需的用户账户,这些属性信息应该越完整越好。我们将通过,Active Directory,管理中心来介绍用户账户的部分属性,请先双击要设置的用户账户,Alice,。,管理域用户账户和组相关知识,1,组织信息的设置,组织信息就是指显示名称、职务、部门、地址、电话、电子邮件、网页等,如图,3-13,中的组织节点所示,这部分的内容都很简单,请自行浏览这些字段。,图,3-13,Active Directory,管理中心,-Alice,账户,-,组织信息,管理域用户账户和组相关知识,2,账户过期的设置,如,图,3-14,所示,通过账户节点内的账户过期来设置账户的有效期限,默认为,“,永不过期,”,,若要设置过期时间,请单击结束日期,然后输入格式为,yyyy/m/d,的过期日期即可。,图,3-14 Active Directory,管理中心,-Alice,账户,-,账户过期,管理域用户账户和组相关知识,3,登录时段的设置,登录时段用来指定用户可以登录到域的时间段,默认是任何时间段都可以登录域,若要改变设置,请单击,图,3-15,中的登录小时,然后通过登录小时数对话框来设置。图中横轴每一方块代表一个小时,纵轴每一方块代表一天,填满方块与空白方块分别代表允许与不允许登录的时间段,默认开放所有的时间段。选好时段后单击允许登录或拒绝登录来允许或拒绝用户在上述时间段登录。下例我们允许,Alice,在工作时间:周一到周五,8:00,到,18,:,00,登录。,管理域用户账户和组相关知识,图,3-14 Active Directory,管理中心,允许,Alice,在工作时间登录,管理域用户账户和组相关知识,4.1.6,设置域用户账户的属性,一般域用户默认可以利用任何一台域成员计算机(域控制器除外)来登录域,不过我们也可以通过下面方法来限制用户只可以利用某些特定计算机来登录域:【单击,图,3-16,中的登录到在图中选中下列计算机输入计算机名称后单击“,添加,”按钮】,计算机名称可为,NetBIOS,名称(例如,ms1,)或,DNS,名称(例如,)。,管理域用户账户和组相关知识,图,3-14 Active Directory,管理中心,允许,Alice,只能在,ms1,上登录,管理域用户账户和组相关知识,4.1.7,在域控制器间进行数据复制,若域内有多台域控制器(比如,,DC1,、,DC2,、,DC3,),则当您修改,AD DS,数据库内的数据时,例如利用,Active Directory,管理中心(或,Acti,ve Directory,用户和计算机)来新建、删除、修改用户账户或其他对象,则这些变更数据会先被存储到您所连接的域控制器,之后再自动被复制到其他域控制器。,管理域用户账户和组相关知识,如图,3-15,所示,选中域名,,并单击右键更改域控制器当前域控制器,出现当前连接的域控制器,DC,,而此域控制器何时会将其最新变更数据复制给其他域控制器呢?可分为下面两种情况。,图,3-15,Active Directory,管理中心,当前域控制器,管理域用户账户和组相关知识,自动复制:若是同一个站点内的域控制器,则默认,15,秒钟后会自动复制,因此其他域控制器可能会等,15,秒或更久时间就会收到这些最新的数掘。若是位于不同站点的域控制器,则需视所设置的复制条件来决定(详见后面:,AD DS,数据库的复制)。,手动复制:有时候可能需要手动复制,例如网络故障造成复制失败,而您不希望等到下一次的自动复制,而是能够立刻再复制。下面要从域控制器,DC1,复制到,DC2,。,请到任意一台域控制器上【单击左下角的开始图标管理工具,Active Directory,站点和服务,Sites,Default-First-Site-Name,Servers,展开目标域控制器(,DC2,)。,管理域用户账户和组相关知识,单击,NTDS Settings,选中右侧的来源域控制器(,DC1,)并单击右键立即复 制,】,。如图,3-16,所示。,图,3-16 Active Directory,站点和服务,立即复制,与组策略有关的设置会先被存储到扮演,PDC,模拟器操作主机角色的域控制器内,然后再由,PDC,模拟器操作主机复制给其他的域控制器(详见后面的,“,管理操作主机,”,)。,管理域用户账户和组相关知识,4.1.8,域组账户,如果能够使用组(,group,)来管理用户账户,则必定能够减轻许多网络管理负担。例如当您针对网络部组设置权限后,此组内的所有用户都会自动拥有此权限,因此就不需要个别针对每一个用户来设置。,1.,域内的组类型,AD DS,的域组分为下面两种类型,且它们之间可以相互转换。,安全组(,security group,),:,它可以被用来分配权限与权利,例如您可以指定安全组对文件具备读取的权限。它也可以用在与安全无关的工作上,例如可以给安全组发送电子邮件。,通信组(,distribution group,):它被用在与安全(权限与权利设置等)无关的工作上,例如您可以给通信组发送电子邮件,但是无法为通信组分配权限与权利。,管理域用户账户和组相关知识,2.,组的使用范围,从组的使用范围来看,域内的组分为下面,3,种(如表,3-1,所示):本地域组(,domain local group,)、全局组(,global group,)、通用组(,universal group,)。,管理域用户账户和组相关知识,(,1,)本地域组,它主要被用来分配其所属域内的访问权限,以便可以访问该域内的资源。,其成员可以包含任何一个域内的用户、全局组、通用组;也可以包含相同域内的本地域组;但无法包含其他域内的本地域组。,本地域组只能够访问该域内的资源,无法访问其他不同域内的资源;换句话说当您在设置权限时,只可以设置相同域内的本地域组的权限,无法设置其他不同域内的域本地组的权限。,管理域用户账户和组相关知识,(,2,)全局组,它主要用来组织用户,也就是您可以将多个即将被赋予相同权限(权利)的用户账户,加入到同一个全局组内。,全局群组内的成员,只可以包含相同域内的用户与全局组。,全局组可以访问任何一个域内的资源,也就是说您可以在任何一个域内设置全局组的权限(这个全局组可以位于任何一个城内)以便让此全局组具备权限来访问该域内的资源。,(,3,)通用组,它可以在所有域内被分配访问权限,以便访问所有域内的资源。,管理域用户账户和组相关知识,通用组具备万用领域的特性,其成员可以包含林中任何一个城内的用户、全局组,通用组。但是它无法包含任何一个域内的本地域组。,通用组可以访问任何一个域内的资源,也就是说您可以在任何一个域内来设置通用组的权限(这个通用组可以位于任何一个域内),以便让此通用组具备权限来访问该域内的资源。,管理域用户账户和组相关知识,4.1.9,建立与管理域组账户,它主要被用来分配其所属域内的访问权限,以便可以访问该域内的资源。,其成员可以包含任何一个域内的用户、全局组、通用组;也可以包含相同域内的本地域组;但无法包含其他域内的本地域组。,本地域组只能够访问该域内的资源,无法访问其他不同域内的资源;换句话说当您在设置权限时,只可以设置相同域内的本地域组的权限,无法设置其他不同域内的域本地组的权限。,管理域用户账户和组相关知识,4.1.9,建立与管理域组账户,1,组的新建、删除与重命名,要创建域组时,可使用【开始管理工具,Active Directory,管理中心展开域名单击容器或组织单位单击右侧任务窗格的新建组】的方法,然后在图,3-17,中输入组名、输入供旧版操作系统来访问的组名、选择组类型与组范围等。若要删除组:【选中组账户并单击右键删除】即可,管理域用户账户和组相关知识,图,3-17 Active Directory,管理中心,创建组,管理域用户账户和组相关知识,2,添加组的成员,若要将用户、组等加入到组内:,【,如,图,3-18,所示单击成员节点右侧的,“,添加,”,按钮单击,“,高级,”,按钮单击,“,立即查找,”,按钮选取要被加入的成员(按,shift,键或,Ctrl,键可同时选择多个账户)单击,“,确定,”,按钮,】,。本例将,Alice,、,Bob,、,Jhon,加入到东北组。,图,3-18,Active Directory,管理中心,添加组成员,管理域用户账户和组相关知识,3.AD DS,内置的组,AD DS,有许多内置组,它们分别隶属于本地域组、全局组、通用组与特殊组。,(,1,)内置的本地域组,这些本地域组本身已被赋予了一些权利与权限,以便让其具备管理,AD DS,域的能力。只要将用户或组账户加入到这些组内,这些账户也会自动具备相同的权利与权限。下面是,Builtin,容器内常用的本地域组。,Account Operators,:其成员默认可在容器与组织单位内添加,/,删除,/,修改用户、组与计算机账户,不过部分内置的容器例外,,同时也不允许在部分内置的容器内添加计算机账户,管理域用户账户和组相关知识,Backup Operators,:其成员可以通过,Windows Server Backup,工具来备份与还原域控制器内的文件,不管他们是否有权限访问这些文件。其成员也可以对域控制器执行关机操作。,Guests,:其成员无法永久改变其桌面环境,当他们登录时,系统会为他们建立一个临时的用户配置文件,而注销时此配置文件就会被删除。此组默认的成员为用户账户,Guest,与全局组,Domain Guests,。,Network Configuration Operators,:其成员可在域控制器上执行常规网络配置工作,例如变更,IP,地址,但不可以安装、删除驱动程序与服务,也不可执行与网络服务器配置有关的工作,例如,DNS,与,DHCP,服务器的设置。,Performance Monitor Users,:其成员可监视域控制器的运行情况。,Remote Desktop Users,:其成员可从远程计算机通过远程桌面来登录。,管理域用户账户和组相关知识,Pre-Windows 2000 Compatible Access,:此组主要是为了与,Windows NT 4.0,(或更旧的系统)兼容。其成员可以读取,AD DS,域内的所有用户与组账户。其默认的成员为特殊组,Authenticated Users,。只有在用户的计算机是,Windows NT 4.0,或更早版本的系统时,才将用户加入到此组内。,Print Operators,:其成员可以管理域控制器上的打印机,也可以将域控制器关闭。,Server Operators,:其成员可以备份与还原域控制器内的文件;锁定与解锁域控制器;将域控制器上的硬盘格式化;更改域控制器的系统时间;将域控制器关闭等。,Users,:其成员仅拥有一些基本权限,例如执行应用程序,但是他们不能修改操作系统的设置、不能修改其他用户的数据、不能将服务器关闭。此组默认的成员为全局组,Domain Users,。,管理域用户账户和组相关知识,(,2,)内置的全局组,AD DS,内置的全局组本身并没有任何的权利与权限,但是可以将其加入到具备权利或权限的域本地组,或另外直接分配权利或权限给此全局组。这些内置全局群组位于,Users,容器内。,下面列出了较常用的全局组。,Domain Admins,:域成员计算机会自动将此组加入到其本地组,Administrators,内,因此,Domain Admins,组内的每一个成员,在域内的每一台计算机上都具备系统管理员权限。此组 默认的成员为域用户,Administrator,。,Domain Computers,:所有的域成员计算机(域控制器除外)都会被自动加入到此组内。我们会发现,MS1,就是在该组的一个成员。,Domain Controllers,:域内的所有域控制器都会被自动加入到此群内。,管理域用户账户和组相关知识,Domain Users,:域成员计算机会自动将此组加入到其本地组,Users,内,因此,Domain Users,内的用户将享有本地组,Users,所拥有的权利与权限,例如拥有允许本机登录的权利。此组默认的成员为域用户,Administrator,,而以后新建的域用户账户都自动隶属于此组。,Domain Guests,:域成员计算机会自动将此组加入到本地组,Guests,内。此组默认的成员为域用户账户,Guest,。,(,3,)内置的通用组,Enterprise Admins,:此组只存在于林根域,其成员有权管理林内的所有域。此组默认的成员为林根域内的用户,Administrator,。,Schema Admins,:此组只存在于林根域,其成员具备管理架构(,schema,)的权利。此组默认的成员为林根域内的用户,Administrator,。,管理域用户账户和组相关知识,4.,特殊组账户,除了前面所介绍的组之外,还有一些特殊组,而您无法更改这些特殊组的成员。下面列出了几个经常使用的特殊组。,Everyone,:任何一位用户都属于这个组。若,Guest,账户被启用,则您在分配权限给,Everyone,时需小心,因为若一位在您计算机内没有账户的用户,通过网络来登录您的计算机时,他会被自动允许利用,Guest,账户来连接,此时因为,Guest,也隶属于,Everyone,组,所以他将具备,Everyone,所拥有的权限。,Authenticated Users,:任何利用有效用户账户来登录此计算机的用户,都隶属于此组。,Interactive,:任何在本机登录(按,Ctrl+Alt+Del,登录)的用户,都隶属于此组。,Network,:任何通过网络来登录此计算机的用户,都隶属于此组。,Anonymous Logon,:任何未利用有效的普通用户账户来登录的用户,都隶属于此组。,Anonymous Logon,默认并不隶属于,Everyone,组。,Dialup,:任何利用拨号方式连接的用户,都隶属于此组。,管理域用户账户和组相关知识,4.1.10,掌握组的使用原则,为了让网络管理更为容易,同时也为了减少以后维护的负担,在您利用组来管理网络资源时,建议您尽量采用下面的原则,尤其是大型网络。,A,、,G,、,DL,、,P,原则,A,、,G,、,G,、,DL,、,P,原则,A,、,G,、,U,、,DL,、,P,原则,A,、,G,、,G,、,U,、,DL,、,P,原则,其中,,A,代表用户账户(,user Account,)、,G,代表全局组(,Global group,)、,DL,代表本地域组(,Domain Local group,)、,U,代表通用组(,Universal group,)、,P,代表权限(,Permission,)。,管理域用户账户和组相关知识,1,A,、,G,、,DL,、,P,原则,A,、,G,、,DL,、,P,原则就是先将用户账户(,A,)加入到全局组(,G,),再将全局群组加入到本地域组(,DL,)内,然后设置本地域组的权限(,P,),如图,3-19,所示。以此图为例来说,只要针对图中的本地域组来设置权限,则隶属于该域本地组的全局组内的所有用户都自动会具备该权限。,图,3-19 A,、,G,、,DL,、,P,原则,管理域用户账户和组相关知识,2,A,、,G,、,G,、,DL,、,P,原则,A,、,G,、,G,、,DL,、,P,原则就是先将用户账户(,A,)加入到全局组(,G,),将此全局组加入到另一个全局组(,G,)内,再将此全局组加入到本地域组(,DL,)内,然后设置本地域组的权限(,P,),如图,3-20,所示。图中的全局组(,G3,)内包含,2,个全局组(,G1,与,G2,),它们必须是同一个域内的全局组,因为全局组内只能够包含位于同一个域内的用户账户与全局组。,图,3-20 A,、,G,、,G,、,DL,、,P,原则,管理域用户账户和组相关知识,3,A,、,G,、,U,、,DL,、,P,原则,图,5-23,所示的全局组,G1,与,G2,若不是与,G3,在同一个域内,则无法采用,A,、,G,、,G,、,DL,、,P,原则,因为全局组(,G3,)内无法包含位于另外一个域内的全局组,此时需将全局组,G3,改为通用组,也就是需要改用,A,、,G,、,U,、,DL,、,P,原则(见图,3-21,),此原则是先将用户账户(,A,)加入到全局组(,G,),将此全局组加入到通用组(,U,)内,再将此通用组加入到本地域组(,DL,)内,然后设置本地域组的权限(,P,)。,图,3-21,A,、,G,、,U,、,DL,、,P,原则,管理域用户账户和组相关知识,4,A,、,G,、,G,、,U,、,DL,、,P,原则,A,、,G,、,G,、,U,、,DL,、,P,原则与前面,2,种类似,在此不再重复说明。,您也可以不遵循以上的原则来使用组,不过会有一些缺点,例如您可以:,直接将用户账户加入到本地域组内,然后设置此组的权限。它的缺点是您无法在其他域内设置此本地域组的权限,因为本地域组只能够访问所属域内的资源。,直接将用户账户加入到全局组内,然后设置此组的权限。它的缺点是如果您的网络内包含多个域,而每个域内都有一些全局组需要对此资源具备相同的权限,则您需要分别替每一个全局组设置权限,这种方法比较浪费时间,会增加网络管理的负担。,
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
