Directory组对象和组策略

第4章管理ActiveDirectory组对象和组策略组是用户或计算机账号的集合。通过使用组可以将权限分配给一组用户而不是单个用户账号。当将权限分配给组时，组的所有成员都将继承那些权限，这样可以简化网络管理。组中可以包含用户，计算机组，打印机，共享文件夹；一个用户可以是多个组的成员；新设的组的权限，用户新添加入组，所得权限须在重新登录后才有作用。工作组中的组和域中的组工作组中的组创建在非DC的计算机上；•驻留在SAM数据库中；•只能访问本地资源。域中的工作组•只在DC上；•在AD中；•访问域中的计算机中的资源。第一节本地组一、本地组类型1.本地组（LocalGroups）本地组可以在任何一台基于WindowsServer2003的非DC计算机上创建，通过将用户加入到相应的本地组赋予相应的权限，就可以控制用户对本地计算机上资源的访问。本地账户信息是放置在创建该组的计算机内的数据库中，因此其作用范围只限于在创建该本地组的计算机上。2.内置组（Built-inGroups）在安装运行WindowsServer2003的独立服务器或成员服务器时，会自动创建内置组。内置组具有一些特定的事先赋予的权力，用以完成某些特定的系统任务。内置组不能被删除，其作用范围也仅限于其存在的计算机上。二、实现本地组策略将组、用户、资源及权限组合在一起而实现对资源访问的管理称之为组策略。本地组策略就是先将具有相同属性的用户账号加入到一个本地组当中去，再针对某些资源赋予这个本地组相应的访问权限，这样就可以达到一次操作而为多个用户赋予访问资源的权限。三、创建本地组用本地计算机的Administrator组或AccountOperators组的成员身份登录，打开“计算机管理”新建组对话框右击“组”，在弹出的快捷菜单中选择“新建组”计算机管理窗口中可以看到新创建的组组属性对话框双击新建的组的图标添加组对象选择用户组属性列表中会看到刚才添加的用户第二节域模式中的组一、域模式组类型1.通讯组可以使用通讯组创建电子邮件通讯组列表，只有在电子邮件应用程序（如Exchange）中，才能使用通讯组将电子邮件发送给一组用户。2.安全组使用安全组给共享资源指派权限。可以：•将用户权限分配到ActiveDirectory中的安全组•给安全组指派对资源的权限用户权利与用户权限的区别：权限（permission）控制用户对资源（如文件、文件夹或打印机）所做的操作。当分配权限时，就给了用户访问资源的权利并定义了他们的访问类型。权利（right）是指可以让用户执行的系统任务，如更改计算机上的时间、备份、恢复文件或本地登录等。3.安全组和通讯组之间的转换组都可以从安全组转换为通讯组，反之亦然。3.安全组和通讯组之间的转换二、域模式中的组的作用域作用域用来确定在域树或林中该组的应用范围。有三类不同的组作用域：全局组作用域、本地域组作用域和通用组作用域。全局组（Globalgroup）•全局组的成员是对网络具有相同访问权限的用户；•全局组的作用范围是整个域树•可以加到本域或其它域的本地域组、通用组中；•可以加到本域的全局组中（仅限在本机模式中有效）。域本地组（Domainlocalgroup）•混合模式下，可包括域任何域的用户账号和全局组；本机模式下，还包括通用组。•混合模式下，不能加到其它任何组中。本机模式下，可以加入到本域的域本地组中。本机模式是指域中的所有域控制器都是基于Windows2000或WindowsServer2003时，该模式支持所有的组类型。混合模式是指域中的域控制器包含非Windows2000和WindowsServer2003的计算机。在该模式下不可创建通用组。通用组（Universalgroup）•在混合模式下不可用，只在本机模式下可用；为多个域中的相关资源授权；•开放的成员关系：可以包含所有的用户和组（不含本地组）；•可加入任何域中的域本地组或通用组。二、规划全局组和域本地组1.何时使用具有本地域作用域的组具有本地域作用域的组可帮助定义和管理对单个域内资源的访问。本地域组的成员可以是：具有全局作用域的组、具有通用作用域的组、具有本地域作用域的其他组的账号、上述任何组或帐号的混合体。2.何时使用具有全局作用域的组使用具有全局作用域的组管理那些需要每天维护的目录对象，如用户和计算机帐号。因为有全局作用域的组不在自身的域之外复制，所以具有全局作用域的组中的帐号可以频繁更改，而不需要对全局编录进行复制以免增加额外通信量。3.何时使用具有通用作用域的组使用具有通用作用域的组来合并跨越不同域的组。为此，请将帐号添加到具有全局作用域的组并且将这些组嵌套在具有通用作用域的组内。使用该策略，对具有全局作用域的组中的任何成员身份的更改都不影响具有通用作用域的组。四、更改组作用域创建新组时，在默认情况下，新组配置为具有全局作用域的安全组，而与当前域功能级别无关。•全局到通用：只有当要更改的组不是另一个全局作用域组的成员时，允许进行该转换。•本地域到通用：只有当要更改的组没有另一个本地域组作为其成员时，允许进行该转换。•通用到全局：只有当要更改的组没有另一个通用组作为其成员时，允许进行该转换。•通用到本地域：该操作没有限制。五、创建域模式中的组用Administrators组或AccountOperators组的成员身份登录。“开始”→“管理工具”→“ActiveDirectory用户和计算机”新建对象——组右击Users图标，在弹出的菜单中选择“新建”→“组”ActiveDirectory用户和计算机——看到创建的组六、管理组1.添加组成员七、删除组在ActiveDirectory服务中创建的每个组对象都有一个惟一的、不可重复使用的标识符，称为securityidentifier（SID，安全标识符）。WindowsServer2003使用SID来标识分配给它的组和权限。当删除一个组时，WindowsServer2003将不再为该组使用相同的SID，即便创建一个与所删除组名称相同的新组。因此，不能通过重新创建组对象来恢复对资源的访问。当删除一个组时，只删除了该组和与该组相关的权限。删除一个组并不删除作为组成员的对象。八、使用“运行方式”启动程序为获得最优安全性，不要将网络管理员每天访问使用的用户对象添加为Administrators组成员。若要运行需要以Administrator身份登录的程序，可以使用“运行方式”程序。找到需要用管理员身份打开的程序或其快捷方式、MMC控制台或控制面板工具。按下“Shift”键，并右击，从弹出的菜单中选择“运行方式”。选择程序的运行身份第三节默认组默认组是当创建ActiveDirectory域时自动创建的安全组。可以使用这些预定义的组来帮助控制对共享资源的访问，并委派特定的域范围的管理角色。一、“Builtin”容器中的组•AccountOperators成员可以创建、修改和删除位于“Users”或“Computers”容器中的用户、组和计算机的帐户以及该域中的组织单位，除了“DomainControllers”组织单位。•Administrators成员具有对域中所有域控制器的完全控制。•BackupOperators成员可备份和还原该域中域控制器上的所有文件，不论其各自对这些文件的权限如何。•DomainGuests该组没有默认的用户权利。•NetworkConfigurationOperators成员可更改TCP/IP设置并续订和发布该域中域控制器上的TCP/IP地址。•PerformanceMonitorUsers成员可在本地或从远程客户端监视该域中域控制器上的性能计数器•PerformanceLogUsers成员可在本地或从远程客户端管理该域中域控制器上的性能计数器、日志和警报•Pre-Windows2000CompatibleAccess成员具有对该域中所有用户和组的读取访问权。•PrintOperators成员可管理、创建、共享和删除连接到该域中域控制器上的打印机。•RemoteDesktopUsers成员可远程登录到该域的域控制器。该组中没有默认的成员。没有默认的用户权利。•Replicator该组支持目录复制功能，并由该域的域控制器上的“文件复制”服务使用。•ServerOperators在域控制器上，该组的成员可进行交互式登录、创建和删除共享资源、启动和停止某些服务、备份和还原文件、格式化硬盘，以及关闭计算机。•Users成员可执行大部分常见任务，如运行应用程序、使用本地和网络打印机，以及锁定服务器。二、“Users”容器中的组•CertPublishers成员获准为用户和计算机发行证书。•DnsAdmins（随DNS安装）成员具有对DNSServer服务的管理访问权。•DnsUpdateProxy（随DNS安装）成员是可代表其他客户端（如DHCP服务器）执行动态更新的DNS客户端。•DomainAdmins成员具有对该域的完全控制权。•DomainComputers包含加入到此域的所有工作站和服务器。•DomainControllers包含此域中的所有域控制器。•DomainGuests包含所有域来宾。•DomainUsers包含所有域用户。•EnterpriseAdmins（仅出现在林根域中）成员具有对林中所有域的完全控制作用。•GroupPolicyCreatorOwners成员可修改此域中的组策略。•IIS_WPG（随IIS安装）IIS_WPG组是Internet信息服务(IIS)6.0辅助进程组。•RAS和IASServers该组中的服务器获准访问用户的远程访问属性。•SchemaAdmins（仅出现在林根域中）成员可修改ActiveDirectory架构。第四节组策略组策略提供进一步控制和集中管理用户桌面环境的功能。用户不需要设置组策略，而是由组策略管理员配置和管理。一、组策略简介组策略是一组配置设置，组策略管理员应用于活动目录存储中的一个或多个对象。组策略管理员利用组策略控制域中用户的工作环境。组策略也可以控制在指定OU位置上的用户的工作环境。组策略还授予用户和组权力。1.组策略优点（1）保护用户环境（2）增强用户环境•自动安装应用程序到用户的“开始”菜单。•启动应用程序分发，方便用户在网络上找到并安装相应应用程序。•安装文件或快捷方式到网络上相应位置或用户计算机上的特定文件夹。•当用户登录或注销、计算机启动或关闭时自动执行任务或应用程序。•重定向文件夹到网络位置增强数据可靠性。2.组策略类型•软件设置：影响用户可以访问的应用程序。应用程序自动安装的策略有两种方法实现：指派应用程序，组策略直接在用户计算机上安装或升级应用程序，或为用户提供应用程序的连接，指派的应用程序用户无法删除；发布应用程序，组策略管理员通过活动目录服务发布应用程序。应用程序出现在用户的控制面板的“添加/删除程序”的安装组件列表中。用户可以卸载这些应用程序。•脚本：组策略管理员可以设定脚本和批处理文件在指定时间运行。脚本可以自动执行重复性任务。•安全设置：组策略管理员可以限制用户访问文件和文件夹。•管理模板：包括基于注册表的组策略，可以利用它来强制注册表设置，控制桌面的外观和状态，包括操作系统组件和应用程序。•远程安装服务（RIS）：当运行用户安装向导时，控制显示给用户的RIS安装选项。•文件夹重定向：可以重定向WindowsServer2003指定的文件夹从用户配置文件缺省位置到另一个网络位置，从而对这些件夹集中管理。二、组策略结构组策略是应用到活动目录存储中的一个或多个对象的配置设置的集合。这些设置包含在组策略对象（GPO）中。组策略对象在两个位置存储组策略的信息：组策略容器（GPC）和组策略模板（GPT）。1.组策略对象（GPO）•GPO中包含作用于站点、域和OU的组策略设置。•一个或多个GPO可以应用于站点、域或OU。•存储在GPC中的组策略数据很少并且不经常改变。而存储在GFT中的组策略数据很多并经常改变。2.组策略容器组策略容