网络操作系统管理Windows

第1章账户和资源管理介绍第2章管理服务器第3章管理用户和计算机账户第4章管理组第5章组织单位对象的访问管理第6章实现组策略第7章使用组策略管理用户环境第8章应用管理模板和审核策略第9章使用软件更新服务管理软件第10章服务器性能监视的准备第11章监视服务器性能第12章维护设备驱动程序第13章资源访问管理第14章实现打印第15章打印管理第16章磁盘管理第17章数据存储管理第18章故障恢复的管理网络操作系统管理——WindowsServer2003的管理第4章管理组创建组管理组成员身份使用组应用策略更改组使用默认组组管理的最佳实践创建组组域功能级别全局组通用组域本地组本地组组的创建位置组命名规则创建组的方法课堂练习创建组4.1创建组组组使管理员能够一次性对资源分配权限，从而简化管理组的特点是根据作用域和类型来定义描述组类型仅仅能够与电子邮件应用程序配合使用，不能用来分配权限分布常常用来分配用户权利和权限，具有通讯组功能安全组作用域的判断主要考虑是否需要扩展到多个域或限制在一个域中三种组作用域：全局、本地域、通用组4.1.1组组的作用域通用组的成员可包括域树或森林中任何域中的其他组和账户，可在该域树或森林中的任何域中指派权限全局组的成员可包括只在其中定义该组的域中的其他组和账户，可在森林中的任何域中指派权限域本地组的成员可包括WindowsServer2003、Windows2000或WindowsNT域中的其他组和账户，而且只能在域内指派权限4.1.1组域功能级别全局、本地域WindowsNT®Server4.0,WindowsServer2000,WindowsServer2003全局、本地域、通用WindowsServer2000,WindowsServer2003全局、本地域、通用WindowsServer2003支持的域控制器支持的组作用域Windows2000混合模式（默认）Windows2000本机模式WindowsServer20034.1.2域功能级别全局组规则全局组混合模式：同一个域中的用户账户本机模式：同一个域的用户账户和全局组成员在自己和所有信任的域里可见作用域混合模式：域本地组本机模式：任何域里的通用和域本地组，以及相同域的全局组可作为右边表格中所示组的成员林中所有域权限4.1.3全局组通用组规则通用组混合模式：不适用本机模式：用户账户、全局组和森林中任何域的其他通用组成员森林中所有域都可见作用域混合模式：不适用本机模式：任何域中的域本地组和通用组可作为右边表格中所示组的成员森林中所有域权限4.1.4通用组域本地组规则域本地组混合模式：任何域中的用户账户和全局组本机模式：森林中任何域的用户账户、全局组和通用组，以及同一域中的域本地组成员仅在自己所在的域中可见作用域混合模式：无本机模式：同一域中的域本地组可作为右边表格中所示组的成员域本地组所属的域权限4.1.5域本地组本地组规则本地组计算机的本地用户账户成员无可作为右边表格中所示组的成员4.1.6本地组组的创建位置在森林的根域、森林的任何其他域、组织单位创建组根据管理需要选择域或组织单位来创建组例：目录有多个组织单位，每个拥有不同的管理员，可以为这些组织单位创建全局组4.1.7组的创建位置组命名规则安全组：在组名的命名约定中合并作用域名称能够反映所属关系（部门或小组名称）在组名的开头添上域名或其缩写使用描述符来标识一个组所拥有的最大权限，例如：DLITLondonOUAdmins通讯组：使用短的别名显示名称里不应包含用户的别名一个通讯组最多由五个合作者管理4.1.8组命名规则创建组的方法演示：在域中创建组在成员服务器上创建本地组使用命令行创建组删除组使用命令行删除组4.1.9创建组的方法课堂练习创建组目的：通过ActiveDirectory用户和计算机创建组使用dsadd命令行工具创建组4.1.10课堂练习创建组第4章管理组创建组管理组成员身份使用组应用策略更改组使用默认组组管理的最佳实践管理组成员“成员”和“隶属于”属性演示“成员”和“隶属于”确定用户账户的从属组在组中添加和删除成员课堂练习管理组成员身份4.2管理组成员“成员”和“隶属于”属性组或小组全局组域本地组成员隶属于无DenverAdminsTom、Jo和Kim成员隶属于无VancouverAdminsSam、Scott和AmyMembersMemberOfTom,Jo,KimDenverOUAdminsDenverAdmins成员隶属于Tom,Jo,KimDenverOUAdminsDenverAdmins成员隶属于Sam,Scott,AmyVancouverOUAdminsVancouverAdminsDenverOUAdmins成员隶属于DenverAdmins,VancouverAdmins无4.2.1“成员”和“隶属于”属性课堂演示：“成员”和“隶属于”4.2.2“成员”和“隶属于”演示确定用户账户的从属组查看用户所属的组通过命令行方式查看用户所属的组4.2.3确定用户账户的从属组在组中添加和删除成员通过使用“ActiveDirectory用户和计算机”来添加成员通过使用“属性”对话框的“隶属于”选项卡来添加用户账户或组4.2.4在组中添加和删除成员课堂演示：在组中添加和删除成员4.2.４在组中添加和删除成员课堂练习管理组成员身份目的：对全局组添加用户4.2.5课堂练习管理组成员身份第4章管理组创建组管理组成员身份使用组策略更改组使用默认组组管理的最佳实践使用组应用策略组嵌套组策略课堂讨论在单个域中使用组课堂练习将全局组添加到域本地组4.3使用组应用策略多媒体演示单个域中使用组的策略介绍AGDLP的组使用原则组组组组组组嵌套意味着将组作为其他组的成员嵌套组用来加强组管理嵌套组选项取决于WindowsServer2003域的功能级别设置为Windows2000本机模式还是Windows2000混合模式4.3.1组嵌套组策略AGPAPG全局组权限用户账户ADLPAPDL域本地组权限用户账户AGDLPAP域本地组DLG权限全局组用户账户AGUDLPAP域本地组DLG权限全局组用户账户通用组UAG全局组用户账户AGLPAP本地组LG权限全局组用户账户用户账户A全局组G通用组U域本地组DL组应用策略：AGPADLPAGDLPAGUDLPAGLP权限P本地组L4.3.2组策略罗斯文贸易公司位置是在法国巴黎，组境是一个单域，罗斯文贸易公司管理人员需要访问存货数据库来进行他们的工作，作为一名管理员应该如何保证管理人员能够访问存货数据库？课堂讨论在单个域中使用组把所有的管理人员放到一个全局组针对存货数据库创建域本地组确定该全局组作为域本地组成员同时给访问存货数据库的域本地组赋予权限罗斯文贸易公司希望能够满足市场的快速需要，决定财务数据必须被所有财务人员访问，罗斯文贸易公司希望针对整个财务部门创建组结构，它包含财务支付部门、财务收帐部门，作为一名管理员应该如何确保管理人员能够访问数据库，同时确保该方法只耗费最小的管理？确认网络处于本机模式，否则必须首先将其转化为本机模式创建三个全局组分别为：AccountingDivision、AccountsPayable、AccountsReceivable，在每个域里将后两组加入到第一个组中把AccountingDivision全局组放到域本地组以便用户能够访问财务数据创建域本地组叫AccountingData，针对财务数据文件赋予组合适的权限4.3.3课堂讨论在单个域中使用组课堂练习将全局组添加到域本地组目的：增加全局组到域本地组4.3.4课堂练习将全局组添加到域本地组第4章管理组创建组管理组成员身份使用组应用策略更改组使用默认组组管理的最佳实践更改组更改组作用域或类型更改组作用域或类型的方法课堂练习更改组作用域和类型指派组管理员的原因指派组管理员的方法课堂练习指派组管理员4.4更改组更改组作用域或类型组作用域改变全局组到通用组域本地组到通用组通用组到全局组通用组到域本地组4.4.1/4.4.2更改组作用域或类型组类型改变安全组到通讯组通讯组到安全组课堂演示：如何更改组作用域或类型的方法4.4.2如何更改组作用域或类型的方法课堂练习更改组作用域和类型目的：改变组作用域从全局组到域本地组转换安全组到通讯组4.4.3课堂练习更改组作用域和类型指派组管理员的原因目的：跟踪组的负责人授权组管理员添加和删除用户分发管理职责交付给了请求设置组的用户组管理员4.4.4指派组管理员的原因课堂演示：如何指派组管理员4.4.5如何指派组管理员课堂练习指派组管理员目的：创建全局组指派组管理员测试组管理员属性4.4.6课堂练习指派组管理员第4章管理组创建组管理组成员身份使用组应用策略更改组使用默认组组管理的最佳实践使用默认组成员服务器上的默认组ActiveDirectory中的默认组默认组的使用场合默认组的安全注意事项系统组课堂讨论使用默认组与创建新组4.5使用默认组成员服务器上的默认组4.5.1成员服务器上的默认组ActiveDirectory中的默认组4.5.2ActiveDirectory中的默认组默认组的使用场合默认组：在安装操作系统或增加服务（例如：ActiveDirectory或DHCP）时，创建默认组自动分配一系列的用户权利默认组使用：控制对共享资源的访问权限委派特定域范围的管理权限4.5.3默认组的使用场合默认组的安全注意事项在ActiveDirectory中只有确定需要给用户所有的权限和权利时才把用户加入默认组，否则创建新组按照最安全的原则，对于默认组的成员建议使用“运行方式”4.5.4默认组的安全注意事项系统组系统组不同时刻代表不同的用户可以授权用户权限和权利给系统组，但是不能修改或查看成员关系组作用域不适用于系统组用户只要登录或访问特定资源就会自动分配到系统组4.5.5系统组罗斯文贸易公司在全球有超过100台服务器，你现在参加会议讨论当前的任务以及用户完成特定任务时需要的最小访问级别，现在你必须决定是管理默认组还是创建新组，来分配特定用户的权利和权限以完成特定的工作课堂讨论使用默认组与创建新组4.5.6课堂讨论使用默认组与创建新组第4章管理组创建组管理组成员身份使用组应用策略更改组使用默认组组管理的最佳实践组管理的最佳实践基于管理需要创建组计算机如果没有加入域就使用本地组增加用户账户到组满足最严格的限制分配大多数用户权限和权利时，请使用AuthenticatedUsers组来代替Everyone组限制Administrators组的用户数量尽可能使用内置组来代替创建新组信任所有Administrators、PowerUsers、PrintOperators和BackupOperators组的成员4.6组管理的最佳实践实验创建和管理组目的：创建全局和本地组根据命名约定进行组命名增加组的成员回顾学习完本章后，将能够：能够描述组的主要功能使用组来管理资源访问的策略能够创建和删除组实现默认组随堂练习1你是公司网络的管理员。网络包含两个属于同一个活动目录林的域beijing.dm.com和shanghai.dm.com。两个域的功能级别是Windows2000混合模式。beijing.dm.com包含两台运行Windows2003Server和三台运行Windows2000Server的域控制器。你是beijing.dm.com的管理员。你的域中的域控制器包含shanghai.dm.com需要访问的应用程序和共享文件夹。你需要创建一个组包含需要从shanghai.dm.com访问的用户。你应当如何做？A.将组作用域和组类型设置为域本地和安全B.将组作用域和组类型设置为域本地和通讯C.将组作用域和组类型设置为全局和安全D.将组作用域和组类型设置为通用和安全随堂练习2你是公司网络的管理员。网络包含两个属于同一个活动目录林的域bejing.dm.com和shanghai.dm.com。两个域的功能级别是Window