第6讲-组账户的管理

第6章组账户的管理清华大学出版社6.1本地组与域组用户帐户分为本地用户帐户和域用户帐户,同样,组也分为本地组与域组。用户在非域控制器的计算机上创建的组，称为“本地组”。存储在“本地安全账户数据库”内．只限于在本地计算机使用，即只能访问本地计算机的资源。用户在WindowsServer2003域控制器上创建的组称为域组。存储在ActiveDirectory数据库内。适用于所有属于这个域的计算机，即它们能够访问所有计算机的资源，条件是要有适当的权限。6.2域组的类型ＷindowsServer2003将域中的组分为两种类型：安全组和分布式组。安全组：安全组可以被设置权限。如：可设置让安全组对文件有“读取”或“改写”的权限。安全组也可用在与安全无关的任务上，如，可以通过电子邮件软件将电子邮件发送给安全组。分布式组：分布式组用在与安全无关的任务上。如：可以通过电子邮件软件将电子邮件发送给分布式组。用户不能设置分布式组的权限。注意：应用程序只有在支持活动目录的情况下，才可以使用分布式组。安全组和分布式组可以互相转换。转换条件：即只有在域功能级别设置为“Windows2000纯模式”或者“WindowsServer2003”时才可以转换。在“Windows2000混合模式”级别中无法转换组类型。6.3内置的组WindowsServer2003操作系统能够自动创建一些组。其中有些组是安装时被创建在本地计算机中，有些组是当升级成域控制器时被创建在ActiveDirectory数据库中。6.3.1内置的本地组以下是常用的本地组：Administrators该组成员用户都具有系统管理员权限，即拥有使用该计算机的最大权限。BackupOperators属于该组的用户，不管是否具有访问权限，都可以通过“开始”“程序”“附件”“系统工具”“备份”，来备份与还原该计算机的文件与文件夹。Guests该组成员用户称为来宾用户，默认具有与用户组成员同样的访问权，但来宾账户限制更多，如不能更改账户密码。NetworkConfigurationOperators属于该组的用户可在用户计算机进行一些简单的网络设置，如更改IP地址，但不能将计算机设成网络服务器。PerformanceLogUsers属于该组的成员可以对该计算机远程访问，以计划此计算机上性能计数器的日志。PerformanceMonitorUsers该组的成员可以远程访问以监视该计算机。PowerUsers成员拥有大部分管理权限，但比Administrators的权限要少一些。成员用户可以运行经过验证的应用程序，也可运行旧版应用程序。PrintOperators该组成员可以管理域打印机。RemoteDesktopUsers该组成员具有远程登录的权限。Users该组成员拥有一些基本的权限，但默认无法更改系统设置。该组用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。这些本地组保存在“本地安全账户数据库内”。它们具有管理计算机的能力。加入到这些组中的用户账户，也会具有同等的权利及权限。要建立本地组,可以打开“开始”“管理工具”“计算机管理”“本地用户和组”,或者右击“我的电脑”“管理”,打开如图6-2所示的画面。图6-2选择“新建组”单击图中的“新建组”，打开如图6-3所示的画面。就可以新建一个本地组。按“创建”之前，还可通过“添加”“高级”“立即查找”，添加该组成员。6.3.2内置的本地域组建立域之后,在域控制器中就会自动建立本地域组。用户不能对这些本地域组随意删除、移动及重命名。加入本地域组的账户拥有管理整个域及活动目录的权利。这些本地域组存在活动目录的Builtin容器内。NetworkConfigurationOperators等组与本地组重名，它们的功能与对应的本地组相似，一点区别就是本地组的权利和权限只局限于本地计算机，而本地域组则可扩充到整个域内的所有计算机。以下是几个常用的本地域组：AccountOperators:该组成员可以登录域控制器、新建/删除及管理域用户账户和组，但不能更改及删除下列组及其成员：Administrators、DomainAdmins、PrintOperators、ServerOperators、AccountOperators、BackupOperators。Administrators:该组成员拥有最高的权利与权限，对整个域有最大的控制权。BackupOperators:该组成员拥有如下权利：在本地登录、系统关机、备份文件与目录、回存文件与目录。IncomingForestTrustBuilders:该组只存在林根域。PrintOperators:该组成员可本地登录、系统关机，也可新建/删除、设置域内共享打印机。ServerOperators:该组成员拥有如下权利：本地登录、系统关机、锁定与解开域控制器、备份文件与目录、回存文件与目录，该组成员的权限仅次于Administrators组。Users:该组成员可登录域中除域控制器之外的所有计算机，访问域内共享资源，但一般不能更该系统设置。6.3.3内置的全局与通用组系统在Users容器中还会产生全局组与通用组，这些组默认属于对应的本地域组，它们的权利与权限也来自它们所属的本地域组。以下是几个常用的全局组与通用组：CertPublishers:全局组，用来更新代理程序。DomainAdmins:全局组，该组默认属于Administrators组，账户Administrator属于该组成员。DomainComputers:全局组，加入域中的所有计算机都属于该组成员。DomainControllers:全局组,域内所有域控制器都属于该组成员。DomainGuests:全局组,属于Guests本地域组。Guest域用户账户默认属于该组。DomainUsers:全局组，所有的域用户账户默认都属于该组成员。EnterpriseAdmins:通用组，只出现在整个域目录林的根域，子域中不包含该组。该组成员可以管理整个林中所有域。6.3.4内置的系统组前面介绍的内置组可在“计算机管理”或“ActiveDirectory用户和计算机”中看到，而WindowsServer2003服务器或客户端还有一些特别的系统组，它们只会在指定权利或设置权限时才出现。6.4组的使用领域按组的使用领域（范围）来分，WindowsServer2003的域组可分为下列三种类型：通用组全局组本地域组6.4.1通用组通用组可设置所有域中的访问权限，从而能够访问所有域中的资源。通用组的特性如下：具有通用范围的特性，其成员能够包含域目录林中所有域中的用户、通用组、全局组。但通用组无法包含任何一个域中的本地域组。可访问所有域内的资源，即可在任何一个域内设置通用组的权限（这个通用组可以在同一个域中，也可以在另一个域中），从而让通用组可以访问该域的资源。6.4.2全局组可以将多个即将被赋予相同权限的用户帐户加入到同一个全局组中。全局组的特性如下：全局组只能够包含与该组同一域中的用户和全局组。全局组在域目录林中可以访问任何一个域中的资源。6.4.3本地域组本地域组主要指派了所属域内的访问权限。本地域组的特性如下所示：任何一个域中的用户、通用组和全局组以及同一个域中的本地域组都可以是本地域组成员，本地域组不能包含其他域中的本地域组。本地域组只能访问同一域中的资源，不能访问其他域中的资源。6.5提升域功能级别如何提升域功能级别呢？下面是具体操作步骤：1.选择“开始”“管理工具”“ActiveDirectory用户和计算机”，选择域名，按鼠标右键，单击“提升域功能等级…”。2.若当前的域功能级别为“Windows2000混合模式”，则可选择将其提升为“WindowsServer2003”或“Windows2000纯模式”。若当前域功能级别为“Windows2000纯模式”,则可选择提升为“WindowsServer2003”。如图6-4所示。图6-4提升域功能级别3.若在上图中选择提升为“Windows2000纯模式”，按“提升”后会出现如图6-5所示画面。提示提升域功能级别的过程是不可逆的。4.按“确定”后，出现如图6-6所示的画面。按“确定”，由提示可知，其他域控制器也同时会提升域功能级别。图6-6提升域功能级别成功画面6.6域组的创建与管理6.6.1新建组以下是在活动目录中新建域组的步骤：单击“开始”“管理工具”“ActiveDirectory用户和计算机”，选中域名下的任何一个容器或组织单位，单击鼠标右键，打开如图6-7所示的画面。单击“新建”“组”,在如图6-8所示的画面中，输入组名称，选择组的作用域及类型,然后单击“确定”即可。每个组创建成功后，系统会相应产生一个唯一的安全识别码（SID），可以通过它设置组的权限。图6-7准备新建组图6-8新建组6.6.2更改域组名称与删除域组选中组账户名称，单击鼠标右键，然后在列表中单击“重命名”，即可更改组的名称。组名称改变后，SID并未改变，因此该组的权限、属性等都保持不变。右击组账户名称，在列表中选择并单击“删除”，则可删除该组账户。删除掉某个组后，若再新建一个同名的组，则由于SID已经改变，所以新组的权限及属性也会不同。6.6.3添加组的成员右击组名，选择“属性”“成员”“添加”“高级”“立即查找”，然后在如图6-9所示的画面中，选择要加入的成员，可以是用户或组。然后单击“确定”即可。6.7本地组的创建与管理非域控制器上的组称为本地组。本地组只能访问本机资源，不能共享网络资源。建议只在未加入域的计算机中创建本地组。本地域组、全局组、通用组不能在非域控制器上创建，因为它们只存在域控制器的ActiveDirectory中。6.7.1创建本地组打开“我的电脑”，右击“管理”，或“开始”“管理工具”“计算机管理”，具体步骤可参考6.3.1。6.7.2本地组成员在WindowsServer2003、Windows2000、WindowsXP、WindowsNT等计算机中，本地组的成员取决于这些计算机是否属于域成员。若是域成员计算机，其本地组内的成员可包括：本地计算机的本地用户账户。所属域的域用户账户、全局组、通用组。所信任域的域用户账户、全局组、通用组。若是非域成员计算机，则其本地组内的成员只能包括本地计算机的用户账户。