1、第6章組賬戶的管理 6.1 本地組與域組n我們知道,用戶帳戶分為本地用戶帳戶和域用戶帳戶,同樣,組也分為本地組與域組。n用戶在非域控制器的計(jì)算機(jī)上創(chuàng)建的組，稱為“本地組”。這些組賬戶存儲在“本地n安全賬戶數(shù)據(jù)庫”內(nèi)本地組只限于在本地計(jì)算機(jī)使用，即只能訪問本地計(jì)算機(jī)的資源。n用戶在Windows Server 2003域控制器上創(chuàng)建的組稱為域組。這些組賬戶存儲在Active Directory數(shù)據(jù)庫內(nèi)。這些組適用于所有屬于這個(gè)域的計(jì)算機(jī)，即它們能夠訪問所有計(jì)算機(jī)的資源，條件是要有適當(dāng)?shù)臋?quán)限。6.2域組的類型nindows Server 2003將域中的組分為兩種類型：安全組和分布式組。n安全組：

2、安全組可以被設(shè)置權(quán)限。例如：可設(shè)置讓安全組對文件有“讀取”或“改寫”的權(quán)限。安全組也可用在與安全無關(guān)的任務(wù)上，如，可以通過電子郵件軟件將電子郵件發(fā)送給安全組。n分布式組：分布式組用在與安全無關(guān)的任務(wù)上。例如：可以通過電子郵件軟件將電子郵件發(fā)送給分布式組。用戶不能設(shè)置分布式組的權(quán)限。n注意：應(yīng)用程序只有在支持活動目錄的情況下，才可以使用分布式組。n安全組和分布式組之間可以互相轉(zhuǎn)換。只是這種轉(zhuǎn)換有條件限制，即只有在域功能級別設(shè)置為“Windows 2000純模式”或者“Windows Server 2003”時(shí)才可以轉(zhuǎn)換。在“Windows 2000 混合模式”級別中無法轉(zhuǎn)換組類型。6.3 內(nèi)置的

3、組nWindows Server 2003操作系統(tǒng)能夠自動創(chuàng)建一些組。其中有些組是安裝時(shí)被創(chuàng)建在本地計(jì)算機(jī)中，有些組是當(dāng)升級成域控制器時(shí)被創(chuàng)建在Active Directory 數(shù)據(jù)庫中。6.3.1內(nèi)置的本地組以下是常用的本地組：nAdministrators 該組成員用戶都具有系統(tǒng)管理員權(quán)限，即擁有使用該計(jì)算機(jī)的最大權(quán)限。nBackup Operators 屬于該組的用戶，不管是否具有訪問權(quán)限，都可以通過“開始” “程序”“附件”“系統(tǒng)工具”“備份”，來備份與還原該計(jì)算機(jī)的文件與文件夾。nGuests 該組成員用戶稱為來賓用戶，默認(rèn)具有與用戶組成員同樣的訪問權(quán)，但來賓賬戶限制更多，如不能更改

4、賬戶密碼。nNetwork Configuration Operators 屬于該組的用戶可在用戶計(jì)算機(jī)進(jìn)行一些簡單的網(wǎng)絡(luò)設(shè)置，如更改IP地址，但不能將計(jì)算機(jī)設(shè)成網(wǎng)絡(luò)服務(wù)器。nPerformance Log Users 屬于該組的成員可以對該計(jì)算機(jī)遠(yuǎn)程訪問，以計(jì)劃此計(jì)算機(jī)上性能計(jì)數(shù)器的日志。nPerformance Monitor Users 該組的成員可以遠(yuǎn)程訪問以監(jiān)視該計(jì)算機(jī)。nPower Users成員擁有大部分管理權(quán)限，但比Administrators的權(quán)限要少一些。成員用戶可以運(yùn)行經(jīng)過驗(yàn)證的應(yīng)用程序，也可運(yùn)行舊版應(yīng)用程序。nPrint Operators 該組成員可以管理域打印機(jī)。n

5、Remote Desktop Users 該組成員具有遠(yuǎn)程登錄的權(quán)限。nUsers 該組成員擁有一些基本的權(quán)限，但默認(rèn)無法更改系統(tǒng)設(shè)置。該組用戶可以運(yùn)行經(jīng)過驗(yàn)證的應(yīng)用程序，但不可以運(yùn)行大多數(shù)舊版應(yīng)用程序。n這些本地組保存在“本地安全賬戶數(shù)據(jù)庫內(nèi)”。它們具有管理計(jì)算機(jī)的能力。加入到這些組中的用戶賬戶，也會具有同等的權(quán)利及權(quán)限。n要建立本地組,可以打開“開始”“管理工具”“計(jì)算機(jī)管理”“本地用戶和組”,或者右擊“我的電腦”“管理”,打開如圖6-2所示的畫面。圖6-2 選擇“新建組” 單擊圖中的“新建組”，打開如圖6-3所示的畫面。就可以新建一個(gè)本地組。按“創(chuàng)建”之前，還可通過“添加”“高級”“立即

6、查找”，添加該組成員。6.3.2 內(nèi)置的本地域組n建立域之后,在域控制器中就會自動建立本地域組。用戶不能對這些本地域組隨意刪n除、移動及重命名。加入本地域組的賬戶擁有管理整個(gè)域及活動目錄的權(quán)利。這些本地域組存在活動目錄的Builtin容器內(nèi)。nNetwork Configuration Operators等組與本地組重名，它們的功能與對應(yīng)的本地組相似，一點(diǎn)區(qū)別就是本地組的權(quán)利和權(quán)限只局限于本地計(jì)算機(jī)，而本地域組則可擴(kuò)充到整個(gè)域內(nèi)的所有計(jì)算機(jī)。 以下是幾個(gè)常用的本地域組：nAccount Operators:該組成員可以登錄域控制器、新建/刪除及管理域用戶賬戶和組，但不能更改及刪除下列組及其成員

7、：Administrators、Domain Admins、Print Operators、Server Operators、Account Operators、Backup Operators。nAdministrators:該組成員擁有最高的權(quán)利與權(quán)限，對整個(gè)域有最大的控制權(quán)。nBackup Operators:該組成員擁有如下權(quán)利：在本地登錄、系統(tǒng)關(guān)機(jī)、備份文件與目錄、回存文件與目錄。nIncoming Forest Trust Builders:該組只存在林根域。nPrint Operators:該組成員可本地登錄、系統(tǒng)關(guān)機(jī)，也可新建/刪除、設(shè)置域內(nèi)共享打印機(jī)。nServer Oper

8、ators:該組成員擁有如下權(quán)利：本地登錄、系統(tǒng)關(guān)機(jī)、鎖定與解開域控制器、備份文件與目錄、回存文件與目錄，該組成員的權(quán)限僅次于Administrators組。nUsers:該組成員可登錄域中除域控制器之外的所有計(jì)算機(jī)，訪問域內(nèi)共享資源，但一般不能更該系統(tǒng)設(shè)置。6.3.3 內(nèi)置的全局與通用組n系統(tǒng)在Users容器中還會產(chǎn)生全局組與通用組，這些組默認(rèn)屬于對應(yīng)的本地域組，它們的權(quán)利與權(quán)限也來自它們所屬的本地域組。以下是幾個(gè)常用的全局組與通用組：nCert Publishers:全局組，用來更新代理程序。nDomain Admins:全局組，該組默認(rèn)屬于Administrators組，賬戶Admini

9、strator屬于該組成員。nDomain Computers:全局組，加入域中的所有計(jì)算機(jī)都屬于該組成員。nDomain Controllers: 全局組,域內(nèi)所有域控制器都屬于該組成員。nDomain Guests: 全局組,屬于Guests本地域組。Guest域用戶賬戶默認(rèn)屬于該組。nDomain Users:全局組，所有的域用戶賬戶默認(rèn)都屬于該組成員。nEnterprise Admins:通用組，只出現(xiàn)在整個(gè)域目錄林的根域，子域中不包含該組。該組成員可以管理整個(gè)林中所有域。6.3.4 內(nèi)置的系統(tǒng)組n前面介紹的內(nèi)置組可在“計(jì)算機(jī)管理”或“Active Directory用戶和計(jì)算機(jī)”中看

10、到，而Windows Server 2003服務(wù)器或客戶端還有一些特別的系統(tǒng)組，它們只會在指定權(quán)利或設(shè)置權(quán)限時(shí)才出現(xiàn)。6.4 組的使用領(lǐng)域n按組的使用領(lǐng)域（范圍）來分，Windows Server 2003的域組可分為下列三種類型：n通用組n全局組n本地域組6.4.1 通用組n通用組可設(shè)置所有域中的訪問權(quán)限，從而能夠訪問所有域中的資源。通用組的特性如下：n具有通用范圍的特性，其成員能夠包含域目錄林中所有域中的用戶、通用組、全局組。但通用組無法包含任何一個(gè)域中的本地域組。n可訪問所有域內(nèi)的資源，即可在任何一個(gè)域內(nèi)設(shè)置通用組的權(quán)限（這個(gè)通用組可以在同一個(gè)域中，也可以在另一個(gè)域中），從而讓通用組可以

11、訪問該域的資源。6.4.2 全局組n可以將多個(gè)即將被賦予相同權(quán)限的用戶帳戶加入到同一個(gè)全局組中。全局組的特性如下：n全局組只能夠包含與該組同一域中的用戶和全局組。n全局組在域目錄林中可以訪問任何一個(gè)域中的資源。6.4.3 本地域組n本地域組主要指派了所屬域內(nèi)的訪問權(quán)限。本地域組的特性如下所示：n任何一個(gè)域中的用戶、通用組和全局組以及同一個(gè)域中的本地域組都可以是本地域組成員，本地域組不能包含其他域中的本地域組。n本地域組只能訪問同一域中的資源，不能訪問其他域中的資源。通用作用域通用作用域全局作用域全局作用域本地域作用域本地域作用域通用組的成員可包括來自任何域的賬戶、全局組和通用組Windows

12、Server 2003 中全局組的成員可包括來自相同域的賬戶或全局組當(dāng)本地域組的成員可包括來自任何域的賬戶、全局組或通用組，以及來自相同域的本地域組組可被添加到其他組并在任何域中指派權(quán)限組可被添加到其他組并且可在任何域中指派權(quán)限組可被添加到其他本地域組并且僅在相同域中指派權(quán)限組可轉(zhuǎn)換為本地域作用域。只要組中沒有其他通用組作為其成員，就可以轉(zhuǎn)換為全局作用域只要組不是具有全局作用域的任何其他組的成員，就可以轉(zhuǎn)換為通用作用域只要組不把具有本地域作用域的其他組作為其成員，就可轉(zhuǎn)換為通用作用域6.5 提升域功能級別n如何提升域功能級別呢？下面是具體操作步驟：1 .選擇“開始”“管理工具”“Active

13、Directory 用戶和計(jì)算機(jī)”，選擇域名，按鼠標(biāo)右鍵，單擊“提升域功能等級”。2. 若當(dāng)前的域功能級別為“Windows 2000混合模式”，則可選擇將其提升為 “Windows Server 2003”或“Windows 2000純模式”。若當(dāng)前域功能級別為“Windows 2000純模式”,則可選擇提升為“Windows Server 2003”。如圖6-4所示。圖6-4 提升域功能級別3. 若在上圖中選擇提升為“Windows 2000純模式”，按“提升”后會出現(xiàn)如圖6-5所示畫面。提示提升域功能級別的過程是不可逆的。4.按“確定”后，出現(xiàn)如圖6-6所示的畫面。按“確定”，由提示可知

14、，其他域控制器也同時(shí)會提升域功能級別。圖6-6 提升域功能級別成功畫面6.6 域組的創(chuàng)建與管理n6.6.1新建組n以下是在活動目錄中新建域組的步驟：單擊“開始”“管理工具”“Active Directory 用戶和計(jì)算機(jī)”，選中域名下的任何一個(gè)容器或組織單位，單擊鼠標(biāo)右鍵，打開如圖6-7所示的畫面。單擊“新建”“組”,在如圖6-8所示的畫面中，輸入組名稱，選擇組的作用域及類型,然后單擊“確定”即可。n每個(gè)組創(chuàng)建成功后，系統(tǒng)會相應(yīng)產(chǎn)生一個(gè)唯一的安全識別碼（SID），可以通過它設(shè)置組的權(quán)限。圖6-7 準(zhǔn)備新建組 圖6-8 新建組 6.6.2更改域組名稱與刪除域組n選中組賬戶名稱，單擊鼠標(biāo)右鍵，然后

15、在列表中單擊“重命名”，即可更改組的名稱。組名稱改變后，SID并未改變，因此該組的權(quán)限、屬性等都保持不變。n右擊組賬戶名稱，在列表中選擇并單擊“刪除”，則可刪除該組賬戶。刪除掉某個(gè)組后，若再新建一個(gè)同名的組，則由于SID已經(jīng)改變，所以新組的權(quán)限及屬性也會不同。6.6.3添加組的成員n右擊組名，選擇“屬性”“成員”“添加”“高級”“立即查找”，然后在如圖6-9所示的畫面中，選擇要加入的成員，可以是用戶或組。然后單擊“確定”即可。6.7 本地組的創(chuàng)建與管理n非域控制器上的組稱為本地組。本地組只能訪問本機(jī)資源，不能共享網(wǎng)絡(luò)資源。建議只在未加入域的計(jì)算機(jī)中創(chuàng)建本地組。本地域組、全局組、通用組不能在非域

16、控制器上創(chuàng)建，因?yàn)樗鼈冎淮嬖谟蚩刂破鞯腁ctive Directory中。n6.7.1創(chuàng)建本地組n打開“我的電腦”，右擊“管理”，或“開始”“管理工具”“計(jì)算機(jī)管理”，具體步驟可參考6.3.1。6.7.2本地組成員n在Windows Server 2003、Windows 2000、Windows XP、Windows NT等計(jì)算機(jī)中，本地組的成員取決于這些計(jì)算機(jī)是否屬于域成員。n若是域成員計(jì)算機(jī)，其本地組內(nèi)的成員可包括：n本地計(jì)算機(jī)的本地用戶賬戶。n所屬域的域用戶賬戶、全局組、通用組。n所信任域的域用戶賬戶、全局組、通用組。n若是非域成員計(jì)算機(jī)，則其本地組內(nèi)的成員只能包括本地計(jì)算機(jī)的用戶賬戶

17、。在單個(gè)域中使用組，可以使用AGDLP策略。n在單個(gè)域中使用組，可以使用AGDLP策略。nAGDLP中的A代表用戶賬戶，G代表全局組， DL代表本地域組，P代表權(quán)限。AGDLP策略是指是將用戶賬戶加入全局組，然后將全局組加入本地域組，再為本地域組授予權(quán)限。第第6 6章章 組策略組策略6.1.1 組策略概述n組策略是配置用戶桌面的一種方法，系統(tǒng)管理員可以把它應(yīng)用于一個(gè)或多個(gè)活動目錄對象。包含管理一個(gè)對象及其對象的行為。n應(yīng)用程序配置策略組n文件配置組n腳本組策略n安全組策略 n組策略是配置的集合，這些設(shè)置包含在組策略對象（Group Policy Object, GPO）內(nèi)。nGPO在兩個(gè)位置存

18、儲組策略信息：Group Policy Container和Group Policy Templaten有組策略管理系統(tǒng)，優(yōu)勢：n創(chuàng)建可以管理的桌面配置，使之適合用戶工作職責(zé)和經(jīng)驗(yàn)水平n對特定用戶實(shí)現(xiàn)組策略設(shè)置，結(jié)合NTFS文件系統(tǒng)的權(quán)限和系統(tǒng)的其他特性，可以防止用戶訪問未經(jīng)授權(quán)的程序和數(shù)據(jù)，還可以防止用戶刪除影響應(yīng)用程序或操作系統(tǒng)正常發(fā)揮作用的重要文件n可以增強(qiáng)用戶的配置和安全性n當(dāng)用戶登錄、退出及計(jì)算機(jī)啟動時(shí)自動執(zhí)行任務(wù)和程序6.1.2 組策略結(jié)構(gòu)n組策略配置類型n計(jì)算機(jī)配置-設(shè)置用于管理控制計(jì)算機(jī)特點(diǎn)項(xiàng)目的策略，如桌面外觀，安全設(shè)置，操作系統(tǒng)運(yùn)行等。操作系統(tǒng)啟動時(shí)，就會應(yīng)用。n用戶配置-

19、設(shè)置用于管理控制更多用戶特定項(xiàng)目的管理策略，如應(yīng)用程序配置，桌面特性，分配和發(fā)行的應(yīng)用程序等。每當(dāng)用戶登錄到計(jì)算機(jī)時(shí)，就會應(yīng)用用。n配置子文件夾-“計(jì)算機(jī)配置”和“用戶配置”節(jié)點(diǎn)下有3個(gè)不同的子文件夾。n軟件設(shè)置-用于管理軟件分發(fā)組件。nWindows設(shè)置-管理用戶環(huán)境設(shè)置。n“計(jì)算機(jī)配置”中有“安全設(shè)置”和“腳本”n“用戶配置”中有“安全設(shè)置”“腳本”“文件夾重定向”“遠(yuǎn)程安裝服務(wù)”“IE維護(hù)”n管理模版-包含了基于注冊表的策略信息n“用戶配置” HKEY_CURRENT_USERn“計(jì)算機(jī)配置” HKEY_CURRENT_MACHINE 組策略結(jié)構(gòu)組策略結(jié)構(gòu) n組策略配置類型 n組策略功能

20、類型 n組策略對象 n組策略容器 n組策略模板 6.2 組策略對象n創(chuàng)建組策略對象 n篩選GPO作用域 n組策略繼承 創(chuàng)建組策略對象n“Active Directory用戶和計(jì)算機(jī)”控制臺窗口 n“添加組策略對象鏈接”對話框 n“創(chuàng)建新的組策略對象”按鈕n“組策略”選項(xiàng)卡 篩選GPO作用域 n組策略對象中的策略僅適用于對組策略對象有“讀取”權(quán)限的用戶，可以篩選組策略對象的范圍，通過創(chuàng)建“安全”組，然后給所選組分配“讀”權(quán)限。組策略繼承 n繼承順序 n繼承選項(xiàng) n覆蓋繼承n阻止繼承6.3 配置組策略對象n組策略編輯器 n使用管理模板 n使用腳本 n文件夾重定向 組策略編輯器n使用組策略編輯器，可

21、以為計(jì)算機(jī)和用戶帳號、應(yīng)用程序和文件配置安全性、軟件及腳本等。使用管理模板 n管理模板是具有擴(kuò)展名為.adm的文件，并且用于標(biāo)識注冊表的設(shè)置。通過使用“組策略”管理單元，可以修改注冊表的設(shè)置。在Windows Server 2003中的“管理模板”有兩個(gè)位置可以寫入。使用腳本 腳本是用于管理用戶環(huán)境。Windows Server 2003為下列腳本提供了支持。n計(jì)算機(jī)啟動n計(jì)算機(jī)關(guān)機(jī)n用戶登錄n用戶注銷文件夾重定向 n用“文件重定向”可以把位于用戶配置文件的多個(gè)文件夾重定向到其他位置。例如，網(wǎng)絡(luò)共享的位置。這些文件夾是Application Data、“開始”菜單、My Documents和桌面。這樣如果我們把用戶的“我的文檔”文件夾重定向到server%username，那么當(dāng)用戶從一臺計(jì)算機(jī)漫游到另一臺計(jì)算機(jī)時(shí)其“我的文檔”文件及仍然可以使用；而且這