第三章管理域账户、组和组织单位

第三章管理域账户、组和组织单位

回顾上章内容 • 如何创建Windows域？ • 如何管理Windows域？ • 如何将域控制器降级？

讲解本章目标 本章目标 • 掌握域用户账户的管理 • 掌握域中组的管理 • 掌握AGDLP规则 • 掌握OU的应用 • 掌握域用户和组的规划

域用户账户 • 本地用户帐户 • 存储在本地计算机 • 域用户帐户 • 存储在活动目录中

域用户账户的创建 • 域用户账户的命名规则 • 唯一用户登录名 • 最长20字符 • 不能有非法字符 • 域用户账户的密码规则 • Administrator账户必须设置复杂的口令 • 避免使用电话号码、人名、地址、英文单词等作为口令，可以是这些的组合 • 密码长度 • 密码复杂性

创建域用户账户 • 在“Active Directory用户和计算机”中，右击Users文件夹 “新建”“用户” • 输入用户的基本信息和登录名称 • 设定用户密码

配置域用户“账户”属性2-1 • 登录时间 • 限制用户登录到域的时间 • 可以登录的计算机 • 定义了账户可以登录的计算机列表 • 账户过期 • 规定了用户账户是否存在使用过期的限制

配置域用户“账户”属性2-2 • 账户选项 • 用户下次登录时须更改密 • 用户不能更改密码 • 密码永不过期 • 账户已禁用

用户配置文件概念 • 存储用户的桌面工作环境，包括桌面、开始菜单、我的文档、以及其他指定的设置 • 第一次登录，会以 Documents and Settings \Default User 为模板创建配置文件 • 配置文件一般存储在操作系统所在分区上的\Documents and Settings\username文件夹

用户配置文件类型 • 本地用户配置文件 • 第一次登录时创建 • 存储在本地硬盘上 • 漫游用户配置文件 • 配置文件存储在网络服务器 • 强制用户配置文件 • 一种特殊的漫游配置文件 • 临时用户配置文件 • 用户配置文件加载失败时创建

演示并讲解相关理论 实现漫游用户配置文件 • 步骤 • 1）为漫游用户创建一个测试配置文件 • 2）准备一个存放漫游用户配置文件的网络存储路径 • 3）将测试配置文件复制到网络存储路径 • 4）设置域用户属性的“配置文件”选项卡

小结 • 如何创建域用户账户 • 如何设定密码保证账户的安全？ • 如何限定账户的登录时间？ • 如何实现漫游用户配置文件？

组的类型

组的作用域 • 本地域组 • 使用范围是本域 • 全局组 • 使用范围是整个林以及信任域 • 通用组 • 使用范围与全局组相同 • 创建和查询性能方面与全局组有差别

AGDLP规则 • AGDLP规则 • A表示账户 • G表示全局组 • DL表示本地域组 • P表示赋权限

AGDLP举例 • （1）将用户账户加入全局组 • （2）将全局组加入本地域组 • （3）给本地域组赋权限

小结 • 安全组和通讯组各有什么作用? • 本地域组、全局组、通用组的区别？ • AGDLP规则的含义？

组织单位管理 • OU概念 • OU是活动目录中的对象 • OU是活动目录中的容器 • OU的设计方式 • 基于部门的OU • 基于地理位置的OU • 基于对象类型的OU • OU 的设计也可以是混合的

OU 1 域演示并讲解相关理论 OU2 在OU之间移动域用户账户 • 移动用户帐户 • 例如某个员工调换了部门

教师演示并讲解相关理论 OU的委派功能2-1 • 委派控制管理 • 管理员可以为适当的用户和组指派一定范围的管理任务，从而减轻管理员的工作负担 • 实现步骤 • 打开“Active Directory用户和计算机”，右击OU → “委派控制” • 按向导提示，添加要委派任务的账户或者组 • 选择要委派的任务，按向导提示最终完成

演示并讲解相关理论 OU的委派功能2-2 • 删除委派 • 启用“Active Directory用户和计算机”→“查看”→“高级功能” • 右击指定的OU“属性”→“安全”→“高级”→“权限” ，选中委派了任务的账户条目，单击“删除”按钮

小结 • OU的设计方式有哪几种? • 划分OU有什么作用? • 如何实现OU委派控制？ • 如何删除OU委派控制?

教师演示并讲解相关理论 管理域用户和举例 • 步骤 • 规划目录结构 • 按部门建立OU • 在OU中建立用户和组 • 给用户和组赋予权限

总结并布置作业 总结 • 如何创建域用户账户？ • 3种组的作用域的使用范围？ • 安全组和通讯组的区别？ • AGDLP规则的含义？ • 如何实现OU的委派？

第三章 管理域账户、组和组织单位