在Windows2000中用户可以在活动目录用户和计算机管理工具中实现建立用户帐号、计算机帐号、组、安全策略等项。它可以用于建立或编辑网络中的用户、计算机、组、组织单位、域、域控制器、以及发布网络共享资源。活动目录用户和计算机管理器是安装在域控制器上的目录管理工具,且用户可以在Windows2000 Professional 中安装它的管理工具,以便利用客户机对活动目录进行远程管理。
本章介绍了Active Directory用户和计算机的常用管理工具的使用:
1. 账户、组、组织机构相关的基本概念
2. 用户和计算机账户的配置与管理
3. 组的创建和管理
4. 组织机构的添加与管理
5. 资源的发布和搜索
6. 域和域间信任的管理
7.1 基本概念
活动目录用户和计算机管理器中的帐号标识的是一个物理实体如计算机或用户,计算机和用户的帐号在它们登录到网络或访问域中的资源时提供安全信任。帐号可以用于:
§ 验证计算机或用户的身份
§ 允许访问域中资源
§ 审核用户或计算机帐号的活动
7.1.1 用户帐号
用户帐号能够让用户以授权的身份登录到计算机和域中并访问其中资源。用户帐号也可以作为某些软件的服务帐号。
7.1.2 计算机帐号
每一个运行 Windows 2000 和 Windows NT 的计算机在加入到域时都需要一个计算机帐号,就象用户帐号一样,被用来验证和审核计算机的登录过程和访问域资源。
7.1.3 组
组是可包含用户、联系人、计算机和其他组的 Active Directory 或本机对象。使用组可以:
§ 管理用户和计算机对 Active Directory 对象及其属性、网络共享位置、文件、目录、打印机列队等共享资源的访问。
§ 筛选器组策略设置
§ 创建电子邮件通讯组
有两种类型的组:
§ 安全组
§ 通讯组
安全组用于将用户、计算机和其他组收集到可管理的单位中。为资源(文件共享、打印机等等)指派权限时,管理员应将那些权限指派给安全组而非个别用户。权限可一次分配给这个组,而不是多次分配给单独的用户。使用组而不是单独的用户可简化网络的维护和管理。
通讯组只能用作电子邮件的通讯组。不能用于筛选组策略设置。通讯组无安全功能。
任何时候,组都可以从安全组转换为通讯组,反之亦然,但仅限于域处于本机模式的情况下。域处于混合模式时不能转换组。下表总结了域模式对组的作用。
7.1.4 组作用域
每个安全组和通讯组均具有作用域,该作用域标识组在域树或树林中所应用的范围。有三类不同的作用域通用、全局和域本地。
通用作用域
全局作用域
域本地作用域
在本机模式域中,可将其成员作为来自任何域的帐户、来自任何域的全局组和来自任何域的通用组。
在本机模式域中,可将其成员作为来自相同域的帐户和来自相同域的全局组。
在本机模式域中,可将其成员作为来自任何域的帐户、全局组和通用组,以及来自相同域的域本地组。
在本机模式域中,不能创建有通用作用域的安全组。
在本机模式域中,可将其成员作为来自相同域的帐户。
在本机模式域中,可将其成员作为来自任何域的帐户和全局组。
组可被放入其他组(当域处于本机模式时)并且在任何域中指派权限。
组可被放入其他组并且在任何域中指派权限。
组可被放入其他域本地组并且仅在相同域中指派权限。
不能转换为任何其他组作用域。
只要它不是有全局作用域的任何其他组的成员,则可以转换为通用作用域。
只要它不把具有域本地作用域的其他组作为其成员,则可转换为通用作用域。
7.1.5 内置和预定义组
安装域控制器时,部分默认的组安装于 "Active Directory 用户和计算机"控制台的"内置"和"用户"文件夹中。这些组是安全组并且代表一些公用的权利和权限集合,可用于将某些角色、权利和权限授予用户放入默认组的帐户和组。
有域本地作用域的默认组放在"内置"文件夹中。有全局作用域的预定义组放在"用户"文件夹中。可将内置和预定义组移动到域中的其他组或组织单位文件夹,但不能将它们移动至其他域。
内置组:
放入"Active Directory 用户和计算机"的"内置"文件夹中的默认组为:帐户操作员 、管理员 、备份操作员 、来宾 、打印操作员 、复制器 、服务器操作员、用户 。下表显示了这些组拥有的默认权利:
用户权利
允许
在默认情况下分配有此权利的组
从网络访问该计算机
连接到网上的计算机。
管理员、每个人、超级用户
备份文件和文件夹
备份文件和文件夹该权利将取代文件和文件夹权限
管理员、备份操作员
旁路遍历检查
即使用户没有访问父文件夹的权限,也可在文件夹之间移动以访问文件。
每个人
更改系统时间
设置计算机内部时钟的时间。
管理员、超级用户
创建页面文件
该权利无效。
管理员
调试程序
调试各种底层对象,例如线程。
管理员
从远程系统强制关机
关闭远程计算机。
管理员
增加调度优先级
提高进程的执行优先级。
管理员、超级用户
加载和卸载设备驱动程序
安装和删除设备驱动程序。
管理员
内置组:(续表)
本地登录
通过计算机键盘在计算机上登录。
管理员、备份操作员、每个人、来宾、超级用户和用户
管理审计和安全日志
指定需要审计的资源访问(诸如文件访问)类型,并且查看和清除安全日志。该权利不允许用户设置系统审计策略。管理员组的成员始终可以查看和清除安全日志。
管理员
修改固件环境变量
修改存储于支持此类配置的计算机非易失内存中的系统环境变量。
管理员
图示单独的进程
用图表的形式显示某个进程的情况(性能数据采集)
管理员、超级用户
图示文件系统性能
用图表的形式显示计算机的情况(性能数据采集)
管理员
内置组:(续表)
还原文件和文件文件夹
恢复备份文件和文件文件夹该权利将取代文件和目录权限
管理员、备份操作员
关闭系统
关闭 Windows 2000
管理员、备份操作员、每个人、超级用户和用户
取得文件或其他对象的所有权
取得文件、文件夹、打印机和计算机上(或连接在计算机上)的其他对象的所有权。该权利将取代保护对象的权限。有关文件和文件夹权限的信息。
管理员
预定义组:
放在"Active Directory 用户和计算机"的"用户"文件夹中的预定义组有:组名称 、证书发行者 、域管理器 、域计算机 、域控制器 、域来宾 、域用户 、企业管理员 、组策略管理员、架构管理员 。可使用这些有全局作用域的组将该域中各种类型的用户帐户(普通用户、管理员和来宾)收集到组中。然后这些组可以放入该域和其他域中有域本地作用域的组。
7.1.6 特殊身份
除"内置"和"用户"文件夹中的组以外,Windows 2000 Server 还包括几种特殊身份:为方便起见,这些身份通称为组。这些特殊组没有用户可修改的特别成员身份,但是它们能根据环境在不同时间代表不同用户。这三个特殊组为:
§ 每个人
代表所有当前网络的用户,包括来自其他域的来宾和用户。无论用户何时登录到网络上,它们都将被自动添加到 Everyone 组。
§ 网络
代表当前通过网络访问给定资源的用户(不是通过从本地登录到资源所在的计算机来访问资源的用户)。无论用户何时通过网络访问给定的资源,它们都将自动添加到网络组。
§ 交互
代表当前登录到特定计算机上并且访问该计算机上给定资源的所有用户(不是通过网络访问资源的用户)。无论用户何时访问当前登录的计算机上所给的资源,它们都被自动添加到交互组。
7.1.7 组对网络性能影响
用户登录到 Windows 2000 网络时,Windows 2000 域控制器决定用户属于哪个组。Windows 2000 创建安全令牌并将其指派给用户。安全令牌列出了用户帐户 ID 和用户所属的所有安全组的安全 ID。组成员身份可能影响网络性能,由于:
§ 登录的影响
建立安全令牌需要时间,所以用户所属的安全组越多,生成这个用户安全令牌的时间越长,并且该用户登录到网络的时间也越长。造成这一影响的程度将随着网络带宽以及处理登录过程的域控制器的配置而变化。
有时,用户可能想创建只用于电子邮件的组,并不准备使用该组将权利和权限指派给它的成员。为提高登录性能,可创建类似通讯组的组而非安全组。
§ 有通用作用域的组的复制
对存储在全局编录中的数据的更改将复制到树林的每个全局编录中。有通用作用域的组及其成员列在全局编录中。有通用作用域的组的一个成员更改时,整个组成员身份都必须复制到域树或树林中的所有全局编录中。
具有全局或域本地作用域的组也列在全局编录中,但未列出其成员。这将会减小全局编录的大小,并且明显减少需要随时更新全局编录的复制通信量。可通过为经常更改的目录对象使用具有全局或域本地作用域的组来提高网络性能。
§ 网络带宽
每个用户的安全令牌都被发送到用户访问的每台计算机,以使目标计算机能够对照该计算机上所有资源的权限列表比较包含在令牌内的所有安全 ID,从而决定用户在该计算机上是否有相应的权利或权限。目标计算机还检查令牌中的任何安全 ID 是否属于目标计算机上的任何本地组。
用户所属的组越多,其安全令牌就越大。如果用户的网络有大量用户,这些大型安全令牌对网络带宽和域控制器处理能力的影响非常明显。
7.2 用户账户的管理
7.2.1 添加用户帐号
在 Windows2000 Server 中,一个用户帐号包含了用户的名称、密码、所属组、个人信息、通讯方式等信息,在添加一个用户帐号后,它被自动分配一个安全标识 SID ,这个标识是唯一的,即使帐号被删除,它的 SID 仍然保留,如果在域中再添加一个相同名称的帐号,它将被分配一个新的 SID,在域中利用帐号的SID来决定用户的权限。
添加用户帐号的步骤如下:
步骤1 首选启动 Active Directry 用户和计算机管理器→单击 User 容器会看到在安装 Active Directry 时自动建立的用户帐号
步骤2 单击操作→新建→用户→在创建新对象对话框中输入
用户的姓名、登录名,其中的下层登录名是指当用户从运行 WindowsNT/98 等以前版本的操作系统的计算机登录网络所使用的用户名 如图 7.1→下一步
步骤3 在密码对话框中输入密码或不填写密码并选择"用户下次登录时须更改密码"选项,以便让用户在第一次登录时修改密码
步骤4 在完成对话框中会显示以上设置的信息,单击完成
这时用户会在管理器中看到新添加的用户 如图 7.2。
7.2.2. 管理用户账户
§ 输入用户的信息
在用户属性对话框中的常规标签中可以输入有关用户的描述、办公室、电话、电子邮件地址及个人主页地址;在地址标签中输入用户的所在地区及通信地址;在电话/备注标签中输入有关用户的家庭电话、寻呼机、移动电话、传真、IP 电话及相关备注信息。这样便于用户以后在活动目录中查找用户并获得相关信息。
§ 用户环境的设置
用户可以设置每一个用户的环境,如用户配置文件、登录脚本、宿主目录等,这些设置根据实际情况而定,用
户将在以后章节加以详细说明。
§ 设置用户登录时间
在帐户标签中单击"登录时间"按钮,出现如图 7.3对话框所示,图中横轴每个方块代表一小时,纵轴每个方块代表一天,蓝色方块表示允许用户使用的时间,空白方块表示该时间不允许用户使用,默认为在所有时间均允许用户使用。在这个例子中用户设置允许用户在每星期的周一到周五的 7:00~19:00 之间使用。
步骤:在用户(Mark Lee)的登录时段对话框中,选择不允许登录的时间段单击"拒绝登录"
当用户在允许登录的时间段内登录到网络中,并且一直持续到超过允许登录的时间时,用户可以继续连接使用,但不允许作新的连接,如果用户注销后,则无法再次登录。
§ 限制用户由某台客户机登录
在帐户并且中单击"登录到"按钮出现如图 7.4对话框所示,在默认情况下用户可以从所有的客户机登录,也可以设置让用户从某些工作站登录,设置时输入计算机的计算机名称(NetBIOS名),然后单击添加按钮,这些设置对于非 WindowsNT/2000 工作站是无效的,如用户可以不受限制的从任何一台 DOS、Windows 客户机登录。
§ 设置帐户的有效期限
在帐户并且的下方,用户可以选择帐户的使用期限,在默认情况下帐户是永久有效的,但对于临时员工来说,设置帐户的有效期限就非常有用,在有效期限到期后,该帐户被标记为失效,默认为一个月。
§ 管理用户帐户
在创建用户帐号后,可以根据需要对帐户进行密码重新设置、修改、重命名等操作。
重设密码: 选择用户帐户→操作→重设密码,在密码设置对话框中输入新的密码,如果要求用户在下次登录时修改密码则选中"用户下次登录时须更改密码"选项
帐户的移动: 选择用户帐号→操作→移动,在移动对话框中选择相应的容器或组织单位
重命名: 选择帐户→操作→重命名,更改用户的名称,对内置的帐户也可以更改,(如更改系统管理员的帐户名称,这样有利于提高系统的安全性),在更改名称后,由于该帐户的安全标识 SID 并未被修改,所以,其帐户的属性、权限等设置均未发生改变。
删除帐户: 选择帐户→操作→删除,用户可以一次删除一个或多个帐户,在删除帐户后如再添加一个相同名称的帐户,由于 SID 的不同,它无法继承已被删除帐户的属性和权限。
§ 计算机帐户的创建
步骤1 首选启动 Active Directry 用户和计算机管理器→单击 Computer 容器→操作→计算机,则出现如图7.5所示
步骤2 输入计算机名称,单击确定完成创建工作
7.3 组的管理
用户可以利用将用户加入到组中的方式,简化网络的管理工作。当用户对组设置了权限后,则组中所有的用户就具有了该权限,这样避免用户对每一个用户设置权限,从而减轻了工作量。
1.添加组
步骤1 打开 Active Directory 用户和计算机
步骤2 在控制台树中,双击域节点
步骤3 右键单击要添加组的文件夹,指向"新建",然后单击"组"
步骤4 键入新组的名称在默认情况下,用户输入的名称还将作为新组的 Windows 2000 以前版本的名称如图7.6。
步骤5 单击所需的"组作用域"。
步骤6 单击所需的"组类型"。
注意:如果用户目前创建的组所属的域处于混合模式,则只能选择具有"域本地"或"全局"作用域的安全组。
2.指定用户隶属的组
步骤: 在组属性对话框中单击成员属于标签如图 7.7,可以查看到当前用户隶属于那些组,如要将用户添加到其它的组中则单击添加按钮,出现如图 7.8所示的对话框,在上方的窗体中选择需要添加的组(可以按住 Shift 或 Ctrl 键,利用鼠标选择多个组),然后单击添加按钮则所选的组会出现在下方的窗体中,单击确定。
如果需要将用户从他所属的指定组中删除,则在成员属于窗体中选择该组,单击删除按钮。注意,用户帐号至少隶属于一个组,该组被称为主要组,这个主要组必须是一个全局组且它不可删除。
3.管理组
将组转换为另一种组类型
步骤1 打开 Active Directory 用户和计算机
步骤2 在控制台树中,双击域节点
步骤3 单击包含该组的文件夹
步骤4 在详细信息窗格中,右键单击组,然后单击"属性"
步骤5 在"常规"选项卡的"组类型"中,单击"分布式"或"安全式 "
更改组作用域
步骤1 打开 Active Directory 用户和计算机
步骤2 在控制台树中,双击域节点。
步骤3 单击包含组的文件夹
步骤4 在详细信息窗格中,右键单击组,然后单击"属性"。
步骤5 在"常规"选项卡的"组作用域"下,单击"本地域"、"全局"或"通用"。
删除组
步骤1 打开 Active Directory 用户和计算机。
步骤2 在控制台树中,双击域节点。
步骤3 单击包含组的文件夹。
步骤4 在详细信息窗格中,右键单击组,然后单击"删除"。
返回页首>>>
7.4 组织单位的管理
1.创建组织单位
步骤1 打开 Active Directory 用户和计算机
步骤2 在控制台树中,双击域节点。
步骤3 右键单击域节点或者要在其中添加组织单位的组织单位。
步骤4 指向"新建",然后单击"组织单位"。
步骤5 键入组织单位的名称 如图 7.9。
2.组织单位的委派控制
步骤1 打开 Active Directory 用户和计算机
步骤2 在控制台树中,双击域节点
步骤3 在详细信息窗格中,右键单击该组织单位,然后单击"委派控制"来启动控制委派向导
步骤4 在用户和组对话框中,但击"添加"选择受委派的用户和组
步骤5 在委派任务中,可以指定委派公用任务,也可以选择委派更为细化的自定义任务,如图 7.10
步骤6 在摘要信息单击"完成"
注:有关委派控制的概念,参见第六章的 6.2.1 Active Directory 的规划一节
7.5 资源发布的管理
1. 资源的发布
公布共享文件夹
步骤1 打开 Active Directory 用户和计算机
步骤2 在控制台树中,双击域节点。
步骤3 右键单击想在其中添加共享文件夹的文件夹,指向"新建"并单击"共享文件夹"。
步骤4 键入文件夹的名称
步骤5 键入用户想在目录中公布的 UNC 名称
公布 Windows NT 打印机
步骤1 打开 Active Directory 用户和计算机
步骤2 在控制台树中,双击域节点。
步骤3 在控制台树中,右键单击想在其中公布打印机的文件夹,指向"新建",并单击"打印机"。
步骤4 键入用户想在目录中公布的 UNC 名称。
2.资源的查找
执行自定义搜索
步骤1 打开 Active Directory 用户和计算机
步骤2 在控制台树中,右键单击域节点,然后单击"查找"。
步骤3 在"查找"中,单击"自定义搜索"。
步骤4 单击"字段",指向要搜索的对象种类,然后单击要为其指定搜索值的对象的属性。
步骤5 在"条件"中,单击搜索的条件。
步骤6 在"值"中,键入要应用搜索条件的属性值。
步骤7 单击"添加",将该搜索条件添加至自定义搜索。
步骤8 重复第 4 步至第 7 步,直到已添加所需的全部搜索条件为止。
步骤9 单击"开始查找"。
7.6 域和域控制器的管理
§ 更改域模式
步骤1 打开 Active Directory 域和信任关系
步骤2 右键单击用户想要管理的域的域节点,然后单击"属性"。
步骤3 在"常规"选项卡上,单击"更改模式",然后单击"是"。
注意:如果已经有或将即将有 Windows NT 4.0 域控制器,请不要更改域模式。只能将模式从混合模式更改为本机模式。一旦域以本机模式运行后,就不能再改回到混合模式了
如图 7.11。
§ 创建明确域信任
步骤1 打开 Active Directory 域和信任关系
步骤2 在控制台树中,右键单击要管理的域的域节点,然后单击"属性"。
步骤3 单击"信任"选项卡。
步骤4 根据用户的需要,单击"受此域信任的域"或"信任此域的域",然后单击"添加"。
步骤5 如果要添加的域是 Windows 2000 域,则键入域的 DNS 全名。
注意:密码必须是信任域和被信任域双方都接受的
§ 验证信任关系
步骤1 打开 Active Directory 域和信任关系
步骤2 在控制台树中,用右键单击要验证的信任关系所涉及的一个域,然后单击"属性"。
步骤3 单击"信任"选项卡。
步骤4 在"受此域信任的域"或"信任此域的域"中,单击要验证的信任关系,然后单击"编辑",如图 7.12。
步骤5 单击"验证"。
§ 撤消信任关系
步骤1 打开 Active Directory 域和信任关系
步骤2 在控制台树中,用右键单击要验证的信任关系所涉及的一个域节点,然后单击"属性"。
步骤3 单击"信任"选项卡。
步骤4 在"受此域信任的域"或"信任此域的域"中,单击要撤消的信任关系,然后单击"删除"。
步骤5 对于此信任关系中涉及的其他域,重复该过程。
注意:用户不可能撤消树林中不同域之间的默认双向可传递信任关系。但可删除明确创建的快捷信任关系。
返回