第三章 管理域账户、组和组织单位第三章 管理域账户、组和组织单位

回顾上章内容回顾上章内容回顾上章内容回顾上章内容

如何创建 Windows 域？ 如何管理 Windows 域？ 如何将域控制器降级？

本章目标本章目标本章目标本章目标

掌握域用户账户的管理 掌握域中组的管理 掌握 AGDLP 规则 掌握 OU 的应用 掌握域用户和组的规划

讲解本章目标讲解本章目标 讲解本章目标讲解本章目标

域用户账户域用户账户域用户账户域用户账户

本地用户帐户 存储在本地计算机

域用户帐户 存储在活动目录中

域用户账户的创建域用户账户的创建域用户账户的创建域用户账户的创建

域用户账户的命名规则 唯一用户登录名 最长 20 字符 不能有非法字符

域用户账户的密码规则 Administrator 账户必须设置复杂的口令 避免使用电话号码、人名、地址、英文单词等作为

口令，可以是这些的组合 密码长度 密码复杂性

创建域用户账户创建域用户账户创建域用户账户创建域用户账户

在“ Active Directory 用户和计算机”中，右击 Users 文件夹 “新建” “用户”

输入用户的基本信息和登录名称

设定用户密码

配置域用户“账户”属性配置域用户“账户”属性 2-12-1配置域用户“账户”属性配置域用户“账户”属性 2-12-1

登录时间 限制用户登录到域

的时间 可以登录的计算机

定义了账户可以登录的计算机列表

账户过期 规定了用户账户是

否存在使用过期的限制

配置域用户“账户”属性配置域用户“账户”属性 2-2配置域用户“账户”属性配置域用户“账户”属性 2-2

账户选项 用户下次登录时须

更改密 用户不能更改密码 密码永不过期 账户已禁用

用户配置文件概念用户配置文件概念

存储用户的桌面工作环境，包括桌面、开始菜单、我的文档、以及其他指定的设置

第一次登录，会以 Documents and Settings \Default User  为模板创建配置文件

配置文件一般存储在操作系统所在分区上的 \Documents and Settings\username文件夹

用户配置文件类型用户配置文件类型

本地用户配置文件 第一次登录时创建 存储在本地硬盘上

漫游用户配置文件 配置文件存储在网络服务器

强制用户配置文件 一种特殊的漫游配置文件

临时用户配置文件 用户配置文件加载失败时创建

实现漫游用户配置文件实现漫游用户配置文件

步骤 1 ）为漫游用户创建

一个测试配置文件 2 ）准备一个存放漫

游用户配置文件的网络存储路径

3 ）将测试配置文件复制到网络存储路径

4 ）设置域用户属性的“配置文件”选项卡

演示并讲解相关理论演示并讲解相关理论 演示并讲解相关理论演示并讲解相关理论

小结小结小结小结

如何创建域用户账户 如何设定密码保证账户的安全？ 如何限定账户的登录时间？ 如何实现漫游用户配置文件？

组的类型组的类型

组的类型 说明安全组 用于设置用户权限，也可用于电子邮件通讯

通讯组 只用于电子邮件通讯

组的作用域组的作用域

本地域组 使用范围是本域

全局组 使用范围是整个林

以及信任域 通用组

使用范围与全局组相同

创建和查询性能方面与全局组有差别

AGDLP 规则规则 AGDLP 规则规则

AGDLP 规则 A 表示账户 G 表示全局组 DL 表示本地域组 P 表示赋权限

AGDLPAGDLP 举例举例 AGDLPAGDLP 举例举例

（ 1 ）将用户账户加入全局组 （ 2 ）将全局组加入本地域组 （ 3 ）给本地域组赋权限

小结小结小结小结

安全组和通讯组各有什么作用 ? 本地域组、全局组、通用组的区别？ AGDLP 规则的含义？

组织单位管理组织单位管理组织单位管理组织单位管理

OU 概念 OU 是活动目录中的对象 OU 是活动目录中的容器

OU 的设计方式 基于部门的 OU 基于地理位置的 OU 基于对象类型的 OU OU 的设计也可以是混合的

在 OU 之间移动域用户账户在 OU 之间移动域用户账户

移动用户帐户 例如某个员工调换了部门

OU 1

OU2

域

演示并讲解相关理论演示并讲解相关理论 演示并讲解相关理论演示并讲解相关理论

OU 的委派功能 2-1OU 的委派功能 2-1

委派控制管理 管理员可以为适当的用户和组指派一定范围的管理

任务，从而减轻管理员的工作负担 实现步骤

打开“ Active Directory 用户和计算机”，右击OU

→ “委派控制” 按向导提示，添加要委派任务的账户或者组 选择要委派的任务，按向导提示最终完成

教师演示并讲解相关理论教师演示并讲解相关理论 教师演示并讲解相关理论教师演示并讲解相关理论

OU 的委派功能 2-2OU 的委派功能 2-2

删除委派 启用“ Active

Directory 用户和计算机”→“查看”→“高级功能”

右击指定的 OU“ 属性”→“安全”→“高级”→“权限” ，选中委派了任务的账户条目，单击“删除”按钮 演示并讲解相关理论演示并讲解相关理论 演示并讲解相关理论演示并讲解相关理论

小结小结小结小结

OU 的设计方式有哪几种 ? 划分 OU 有什么作用 ? 如何实现 OU委派控制？ 如何删除 OU委派控制 ?

管理域用户和举例管理域用户和举例

步骤 规划目录结构 按部门建立OU 在 OU 中建立用户和组 给用户和组赋予权限

教师演示并讲解相关理论教师演示并讲解相关理论 教师演示并讲解相关理论教师演示并讲解相关理论

总结总结总结总结

如何创建域用户账户？ 3 种组的作用域的使用范围？ 安全组和通讯组的区别？ AGDLP 规则的含义？ 如何实现 OU 的委派？

总结并布置作业 总结并布置作业