管理活动目录域服务对象

Microsoft®OfficialCourse模块3管理活动目录域服务对象模块概述•管理用户账户•管理组账户•管理计算机账户•授权管理Lesson1:管理用户账户•ADDS管理工具•创建用户账户•配置用户账户属性•创建用户配置文件•示例:管理用户账户ADDS管理工具管理ADDS对象,您可以使用下面的图形工具:您也可以使用下面的命令行工具:•活动目录嵌入式管理•活动目录管理中心•活动目录模块WindowsPowerShell•目录服务命令创建用户账户配置用户属性创建用户配置文件示例:管理用户账户在这个示例中，你将看到:•打开活动目录行政中心•删除一个用户帐户•创建一个新的用户帐户•移动用户帐户Lesson2:管理组账户•组类型•集团范围•实现组管理•默认组•特殊身份•演示:管理组组的类型•分布组•只做邮件通讯•没有安全标识(SID),不能划分权限•安全组•安全主要与SID;可以被赋予权限•也可以电子邮件启用组范围U用户C计算机GG全局组DLG域本地组UG通用组组的范围成员来自同一域从域在同一片森林里成员从外部域成员信任可以对资源分配的权限本地组U,C,GG,DLG,UGandlocalusersU,C,GG,UGU,C,GGOnthelocalcomputeronly域本地组U,C,GG,DLG,UGU,C,GG,UGU,C,GGAnywhereinthedomain通用组U,C,GG,UGU,C,GG,UGN/AAnywhereintheforest全局组U,C,GGN/AN/AAnywhereinthedomainoratrusteddomain实施组管理ACL_Sales_Read(DomainLocalGroup)域本地组提供管理，比如资源访问DLwhichareSales(GlobalGroup)Auditors(GlobalGroup)在一个多域森林，用IGUDLA指定资源访问A身份用户或计算机作为成员I全局组这收集基于成员的角色成员作为成员G默认组•仔细管理,提供默认组的管理权限,因为这些群体:•通常有更广泛的特权比是必要的对于大多数委托环境•他们的成员通常都用保护组位置EnterpriseAdmins用户容器的森林根域SchemaAdmins用户容器的森林根域Administrators内置的容器的每个域DomainAdmins每个域用户的容器ServerOperators内置的容器的每个域AccountOperators内置的容器的每个域BackupOperators内置的容器的每个域PrintOperators内置的容器的每个域特殊身份•特殊身份:•是团体的成员是由操作系统•可以使用Windows服务器操作系统来提供对资源的访问:•基于类型的身份验证或连接•不是基于用户帐户•重要的特殊身份包括:•AnonymousLogon•AuthenticatedUsers•Everyone•Interactive•Network示例:管理组在这个示例中，你将看到:•创建一个新的组•在组中添加成员•添加用户到组•修改组的类型和范围•修改组属性Lesson3:管理计算机账户•计算机容器是什么?•指定位置的计算机帐户•控制权限创建计算机帐户•计算机帐户和安全通道•重置安全通道计算机容器是什么?指定位置的计算机帐户•最佳实践是创建计算机对象的OU•服务器•通常的服务器角色•计算机客户•通常按地区划分•典型OU:•使用管理•方便的配置和组策略控制权限创建计算机帐户计算机帐户和安全通道•计算机帐户•sAM账户名和密码•用于创建一个安全通道之间的电脑和域控制器•一条安全通道是可以打破的•重新安装一台电脑,即使有相同的名称,会生成一个新的SID和密码•恢复一个计算机从一个旧备份,或回滚电脑一个古老的快照•计算机和域同意密码重置安全通道•不要删除计算机或者重新加入域•这个过程会创建一个新的帐户,导致新的SID和失去的组成员•选择重置安全通道:•ActiveDirectory用户和计算机•DSMod.exe•NetDom.exe•NLTest.exe•WindowsPowerShellLesson4:授权管理•ADDS权限•起作用ADDS权限•示例:委派管理权限ADDS权限有效地ADDS权限权限分配给用户和组累加最佳实践是分配权限组,而不是个人用户在发生冲突:评估有效权限,您可以使用:•拒绝权限覆盖允许权限•显式权限覆盖继承权限•显式允许重写继承了否认•有效的权限标签•手动分析示例:委派管理控制在这个示例中,你将看到:•代表一个标准的任务•代表一个自定义的任务•视图ADDS权限Lab:管理ADDS对象•Exercise1:授权管理一个分公司•Exercise2:创建和配置用户帐户在ADDS•Exercise3:管理计算机对象在ADDS登录信息虚拟机20410B-LON-DC120410B-LON-CL1用户名Adatum\Administrator密码Pa$$w0rdEstimatedTime:60minutes实验场景A.Datum公司是一个全球工程和制造业公司,总部设在英国伦敦。一个IT办公室和数据中心位于伦敦支持伦敦办公室和其他地方。一个。基准最近部署一个WindowsServer2012的基础设施与Windows8的客户。你已经工作了A.Datum作为桌面支持专家,先后访问了桌面电脑来解决应用程序和网络问题。你最近接受晋升到服务器支持团队。你的第一个任务是配置基础设施服务,一个新的办事处。开始部署新分公司的办公室,你准备ADDS对象。这个准备的一部分,您需要创建一个OU的分支机构和委托权限来管理它。然后你需要创建用户和组的新的办事处。最后,你需要重置安全通道为计算机帐户,已经失去了连接到域的分支机构。实验回顾•有哪些选项修改属性的新的和现有的用户?•什么类型的对象可以全球组织的成员吗?•什么类型的对象可以是当地团体的成员域?•什么是两个凭证所必需的任何计算机加入域?